利用“.VHDX虚拟磁盘格式”挂载后无法被勒索病毒等修改破坏的机理，用C#在Windows系统磁盘中创建“.VHDX虚拟磁盘格式”文件，备份前将此“.VHDX虚拟磁盘格式”文件挂载为可读写虚拟磁盘，备份完毕后，再将虚拟磁盘卸载重新挂载为只读，这样就可以确保备份文件不会被勒索病毒破坏了。

使用.VHDX虚拟磁盘格式结合只读挂载来保护备份文件，是一种有效的防勒索病毒方案。以下是技术分析和C#实现方案：

一、技术可行性分析

１、VHDX文件特性

VHDX是微软的虚拟磁盘格式，支持离线存储和动态扩展，可通过Windows磁盘管理工具挂载为物理磁盘。

当挂载为只读模式时，系统会阻止任何写入操作，包括勒索病毒对文件的加密或删除。

２、防护原理

• 备份阶段：挂载为可读写模式，完成数据写入。

• 日常存储：挂载为只读模式，勒索病毒无法修改文件内容。

• 文件锁定：挂载后的VHDX文件会被系统占用锁定，其他进程无法直接覆盖或删除。

３、潜在风险

需确保挂载操作本身不会被恶意程序劫持（例如通过提权修改挂载参数）。

若备份过程中系统崩溃，可能残留可写状态的VHDX文件（需设计异常处理机制）。

二、C#实现方案

１、核心逻辑

• 创建VHDX文件并挂载为可读写模式

• 执行备份操作

• 卸载VHDX后重新挂载为只读模式

２、代码实现（需管理员权限运行）

using System;
using System.Diagnostics;
using System.IO;
using System.Linq;
using System.Security.AccessControl;
using System.Security.Principal;


class VhdxBackupManager
{
    const string VhdxPath = @"D:\Backup.vhdx";
    const string AdminAccount = "Administrators";
    static char _currentDriveLetter = 'E'; // 默认起始盘符


    public static void ExecuteSafeBackup()
    {
        try
        {
            // 0. 确保VHDX文件存在
            if (!File.Exists(VhdxPath))
            {
                CreateNewVhdx();
                SetVhdxPermissions();
            }


            // 1. 寻找可用盘符
            char driveLetter = FindAvailableDriveLetter();
            
            // 2. 挂载可读写VHDX
            MountVhdx(driveLetter, readOnly: false);
            
            // 3. 执行备份操作
            File.Copy("C:\\Data\\important.txt", $"{driveLetter}:\\important.txt", true);
            
            // 4. 卸载并重新挂载为只读
            DismountVhdx(driveLetter);
            MountVhdx(driveLetter, readOnly: true);
        }
        catch (Exception ex)
        {
            DismountVhdx(_currentDriveLetter); // 尝试卸载当前盘符
            Console.WriteLine($"Error: {ex.Message}");
        }
    }


    // 动态查找可用盘符（从E到Z）
    private static char FindAvailableDriveLetter()
    {
        var usedDrives = DriveInfo.GetDrives()
            .Select(d => d.Name[0])
            .ToList();


        for (char c = 'E'; c <= 'Z'; c++)
        {
            if (!usedDrives.Contains(c))
            {
                _currentDriveLetter = c;
                return c;
            }
        }
        throw new InvalidOperationException("没有可用的驱动器盘符");
    }


    // 挂载虚拟磁盘方法
    private static void MountVhdx(char driveLetter, bool readOnly)
    {
        var script = $@"
            select vdisk file={VhdxPath}
            attach vdisk {(readOnly ? "readonly" : "")}
            assign letter={driveLetter}
            exit
        ";


        ExecuteDiskPart(script);
        
        // 验证挂载是否成功
        if (!Directory.Exists($"{driveLetter}:\\"))
        {
            throw new Exception($"挂载到 {driveLetter}: 失败");
        }
    }


    // 卸载虚拟磁盘方法
    private static void DismountVhdx(char driveLetter)
    {
        var script = $@"
            select vdisk file={VhdxPath}
            detach vdisk
            exit
        ";


        ExecuteDiskPart(script);
    }


    // 原有权限设置方法保持不变
    private static void SetVhdxPermissions()
    {
        var fileInfo = new FileInfo(VhdxPath);
        FileSecurity fSecurity = fileInfo.GetAccessControl();


        // 禁用继承并清除所有现有权限
        fSecurity.SetAccessRuleProtection(true, false);
        AuthorizationRuleCollection rules = fSecurity.GetAccessRules(true, true, typeof(NTAccount));
        foreach (FileSystemAccessRule rule in rules)
        {
            fSecurity.RemoveAccessRule(rule);
        }


        // 添加SYSTEM完全控制（挂载操作需要）
        fSecurity.AddAccessRule(new FileSystemAccessRule(
            new SecurityIdentifier(WellKnownSidType.LocalSystemSid, null),
            FileSystemRights.FullControl,
            AccessControlType.Allow));


        // 添加管理员组只读权限
        fSecurity.AddAccessRule(new FileSystemAccessRule(
            new NTAccount(AdminAccount),
            FileSystemRights.Read | FileSystemRights.ExecuteFile,
            InheritanceFlags.None,
            PropagationFlags.None,
            AccessControlType.Allow));


        // 禁止Everyone写入
        fSecurity.AddAccessRule(new FileSystemAccessRule(
            new SecurityIdentifier(WellKnownSidType.WorldSid, null),
            FileSystemRights.Write,
            AccessControlType.Deny));


        fileInfo.SetAccessControl(fSecurity);
    }


    private static void CreateNewVhdx()
    {
        var script = $@"
            create vdisk file={VhdxPath} maximum=10240 type=expandable
            select vdisk file={VhdxPath}
            attach vdisk
            create partition primary
            format quick fs=ntfs label=BackupDrive
            detach vdisk
            exit
        ";


        ExecuteDiskPart(script);
    }


    private static void ExecuteDiskPart(string script)
    {
        var tempFile = Path.GetTempFileName();
        File.WriteAllText(tempFile, script);


        using (var process = new Process())
        {
            process.StartInfo = new ProcessStartInfo
            {
                FileName = "diskpart",
                Arguments = $"/s {tempFile}",
                UseShellExecute = false,
                CreateNoWindow = true
            };
            process.Start();
            process.WaitForExit(15000);
            
            if (process.ExitCode != 0)
            {
                File.Delete(tempFile);
                throw new Exception("diskpart执行失败，返回码：" + process.ExitCode);
            }
        }
        File.Delete(tempFile);
    }
}

权限设置关键点说明：

1、三层权限控制：

• SYSTEM账户：授予完全控制权限，确保系统服务可以正常挂载/卸载磁盘

• 管理员组：授予读取和执行权限（Read | ExecuteFile）

• Everyone组：显式拒绝所有写入权限

２、权限继承处理：

fSecurity.SetAccessRuleProtection(true, false); // 关闭继承，不保留原有权限

３、最小权限原则：

• 管理员组不授予写入权限

• 普通用户默认无任何访问权限

使用注意事项：

1、运行要求：

• 必须以管理员身份运行程序

• 需要提前初始化VHDX文件（代码已包含自动创建逻辑）

2、挂载状态验证：

// 可在挂载后添加验证逻辑
if (!Directory.Exists(MountPoint))
{
    throw new Exception("挂载失败，请检查diskpart输出");
}

3、安全增强建议：

// 在设置权限后可以添加隐藏属性
File.SetAttributes(VhdxPath, FileAttributes.Hidden);

该方案通过以下机制确保VHDX文件安全：

1、物理文件保护：挂载时系统会锁定VHDX文件

2、权限双重保障：

• NTFS权限阻止未授权写入

• 只读挂载提供运行时保护

3、系统级隔离：虚拟磁盘与宿主系统分离

建议配合Windows Defender的受控文件夹访问功能，形成多层防御体系。

优化点说明：

１、动态盘符分配：

• 使用FindAvailableDriveLetter方法自动查找第一个可用盘符（从E到Z）

• 通过DriveInfo.GetDrives()获取已用盘符列表

• 自动跳过已存在的盘符，避免冲突

2、挂载验证机制：

if (!Directory.Exists($"{driveLetter}:\\")){
    throw new Exception($"挂载到 {driveLetter}: 失败");}

1. 异常处理增强：

• diskpart执行失败时抛出详细错误

• finally块中确保清理临时文件

• 异常时自动尝试卸载当前盘符

2. 盘符生命周期管理：

• 使用实例字段_currentDriveLetter跟踪当前使用的盘符

• 卸载时明确指定需要卸载的盘符

使用场景示例：

// 首次运行：使用可用盘符（例如F盘）
VhdxBackupManager.ExecuteSafeBackup();


// 再次运行时自动检测新的可用盘符
// 假设F盘已被其他设备占用，则自动选择下一个可用盘符
VhdxBackupManager.ExecuteSafeBackup(); 

扩展建议：

1、盘符偏好设置：

// 可以添加优先盘符设置
char[] preferredLetters = { 'X', 'Y', 'Z' };
foreach (char c in preferredLetters)
{
    if (!usedDrives.Contains(c))
    {
        return c;
    }
}

2、多线程安全：

private static readonly object _driveLock = new object();
// 在FindAvailableDriveLetter方法中加锁
lock (_driveLock)
{
    // 查找可用盘符的逻辑
}

3、盘符释放确认：

private static void EnsureDriveUnmounted(char driveLetter)
{
    if (Directory.Exists($"{driveLetter}:\\"))
    {
        throw new InvalidOperationException($"驱动器 {driveLetter}: 仍处于挂载状态");
    }
}

该方案通过动态盘符管理实现了以下优势：

1. 避免与现有驱动器冲突

2. 支持在复杂存储环境中的重复运行

3. 提供清晰的错误反馈机制

4. 确保资源释放的可靠性

三、强化防护的配套措施

1. 文件系统权限控制
   对VHDX文件设置NTFS权限：禁止Everyone组的写入权限，仅允许SYSTEM和指定管理员读取。

2. 加密存储
   使用BitLocker加密VHDX文件，即使文件被复制也无法解密。

3. 版本控制
   结合增量备份，保留多个历史版本的VHDX文件（如Backup_20230516.vhdx）。

4. 物理隔离
   定期将VHDX文件复制到未挂载的移动硬盘，实现Air Gap隔离。

相关教程：

【C#】如何判断虚拟磁盘VHDX文件是否已经被挂载，挂载到了哪一个盘符，并且当前是挂载为只读模式还是可读写模式[1]
　 http://31167.oa22.cn