- 註冊時間
- 2014-5-14
- 精華
- 在線時間
- 小時
- 米币
-
- 最後登錄
- 1970-1-1
累計簽到:278 天 連續簽到:1 天
|
首先使用还原卡是一种简单有效的防病毒的方法,这不可否认。老夫只是认为使用还原卡不如使用沙盒,以下是我的看法,ganber兄,别介意啊。/ A3 y& m6 e t4 M
4 m d2 `) _* V我们先来了解一下还原卡是什么?还原卡就是可以让你的计算机在被破坏的时候,把系统还原到最开始的状态,这里的被破坏是包括有意或无意的删除、更改系统文件,从而达到防御病毒的目的。
( U- K- j j0 q& \1 i; p0 o! D8 J7 L" w w& F* ? V: V: n: v
还原卡分硬件还原和软件还原两种,软件还原就不说了,我们重点说下硬件还原。硬件还原卡其实就是一块硬件芯片,把它和其它的电路元件集成到一块扩展卡,然后插在计算机的PCI扩展槽里。 j1 X9 b7 P/ N0 S; {
5 T* s f- }" \. \5 m
那它是怎么工作的呢?首先它要接管基本输入输出系统的INT13中断,接着备份文件分区表、引导区及中断向量表等信息,把这些都存在硬盘里的保留扇区里,然后把自带的以上信息替换并调用。然后不同的还原卡厂商会用不同的方法,把一层过滤驱动嵌入在文件系统和磁盘驱动之间,然后把所有磁盘的读写都映射到缓冲区中,所以还原卡要想正常工作那么最重要的就要在Windows操作系统启动前就要得到执行权,并在硬盘的第0磁头0磁道的第一个扇区(也就是我们常说的MBR了)写入自己的代码,把原来的把硬盘原来的MBR的数据保存在其它的扇区中。还原系统修改中断INT 13H入口后,还会修改其它的一些中断入口。并监控INT 13H的入口地址,数据一旦有变化就立刻把它恢复成原来的数据。这就是还原卡的工作原理。
7 H8 |4 _" U. t8 i0 K* ?7 @4 c0 e6 b3 U" s7 ^' w
好吧原理出来的,那病毒也就来了,具体的因版规我不方便多说,反正就是采用了Hook系统的磁盘设备栈达到穿透目的,把恶意数据用覆盖的方式写入硬盘,让硬盘中的一个文件被真实的覆盖。注意,此病毒病毒并没有破坏‘还原保护程序’系统,也没有使其还原功能失效。只是安装了一个病毒自己的磁盘过滤驱动去操作真实的磁盘I/O端口,它的功能基本只有一个,自行下载很多其它恶意程序并安装运行,但重新启动计算机后,这些都会被‘还原保护程序’系统还原掉的,只是唯一那个被修改覆盖的真实磁盘文件没有被还原。如果发现重新启动计算机后,系统中依然有一大堆病毒在运行,其实,这些都是系统重新启动后,由那个被修改覆盖后的系统程序全部重新下载回来并安装运行的恶意程序。也就是说,每次重新启动计算机,都要重新下载安装一次所有的其它恶意程序”。
; T- Q. K, ~4 ]* z
2 t1 Q7 S) }* Q, p8 m- w( N$ p最后,还原卡为什么能被穿透是因为磁盘过滤驱动的保护级别不高,病毒又是使用的绝对偏移量的方式写硬盘数据,所以还原卡也不是很安全!5 S8 p( w- T$ l5 ]* e# U
7 y+ G2 u A- ^ |
|