以下內容來自網絡
系統的還原點如果還原的時候不起作用了,還是還原時出了別的問題?難道系統還原只是一個擺設? 它究竟要如何使用,才能達到我們所想要的一種結果?使用還原系統環境的用戶一般都不會安裝其他的防護軟件,一旦還原軟件被穿透的話,會帶來比較大的安全威脅。
還原系統技術原理
還原系統基本原理是磁盤設備過濾驅動。比較常用方法是自己會建一個磁盤卷設備,在harddiskX進行文件過濾。過濾驅動如何做到還原?首先還原系統會在磁盤上分配一塊預留的區域,應用程序以爲他已經寫到真實磁盤,實際上被分配到一塊內容區域裏,真實磁盤根本就沒有被寫入。
還原系統脆弱的原因是通過磁盤設備上的過濾驅動,也就是說跟磁盤設備沒有緊密聯繫,只要被攻擊者使用摘除或者繞過方法就可以把磁盤請求發送到真實磁盤上。
穿透基本原理
必須使讀寫請求不經過還原系統物理驅動,而是到了下層的物理磁盤設備。這裏就有一 個穿透思路,一個磁盤請求是從上層逐層發佈到下層,只要監控發送路徑,進行對比操作,就可以作爲一個還原穿透的角色。
穿透還原系統,實施進行網絡攻擊
知道原理之後對如何穿透還原也就很簡單了,既然還原系統都在磁盤上過濾驅動,只要我們解除過濾驅動與真實磁盤之間的關係,繞過過濾關係的話,就等於直接穿透了還原。不外忽有以下三種情況:
一、DR0設備過濾設備鏈摘鏈。這種方法其實就是摘除一個harddiskDR0上的過濾設備。指明設備上會有哪些過濾設備,第一代機器狗病毒將這個域給清零,導致還原系統設備被清除,所有請求就不通過還原系統直接到達過濾磁盤設備。對於沒有防備的還原系統就被成功攻破了。國內大部分還原系統都沒有辦法對抗這種技術。但是這種技術也是有一些 缺陷的,只能摘除在DR0上的物理設備。文件請求先到達磁盤卷,磁盤捲上的過濾設備摘除的話對系統有影響。所以機器狗病毒使用了自己解析文件系統方式進行感染,來實施進行網絡攻擊。
二、會自己創建虛擬磁盤設備,作爲磁盤卷掛載到文件系統上,對虛擬磁盤讀寫影射到真實磁盤,將請 求下發到下層設備。相對機器狗來說,這種方法不需要對磁盤系統摘除,可以通過文件對虛擬磁盤操作,操作結果是和對真實磁盤操作是一樣的,可以成功穿透還原。在這裏還用一種方式就是他沒有直接發送磁盤讀寫請求,發送SCSI-REQUEST-BLOCK下發到下層磁盤設備。
三、不使用驅動程序,直接在用戶模式穿透還原系統。磁盤系統提供一套passthrough指令,不向磁盤發送直接請求,就可以獲取磁盤信息 甚至直接讀寫磁盤扇區。IDE/SCSI/ATA Pass Through指令穿透還原,RING3下使用Devicelocontrel函數發送請求。大多數還原系統對此過濾不嚴或根本未過濾,導致在RING3 下即可達成攻擊。
還原系統防禦
我們知道網吧/公共場所幾乎100%安裝了還原設備,一旦還原系統被穿透的話,後果不堪設想,可見還原系統對網絡完全是很重要的,主動防禦更爲主要。
一、更底層的磁盤讀寫監視。他們開發起來難度比較大,短期內沒有辦法形成比較大的規模。GuardField這套系統如果有一定時間可以進行修改的 話,還是可以用現有系統兼容,對磁盤底盤操作進行監視。它的好處就是可以更早的監視
二、脫鉤,可以適量的自我保護、恢復。如果攻擊者對防禦者產生一些針對性攻擊,等於攻擊者容易落入一個被動捱打的 局面。如果已經到脫鉤了,說明攻擊者已經比較窮了。還原系統在軟件方面的對抗應該是沒有止境的。
三、行爲管理預防
1、建立良好的安全習慣,不打開可疑郵件和可疑網站;
2、很多病毒利用漏洞傳播,一定要及時給系統打補丁;
3、安裝專業的防毒軟件升級到最新版本,並打開實時監控程序;
4、爲本機管理員賬號設置較爲複雜的密碼,預防病毒通過密碼猜測進行傳播。
5、打開防護中心開啓全部防護,防止病毒通過IE漏洞等侵入計算機。
還原系統未來趨勢
我們現在有GuardField的保護,惡意攻擊者肯定會開發出一些新的更新,對抗GuardField。他 們可能會使用哪些手段,猜測主要有兩方面:第一,更底層或者更新的磁盤讀寫技術,繞過磁盤IRP分析,直接寫入磁盤。第二,針對GuardField本身 的工具,對GuardField進行破壞、脫鉤。發佈之後,大概不到兩天時間就有新的驅動出來,對我們GuardField脫鉤。
由此可見,在防禦體系下,安全運行維護的理念也發生了改變,運行機制由原來的救火隊轉變爲主動出擊。如果我們使用完全的主動防禦技術,充分利用還原系統保護技術,我們將會遠離網絡安全風險。
本文內容只是一個思路,並且寫作時間較早!