在阅读本文之前,大家应该先了解一下还原保护攻防的基本原理,大家可以看看,应该已经说的比较详细和清楚了。 对,这就是我要给大家介绍的,无忧还原第二项特有的磁盘过滤驱动设备对象指针智能定向(Disk Filtering Drive Device Object Index Intelligent Directional;缩写为DFDDOIID )技术;首先大家要知道如果病毒驱动加载成功了之后他是如何穿透还原的;一般情况下病毒需要穿透还原,就得绕过还原的磁盘过滤驱动,直接给磁盘设备对象(Disk Device Object)(如""、"\Device\Harddisk0\DR0"等)发送扇区读写IRP,一般机器狗病毒是通过系统的磁盘设备对象连接符号名,来搜索底层的磁盘设备对象,从而达到穿透的目的,所以还原系统只要能先机器狗驱动启动之前去修改Windows内核中磁盘相关设备对象的信息,从而隐藏真实的磁盘设备对象指针,让其他任何程序和驱动所取得的磁盘设备对象指针都指向其还原系统的磁盘过滤驱动设备对象指针,这样一来机器狗病毒所发出的磁盘IO IRP都会经过还原的磁盘过滤驱动。那么无忧的特有的磁盘过滤驱动设备对象指针智能定向技术,其核心就是在这个智能上了,我们可以自动将系统中所有可能被机器狗获得的底层的磁盘设备对象信息修改掉,使得机器狗不论从什么层次什么级别都无法获取真实的底层的磁盘设备对象信息,使得机器狗所取得的磁盘设备对象指针都指向其还原系统的磁盘过滤驱动设备对象指针,从而达到防御机器狗穿透的目的。 相信这个时候大家又会有疑问了?为什么其他产品就不这么做呢?其实其他的很多还原产品之所以要反复更新升级和打补丁,就是因为他们没想到智能截取病毒的信息,所以就只能被动挨打,机器狗变异,就得手工采集信息,这样就很被动,造成客户对还原产品失去信心,现在基本上还原预防机器狗采取的都是上面的两种方式,关键就是谁能做的更智能,更主动,攻防对抗,很重要的就是料敌先机,先对方一步把对方能想到的任何技术和变异,都尽量计算在内,这样才能在一个相当长的时间内保持还原的安全和先进。而其他产品设计的时候可能想到上面的预防方法了,但是没去考虑,还原攻防是一个对抗,是一种技术战争,所以考虑的不全面,只能被动挨打,我们觉得做技术就要做到高瞻远瞩,自己想出的防御方法,先自己想办法攻破,对于我们来说,我们的还原开发的时候,都是分为两组,一组攻,一组防,出来的产品一定要做到两组人攻无可攻,防无可防,达到我们能做到的{zj2}攻防极限平衡,我们才会推出。因此通常我们的还原可以稳定相当长的时间。 同时为了满足更极限、更苛刻、更高的防御安全标准,我们推出了付费客户可以享用的病毒智能阻断技术。因为聪明的客户可以从上面的描述可以看出,上述的方法还是存在可能的漏洞,就是病毒设计者能把这个穿透驱动做的更智能,例如使用动态变化设备对象名;驱动名称随机变化加载,更底层的磁盘设备对象搜索技术,就有1%的可能绕过我们的防御,虽然这样对病毒设计者的技术要求更高,编程难度更大,但是也是可能实现的,所以我们推出了病毒智能阻断,这个技术一旦启动,就可以智能判断病毒的上述行为,如果有上述行为,就直接强行关闭这个病毒进程,让病毒的后续动作根本无法完成,从而使得病毒的arp传播,xx,下载,穿透等等工作都无法进行,彻底保证了网吧的安全和稳定,使得打造xx网吧成为可能。 我们相信还原的攻防是任重而道远的,目前所有的还原厂商不该是相互对抗的,而是应该携手共进,开诚布公,技术共享,一起担负起维护电脑安全的重任,所以我们谨以此文献给所有战斗在对抗机器狗{dy}线的还原、杀毒和安全软件的厂商,希望能抛砖引玉,一起做出更好xxx的产品。同时也以此文解答那些还在怀疑我们软件防狗效果的客户,通过这篇文章的分析,应该明白我们的软件的安全和强悍了,应该可以放心安心的选用我们网维无忧精灵产品了。 |
