摘要:随着科学技术与计算机网络的不断发展,病毒防火墙作为计算机系统防病毒的主要工具,发展前景越来越广阔。本文就Windows NT内核下的病毒防火墙原理进行探讨,以期病毒防火墙更好地发挥作用,保障计算机系统安全、稳定地运行。
关键词:Windows NT内核;病毒防火墙;原理
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2012) 15-0000-02
计算机目前已经广泛的应用到社会各个领域,网络使得千家万户能更加便捷的交流,计算机和网络的结合给人类社会生活带来便捷的同时,也引发了一些不安全的因素。计算机网络由于其特定的脆弱性,被很多有居心的不法分子不断的专空子,给广大网民带来困扰的同时也造成了很多经济损失,因此反病毒技术势在必行。目前,病毒防火墙作为计算机系统的安全防护工具,具有实时检测病毒和清除系统、保护计算机免受病毒的侵害的优点,因此,其应用前景越来越广阔。
1 Windows NT 内核
Windows NT内核是微软公司推出的一款面向网络应用的操作系统,在和通信技术密切融合的基础上提供打印等各种附加服务,由于其非常周到的人性化服务,得到了许多用户的青睐,具有广泛的市场。
Windows NT内核为32位操作系统,具有多重引导功能,并支持兼容;在线程操作方面也很有特色,具备多线程多任务的特点外,还具有抢先式的功能,为用户提供了多种多样地选择;采用SMP技术,并支持多处理器系统;支持CISC(如Intel系统)和RISC(如Power PC、R4400等)多种硬件平台;提供安全存取控制及容错能力,可与各种网络操作系统协调合作,如:UNIX、Novel。Windows NT内核的意义在于将用户模式和内核模式分离,这可使得系统更安全,稳定。
实际上,所有的Windows NT内核的组件来说其本身都是DLL、PE格式的.EXE文件以及导入导出函数。因此,Windows NT内核的主要组件可以分为以下一种:
第一种就是*Ntoskrnl.exe,其作为系统的核心,因而系统中所有涉及到的执行函数全部集中在这里,与此同时这些函数又能够起到调用其它组件的作用。对于这一部分的核心组件主要包括有进线程创建、LPC、对象管理器、安全管理、文件系统、进线程控制、异常处理、内存管理器、VDM、输入输出和т.д.这些组件一般情况下均位于大于80100000h的地址上。
第二种就是作为硬件抽象层(Hardware Abstraction Layer)也就是处于硬件相关的模块的*Hal.dll。该隔离层主要的任务就是将操作系统中与硬件相关的部分进行隔离出来,以此提高系统的可移植性。主要的模块的任务就是负责实现程序控制中断以及硬件输入输出等等非常底层的函数。一般情况下同样是位于大于80100000h的地址之上的。
第三种就是*Ntdll.dll,其作为某些Win32 API的实现函数,主要负责提供核心模式与用户模式之间的接口。其一般情况下是位于用户空间,即系统函数调用的过程就是从这里导出。
第四种就是*Kernel32.dll,其作为类似于Win9x的核心的一项组件主要是负责实现一些函数,并且其中有很多的函数封装在ntdll.dll中。
还有就是作为进程服务器子系统的*Csrss.exe,它是一个单独的进程的特征是其受到保护而避免受到其它进程(位于其它进程的地址空间中)的干扰与影响。但与此同时,该组件对服务的请求通常情况下要借助于LPC产生。
最后一种就是作为驱动程序的*Win32k.sys,其主要功能就是用来减少调用Csrss服务而造成的开销损失。在此程序中通过对于GDI和USER函数的使用,使其用系统调用而减少了对于LPC的使用,这在一定程度上有效地提高了Windows NT4.0和2K的图形处理性能。
2 病毒防火墙
防火墙,确切的称之为“病毒实时检测和清除系统”,是一种反病毒软件的工作模式。通俗的来说就是指在网络上用以保护系统安全而广泛使用的一个软件,在系统和网络上其他机器设备之间设置一道安全措施,能有效的拦截病毒,防止网络恶意攻击。
当病毒防火墙运行的时候,内存中会自动存储着一些用以病毒特征监控的程序,对系统进行实时的监控,随时观察并发现系统运行过程中是否存在有病毒的迹象;如果监控病毒程序的检测结果表明文件中携带有病毒或者是具有携带病毒的痕迹,病毒防火墙就会自动启动激活,对相关文件进行对应处理。防火墙在激活之后首要步骤就是阻止病毒的进入过程,并且阻止携毒文件的开启或运行,紧接着对带毒的文件进行二次查杀,最终将病毒消灭。病毒防火的工作方式大致上就是如上述文字所描述的那样,对计算机系统进行保护以此避免其遭受到病毒的侵袭而造成损失。因此,从这个角度来分析,病毒防火墙的实际作用并不再是对网络环境中的病毒进行简单的监控,它会对计算机系统运行过程中的所有涉及到的应用软件进行湿湿的监控,全方位、系统化的监控将从真正意义上保障用户系统的安全,使得用户系统能够长期处于“无毒”环境之中。
就当前计算机技术的日益发展,病毒的多样性也是其发展进程中的一项衍生产物。并且有许多的病毒的主要传播途径就是通过网络,这也就在一定程度上为涉及范畴不同的两种防火墙产品(病毒防火墙和网络防火墙)提供了交叉使用的可能性。除此之外,就目前而言有许多的网络防火墙也增加了病毒防火墙所具有的病毒检测和防御的功能。与此同时,对于一些网络入侵所特有的后门软件(诸如木马之类的),也同样被是作为“病毒”范畴,这也就导致其能够轻易地被“病毒防火墙”监控到并实时进行清除。就目前的趋势而言,病毒防火墙在网络安全保护中占据着不可或缺的地位。
3 Windows NT内核下的病毒防火墙原理
Windows NT内核中存在着一种文件驱动程序,这种程序的主要作用就是基于非易失性存储介质的基础上对数据进行存储以此为用户提供服务。通过对文件驱动程序的开发实现扩展功能是NT中I/O管理器的一大特色,I/O管理器支持分层驱动程序模型,病毒防火墙实现拦截文件的原理如下:通过开发驱动程序并插入到结构层中,从而进行文件拦截。这种驱动文件亦称作过滤驱动文件。 总的来说,病毒防火墙就是利用这种过滤驱动文件来实现对计算机系统保护的。譬如,当用户程序利用Create File函数对已有文件夹进行打开或者建立一个新文件时,病毒防火墙能够在运行的进程中对Create File的请求包(IRP)进行有效的截获操作,从而对文件包进行检测查看其中是否携带有病毒,以此为用户安全的对文件进行使用提供了有效的保障。过滤驱动程序的工作流程如下:首先对文件的类型进行检查,从而判断该文件是否属于携带病毒类型的文件,对于那些存在病毒概率较小的文件,会进一步传递到文件驱动程序。其次,用户在应用程序的运行进程中,在内核的过滤驱动程序中需要实时的通讯派遣反馈。在过程中,如果IRP返回了“文件打开产生错误”的指令,为了避免检测中心做了不必要的工作,病毒防火墙便会选择只把结果返回给I/O 管理器;如果返回指令表明该文件已被成功地打开,文件系统中的过滤驱动程序会发送一个(或多个)Read File的IRP给文件系统驱动程序,从而使病毒防火墙对文件进行放行,将文件的内容完整的传递给客户。病毒检测器需要实时注意IRP的工作状态,只有当IRP完成任务后,病毒检测器才能发挥功效。作为检测病毒的文件过滤驱动程序,还需要维护应用程序层传来的病毒特征代码库。因为病毒特征代码库,不仅可以帮助反病毒引擎提高检测准确性,还能够提高检测的效率。
病毒防火墙软件主要由应用程序和驱动程序两部分组成。应用程序主要是通过WINDOWS平台中后台运行并且无界面的服务程序来实现的,类似于Unix/Linux 下的守护进程,其主要任务是对文件驱动程序进行安装与卸载;驱动程序的主要功能检测文件的安全状态,就是检测文件中是否存在病毒。驱动程序主要是靠服务程序用NET START与NET STOP系统命令启动与停止来实现快速加载功能的。
4 结论
病毒防火墙作为不同网络之间的通道,通过检测、限制流动的文件及数据,可以有效屏蔽存在安全隐患的信息,有选择地接收外来访问,为用户与外网建立了一道天然的屏障。本文对Windows NT内核下的病毒防火墙原理进行研究,首先分别介绍了Windows NT内核与病毒防火墙的概念及意义,然后着重阐述了Windows NT内核下的病毒防火墙原理,以期进一步开发与拓展Windows NT内核下病毒防火墙的功能,使其更好地为计算机用户服务。
参考文献
[1]夏洪雷,王海峰. Windows NT 内核下病毒防火墙的原理分析与实现[J].福建电脑,2009(06)
[2] Chris Cant. Windows WDM 设备驱动程序开发指南[J].北京:机械工业出版社,2010(05)
[3]赵战生. Internet防火墙[J].中国计算机用户,2008(16)