基于隔离技术的防病毒存储设备的设计与实现

摘  要：当前，主流杀毒软件的主要功能是对计算机病毒程序进行查杀，而不是对存储载体进行病毒防御，导致大量病毒程序通过存储载体实现长期潜伏、扩散，从而对计算机系统和数据造成巨大威胁。通过对传统杀毒软件的分析，以及对NTFS文件系统的研究，从加强存储载体的隔离免疫和访问预扫描两个维度进行探讨，提出一种新型计算机病毒防御理念，并使用C#语言进行编程，建立一套新型计算机病毒防御体系。

关键词：计算机病毒;隔离免疫;预扫描;防御体系

中图分类号：TP311       文献标识码：A 文章编号：2096-4706（2021）06-0161-03

Design and Implementation of Anti-virus Storage Device Based on Isolation Technology

LIAO Rongjiang

（Equipment Department of PLA Navy，Beijing  100841，China）

Abstract：At present，the main function of the mainstream anti-virus software is to check and kill the computer virus program，rather than to defend the virus on storage carrier. As a result，a large number of virus programs are latent and spread through the storage carrier for a long time，so as to pose a huge threat to the computer system and data. Through the analysis of traditional anti-virus software and the research of NTFS file system，this paper discusses from the two dimensions of strengthening the isolation immunity of storage carrier and access pre-scan，puts forward a new computer virus defense idea，and uses C# language to program，so as to establish a new computer virus defense system.

Keywords：computer virus;isolation immunity;pre-scan;defense system

0  引  言

在管理維护办公网络时，对计算机病毒的检测、防御、查杀和清除等工作，始终是管理维护人员日常运维的头等大事。在实际工作当中，大多数单位内部都安装有杀毒软件，但由于与互联网物理隔离，往往会出现病毒库升级不及时，病毒查杀效果不明显的情况。同时，还有些用户不愿意或不擅于使用杀毒软件，从而导致计算机病毒泛滥，影响系统稳定和数据安全。如何便捷高效地阻止计算机病毒入侵是一个新的研究方向。基于以上问题，本文通过NTFS文件系统和.NETFramework中的FileSystemWatcher类进行研究，以某单位内部局域网计算机终端为管理目标，设计了一套基于隔离技术的防病毒存储设备，并探讨了其优点及实现方式。

1  传统计算机病毒查杀技术

1.1  特征基因检测

目前，国内外各大杀毒软件采用的主流技术之一，是通过提取被扫描文件的特征数据，与本地或者云端病毒数据库进行比照，以此对病毒进行初步筛检。为了缩小病毒数据库，一些杀毒软件采用了基于基因码的检测技术[1]。所谓基因码，是指同族病毒的不同变种，几乎都含有相同的病毒基因特征。采用基于基因码的检测技术，可以从同族病毒变种中找出其共同之处和普遍特征。通过这种方法进行文件扫描，只须采用较少的特征数据就能筛检庞大的病毒种类，在进行特征对照时可大大缩短运行时间。同时，对于同族病毒衍生出来的新变种，只要吻合该病毒族群的基因特征，即使是在没有更新病毒数据库的情况下，也能成功将其筛检出来。

1.2  沙箱防御技术

沙箱也叫沙盘，是一种轻量级虚拟机，类似于影子系统[2]。与其在军事上的用途相似，在沙箱中运行的各种程序都是模拟演习，所有在沙盘内执行的操作都是虚拟构建的，其工作原理是使程序在一个隔离的空间内运行，程序无权修改沙箱外的程序和数据，也无法修改系统设置，从而保障系统不会遭到恶意软件及病毒的篡改和入侵。当杀毒软件对病毒进行特征基因码检测时，有时会出现检测无效或拦截失败的情况，而沙箱能够很好地弥补这一不足，提高筛检病毒的成功概率。

1.3  特征行为检测

针对一些尚未收录特征基因码的病毒，以及通过特殊加壳或使用花指令加密的病毒，还可以对病毒进程行为进行全程监控，分析其操作是否存在恶意行为[3]，比如创建高级系统用户、获取系统底层权限、破坏杀毒软件、监控网络访问、发送敏感数据、修改注册表关键值、创建自启动项、读写敏感文件，隐藏自身并进行复制、删除操作等，一旦发现违规行为，就可以通知用户，或者直接终止进程，从而做到主动防御。

2  存储设备隔离免疫技术

计算机存储设备是用于储存数据信息的设备，被广泛应用于各种程序和数据的存放，是计算机必不可少的关键设备之一，也是计算机病毒攻击、感染的主要对象。无论计算机技术如何发展，病毒寄生隐藏于存储设备的基本特性始终没有改变，通过自动加载启动或诱导用户点击激活的基本策略也始终没有改变。病毒将自身代码植入存储载体，是其感染计算机的必经途径和首要目标。加强存储设备的病毒入侵防御能力，严防“病从口入”至关重要。

2.1  NTFS磁盘格式安全配置

NTFS（New Technology File System）[4]是基于Windows NT内核系列操作系统，为提高文件安全性而设计的一种磁盘格式，提供数据保护和恢复功能，能通过目录和文件许可实现安全性。相较于传统的FAT（File Allocation Table）磁盘格式，NTFS最大的优点就是使文件系统的安全性得到极大的提升。在Windows操作系统命令提示符模式下，可以使用convert指令将FAT升级为NTFS，然后使用cacls指令即可实现对目录的各种权限设置。比如，对文件夹test_dir赋予读写、修改、访问等所有权限，可使用指令“echo y|cacls test_dir /p everyone：f”来实现;取消其所有权限，则可使用指令“echo y|cacls test_dir /p everyone：n”来实现。

2.2  基于NTFS的隔离免疫技术

在Windows操作系统中，除操作系统默认的少数关键目录和文件外，其他目录和文件都默认为完全访问，这就为病毒的入侵感染提供了便利。比如，盘符根目录下面的autorun.inf病毒，就是通过上述开放权限实现的。针对这类根目录病毒，最好的方法就是使用“目录隔离免疫技术”，以D：＼盘为例，即在D：＼盘的根目录下新建一级目录level1_dir，并在该文件夹下新建二级目录level2_dir，然后开放二级目录的所有权限（echo y|cacls level2_dir /p everyone：f），取消一级目录的所有权限（含列出文件夹内容权限）（echo y|cacls level1_dir /p everyone：n），最后设置D：＼盘根目录为只读权限（echo y|cacls d： /p everyone：r），即可创建一个“百毒不侵”的D：＼盘，以及一个可完全访问的授权目录level2_dir。这样设置完成后，病毒首先无法将自身写入根目录D：＼，也无法检索一级目录level1_dir，从而达到保护真实数据所在level2_dir目录的目的。

2.3  快捷访问授权目录

当D：＼完成“隔离免疫”后，不但病毒无法“长驱直入”，用户的正常操作也将受到限制，无法通过传统双击模式访问二级目录level2_dir。如需访问，可在资源管理器的地址栏中输入D：＼level1_dir＼level2_dir，然后回车进入;也可将D：＼level1_dir＼level2_dir创建为快捷方式，以便快速访问。

2.4  基于C#的硬盘隔离免疫代码

在使用C#编程语言实现硬盘隔离免疫功能时，我们需要调用Windows操作系统的cmd指令，也就是命令提示符，如图1所示，在这里我们构建了一个Cmd类，在不创建任何显式窗口的情况下执行各种操作。然后，通过调用“硬盘隔离免疫”子函数，如图2所示，实现对任意磁盘的隔离和免疫功能。在创建桌面快捷方式时，调用了ShortcutCreator类，如图3所示。

3  存储设备访问预扫描技术

存储设备做好隔离免疫后，病毒就无法将自身复制到磁盘的根目录，也无法感染磁盘内的其他文件。但是，如果用户缺少经验或操作错误，极有可能将病毒拷贝到磁盘隔离免疫后的安全空间。为此，还要在隔离免疫基础上增加一道“防火墙”，这就是访问目录前的预扫描技术，该技术需要通过编程，在访问安全空間之前，对安全空间内的所有文件进行预扫描，隔离疑似病毒后，方可进行访问操作。

3.1  黑名单快速扫描

病毒寄生的文件类型比较多，常见的有exe、com、dll等二进制文件，有bat、vbs、js、php等脚本语言，还有asp、htm等网页文件。在图4的软件界面中，我们梳理了常见的23种病毒寄生文件类型，并将它们全部列入黑名单。预扫描时，可以有针对性地对黑名单所列出的特定类型文件进行扫描和隔离，从而避免用户双击激活病毒。

3.2  杀毒软件全面扫描

基于文件类型黑名单快速扫描的方法比较简单，但也可能会造成误隔离的情况，所以我们可以在访问安全空间前，通过命令行调用专业杀毒软件的接口对其进行查杀。以360杀毒软件为例（其他杀毒软件类似），在360杀毒安装目录下输入以下命令“360sd.exetest_dir”即可，360杀毒软件会以静默方式对该文件夹进行扫描。扫描完成以后，会在其安装目录的VirusScanLog目录下生成以日期为名称的日志文件，并对可疑文件进行隔离。这种全面扫描的方式比较费时，这就需要使用下面的FileSystemWatcher实时监控技术，以避免全面、重复的扫描，从而有效提高访问速度。

3.3  基于C#的文件实时监控技术

在C#编程语言中，提供了FileSystemWatcher类[5]。该类侦听文件系统更改通知，并在目录或目录中的文件发生更改时引发事件。通过该类，不仅可以监视特定的文件，也可以监视特定类型文件中的更改。例如，若要监视可执行文件中的更改，只需将Filter属性设置为“*.exe”。FileSystemWatcher的实例监控到目录或文件的变化后，会触发相应的事件，其中目录或文件的添加、删除和修改会分别触发Created、Deleted和Changed事件，目录或文件重命名时触发OnRenamed事件。通过该技术，结合病毒文件类型黑名单，可以精准、快速、高效地将疑似病毒文件进行隔离，示例代码如图5所示。

4  系统集成应用

在对存储载体安全隔离免疫和预扫描技术进行深入探究后，笔者进行了软件功能设计、软件的总体结构设计和模块设计，并使用C#编程语言完成了“存储载体病毒防御系统”（简称“防御系统”）的编码调试。在完成联调测试并审批通过后，对所在单位的计算机操作系统和移动存储载体，分批次进行了安装。用户在访问存储载体时，必须通过“防御系统”进行预先杀毒，才能访问被NTFS文件系统保护的隔离区域。通过这种方式，所在单位计算机实现了存储载体零感染计算机病毒的目标。

5  结  论

通过存储载体隔离免疫和访问预扫描技术，可以有效阻止病毒程序自动写入存储载体，也可以防范用户因错误操作而激活病毒程序，对阻止病毒寄生存储载体并通过存储载体传播扩散具有重要意义。本文通过对传统计算机病毒查杀方式的研究，提出了一种新型基于存储载体隔离免疫及访问预扫描技术，并通过编程实现了相关功能，在实际使用过程中效果显著。

参考文献：

[1] 张瑜，LIU Q Z，宋丽萍，等.基于免疫和代码重定位的计算机病毒特征码提取与检测方法 [J].北京理工大学学报，2017，37（10）：1036-1042.

[2] 赵广强.基于虚拟化的沙箱防御技术的研究与实现 [D].广州：广东工业大学，2015.

[3] 邹维福，张翼英，张素香，等.基于特征行为分析的木马病毒检测技术的研究 [J].电信科学，2014，30（11）：105-109+115.

[4] 李萍.NTFS中的文件及内容的安全保护研究 [D].成都：电子科技大学，2019.

[5] 朱清海，谭代芳.基于文件系统监控的工作效率评价系统设计与实现 [J].城市勘测，2017（4）：45-48.

作者简介：廖荣江（1983—），男，汉族，四川内江人，工程师，本科，主要研究方向：网络安全、数据加密、智慧办公等。