詳解還原系統(tǒng)保護(hù)技術(shù)原理和攻防

　　還原系統(tǒng)技術(shù)原理

　　還原系統(tǒng)基本原理是磁盤(pán)設(shè)備過(guò)濾驅(qū)動(dòng)。比較常用方法是自己會(huì)建一個(gè)磁盤(pán)卷設(shè)備，在harddiskX進(jìn)行文件過(guò)濾。過(guò)濾驅(qū)動(dòng)如何做到還原?首先還原系統(tǒng)會(huì)在磁盤(pán)上分配一塊預(yù)留的區(qū)域，應(yīng)用程序以為他已經(jīng)寫(xiě)到真實(shí)磁盤(pán)，實(shí)際上被分配到一塊內(nèi)容區(qū)域里，真實(shí)磁盤(pán)根本就沒(méi)有被寫(xiě)入。

　　還原系統(tǒng)脆弱的原因是通過(guò)磁盤(pán)設(shè)備上的過(guò)濾驅(qū)動(dòng)，也就是說(shuō)跟磁盤(pán)設(shè)備沒(méi)有緊密聯(lián)系，只要被攻擊者使用摘除或者繞過(guò)方法就可以把磁盤(pán)請(qǐng)求發(fā)送到真實(shí)磁盤(pán)上。

　　穿透基本原理

　　必須使讀寫(xiě)請(qǐng)求不經(jīng)過(guò)還原系統(tǒng)物理驅(qū)動(dòng)，而是到了下層的物理磁盤(pán)設(shè)備。這里就有一 個(gè)穿透思路，一個(gè)磁盤(pán)請(qǐng)求是從上層逐層發(fā)布到下層，只要監(jiān)控發(fā)送路徑，進(jìn)行對(duì)比操作，就可以作為一個(gè)還原穿透的角色。

　　穿透還原系統(tǒng)，實(shí)施進(jìn)行網(wǎng)絡(luò)攻擊

　　知道原理之后對(duì)如何穿透還原也就很簡(jiǎn)單了，既然還原系統(tǒng)都在磁盤(pán)上過(guò)濾驅(qū)動(dòng)，只要我們解除過(guò)濾驅(qū)動(dòng)與真實(shí)磁盤(pán)之間的關(guān)系，繞過(guò)過(guò)濾關(guān)系的話，就等于直接穿透了還原。不外忽有以下三種情況：

　　一、DR0設(shè)備過(guò)濾設(shè)備鏈摘鏈。這種方法其實(shí)就是摘除一個(gè)harddiskDR0上的過(guò)濾設(shè)備。指明設(shè)備上會(huì)有哪些過(guò)濾設(shè)備，第一代機(jī)器狗病毒將這個(gè)域給清零，導(dǎo)致還原系統(tǒng)設(shè)備被清除，所有請(qǐng)求就不通過(guò)還原系統(tǒng)直接到達(dá)過(guò)濾磁盤(pán)設(shè)備。對(duì)于沒(méi)有防備的還原系統(tǒng)就被成功攻破了。國(guó)內(nèi)大部分還原系統(tǒng)都沒(méi)有辦法對(duì)抗這種技術(shù)。但是這種技術(shù)也是有一些 缺陷的，只能摘除在DR0上的物理設(shè)備。文件請(qǐng)求先到達(dá)磁盤(pán)卷，磁盤(pán)卷上的過(guò)濾設(shè)備摘除的話對(duì)系統(tǒng)有影響。所以機(jī)器狗病毒使用了自己解析文件系統(tǒng)方式進(jìn)行感染，來(lái)實(shí)施進(jìn)行網(wǎng)絡(luò)攻擊。

　　二、會(huì)自己創(chuàng)建虛擬磁盤(pán)設(shè)備，作為磁盤(pán)卷掛載到文件系統(tǒng)上，對(duì)虛擬磁盤(pán)讀寫(xiě)影射到真實(shí)磁盤(pán)，將請(qǐng) 求下發(fā)到下層設(shè)備。相對(duì)機(jī)器狗來(lái)說(shuō)，這種方法不需要對(duì)磁盤(pán)系統(tǒng)摘除，可以通過(guò)文件對(duì)虛擬磁盤(pán)操作，操作結(jié)果是和對(duì)真實(shí)磁盤(pán)操作是一樣的，可以成功穿透還原。在這里還用一種方式就是他沒(méi)有直接發(fā)送磁盤(pán)讀寫(xiě)請(qǐng)求，發(fā)送SCSI-REQUEST-BLOCK下發(fā)到下層磁盤(pán)設(shè)備。

　　三、不使用驅(qū)動(dòng)程序，直接在用戶模式穿透還原系統(tǒng)。磁盤(pán)系統(tǒng)提供一套passthrough指令，不向磁盤(pán)發(fā)送直接請(qǐng)求，就可以獲取磁盤(pán)信息 甚至直接讀寫(xiě)磁盤(pán)扇區(qū)。IDE/SCSI/ATA Pass Through指令穿透還原，RING3下使用Devicelocontrel函數(shù)發(fā)送請(qǐng)求。大多數(shù)還原系統(tǒng)對(duì)此過(guò)濾不嚴(yán)或根本未過(guò)濾，導(dǎo)致在RING3 下即可達(dá)成攻擊。

　　還原系統(tǒng)防御

　　我們知道網(wǎng)吧/公共場(chǎng)所幾乎100%安裝了還原設(shè)備，一旦還原系統(tǒng)被穿透的話，后果不堪設(shè)想，可見(jiàn)還原系統(tǒng)對(duì)網(wǎng)絡(luò)完全是很重要的，主動(dòng)防御更為主要。

　　一、更底層的磁盤(pán)讀寫(xiě)監(jiān)視。他們開(kāi)發(fā)起來(lái)難度比較大，短期內(nèi)沒(méi)有辦法形成比較大的規(guī)模。GuardField這套系統(tǒng)如果有一定時(shí)間可以進(jìn)行修改的 話，還是可以用現(xiàn)有系統(tǒng)兼容，對(duì)磁盤(pán)底盤(pán)操作進(jìn)行監(jiān)視。它的好處就是可以更早的監(jiān)視

　　二、脫鉤，可以適量的自我保護(hù)、恢復(fù)。如果攻擊者對(duì)防御者產(chǎn)生一些針對(duì)性攻擊，等于攻擊者容易落入一個(gè)被動(dòng)捱打的 局面。如果已經(jīng)到脫鉤了，說(shuō)明攻擊者已經(jīng)比較窮了。還原系統(tǒng)在軟件方面的對(duì)抗應(yīng)該是沒(méi)有止境的。

　　三、行為管理預(yù)防

　　1、建立良好的安全習(xí)慣，不打開(kāi)可疑郵件和可疑網(wǎng)站;

　　2、很多病毒利用漏洞傳播，一定要及時(shí)給系統(tǒng)打補(bǔ)丁;

　　3、安裝專(zhuān)業(yè)的防毒軟件升級(jí)到最新版本，并打開(kāi)實(shí)時(shí)監(jiān)控程序;

　　4、為本機(jī)管理員賬號(hào)設(shè)置較為復(fù)雜的密碼，預(yù)防病毒通過(guò)密碼猜測(cè)進(jìn)行傳播。

　　5、打開(kāi)防護(hù)中心開(kāi)啟全部防護(hù)，防止病毒通過(guò)IE漏洞等侵入計(jì)算機(jī)。

　　還原系統(tǒng)未來(lái)趨勢(shì)

　　我們現(xiàn)在有GuardField的保護(hù)，惡意攻擊者肯定會(huì)開(kāi)發(fā)出一些新的更新，對(duì)抗GuardField。他 們可能會(huì)使用哪些手段，猜測(cè)主要有兩方面：第一，更底層或者更新的磁盤(pán)讀寫(xiě)技術(shù)，繞過(guò)磁盤(pán)IRP分析，直接寫(xiě)入磁盤(pán)。第二，針對(duì)GuardField本身 的工具，對(duì)GuardField進(jìn)行破壞、脫鉤。發(fā)布之后，大概不到兩天時(shí)間就有新的驅(qū)動(dòng)出來(lái)，對(duì)我們GuardField脫鉤。

　　由此可見(jiàn)，在防御體系下，安全運(yùn)行維護(hù)的理念也發(fā)生了改變，運(yùn)行機(jī)制由原來(lái)的救火隊(duì)轉(zhuǎn)變?yōu)橹鲃?dòng)出擊。如果我們使用完全的主動(dòng)防御技術(shù)，充分利用還原系統(tǒng)保護(hù)技術(shù)，我們將會(huì)遠(yuǎn)離網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]