来源:安全中国

系统的还原点如果还原的时候不起作用了，还是还原时出了别的问题?难道系统还原只是一个摆设? 它究竟要如何使用，才能达到我们所想要的一种结果?使用还原系统环境的用户一般都不会安装其他的防护软件，一旦还原软件被穿透的话，会带来比较大的安全威胁。

　　还原系统技术原理

　　还原系统基本原理是磁盘设备过滤驱动。比较常用方法是自己会建一个磁盘卷设备，在harddiskX进行文件过滤。过滤驱动如何做到还原?首先还原系统会在磁盘上分配一块预留的区域，应用程序以为他已经写到真实磁盘，实际上被分配到一块内容区域里，真实磁盘根本就没有被写入。

　　还原系统脆弱的原因是通过磁盘设备上的过滤驱动，也就是说跟磁盘设备没有紧密联系，只要被攻击者使用摘除或者绕过方法就可以把磁盘请求发送到真实磁盘上。

　　穿透基本原理

　　必须使读写请求不经过还原系统物理驱动，而是到了下层的物理磁盘设备。这里就有一 个穿透思路，一个磁盘请求是从上层逐层发布到下层，只要监控发送路径，进行对比操作，就可以作为一个还原穿透的角色。

　　穿透还原系统，实施进行网络攻击

　　知道原理之后对如何穿透还原也就很简单了，既然还原系统都在磁盘上过滤驱动，只要我们解除过滤驱动与真实磁盘之间的关系，绕过过滤关系的话，就等于直接穿透了还原。不外忽有以下三种情况：

　　一、DR0设备过滤设备链摘链。这种方法其实就是摘除一个harddiskDR0上的过滤设备。指明设备上会有哪些过滤设备，第一代机器狗病毒将这个域给清零，导致还原系统设备被清除，所有请求就不通过还原系统直接到达过滤磁盘设备。对于没有防备的还原系统就被成功攻破了。国内大部分还原系统都没有办法对抗这种技术。但是这种技术也是有一些 缺陷的，只能摘除在DR0上的物理设备。文件请求先到达磁盘卷，磁盘卷上的过滤设备摘除的话对系统有影响。所以机器狗病毒使用了自己解析文件系统方式进行感染，来实施进行网络攻击。

　　二、会自己创建虚拟磁盘设备，作为磁盘卷挂载到文件系统上，对虚拟磁盘读写影射到真实磁盘，将请 求下发到下层设备。相对机器狗来说，这种方法不需要对磁盘系统摘除，可以通过文件对虚拟磁盘操作，操作结果是和对真实磁盘操作是一样的，可以成功穿透还原。在这里还用一种方式就是他没有直接发送磁盘读写请求，发送SCSI-REQUEST-BLOCK下发到下层磁盘设备。

　　三、不使用驱动程序，直接在用户模式穿透还原系统。磁盘系统提供一套passthrough指令，不向磁盘发送直接请求，就可以获取磁盘信息 甚至直接读写磁盘扇区。IDE/SCSI/ATA Pass Through指令穿透还原，RING3下使用Devicelocontrel函数发送请求。大多数还原系统对此过滤不严或根本未过滤，导致在RING3 下即可达成攻击。

　　还原系统防御

　　我们知道网吧/公共场所几乎100%安装了还原设备，一旦还原系统被穿透的话，后果不堪设想，可见还原系统对网络完全是很重要的，主动防御更为主要。

　　一、更底层的磁盘读写监视。他们开发起来难度比较大，短期内没有办法形成比较大的规模。GuardField这套系统如果有一定时间可以进行修改的 话，还是可以用现有系统兼容，对磁盘底盘操作进行监视。它的好处就是可以更早的监视

　　二、脱钩，可以适量的自我保护、恢复。如果攻击者对防御者产生一些针对性攻击，等于攻击者容易落入一个被动捱打的 局面。如果已经到脱钩了，说明攻击者已经比较穷了。还原系统在软件方面的对抗应该是没有止境的。

　　三、行为管理预防

　　1、建立良好的安全习惯，不打开可疑邮件和可疑网站;

　　2、很多病毒利用漏洞传播，一定要及时给系统打补丁;

　　3、安装专业的防毒软件升级到最新版本，并打开实时监控程序;

　　4、为本机管理员账号设置较为复杂的密码，预防病毒通过密码猜测进行传播。

　　5、打开防护中心开启全部防护，防止病毒通过IE漏洞等侵入计算机。

　　还原系统未来趋势

　　我们现在有GuardField的保护，恶意攻击者肯定会开发出一些新的更新，对抗GuardField。他 们可能会使用哪些手段，猜测主要有两方面：第一，更底层或者更新的磁盘读写技术，绕过磁盘IRP分析，直接写入磁盘。第二，针对GuardField本身 的工具，对GuardField进行破坏、脱钩。发布之后，大概不到两天时间就有新的驱动出来，对我们GuardField脱钩。

　　由此可见，在防御体系下，安全运行维护的理念也发生了改变，运行机制由原来的救火队转变为主动出击。如果我们使用完全的主动防御技术，充分利用还原系统保护技术，我们将会远离网络安全风险。