影子系统的工作原理是什么?

题主有兴趣的话可以研究一下trueCrypt,虽然这东西已经关闭下载了,但是源码什么的还能找到,尤其是Windows的部分,写的很经典。

对于Windows的应用来说,具体分成两种情况:

一种是用NTLDR引导的,包括2K、XP这类,WIN7也支持。

另一种是用新一代引用方式(这玩意该叫啥我不知道,反正boot的东西是一个分区,或者UEFI之类的更庞大的东西),Vista以后就有了。

对于NTLDR来说,它里面不包含磁盘驱动,NTLDR每次需要读磁盘时,都从保护模式切回实模式,调用INT 13H,再切回来,通过这样把NTOSKRNL.EXE以及附带的驱动都加载上。(所以,这也是为什么XP不支持AHCI,因为INT 13H不支持)

加载完以后,转移控制权给NTOSKRNL就可以了。

TrueCrypt的原理是:

在启动之前把钩子加到INT 13H中断里,NTLDR的任何行为都会被钩子拦截并处理。

同时,再注册一个驱动,跟随内核一起启动,这个是标准的磁盘设备过滤驱动。当系统起来的时候,已经不用INT 13H了,注册的这个驱动开始发挥作用,并继续完成拦截所有磁盘操作的动作。

所以影子系统分两部分,一部分是在实模式下的INT 13H,另一部分是保护模式下的过滤驱动。

不使用NTLDR方式引导的就有点麻烦,需要把钩子做到引导分区里,具体的技术不是太了解,微软公开的东西不多。

我了解的情况就是这样的。

影子系统有很多类型和方法,硬件的软件的。

基本都是过滤磁盘读写,根据读写的扇区位置和自己维护的读写索引确认这次操作是读写真实硬盘还是从另外开辟的空间去读写。

磁盘过滤驱动

用最简单粗暴的视角看,就是一个xxxx.sys文件加上注册表里的配置