论文部分内容阅读
摘要:分析了还原卡的技术原理以及穿透病毒的基本原理,并对穿透技术从多个方面进行了深入研究。对还原卡技术改进有一定的理论意义。
关键词:还原卡;还原技术;穿透技术;病毒
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2011)35-0000-0c
Technical Research of Recovery Card Penetration Problem
KANG Jin-cui
(Department of Computer, Shijiazhuang University, Shijiazhuang 050035, China)
Abstract: The author analyses the technical principle of recovery card and the fundamental principle of the penetrating viruses. And technology from many areas through in-depth research. At the same time technical improvements to the recovery card has some theoretical significance.
Key words: recovery card; decompression technology; penetration technique; viruses
目前,计算机机房是各高校计算机教学和实验的重要场所,它除了承担着全校各院系学生的上机任务外,还承担了各种计算机培训、考试和科研等任务。为了减轻机房维护人员繁琐的工作,计算机机房都使用了还原卡。还原卡可以使电脑在遭到破坏时,将系统还原到初始的状态。这种破坏包括有意无意的删除、破坏系统文件,以及各种病毒和木马的攻击。只要重新启动计算机,系统就会恢复到系统原来的状态,对计算机机房的计算机起到了很好的保护作用,给我们机房维护人员带来了极大的方便。但目前网上流传一种"机器狗"的病毒(Trojan/Agent.pgz),此病毒可以穿透各种还原卡及还原软件,它是一种木马下载器,系统感染该病毒后会自动连接网络并从网络上下载木马、病毒,给用户帐号的安全带来了威胁。从还原卡的技术原理及还原系统穿透技术来阐述病毒是如何穿透还原卡的。
1 还原卡的技术原理
硬盘还原卡是一种PCI扩展卡,主要功能就是当硬盘数据遭到破坏时对其进行还原,也就是保护硬盘数据。还原卡其实就是一硬件芯片,它与硬盘的主引导扇区MBR协同工作,它加载驱动的方式,很像dos下的引导型病毒:首先是接管BIOS(基本输入输出系统)的INT13中断,然后备份FAT(文件分区表)、引导区、CMOS信息,以及中断向量表等信息,并把它们保存在硬盘的保留扇区中,用它自带的中断向量表替换调原始的中断向量表。当我们向硬盘写数据时,便会将地址重定向到原来的空间。对于还原技术来说,原理都是一样的,只是各还原卡厂家采用的方法不同而已。还原卡是通过一层磁盘过滤驱动实现系统还原的。这层过滤驱动嵌入在文件系统和磁盘驱动之间。通常情况下Windows操作系统以及各种应用程序必须经过磁盘过滤驱动才能对硬盘进行访问。磁盘过滤驱动并不真正改写原来的数据,而是把所有的磁盘R/W都映射到缓冲区中,这样就实现了系统还原。还原系统必须先于操作系统启动来获取引导权,才能够达到控制和保护磁盘的目的。为了能够在Windows操作系统启动之前得到执行权,还原系统需要在硬盘的第0磁头0磁道的第1个扇区(MBR)写入自己的代码,而把硬盘原来的MBR的数据保存在其它的扇区中。还原系统修改中断INT 13H入口后,还会修改其它的一些中断入口。并监控INT 13H的入口地址,数据一旦有变化就立刻把它恢复成原来的数据。这些代码可以完成以下操作:
1) 对所有INT 13H对硬盘的MBR的操作进行拦截,包括R/W操作,所有对硬盘的第0磁头0磁道的第1个扇区的操作并没有真正修改,而是把它转移到还原程序备份的那个扇区进行。这时如果我们查看主引导区数据,就会发我现我们所看到的是那个备份的主引导区数据。这即防止了那些别有用心的人读出来进行破解又保护了还原代码不被破坏。
2) 对所有INT 13H对硬盘的写操作进行拦截,包括INT 13H的写操作和扩展INT 13H的写操作。对于8G以下的小硬盘是基于磁头、磁道、扇区定位的INT 13H的操作,而对大硬盘则是基于扇区地址方式的扩展INT13H操作。当然也包括其它接口的硬盘的扩展INT13H写操作。拦截以后还要对硬盘进行必要的写操作,如对虚拟内存的操作,并做一记录,直到操作系统重新启动后,这一记录就会被还原。
3)对70H,71H端口中的内容备份。比较备份的内容与最后一次执行70H,71H端口时的内容,如果不一致的话,就提示BIOS已经被修改,是否还原,以及是否修改BIOS,是否通过密码验证等信息。
2 穿透还原系统技术
还原系统是靠数据保护和还原技术为基础的对计算机运行和数据进行安全防护的产品。它分软件还原和硬件还原。还原卡是通过磁盘设备过滤驱动实现还原的,所以严格来说也是软件还原,只不过是利用了PCI板块承载BOOTROOM,比软件还原获得系统控制权的时间要早一些罢了。这样还原卡就可以很顺利地建立一个磁盘卷设备,并通过它上面的过滤驱动进行文件过滤。过滤驱动是在计算机启动的过程中加载的,并从内核层保护文件不被修改。实际上我们对硬盘的操作并没有改变硬盘上的数据,只是改变了还原卡虚拟空间的数据。当Windows重新启动后硬盘数据被还原。如果我们断开附在物理设备对象上的过滤驱动程序,让系统的过滤驱动失效,就可以对物理磁盘设备发送把磁盘读写请求,还原就被直接穿透了,还原卡也就丧失了保护功能。还原系统通常无法拦截端口的输入输出操作,它所能拦截的只是中断操作。因此通过对端口输入输出操作完全可以实现对硬盘的写操作,也完全可以对屏蔽掉的MBR的关键部分进行读操作,大致概括为下列几种情况:
1) DR0设备过滤设备链摘链。这种方法实际上是摘除硬盘DR0上的一个过滤设备,它的核心是从设备对象栈断开附加于磁盘设备的文件系统过滤设备,它通过将磁盘设备对象中附加设备的域清零来实现。这样做的目的是清除过滤设备,从而导致还原系统设备被清除。由于没有了过滤设备,所有的请求就会直接到达磁盘设备,这样一来还原系统就被彻底攻破了。目前来说,我们的还原技术在这种技术面前还显得无能为力。虽是这样,这种技术也不是完全成熟的,也有它的缺陷:只能摘除硬盘DR0上的物理设备。如果文件请求先到达磁盘卷并且不被正确响应,这时摘除有可能对系统造成影响。
2)创建一个可作为磁盘卷挂载到文件系统上的磁盘设备,这个磁盘设备是虚拟的。并建立这个虚拟磁盘到真实磁盘的读写映射,保证对虚拟磁盘读写请求能被发送到下层设备。这种操作结果可以成功的穿透还原。
3)直接在用户模式穿透还原系统而不使用驱动程序。我们知道,通过磁盘管理系统提供的Pass Through指令,不用向磁盘发送直接请求,就可以获取磁盘信息,而且可以直接读写磁盘扇区。用户模式下,我们通过函数Devicelocontrel调用Pass Through指令发送请求的。在用户模式下之所以能够达成攻击是因为大多数还原系统对此过滤不严,甚至根本没有过滤而导致的。
除了上述方法之外,还可以直接操作端口(比如USB端口)驱动以及更底层的磁盘操作的方法,比如直接读写等,它的缺点是:实现起来难度较大,通用较麻烦。另外还有一种方法是摘除其它过滤设备,Attach到还原系统上,在磁盘管理系统还没有获得磁盘请求时,优先获得磁盘请求,从而穿透文件系统过滤层。
3 穿透病毒基本原理
该病毒之所以能成功绕开还原系统写入到硬盘中,就是因为它破坏了还原系统的控制权,从而使还原系统相应的数据还原能力丧失。它是采用了Hook系统的磁盘设备栈达到穿透目的的。针对Windows操作系统中文件物理地址,该病毒把恶意数据用覆盖的方式写入硬盘而不是把Windows操作系统中相应的文件替换成病毒,并且穿透不了注册表。电脑如果中了该病毒,就会自动连接internet,下载一些病毒和木马,这些病毒和木马再借助其它病毒进行传播(比如ARP),它的传播速度成几何倍数增长,很快就会阻塞网络,造成整个网络瘫痪,危害极大。
该病毒存在许多变种:有的病毒驱动文件很大,有的病毒驱动文件则很小;有的病毒安装驱动后会卸载删除,有的病毒安装驱动完毕后却不执行卸载删除操作;有的病毒采用UPX加壳的,有的病毒则不加壳;有的病毒调用系统文件夹dllcache下真实的系统文件运行,有的病毒则不调用系统文件夹dllcache下真实的系统文件运行;有的病毒只针对的是系统的“userinit.exe”文件,有的病毒针对的则是系统的其它程序,如“ctfmon.exe”、“explorer.exe”和“eonime.exe”;有的病毒修改注册表项“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows NT\Current Version\Winlogon” (计算机重新启动后会被还原卡程序系统还原掉),有病毒对注册表没有进行任何操作;另外还有一些采用不同图标的病毒变种。有黑色机器小狗图案的,也有控制台程序图标图案。该类病毒会释放驱动程序pcihdd.sys,用物理直接读写的方式绕过还原卡监控并感染文件userinit.exe。我们知道,userinit.exe是操作系统核心的用户模式引导文件,它一旦被感染,说明还原卡也就失去了还原功能。其实,这时的还原卡程序系统并没有被破坏掉,还原卡的还原功能也没有真正失效,一般情况下病毒运行后只会对真实磁盘中的一个系统文件进行修改、覆盖操作,而不会再去破坏其它的文件。在计算机重新启动以后唯一没有被还原的就是这个被修改、覆盖的真实磁盘系统文件,而病毒运行后下载的那些恶意程序(它会安装并运行)都会被还原卡程序还原掉。计算机重新启动后,系统中依然有病毒在运行,它不是没有被还原,而是由被改写的引导文件重新下载回来的。
4 结束语
还原卡能够被病毒穿透与磁盘过滤驱动有关。还原卡之所以失去防御功能,是因为病毒用绝对偏移量的方式直接写硬盘操作,并且磁盘过滤驱动保护级别又不够高。针对机器狗病毒给还原卡的数据安全所带来的危机,还原卡厂商也都采取了各种防御措施和一些补救的方法,主要的方法就是打免疫补丁。由于道高一尺,魔高一丈,病毒不断出现变种,补丁要没完没了的打,给我们的管理带来了很多的不便。虽然一些机器狗专杀工具对机器狗之类的病毒起到了一定的防范作用,但理念却始终是被动的防范。要彻底防御与机器狗类似的各种穿透性病毒。还需从还原系统穿透技术方面去研究,因此,摆在我们面前课题任重而道远。
参考文献:
[1] 陈鹏宇.还原卡原理分析[J].四川理工学院学报,2005(3):108-101.
[2] 童长仁,许菱,罗家国.硬盘还原保护技术分析与实现[J].南方冶金学院学报,2005(8):55-58.
[3] 翁永平.机器狗病毒的预防与清除[J].电脑知识与技术,2008(3):54-56.
[4] 刘功中.计算机病毒及其防范技术[M].北京:清华大学出版社,2008:82-87.
[5] 曲大庆.浅谈计算机病毒与防范[J].大众科技,2009 (6):39-41.
[6] 郜激扬.穿透硬盘还原卡的病毒分析与预防[J].实验技术与管理,2009(8):92-94.
[7] 丰洪才,向云柱,刘奇.硬盘保护卡自身关键数据的安全保护方法[J].武汉工业学院学报,2010(1)53-56.
[8] 洪德荣.还原卡的防穿透程序设计[J].黎明职业大学学报,2010(1):49-50.
关键词:还原卡;还原技术;穿透技术;病毒
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2011)35-0000-0c
Technical Research of Recovery Card Penetration Problem
KANG Jin-cui
(Department of Computer, Shijiazhuang University, Shijiazhuang 050035, China)
Abstract: The author analyses the technical principle of recovery card and the fundamental principle of the penetrating viruses. And technology from many areas through in-depth research. At the same time technical improvements to the recovery card has some theoretical significance.
Key words: recovery card; decompression technology; penetration technique; viruses
目前,计算机机房是各高校计算机教学和实验的重要场所,它除了承担着全校各院系学生的上机任务外,还承担了各种计算机培训、考试和科研等任务。为了减轻机房维护人员繁琐的工作,计算机机房都使用了还原卡。还原卡可以使电脑在遭到破坏时,将系统还原到初始的状态。这种破坏包括有意无意的删除、破坏系统文件,以及各种病毒和木马的攻击。只要重新启动计算机,系统就会恢复到系统原来的状态,对计算机机房的计算机起到了很好的保护作用,给我们机房维护人员带来了极大的方便。但目前网上流传一种"机器狗"的病毒(Trojan/Agent.pgz),此病毒可以穿透各种还原卡及还原软件,它是一种木马下载器,系统感染该病毒后会自动连接网络并从网络上下载木马、病毒,给用户帐号的安全带来了威胁。从还原卡的技术原理及还原系统穿透技术来阐述病毒是如何穿透还原卡的。
1 还原卡的技术原理
硬盘还原卡是一种PCI扩展卡,主要功能就是当硬盘数据遭到破坏时对其进行还原,也就是保护硬盘数据。还原卡其实就是一硬件芯片,它与硬盘的主引导扇区MBR协同工作,它加载驱动的方式,很像dos下的引导型病毒:首先是接管BIOS(基本输入输出系统)的INT13中断,然后备份FAT(文件分区表)、引导区、CMOS信息,以及中断向量表等信息,并把它们保存在硬盘的保留扇区中,用它自带的中断向量表替换调原始的中断向量表。当我们向硬盘写数据时,便会将地址重定向到原来的空间。对于还原技术来说,原理都是一样的,只是各还原卡厂家采用的方法不同而已。还原卡是通过一层磁盘过滤驱动实现系统还原的。这层过滤驱动嵌入在文件系统和磁盘驱动之间。通常情况下Windows操作系统以及各种应用程序必须经过磁盘过滤驱动才能对硬盘进行访问。磁盘过滤驱动并不真正改写原来的数据,而是把所有的磁盘R/W都映射到缓冲区中,这样就实现了系统还原。还原系统必须先于操作系统启动来获取引导权,才能够达到控制和保护磁盘的目的。为了能够在Windows操作系统启动之前得到执行权,还原系统需要在硬盘的第0磁头0磁道的第1个扇区(MBR)写入自己的代码,而把硬盘原来的MBR的数据保存在其它的扇区中。还原系统修改中断INT 13H入口后,还会修改其它的一些中断入口。并监控INT 13H的入口地址,数据一旦有变化就立刻把它恢复成原来的数据。这些代码可以完成以下操作:
1) 对所有INT 13H对硬盘的MBR的操作进行拦截,包括R/W操作,所有对硬盘的第0磁头0磁道的第1个扇区的操作并没有真正修改,而是把它转移到还原程序备份的那个扇区进行。这时如果我们查看主引导区数据,就会发我现我们所看到的是那个备份的主引导区数据。这即防止了那些别有用心的人读出来进行破解又保护了还原代码不被破坏。
2) 对所有INT 13H对硬盘的写操作进行拦截,包括INT 13H的写操作和扩展INT 13H的写操作。对于8G以下的小硬盘是基于磁头、磁道、扇区定位的INT 13H的操作,而对大硬盘则是基于扇区地址方式的扩展INT13H操作。当然也包括其它接口的硬盘的扩展INT13H写操作。拦截以后还要对硬盘进行必要的写操作,如对虚拟内存的操作,并做一记录,直到操作系统重新启动后,这一记录就会被还原。
3)对70H,71H端口中的内容备份。比较备份的内容与最后一次执行70H,71H端口时的内容,如果不一致的话,就提示BIOS已经被修改,是否还原,以及是否修改BIOS,是否通过密码验证等信息。
2 穿透还原系统技术
还原系统是靠数据保护和还原技术为基础的对计算机运行和数据进行安全防护的产品。它分软件还原和硬件还原。还原卡是通过磁盘设备过滤驱动实现还原的,所以严格来说也是软件还原,只不过是利用了PCI板块承载BOOTROOM,比软件还原获得系统控制权的时间要早一些罢了。这样还原卡就可以很顺利地建立一个磁盘卷设备,并通过它上面的过滤驱动进行文件过滤。过滤驱动是在计算机启动的过程中加载的,并从内核层保护文件不被修改。实际上我们对硬盘的操作并没有改变硬盘上的数据,只是改变了还原卡虚拟空间的数据。当Windows重新启动后硬盘数据被还原。如果我们断开附在物理设备对象上的过滤驱动程序,让系统的过滤驱动失效,就可以对物理磁盘设备发送把磁盘读写请求,还原就被直接穿透了,还原卡也就丧失了保护功能。还原系统通常无法拦截端口的输入输出操作,它所能拦截的只是中断操作。因此通过对端口输入输出操作完全可以实现对硬盘的写操作,也完全可以对屏蔽掉的MBR的关键部分进行读操作,大致概括为下列几种情况:
1) DR0设备过滤设备链摘链。这种方法实际上是摘除硬盘DR0上的一个过滤设备,它的核心是从设备对象栈断开附加于磁盘设备的文件系统过滤设备,它通过将磁盘设备对象中附加设备的域清零来实现。这样做的目的是清除过滤设备,从而导致还原系统设备被清除。由于没有了过滤设备,所有的请求就会直接到达磁盘设备,这样一来还原系统就被彻底攻破了。目前来说,我们的还原技术在这种技术面前还显得无能为力。虽是这样,这种技术也不是完全成熟的,也有它的缺陷:只能摘除硬盘DR0上的物理设备。如果文件请求先到达磁盘卷并且不被正确响应,这时摘除有可能对系统造成影响。
2)创建一个可作为磁盘卷挂载到文件系统上的磁盘设备,这个磁盘设备是虚拟的。并建立这个虚拟磁盘到真实磁盘的读写映射,保证对虚拟磁盘读写请求能被发送到下层设备。这种操作结果可以成功的穿透还原。
3)直接在用户模式穿透还原系统而不使用驱动程序。我们知道,通过磁盘管理系统提供的Pass Through指令,不用向磁盘发送直接请求,就可以获取磁盘信息,而且可以直接读写磁盘扇区。用户模式下,我们通过函数Devicelocontrel调用Pass Through指令发送请求的。在用户模式下之所以能够达成攻击是因为大多数还原系统对此过滤不严,甚至根本没有过滤而导致的。
除了上述方法之外,还可以直接操作端口(比如USB端口)驱动以及更底层的磁盘操作的方法,比如直接读写等,它的缺点是:实现起来难度较大,通用较麻烦。另外还有一种方法是摘除其它过滤设备,Attach到还原系统上,在磁盘管理系统还没有获得磁盘请求时,优先获得磁盘请求,从而穿透文件系统过滤层。
3 穿透病毒基本原理
该病毒之所以能成功绕开还原系统写入到硬盘中,就是因为它破坏了还原系统的控制权,从而使还原系统相应的数据还原能力丧失。它是采用了Hook系统的磁盘设备栈达到穿透目的的。针对Windows操作系统中文件物理地址,该病毒把恶意数据用覆盖的方式写入硬盘而不是把Windows操作系统中相应的文件替换成病毒,并且穿透不了注册表。电脑如果中了该病毒,就会自动连接internet,下载一些病毒和木马,这些病毒和木马再借助其它病毒进行传播(比如ARP),它的传播速度成几何倍数增长,很快就会阻塞网络,造成整个网络瘫痪,危害极大。
该病毒存在许多变种:有的病毒驱动文件很大,有的病毒驱动文件则很小;有的病毒安装驱动后会卸载删除,有的病毒安装驱动完毕后却不执行卸载删除操作;有的病毒采用UPX加壳的,有的病毒则不加壳;有的病毒调用系统文件夹dllcache下真实的系统文件运行,有的病毒则不调用系统文件夹dllcache下真实的系统文件运行;有的病毒只针对的是系统的“userinit.exe”文件,有的病毒针对的则是系统的其它程序,如“ctfmon.exe”、“explorer.exe”和“eonime.exe”;有的病毒修改注册表项“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows NT\Current Version\Winlogon” (计算机重新启动后会被还原卡程序系统还原掉),有病毒对注册表没有进行任何操作;另外还有一些采用不同图标的病毒变种。有黑色机器小狗图案的,也有控制台程序图标图案。该类病毒会释放驱动程序pcihdd.sys,用物理直接读写的方式绕过还原卡监控并感染文件userinit.exe。我们知道,userinit.exe是操作系统核心的用户模式引导文件,它一旦被感染,说明还原卡也就失去了还原功能。其实,这时的还原卡程序系统并没有被破坏掉,还原卡的还原功能也没有真正失效,一般情况下病毒运行后只会对真实磁盘中的一个系统文件进行修改、覆盖操作,而不会再去破坏其它的文件。在计算机重新启动以后唯一没有被还原的就是这个被修改、覆盖的真实磁盘系统文件,而病毒运行后下载的那些恶意程序(它会安装并运行)都会被还原卡程序还原掉。计算机重新启动后,系统中依然有病毒在运行,它不是没有被还原,而是由被改写的引导文件重新下载回来的。
4 结束语
还原卡能够被病毒穿透与磁盘过滤驱动有关。还原卡之所以失去防御功能,是因为病毒用绝对偏移量的方式直接写硬盘操作,并且磁盘过滤驱动保护级别又不够高。针对机器狗病毒给还原卡的数据安全所带来的危机,还原卡厂商也都采取了各种防御措施和一些补救的方法,主要的方法就是打免疫补丁。由于道高一尺,魔高一丈,病毒不断出现变种,补丁要没完没了的打,给我们的管理带来了很多的不便。虽然一些机器狗专杀工具对机器狗之类的病毒起到了一定的防范作用,但理念却始终是被动的防范。要彻底防御与机器狗类似的各种穿透性病毒。还需从还原系统穿透技术方面去研究,因此,摆在我们面前课题任重而道远。
参考文献:
[1] 陈鹏宇.还原卡原理分析[J].四川理工学院学报,2005(3):108-101.
[2] 童长仁,许菱,罗家国.硬盘还原保护技术分析与实现[J].南方冶金学院学报,2005(8):55-58.
[3] 翁永平.机器狗病毒的预防与清除[J].电脑知识与技术,2008(3):54-56.
[4] 刘功中.计算机病毒及其防范技术[M].北京:清华大学出版社,2008:82-87.
[5] 曲大庆.浅谈计算机病毒与防范[J].大众科技,2009 (6):39-41.
[6] 郜激扬.穿透硬盘还原卡的病毒分析与预防[J].实验技术与管理,2009(8):92-94.
[7] 丰洪才,向云柱,刘奇.硬盘保护卡自身关键数据的安全保护方法[J].武汉工业学院学报,2010(1)53-56.
[8] 洪德荣.还原卡的防穿透程序设计[J].黎明职业大学学报,2010(1):49-50.