對還原系統技術的分析

系統的還原點如果還原的時候不起作用了，還是還原時出了別的問題?難道系統還原只是乙個擺設? 它究竟要如何使用，才能達到我們所想要的一種結果?使用還原系統環境的使用者一般都不會安裝其他的防護軟體，一旦還原軟體被穿透的話，會帶來比較大的安全威脅。

還原系統技術原理

還原系統基本原理是磁碟裝置過濾驅動。比較常用方法是自己會建乙個磁碟卷裝置，在harddiskx進行檔案過濾。過濾驅動如何做到還原?首先還原系統會在磁碟上分配一塊預留的區域，應用程式以為他已經寫到真實磁碟，實際上被分配到一塊內容區域裡，真實磁碟根本就沒有被寫入。

還原系統脆弱的原因是通過磁碟裝置上的過濾驅動，也就是說跟磁碟裝置沒有緊密聯絡，只要被攻擊者使用摘除或者繞過方法就可以把磁碟請求傳送到真實磁碟上。

穿透基本原理

必須使讀寫請求不經過還原系統物理驅動，而是到了下層的物理磁碟裝置。這裡就有一個穿透思路，乙個磁碟請求是從上層逐層發布到下層，只要監控傳送路徑，進行對比操作，就可以作為乙個還原穿透的角色。

穿透還原系統，實施進行網路攻擊

知道原理之後對如何穿透還原也就很簡單了，既然還原系統都在磁碟上過濾驅動，只要我們解除過濾驅動與真實磁碟之間的關係，繞過過濾關係的話，就等於直接穿透了還原。不外忽有以下三種情況：

一、dr0裝置過濾裝置鏈摘鏈。這種方法其實就是摘除乙個harddiskdr0上的過濾裝置。指明裝置上會有哪些過濾裝置，第一代機器狗病毒將這個域給清零，導致還原系統裝置被清除，所有請求就不通過還原系統直接到達過濾磁碟裝置。對於沒有防備的還原系統就被成功攻破了。國內大部分還原系統都沒有辦法對抗這種技術。但是這種技術也是有一些缺陷的，只能摘除在dr0上的物理裝置。檔案請求先到達磁碟卷，磁碟卷上的過濾裝置摘除的話對系統有影響。所以機器狗病毒使用了自己解析檔案系統方式進行感染，來實施進行網路攻擊。

二、會自己建立虛擬磁碟裝置，作為磁碟卷掛載到檔案系統上，對虛擬磁碟讀寫影射到真實磁碟，將請求下發到下層裝置。相對機器狗來說，這種方法不需要對磁碟系統摘除，可以通過檔案對虛擬磁碟操作，操作結果是和對真實磁碟操作是一樣的，可以成功穿透還原。在這裡還用一種方式就是他沒有直接傳送磁碟讀寫請求，傳送scsi-request-block下發到下層磁碟裝置。

三、不使用驅動程式，直接在使用者模式穿透還原系統。磁碟系統提供一套passthrough指令，不向磁碟傳送直接請求，就可以獲取磁碟資訊甚至直接讀寫磁碟扇區。ide/scsi/ata pass through指令穿透還原，ring3下使用devicelocontrel函式傳送請求。大多數還原系統對此過濾不嚴或根本未過濾，導致在ring3 下即可達成攻擊。

還原系統防禦

我們知道網咖/公共場所幾乎100%安裝了還原裝置，一旦還原系統被穿透的話，後果不堪設想，可見還原系統對網路完全是很重要的，主動防禦更為主要。

一、更底層的磁碟讀寫監視。他們開發起來難度比較大，短期內沒有辦法形成比較大的規模。guardfield這套系統如果有一定時間可以進行修改的話，還是可以用現有系統相容，對磁碟底盤操作進行監視。它的好處就是可以更早的監視

二、脫鉤，可以適量的自我保護、恢復。如果攻擊者對防禦者產生一些針對性攻擊，等於攻擊者容易落入乙個被動挨打的局面。如果已經到脫鉤了，說明攻擊者已經比較窮了。還原系統在軟體方面的對抗應該是沒有止境的。

三、行為管理預防

1、建立良好的安全習慣，不開啟可疑郵件和可疑**;

2、很多病毒利用漏洞傳播，一定要及時給系統打補丁;

3、安裝專業的防毒軟體公升級到最新版本，並開啟實時監控程式;

4、為本機管理員賬號設定較為複雜的密碼，預防病毒通過密碼猜測進行傳播。

5、開啟防護中心開啟全部防護，防止病毒通過ie漏洞等侵入計算機。

還原系統未來趨勢

我們現在有guardfield的保護，惡意攻擊者肯定會開發出一些新的更新，對抗guardfield。他們可能會使用哪些手段，猜測主要有兩方面：第一，更底層或者更新的磁碟讀寫技術，繞過磁碟irp分析，直接寫入磁碟。第二，針對guardfield本身的工具，對guardfield進行破壞、脫鉤。發布之後，大概不到兩天時間就有新的驅動出來，對我們guardfield脫鉤。

由此可見，在防禦體系下，安全執行維護的理念也發生了改變，執行機制由原來的救火隊轉變為主動出擊。如果我們使用完全的主動防禦技術，充分利用還原系統保護技術，我們將會遠離網路安全風險。

對還原系統技術的分析

還原系統保護技術原理和攻防

linux 系統的備份和還原

linux系統的備份與還原

對還原系統技術的分析

還原系統保護技術原理和攻防

linux 系統的備份和還原

linux系統的備份與還原

相關推薦