詳解還原系統(tǒng)保護(hù)技術(shù)原理和攻防 |
發(fā)布時間: 2012/7/4 15:30:15 |
系統(tǒng)的還原點如果還原的時候不起作用了,還是還原時出了別的問題?難道系統(tǒng)還原只是一個擺設(shè)? 它究竟要如何使用,才能達(dá)到我們所想要的一種結(jié)果?使用還原系統(tǒng)環(huán)境的用戶一般都不會安裝其他的防護(hù)軟件,一旦還原軟件被穿透的話,會帶來比較大的安全威脅。
還原系統(tǒng)技術(shù)原理 還原系統(tǒng)基本原理是磁盤設(shè)備過濾驅(qū)動。比較常用方法是自己會建一個磁盤卷設(shè)備,在harddiskX進(jìn)行文件過濾。過濾驅(qū)動如何做到還原?首先還原系統(tǒng)會在磁盤上分配一塊預(yù)留的區(qū)域,應(yīng)用程序以為他已經(jīng)寫到真實磁盤,實際上被分配到一塊內(nèi)容區(qū)域里,真實磁盤根本就沒有被寫入。 還原系統(tǒng)脆弱的原因是通過磁盤設(shè)備上的過濾驅(qū)動,也就是說跟磁盤設(shè)備沒有緊密聯(lián)系,只要被攻擊者使用摘除或者繞過方法就可以把磁盤請求發(fā)送到真實磁盤上。 穿透基本原理 必須使讀寫請求不經(jīng)過還原系統(tǒng)物理驅(qū)動,而是到了下層的物理磁盤設(shè)備。這里就有一 個穿透思路,一個磁盤請求是從上層逐層發(fā)布到下層,只要監(jiān)控發(fā)送路徑,進(jìn)行對比操作,就可以作為一個還原穿透的角色。 穿透還原系統(tǒng),實施進(jìn)行網(wǎng)絡(luò)攻擊 知道原理之后對如何穿透還原也就很簡單了,既然還原系統(tǒng)都在磁盤上過濾驅(qū)動,只要我們解除過濾驅(qū)動與真實磁盤之間的關(guān)系,繞過過濾關(guān)系的話,就等于直接穿透了還原。不外忽有以下三種情況: 一、DR0設(shè)備過濾設(shè)備鏈摘鏈。這種方法其實就是摘除一個harddiskDR0上的過濾設(shè)備。指明設(shè)備上會有哪些過濾設(shè)備,第一代機(jī)器狗病毒將這個域給清零,導(dǎo)致還原系統(tǒng)設(shè)備被清除,所有請求就不通過還原系統(tǒng)直接到達(dá)過濾磁盤設(shè)備。對于沒有防備的還原系統(tǒng)就被成功攻破了。國內(nèi)大部分還原系統(tǒng)都沒有辦法對抗這種技術(shù)。但是這種技術(shù)也是有一些 缺陷的,只能摘除在DR0上的物理設(shè)備。文件請求先到達(dá)磁盤卷,磁盤卷上的過濾設(shè)備摘除的話對系統(tǒng)有影響。所以機(jī)器狗病毒使用了自己解析文件系統(tǒng)方式進(jìn)行感染,來實施進(jìn)行網(wǎng)絡(luò)攻擊。 二、會自己創(chuàng)建虛擬磁盤設(shè)備,作為磁盤卷掛載到文件系統(tǒng)上,對虛擬磁盤讀寫影射到真實磁盤,將請 求下發(fā)到下層設(shè)備。相對機(jī)器狗來說,這種方法不需要對磁盤系統(tǒng)摘除,可以通過文件對虛擬磁盤操作,操作結(jié)果是和對真實磁盤操作是一樣的,可以成功穿透還原。在這里還用一種方式就是他沒有直接發(fā)送磁盤讀寫請求,發(fā)送SCSI-REQUEST-BLOCK下發(fā)到下層磁盤設(shè)備。 三、不使用驅(qū)動程序,直接在用戶模式穿透還原系統(tǒng)。磁盤系統(tǒng)提供一套passthrough指令,不向磁盤發(fā)送直接請求,就可以獲取磁盤信息 甚至直接讀寫磁盤扇區(qū)。IDE/SCSI/ATA Pass Through指令穿透還原,RING3下使用Devicelocontrel函數(shù)發(fā)送請求。大多數(shù)還原系統(tǒng)對此過濾不嚴(yán)或根本未過濾,導(dǎo)致在RING3 下即可達(dá)成攻擊。 還原系統(tǒng)防御 我們知道網(wǎng)吧/公共場所幾乎100%安裝了還原設(shè)備,一旦還原系統(tǒng)被穿透的話,后果不堪設(shè)想,可見還原系統(tǒng)對網(wǎng)絡(luò)完全是很重要的,主動防御更為主要。 一、更底層的磁盤讀寫監(jiān)視。他們開發(fā)起來難度比較大,短期內(nèi)沒有辦法形成比較大的規(guī)模。GuardField這套系統(tǒng)如果有一定時間可以進(jìn)行修改的 話,還是可以用現(xiàn)有系統(tǒng)兼容,對磁盤底盤操作進(jìn)行監(jiān)視。它的好處就是可以更早的監(jiān)視 二、脫鉤,可以適量的自我保護(hù)、恢復(fù)。如果攻擊者對防御者產(chǎn)生一些針對性攻擊,等于攻擊者容易落入一個被動捱打的 局面。如果已經(jīng)到脫鉤了,說明攻擊者已經(jīng)比較窮了。還原系統(tǒng)在軟件方面的對抗應(yīng)該是沒有止境的。 三、行為管理預(yù)防 1、建立良好的安全習(xí)慣,不打開可疑郵件和可疑網(wǎng)站; 2、很多病毒利用漏洞傳播,一定要及時給系統(tǒng)打補(bǔ)丁; 3、安裝專業(yè)的防毒軟件升級到最新版本,并打開實時監(jiān)控程序; 4、為本機(jī)管理員賬號設(shè)置較為復(fù)雜的密碼,預(yù)防病毒通過密碼猜測進(jìn)行傳播。 5、打開防護(hù)中心開啟全部防護(hù),防止病毒通過IE漏洞等侵入計算機(jī)。 還原系統(tǒng)未來趨勢 我們現(xiàn)在有GuardField的保護(hù),惡意攻擊者肯定會開發(fā)出一些新的更新,對抗GuardField。他 們可能會使用哪些手段,猜測主要有兩方面:第一,更底層或者更新的磁盤讀寫技術(shù),繞過磁盤IRP分析,直接寫入磁盤。第二,針對GuardField本身 的工具,對GuardField進(jìn)行破壞、脫鉤。發(fā)布之后,大概不到兩天時間就有新的驅(qū)動出來,對我們GuardField脫鉤。 由此可見,在防御體系下,安全運行維護(hù)的理念也發(fā)生了改變,運行機(jī)制由原來的救火隊轉(zhuǎn)變?yōu)橹鲃映鰮。如果我們使用完全的主動防御技術(shù),充分利用還原系統(tǒng)保護(hù)技術(shù),我們將會遠(yuǎn)離網(wǎng)絡(luò)安全風(fēng)險。 本文出自:億恩科技【mszdt.com】 服務(wù)器租用/服務(wù)器托管中國五強(qiáng)!虛擬主機(jī)域名注冊頂級提供商!15年品質(zhì)保障!--億恩科技[ENKJ.COM] |