防毒卡在計算機(jī)實驗室機(jī)器狗病毒防范的應(yīng)用

廣州大學(xué)華軟軟件學(xué)院 高清江

防毒卡在計算機(jī)實驗室機(jī)器狗病毒防范的應(yīng)用

廣州大學(xué)華軟軟件學(xué)院 高清江

高校計算機(jī)實驗室的管理是一個重要的研究內(nèi)容。本文從高校實驗室計算機(jī)常見的保護(hù)卡失效問題出發(fā)，詮釋了機(jī)器狗病毒的危害以及保護(hù)卡對其失效的原因；在此基礎(chǔ)上提出了藍(lán)心防毒卡在機(jī)器狗病毒防范上的應(yīng)用，對高校實驗室計算機(jī)的文件系統(tǒng)管理有著現(xiàn)實的指導(dǎo)意義。

計算機(jī)實驗室；系統(tǒng)保護(hù)；機(jī)器狗病毒；防毒卡

目前，幾乎所有高等學(xué)校各個專業(yè)都開設(shè)與計算機(jī)相關(guān)的基礎(chǔ)課程，計算機(jī)在現(xiàn)代教學(xué)中的使用頻率也越來越高，在教學(xué)中的輔助作用越來越大，機(jī)實驗室已成為學(xué)生學(xué)習(xí)計算機(jī)課程和完成各種設(shè)計任務(wù)的重要實踐場所，但計算機(jī)遭到人為破壞、誤操作、感染計算機(jī)病毒等情況在實驗室常會發(fā)生，尤其是機(jī)器狗病毒日益猖獗，又是無時不在、無孔不入的，使計算機(jī)不能正常運行，從而影響正常的教學(xué)實驗任務(wù)。如何采取快速實用的方法，科學(xué)有效地使計算機(jī)系統(tǒng)不受機(jī)器狗病毒的破壞，創(chuàng)造穩(wěn)定可靠的實驗環(huán)境，是高校計算機(jī)實驗室管理中面臨的一個重要問題。

一、計算機(jī)實驗室電腦難以管理的問題分析

機(jī)房維護(hù)的現(xiàn)狀機(jī)房計算機(jī)維護(hù)是一項極為繁瑣的工作。使用計算機(jī)，就一定會有損壞，由于筆者學(xué)校是一所軟件學(xué)院，所以學(xué)校使用計算機(jī)的工作時間遠(yuǎn)遠(yuǎn)要高于其它院校，所以計算機(jī)的損壞率非常高。計算機(jī)損壞一般分為軟件損壞和硬件損壞。對于硬件的損壞處理放法也只有更換硬件，而對于軟件環(huán)境損壞筆者人為時主要是由人為和病毒（尤其機(jī)器狗病毒）造成的。

1.人為操作對系統(tǒng)文件的損壞

在教學(xué)過程中實驗室里的電腦因為學(xué)生的誤操作以及由于好奇所做的嘗試性破壞，很容易造成系統(tǒng)無法啟動或經(jīng)常死機(jī)，如很多學(xué)生由于好奇心較強(qiáng)而喜歡刪除操作系統(tǒng)的文件，設(shè)計系統(tǒng)參數(shù)，導(dǎo)致系統(tǒng)崩潰。有的學(xué)生在實驗室的電腦加裝游戲軟件或是其它與教學(xué)無關(guān)的軟件，計算機(jī)的軟件環(huán)境、桌面等往往會改得面目全非從而使得電腦運行速度緩慢，影響了教學(xué)質(zhì)量。自從有了還原軟件（如還原精靈等）或還原卡（如三茗保護(hù)卡等）技術(shù)的出現(xiàn)，對于這種人為操作損壞一般的還原軟件或還原卡都能夠解決，它們可以瞬間恢復(fù)各種有意或無意導(dǎo)致的數(shù)據(jù)丟失。

2.機(jī)器狗病毒引起保護(hù)卡失效

過去大家在使用保護(hù)卡的過程中遇到過很多問題，其中最突出、最令人頭疼的莫過于保護(hù)卡失效、無法保護(hù)的問題，這些問題大都是由保護(hù)卡被“機(jī)器狗”之類的病毒穿透引起的。通常人們把具有破壞作用的程序稱為計算機(jī)病毒，是一種人為制造的、在計算機(jī)運行中對計算機(jī)信息或系統(tǒng)起破壞作用的程序。它既有破壞性，又有傳染性和潛伏性。輕則影響機(jī)器運行速度，使機(jī)器不能正常運行；重則使機(jī)器處于癱瘓，會給用戶帶來不可估量的損失。病毒一直是計算機(jī)實驗室管理的一大難題，特別是機(jī)器狗病毒，它對計算機(jī)實驗室而言可以稱為還原卡的第一殺手。保護(hù)卡一失效計算機(jī)的系統(tǒng)文件就很容易給病毒木馬損壞而導(dǎo)致崩潰。

二、機(jī)器狗病毒對計算機(jī)實驗室的危害性

1.機(jī)器狗的出現(xiàn)

機(jī)器狗就是劍指計算機(jī)實驗室和網(wǎng)吧而來，針對所有的還原產(chǎn)品設(shè)計。曾經(jīng)有很多人說有穿透還原卡、冰點的病毒，但是在各個論壇都沒有樣本證據(jù)，直到2007年8月29日終于有人在社區(qū)里貼出了一個樣本。這個病毒沒有名字，圖標(biāo)是SONY的機(jī)器狗阿寶，就像前輩熊貓燒香一樣，大家給它起了個名字叫機(jī)器狗。此病毒采用hook系統(tǒng)的磁盤設(shè)備棧來達(dá)到穿透目的的，危害極大，可穿透一般的軟件硬件還原，基本無法靠還原抵擋。目前已知的很多還原產(chǎn)品，都無法防止這種病毒的穿透感染和傳播。

2.機(jī)器狗的工作原理

機(jī)器狗病毒運行后，會在%WinDir%System32drivers目錄下釋放出一個名為pcihdd.sys的驅(qū)動程序，pcihdd.sys是一個底層硬盤驅(qū)動，該文件會接管冰點或者硬盤保護(hù)卡對硬盤的讀寫操作，這樣該病毒就破解了還原系統(tǒng)的保護(hù)，使冰點、硬盤保護(hù)卡失效。而機(jī)器狗本身就是一個木馬下載器，接著，該病毒會利用MS06-014和MS07-017系統(tǒng)漏洞和等多個應(yīng)用軟件漏洞從惡意網(wǎng)站自動下載大量的病毒與惡意插件。然后修改接管啟動管理器，最可怕的是，會通過內(nèi)部網(wǎng)絡(luò)傳播，一臺中招，能引發(fā)整個網(wǎng)絡(luò)的電腦全部自動重啟。

3.目前對機(jī)器狗病毒的處理方式

現(xiàn)在對機(jī)器狗病毒一般是給還原卡安裝免疫補(bǔ)丁，如三茗保護(hù)卡現(xiàn)在就有專門針對機(jī)器狗病毒的補(bǔ)丁，或是在操作系統(tǒng)上安裝殺毒軟件?，F(xiàn)在的免疫補(bǔ)丁之?dāng)?shù)是疫苗形式，以無害的樣本復(fù)制到drivers下，欺騙病毒以為本身以運行，起到阻止危害的目的。這種形式的問題是，有些用戶為了自身安全會在機(jī)器上運行一些查毒程序（比如QQ醫(yī)生之類）。這樣疫苗就會被誤認(rèn)為是病毒，又要廢很多口舌。

三、普通還原卡為什么對機(jī)器狗病毒不起保護(hù)作用

保護(hù)卡不保護(hù)并不是保護(hù)卡還原算法本身出了問題，而是它所構(gòu)建的保護(hù)機(jī)制被繞過去了，使得保護(hù)卡的驅(qū)動沒有被運行，是其自身的安全性出了問題，傳統(tǒng)的保護(hù)卡本質(zhì)上也是一個軟件，它必須依靠硬盤讀寫控制權(quán)的獲得才能正常工作，而硬盤控制權(quán)的獲得卻恰恰是傳統(tǒng)保護(hù)卡無法保障的，普通的還原卡，物理上不直接接管硬盤讀寫；如：增霸卡、海光藍(lán)卡、小哨兵還原卡、三茗還原卡等。產(chǎn)品形式是一個擴(kuò)展卡，但是跟硬盤沒有直接的關(guān)系。普通還原卡安裝在主板插槽里，在卡上有一片ROM芯片，根據(jù)PCI規(guī)范，該ROM芯片的內(nèi)容在計算機(jī)啟動時將最先得到控制權(quán)，然后它接管BIOS的INT13中斷，將FAT、引導(dǎo)區(qū)、CMOS信息、中斷向量表等信息都保存到卡內(nèi)的臨時儲存單元中或是在硬盤的隱藏扇區(qū)中，用自帶的中斷向量表來替換原始的中斷向量表；再另外將FAT信息保存到臨時儲存單元中，用來應(yīng)付我們對硬盤內(nèi)數(shù)據(jù)的修改；最后是在硬盤中找到一部分連續(xù)的空磁盤空間，然后將我們修改的數(shù)據(jù)保存到其中。這樣，只要是對硬盤的讀寫操作都要經(jīng)過還原卡的保護(hù)程序進(jìn)行保護(hù)性的讀寫，每當(dāng)我們向硬盤寫入數(shù)據(jù)時，其實還是完成了寫入到硬盤的操作，可是沒有真正修改硬盤中的FAT。而是寫到了備份的FAT表中，這就是為什么系統(tǒng)重啟后所有寫操作一無所有的原因了。普通還原卡100%都需要操作系統(tǒng)之上提供過濾驅(qū)動程序來實現(xiàn)還原算法的運轉(zhuǎn)。過濾驅(qū)動在操作系統(tǒng)之上是一個所有軟件都可以去爭奪的控制權(quán)，因此，普通還原卡不可避免的不能保證所有還原都可靠。很多病毒，如機(jī)器狗類病毒正式利用了這個漏洞，使得保護(hù)卡驅(qū)動能被繞開、保護(hù)卡驅(qū)動能被卸載，與保護(hù)卡搶奪硬盤控制權(quán)，進(jìn)而旁路掉它的保護(hù)機(jī)制。本質(zhì)就是破壞或繞開過濾驅(qū)動來實現(xiàn)還原的穿透。筆者學(xué)校的實驗室的電腦之前安裝的是三茗保護(hù)卡，雖然像三茗保護(hù)卡在造機(jī)器狗破解后也出了補(bǔ)丁，但不斷地給保護(hù)卡打著一個又一個沒有止境的補(bǔ)丁這給管理者帶來太多的不便。

四、基于硬盤控制技術(shù)，藍(lán)芯防毒卡在實驗室電腦機(jī)器狗病毒防范的應(yīng)用

所謂“防毒”，其真實意義就體現(xiàn)在可靠的數(shù)據(jù)保護(hù)還原上，無論是保護(hù)卡還是保護(hù)軟件，其之所以能起到保護(hù)硬盤數(shù)據(jù)的作用，原理就是通過占領(lǐng)系統(tǒng)對硬盤的讀寫權(quán)，以達(dá)到地址轉(zhuǎn)移，從而起到保護(hù)真實數(shù)據(jù)的作用。過去的保護(hù)卡產(chǎn)品由于不具備硬盤控制權(quán)這個可靠保護(hù)還原的必要條件，是無法做到徹底“防毒”的。藍(lán)芯防毒卡是基于硬盤控制技術(shù)開發(fā)的新一代產(chǎn)品，采用將保護(hù)卡的映射還原原理和藍(lán)芯磁盤讀寫控制相結(jié)合的技術(shù)，它將硬盤控制權(quán)集成在了卡的上面，按照PC架構(gòu)的規(guī)范，控制硬盤讀寫的硬件是硬盤控制器，而負(fù)責(zé)操作硬盤控制器的一個是磁盤BIOS服務(wù)（OS啟動前），另一個是磁盤驅(qū)動（OS啟動后）。對于使用傳統(tǒng)保護(hù)卡的平臺，其硬盤控制器一般都集中在主板芯片組里面，磁盤服務(wù)分別有主板BIOS和操作系統(tǒng)自帶的磁盤驅(qū)動來提供，功能上只是完成基本的硬盤讀寫操作，數(shù)據(jù)保護(hù)是通過更上層的過濾驅(qū)動來實現(xiàn)的，過濾驅(qū)動通過調(diào)用磁盤驅(qū)動的服務(wù)來實現(xiàn)對硬盤的讀寫。作為一個服務(wù)調(diào)用者其最大的安全性漏洞就在于沒有機(jī)制可以保證其他的調(diào)用者也都經(jīng)由它來訪問磁盤驅(qū)動，第三方軟件完全可以自己來調(diào)用磁盤驅(qū)動讀寫硬盤從而破壞硬盤上的真實數(shù)據(jù)；在BIOS層也一樣，有很多機(jī)器只要改變一下啟動順利，就可以跳過保護(hù)卡的控制直接讀寫硬盤了。藍(lán)芯防毒卡上面的安全芯片里集成了一個硬盤控制器，磁盤服務(wù)則完全是由卡上的BootROM和藍(lán)芯自己的磁盤驅(qū)動來提供，除了完成基本的讀寫服務(wù)以外，還有一套數(shù)據(jù)保護(hù)的邏輯算法在里面，所有調(diào)用藍(lán)芯磁盤服務(wù)進(jìn)行的讀寫操作都會經(jīng)過保護(hù)算法的判斷，保證了數(shù)據(jù)讀寫的安全性，而由于藍(lán)芯是磁盤服務(wù)的提供者(非調(diào)用者)，所有的調(diào)用者必須使用藍(lán)芯提供的服務(wù)才能讀寫硬盤，這樣就實現(xiàn)了對硬盤的徹底控制，也解決了傳統(tǒng)保護(hù)卡的BIOS層容易被旁路掉的弊病。對計算機(jī)各種非法入侵操作、機(jī)器狗等病毒、木馬進(jìn)行徹底的隔離和還原，從而達(dá)到對計算機(jī)進(jìn)行徹底防毒的目的。

五、小結(jié)

雖然說機(jī)器狗病毒是以hook方式入侵系統(tǒng)，接替硬盤驅(qū)動的方式效率太低了，而且毀壞還原的方式這也不是最好的，還有就是這種技術(shù)應(yīng)用范圍非常小，只有還原技術(shù)廠商范圍內(nèi)有傳播，所以，很多論壇的人說很可能只是行業(yè)內(nèi)杠，但是對于目前很多高校計算機(jī)實驗室以還原軟件或是還原卡為主要為主要維護(hù)的手段來說，機(jī)器狗病毒的出現(xiàn)其實給管理帶來很多在電腦系統(tǒng)維護(hù)的困難，而藍(lán)心防毒卡給使用者降低的維護(hù)成本。只有實驗室的計算機(jī)軟件環(huán)境好啦，實驗室計算機(jī)才能更好的為廣大師生服務(wù)。

[1]徐寧,朱連津,黃大剛.高校計算機(jī)機(jī)房的病毒防護(hù)[J].實驗室科學(xué),2007,04.

[2]佚名.五步讓系統(tǒng)遠(yuǎn)離機(jī)器狗病毒侵?jǐn)_[J].計算機(jī)與網(wǎng)絡(luò),2008,05.

[3]藍(lán)芯防毒卡使用指南.

高清江，廣州大學(xué)華軟軟件學(xué)院實驗員，助理實驗師，從事高校實驗室管理工作。