廣州大學華軟軟件學院 高清江

防毒卡在計算機實驗室機器狗病毒防范的應用

廣州大學華軟軟件學院 高清江

高校計算機實驗室的管理是一個重要的研究內容。本文從高校實驗室計算機常見的保護卡失效問題出發(fā)，詮釋了機器狗病毒的危害以及保護卡對其失效的原因；在此基礎上提出了藍心防毒卡在機器狗病毒防范上的應用，對高校實驗室計算機的文件系統(tǒng)管理有著現(xiàn)實的指導意義。

計算機實驗室；系統(tǒng)保護；機器狗病毒；防毒卡

目前，幾乎所有高等學校各個專業(yè)都開設與計算機相關的基礎課程，計算機在現(xiàn)代教學中的使用頻率也越來越高，在教學中的輔助作用越來越大，機實驗室已成為學生學習計算機課程和完成各種設計任務的重要實踐場所，但計算機遭到人為破壞、誤操作、感染計算機病毒等情況在實驗室常會發(fā)生，尤其是機器狗病毒日益猖獗，又是無時不在、無孔不入的，使計算機不能正常運行，從而影響正常的教學實驗任務。如何采取快速實用的方法，科學有效地使計算機系統(tǒng)不受機器狗病毒的破壞，創(chuàng)造穩(wěn)定可靠的實驗環(huán)境，是高校計算機實驗室管理中面臨的一個重要問題。

一、計算機實驗室電腦難以管理的問題分析

機房維護的現(xiàn)狀機房計算機維護是一項極為繁瑣的工作。使用計算機，就一定會有損壞，由于筆者學校是一所軟件學院，所以學校使用計算機的工作時間遠遠要高于其它院校，所以計算機的損壞率非常高。計算機損壞一般分為軟件損壞和硬件損壞。對于硬件的損壞處理放法也只有更換硬件，而對于軟件環(huán)境損壞筆者人為時主要是由人為和病毒（尤其機器狗病毒）造成的。

1.人為操作對系統(tǒng)文件的損壞

在教學過程中實驗室里的電腦因為學生的誤操作以及由于好奇所做的嘗試性破壞，很容易造成系統(tǒng)無法啟動或經(jīng)常死機，如很多學生由于好奇心較強而喜歡刪除操作系統(tǒng)的文件，設計系統(tǒng)參數(shù)，導致系統(tǒng)崩潰。有的學生在實驗室的電腦加裝游戲軟件或是其它與教學無關的軟件，計算機的軟件環(huán)境、桌面等往往會改得面目全非從而使得電腦運行速度緩慢，影響了教學質量。自從有了還原軟件（如還原精靈等）或還原卡（如三茗保護卡等）技術的出現(xiàn)，對于這種人為操作損壞一般的還原軟件或還原卡都能夠解決，它們可以瞬間恢復各種有意或無意導致的數(shù)據(jù)丟失。

2.機器狗病毒引起保護卡失效

過去大家在使用保護卡的過程中遇到過很多問題，其中最突出、最令人頭疼的莫過于保護卡失效、無法保護的問題，這些問題大都是由保護卡被“機器狗”之類的病毒穿透引起的。通常人們把具有破壞作用的程序稱為計算機病毒，是一種人為制造的、在計算機運行中對計算機信息或系統(tǒng)起破壞作用的程序。它既有破壞性，又有傳染性和潛伏性。輕則影響機器運行速度，使機器不能正常運行；重則使機器處于癱瘓，會給用戶帶來不可估量的損失。病毒一直是計算機實驗室管理的一大難題，特別是機器狗病毒，它對計算機實驗室而言可以稱為還原卡的第一殺手。保護卡一失效計算機的系統(tǒng)文件就很容易給病毒木馬損壞而導致崩潰。

二、機器狗病毒對計算機實驗室的危害性

1.機器狗的出現(xiàn)

機器狗就是劍指計算機實驗室和網(wǎng)吧而來，針對所有的還原產(chǎn)品設計。曾經(jīng)有很多人說有穿透還原卡、冰點的病毒，但是在各個論壇都沒有樣本證據(jù)，直到2007年8月29日終于有人在社區(qū)里貼出了一個樣本。這個病毒沒有名字，圖標是SONY的機器狗阿寶，就像前輩熊貓燒香一樣，大家給它起了個名字叫機器狗。此病毒采用hook系統(tǒng)的磁盤設備棧來達到穿透目的的，危害極大，可穿透一般的軟件硬件還原，基本無法靠還原抵擋。目前已知的很多還原產(chǎn)品，都無法防止這種病毒的穿透感染和傳播。

2.機器狗的工作原理

機器狗病毒運行后，會在%WinDir%System32drivers目錄下釋放出一個名為pcihdd.sys的驅動程序，pcihdd.sys是一個底層硬盤驅動，該文件會接管冰點或者硬盤保護卡對硬盤的讀寫操作，這樣該病毒就破解了還原系統(tǒng)的保護，使冰點、硬盤保護卡失效。而機器狗本身就是一個木馬下載器，接著，該病毒會利用MS06-014和MS07-017系統(tǒng)漏洞和等多個應用軟件漏洞從惡意網(wǎng)站自動下載大量的病毒與惡意插件。然后修改接管啟動管理器，最可怕的是，會通過內部網(wǎng)絡傳播，一臺中招，能引發(fā)整個網(wǎng)絡的電腦全部自動重啟。

3.目前對機器狗病毒的處理方式

現(xiàn)在對機器狗病毒一般是給還原卡安裝免疫補丁，如三茗保護卡現(xiàn)在就有專門針對機器狗病毒的補丁，或是在操作系統(tǒng)上安裝殺毒軟件?，F(xiàn)在的免疫補丁之數(shù)是疫苗形式，以無害的樣本復制到drivers下，欺騙病毒以為本身以運行，起到阻止危害的目的。這種形式的問題是，有些用戶為了自身安全會在機器上運行一些查毒程序（比如QQ醫(yī)生之類）。這樣疫苗就會被誤認為是病毒，又要廢很多口舌。

三、普通還原卡為什么對機器狗病毒不起保護作用

保護卡不保護并不是保護卡還原算法本身出了問題，而是它所構建的保護機制被繞過去了，使得保護卡的驅動沒有被運行，是其自身的安全性出了問題，傳統(tǒng)的保護卡本質上也是一個軟件，它必須依靠硬盤讀寫控制權的獲得才能正常工作，而硬盤控制權的獲得卻恰恰是傳統(tǒng)保護卡無法保障的，普通的還原卡，物理上不直接接管硬盤讀寫；如：增霸卡、海光藍卡、小哨兵還原卡、三茗還原卡等。產(chǎn)品形式是一個擴展卡，但是跟硬盤沒有直接的關系。普通還原卡安裝在主板插槽里，在卡上有一片ROM芯片，根據(jù)PCI規(guī)范，該ROM芯片的內容在計算機啟動時將最先得到控制權，然后它接管BIOS的INT13中斷，將FAT、引導區(qū)、CMOS信息、中斷向量表等信息都保存到卡內的臨時儲存單元中或是在硬盤的隱藏扇區(qū)中，用自帶的中斷向量表來替換原始的中斷向量表；再另外將FAT信息保存到臨時儲存單元中，用來應付我們對硬盤內數(shù)據(jù)的修改；最后是在硬盤中找到一部分連續(xù)的空磁盤空間，然后將我們修改的數(shù)據(jù)保存到其中。這樣，只要是對硬盤的讀寫操作都要經(jīng)過還原卡的保護程序進行保護性的讀寫，每當我們向硬盤寫入數(shù)據(jù)時，其實還是完成了寫入到硬盤的操作，可是沒有真正修改硬盤中的FAT。而是寫到了備份的FAT表中，這就是為什么系統(tǒng)重啟后所有寫操作一無所有的原因了。普通還原卡100%都需要操作系統(tǒng)之上提供過濾驅動程序來實現(xiàn)還原算法的運轉。過濾驅動在操作系統(tǒng)之上是一個所有軟件都可以去爭奪的控制權，因此，普通還原卡不可避免的不能保證所有還原都可靠。很多病毒，如機器狗類病毒正式利用了這個漏洞，使得保護卡驅動能被繞開、保護卡驅動能被卸載，與保護卡搶奪硬盤控制權，進而旁路掉它的保護機制。本質就是破壞或繞開過濾驅動來實現(xiàn)還原的穿透。筆者學校的實驗室的電腦之前安裝的是三茗保護卡，雖然像三茗保護卡在造機器狗破解后也出了補丁，但不斷地給保護卡打著一個又一個沒有止境的補丁這給管理者帶來太多的不便。

四、基于硬盤控制技術，藍芯防毒卡在實驗室電腦機器狗病毒防范的應用

所謂“防毒”，其真實意義就體現(xiàn)在可靠的數(shù)據(jù)保護還原上，無論是保護卡還是保護軟件，其之所以能起到保護硬盤數(shù)據(jù)的作用，原理就是通過占領系統(tǒng)對硬盤的讀寫權，以達到地址轉移，從而起到保護真實數(shù)據(jù)的作用。過去的保護卡產(chǎn)品由于不具備硬盤控制權這個可靠保護還原的必要條件，是無法做到徹底“防毒”的。藍芯防毒卡是基于硬盤控制技術開發(fā)的新一代產(chǎn)品，采用將保護卡的映射還原原理和藍芯磁盤讀寫控制相結合的技術，它將硬盤控制權集成在了卡的上面，按照PC架構的規(guī)范，控制硬盤讀寫的硬件是硬盤控制器，而負責操作硬盤控制器的一個是磁盤BIOS服務（OS啟動前），另一個是磁盤驅動（OS啟動后）。對于使用傳統(tǒng)保護卡的平臺，其硬盤控制器一般都集中在主板芯片組里面，磁盤服務分別有主板BIOS和操作系統(tǒng)自帶的磁盤驅動來提供，功能上只是完成基本的硬盤讀寫操作，數(shù)據(jù)保護是通過更上層的過濾驅動來實現(xiàn)的，過濾驅動通過調用磁盤驅動的服務來實現(xiàn)對硬盤的讀寫。作為一個服務調用者其最大的安全性漏洞就在于沒有機制可以保證其他的調用者也都經(jīng)由它來訪問磁盤驅動，第三方軟件完全可以自己來調用磁盤驅動讀寫硬盤從而破壞硬盤上的真實數(shù)據(jù)；在BIOS層也一樣，有很多機器只要改變一下啟動順利，就可以跳過保護卡的控制直接讀寫硬盤了。藍芯防毒卡上面的安全芯片里集成了一個硬盤控制器，磁盤服務則完全是由卡上的BootROM和藍芯自己的磁盤驅動來提供，除了完成基本的讀寫服務以外，還有一套數(shù)據(jù)保護的邏輯算法在里面，所有調用藍芯磁盤服務進行的讀寫操作都會經(jīng)過保護算法的判斷，保證了數(shù)據(jù)讀寫的安全性，而由于藍芯是磁盤服務的提供者(非調用者)，所有的調用者必須使用藍芯提供的服務才能讀寫硬盤，這樣就實現(xiàn)了對硬盤的徹底控制，也解決了傳統(tǒng)保護卡的BIOS層容易被旁路掉的弊病。對計算機各種非法入侵操作、機器狗等病毒、木馬進行徹底的隔離和還原，從而達到對計算機進行徹底防毒的目的。

五、小結

雖然說機器狗病毒是以hook方式入侵系統(tǒng)，接替硬盤驅動的方式效率太低了，而且毀壞還原的方式這也不是最好的，還有就是這種技術應用范圍非常小，只有還原技術廠商范圍內有傳播，所以，很多論壇的人說很可能只是行業(yè)內杠，但是對于目前很多高校計算機實驗室以還原軟件或是還原卡為主要為主要維護的手段來說，機器狗病毒的出現(xiàn)其實給管理帶來很多在電腦系統(tǒng)維護的困難，而藍心防毒卡給使用者降低的維護成本。只有實驗室的計算機軟件環(huán)境好啦，實驗室計算機才能更好的為廣大師生服務。

[1]徐寧,朱連津,黃大剛.高校計算機機房的病毒防護[J].實驗室科學,2007,04.

[2]佚名.五步讓系統(tǒng)遠離機器狗病毒侵擾[J].計算機與網(wǎng)絡,2008,05.

[3]藍芯防毒卡使用指南.

高清江，廣州大學華軟軟件學院實驗員，助理實驗師，從事高校實驗室管理工作。