詳解還原系統保護技術原理和攻防

　　還原系統技術原理

　　還原系統基本原理是磁盤設備過濾驅動。比較常用方法是自己會建一個磁盤卷設備，在harddiskX進行文件過濾。過濾驅動如何做到還原?首先還原系統會在磁盤上分配一塊預留的區域，應用程序以為他已經寫到真實磁盤，實際上被分配到一塊內容區域里，真實磁盤根本就沒有被寫入。

　　還原系統脆弱的原因是通過磁盤設備上的過濾驅動，也就是說跟磁盤設備沒有緊密聯系，只要被攻擊者使用摘除或者繞過方法就可以把磁盤請求發送到真實磁盤上。

　　穿透基本原理

　　必須使讀寫請求不經過還原系統物理驅動，而是到了下層的物理磁盤設備。這里就有一 個穿透思路，一個磁盤請求是從上層逐層發布到下層，只要監控發送路徑，進行對比操作，就可以作為一個還原穿透的角色。

　　穿透還原系統，實施進行網絡攻擊

　　知道原理之后對如何穿透還原也就很簡單了，既然還原系統都在磁盤上過濾驅動，只要我們解除過濾驅動與真實磁盤之間的關系，繞過過濾關系的話，就等于直接穿透了還原。不外忽有以下三種情況：

　　一、DR0設備過濾設備鏈摘鏈。這種方法其實就是摘除一個harddiskDR0上的過濾設備。指明設備上會有哪些過濾設備，第一代機器狗病毒將這個域給清零，導致還原系統設備被清除，所有請求就不通過還原系統直接到達過濾磁盤設備。對于沒有防備的還原系統就被成功攻破了。國內大部分還原系統都沒有辦法對抗這種技術。但是這種技術也是有一些 缺陷的，只能摘除在DR0上的物理設備。文件請求先到達磁盤卷，磁盤卷上的過濾設備摘除的話對系統有影響。所以機器狗病毒使用了自己解析文件系統方式進行感染，來實施進行網絡攻擊。

　　二、會自己創建虛擬磁盤設備，作為磁盤卷掛載到文件系統上，對虛擬磁盤讀寫影射到真實磁盤，將請 求下發到下層設備。相對機器狗來說，這種方法不需要對磁盤系統摘除，可以通過文件對虛擬磁盤操作，操作結果是和對真實磁盤操作是一樣的，可以成功穿透還原。在這里還用一種方式就是他沒有直接發送磁盤讀寫請求，發送SCSI-REQUEST-BLOCK下發到下層磁盤設備。

　　三、不使用驅動程序，直接在用戶模式穿透還原系統。磁盤系統提供一套passthrough指令，不向磁盤發送直接請求，就可以獲取磁盤信息 甚至直接讀寫磁盤扇區。IDE/SCSI/ATA Pass Through指令穿透還原，RING3下使用Devicelocontrel函數發送請求。大多數還原系統對此過濾不嚴或根本未過濾，導致在RING3 下即可達成攻擊。

　　還原系統防御

　　我們知道網吧/公共場所幾乎100%安裝了還原設備，一旦還原系統被穿透的話，后果不堪設想，可見還原系統對網絡完全是很重要的，主動防御更為主要。

　　一、更底層的磁盤讀寫監視。他們開發起來難度比較大，短期內沒有辦法形成比較大的規模。GuardField這套系統如果有一定時間可以進行修改的 話，還是可以用現有系統兼容，對磁盤底盤操作進行監視。它的好處就是可以更早的監視

　　二、脫鉤，可以適量的自我保護、恢復。如果攻擊者對防御者產生一些針對性攻擊，等于攻擊者容易落入一個被動捱打的 局面。如果已經到脫鉤了，說明攻擊者已經比較窮了。還原系統在軟件方面的對抗應該是沒有止境的。

　　三、行為管理預防

　　1、建立良好的安全習慣，不打開可疑郵件和可疑網站;

　　2、很多病毒利用漏洞傳播，一定要及時給系統打補丁;

　　3、安裝專業的防毒軟件升級到最新版本，并打開實時監控程序;

　　4、為本機管理員賬號設置較為復雜的密碼，預防病毒通過密碼猜測進行傳播。

　　5、打開防護中心開啟全部防護，防止病毒通過IE漏洞等侵入計算機。

　　還原系統未來趨勢

　　我們現在有GuardField的保護，惡意攻擊者肯定會開發出一些新的更新，對抗GuardField。他 們可能會使用哪些手段，猜測主要有兩方面：第一，更底層或者更新的磁盤讀寫技術，繞過磁盤IRP分析，直接寫入磁盤。第二，針對GuardField本身 的工具，對GuardField進行破壞、脫鉤。發布之后，大概不到兩天時間就有新的驅動出來，對我們GuardField脫鉤。

　　由此可見，在防御體系下，安全運行維護的理念也發生了改變，運行機制由原來的救火隊轉變為主動出擊。如果我們使用完全的主動防御技術，充分利用還原系統保護技術，我們將會遠離網絡安全風險。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]