查看: 4586|回复: 7
收起左侧

[分享] 影子系统如果能像沙盘一样对写保护的文件进行重定向

[复制链接]
fliger
发表于 2011-3-18 12:31:27 | 显示全部楼层 |阅读模式
影子系统如果能像沙盘一样对写保护的文件进行重定向
写保护的妙用----让你的硬盘和写保护U盘一样安全


下文乃是贫道近几年和病毒交战中,运用上古阴阳学实战防毒的心法结晶,供大家学习交流,希望得到一个抛砖引玉的效果

有没有听说可任意修改写保护U盘的『固化文件防毒技术』

◆如何设置才能加固系统并一劳永逸的使硬盘防御各种类型病毒
◆如何让安装双系统的电脑有效免疫病毒的感染
◆如何对付引导区病毒(比如鬼影病毒)
◆如何让病毒的写操作纳入我们视线范围之下,豪无躲藏可能(因为病毒最讨厌被第三者纳入监控了)
◆如何才能让使用影子类软件的电脑避免过多硬盘写操作和磨损  
  
      想和大家分享一下,我们几个防毒爱好者在不断的测试各种防毒试验和不断思考中新发现的一个方法。用它可以和FBWF一样,实现对所有只读写保护文件的修改删除操作,比如光盘操作系统文件和写保护的u盘的写入。此方法尤其对多操作系统的保护具有优势,退出系统进入新系统下也照样有效防御病毒。


       自从windows7面世以来,以它强大的安全特性确实成为一批使用者的青睐,那么能不能让XP系统的电脑的防护也竟可能的借鉴一下它的安全性呢?
     
       我想WIN7可以有效阻止内存中运行的进程之间的通话,对防御木马病毒是很有效的。不过我比较喜欢它的另一个特性,就是它如何保持8G大小的系统文件不让病毒进入。其实win7的内核机制在发挥作用,有一个阻止所有的外来文件对系统做任何修改、写入或删除的机制,把系统文件固化在了硬盘上,第三方软件不太可能对系统做任何改动的。同时它使用了重定向的功能,把所有的改动都移动在一个专门的目录里,也就相当于影子的缓冲区了。
      
       我认为这套思路很好,固化+重定向的组合,毕竟影子系统只有重定向的功能,没有固化呀!穿了影子后就可以随便做破坏了。这不正是当年禹王治水时使用的疏堵结合,阴阳施治的方法吗?既然如此,那就让我们效法圣人,也对自己的电脑做一下尝试,让自己的硬盘里也拥有固化(即堵住闸口)+重定向(即疏渠引流)的功能。呵呵。。。。

       防御病毒组合思路。记得,一定要组合,因为一个软件总有不足,需要配合。
       防御病毒我分为硬盘防毒和内存防毒。内存防毒呢,主要是防御进程中的病毒(内存防毒主要是组策略和HIPS,我还没有理出头绪,请高手指点吧)。而硬盘防毒也就是FD吧,入口防御。硬盘防毒,我们又可以分为①系统区和②非系统区以及③引导区的防毒。
       先说非系统盘分区,看了下面的图就知道,这个思路的基础了



      先说说准备工作吧,一定要找好负责任的监理单位。我们把所有的文件时间都被改成了2088年8月8日8:08,这样做能对影子类软件和权限的保护起到一个 监视的作用。同时预防理论上极少数BIOS类病毒,怕它们在系统启动前就从BIOS里进入硬盘,方便大家按时间的变化找到被修改过的文件(我实在是找不到 一个能更方便的发现并找到数据被病毒写入修改的工具)。同时这样也很美观,呵呵。。。。。。



4楼

      这是用TOUCHPRO修改的(由电脑爱好者杂志推荐下载),同类软件里目前只有这个软件可以修改文件目录的时间。用这个方法我们也可以很方便的检测出绿色软件有没有在运行和做了设置后,回写了目录里的一些文件,并帮助我们成功得把一些绿色杀毒软件设置能只读权限,不怕病毒破坏。(见上2图)

      好了,接下来的主体工程------坝体建设交给谁呢?在非系统分区里,我们可以大胆的把扫描后确认安全的目录和文件,设置成只读权限(几秒钟的事 情)。当然光靠这样来保护是不行的,一方面一些病毒的底层格式化行为还是会破坏这样的权限的,另一方面也会妨碍有程序回写文件,有必要还是需做一些协同的操作。

       所以疏渠引流的也是很关键的不可忽视。经测试发现沙盘在高效防御病毒的同时,
①竟然可以往被写保护的硬盘分区和目录里面写文件(和FBWF效果相同,重定向模拟器),
②同时沙盘会拦截各种底层的磁盘操作和驱动的加载,有效地保护了只读权限。
③可以模拟那些被写保护的文件的回写操作。
④另外由于发现有少数绿色软件还是会向硬盘甚至C分区写文件
(制作了不太好啊,推荐用 VMware 公司的安装扫描软件VMware ThinApp 4.0.1绿色版来自制绿色软件),
沙盘也正好起到避免系统垃圾产生的作用。

       既然如此,我们可以给沙盘设置一些规则,比如把那些写保护的文件目录交给沙盘来监控,让沙盘强制运行,这样就不需要我们总是要手动启动沙盘来运行了。另外,对于下载文件的DOWNLOAD目录格外需要纳入监控。当然,我们也可以将下载工具强制由沙盘来运行,这样下载的文件也就自动都放在沙盘里了。或者浏览文件目录时,直接就让沙盘来代劳也是个不错的选择。不过请大家留意一下,沙盘在此处并不是主要防毒手段,它只是配合筑坝工程起到辅助的疏渠引流作用的。

      这样的话,就算有病毒穿透了沙盘,并没什么大不了的,不太可能再穿透只读权限,它是属于XP系统之上系统的(硬盘文件管理系统)。经测试,下载一个普通 的病毒样本,因为硬盘数据大都是只读的,写保护的,写不进去,所以它只能乖乖地在我们提供的沙盘里运行,别无出路。

---------在这里由于不可能完全保证重定向能100%防御住所有的病毒,增加的只读写保护防御就大大的保证了可靠性。可谓完美的组合。
如此设置,数据便无忧矣
让小道我在此赋上一段楚辞吧

与硬盘之比寿兮       安之若素
数据之永无恙兮       岂敢毁伤
诸毒从此无所归兮    若丧家之犬

拒之于堤外兮       曰岸坝高筑
疏之于渠内兮       曰因势利导
惟斯之妙术兮       曰禹王再世

          经过上面的设置,非系统分区基本上就不怕病毒了(包括极少数格式化病毒)。如果还担心沙盘总是反复读写硬盘同一个地方,从而缩短了硬盘寿命的话,在 内存够大的情况下,我们可以用RAMDISK(网上到处都是绿色版本),在内存中划出一个空间。再用沙盘自带功能把“保存的文件夹”设置到内存中去,经测 试效果很好。由于有些软件运行后产生的回写需要被保留,那我们可以创建几个沙盘,并指定每个沙盘保存在不同分区和目录下(网上查一下“沙盘保存位置支持多目录”)。这样有的沙盘可以放在内存中,有的则可以放在硬盘上了。

          内存更大的话,还可以把缓存等系统变量,包括WINRAR\IE\FLASHGET\迅雷\WMP\播放器的缓存等目录也放到内存中去,打造一个只读操作系统或很少写硬盘(包括系统分区)的系统(网上有一篇,制作Windows光盘运行版 或把XPSP2精简版装进U盘超详细傻瓜教程,利用其原理可以自制属于自己的只读系统分区,并且可写保护系统文件),上网和下载BT时,我的硬盘很少亮灯, 呵呵。。



5楼

          在这里由设计方谈谈设计构想:怎么解释一下设置的思路呢?该思路纯属硬盘的FD范畴,算是防御的第一阶段,属于地基部分,比较宽泛。但地基打好了,就可以搞上层建筑了。由于只读权限最怕病毒的底层磁盘操作,但沙盘不怕。沙盘最怕穿透性病毒,但只读权限不怕。(病毒跑出来后也写不进去呀---就像是在牢房门外砌上一堵墙,囚犯冲出门后没想到又撞上了墙,让他尝尝什么叫人生坎坷)。
╃╃╃╃╃╃╃╃╃╃╃╃╃╃╃╃╃╃╃╃╃╃╃╃╃╃╃╃╃╃╃╃╃╃╃╃╃╃╃╃╃╃╃╃╃╃
         再来谈谈,系统分区和引导区。建议用影子系统,配合TOUCHPRO来完成。TOUCHPRO的效果同上,建议在每次启动电脑后,可以看看系统分区,一 般windows文件夹里只有5个文件会发生写操作,这是系统自己回写的。影子系统能不能和只读权限配合,这个我还没有测试过。希望有朋友来测一下(但沙 盘和只读权限完全可以搭配)。

         有兴趣的话,可以在网上查查影子系统防穿测试,下载自己喜欢的影子(我推荐用RVS,SD)。影子系统挑选可有讲究了,比如防穿透性,是否写入引导区等等,是内存模式还是硬盘模式等等。听说有款影子确实很有特色(是ShadowUserPro),在安装需要重新启动的软件时,比如杀毒软件,重启后文件不会丢失。这个功能很有意思,和虚拟机的增量备份功能还有WINDOWS7的重定向差不多了,有病毒或设置出现问题的话,可以回到原来的影子状态,很不错。有的影子系统可以进入全硬盘保护模式,这个也很好。还有一个FBWF能实现对只读的或固化的文件(比如光盘)的写入修改模拟并按目录保护而不是按分区保护(最新消息,RVS2010已经可以按目录来保护硬盘了)。也有的影子可以实现一次休眠,多次启动。可以根据自己喜好来挑选(这些有请高手来点评吧)。

         但是影子系统不是完美无缺的,有个问题-------最怕驱动型病毒,比如机器狗磁碟机类病毒穿透后写入真实的系统,所以RVS等影子就多了一个 HIPS(主机防御)的监控功能来对付驱动加载,所以没有hips的影子可以挑选一个hips的软件,推荐毛豆防火墙(含规则包)。

          上网时,我基本上不用杀毒软件的,因为我的网速还是不太快(无线)。对了,再配合用最强悍的也是免费的毛豆防火墙(不带杀毒版本)来对付黑客还是很好的。还有一个原因,因为byshell内核级的木马运行的时候,很多杀毒软件的hips都发现不了,当然它穿不透影子,一般不用害怕。并且毛豆的HIPS功能可以发现这个BYSHELL的行为,很强悍,还有也可以提醒机器狗类驱动的加载。
╋╋╋╋╋╋╋╋╋╋╋╋╋╋╋╋╋╋╋╋╋╋╋╋╋╋╋╋╋╋╋╋╋╋╋╋╋╋╋╋╋╋╋╋╋╋╋╋
      那么在影子模式下,如果要安装一些软件该怎么办呢?

      可以使用免费的云端软件平台,它和影子系统可以完美的组合,弥补影子下不能安装软件的问题。而且该重定向软件本身就是绿色免安装的,比如安装卡 巴,NOD32,小红伞等杀毒软件,我都用它安装,这很符合有些人使用绿色杀毒软件的爱好。下载的网上的东东,就可以用三个杀毒软件一起查,特别方便。要 卸载的话,呵呵,直接手动删掉安装的目录就可以了。

      如果觉得云端不好用的话(占了19M内存,有可能有驱动兼容问题),也可以直接下载绿色的杀毒软件(见图,我的NOD32就是绿色带监控的)。经过测试,发现杀毒软件的隔离区因为不在安装目录里,所以完全可以把杀毒软件的安装目录设置只读写保护。不用的时候也不会中毒,也照样可以随时启动杀毒。 ------只读权限就是强大。
           
      如果你是个精力旺盛的反毒斗士,我推荐你到****学习制作单文件操作系统(像Winpe一样),然后把系统文件设置成只读权限。一个文件很好维护吧!!!再用FBWF控制台(微软开发的写入过滤器),实现所有的文件重定向,好了你的系统和WINODOWS7一样的安全了吧!!!      
      最后推荐大家广泛的使用重定向软件来保护硬盘里的文件不被破坏,有条件安装WINDOWS7也是个好的选择,它的重定向等防御能力比XP已经强了不少。


小贴士
----------------FBWF控制台不同于一般影子系统,它可以对光盘在内,甚至PE进行写操作映射!这对防御病毒的意义重大呀!我的意思是说,FBWF可以对写保护的分区进行写操作映射,那么那些可以穿透影子系统的病毒对FBWF是一点办法也没有的,因为你穿了的话,被保护区域同时也是只读写保护的,穿也白穿,也就是说FBWF,比影子系统强悍很多。
所以我感觉FBWF不是一般意义的影子,全名不是叫---写入过滤器吗?这个可以让C盘(保护的盘)只读不写。FBWF本来是win7的嵌入版使用的,让系统在光盘上都可以运行。
对于普通用户的好处是:
1.可以保护系统。当然也有可以穿透的病毒。不过你可以把系统刻录在光盘上,呵呵,永远不中毒。
2.提高系统启动速度,普通硬盘在同一时间只能读或者写的,使用fbwf把写入影射到内存,那硬盘就只需要读操作了。
3.使用固态硬盘的可以延长寿命(写入少了),对于那种没有缓存的老固态硬盘(随机写入弱项)可以明显提速。

有图 见此   
固化文件技术让硬盘99%的地方免疫病毒
http:/[在论坛广告被屏蔽]/zhishi/4251.html
固化技术如何让硬盘免疫
http://www.hackline.net/a/school/xtrm/2010/0326/3021.htm





评分

参与人数 1经验 +6 收起 理由
107 + 6 加分鼓励

查看全部评分

lrcatcn
发表于 2011-3-18 12:54:08 | 显示全部楼层
回复 1楼 fliger 的帖子

本文没看太明白,链接打不开。
mvcneo
发表于 2011-3-18 16:35:02 | 显示全部楼层
好文章,我要好好研究研究了
nazisoft
发表于 2011-3-18 16:42:50 | 显示全部楼层
如果被保护的数据真的是只读状态的话,就不会被病毒穿透了。病毒对带有写保护的U盘、软盘和光盘应该是没有办法的
showzhan
发表于 2011-3-18 16:45:56 | 显示全部楼层
本帖最后由 showzhan 于 2011-3-18 16:46 编辑

网站打不开,不过在Win7下,或者使用Nrfs自带写入,限制啥的也挺安全的. 最主要的还是上网习惯,毕竟在强大的防御也会有漏洞的一面, 没有觉得安全,只有相对的安全.  也支持一下LZ,转载这篇文章,,学习了.
fliger
 楼主| 发表于 2011-3-18 19:04:13 | 显示全部楼层
本帖最后由 fliger 于 2011-3-20 17:17 编辑

回复4楼:
如果被保护的数据真的是只读状态的话,就不会被病毒穿透了。病毒对带有写保护的U盘、软盘和光盘应该是没有办法的

--------------------------------
精辟,一下子就说到中心了,我也这样认为


防御病毒有高层次的防御一面,也有基本防御一面,
高层次的可让间谍行为都可以阻止,密码不被偷窥
低层的呢,只要能让电脑像网吧的电脑那样不被病毒进入就可以了,不过低层次是个基础,这个基础做好了,再来谈高层次的,路是一步一步走的,希望有高人能把这思想再升华一下,呵呵
fliger
 楼主| 发表于 2011-3-18 19:37:51 | 显示全部楼层
本帖最后由 fliger 于 2011-3-20 17:13 编辑

图片见此,看不到图的可在网上直接搜一下标题,也能看到的

fliger
 楼主| 发表于 2012-7-26 15:25:11 | 显示全部楼层
本帖最后由 fliger 于 2012-7-26 21:35 编辑

呵呵,好几年没有来了,没想到这个帖子,甚至上了防毒技术网站引用了


做个测试吧,把u盘写保护口关掉,让u盘只读不能写,再把硬盘里的所有绿色软件都设置只读权限,然后让沙盘打开这些文件夹,随便写什么,删除什么,沙盘模拟了真的很逼真。。。。。。。。


可惜影子系统做不到。。。。。。。。。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-27 10:53 , Processed in 0.143063 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表