基于系统文件补丁方法的Ａｕｔｏｒｕｎ型病毒根治技术.docVIP

基于系统文件补丁方法的Ａｕｔｏｒｕｎ型病毒根治技术 　　摘要：针对近年大量病毒均借助自动播放功能交叉感染和自动激活的客观实际，提出了一种基于系统外壳文件补丁方法的Autorun型病毒根治方案，并且给出了自动部署这种方案的简便方法，同时在此基础上实现了全新部署系统时的针对Autorun型病毒的先天加固。 　　关键词：病毒；自动播放；系统外壳；安全加固 　　中图分类号：TP393文献标识码：A文章编号：1009-3044(2008)33-1332-03 　　A Technology of Eliminating Autorun-type Viruses Based on System Files Patch Method 　　CHEN Li-jun1,WANG Cai-ping2 　　(1.Dept. of Mathematics,Hefei University of Technology,Hefei 230009,China;2.School of Computer Information-HFUT,Hefei 230009,China) 　　Abstract: Aimed to the fact that lots of viruses inter-infect and automatically activate by automatically playing in recent years, A scheme of eliminating Autorun-type Viruses based on system files patch method is presented, and the simple method of automatically arranging the scheme is also presented, furthermore, With the help of the obtained method the innate reinforcement against Autorun-type Viruses is realized as rearranging the system. 　　Key words: virus;automatic play; system shell; safety reinforcing 　　 　　1 引言 　　Autorun型病毒是利用操作系统的“自动播放”功能而实现自动激活感染的一类病毒的总称。由于自动播放功能是操作系统的默认合法功能，一套系统不需任何设置，默认情况下就能够自动激活磁盘分区上的特定程序，因此目前几乎所有病毒、木马、流氓程序都充分利用了自动播放这一系统功能特性进行恶意代码的激活和感染[1]。尤其突出的问题是，一旦系统感染有Autorun型病毒，即使格式化系统分区并完全干净地重装系统，只要打开任何潜藏有Autorun型病毒的磁盘分区，则病毒又会立即重新自动激活并重新交叉感染[2]。 　　针对Autorun型病毒的特点，传统的防、杀毒效果越来越显示出它们的不足：基于特征码技术的杀毒软件，由于必须在建立操作系统后才能安装部署，而Autorun病毒的激活是不需要任何安装设置操作的，优先级比安装反病毒软件要高；大量Autorun型病毒采取了加壳加密、代码变形等手段，导致基于特征码的反病毒程序失效；而一些早期有效的设置Autorun免疫文件、设置系统策略限制自动播放功能等方法，也被后来的病毒采取了针对措施，能够自动删除免疫文件、自动修改系统策略设置，甚至发展到杀除杀毒软件的状态，多起反毒软件被此类病毒所杀的实例也充分证明了Autorun型病毒令人不可轻视的威力。 　　因此，本文试图寻找一种针对Autorun型病毒的简单、高效、可靠的根治方法，通过基于系统文件补丁技术的采用，从根本上杜绝了Autorun型病毒的自动激活途径，并根据既有系统和新系统部署的特点，给出了比较完善的根治方案。 　　 　　2 Autorun型病毒工作原理 　　Autorun型病毒的工作原理如图1所示。操作系统引导成功，内核加载完成后，用户登录，加载用户图形界面，系统默认Shell的主界面模块Shell32.dll被加载到内存。以后，任何用户的鼠标、键盘等交互操作都要通过Shell32.dll来完成与系统内核功能调用的交互。这个交互过程中，如果存在一个打开磁盘根目录的操作，则Shell32.dll将先查询系统注册表中是否存在限制Autorun功能的键值，如果不存在限制，则立即检查磁盘根目录是否存在autorun.inf的自动播放信息文件，当存在这个文件时，则根据此文件中“[autorun]”小节中的“OPEN=”定义条目中定义的路径和文件名，自动执行这个