基于隔離技術的防病毒存儲設備的設計與實現

摘 ?要：當前，主流殺毒軟件的主要功能是對計算機病毒程序進行查殺，而不是對存儲載體進行病毒防御，導致大量病毒程序通過存儲載體實現長期潛伏、擴散，從而對計算機系統和數據造成巨大威脅。通過對傳統殺毒軟件的分析，以及對NTFS文件系統的研究，從加強存儲載體的隔離免疫和訪問預掃描兩個維度進行探討，提出一種新型計算機病毒防御理念，并使用C#語言進行編程，建立一套新型計算機病毒防御體系。

關鍵詞：計算機病毒;隔離免疫;預掃描;防御體系

中圖分類號：TP311 ? ? ? 文獻標識碼：A 文章編號：2096-4706（2021）06-0161-03

Design and Implementation of Anti-virus Storage Device Based on Isolation Technology

LIAO Rongjiang

（Equipment Department of PLA Navy，Beijing ?100841，China）

Abstract：At present，the main function of the mainstream anti-virus software is to check and kill the computer virus program，rather than to defend the virus on storage carrier. As a result，a large number of virus programs are latent and spread through the storage carrier for a long time，so as to pose a huge threat to the computer system and data. Through the analysis of traditional anti-virus software and the research of NTFS file system，this paper discusses from the two dimensions of strengthening the isolation immunity of storage carrier and access pre-scan，puts forward a new computer virus defense idea，and uses C# language to program，so as to establish a new computer virus defense system.

Keywords：computer virus;isolation immunity;pre-scan;defense system

0 ?引 ?言

在管理維護辦公網絡時，對計算機病毒的檢測、防御、查殺和清除等工作，始終是管理維護人員日常運維的頭等大事。在實際工作當中，大多數單位內部都安裝有殺毒軟件，但由于與互聯網物理隔離，往往會出現病毒庫升級不及時，病毒查殺效果不明顯的情況。同時，還有些用戶不愿意或不擅于使用殺毒軟件，從而導致計算機病毒泛濫，影響系統穩定和數據安全。如何便捷高效地阻止計算機病毒入侵是一個新的研究方向。基于以上問題，本文通過NTFS文件系統和.NETFramework中的FileSystemWatcher類進行研究，以某單位內部局域網計算機終端為管理目標，設計了一套基于隔離技術的防病毒存儲設備，并探討了其優點及實現方式。

1 ?傳統計算機病毒查殺技術

1.1 ?特征基因檢測

目前，國內外各大殺毒軟件采用的主流技術之一，是通過提取被掃描文件的特征數據，與本地或者云端病毒數據庫進行比照，以此對病毒進行初步篩檢。為了縮小病毒數據庫，一些殺毒軟件采用了基于基因碼的檢測技術[1]。所謂基因碼，是指同族病毒的不同變種，幾乎都含有相同的病毒基因特征。采用基于基因碼的檢測技術，可以從同族病毒變種中找出其共同之處和普遍特征。通過這種方法進行文件掃描，只須采用較少的特征數據就能篩檢龐大的病毒種類，在進行特征對照時可大大縮短運行時間。同時，對于同族病毒衍生出來的新變種，只要吻合該病毒族群的基因特征，即使是在沒有更新病毒數據庫的情況下，也能成功將其篩檢出來。

1.2 ?沙箱防御技術

沙箱也叫沙盤，是一種輕量級虛擬機，類似于影子系統[2]。與其在軍事上的用途相似，在沙箱中運行的各種程序都是模擬演習，所有在沙盤內執行的操作都是虛擬構建的，其工作原理是使程序在一個隔離的空間內運行，程序無權修改沙箱外的程序和數據，也無法修改系統設置，從而保障系統不會遭到惡意軟件及病毒的篡改和入侵。當殺毒軟件對病毒進行特征基因碼檢測時，有時會出現檢測無效或攔截失敗的情況，而沙箱能夠很好地彌補這一不足，提高篩檢病毒的成功概率。

1.3 ?特征行為檢測

針對一些尚未收錄特征基因碼的病毒，以及通過特殊加殼或使用花指令加密的病毒，還可以對病毒進程行為進行全程監控，分析其操作是否存在惡意行為[3]，比如創建高級系統用戶、獲取系統底層權限、破壞殺毒軟件、監控網絡訪問、發送敏感數據、修改注冊表關鍵值、創建自啟動項、讀寫敏感文件，隱藏自身并進行復制、刪除操作等，一旦發現違規行為，就可以通知用戶，或者直接終止進程，從而做到主動防御。

2 ?存儲設備隔離免疫技術

計算機存儲設備是用于儲存數據信息的設備，被廣泛應用于各種程序和數據的存放，是計算機必不可少的關鍵設備之一，也是計算機病毒攻擊、感染的主要對象。無論計算機技術如何發展，病毒寄生隱藏于存儲設備的基本特性始終沒有改變，通過自動加載啟動或誘導用戶點擊激活的基本策略也始終沒有改變。病毒將自身代碼植入存儲載體，是其感染計算機的必經途徑和首要目標。加強存儲設備的病毒入侵防御能力，嚴防“病從口入”至關重要。

2.1 ?NTFS磁盤格式安全配置

NTFS（New Technology File System）[4]是基于Windows NT內核系列操作系統，為提高文件安全性而設計的一種磁盤格式，提供數據保護和恢復功能，能通過目錄和文件許可實現安全性。相較于傳統的FAT（File Allocation Table）磁盤格式，NTFS最大的優點就是使文件系統的安全性得到極大的提升。在Windows操作系統命令提示符模式下，可以使用convert指令將FAT升級為NTFS，然后使用cacls指令即可實現對目錄的各種權限設置。比如，對文件夾test_dir賦予讀寫、修改、訪問等所有權限，可使用指令“echo y|cacls test_dir /p everyone：f”來實現;取消其所有權限，則可使用指令“echo y|cacls test_dir /p everyone：n”來實現。

2.2 ?基于NTFS的隔離免疫技術

在Windows操作系統中，除操作系統默認的少數關鍵目錄和文件外，其他目錄和文件都默認為完全訪問，這就為病毒的入侵感染提供了便利。比如，盤符根目錄下面的autorun.inf病毒，就是通過上述開放權限實現的。針對這類根目錄病毒，最好的方法就是使用“目錄隔離免疫技術”，以D：＼盤為例，即在D：＼盤的根目錄下新建一級目錄level1_dir，并在該文件夾下新建二級目錄level2_dir，然后開放二級目錄的所有權限（echo y|cacls level2_dir /p everyone：f），取消一級目錄的所有權限（含列出文件夾內容權限）（echo y|cacls level1_dir /p everyone：n），最后設置D：＼盤根目錄為只讀權限（echo y|cacls d： /p everyone：r），即可創建一個“百毒不侵”的D：＼盤，以及一個可完全訪問的授權目錄level2_dir。這樣設置完成后，病毒首先無法將自身寫入根目錄D：＼，也無法檢索一級目錄level1_dir，從而達到保護真實數據所在level2_dir目錄的目的。

2.3 ?快捷訪問授權目錄

當D：＼完成“隔離免疫”后，不但病毒無法“長驅直入”，用戶的正常操作也將受到限制，無法通過傳統雙擊模式訪問二級目錄level2_dir。如需訪問，可在資源管理器的地址欄中輸入D：＼level1_dir＼level2_dir，然后回車進入;也可將D：＼level1_dir＼level2_dir創建為快捷方式，以便快速訪問。

2.4 ?基于C#的硬盤隔離免疫代碼

在使用C#編程語言實現硬盤隔離免疫功能時，我們需要調用Windows操作系統的cmd指令，也就是命令提示符，如圖1所示，在這里我們構建了一個Cmd類，在不創建任何顯式窗口的情況下執行各種操作。然后，通過調用“硬盤隔離免疫”子函數，如圖2所示，實現對任意磁盤的隔離和免疫功能。在創建桌面快捷方式時，調用了ShortcutCreator類，如圖3所示。

3 ?存儲設備訪問預掃描技術

存儲設備做好隔離免疫后，病毒就無法將自身復制到磁盤的根目錄，也無法感染磁盤內的其他文件。但是，如果用戶缺少經驗或操作錯誤，極有可能將病毒拷貝到磁盤隔離免疫后的安全空間。為此，還要在隔離免疫基礎上增加一道“防火墻”，這就是訪問目錄前的預掃描技術，該技術需要通過編程，在訪問安全空間之前，對安全空間內的所有文件進行預掃描，隔離疑似病毒后，方可進行訪問操作。

3.1 ?黑名單快速掃描

病毒寄生的文件類型比較多，常見的有exe、com、dll等二進制文件，有bat、vbs、js、php等腳本語言，還有asp、htm等網頁文件。在圖4的軟件界面中，我們梳理了常見的23種病毒寄生文件類型，并將它們全部列入黑名單。預掃描時，可以有針對性地對黑名單所列出的特定類型文件進行掃描和隔離，從而避免用戶雙擊激活病毒。

3.2 ?殺毒軟件全面掃描

基于文件類型黑名單快速掃描的方法比較簡單，但也可能會造成誤隔離的情況，所以我們可以在訪問安全空間前，通過命令行調用專業殺毒軟件的接口對其進行查殺。以360殺毒軟件為例（其他殺毒軟件類似），在360殺毒安裝目錄下輸入以下命令“360sd.exetest_dir”即可，360殺毒軟件會以靜默方式對該文件夾進行掃描。掃描完成以后，會在其安裝目錄的VirusScanLog目錄下生成以日期為名稱的日志文件，并對可疑文件進行隔離。這種全面掃描的方式比較費時，這就需要使用下面的FileSystemWatcher實時監控技術，以避免全面、重復的掃描，從而有效提高訪問速度。

3.3 ?基于C#的文件實時監控技術

在C#編程語言中，提供了FileSystemWatcher類[5]。該類偵聽文件系統更改通知，并在目錄或目錄中的文件發生更改時引發事件。通過該類，不僅可以監視特定的文件，也可以監視特定類型文件中的更改。例如，若要監視可執行文件中的更改，只需將Filter屬性設置為“*.exe”。FileSystemWatcher的實例監控到目錄或文件的變化后，會觸發相應的事件，其中目錄或文件的添加、刪除和修改會分別觸發Created、Deleted和Changed事件，目錄或文件重命名時觸發OnRenamed事件。通過該技術，結合病毒文件類型黑名單，可以精準、快速、高效地將疑似病毒文件進行隔離，示例代碼如圖5所示。

4 ?系統集成應用

在對存儲載體安全隔離免疫和預掃描技術進行深入探究后，筆者進行了軟件功能設計、軟件的總體結構設計和模塊設計，并使用C#編程語言完成了“存儲載體病毒防御系統”（簡稱“防御系統”）的編碼調試。在完成聯調測試并審批通過后，對所在單位的計算機操作系統和移動存儲載體，分批次進行了安裝。用戶在訪問存儲載體時，必須通過“防御系統”進行預先殺毒，才能訪問被NTFS文件系統保護的隔離區域。通過這種方式，所在單位計算機實現了存儲載體零感染計算機病毒的目標。

5 ?結 ?論

通過存儲載體隔離免疫和訪問預掃描技術，可以有效阻止病毒程序自動寫入存儲載體，也可以防范用戶因錯誤操作而激活病毒程序，對阻止病毒寄生存儲載體并通過存儲載體傳播擴散具有重要意義。本文通過對傳統計算機病毒查殺方式的研究，提出了一種新型基于存儲載體隔離免疫及訪問預掃描技術，并通過編程實現了相關功能，在實際使用過程中效果顯著。

參考文獻：

[1] 張瑜，LIU Q Z，宋麗萍，等.基于免疫和代碼重定位的計算機病毒特征碼提取與檢測方法 [J].北京理工大學學報，2017，37（10）：1036-1042.

[2] 趙廣強.基于虛擬化的沙箱防御技術的研究與實現 [D].廣州：廣東工業大學，2015.

[3] 鄒維福，張翼英，張素香，等.基于特征行為分析的木馬病毒檢測技術的研究 [J].電信科學，2014，30（11）：105-109+115.

[4] 李萍.NTFS中的文件及內容的安全保護研究 [D].成都：電子科技大學，2019.

[5] 朱清海，譚代芳.基于文件系統監控的工作效率評價系統設計與實現 [J].城市勘測，2017（4）：45-48.

作者簡介：廖榮江（1983—），男，漢族，四川內江人，工程師，本科，主要研究方向：網絡安全、數據加密、智慧辦公等。