基于隔離技術(shù)的防病毒存儲設(shè)備的設(shè)計與實現(xiàn)

摘 ?要：當(dāng)前，主流殺毒軟件的主要功能是對計算機病毒程序進行查殺，而不是對存儲載體進行病毒防御，導(dǎo)致大量病毒程序通過存儲載體實現(xiàn)長期潛伏、擴散，從而對計算機系統(tǒng)和數(shù)據(jù)造成巨大威脅。通過對傳統(tǒng)殺毒軟件的分析，以及對NTFS文件系統(tǒng)的研究，從加強存儲載體的隔離免疫和訪問預(yù)掃描兩個維度進行探討，提出一種新型計算機病毒防御理念，并使用C#語言進行編程，建立一套新型計算機病毒防御體系。

關(guān)鍵詞：計算機病毒;隔離免疫;預(yù)掃描;防御體系

中圖分類號：TP311 ? ? ? 文獻標(biāo)識碼：A 文章編號：2096-4706（2021）06-0161-03

Design and Implementation of Anti-virus Storage Device Based on Isolation Technology

LIAO Rongjiang

（Equipment Department of PLA Navy，Beijing ?100841，China）

Abstract：At present，the main function of the mainstream anti-virus software is to check and kill the computer virus program，rather than to defend the virus on storage carrier. As a result，a large number of virus programs are latent and spread through the storage carrier for a long time，so as to pose a huge threat to the computer system and data. Through the analysis of traditional anti-virus software and the research of NTFS file system，this paper discusses from the two dimensions of strengthening the isolation immunity of storage carrier and access pre-scan，puts forward a new computer virus defense idea，and uses C# language to program，so as to establish a new computer virus defense system.

Keywords：computer virus;isolation immunity;pre-scan;defense system

0 ?引 ?言

在管理維護辦公網(wǎng)絡(luò)時，對計算機病毒的檢測、防御、查殺和清除等工作，始終是管理維護人員日常運維的頭等大事。在實際工作當(dāng)中，大多數(shù)單位內(nèi)部都安裝有殺毒軟件，但由于與互聯(lián)網(wǎng)物理隔離，往往會出現(xiàn)病毒庫升級不及時，病毒查殺效果不明顯的情況。同時，還有些用戶不愿意或不擅于使用殺毒軟件，從而導(dǎo)致計算機病毒泛濫，影響系統(tǒng)穩(wěn)定和數(shù)據(jù)安全。如何便捷高效地阻止計算機病毒入侵是一個新的研究方向。基于以上問題，本文通過NTFS文件系統(tǒng)和.NETFramework中的FileSystemWatcher類進行研究，以某單位內(nèi)部局域網(wǎng)計算機終端為管理目標(biāo)，設(shè)計了一套基于隔離技術(shù)的防病毒存儲設(shè)備，并探討了其優(yōu)點及實現(xiàn)方式。

1 ?傳統(tǒng)計算機病毒查殺技術(shù)

1.1 ?特征基因檢測

目前，國內(nèi)外各大殺毒軟件采用的主流技術(shù)之一，是通過提取被掃描文件的特征數(shù)據(jù)，與本地或者云端病毒數(shù)據(jù)庫進行比照，以此對病毒進行初步篩檢。為了縮小病毒數(shù)據(jù)庫，一些殺毒軟件采用了基于基因碼的檢測技術(shù)[1]。所謂基因碼，是指同族病毒的不同變種，幾乎都含有相同的病毒基因特征。采用基于基因碼的檢測技術(shù)，可以從同族病毒變種中找出其共同之處和普遍特征。通過這種方法進行文件掃描，只須采用較少的特征數(shù)據(jù)就能篩檢龐大的病毒種類，在進行特征對照時可大大縮短運行時間。同時，對于同族病毒衍生出來的新變種，只要吻合該病毒族群的基因特征，即使是在沒有更新病毒數(shù)據(jù)庫的情況下，也能成功將其篩檢出來。

1.2 ?沙箱防御技術(shù)

沙箱也叫沙盤，是一種輕量級虛擬機，類似于影子系統(tǒng)[2]。與其在軍事上的用途相似，在沙箱中運行的各種程序都是模擬演習(xí)，所有在沙盤內(nèi)執(zhí)行的操作都是虛擬構(gòu)建的，其工作原理是使程序在一個隔離的空間內(nèi)運行，程序無權(quán)修改沙箱外的程序和數(shù)據(jù)，也無法修改系統(tǒng)設(shè)置，從而保障系統(tǒng)不會遭到惡意軟件及病毒的篡改和入侵。當(dāng)殺毒軟件對病毒進行特征基因碼檢測時，有時會出現(xiàn)檢測無效或攔截失敗的情況，而沙箱能夠很好地彌補這一不足，提高篩檢病毒的成功概率。

1.3 ?特征行為檢測

針對一些尚未收錄特征基因碼的病毒，以及通過特殊加殼或使用花指令加密的病毒，還可以對病毒進程行為進行全程監(jiān)控，分析其操作是否存在惡意行為[3]，比如創(chuàng)建高級系統(tǒng)用戶、獲取系統(tǒng)底層權(quán)限、破壞殺毒軟件、監(jiān)控網(wǎng)絡(luò)訪問、發(fā)送敏感數(shù)據(jù)、修改注冊表關(guān)鍵值、創(chuàng)建自啟動項、讀寫敏感文件，隱藏自身并進行復(fù)制、刪除操作等，一旦發(fā)現(xiàn)違規(guī)行為，就可以通知用戶，或者直接終止進程，從而做到主動防御。

2 ?存儲設(shè)備隔離免疫技術(shù)

計算機存儲設(shè)備是用于儲存數(shù)據(jù)信息的設(shè)備，被廣泛應(yīng)用于各種程序和數(shù)據(jù)的存放，是計算機必不可少的關(guān)鍵設(shè)備之一，也是計算機病毒攻擊、感染的主要對象。無論計算機技術(shù)如何發(fā)展，病毒寄生隱藏于存儲設(shè)備的基本特性始終沒有改變，通過自動加載啟動或誘導(dǎo)用戶點擊激活的基本策略也始終沒有改變。病毒將自身代碼植入存儲載體，是其感染計算機的必經(jīng)途徑和首要目標(biāo)。加強存儲設(shè)備的病毒入侵防御能力，嚴(yán)防“病從口入”至關(guān)重要。

2.1 ?NTFS磁盤格式安全配置

NTFS（New Technology File System）[4]是基于Windows NT內(nèi)核系列操作系統(tǒng)，為提高文件安全性而設(shè)計的一種磁盤格式，提供數(shù)據(jù)保護和恢復(fù)功能，能通過目錄和文件許可實現(xiàn)安全性。相較于傳統(tǒng)的FAT（File Allocation Table）磁盤格式，NTFS最大的優(yōu)點就是使文件系統(tǒng)的安全性得到極大的提升。在Windows操作系統(tǒng)命令提示符模式下，可以使用convert指令將FAT升級為NTFS，然后使用cacls指令即可實現(xiàn)對目錄的各種權(quán)限設(shè)置。比如，對文件夾test_dir賦予讀寫、修改、訪問等所有權(quán)限，可使用指令“echo y|cacls test_dir /p everyone：f”來實現(xiàn);取消其所有權(quán)限，則可使用指令“echo y|cacls test_dir /p everyone：n”來實現(xiàn)。

2.2 ?基于NTFS的隔離免疫技術(shù)

在Windows操作系統(tǒng)中，除操作系統(tǒng)默認(rèn)的少數(shù)關(guān)鍵目錄和文件外，其他目錄和文件都默認(rèn)為完全訪問，這就為病毒的入侵感染提供了便利。比如，盤符根目錄下面的autorun.inf病毒，就是通過上述開放權(quán)限實現(xiàn)的。針對這類根目錄病毒，最好的方法就是使用“目錄隔離免疫技術(shù)”，以D：＼盤為例，即在D：＼盤的根目錄下新建一級目錄level1_dir，并在該文件夾下新建二級目錄level2_dir，然后開放二級目錄的所有權(quán)限（echo y|cacls level2_dir /p everyone：f），取消一級目錄的所有權(quán)限（含列出文件夾內(nèi)容權(quán)限）（echo y|cacls level1_dir /p everyone：n），最后設(shè)置D：＼盤根目錄為只讀權(quán)限（echo y|cacls d： /p everyone：r），即可創(chuàng)建一個“百毒不侵”的D：＼盤，以及一個可完全訪問的授權(quán)目錄level2_dir。這樣設(shè)置完成后，病毒首先無法將自身寫入根目錄D：＼，也無法檢索一級目錄level1_dir，從而達(dá)到保護真實數(shù)據(jù)所在level2_dir目錄的目的。

2.3 ?快捷訪問授權(quán)目錄

當(dāng)D：＼完成“隔離免疫”后，不但病毒無法“長驅(qū)直入”，用戶的正常操作也將受到限制，無法通過傳統(tǒng)雙擊模式訪問二級目錄level2_dir。如需訪問，可在資源管理器的地址欄中輸入D：＼level1_dir＼level2_dir，然后回車進入;也可將D：＼level1_dir＼level2_dir創(chuàng)建為快捷方式，以便快速訪問。

2.4 ?基于C#的硬盤隔離免疫代碼

在使用C#編程語言實現(xiàn)硬盤隔離免疫功能時，我們需要調(diào)用Windows操作系統(tǒng)的cmd指令，也就是命令提示符，如圖1所示，在這里我們構(gòu)建了一個Cmd類，在不創(chuàng)建任何顯式窗口的情況下執(zhí)行各種操作。然后，通過調(diào)用“硬盤隔離免疫”子函數(shù)，如圖2所示，實現(xiàn)對任意磁盤的隔離和免疫功能。在創(chuàng)建桌面快捷方式時，調(diào)用了ShortcutCreator類，如圖3所示。

3 ?存儲設(shè)備訪問預(yù)掃描技術(shù)

存儲設(shè)備做好隔離免疫后，病毒就無法將自身復(fù)制到磁盤的根目錄，也無法感染磁盤內(nèi)的其他文件。但是，如果用戶缺少經(jīng)驗或操作錯誤，極有可能將病毒拷貝到磁盤隔離免疫后的安全空間。為此，還要在隔離免疫基礎(chǔ)上增加一道“防火墻”，這就是訪問目錄前的預(yù)掃描技術(shù)，該技術(shù)需要通過編程，在訪問安全空間之前，對安全空間內(nèi)的所有文件進行預(yù)掃描，隔離疑似病毒后，方可進行訪問操作。

3.1 ?黑名單快速掃描

病毒寄生的文件類型比較多，常見的有exe、com、dll等二進制文件，有bat、vbs、js、php等腳本語言，還有asp、htm等網(wǎng)頁文件。在圖4的軟件界面中，我們梳理了常見的23種病毒寄生文件類型，并將它們?nèi)苛腥牒诿麊?。預(yù)掃描時，可以有針對性地對黑名單所列出的特定類型文件進行掃描和隔離，從而避免用戶雙擊激活病毒。

3.2 ?殺毒軟件全面掃描

基于文件類型黑名單快速掃描的方法比較簡單，但也可能會造成誤隔離的情況，所以我們可以在訪問安全空間前，通過命令行調(diào)用專業(yè)殺毒軟件的接口對其進行查殺。以360殺毒軟件為例（其他殺毒軟件類似），在360殺毒安裝目錄下輸入以下命令“360sd.exetest_dir”即可，360殺毒軟件會以靜默方式對該文件夾進行掃描。掃描完成以后，會在其安裝目錄的VirusScanLog目錄下生成以日期為名稱的日志文件，并對可疑文件進行隔離。這種全面掃描的方式比較費時，這就需要使用下面的FileSystemWatcher實時監(jiān)控技術(shù)，以避免全面、重復(fù)的掃描，從而有效提高訪問速度。

3.3 ?基于C#的文件實時監(jiān)控技術(shù)

在C#編程語言中，提供了FileSystemWatcher類[5]。該類偵聽文件系統(tǒng)更改通知，并在目錄或目錄中的文件發(fā)生更改時引發(fā)事件。通過該類，不僅可以監(jiān)視特定的文件，也可以監(jiān)視特定類型文件中的更改。例如，若要監(jiān)視可執(zhí)行文件中的更改，只需將Filter屬性設(shè)置為“*.exe”。FileSystemWatcher的實例監(jiān)控到目錄或文件的變化后，會觸發(fā)相應(yīng)的事件，其中目錄或文件的添加、刪除和修改會分別觸發(fā)Created、Deleted和Changed事件，目錄或文件重命名時觸發(fā)OnRenamed事件。通過該技術(shù)，結(jié)合病毒文件類型黑名單，可以精準(zhǔn)、快速、高效地將疑似病毒文件進行隔離，示例代碼如圖5所示。

4 ?系統(tǒng)集成應(yīng)用

在對存儲載體安全隔離免疫和預(yù)掃描技術(shù)進行深入探究后，筆者進行了軟件功能設(shè)計、軟件的總體結(jié)構(gòu)設(shè)計和模塊設(shè)計，并使用C#編程語言完成了“存儲載體病毒防御系統(tǒng)”（簡稱“防御系統(tǒng)”）的編碼調(diào)試。在完成聯(lián)調(diào)測試并審批通過后，對所在單位的計算機操作系統(tǒng)和移動存儲載體，分批次進行了安裝。用戶在訪問存儲載體時，必須通過“防御系統(tǒng)”進行預(yù)先殺毒，才能訪問被NTFS文件系統(tǒng)保護的隔離區(qū)域。通過這種方式，所在單位計算機實現(xiàn)了存儲載體零感染計算機病毒的目標(biāo)。

5 ?結(jié) ?論

通過存儲載體隔離免疫和訪問預(yù)掃描技術(shù)，可以有效阻止病毒程序自動寫入存儲載體，也可以防范用戶因錯誤操作而激活病毒程序，對阻止病毒寄生存儲載體并通過存儲載體傳播擴散具有重要意義。本文通過對傳統(tǒng)計算機病毒查殺方式的研究，提出了一種新型基于存儲載體隔離免疫及訪問預(yù)掃描技術(shù)，并通過編程實現(xiàn)了相關(guān)功能，在實際使用過程中效果顯著。

參考文獻：

[1] 張瑜，LIU Q Z，宋麗萍，等.基于免疫和代碼重定位的計算機病毒特征碼提取與檢測方法 [J].北京理工大學(xué)學(xué)報，2017，37（10）：1036-1042.

[2] 趙廣強.基于虛擬化的沙箱防御技術(shù)的研究與實現(xiàn) [D].廣州：廣東工業(yè)大學(xué)，2015.

[3] 鄒維福，張翼英，張素香，等.基于特征行為分析的木馬病毒檢測技術(shù)的研究 [J].電信科學(xué)，2014，30（11）：105-109+115.

[4] 李萍.NTFS中的文件及內(nèi)容的安全保護研究 [D].成都：電子科技大學(xué)，2019.

[5] 朱清海，譚代芳.基于文件系統(tǒng)監(jiān)控的工作效率評價系統(tǒng)設(shè)計與實現(xiàn) [J].城市勘測，2017（4）：45-48.

作者簡介：廖榮江（1983—），男，漢族，四川內(nèi)江人，工程師，本科，主要研究方向：網(wǎng)絡(luò)安全、數(shù)據(jù)加密、智慧辦公等。