還原卡穿透問題的技術(shù)研究

1、還原卡穿透問題的技術(shù)研究    摘要：分析了還原卡的技術(shù)原理以及穿透病毒的基本原理，并對穿透技術(shù)從多個方面進行了深入研究。對還原卡技術(shù)改進有一定的理論意義。 關(guān)鍵詞：還原卡；還原技術(shù)；穿透技術(shù)；病毒 中圖分類號：TP393    文獻標識碼：A    文章編號：1009-3044(2011)35-0000-0c Technical Research of Recovery Card Penetration Problem KANG Jin-cui (Department of

2、 Computer, Shijiazhuang University, Shijiazhuang 050035, China) Abstract: The author analyses the technical principle of recovery card and the fundamental principle of the penetrating viruses. And technology from many areas through in-depth research. At the same time technical improvements to the re

3、covery card has some theoretical significance. Key words: recovery card; decompression technology; penetration technique; viruses 目前，計算機機房是各高校計算機教學和實驗的重要場所，它除了承擔著全校各院系學生的上機任務外，還承擔了各種計算機培訓、考試和科研等任務。為了減輕機房維護人員繁瑣的工作，計算機機房都使用了還原卡。還原卡可以使電腦在遭到破壞時,將系統(tǒng)還原到初始的狀態(tài)。這種破壞包括有意無意的刪除、破壞系統(tǒng)文件，以及各種病毒和木馬的攻擊。只要重新啟動計算機，系統(tǒng)就

4、會恢復到系統(tǒng)原來的狀態(tài)，對計算機機房的計算機起到了很好的保護作用，給我們機房維護人員帶來了極大的方便。但目前網(wǎng)上流傳一種"機器狗"的病毒（Trojan/Agent.pgz），此病毒可以穿透各種還原卡及還原軟件，它是一種木馬下載器，系統(tǒng)感染該病毒后會自動連接網(wǎng)絡(luò)并從網(wǎng)絡(luò)上下載木馬、病毒，給用戶帳號的安全帶來了威脅。從還原卡的技術(shù)原理及還原系統(tǒng)穿透技術(shù)來闡述病毒是如何穿透還原卡的。 1 還原卡的技術(shù)原理 硬盤還原卡是一種PCI擴展卡，主要功能就是當硬盤數(shù)據(jù)遭到破壞時對其進行還原，也就是保護硬盤數(shù)據(jù)。還原卡其實就是一硬件芯片，它與硬盤的主引導扇區(qū)MBR協(xié)同工作，它加載驅(qū)動的方式，

5、很像dos下的引導型病毒：首先是接管BIOS（基本輸入輸出系統(tǒng)）的INT13中斷，然后備份FAT（文件分區(qū)表）、引導區(qū)、CMOS信息，以及中斷向量表等信息，并把它們保存在硬盤的保留扇區(qū)中，用它自帶的中斷向量表替換調(diào)原始的中斷向量表。當我們向硬盤寫數(shù)據(jù)時，便會將地址重定向到原來的空間。對于還原技術(shù)來說，原理都是一樣的，只是各還原卡廠家采用的方法不同而已。還原卡是通過一層磁盤過濾驅(qū)動實現(xiàn)系統(tǒng)還原的。這層過濾驅(qū)動嵌入在文件系統(tǒng)和磁盤驅(qū)動之間。通常情況下Windows操作系統(tǒng)以及各種應用程序必須經(jīng)過磁盤過濾驅(qū)動才能對硬盤進行訪問。磁盤過濾驅(qū)動并不真正改寫原來的數(shù)據(jù)，而是把所有的磁盤R/W都映射到緩沖區(qū)

6、中，這樣就實現(xiàn)了系統(tǒng)還原。還原系統(tǒng)必須先于操作系統(tǒng)啟動來獲取引導權(quán)，才能夠達到控制和保護磁盤的目的。為了能夠在Windows操作系統(tǒng)啟動之前得到執(zhí)行權(quán)，還原系統(tǒng)需要在硬盤的第0磁頭0磁道的第1個扇區(qū)（MBR）寫入自己的代碼，而把硬盤原來的MBR的數(shù)據(jù)保存在其它的扇區(qū)中。還原系統(tǒng)修改中斷INT 13H入口后，還會修改其它的一些中斷入口。并監(jiān)控INT 13H的入口地址，數(shù)據(jù)一旦有變化就立刻把它恢復成原來的數(shù)據(jù)。這些代碼可以完成以下操作： 1) 對所有INT 13H對硬盤的MBR的操作進行攔截，包括R/W操作，所有對硬盤的第0磁頭0磁道的第1個扇區(qū)的操作并沒有真正修改，而是把它轉(zhuǎn)移到還原程序備份的那

7、個扇區(qū)進行。這時如果我們查看主引導區(qū)數(shù)據(jù)，就會發(fā)我現(xiàn)我們所看到的是那個備份的主引導區(qū)數(shù)據(jù)。這即防止了那些別有用心的人讀出來進行破解又保護了還原代碼不被破壞。 2) 對所有INT 13H對硬盤的寫操作進行攔截，包括INT 13H的寫操作和擴展INT 13H的寫操作。對于8G以下的小硬盤是基于磁頭、磁道、扇區(qū)定位的INT 13H的操作，而對大硬盤則是基于扇區(qū)地址方式的擴展INT13H操作。當然也包括其它接口的硬盤的擴展INT13H寫操作。攔截以后還要對硬盤進行必要的寫操作，如對虛擬內(nèi)存的操作，并做一記錄，直到操作系統(tǒng)重新啟動后，這一記錄就會被還原。 3)對70H，71H端口中的內(nèi)容備份。比較備份的

8、內(nèi)容與最后一次執(zhí)行70H，71H端口時的內(nèi)容，如果不一致的話，就提示BIOS已經(jīng)被修改，是否還原，以及是否修改BIOS，是否通過密碼驗證等信息。 2 穿透還原系統(tǒng)技術(shù) 還原系統(tǒng)是靠數(shù)據(jù)保護和還原技術(shù)為基礎(chǔ)的對計算機運行和數(shù)據(jù)進行安全防護的產(chǎn)品。它分軟件還原和硬件還原。還原卡是通過磁盤設(shè)備過濾驅(qū)動實現(xiàn)還原的，所以嚴格來說也是軟件還原，只不過是利用了PCI板塊承載BOOTROOM，比軟件還原獲得系統(tǒng)控制權(quán)的時間要早一些罷了。這樣還原卡就可以很順利地建立一個磁盤卷設(shè)備，并通過它上面的過濾驅(qū)動進行文件過濾。過濾驅(qū)動是在計算機啟動的過程中加載的，并從內(nèi)核層保護文件不被修改。實際上我們對硬盤的操作并沒有改

9、變硬盤上的數(shù)據(jù)，只是改變了還原卡虛擬空間的數(shù)據(jù)。當Windows重新啟動后硬盤數(shù)據(jù)被還原。如果我們斷開附在物理設(shè)備對象上的過濾驅(qū)動程序，讓系統(tǒng)的過濾驅(qū)動失效，就可以對物理磁盤設(shè)備發(fā)送把磁盤讀寫請求，還原就被直接穿透了，還原卡也就喪失了保護功能。還原系統(tǒng)通常無法攔截端口的輸入輸出操作，它所能攔截的只是中斷操作。因此通過對端口輸入輸出操作完全可以實現(xiàn)對硬盤的寫操作，也完全可以對屏蔽掉的MBR的關(guān)鍵部分進行讀操作，大致概括為下列幾種情況： 1) DR0設(shè)備過濾設(shè)備鏈摘鏈。這種方法實際上是摘除硬盤DR0上的一個過濾設(shè)備，它的核心是從設(shè)備對象棧斷開附加于磁盤設(shè)備的文件系統(tǒng)過濾設(shè)備，它通過將磁盤設(shè)備對象中

10、附加設(shè)備的域清零來實現(xiàn)。這樣做的目的是清除過濾設(shè)備，從而導致還原系統(tǒng)設(shè)備被清除。由于沒有了過濾設(shè)備，所有的請求就會直接到達磁盤設(shè)備，這樣一來還原系統(tǒng)就被徹底攻破了。目前來說，我們的還原技術(shù)在這種技術(shù)面前還顯得無能為力。雖是這樣，這種技術(shù)也不是完全成熟的，也有它的缺陷：只能摘除硬盤DR0上的物理設(shè)備。如果文件請求先到達磁盤卷并且不被正確響應，這時摘除有可能對系統(tǒng)造成影響。 2）創(chuàng)建一個可作為磁盤卷掛載到文件系統(tǒng)上的磁盤設(shè)備，這個磁盤設(shè)備是虛擬的。并建立這個虛擬磁盤到真實磁盤的讀寫映射，保證對虛擬磁盤讀寫請求能被發(fā)送到下層設(shè)備。這種操作結(jié)果可以成功的穿透還原。 3）直接在用戶模式穿透還原系統(tǒng)而不使

11、用驅(qū)動程序。我們知道，通過磁盤管理系統(tǒng)提供的Pass Through指令，不用向磁盤發(fā)送直接請求，就可以獲取磁盤信息，而且可以直接讀寫磁盤扇區(qū)。用戶模式下，我們通過函數(shù)Devicelocontrel調(diào)用Pass Through指令發(fā)送請求的。在用戶模式下之所以能夠達成攻擊是因為大多數(shù)還原系統(tǒng)對此過濾不嚴，甚至根本沒有過濾而導致的。                      除了上述方法之外，還可以

12、直接操作端口（比如USB端口）驅(qū)動以及更底層的磁盤操作的方法，比如直接讀寫等，它的缺點是：實現(xiàn)起來難度較大，通用較麻煩。另外還有一種方法是摘除其它過濾設(shè)備，Attach到還原系統(tǒng)上，在磁盤管理系統(tǒng)還沒有獲得磁盤請求時，優(yōu)先獲得磁盤請求，從而穿透文件系統(tǒng)過濾層。 3 穿透病毒基本原理 該病毒之所以能成功繞開還原系統(tǒng)寫入到硬盤中，就是因為它破壞了還原系統(tǒng)的控制權(quán)，從而使還原系統(tǒng)相應的數(shù)據(jù)還原能力喪失。它是采用了Hook系統(tǒng)的磁盤設(shè)備棧達到穿透目的的。針對Windows操作系統(tǒng)中文件物理地址，該病毒把惡意數(shù)據(jù)用覆蓋的方式寫入硬盤而不是把Windows操作系統(tǒng)中相應的文件替換成病毒，并且穿透不了注冊表

13、。電腦如果中了該病毒，就會自動連接internet，下載一些病毒和木馬，這些病毒和木馬再借助其它病毒進行傳播（比如ARP），它的傳播速度成幾何倍數(shù)增長，很快就會阻塞網(wǎng)絡(luò)，造成整個網(wǎng)絡(luò)癱瘓，危害極大。 該病毒存在許多變種：有的病毒驅(qū)動文件很大，有的病毒驅(qū)動文件則很小；有的病毒安裝驅(qū)動后會卸載刪除，有的病毒安裝驅(qū)動完畢后卻不執(zhí)行卸載刪除操作；有的病毒采用UPX加殼的，有的病毒則不加殼；有的病毒調(diào)用系統(tǒng)文件夾dllcache下真實的系統(tǒng)文件運行，有的病毒則不調(diào)用系統(tǒng)文件夾dllcache下真實的系統(tǒng)文件運行；有的病毒只針對的是系統(tǒng)的“userinit.exe”文件，有的病毒針對的則是系統(tǒng)的其它程序，

14、如“ctfmon.exe”、“explorer.exe”和“eonime.exe”；有的病毒修改注冊表項“HKEY-LOCAL-MACHINESoftwareMicrosoftWindows NTCurrent VersionWinlogon” (計算機重新啟動后會被還原卡程序系統(tǒng)還原掉)，有病毒對注冊表沒有進行任何操作；另外還有一些采用不同圖標的病毒變種。有黑色機器小狗圖案的，也有控制臺程序圖標圖案。該類病毒會釋放驅(qū)動程序pcihdd.sys，用物理直接讀寫的方式繞過還原卡監(jiān)控并感染文件userinit.exe。我們知道，userinit.exe是操作系統(tǒng)核心的用戶模式引導文件，它一旦被感染

15、，說明還原卡也就失去了還原功能。其實，這時的還原卡程序系統(tǒng)并沒有被破壞掉，還原卡的還原功能也沒有真正失效，一般情況下病毒運行后只會對真實磁盤中的一個系統(tǒng)文件進行修改、覆蓋操作，而不會再去破壞其它的文件。在計算機重新啟動以后唯一沒有被還原的就是這個被修改、覆蓋的真實磁盤系統(tǒng)文件，而病毒運行后下載的那些惡意程序（它會安裝并運行）都會被還原卡程序還原掉。計算機重新啟動后，系統(tǒng)中依然有病毒在運行，它不是沒有被還原，而是由被改寫的引導文件重新下載回來的。 4 結(jié)束語 還原卡能夠被病毒穿透與磁盤過濾驅(qū)動有關(guān)。還原卡之所以失去防御功能，是因為病毒用絕對偏移量的方式直接寫硬盤操作，并且磁盤過濾驅(qū)動保護級別又不

16、夠高。針對機器狗病毒給還原卡的數(shù)據(jù)安全所帶來的危機，還原卡廠商也都采取了各種防御措施和一些補救的方法，主要的方法就是打免疫補丁。由于道高一尺，魔高一丈，病毒不斷出現(xiàn)變種，補丁要沒完沒了的打，給我們的管理帶來了很多的不便。雖然一些機器狗專殺工具對機器狗之類的病毒起到了一定的防范作用，但理念卻始終是被動的防范。要徹底防御與機器狗類似的各種穿透性病毒。還需從還原系統(tǒng)穿透技術(shù)方面去研究，因此，擺在我們面前課題任重而道遠。 參考文獻： 1 陳鵬宇.還原卡原理分析J.四川理工學院學報,2005(3):108-101. 2 童長仁,許菱,羅家國.硬盤還原保護技術(shù)分析與實現(xiàn)J.南方冶金學院學報,2005(8):55-58. 3 翁永平.機器狗病毒的預防與清除J.電腦知識與技術(shù),2008(3):54-56. 4 劉功中.計算機病毒及其防范技術(shù)M.北京:清華大學出版社,2008:82-87. 5 曲大慶.淺談計算機病毒與防范J.大眾科技,2009 (6):39-41. 6 郜激揚.穿透硬盤還原卡的病毒分析與預防J.實驗技術(shù)與管理,2009(8):92-94. 7 豐洪才,向云柱,劉奇.硬盤保護卡自身關(guān)鍵數(shù)據(jù)的安全保護方法J.武漢工業(yè)學院學報,2010(1)53-56. 8 洪德榮.還原卡的防穿透程序設(shè)計J.黎明職業(yè)大學學報