還原卡穿透問題的技術(shù)研究

1、還原卡穿透問題的技術(shù)研究    摘要：分析了還原卡的技術(shù)原理以及穿透病毒的基本原理，并對(duì)穿透技術(shù)從多個(gè)方面進(jìn)行了深入研究。對(duì)還原卡技術(shù)改進(jìn)有一定的理論意義。 關(guān)鍵詞：還原卡；還原技術(shù)；穿透技術(shù)；病毒 中圖分類號(hào)：TP393    文獻(xiàn)標(biāo)識(shí)碼：A    文章編號(hào)：1009-3044(2011)35-0000-0c Technical Research of Recovery Card Penetration Problem KANG Jin-cui (Department of

2、 Computer, Shijiazhuang University, Shijiazhuang 050035, China) Abstract: The author analyses the technical principle of recovery card and the fundamental principle of the penetrating viruses. And technology from many areas through in-depth research. At the same time technical improvements to the re

3、covery card has some theoretical significance. Key words: recovery card; decompression technology; penetration technique; viruses 目前，計(jì)算機(jī)機(jī)房是各高校計(jì)算機(jī)教學(xué)和實(shí)驗(yàn)的重要場(chǎng)所，它除了承擔(dān)著全校各院系學(xué)生的上機(jī)任務(wù)外，還承擔(dān)了各種計(jì)算機(jī)培訓(xùn)、考試和科研等任務(wù)。為了減輕機(jī)房維護(hù)人員繁瑣的工作，計(jì)算機(jī)機(jī)房都使用了還原卡。還原卡可以使電腦在遭到破壞時(shí),將系統(tǒng)還原到初始的狀態(tài)。這種破壞包括有意無意的刪除、破壞系統(tǒng)文件，以及各種病毒和木馬的攻擊。只要重新啟動(dòng)計(jì)算機(jī)，系統(tǒng)就

4、會(huì)恢復(fù)到系統(tǒng)原來的狀態(tài)，對(duì)計(jì)算機(jī)機(jī)房的計(jì)算機(jī)起到了很好的保護(hù)作用，給我們機(jī)房維護(hù)人員帶來了極大的方便。但目前網(wǎng)上流傳一種"機(jī)器狗"的病毒（Trojan/Agent.pgz），此病毒可以穿透各種還原卡及還原軟件，它是一種木馬下載器，系統(tǒng)感染該病毒后會(huì)自動(dòng)連接網(wǎng)絡(luò)并從網(wǎng)絡(luò)上下載木馬、病毒，給用戶帳號(hào)的安全帶來了威脅。從還原卡的技術(shù)原理及還原系統(tǒng)穿透技術(shù)來闡述病毒是如何穿透還原卡的。 1 還原卡的技術(shù)原理 硬盤還原卡是一種PCI擴(kuò)展卡，主要功能就是當(dāng)硬盤數(shù)據(jù)遭到破壞時(shí)對(duì)其進(jìn)行還原，也就是保護(hù)硬盤數(shù)據(jù)。還原卡其實(shí)就是一硬件芯片，它與硬盤的主引導(dǎo)扇區(qū)MBR協(xié)同工作，它加載驅(qū)動(dòng)的方式，

5、很像dos下的引導(dǎo)型病毒：首先是接管BIOS（基本輸入輸出系統(tǒng)）的INT13中斷，然后備份FAT（文件分區(qū)表）、引導(dǎo)區(qū)、CMOS信息，以及中斷向量表等信息，并把它們保存在硬盤的保留扇區(qū)中，用它自帶的中斷向量表替換調(diào)原始的中斷向量表。當(dāng)我們向硬盤寫數(shù)據(jù)時(shí)，便會(huì)將地址重定向到原來的空間。對(duì)于還原技術(shù)來說，原理都是一樣的，只是各還原卡廠家采用的方法不同而已。還原卡是通過一層磁盤過濾驅(qū)動(dòng)實(shí)現(xiàn)系統(tǒng)還原的。這層過濾驅(qū)動(dòng)嵌入在文件系統(tǒng)和磁盤驅(qū)動(dòng)之間。通常情況下Windows操作系統(tǒng)以及各種應(yīng)用程序必須經(jīng)過磁盤過濾驅(qū)動(dòng)才能對(duì)硬盤進(jìn)行訪問。磁盤過濾驅(qū)動(dòng)并不真正改寫原來的數(shù)據(jù)，而是把所有的磁盤R/W都映射到緩沖區(qū)

6、中，這樣就實(shí)現(xiàn)了系統(tǒng)還原。還原系統(tǒng)必須先于操作系統(tǒng)啟動(dòng)來獲取引導(dǎo)權(quán)，才能夠達(dá)到控制和保護(hù)磁盤的目的。為了能夠在Windows操作系統(tǒng)啟動(dòng)之前得到執(zhí)行權(quán)，還原系統(tǒng)需要在硬盤的第0磁頭0磁道的第1個(gè)扇區(qū)（MBR）寫入自己的代碼，而把硬盤原來的MBR的數(shù)據(jù)保存在其它的扇區(qū)中。還原系統(tǒng)修改中斷INT 13H入口后，還會(huì)修改其它的一些中斷入口。并監(jiān)控INT 13H的入口地址，數(shù)據(jù)一旦有變化就立刻把它恢復(fù)成原來的數(shù)據(jù)。這些代碼可以完成以下操作： 1) 對(duì)所有INT 13H對(duì)硬盤的MBR的操作進(jìn)行攔截，包括R/W操作，所有對(duì)硬盤的第0磁頭0磁道的第1個(gè)扇區(qū)的操作并沒有真正修改，而是把它轉(zhuǎn)移到還原程序備份的那

7、個(gè)扇區(qū)進(jìn)行。這時(shí)如果我們查看主引導(dǎo)區(qū)數(shù)據(jù)，就會(huì)發(fā)我現(xiàn)我們所看到的是那個(gè)備份的主引導(dǎo)區(qū)數(shù)據(jù)。這即防止了那些別有用心的人讀出來進(jìn)行破解又保護(hù)了還原代碼不被破壞。 2) 對(duì)所有INT 13H對(duì)硬盤的寫操作進(jìn)行攔截，包括INT 13H的寫操作和擴(kuò)展INT 13H的寫操作。對(duì)于8G以下的小硬盤是基于磁頭、磁道、扇區(qū)定位的INT 13H的操作，而對(duì)大硬盤則是基于扇區(qū)地址方式的擴(kuò)展INT13H操作。當(dāng)然也包括其它接口的硬盤的擴(kuò)展INT13H寫操作。攔截以后還要對(duì)硬盤進(jìn)行必要的寫操作，如對(duì)虛擬內(nèi)存的操作，并做一記錄，直到操作系統(tǒng)重新啟動(dòng)后，這一記錄就會(huì)被還原。 3)對(duì)70H，71H端口中的內(nèi)容備份。比較備份的

8、內(nèi)容與最后一次執(zhí)行70H，71H端口時(shí)的內(nèi)容，如果不一致的話，就提示BIOS已經(jīng)被修改，是否還原，以及是否修改BIOS，是否通過密碼驗(yàn)證等信息。 2 穿透還原系統(tǒng)技術(shù) 還原系統(tǒng)是靠數(shù)據(jù)保護(hù)和還原技術(shù)為基礎(chǔ)的對(duì)計(jì)算機(jī)運(yùn)行和數(shù)據(jù)進(jìn)行安全防護(hù)的產(chǎn)品。它分軟件還原和硬件還原。還原卡是通過磁盤設(shè)備過濾驅(qū)動(dòng)實(shí)現(xiàn)還原的，所以嚴(yán)格來說也是軟件還原，只不過是利用了PCI板塊承載BOOTROOM，比軟件還原獲得系統(tǒng)控制權(quán)的時(shí)間要早一些罷了。這樣還原卡就可以很順利地建立一個(gè)磁盤卷設(shè)備，并通過它上面的過濾驅(qū)動(dòng)進(jìn)行文件過濾。過濾驅(qū)動(dòng)是在計(jì)算機(jī)啟動(dòng)的過程中加載的，并從內(nèi)核層保護(hù)文件不被修改。實(shí)際上我們對(duì)硬盤的操作并沒有改

9、變硬盤上的數(shù)據(jù)，只是改變了還原卡虛擬空間的數(shù)據(jù)。當(dāng)Windows重新啟動(dòng)后硬盤數(shù)據(jù)被還原。如果我們斷開附在物理設(shè)備對(duì)象上的過濾驅(qū)動(dòng)程序，讓系統(tǒng)的過濾驅(qū)動(dòng)失效，就可以對(duì)物理磁盤設(shè)備發(fā)送把磁盤讀寫請(qǐng)求，還原就被直接穿透了，還原卡也就喪失了保護(hù)功能。還原系統(tǒng)通常無法攔截端口的輸入輸出操作，它所能攔截的只是中斷操作。因此通過對(duì)端口輸入輸出操作完全可以實(shí)現(xiàn)對(duì)硬盤的寫操作，也完全可以對(duì)屏蔽掉的MBR的關(guān)鍵部分進(jìn)行讀操作，大致概括為下列幾種情況： 1) DR0設(shè)備過濾設(shè)備鏈摘鏈。這種方法實(shí)際上是摘除硬盤DR0上的一個(gè)過濾設(shè)備，它的核心是從設(shè)備對(duì)象棧斷開附加于磁盤設(shè)備的文件系統(tǒng)過濾設(shè)備，它通過將磁盤設(shè)備對(duì)象中

10、附加設(shè)備的域清零來實(shí)現(xiàn)。這樣做的目的是清除過濾設(shè)備，從而導(dǎo)致還原系統(tǒng)設(shè)備被清除。由于沒有了過濾設(shè)備，所有的請(qǐng)求就會(huì)直接到達(dá)磁盤設(shè)備，這樣一來還原系統(tǒng)就被徹底攻破了。目前來說，我們的還原技術(shù)在這種技術(shù)面前還顯得無能為力。雖是這樣，這種技術(shù)也不是完全成熟的，也有它的缺陷：只能摘除硬盤DR0上的物理設(shè)備。如果文件請(qǐng)求先到達(dá)磁盤卷并且不被正確響應(yīng)，這時(shí)摘除有可能對(duì)系統(tǒng)造成影響。 2）創(chuàng)建一個(gè)可作為磁盤卷掛載到文件系統(tǒng)上的磁盤設(shè)備，這個(gè)磁盤設(shè)備是虛擬的。并建立這個(gè)虛擬磁盤到真實(shí)磁盤的讀寫映射，保證對(duì)虛擬磁盤讀寫請(qǐng)求能被發(fā)送到下層設(shè)備。這種操作結(jié)果可以成功的穿透還原。 3）直接在用戶模式穿透還原系統(tǒng)而不使

11、用驅(qū)動(dòng)程序。我們知道，通過磁盤管理系統(tǒng)提供的Pass Through指令，不用向磁盤發(fā)送直接請(qǐng)求，就可以獲取磁盤信息，而且可以直接讀寫磁盤扇區(qū)。用戶模式下，我們通過函數(shù)Devicelocontrel調(diào)用Pass Through指令發(fā)送請(qǐng)求的。在用戶模式下之所以能夠達(dá)成攻擊是因?yàn)榇蠖鄶?shù)還原系統(tǒng)對(duì)此過濾不嚴(yán)，甚至根本沒有過濾而導(dǎo)致的。                      除了上述方法之外，還可以

12、直接操作端口（比如USB端口）驅(qū)動(dòng)以及更底層的磁盤操作的方法，比如直接讀寫等，它的缺點(diǎn)是：實(shí)現(xiàn)起來難度較大，通用較麻煩。另外還有一種方法是摘除其它過濾設(shè)備，Attach到還原系統(tǒng)上，在磁盤管理系統(tǒng)還沒有獲得磁盤請(qǐng)求時(shí)，優(yōu)先獲得磁盤請(qǐng)求，從而穿透文件系統(tǒng)過濾層。 3 穿透病毒基本原理 該病毒之所以能成功繞開還原系統(tǒng)寫入到硬盤中，就是因?yàn)樗茐牧诉€原系統(tǒng)的控制權(quán)，從而使還原系統(tǒng)相應(yīng)的數(shù)據(jù)還原能力喪失。它是采用了Hook系統(tǒng)的磁盤設(shè)備棧達(dá)到穿透目的的。針對(duì)Windows操作系統(tǒng)中文件物理地址，該病毒把惡意數(shù)據(jù)用覆蓋的方式寫入硬盤而不是把Windows操作系統(tǒng)中相應(yīng)的文件替換成病毒，并且穿透不了注冊(cè)表

13、。電腦如果中了該病毒，就會(huì)自動(dòng)連接internet，下載一些病毒和木馬，這些病毒和木馬再借助其它病毒進(jìn)行傳播（比如ARP），它的傳播速度成幾何倍數(shù)增長，很快就會(huì)阻塞網(wǎng)絡(luò)，造成整個(gè)網(wǎng)絡(luò)癱瘓，危害極大。 該病毒存在許多變種：有的病毒驅(qū)動(dòng)文件很大，有的病毒驅(qū)動(dòng)文件則很?。挥械牟《景惭b驅(qū)動(dòng)后會(huì)卸載刪除，有的病毒安裝驅(qū)動(dòng)完畢后卻不執(zhí)行卸載刪除操作；有的病毒采用UPX加殼的，有的病毒則不加殼；有的病毒調(diào)用系統(tǒng)文件夾dllcache下真實(shí)的系統(tǒng)文件運(yùn)行，有的病毒則不調(diào)用系統(tǒng)文件夾dllcache下真實(shí)的系統(tǒng)文件運(yùn)行；有的病毒只針對(duì)的是系統(tǒng)的“userinit.exe”文件，有的病毒針對(duì)的則是系統(tǒng)的其它程序，

14、如“ctfmon.exe”、“explorer.exe”和“eonime.exe”；有的病毒修改注冊(cè)表項(xiàng)“HKEY-LOCAL-MACHINESoftwareMicrosoftWindows NTCurrent VersionWinlogon” (計(jì)算機(jī)重新啟動(dòng)后會(huì)被還原卡程序系統(tǒng)還原掉)，有病毒對(duì)注冊(cè)表沒有進(jìn)行任何操作；另外還有一些采用不同圖標(biāo)的病毒變種。有黑色機(jī)器小狗圖案的，也有控制臺(tái)程序圖標(biāo)圖案。該類病毒會(huì)釋放驅(qū)動(dòng)程序pcihdd.sys，用物理直接讀寫的方式繞過還原卡監(jiān)控并感染文件userinit.exe。我們知道，userinit.exe是操作系統(tǒng)核心的用戶模式引導(dǎo)文件，它一旦被感染

15、，說明還原卡也就失去了還原功能。其實(shí)，這時(shí)的還原卡程序系統(tǒng)并沒有被破壞掉，還原卡的還原功能也沒有真正失效，一般情況下病毒運(yùn)行后只會(huì)對(duì)真實(shí)磁盤中的一個(gè)系統(tǒng)文件進(jìn)行修改、覆蓋操作，而不會(huì)再去破壞其它的文件。在計(jì)算機(jī)重新啟動(dòng)以后唯一沒有被還原的就是這個(gè)被修改、覆蓋的真實(shí)磁盤系統(tǒng)文件，而病毒運(yùn)行后下載的那些惡意程序（它會(huì)安裝并運(yùn)行）都會(huì)被還原卡程序還原掉。計(jì)算機(jī)重新啟動(dòng)后，系統(tǒng)中依然有病毒在運(yùn)行，它不是沒有被還原，而是由被改寫的引導(dǎo)文件重新下載回來的。 4 結(jié)束語 還原卡能夠被病毒穿透與磁盤過濾驅(qū)動(dòng)有關(guān)。還原卡之所以失去防御功能，是因?yàn)椴《居媒^對(duì)偏移量的方式直接寫硬盤操作，并且磁盤過濾驅(qū)動(dòng)保護(hù)級(jí)別又不

16、夠高。針對(duì)機(jī)器狗病毒給還原卡的數(shù)據(jù)安全所帶來的危機(jī)，還原卡廠商也都采取了各種防御措施和一些補(bǔ)救的方法，主要的方法就是打免疫補(bǔ)丁。由于道高一尺，魔高一丈，病毒不斷出現(xiàn)變種，補(bǔ)丁要沒完沒了的打，給我們的管理帶來了很多的不便。雖然一些機(jī)器狗專殺工具對(duì)機(jī)器狗之類的病毒起到了一定的防范作用，但理念卻始終是被動(dòng)的防范。要徹底防御與機(jī)器狗類似的各種穿透性病毒。還需從還原系統(tǒng)穿透技術(shù)方面去研究，因此，擺在我們面前課題任重而道遠(yuǎn)。 參考文獻(xiàn)： 1 陳鵬宇.還原卡原理分析J.四川理工學(xué)院學(xué)報(bào),2005(3):108-101. 2 童長仁,許菱,羅家國.硬盤還原保護(hù)技術(shù)分析與實(shí)現(xiàn)J.南方冶金學(xué)院學(xué)報(bào),2005(8):55-58. 3 翁永平.機(jī)器狗病毒的預(yù)防與清除J.電腦知識(shí)與技術(shù),2008(3):54-56. 4 劉功中.計(jì)算機(jī)病毒及其防范技術(shù)M.北京:清華大學(xué)出版社,2008:82-87. 5 曲大慶.淺談?dòng)?jì)算機(jī)病毒與防范J.大眾科技,2009 (6):39-41. 6 郜激揚(yáng).穿透硬盤還原卡的病毒分析與預(yù)防J.實(shí)驗(yàn)技術(shù)與管理,2009(8):92-94. 7 豐洪才,向云柱,劉奇.硬盤保護(hù)卡自身關(guān)鍵數(shù)據(jù)的安全保護(hù)方法J.武漢工業(yè)學(xué)院學(xué)報(bào),2010(1)53-56. 8 洪德榮.還原卡的防穿透程序設(shè)計(jì)J.黎明職業(yè)大學(xué)學(xué)報(bào)