地震勘探儀器病毒防護(hù)方法研究

劉衛(wèi)平

(東方地球物理公司裝備事業(yè)部吐哈作業(yè)部 新疆哈密)

地震勘探儀器病毒防護(hù)方法研究

劉衛(wèi)平

(東方地球物理公司裝備事業(yè)部吐哈作業(yè)部 新疆哈密)

日益猖獗的計(jì)算機(jī)病毒已經(jīng)直接威脅到了地震勘探儀器的正常工作,本文針對(duì)地震勘探儀器的特點(diǎn),對(duì)地震勘探儀器的病毒防護(hù),特別是針對(duì)地震勘探儀器的病毒主動(dòng)防護(hù)進(jìn)行了探討。

地震儀器;病毒防護(hù);病毒類型

0 引 言

隨著計(jì)算機(jī)技術(shù)的飛速發(fā)展,計(jì)算機(jī)病毒也日益猖獗,對(duì)廣大計(jì)算機(jī)用戶造成了極大地威脅。目前,相當(dāng)一部分地震勘探儀器(包括多數(shù)淺層地震儀)所使用的軟件平臺(tái)都是Microsoft Windows操作系統(tǒng)。由于Microsoft Windows系統(tǒng)應(yīng)用廣泛,基于Windows系統(tǒng)的病毒泛濫已是眾所周知的事。地震儀、淺層折射儀感染病毒的案例也時(shí)有發(fā)生,影響了儀器的正常使用,相應(yīng)地,地震勘探儀器病毒防護(hù)工作也越來(lái)越引起人們的重視。本文就基于Microsoft Windows系統(tǒng)的地震勘探儀器的病毒防護(hù)問(wèn)題來(lái)進(jìn)行分析,以期找出行之有效的病毒防護(hù)措施[1]。

1 常見(jiàn)病毒類型、傳播途徑及危害分析

計(jì)算機(jī)病毒類型根據(jù)破壞方式主要有以下三類:

1)數(shù)據(jù)破壞型:該類病毒主要攻擊計(jì)算機(jī)系統(tǒng)的存儲(chǔ)系統(tǒng),造成資料丟失;

2)系統(tǒng)破壞型:該類病毒主要攻擊計(jì)算機(jī)操作系統(tǒng)文件,使系統(tǒng)癱瘓甚至崩潰;

3)網(wǎng)絡(luò)破壞型:該類病毒主要攻擊計(jì)算機(jī)的網(wǎng)絡(luò)系統(tǒng),使網(wǎng)絡(luò)性能降低甚至堵塞。

計(jì)算機(jī)病毒的傳播途徑主要有以下四種方式:

1)網(wǎng)絡(luò)傳播方式

①在網(wǎng)上下載了攜帶病毒的文件,運(yùn)行這些帶病毒的文件后而導(dǎo)致計(jì)算機(jī)被感染;

②瀏覽隱藏病毒的網(wǎng)頁(yè)時(shí),病毒通過(guò)IE瀏覽器自動(dòng)安裝到計(jì)算機(jī);

③在局域網(wǎng)內(nèi)利用網(wǎng)上鄰居傳播。

2)存儲(chǔ)介質(zhì)傳播方式通過(guò)軟盤、U盤、移動(dòng)硬盤、光盤等移動(dòng)存儲(chǔ)介質(zhì)傳染。通常都在存儲(chǔ)設(shè)備的根目錄下建立AUTORUN.INF文件和一個(gè)或若干個(gè)可執(zhí)行文件,AUTORUN.INF在插入光盤、u盤、移動(dòng)硬盤時(shí)或在打開存儲(chǔ)設(shè)備時(shí)自動(dòng)運(yùn)行,完成病毒的傳播。

3)文件傳播方式

EXE文件、com文件、office文檔及一些經(jīng)過(guò)偽裝的TXT文檔都會(huì)成為病毒文件的載體。

4)引導(dǎo)區(qū)傳播方式

病毒感染到磁盤(硬盤、軟盤、移動(dòng)硬盤)的引導(dǎo)區(qū),在系統(tǒng)啟動(dòng)時(shí)感染到計(jì)算機(jī)。

無(wú)論是哪種傳播方式,它都可以攜帶任何形式的病毒。

2 病毒對(duì)地震儀器系統(tǒng)的危害[2]

1)病毒文件大部分都是常駐內(nèi)存,占用CPU時(shí)間及內(nèi)存,會(huì)使系統(tǒng)性能降低;

2)網(wǎng)絡(luò)破壞型病毒對(duì)SYSTEM-IV、ARAMAREIS等使用網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)膬x器危害極為嚴(yán)重,可能造成中央控制單元各主機(jī)之間、中央控制單元與外部設(shè)備通訊阻斷以及一些其它未知的危害;

3)數(shù)據(jù)破壞型病毒、系統(tǒng)破壞型病毒會(huì)造成系統(tǒng)紊亂甚至崩潰。

3 地震勘探儀器病毒防護(hù)現(xiàn)狀[3、4]

對(duì)地震勘探儀器來(lái)說(shuō),由于儀器孤立于互聯(lián)網(wǎng),只與外部計(jì)算機(jī)通過(guò)移動(dòng)存儲(chǔ)介質(zhì)來(lái)交換SPS文件及地震數(shù)據(jù),因此,主要通過(guò)存儲(chǔ)介質(zhì)傳播類、文件傳播兩種方式感染外界病毒(對(duì)于使用網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)膬x器,病毒會(huì)通過(guò)被感染的主機(jī)通過(guò)網(wǎng)絡(luò)傳播方式感染到其它主機(jī))。

目前大多數(shù)基于windows系統(tǒng)的地震勘探儀器都安裝了殺毒軟件,但應(yīng)用效果不理想,起不到有效的保護(hù)作用。

1)與系統(tǒng)的兼容性差:由于地震勘探儀器軟件系統(tǒng)十分龐雜,殺毒軟件的實(shí)時(shí)防護(hù)功能會(huì)禁止部分程序無(wú)法運(yùn)行。在正常使用中必須退出殺毒軟件。

2)所安裝的殺毒軟件病毒庫(kù)得不到及時(shí)升級(jí),使得殺毒能力減弱;

3)殺毒軟件病毒庫(kù)總是滯后于病毒。

病毒在傳播時(shí)一般必須具有以下條件:

傳播途徑:通過(guò)存儲(chǔ)介質(zhì)傳播、通過(guò)網(wǎng)絡(luò)傳播;

存儲(chǔ)介質(zhì):在計(jì)算機(jī)中存儲(chǔ);

激活條件:通過(guò)系統(tǒng)自動(dòng)加載或人為啟動(dòng),如圖1所示。

圖1 計(jì)算機(jī)病毒的生命周期

3.1 從傳播途徑入手,阻止病毒進(jìn)入系統(tǒng)[3、4]

由于地震勘探儀器施工時(shí)屬于獨(dú)立系統(tǒng),病毒的傳播主要通過(guò)移動(dòng)存儲(chǔ)介質(zhì)來(lái)實(shí)現(xiàn),影響系統(tǒng)的主要是文件傳播型和存儲(chǔ)介質(zhì)傳播型兩類:

文件傳播型:該類傳播方式屬于被動(dòng)傳播,只有通過(guò)人為拷貝到儀器并激活或在存儲(chǔ)設(shè)備與儀器系統(tǒng)連接時(shí)人為激活的情況下才會(huì)進(jìn)行傳播,不會(huì)進(jìn)行自動(dòng)傳播。地震勘探儀器與外界交互的數(shù)據(jù)主要為文本各式的sps文件、儀器測(cè)試文件以及地震數(shù)據(jù),這幾類文件都不具備傳播病毒的能力,通過(guò)提高操作人員的防病毒意識(shí),禁止有可能攜帶病毒的文件(.exe、.com、excel文檔、word文檔等)進(jìn)入儀器,個(gè)別儀器(如SYSTEM-IV)需導(dǎo)入excel文件時(shí),可先轉(zhuǎn)換為文本文件再拷入儀器,就可以避免該類病毒的感染。

存儲(chǔ)介質(zhì)傳播型:該類傳播方式屬于主動(dòng)傳播,在使用者打開移動(dòng)存儲(chǔ)設(shè)備時(shí),病毒自動(dòng)感染系統(tǒng),是目前最主要的病毒傳播方式,它主要利用autorun.inf文件引導(dǎo)病毒文件自動(dòng)運(yùn)行,該文件最初是用來(lái)引導(dǎo)光盤自動(dòng)運(yùn)行,后被病毒制造者利用,成為傳播病毒的工具,硬盤感染了該了類病毒后,即使格式化系統(tǒng)盤重裝系統(tǒng),病毒依然存在,原理如下:

[autorun]

Open=“病毒文件名”

Shellopen=打開(&0)

Shellopencommand=“病毒文件名”

Shellexplores=資源管理器(&X)

Shellexplorescommand=“病毒文件名”

由于存儲(chǔ)設(shè)備的打開行為被重新定義為執(zhí)行病毒文件,只要打開該設(shè)備(雙擊或用右鍵菜單),病毒就會(huì)被執(zhí)行病感染系統(tǒng)。我們可以利用ntfs系統(tǒng)的權(quán)限管理功能來(lái)阻止病毒通過(guò)這種方式進(jìn)入系統(tǒng):

Ntfs系統(tǒng)可以定義用戶對(duì)文件系統(tǒng)的訪問(wèn)權(quán)限,如讀、寫、執(zhí)行等,移動(dòng)硬盤在格式化時(shí)可以直接做成ntfs格式,而u盤無(wú)法用ntfs格式進(jìn)行格式化,需用以下命令進(jìn)行轉(zhuǎn)換:

Convert x:/fs:ntfs/x

然后在U盤(活動(dòng)硬盤)根目錄下建立一個(gè)文件夾,再開始設(shè)置權(quán)限:

1)將根目錄權(quán)限設(shè)置為“everyone”只讀;

2)將文件夾的權(quán)限設(shè)置為“everyone”讀和寫,由于沒(méi)有執(zhí)行權(quán)限,一些利用文件夾傳播的病毒(如歡樂(lè)時(shí)光)同樣不會(huì)感染到儀器。

通過(guò)以上設(shè)置,病毒就無(wú)法將autorun.inf文件及病毒主程序?qū)懙礁夸浵?而正常的數(shù)據(jù)交換可以在文件夾內(nèi)進(jìn)行,以上方法設(shè)置不當(dāng)會(huì)導(dǎo)致文件夾內(nèi)數(shù)據(jù)無(wú)法刪除、無(wú)法拷貝等問(wèn)題,為了便于設(shè)置,可以編制程序來(lái)解決,以下是編制的設(shè)置程序,如圖2所示。

圖2 病毒防護(hù)程序

需要注意的是,病毒程序同樣可以修改權(quán)限來(lái)寫入病毒,因此,在設(shè)置權(quán)限前先另外建立一個(gè)賬戶,然后以該賬戶登陸進(jìn)行設(shè)置,病毒程序由于無(wú)法獲得所有權(quán),也就不能對(duì)權(quán)限進(jìn)行更改。

該方法在野外施工期間比較適用,但存在一些不足:

1)在對(duì)儀器系統(tǒng)升級(jí)時(shí),不可避免的要從外部拷入升級(jí)用的可執(zhí)行文件,如果這些文件被病毒感染,就會(huì)對(duì)儀器系統(tǒng)造成危害;

2)遠(yuǎn)程計(jì)算機(jī)與儀器系統(tǒng)聯(lián)網(wǎng)進(jìn)行遠(yuǎn)程質(zhì)量監(jiān)控、遠(yuǎn)程技術(shù)支持、遠(yuǎn)程數(shù)據(jù)傳送時(shí),病毒會(huì)通過(guò)網(wǎng)絡(luò)進(jìn)入儀器,對(duì)系統(tǒng)造成危害。因此,還需進(jìn)一步研究。

3.2 從存儲(chǔ)介質(zhì)入手,阻止病毒文件的建立

1)保護(hù)文件系統(tǒng):為了防止被使用者發(fā)現(xiàn),病毒文件經(jīng)常隱藏在系統(tǒng)目錄(windows、winnt、system、system32等)下,鑒于地震儀器系統(tǒng)軟件安裝頻率很低,我們同樣可以采用權(quán)限設(shè)置的方法,為所有賬戶將這些文件夾權(quán)限設(shè)為執(zhí)行和讀權(quán)限,病毒就無(wú)法寫入這些文件夾,同樣需要考慮所有權(quán)的問(wèn)題,在安裝系統(tǒng)時(shí)建立普通用戶名,安裝采集軟件時(shí)再建立專用用戶名,進(jìn)行權(quán)限設(shè)置時(shí)用普通用戶名,用采集系統(tǒng)專用用戶名設(shè)置權(quán)限就會(huì)失去作用。

2)預(yù)植入已知的病毒文件名:在系統(tǒng)升級(jí)時(shí)有時(shí)需要在系統(tǒng)文件夾內(nèi)寫入文件,就需要放開系統(tǒng)文件夾的權(quán)限,病毒文件這時(shí)就可以寫入這些文件夾內(nèi),為了防止病毒文件的建立,在這些文件夾內(nèi)預(yù)先建立和病毒文件同名的文件,并取消任何權(quán)限,防止被刪除,起到免疫的作用;用同樣的方法在硬盤每個(gè)分區(qū)的根目錄下建立autorun.inf文件夾和病毒文件名,阻止該類病毒。

以上方法并不能防止所有的病毒,它可以建立在一個(gè)我們熟悉的文件夾內(nèi)而達(dá)到隱藏的目的,為此,還需進(jìn)行激活方面的研究。

3.3 從啟動(dòng)方式入手,阻止病毒被激活

病毒在復(fù)制文件的同時(shí),會(huì)同時(shí)設(shè)定自啟動(dòng)方式來(lái)激活,常見(jiàn)的有以下幾種方式:

1)在“啟動(dòng)”文件夾建立快捷方式,在用戶登陸時(shí)開始自動(dòng)運(yùn)行。這種方式可以通過(guò)將“啟動(dòng)”文件夾設(shè)置為“讀取“和“運(yùn)行“權(quán)限來(lái)解決;

2)通過(guò)更改文件的關(guān)聯(lián)來(lái)實(shí)現(xiàn);

3)通過(guò)win.ini自動(dòng)加載;

4)通過(guò)修改注冊(cè)表來(lái)達(dá)到自啟動(dòng)目的,主要有以下幾種方法:

①在run鍵值下建立啟動(dòng)項(xiàng);②采用修改image鏡像的方法;③掛載在userinit下;

④掛載在explore.exe下;

⑤利用注冊(cè)表其他能夠引導(dǎo)程序執(zhí)行的功能實(shí)現(xiàn)。

5)利用autoexec.bat啟動(dòng)病毒

這些問(wèn)題可以采用設(shè)定文件、文件夾安全權(quán)限、鎖定注冊(cè)表的方法來(lái)解決,防止病毒被激活。

由于以上工作通過(guò)手工方法比較繁瑣,難度較大,可以編制程序來(lái)解決,以下是編制的設(shè)置程序,如圖3所示。

圖3 病毒防護(hù)程序

該程序在428XL、SYSTEM-IV、NZII-48等儀器上測(cè)試通過(guò),經(jīng)過(guò)一年多的使用,可以起到較好的病毒防護(hù)作用。

4 病毒防護(hù)建議

根據(jù)以上分析,地震勘探儀器的病毒防護(hù)工作應(yīng)特別注意以下問(wèn)題:

1)升級(jí)文件在拷入儀器系統(tǒng)前一定要做好殺毒工作;

2)儀器施工結(jié)束后應(yīng)做全面的殺毒、安裝系統(tǒng)補(bǔ)丁工作;

3)由于該方法不具備病毒查殺功能,可以配合免安裝版殺毒軟件(單次運(yùn)行,無(wú)監(jiān)控、實(shí)時(shí)保護(hù)功能)一起使用,以增強(qiáng)防毒效果。

鑒于計(jì)算機(jī)系統(tǒng)的特點(diǎn),病毒的存在將是長(zhǎng)期的和不可避免的,新形式的病毒也會(huì)不斷出現(xiàn),我們還需在實(shí)踐中不斷探索,提高地震勘探儀器的病毒防護(hù)能力,保障地震勘探儀器的正常運(yùn)行。

[1] 譚峰軟件工作室.Windows 98/Me/NT/2000XP注冊(cè)表配置與使用[M].北京:人民郵電出版社,2002

[2] 卓新建.計(jì)算機(jī)病毒原理及防治[M].北京:郵電大學(xué)出版社,2004

[3] 張仁斌,李 鋼,侯整風(fēng).計(jì)算機(jī)病毒與反病毒技術(shù)[M].北京:清華大學(xué)出版社,2007

[4] 劉衛(wèi)平.淺談地震勘探儀器的病毒防護(hù)[J].物探裝備,2007,17(4)

TP393.O8

B

1004-9134(2010)06-0094-03

劉衛(wèi)平,男,1970年生,工程師,1990年畢業(yè)于蘭州電子工業(yè)學(xué)校電子技術(shù)專業(yè),現(xiàn)在東方地球物理公司裝備事業(yè)部吐哈作業(yè)部從事地震勘探儀器技術(shù)支持與維修工作。郵編:839009

2010-03-04編輯:梁保江)