В отличие от программ, создающих образ системы для последующего восстановления, программа BitDisk работает по другому принципу.
При инсталяции программы, в систему устанавливается фильтр-драйвер логического тома, который обрабатывает все запросы на чтение и запись с защищенного раздела. Драйвер работает «ниже» драйверов файловой системы, он оперирует с секторами жесткого диска.
Такое решение позволяет BitDisk защищать (в конфигурациях «Зеркало» и «Журнал») любые файловые системы, поддерживаемые Windows.
При получении запроса на запись секторов, драйвер производит запись данных в специально отведенное место (журнал), а сами сектора помечаются как измененные. При получении запроса на чтение информации, драйвер анализирует список измененных секторов и если сектор не менялся — производится чтение оригинального сектора, если же сектор помечен как измененный, то чтение информации производится из журнала.
Таким образом, физически защищенный диск не изменяется, при этом операционная система и все программы полностью уверены, что происходит нормальная запись.
Хранение журнала возможно тремя способами:
1 - Оптимальным является создание раздела большего размера, чем защищаемый — это режим «Зеркало». В таком режиме BitDisk никогда не потребует перезагрузки, ведь такой журнал не переполняется. Главный недостаток этого режима — потеря 50% полезной емкости дискового пространства, что при нынешних ценах на накопители не так и критично.
2 - Режим «Журнал» схож с режимом «Зеркало», но раздел, отводимый под журнальные данные модет быть меньше, чем защищаемый. Можно самостоятельно выбрать размер, но надо понимать, что после заполнения журнала потребуется перезагрузка компьютера.
3 - Третий режим защиты это «Файл». В этом режиме журнал хранится в специально созданном файле на защищаемом разделе. Этот режим работает только с файловой системой NTFS, так как иначе затруднительно обеспечить неприкосновенность файла-журнала.
Так как драйвер работает на уровне тома, он ничего «не знает» о файловой системе. С одной стороны это повышает надежность и быстродействие, с другой - делает невозможными какие-либо исключения при защите тома, т.е. нельзя указать каталоги, запись в которые была бы разрешена. Само наличие механизма исключений — потенциально опасная брешь в системе безопасности. При всем удобстве для пользователя, данный механизм позволяет, в принципе, скомпрометировать систему защиты — злоумышленник (программа вирус) может внести в список исключенных из защиты каталогов свои данные.
В отличие от «хакерского» перехвата функций, используемого некоторыми аналогичными программами, применение драйвера делает защиту тома практически не вскрываемой, так как о его целостности заботится операционная система. Различные вредоносные программы не могут модифицировать код, как в файле, так и в оперативной памяти. Кроме того, сам механизм фильтр-драйверов является документированной возможностью операционных систем Windows.
