[conquer]

用很简单的一句话来说，硬盘保护的运作机制很类似引导型病毒。它修改引导区，在起动时自动加载自己的驱动程序，它的驱动程序可能是放在某些隐藏扇区中或放在文件中(.sys Dos下的驱动程序，类似cd-rom驱动程序)。如果是放在隐藏扇区中则可以有效的提高自己的隐秘性和安全性，而放在文件中则是为了减少复杂性。您可能怀疑，放到文件中安全吗？不会被别人删除吗？
加载的驱动十分类似dos病毒。它接管int13中断和int18，将fat，引导区，cmos信息，中断向量表等信息都保存到卡内的临时储存单元中。另外，再另外将fat信息保存到临时储存单元中，用来应付我们对硬盘内数据的修改。保护卡可能是在硬盘中找到一部分连续的空磁盘空间然后，将我们修改的数据保存到其中。
每当我们向硬盘写入数据时，其实还是写入到硬盘中，可是没有真正修改硬盘中的fat。由于保护卡接管int13，当卡发现写操作，便将原先数据目的地址重新指向先前的连续空磁盘空间，并将先前背份的第二份fat中的被修改的相关数据指向这片空间。当我们读取数据时，和写操作相反，当某程序访问某文件时，保护卡先在第二份背份的fat中查找相关文件，如果是起动后修改过的，便在重新定向的空间中读取，否则在第一份背份的fat中查找并读取相关文件。删除和写入数据相同，就是将文件的fat记录重第二份背份的fat中删除掉。
当硬盘保护卡收到int18，或收到复位(reset)等重新起动的信息后，首先将原来的fat，引导区，cmos，中断向量等信息从卡内临时储存单元恢复到系统中。当你从新起动后发现上次修改的数据都丢失了。先前的那部分用来保存修改数据的空间，由于没有写硬盘的fat，所以还是空的磁盘空间。
另外，用户不可能格式化真正的硬盘，还是因为被接管的int13。int13的功能05h和06h便是格式化。如果用户是快速格式化(format Drive /q)，保护卡只须将相关驱动器的fat清空为格式化以后的模样便可(当然是卡内保存的第二份fat)。如果是普通的格式化(每个扇区清空)，保护卡也会配合工作得将其转换为快速格式化，还是只改fat。
对于其他的磁盘访问机制由于我不大了解(低格？低格！)，另外，您读过本文后是否有一种感觉，好像这个硬盘保护卡可以用软件方法实现？我也这么认为.