| 发明名称 | 一种借助PCI卡启动在Windows操作系统中嵌入内核驱动程序的方法 | ||
| 摘要 | 本发明涉及计算机安全领域,具体的说是提供了一种在Windows操作系统中嵌入内核驱动程序的方法。本发明包括一个PCI卡,一段存放在PCI卡扩展ROM映像中的加载程序,一段存放在PCI卡非扩展ROM的用于示范的内核驱动程序。当计算机BIOS执行的自检操作检测到PCI卡具有扩展ROM时,将扩展ROM中的映像读入内存C0000H~DFFFFH中的某一个区域,然后作一个远程调用,执行映像中的加载程序。加载程序通过修改内存中的数据把用于示范的内核驱动程序嵌入Windows操作系统。本发明设计新颖,在启动过程中将内核驱动程序嵌入Windows操作系统,不需要复制内核驱动程序到硬盘上,也不需要修改硬盘上的注册表;具有隐蔽性,不需要在硬盘上保存内核驱动程序。 | ||
| 申请公布号 | CN101236498B | 申请公布日期 | 2011.10.19 |
| 申请号 | CN200710119810.9 | 申请日期 | 2007.07.31 |
| 申请人 | 北京理工大学 | 发明人 | 谭毓安;王佐 |
| 分类号 | G06F9/445(2006.01)I;G06F21/00(2006.01)I | 主分类号 | G06F9/445(2006.01)I |
| 代理机构 | 北京理工大学专利中心 11120 | 代理人 | 张利萍 |
| 主权项 | 一种借助PCI卡启动在Windows操作系统中嵌入内核驱动程序的方法,其特征在于:当计算机从PCI卡启动时,BIOS把存放在扩展ROM的映像读入内存COOOOH~DFFFFH中的某一个区域,然后作一个远程调用,执行映像中的加载程序;加载程序通过修改INT13H的中断服务程序来监控计算机对硬盘的读写;当Windows操作系统通过INT13H来读取注册表时,加载程序调用原始的INT13H中断服务程序读取硬盘上的注册表到内存,并在内存中修改读取的内容,让Windows操作系统加载一个硬盘上并不存在的内核驱动程序;当Windows操作系统通过INT13H来读取该内核驱动程序时,加载程序把读操作重定向到PCI卡,读取存放在PCI卡非扩展ROM的用于示范的内核驱动程序,从而把用于示范的内核驱动程序嵌入Windows操作系统。 | ||
| 地址 | 100081 北京市海淀区中关村南大街5号 | ||