詳解還原系統(tǒng)保護(hù)技術(shù)原理和攻防

　　還原系統(tǒng)技術(shù)原理

　　還原系統(tǒng)基本原理是磁盤設(shè)備過濾驅(qū)動。比較常用方法是自己會建一個磁盤卷設(shè)備，在harddiskX進(jìn)行文件過濾。過濾驅(qū)動如何做到還原?首先還原系統(tǒng)會在磁盤上分配一塊預(yù)留的區(qū)域，應(yīng)用程序以為他已經(jīng)寫到真實磁盤，實際上被分配到一塊內(nèi)容區(qū)域里，真實磁盤根本就沒有被寫入。

　　還原系統(tǒng)脆弱的原因是通過磁盤設(shè)備上的過濾驅(qū)動，也就是說跟磁盤設(shè)備沒有緊密聯(lián)系，只要被攻擊者使用摘除或者繞過方法就可以把磁盤請求發(fā)送到真實磁盤上。

　　穿透基本原理

　　必須使讀寫請求不經(jīng)過還原系統(tǒng)物理驅(qū)動，而是到了下層的物理磁盤設(shè)備。這里就有一 個穿透思路，一個磁盤請求是從上層逐層發(fā)布到下層，只要監(jiān)控發(fā)送路徑，進(jìn)行對比操作，就可以作為一個還原穿透的角色。

　　穿透還原系統(tǒng)，實施進(jìn)行網(wǎng)絡(luò)攻擊

　　知道原理之后對如何穿透還原也就很簡單了，既然還原系統(tǒng)都在磁盤上過濾驅(qū)動，只要我們解除過濾驅(qū)動與真實磁盤之間的關(guān)系，繞過過濾關(guān)系的話，就等于直接穿透了還原。不外忽有以下三種情況：

　　一、DR0設(shè)備過濾設(shè)備鏈摘鏈。這種方法其實就是摘除一個harddiskDR0上的過濾設(shè)備。指明設(shè)備上會有哪些過濾設(shè)備，第一代機(jī)器狗病毒將這個域給清零，導(dǎo)致還原系統(tǒng)設(shè)備被清除，所有請求就不通過還原系統(tǒng)直接到達(dá)過濾磁盤設(shè)備。對于沒有防備的還原系統(tǒng)就被成功攻破了。國內(nèi)大部分還原系統(tǒng)都沒有辦法對抗這種技術(shù)。但是這種技術(shù)也是有一些 缺陷的，只能摘除在DR0上的物理設(shè)備。文件請求先到達(dá)磁盤卷，磁盤卷上的過濾設(shè)備摘除的話對系統(tǒng)有影響。所以機(jī)器狗病毒使用了自己解析文件系統(tǒng)方式進(jìn)行感染，來實施進(jìn)行網(wǎng)絡(luò)攻擊。

　　二、會自己創(chuàng)建虛擬磁盤設(shè)備，作為磁盤卷掛載到文件系統(tǒng)上，對虛擬磁盤讀寫影射到真實磁盤，將請 求下發(fā)到下層設(shè)備。相對機(jī)器狗來說，這種方法不需要對磁盤系統(tǒng)摘除，可以通過文件對虛擬磁盤操作，操作結(jié)果是和對真實磁盤操作是一樣的，可以成功穿透還原。在這里還用一種方式就是他沒有直接發(fā)送磁盤讀寫請求，發(fā)送SCSI-REQUEST-BLOCK下發(fā)到下層磁盤設(shè)備。

　　三、不使用驅(qū)動程序，直接在用戶模式穿透還原系統(tǒng)。磁盤系統(tǒng)提供一套passthrough指令，不向磁盤發(fā)送直接請求，就可以獲取磁盤信息 甚至直接讀寫磁盤扇區(qū)。IDE/SCSI/ATA Pass Through指令穿透還原，RING3下使用Devicelocontrel函數(shù)發(fā)送請求。大多數(shù)還原系統(tǒng)對此過濾不嚴(yán)或根本未過濾，導(dǎo)致在RING3 下即可達(dá)成攻擊。

　　還原系統(tǒng)防御

　　我們知道網(wǎng)吧/公共場所幾乎100%安裝了還原設(shè)備，一旦還原系統(tǒng)被穿透的話，后果不堪設(shè)想，可見還原系統(tǒng)對網(wǎng)絡(luò)完全是很重要的，主動防御更為主要。

　　一、更底層的磁盤讀寫監(jiān)視。他們開發(fā)起來難度比較大，短期內(nèi)沒有辦法形成比較大的規(guī)模。GuardField這套系統(tǒng)如果有一定時間可以進(jìn)行修改的 話，還是可以用現(xiàn)有系統(tǒng)兼容，對磁盤底盤操作進(jìn)行監(jiān)視。它的好處就是可以更早的監(jiān)視

　　二、脫鉤，可以適量的自我保護(hù)、恢復(fù)。如果攻擊者對防御者產(chǎn)生一些針對性攻擊，等于攻擊者容易落入一個被動捱打的 局面。如果已經(jīng)到脫鉤了，說明攻擊者已經(jīng)比較窮了。還原系統(tǒng)在軟件方面的對抗應(yīng)該是沒有止境的。

　　三、行為管理預(yù)防

　　1、建立良好的安全習(xí)慣，不打開可疑郵件和可疑網(wǎng)站;

　　2、很多病毒利用漏洞傳播，一定要及時給系統(tǒng)打補(bǔ)丁;

　　3、安裝專業(yè)的防毒軟件升級到最新版本，并打開實時監(jiān)控程序;

　　4、為本機(jī)管理員賬號設(shè)置較為復(fù)雜的密碼，預(yù)防病毒通過密碼猜測進(jìn)行傳播。

　　5、打開防護(hù)中心開啟全部防護(hù)，防止病毒通過IE漏洞等侵入計算機(jī)。

　　還原系統(tǒng)未來趨勢

　　我們現(xiàn)在有GuardField的保護(hù)，惡意攻擊者肯定會開發(fā)出一些新的更新，對抗GuardField。他 們可能會使用哪些手段，猜測主要有兩方面：第一，更底層或者更新的磁盤讀寫技術(shù)，繞過磁盤IRP分析，直接寫入磁盤。第二，針對GuardField本身 的工具，對GuardField進(jìn)行破壞、脫鉤。發(fā)布之后，大概不到兩天時間就有新的驅(qū)動出來，對我們GuardField脫鉤。

　　由此可見，在防御體系下，安全運行維護(hù)的理念也發(fā)生了改變，運行機(jī)制由原來的救火隊轉(zhuǎn)變?yōu)橹鲃映鰮�。如果我們使用完全的主動防御技術(shù)，充分利用還原系統(tǒng)保護(hù)技術(shù)，我們將會遠(yuǎn)離網(wǎng)絡(luò)安全風(fēng)險。

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)！虛擬主機(jī)域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]