U盘读写过滤CN.docVIP

一种基于读写过滤的U盘毒病防护方法 摘要：本文分析了U盘病毒传播的基本原理，得出病毒传播所必需的两个基本条件，并在此基础提出反制措施，从根本上防止U盘病毒传播；最后，给出了两种具体实现方案。 引言 随着U盘等移动存储设备的广泛使用,U盘已成为计算机病毒传播的新载体,严重威胁计算机的安全。在某些场合，需要从特别重要的计算机中A导出数据到另外计算机B处理，同时又要保证在数据导出的过程中，计算机A不能被病毒感染。如果采用网络传输，多数情况下这类计算机是不接入网络的，并且通过网络很难保证绝对的安全；如果采用光盘刻录，倒是可以保证绝对安全，但是又有成本高，操作不方便等问题；U盘是一个好的选择，但是首先要保证U盘是没有被病毒感染过。 本文介绍一种读写过滤的方法来保证U盘安全可靠。 普通U盘病毒防护 目前， U盘病毒的传播多是基于Windows操作系统的自动运行功能(autorun.inf)，使得计算机用户在双击打开U盘时候，自动执行病毒或是木马程序，进而使计算机系统受到入侵感染。当前U盘病毒的防护也是基于此，通过修改注册表、组策略等关闭自动播放功能。随着病毒的发展，这种方法很难保证U盘是绝对安全可靠的。 基于读写过滤的U盘病毒防护原理 U盘病毒感染计算机的基本原理是计算机系统执行了一段隐藏于U盘的一段病毒程序或者被病毒感染了的程序。根据计算机的基本原理可知，任何病毒的恶意代码的执行，都需要两个条件： 被读取到计算机系统内存。 被CPU识别为指令，并执行。 如果这个两个条件中有一个不能满足，便不能感染计算机。针对这两个必需条件，本文提出两种U盘病毒防护方法： （1）从计算机导出数据到U盘的过程中，不允许U盘的数据传送的到计算机，只允许计算机写数据到U盘。 （2）从计算机导出数据到U盘的过程中，只允许计算机主动读取必需的并且是安全可靠的U盘数据，而计算机向U盘写数据则不加限制。 方法1针对病毒运行的条件1，使其无法满足，所以是绝对安全可靠的，但却有着操作的不方便。因为，目前磁盘都是以文件形式来管理的，数据也是以文件形式存放与磁盘的。方法1是在导出数据的计算机运行特定软件，将数据从文件读出，然后再象写存储器一样写入U盘，这样不仅会破坏U盘以前的数据，而且这些数据转到另外计算机处理时，又要相应软件来读出，并重新建立文件系统。 方法2也是安全可靠的，针对病毒传播的条件2，虽然它允许U盘向计算机传送一部分数据，但这部分数据是计算机主动去读取的，并作为普通数据来识别U盘的文件系统的，而不会作为指令来让CPU执行的，所以也是安全可靠的。 当插入U盘到计算机打开后，便能看到U盘根目录下的信息，如果再进一步读取某个文件，便会被限制不能执行，如此病毒程序或者被病毒感染的程序便无法被读到计算机的内存，也不会被执行。但是，计算机可以根据U盘当前文件系统的信息，把数据以文件形式写到U盘。 相对于方法1，方法2让计算机获得U盘的文件系统，把数据以文件形式存储到U盘，应用起来更为方便。 那么，放法2中这部分特定安全数据是如何确定的呢？为此，需要先了解文件系统结构和U盘插入计算机被访问的过程。 FAT16文件系统 FAT16是Microsoft较早推出的文件系统，具有高度兼容性，目前仍然广泛应用于个人计算机尤其是移动存储设备中，支持的分区最大为2GB，适用于目前多数U盘。将1个512MB的U盘格式化为FAT16文件系统，只一个分区，其空间分配如图： MBR Relative Sectors DBR FAT1 FAT2 ROOT DATA 如同一本书，包括封面、序言、目录、详细内容等，可以根据目录来读取相应的章节内容。 MBR（Main Boot Record）为主引导记录区，位于整个硬盘的0磁道0柱面1扇区在总共512字节的主引导扇区中，MBR只占用了其中的446个字节（偏移0--偏移1BDH），另外的64个字节（偏移1BEH--偏移1FDH）交给了DPT(Disk Partition Table硬盘分区表),最后两个字节55，AA（偏移1FEH- 偏移1FFH）是分区的结束标志。DBR（Dos Boot Record）是操作系统引导记录区0x01C6开始的4个字节记录了相对扇区数（Relative Sectors） 从该磁盘的开始到该分区的开始的位移量，以扇区来计算。从该位置读取512B便得到该分区的DBR。DBR的偏移 0x0B 开始的是一段描述能够使可执行引导代码找到相关参数的信息，通常称之为BPB，最后是引导程序代码以及扇区结束标志。BPB 中记录了扇区大小、簇的扇区数、保留扇区数、FAT 表大小和文件系统类型等重要参数。以下是部分BPB： 字位移 长度 含义 0x0B 2 扇区字节数(Bytes Per Sector) 磁盘扇区的大小 0x0E 1 保