还原卡穿透问题的技术研究.docVIP

PAGE PAGE 1 还原卡穿透问题的技术研究 　　摘要：分析了还原卡的技术原理以及穿透病毒的基本原理，并对穿透技术从多个方面进行了深入研究。对还原卡技术改进有一定的理论意义。 　　关键词：还原卡；还原技术；穿透技术；病毒 　　中图分类号：TP393 文献标识码：A 文章编号：1009-3044(2011)35-0000-0c 　　Technical Research of Recovery Card Penetration Problem 　　KANG Jin-cui 　　(Department of Computer, Shijiazhuang University, Shijiazhuang 050035, China) 　　Abstract: The author analyses the technical principle of recovery card and the fundamental principle of the penetrating viruses. And technology from many areas through in-depth research. At the same time technical improvements to the recovery card has some theoretical significance. 　　Key words: recovery card; decompression technology; penetration technique; viruses 　　目前，计算机机房是各高校计算机教学和实验的重要场所，它除了承担着全校各院系学生的上机任务外，还承担了各种计算机培训、考试和科研等任务。为了减轻机房维护人员繁琐的工作，计算机机房都使用了还原卡。还原卡可以使电脑在遭到破坏时,将系统还原到初始的状态。这种破坏包括有意无意的删除、破坏系统文件，以及各种病毒和木马的攻击。只要重新启动计算机，系统就会恢复到系统原来的状态，对计算机机房的计算机起到了很好的保护作用，给我们机房维护人员带来了极大的方便。但目前网上流传一种机器狗的病毒（Trojan/Agent.pgz），此病毒可以穿透各种还原卡及还原软件，它是一种木马下载器，系统感染该病毒后会自动连接网络并从网络上下载木马、病毒，给用户帐号的安全带来了威胁。从还原卡的技术原理及还原系统穿透技术来阐述病毒是如何穿透还原卡的。 　　1 还原卡的技术原理 　　硬盘还原卡是一种PCI扩展卡，主要功能就是当硬盘数据遭到破坏时对其进行还原，也就是保护硬盘数据。还原卡其实就是一硬件芯片，它与硬盘的主引导扇区MBR协同工作，它加载驱动的方式，很像dos下的引导型病毒：首先是接管BIOS（基本输入输出系统）的INT13中断，然后备份FAT（文件分区表）、引导区、CMOS信息，以及中断向量表等信息，并把它们保存在硬盘的保留扇区中，用它自带的中断向量表替换调原始的中断向量表。当我们向硬盘写数据时，便会将地址重定向到原来的空间。对于还原技术来说，原理都是一样的，只是各还原卡厂家采用的方法不同而已。还原卡是通过一层磁盘过滤驱动实现系统还原的。这层过滤驱动嵌入在文件系统和磁盘驱动之间。通常情况下Windows操作系统以及各种应用程序必须经过磁盘过滤驱动才能对硬盘进行访问。磁盘过滤驱动并不真正改写原来的数据，而是把所有的磁盘R/W都映射到缓冲区中，这样就实现了系统还原。还原系统必须先于操作系统启动来获取引导权，才能够达到控制和保护磁盘的目的。为了能够在Windows操作系统启动之前得到执行权，还原系统需要在硬盘的第0磁头0磁道的第1个扇区（MBR）写入自己的代码，而把硬盘原来的MBR的数据保存在其它的扇区中。还原系统修改中断INT 13H入口后，还会修改其它的一些中断入口。并监控INT 13H的入口地址，数据一旦有变化就立刻把它恢复成原来的数据。这些代码可以完成以下操作： 　　1) 对所有INT 13H对硬盘的MBR的操作进行拦截，包括R/W操作，所有对硬盘的第0磁头0磁道的第1个扇区的操作并没有真正修改，而是把它转移到还原程序备份的那个扇区进行。这时如果我们查看主引导区数据，就会发我现我们所看到的是那个备份的主引导区数据。这即防止了那些别有用心的人读出来进行破解又保护了还原代码不被破坏。 　　2) 对所有INT 13H对硬盘的写操作进行拦截，包括INT 13H的写操作和扩展INT 13H的写操作。对于8G以下的小硬盘是基于磁头、磁道、扇区定位的INT 13H的操作，而对大硬盘则是基于扇区地址方式的扩展INT13H操作。当然也包括其它接口的硬盘的扩展INT13H写操作。拦截以后还要对硬