浅谈在文件实时监控中反病毒技术.docVIP

浅谈在文件实时监控中反病毒技术 　　【摘要】：简要介绍了当前主流的病毒技术和反病毒技术，详细分析了在Windows操作系统的WDM驱动模型架构之下以文件系统过滤器驱动为核心的文件实时监控反病毒技术，最后提出了此项技术存在的问题，改进的方案和发展前景。 　　【关键词】：病毒；文件实时监控 ；I/O管理器；文件系统驱动 　　中图分类号：TP3 文献标识码：A 文章编号：1002-6908(2008)0520074-01 　　 　　随着病毒技术的迅猛发展，针对病毒的实时监控技术就成为反病毒的主流关键技术之一。 文件实时监控技术的核心就是文件系统的过滤器驱动，这种驱动运行于操作系统的核心馍大，可以针对文件的任何操作（打开，创建，修改，关闭，删除等）进行实时监查，病毒感染文件以及其他任何相关操作就会被监控，从而实现实时防病毒。 　　 　　1. 病毒技术与反病毒技术 　　 　　1.1 病毒的发展以及主要病毒技术 　　计算机病毒按时代不同可以分为： 　　（1） 第一代病毒（1985－1989），以单机运行为主，感染磁盘引导区和可执行文件，以截获系统中断向量来监视系统的操作； 　　（2） 第二代病毒（1989－1991），混合型病毒，同时感染引导区和可执行文件，并开始通过网络进行传播； 　　（3） 第三代病毒（1992－1995），多态性病毒，相同病毒样本的源代码不相同，隐蔽性很强； 　　（4） 第四代病毒（1996－ ），通过网络传潘，比如通过操作系统漏洞获取系统控制权为主的蠕虫病毒。传播范围广，危害大。 　　 　　1.2 反病毒技术的分类及特点 　　反病毒技术大体上分为： 　　（1） 特征码扫描技术，它是分析出病毒的特征码并存放于病毒代码库中，扫描时将扫描对象与特下代码相比较，如有吻合的则判断为感染病毒。 　　（2） 虚拟机技术，病毒可以通过加密保护自己来逃过特征码扫描的检测，虚拟机技术就是用软件虚拟一套运行环境并让病毒在此环境下运行，加密病毒在执行时要解密，然后就可以通过特征检验来确认病毒。 　　（3） 文件实时监控技术，通过利用操作系统底层接口技术，对系统中的所有类型文件或指定类型的文件进行实时的行为监控，一旦有异常就及时报警。 　　 　　2. 文件实时监控反病毒技术 　　 　　2.1 文件系统驱动程序及其过滤器驱动程序 　　先介绍一下操作系统中的设备驱动程序和过滤器驱动程序。 　　Microsoft Windows环境下的驱动程度模型结构是不断发展的，文章讨论的是win 2000，win NT4.0等32位操作系统的WDM（Windows Driver Model）架构。由于驱动程序都工作在操作系统的内核状态，所以先介绍win 2000和win NT4.0操作系统的内部结构，相关的内部结构名词如下： 　　I/O管理器：负责管理外部用户跟内部驱动程度之间通信的功能模块； 　　HAL：硬件抽象层，建立在物理硬件之上的软件层，为驱动程度提供统一的接口。 　　2.1.1Win 2000，Win NT4.0内部体系结构，驱动程序及其工作方式 　　Intel 80X86系列处理器在设计的时候划分了四个（ring0-ring3）不同的运行级别，Microsoft Win 2000，NT4.0操作系统使用了它的最高级（ring0）和最低级（ring3），把操作系统划分为用户模式跟核心模式。运行在核心态的程序拥有最高的特权，可以直接访问任何有效的地址和端口，处于用户态的程序受到了很多约束，很多地址跟端口因为受到保护和限制而无法访问。 　　设备驱动程度模块被I/O管理器所包围，用户在用户模式下发出请求经由系统服务接口进入到内核模式，I/O管理器把这些请求以IRP的形式发送给设备驱动程序，由驱动程序跟HAL硬件抽象层进行交互，完成对硬件的实际操作。 　　2.1.2过滤器驱动程序 　　WDM模型架构是分层实现的，IRP由I/O管理器发给最上层的上层过滤驱动，然后往下依次进行过滤，每层都有权决定IRP的具体操作，每层的操作可以互不相同。上层过滤驱动跟下层过滤驱动的功能并不相同，上层过滤驱动主要是对IRP进行栏截过滤来实现我们需要的操作；下层的过滤驱动订 完成总线无关的操作。所谓的过滤器驱动程序就是指这里面的上层过滤驱动。为了实现我们需要的功能，我们也可以自己写一个上层过滤驱动来实现对IRP的拦截过滤。 　　2.1.3文件系统驱动及其过滤器驱动 　　文件系统的驱动是被I/O管理器包围着的，对文件系统的操作进行管理的程序，它是操作系统的存储管理子系统的组成部分，是操作系统内部设备驱动程序的子集。文件系统的过滤器驱动就是位于文件系统的功能驱动程序之上的，用来实现对于文件的访问操作进行拦截以实现