劉衛(wèi)平

(東方地球物理公司裝備事業(yè)部吐哈作業(yè)部 新疆哈密)

地震勘探儀器病毒防護(hù)方法研究

劉衛(wèi)平

(東方地球物理公司裝備事業(yè)部吐哈作業(yè)部 新疆哈密)

日益猖獗的計算機病毒已經(jīng)直接威脅到了地震勘探儀器的正常工作,本文針對地震勘探儀器的特點,對地震勘探儀器的病毒防護(hù),特別是針對地震勘探儀器的病毒主動防護(hù)進(jìn)行了探討。

地震儀器;病毒防護(hù);病毒類型

0 引 言

隨著計算機技術(shù)的飛速發(fā)展,計算機病毒也日益猖獗,對廣大計算機用戶造成了極大地威脅。目前,相當(dāng)一部分地震勘探儀器(包括多數(shù)淺層地震儀)所使用的軟件平臺都是Microsoft Windows操作系統(tǒng)。由于Microsoft Windows系統(tǒng)應(yīng)用廣泛,基于Windows系統(tǒng)的病毒泛濫已是眾所周知的事。地震儀、淺層折射儀感染病毒的案例也時有發(fā)生,影響了儀器的正常使用,相應(yīng)地,地震勘探儀器病毒防護(hù)工作也越來越引起人們的重視。本文就基于Microsoft Windows系統(tǒng)的地震勘探儀器的病毒防護(hù)問題來進(jìn)行分析,以期找出行之有效的病毒防護(hù)措施[1]。

1 常見病毒類型、傳播途徑及危害分析

計算機病毒類型根據(jù)破壞方式主要有以下三類:

1)數(shù)據(jù)破壞型:該類病毒主要攻擊計算機系統(tǒng)的存儲系統(tǒng),造成資料丟失;

2)系統(tǒng)破壞型:該類病毒主要攻擊計算機操作系統(tǒng)文件,使系統(tǒng)癱瘓甚至崩潰;

3)網(wǎng)絡(luò)破壞型:該類病毒主要攻擊計算機的網(wǎng)絡(luò)系統(tǒng),使網(wǎng)絡(luò)性能降低甚至堵塞。

計算機病毒的傳播途徑主要有以下四種方式:

1)網(wǎng)絡(luò)傳播方式

①在網(wǎng)上下載了攜帶病毒的文件,運行這些帶病毒的文件后而導(dǎo)致計算機被感染;

②瀏覽隱藏病毒的網(wǎng)頁時,病毒通過IE瀏覽器自動安裝到計算機;

③在局域網(wǎng)內(nèi)利用網(wǎng)上鄰居傳播。

2)存儲介質(zhì)傳播方式通過軟盤、U盤、移動硬盤、光盤等移動存儲介質(zhì)傳染。通常都在存儲設(shè)備的根目錄下建立AUTORUN.INF文件和一個或若干個可執(zhí)行文件,AUTORUN.INF在插入光盤、u盤、移動硬盤時或在打開存儲設(shè)備時自動運行,完成病毒的傳播。

3)文件傳播方式

EXE文件、com文件、office文檔及一些經(jīng)過偽裝的TXT文檔都會成為病毒文件的載體。

4)引導(dǎo)區(qū)傳播方式

病毒感染到磁盤(硬盤、軟盤、移動硬盤)的引導(dǎo)區(qū),在系統(tǒng)啟動時感染到計算機。

無論是哪種傳播方式,它都可以攜帶任何形式的病毒。

2 病毒對地震儀器系統(tǒng)的危害[2]

1)病毒文件大部分都是常駐內(nèi)存,占用CPU時間及內(nèi)存,會使系統(tǒng)性能降低;

2)網(wǎng)絡(luò)破壞型病毒對SYSTEM-IV、ARAMAREIS等使用網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)膬x器危害極為嚴(yán)重,可能造成中央控制單元各主機之間、中央控制單元與外部設(shè)備通訊阻斷以及一些其它未知的危害;

3)數(shù)據(jù)破壞型病毒、系統(tǒng)破壞型病毒會造成系統(tǒng)紊亂甚至崩潰。

3 地震勘探儀器病毒防護(hù)現(xiàn)狀[3、4]

對地震勘探儀器來說,由于儀器孤立于互聯(lián)網(wǎng),只與外部計算機通過移動存儲介質(zhì)來交換SPS文件及地震數(shù)據(jù),因此,主要通過存儲介質(zhì)傳播類、文件傳播兩種方式感染外界病毒(對于使用網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)膬x器,病毒會通過被感染的主機通過網(wǎng)絡(luò)傳播方式感染到其它主機)。

目前大多數(shù)基于windows系統(tǒng)的地震勘探儀器都安裝了殺毒軟件,但應(yīng)用效果不理想,起不到有效的保護(hù)作用。

1)與系統(tǒng)的兼容性差:由于地震勘探儀器軟件系統(tǒng)十分龐雜,殺毒軟件的實時防護(hù)功能會禁止部分程序無法運行。在正常使用中必須退出殺毒軟件。

2)所安裝的殺毒軟件病毒庫得不到及時升級,使得殺毒能力減弱;

3)殺毒軟件病毒庫總是滯后于病毒。

病毒在傳播時一般必須具有以下條件:

傳播途徑:通過存儲介質(zhì)傳播、通過網(wǎng)絡(luò)傳播;

存儲介質(zhì):在計算機中存儲;

激活條件:通過系統(tǒng)自動加載或人為啟動,如圖1所示。

圖1 計算機病毒的生命周期

3.1 從傳播途徑入手,阻止病毒進(jìn)入系統(tǒng)[3、4]

由于地震勘探儀器施工時屬于獨立系統(tǒng),病毒的傳播主要通過移動存儲介質(zhì)來實現(xiàn),影響系統(tǒng)的主要是文件傳播型和存儲介質(zhì)傳播型兩類:

文件傳播型:該類傳播方式屬于被動傳播,只有通過人為拷貝到儀器并激活或在存儲設(shè)備與儀器系統(tǒng)連接時人為激活的情況下才會進(jìn)行傳播,不會進(jìn)行自動傳播。地震勘探儀器與外界交互的數(shù)據(jù)主要為文本各式的sps文件、儀器測試文件以及地震數(shù)據(jù),這幾類文件都不具備傳播病毒的能力,通過提高操作人員的防病毒意識,禁止有可能攜帶病毒的文件(.exe、.com、excel文檔、word文檔等)進(jìn)入儀器,個別儀器(如SYSTEM-IV)需導(dǎo)入excel文件時,可先轉(zhuǎn)換為文本文件再拷入儀器,就可以避免該類病毒的感染。

存儲介質(zhì)傳播型:該類傳播方式屬于主動傳播,在使用者打開移動存儲設(shè)備時,病毒自動感染系統(tǒng),是目前最主要的病毒傳播方式,它主要利用autorun.inf文件引導(dǎo)病毒文件自動運行,該文件最初是用來引導(dǎo)光盤自動運行,后被病毒制造者利用,成為傳播病毒的工具,硬盤感染了該了類病毒后,即使格式化系統(tǒng)盤重裝系統(tǒng),病毒依然存在,原理如下:

[autorun]

Open=“病毒文件名”

Shellopen=打開(&0)

Shellopencommand=“病毒文件名”

Shellexplores=資源管理器(&X)

Shellexplorescommand=“病毒文件名”

由于存儲設(shè)備的打開行為被重新定義為執(zhí)行病毒文件,只要打開該設(shè)備(雙擊或用右鍵菜單),病毒就會被執(zhí)行病感染系統(tǒng)。我們可以利用ntfs系統(tǒng)的權(quán)限管理功能來阻止病毒通過這種方式進(jìn)入系統(tǒng):

Ntfs系統(tǒng)可以定義用戶對文件系統(tǒng)的訪問權(quán)限,如讀、寫、執(zhí)行等,移動硬盤在格式化時可以直接做成ntfs格式,而u盤無法用ntfs格式進(jìn)行格式化,需用以下命令進(jìn)行轉(zhuǎn)換:

Convert x:/fs:ntfs/x

然后在U盤(活動硬盤)根目錄下建立一個文件夾,再開始設(shè)置權(quán)限:

1)將根目錄權(quán)限設(shè)置為“everyone”只讀;

2)將文件夾的權(quán)限設(shè)置為“everyone”讀和寫,由于沒有執(zhí)行權(quán)限,一些利用文件夾傳播的病毒(如歡樂時光)同樣不會感染到儀器。

通過以上設(shè)置,病毒就無法將autorun.inf文件及病毒主程序?qū)懙礁夸浵?而正常的數(shù)據(jù)交換可以在文件夾內(nèi)進(jìn)行,以上方法設(shè)置不當(dāng)會導(dǎo)致文件夾內(nèi)數(shù)據(jù)無法刪除、無法拷貝等問題,為了便于設(shè)置,可以編制程序來解決,以下是編制的設(shè)置程序,如圖2所示。

圖2 病毒防護(hù)程序

需要注意的是,病毒程序同樣可以修改權(quán)限來寫入病毒,因此,在設(shè)置權(quán)限前先另外建立一個賬戶,然后以該賬戶登陸進(jìn)行設(shè)置,病毒程序由于無法獲得所有權(quán),也就不能對權(quán)限進(jìn)行更改。

該方法在野外施工期間比較適用,但存在一些不足:

1)在對儀器系統(tǒng)升級時,不可避免的要從外部拷入升級用的可執(zhí)行文件,如果這些文件被病毒感染,就會對儀器系統(tǒng)造成危害;

2)遠(yuǎn)程計算機與儀器系統(tǒng)聯(lián)網(wǎng)進(jìn)行遠(yuǎn)程質(zhì)量監(jiān)控、遠(yuǎn)程技術(shù)支持、遠(yuǎn)程數(shù)據(jù)傳送時,病毒會通過網(wǎng)絡(luò)進(jìn)入儀器,對系統(tǒng)造成危害。因此,還需進(jìn)一步研究。

3.2 從存儲介質(zhì)入手,阻止病毒文件的建立

1)保護(hù)文件系統(tǒng):為了防止被使用者發(fā)現(xiàn),病毒文件經(jīng)常隱藏在系統(tǒng)目錄(windows、winnt、system、system32等)下,鑒于地震儀器系統(tǒng)軟件安裝頻率很低,我們同樣可以采用權(quán)限設(shè)置的方法,為所有賬戶將這些文件夾權(quán)限設(shè)為執(zhí)行和讀權(quán)限,病毒就無法寫入這些文件夾,同樣需要考慮所有權(quán)的問題,在安裝系統(tǒng)時建立普通用戶名,安裝采集軟件時再建立專用用戶名,進(jìn)行權(quán)限設(shè)置時用普通用戶名,用采集系統(tǒng)專用用戶名設(shè)置權(quán)限就會失去作用。

2)預(yù)植入已知的病毒文件名:在系統(tǒng)升級時有時需要在系統(tǒng)文件夾內(nèi)寫入文件,就需要放開系統(tǒng)文件夾的權(quán)限,病毒文件這時就可以寫入這些文件夾內(nèi),為了防止病毒文件的建立,在這些文件夾內(nèi)預(yù)先建立和病毒文件同名的文件,并取消任何權(quán)限,防止被刪除,起到免疫的作用;用同樣的方法在硬盤每個分區(qū)的根目錄下建立autorun.inf文件夾和病毒文件名,阻止該類病毒。

以上方法并不能防止所有的病毒,它可以建立在一個我們熟悉的文件夾內(nèi)而達(dá)到隱藏的目的,為此,還需進(jìn)行激活方面的研究。

3.3 從啟動方式入手,阻止病毒被激活

病毒在復(fù)制文件的同時,會同時設(shè)定自啟動方式來激活,常見的有以下幾種方式:

1)在“啟動”文件夾建立快捷方式,在用戶登陸時開始自動運行。這種方式可以通過將“啟動”文件夾設(shè)置為“讀取“和“運行“權(quán)限來解決;

2)通過更改文件的關(guān)聯(lián)來實現(xiàn);

3)通過win.ini自動加載;

4)通過修改注冊表來達(dá)到自啟動目的,主要有以下幾種方法:

①在run鍵值下建立啟動項;②采用修改image鏡像的方法;③掛載在userinit下;

④掛載在explore.exe下;

⑤利用注冊表其他能夠引導(dǎo)程序執(zhí)行的功能實現(xiàn)。

5)利用autoexec.bat啟動病毒

這些問題可以采用設(shè)定文件、文件夾安全權(quán)限、鎖定注冊表的方法來解決,防止病毒被激活。

由于以上工作通過手工方法比較繁瑣,難度較大,可以編制程序來解決,以下是編制的設(shè)置程序,如圖3所示。

圖3 病毒防護(hù)程序

該程序在428XL、SYSTEM-IV、NZII-48等儀器上測試通過,經(jīng)過一年多的使用,可以起到較好的病毒防護(hù)作用。

4 病毒防護(hù)建議

根據(jù)以上分析,地震勘探儀器的病毒防護(hù)工作應(yīng)特別注意以下問題:

1)升級文件在拷入儀器系統(tǒng)前一定要做好殺毒工作;

2)儀器施工結(jié)束后應(yīng)做全面的殺毒、安裝系統(tǒng)補丁工作;

3)由于該方法不具備病毒查殺功能,可以配合免安裝版殺毒軟件(單次運行,無監(jiān)控、實時保護(hù)功能)一起使用,以增強防毒效果。

鑒于計算機系統(tǒng)的特點,病毒的存在將是長期的和不可避免的,新形式的病毒也會不斷出現(xiàn),我們還需在實踐中不斷探索,提高地震勘探儀器的病毒防護(hù)能力,保障地震勘探儀器的正常運行。

[1] 譚峰軟件工作室.Windows 98/Me/NT/2000XP注冊表配置與使用[M].北京:人民郵電出版社,2002

[2] 卓新建.計算機病毒原理及防治[M].北京:郵電大學(xué)出版社,2004

[3] 張仁斌,李 鋼,侯整風(fēng).計算機病毒與反病毒技術(shù)[M].北京:清華大學(xué)出版社,2007

[4] 劉衛(wèi)平.淺談地震勘探儀器的病毒防護(hù)[J].物探裝備,2007,17(4)

TP393.O8

B

1004-9134(2010)06-0094-03

劉衛(wèi)平,男,1970年生,工程師,1990年畢業(yè)于蘭州電子工業(yè)學(xué)校電子技術(shù)專業(yè),現(xiàn)在東方地球物理公司裝備事業(yè)部吐哈作業(yè)部從事地震勘探儀器技術(shù)支持與維修工作。郵編:839009

2010-03-04編輯:梁保江)