WK綜合論壇, WK综合论坛

查看:777 回復:0 發表於 2014-11-28 11:26:53
累計簽到:278 天
連續簽到:1 天
跳轉到指定樓層
楼主
發表於 2014-11-28 11:26:53 | 只看該作者 回帖獎勵 |倒序瀏覽 |閱讀模式
VIP精品區,資源無限好賺金任務區,輕松賺金幣
加入VIP,享受高級特權宣傳賺金又升級,超級棒

[技術討論] 关于还原卡是否安全的科普 [複製鏈接]

首先使用还原卡是一种简单有效的防病毒的方法,这不可否认。老夫只是认为使用还原卡不如使用沙盒,以下是我的看法,ganber兄,别介意啊。" j) D+ M3 j* i2 ^9 H) J/ H+ l
* A0 {. w" i+ f
我们先来了解一下还原卡是什么?还原卡就是可以让你的计算机在被破坏的时候,把系统还原到最开始的状态,这里的被破坏是包括有意或无意的删除、更改系统文件,从而达到防御病毒的目的。
% {3 h, h1 t( f  O( }) e/ O1 I( k" P' v
还原卡分硬件还原和软件还原两种,软件还原就不说了,我们重点说下硬件还原。硬件还原卡其实就是一块硬件芯片,把它和其它的电路元件集成到一块扩展卡,然后插在计算机的PCI扩展槽里。
( `6 c$ ?) q" h) u+ z; z% @! d% \/ J& B
那它是怎么工作的呢?首先它要接管基本输入输出系统的INT13中断,接着备份文件分区表、引导区及中断向量表等信息,把这些都存在硬盘里的保留扇区里,然后把自带的以上信息替换并调用。然后不同的还原卡厂商会用不同的方法,把一层过滤驱动嵌入在文件系统和磁盘驱动之间,然后把所有磁盘的读写都映射到缓冲区中,所以还原卡要想正常工作那么最重要的就要在Windows操作系统启动前就要得到执行权,并在硬盘的第0磁头0磁道的第一个扇区(也就是我们常说的MBR了)写入自己的代码,把原来的把硬盘原来的MBR的数据保存在其它的扇区中。还原系统修改中断INT 13H入口后,还会修改其它的一些中断入口。并监控INT 13H的入口地址,数据一旦有变化就立刻把它恢复成原来的数据。这就是还原卡的工作原理。
$ B/ ^" I! u! v- Z+ U# k5 q9 h4 I8 u0 q) z
好吧原理出来的,那病毒也就来了,具体的因版规我不方便多说,反正就是采用了Hook系统的磁盘设备栈达到穿透目的,把恶意数据用覆盖的方式写入硬盘,让硬盘中的一个文件被真实的覆盖。注意,此病毒病毒并没有破坏‘还原保护程序’系统,也没有使其还原功能失效。只是安装了一个病毒自己的磁盘过滤驱动去操作真实的磁盘I/O端口,它的功能基本只有一个,自行下载很多其它恶意程序并安装运行,但重新启动计算机后,这些都会被‘还原保护程序’系统还原掉的,只是唯一那个被修改覆盖的真实磁盘文件没有被还原。如果发现重新启动计算机后,系统中依然有一大堆病毒在运行,其实,这些都是系统重新启动后,由那个被修改覆盖后的系统程序全部重新下载回来并安装运行的恶意程序。也就是说,每次重新启动计算机,都要重新下载安装一次所有的其它恶意程序”。5 ~" X# j$ n9 L; U6 Z8 {$ Y

# v2 A! o! P, Q& A4 T" [最后,还原卡为什么能被穿透是因为磁盘过滤驱动的保护级别不高,病毒又是使用的绝对偏移量的方式写硬盘数据,所以还原卡也不是很安全!, T5 h' V6 c2 N" Y4 j" q; d
/ i2 H# B1 Y. z
收藏收藏 贊贊(0)
把本文推薦給朋友或其他網站上,每次被點擊增加您在本站積分︰1宣傳

回復樓主 親!! 現在是淩晨!妳失眠啦?餓啦?通宵加班?還是想WK啦?

 分享同時學會感恩,一句感謝的話語,就是最大的支持!  歡迎交流討論
您需要登錄後才可以回帖 登錄 | 立即注册

本版積分規則

c重要聲明:本論壇是以即時上載言論的方式運作,WK論壇對所有言論的真實性、立場及版權等,不負任何法律責任。而一切言論只代表發佈者個人意見,並非本網站之立場,讀者及用戶務必自行判斷內容之真實性。 由於本論壇受到「即時上載言論」運作方式所規限,故不能完全監察所有言論,若讀者及用戶發現有內容出現「真實性、立場及版權」等問題,請聯絡我們:[email protected]論壇有權刪除任何言論(刪除前或不會作事先警告及通知)| SiteMap[網站地圖] | DMCA

發表新帖 返回頂部