360首席工程师:还原技术原理和攻防

反木马专家郑文彬

3月19日，由中国最大的互联网综合服务提供商腾讯发起和组织的互联网安全峰会进入第二天。包括微软、盛大、新浪等互联网界各大巨头的技术专家，学者和专业人士参与了此次的交流。此次峰会是今年以来首场由中国互联网各顶尖企业共同参与的大型网络安全专业盛会。

来自奇虎的反木马专家郑文彬，在现场发表演讲。以下为文字实录：

郑文彬：大家好！我今天给大家介绍这几个方面：背景、还原系统技术原理概览、流行还原系统穿透技术介绍、通用还原系统保护技术、演示&GuardField、还原系统保护之未来趋势。最近一段时间，有机器狗这类病毒工具对还原系统攻击，使用还原系统环境的用户一般都不会安装其他的防护软件，一旦还原软件被穿透的话，会带来比较大的安全威胁。

还原系统技术原理：基本原理是磁盘设备过滤驱动。比较常用方法是自己会建一个磁盘卷设备，在harddiskX进行文件过滤。过滤驱动如何做到还原？首先还原系统会在磁盘上分配一块预留的区域，应用程序以为他已经写到真实磁盘，实际上被分配到一块内容区域里，真实磁盘根本就没有被写入。

下面介绍一下还原软件怎么更新过滤。首先是一个普通的Windows程序，会调用Win32API，从用户模式到内存模式，这些函数调用Windows内核，把文件请求发到文件系统上，根据磁盘卷分区格式不同来创建。文件系统设备会将上层发来的文件读写请求转化磁盘读写请求，在harddisk volume之前会有还原系统过滤驱动。再往下会根据硬盘接口不同而有不同。如果IDE结构硬盘，会发布到电源系统。api最终会调用函数读写端口。如果是USB设备，会发送到usb stor。

最新文章排行

• [技巧]ESET NOD32 发现病毒不清除的解 
• [总结]揭开网上购物的六种流行骗术
• [技巧]ekrn.exe占CPU100 真正原因及方 
• [技巧]病毒破坏文件 教你从盘中提取原 
• [总结]浅谈安全网购的基本思路
• [评测]安全辅助工具横向测试 卡卡vs360
• [技巧]“免费下载”大蜘蛛教您跳过病毒 
• [总结]杀毒软件 收费与免费的争霸
• [总结]主动防御还是主动免疫？
• [总结]揭开主动免疫的神秘面纱 墨者革 

社区互动

• [活动]HP Pavilion dv2000 创意春节秀
• [活动]拿起一切可以拍照工具为宠物添加色
• [活动]柯达年末
• 今日潜入猴子总部，有图为证。
• 抓拍美女——一张流
• 新天地来了外国美女让你喜欢
• 诱惑私房——预告片