防毒卡在计算机实验室机器狗病毒防范的应用
2012-08-15广州大学华软软件学院高清江
广州大学华软软件学院 高清江
防毒卡在计算机实验室机器狗病毒防范的应用
广州大学华软软件学院 高清江
高校计算机实验室的管理是一个重要的研究内容。本文从高校实验室计算机常见的保护卡失效问题出发,诠释了机器狗病毒的危害以及保护卡对其失效的原因;在此基础上提出了蓝心防毒卡在机器狗病毒防范上的应用,对高校实验室计算机的文件系统管理有着现实的指导意义。
计算机实验室;系统保护;机器狗病毒;防毒卡
目前,几乎所有高等学校各个专业都开设与计算机相关的基础课程,计算机在现代教学中的使用频率也越来越高,在教学中的辅助作用越来越大,机实验室已成为学生学习计算机课程和完成各种设计任务的重要实践场所,但计算机遭到人为破坏、误操作、感染计算机病毒等情况在实验室常会发生,尤其是机器狗病毒日益猖獗,又是无时不在、无孔不入的,使计算机不能正常运行,从而影响正常的教学实验任务。如何采取快速实用的方法,科学有效地使计算机系统不受机器狗病毒的破坏,创造稳定可靠的实验环境,是高校计算机实验室管理中面临的一个重要问题。
一、计算机实验室电脑难以管理的问题分析
机房维护的现状机房计算机维护是一项极为繁琐的工作。使用计算机,就一定会有损坏,由于笔者学校是一所软件学院,所以学校使用计算机的工作时间远远要高于其它院校,所以计算机的损坏率非常高。计算机损坏一般分为软件损坏和硬件损坏。对于硬件的损坏处理放法也只有更换硬件,而对于软件环境损坏笔者人为时主要是由人为和病毒(尤其机器狗病毒)造成的。
1.人为操作对系统文件的损坏
在教学过程中实验室里的电脑因为学生的误操作以及由于好奇所做的尝试性破坏,很容易造成系统无法启动或经常死机,如很多学生由于好奇心较强而喜欢删除操作系统的文件,设计系统参数,导致系统崩溃。有的学生在实验室的电脑加装游戏软件或是其它与教学无关的软件,计算机的软件环境、桌面等往往会改得面目全非从而使得电脑运行速度缓慢,影响了教学质量。自从有了还原软件(如还原精灵等)或还原卡(如三茗保护卡等)技术的出现,对于这种人为操作损坏一般的还原软件或还原卡都能够解决,它们可以瞬间恢复各种有意或无意导致的数据丢失。
2.机器狗病毒引起保护卡失效
过去大家在使用保护卡的过程中遇到过很多问题,其中最突出、最令人头疼的莫过于保护卡失效、无法保护的问题,这些问题大都是由保护卡被“机器狗”之类的病毒穿透引起的。通常人们把具有破坏作用的程序称为计算机病毒,是一种人为制造的、在计算机运行中对计算机信息或系统起破坏作用的程序。它既有破坏性,又有传染性和潜伏性。轻则影响机器运行速度,使机器不能正常运行;重则使机器处于瘫痪,会给用户带来不可估量的损失。病毒一直是计算机实验室管理的一大难题,特别是机器狗病毒,它对计算机实验室而言可以称为还原卡的第一杀手。保护卡一失效计算机的系统文件就很容易给病毒木马损坏而导致崩溃。
二、机器狗病毒对计算机实验室的危害性
1.机器狗的出现
机器狗就是剑指计算机实验室和网吧而来,针对所有的还原产品设计。曾经有很多人说有穿透还原卡、冰点的病毒,但是在各个论坛都没有样本证据,直到2007年8月29日终于有人在社区里贴出了一个样本。这个病毒没有名字,图标是SONY的机器狗阿宝,就像前辈熊猫烧香一样,大家给它起了个名字叫机器狗。此病毒采用hook系统的磁盘设备栈来达到穿透目的的,危害极大,可穿透一般的软件硬件还原,基本无法靠还原抵挡。目前已知的很多还原产品,都无法防止这种病毒的穿透感染和传播。
2.机器狗的工作原理
机器狗病毒运行后,会在%WinDir%System32drivers目录下释放出一个名为pcihdd.sys的驱动程序,pcihdd.sys是一个底层硬盘驱动,该文件会接管冰点或者硬盘保护卡对硬盘的读写操作,这样该病毒就破解了还原系统的保护,使冰点、硬盘保护卡失效。而机器狗本身就是一个木马下载器,接着,该病毒会利用MS06-014和MS07-017系统漏洞和等多个应用软件漏洞从恶意网站自动下载大量的病毒与恶意插件。然后修改接管启动管理器,最可怕的是,会通过内部网络传播,一台中招,能引发整个网络的电脑全部自动重启。
3.目前对机器狗病毒的处理方式
现在对机器狗病毒一般是给还原卡安装免疫补丁,如三茗保护卡现在就有专门针对机器狗病毒的补丁,或是在操作系统上安装杀毒软件。现在的免疫补丁之数是疫苗形式,以无害的样本复制到drivers下,欺骗病毒以为本身以运行,起到阻止危害的目的。这种形式的问题是,有些用户为了自身安全会在机器上运行一些查毒程序(比如QQ医生之类)。这样疫苗就会被误认为是病毒,又要废很多口舌。
三、普通还原卡为什么对机器狗病毒不起保护作用
保护卡不保护并不是保护卡还原算法本身出了问题,而是它所构建的保护机制被绕过去了,使得保护卡的驱动没有被运行,是其自身的安全性出了问题,传统的保护卡本质上也是一个软件,它必须依靠硬盘读写控制权的获得才能正常工作,而硬盘控制权的获得却恰恰是传统保护卡无法保障的,普通的还原卡,物理上不直接接管硬盘读写;如:增霸卡、海光蓝卡、小哨兵还原卡、三茗还原卡等。产品形式是一个扩展卡,但是跟硬盘没有直接的关系。普通还原卡安装在主板插槽里,在卡上有一片ROM芯片,根据PCI规范,该ROM芯片的内容在计算机启动时将最先得到控制权,然后它接管BIOS的INT13中断,将FAT、引导区、CMOS信息、中断向量表等信息都保存到卡内的临时储存单元中或是在硬盘的隐藏扇区中,用自带的中断向量表来替换原始的中断向量表;再另外将FAT信息保存到临时储存单元中,用来应付我们对硬盘内数据的修改;最后是在硬盘中找到一部分连续的空磁盘空间,然后将我们修改的数据保存到其中。这样,只要是对硬盘的读写操作都要经过还原卡的保护程序进行保护性的读写,每当我们向硬盘写入数据时,其实还是完成了写入到硬盘的操作,可是没有真正修改硬盘中的FAT。而是写到了备份的FAT表中,这就是为什么系统重启后所有写操作一无所有的原因了。普通还原卡100%都需要操作系统之上提供过滤驱动程序来实现还原算法的运转。过滤驱动在操作系统之上是一个所有软件都可以去争夺的控制权,因此,普通还原卡不可避免的不能保证所有还原都可靠。很多病毒,如机器狗类病毒正式利用了这个漏洞,使得保护卡驱动能被绕开、保护卡驱动能被卸载,与保护卡抢夺硬盘控制权,进而旁路掉它的保护机制。本质就是破坏或绕开过滤驱动来实现还原的穿透。笔者学校的实验室的电脑之前安装的是三茗保护卡,虽然像三茗保护卡在造机器狗破解后也出了补丁,但不断地给保护卡打着一个又一个没有止境的补丁这给管理者带来太多的不便。
四、基于硬盘控制技术,蓝芯防毒卡在实验室电脑机器狗病毒防范的应用
所谓“防毒”,其真实意义就体现在可靠的数据保护还原上,无论是保护卡还是保护软件,其之所以能起到保护硬盘数据的作用,原理就是通过占领系统对硬盘的读写权,以达到地址转移,从而起到保护真实数据的作用。过去的保护卡产品由于不具备硬盘控制权这个可靠保护还原的必要条件,是无法做到彻底“防毒”的。蓝芯防毒卡是基于硬盘控制技术开发的新一代产品,采用将保护卡的映射还原原理和蓝芯磁盘读写控制相结合的技术,它将硬盘控制权集成在了卡的上面,按照PC架构的规范,控制硬盘读写的硬件是硬盘控制器,而负责操作硬盘控制器的一个是磁盘BIOS服务(OS启动前),另一个是磁盘驱动(OS启动后)。对于使用传统保护卡的平台,其硬盘控制器一般都集中在主板芯片组里面,磁盘服务分别有主板BIOS和操作系统自带的磁盘驱动来提供,功能上只是完成基本的硬盘读写操作,数据保护是通过更上层的过滤驱动来实现的,过滤驱动通过调用磁盘驱动的服务来实现对硬盘的读写。作为一个服务调用者其最大的安全性漏洞就在于没有机制可以保证其他的调用者也都经由它来访问磁盘驱动,第三方软件完全可以自己来调用磁盘驱动读写硬盘从而破坏硬盘上的真实数据;在BIOS层也一样,有很多机器只要改变一下启动顺利,就可以跳过保护卡的控制直接读写硬盘了。蓝芯防毒卡上面的安全芯片里集成了一个硬盘控制器,磁盘服务则完全是由卡上的BootROM和蓝芯自己的磁盘驱动来提供,除了完成基本的读写服务以外,还有一套数据保护的逻辑算法在里面,所有调用蓝芯磁盘服务进行的读写操作都会经过保护算法的判断,保证了数据读写的安全性,而由于蓝芯是磁盘服务的提供者(非调用者),所有的调用者必须使用蓝芯提供的服务才能读写硬盘,这样就实现了对硬盘的彻底控制,也解决了传统保护卡的BIOS层容易被旁路掉的弊病。对计算机各种非法入侵操作、机器狗等病毒、木马进行彻底的隔离和还原,从而达到对计算机进行彻底防毒的目的。
五、小结
虽然说机器狗病毒是以hook方式入侵系统,接替硬盘驱动的方式效率太低了,而且毁坏还原的方式这也不是最好的,还有就是这种技术应用范围非常小,只有还原技术厂商范围内有传播,所以,很多论坛的人说很可能只是行业内杠,但是对于目前很多高校计算机实验室以还原软件或是还原卡为主要为主要维护的手段来说,机器狗病毒的出现其实给管理带来很多在电脑系统维护的困难,而蓝心防毒卡给使用者降低的维护成本。只有实验室的计算机软件环境好啦,实验室计算机才能更好的为广大师生服务。
[1]徐宁,朱连津,黄大刚.高校计算机机房的病毒防护[J].实验室科学,2007,04.
[2]佚名.五步让系统远离机器狗病毒侵扰[J].计算机与网络,2008,05.
[3]蓝芯防毒卡使用指南.
高清江,广州大学华软软件学院实验员,助理实验师,从事高校实验室管理工作。