|
系統(tǒng)的還原點如果還原的時候不起作用了��,還是還原時出了別的問題?難道系統(tǒng)還原只是一個擺設? 它究竟要如何使用,才能達到我們所想要的一種結果?使用還原系統(tǒng)環(huán)境的用戶一般都不會安裝其他的防護軟件���,一旦還原軟件被穿透的話��,會帶來比較大的安全威脅��。
還原系統(tǒng)技術原理
還原系統(tǒng)基本原理是磁盤設備過濾驅動�。比較常用方法是自己會建一個磁盤卷設備,在harddiskX進行文件過濾����。過濾驅動如何做到還原?首先還原系統(tǒng)會在磁盤上分配一塊預留的區(qū)域,應用程序以為他已經寫到真實磁盤�,實際上被分配到一塊內容區(qū)域里,真實磁盤根本就沒有被寫入�。
還原系統(tǒng)脆弱的原因是通過磁盤設備上的過濾驅動,也就是說跟磁盤設備沒有緊密聯(lián)系����,只要被攻擊者使用摘除或者繞過方法就可以把磁盤請求發(fā)送到真實磁盤上。
穿透基本原理
必須使讀寫請求不經過還原系統(tǒng)物理驅動�,而是到了下層的物理磁盤設備。這里就有一 個穿透思路�,一個磁盤請求是從上層逐層發(fā)布到下層,只要監(jiān)控發(fā)送路徑���,進行對比操作�����,就可以作為一個還原穿透的角色����。
穿透還原系統(tǒng),實施進行網絡攻擊
知道原理之后對如何穿透還原也就很簡單了���,既然還原系統(tǒng)都在磁盤上過濾驅動����,只要我們解除過濾驅動與真實磁盤之間的關系����,繞過過濾關系的話�����,就等于直接穿透了還原�����。不外忽有以下三種情況:
一��、DR0設備過濾設備鏈摘鏈�。這種方法其實就是摘除一個harddiskDR0上的過濾設備。指明設備上會有哪些過濾設備����,第一代機器狗病毒將這個域給清零���,導致還原系統(tǒng)設備被清除,所有請求就不通過還原系統(tǒng)直接到達過濾磁盤設備�����。對于沒有防備的還原系統(tǒng)就被成功攻破了��。國內大部分還原系統(tǒng)都沒有辦法對抗這種技術����。但是這種技術也是有一些 缺陷的,只能摘除在DR0上的物理設備�����。文件請求先到達磁盤卷�����,磁盤卷上的過濾設備摘除的話對系統(tǒng)有影響��。所以機器狗病毒使用了自己解析文件系統(tǒng)方式進行感染��,來實施進行網絡攻擊。
二����、會自己創(chuàng)建虛擬磁盤設備,作為磁盤卷掛載到文件系統(tǒng)上��,對虛擬磁盤讀寫影射到真實磁盤�,將請 求下發(fā)到下層設備。相對機器狗來說��,這種方法不需要對磁盤系統(tǒng)摘除��,可以通過文件對虛擬磁盤操作��,操作結果是和對真實磁盤操作是一樣的����,可以成功穿透還原�����。在這里還用一種方式就是他沒有直接發(fā)送磁盤讀寫請求�,發(fā)送SCSI-REQUEST-BLOCK下發(fā)到下層磁盤設備。
三�����、不使用驅動程序,直接在用戶模式穿透還原系統(tǒng)��。磁盤系統(tǒng)提供一套passthrough指令���,不向磁盤發(fā)送直接請求�����,就可以獲取磁盤信息 甚至直接讀寫磁盤扇區(qū)���。IDE/SCSI/ATA Pass Through指令穿透還原,RING3下使用Devicelocontrel函數發(fā)送請求���。大多數還原系統(tǒng)對此過濾不嚴或根本未過濾�����,導致在RING3 下即可達成攻擊��。
還原系統(tǒng)防御
我們知道網吧/公共場所幾乎100%安裝了還原設備��,一旦還原系統(tǒng)被穿透的話����,后果不堪設想,可見還原系統(tǒng)對網絡完全是很重要的�����,主動防御更為主要�。
一、更底層的磁盤讀寫監(jiān)視��。他們開發(fā)起來難度比較大�,短期內沒有辦法形成比較大的規(guī)模。GuardField這套系統(tǒng)如果有一定時間可以進行修改的 話��,還是可以用現(xiàn)有系統(tǒng)兼容���,對磁盤底盤操作進行監(jiān)視。它的好處就是可以更早的監(jiān)視
二����、脫鉤,可以適量的自我保護�、恢復。如果攻擊者對防御者產生一些針對性攻擊�,等于攻擊者容易落入一個被動捱打的 局面��。如果已經到脫鉤了�,說明攻擊者已經比較窮了���。還原系統(tǒng)在軟件方面的對抗應該是沒有止境的���。
三、行為管理預防
1�、建立良好的安全習慣,不打開可疑郵件和可疑網站;
2�����、很多病毒利用漏洞傳播����,一定要及時給系統(tǒng)打補丁;
3、安裝專業(yè)的防毒軟件升級到最新版本�����,并打開實時監(jiān)控程序;
4��、為本機管理員賬號設置較為復雜的密碼����,預防病毒通過密碼猜測進行傳播�。
5����、打開防護中心開啟全部防護,防止病毒通過IE漏洞等侵入計算機�。
還原系統(tǒng)未來趨勢
我們現(xiàn)在有GuardField的保護,惡意攻擊者肯定會開發(fā)出一些新的更新��,對抗GuardField�。他 們可能會使用哪些手段,猜測主要有兩方面:第一�����,更底層或者更新的磁盤讀寫技術�����,繞過磁盤IRP分析�,直接寫入磁盤���。第二�����,針對GuardField本身 的工具����,對GuardField進行破壞、脫鉤���。發(fā)布之后�,大概不到兩天時間就有新的驅動出來�,對我們GuardField脫鉤。
由此可見���,在防御體系下��,安全運行維護的理念也發(fā)生了改變�,運行機制由原來的救火隊轉變?yōu)橹鲃映鰮���。如果我們使用完全的主動防御技術��,充分利用還原系統(tǒng)保護技術�����,我們將會遠離網絡安全風險���。
本文出自:億恩科技【www.allwellnessguide.com】
服務器租用/服務器托管中國五強�����!虛擬主機域名注冊頂級提供商!15年品質保障�����!--億恩科技[ENKJ.COM]
|
香港服務器租用
美國服務器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
