地震勘探仪器病毒防护方法研究

刘卫平

(东方地球物理公司装备事业部吐哈作业部 新疆哈密)

地震勘探仪器病毒防护方法研究

刘卫平

(东方地球物理公司装备事业部吐哈作业部 新疆哈密)

日益猖獗的计算机病毒已经直接威胁到了地震勘探仪器的正常工作,本文针对地震勘探仪器的特点,对地震勘探仪器的病毒防护,特别是针对地震勘探仪器的病毒主动防护进行了探讨。

地震仪器;病毒防护;病毒类型

0 引 言

随着计算机技术的飞速发展,计算机病毒也日益猖獗,对广大计算机用户造成了极大地威胁。目前,相当一部分地震勘探仪器(包括多数浅层地震仪)所使用的软件平台都是Microsoft Windows操作系统。由于Microsoft Windows系统应用广泛,基于Windows系统的病毒泛滥已是众所周知的事。地震仪、浅层折射仪感染病毒的案例也时有发生,影响了仪器的正常使用,相应地,地震勘探仪器病毒防护工作也越来越引起人们的重视。本文就基于Microsoft Windows系统的地震勘探仪器的病毒防护问题来进行分析,以期找出行之有效的病毒防护措施[1]。

1 常见病毒类型、传播途径及危害分析

计算机病毒类型根据破坏方式主要有以下三类:

1)数据破坏型:该类病毒主要攻击计算机系统的存储系统,造成资料丢失;

2)系统破坏型:该类病毒主要攻击计算机操作系统文件,使系统瘫痪甚至崩溃;

3)网络破坏型:该类病毒主要攻击计算机的网络系统,使网络性能降低甚至堵塞。

计算机病毒的传播途径主要有以下四种方式:

1)网络传播方式

①在网上下载了携带病毒的文件,运行这些带病毒的文件后而导致计算机被感染;

②浏览隐藏病毒的网页时,病毒通过IE浏览器自动安装到计算机;

③在局域网内利用网上邻居传播。

2)存储介质传播方式通过软盘、U盘、移动硬盘、光盘等移动存储介质传染。通常都在存储设备的根目录下建立AUTORUN.INF文件和一个或若干个可执行文件,AUTORUN.INF在插入光盘、u盘、移动硬盘时或在打开存储设备时自动运行,完成病毒的传播。

3)文件传播方式

EXE文件、com文件、office文档及一些经过伪装的TXT文档都会成为病毒文件的载体。

4)引导区传播方式

病毒感染到磁盘(硬盘、软盘、移动硬盘)的引导区,在系统启动时感染到计算机。

无论是哪种传播方式,它都可以携带任何形式的病毒。

2 病毒对地震仪器系统的危害[2]

1)病毒文件大部分都是常驻内存,占用CPU时间及内存,会使系统性能降低;

2)网络破坏型病毒对SYSTEM-IV、ARAMAREIS等使用网络数据传输的仪器危害极为严重,可能造成中央控制单元各主机之间、中央控制单元与外部设备通讯阻断以及一些其它未知的危害;

3)数据破坏型病毒、系统破坏型病毒会造成系统紊乱甚至崩溃。

3 地震勘探仪器病毒防护现状[3、4]

对地震勘探仪器来说,由于仪器孤立于互联网,只与外部计算机通过移动存储介质来交换SPS文件及地震数据,因此,主要通过存储介质传播类、文件传播两种方式感染外界病毒(对于使用网络数据传输的仪器,病毒会通过被感染的主机通过网络传播方式感染到其它主机)。

目前大多数基于windows系统的地震勘探仪器都安装了杀毒软件,但应用效果不理想,起不到有效的保护作用。

1)与系统的兼容性差:由于地震勘探仪器软件系统十分庞杂,杀毒软件的实时防护功能会禁止部分程序无法运行。在正常使用中必须退出杀毒软件。

2)所安装的杀毒软件病毒库得不到及时升级,使得杀毒能力减弱;

3)杀毒软件病毒库总是滞后于病毒。

病毒在传播时一般必须具有以下条件:

传播途径:通过存储介质传播、通过网络传播;

存储介质:在计算机中存储;

激活条件:通过系统自动加载或人为启动,如图1所示。

图1 计算机病毒的生命周期

3.1 从传播途径入手,阻止病毒进入系统[3、4]

由于地震勘探仪器施工时属于独立系统,病毒的传播主要通过移动存储介质来实现,影响系统的主要是文件传播型和存储介质传播型两类:

文件传播型:该类传播方式属于被动传播,只有通过人为拷贝到仪器并激活或在存储设备与仪器系统连接时人为激活的情况下才会进行传播,不会进行自动传播。地震勘探仪器与外界交互的数据主要为文本各式的sps文件、仪器测试文件以及地震数据,这几类文件都不具备传播病毒的能力,通过提高操作人员的防病毒意识,禁止有可能携带病毒的文件(.exe、.com、excel文档、word文档等)进入仪器,个别仪器(如SYSTEM-IV)需导入excel文件时,可先转换为文本文件再拷入仪器,就可以避免该类病毒的感染。

存储介质传播型:该类传播方式属于主动传播,在使用者打开移动存储设备时,病毒自动感染系统,是目前最主要的病毒传播方式,它主要利用autorun.inf文件引导病毒文件自动运行,该文件最初是用来引导光盘自动运行,后被病毒制造者利用,成为传播病毒的工具,硬盘感染了该了类病毒后,即使格式化系统盘重装系统,病毒依然存在,原理如下:

[autorun]

Open=“病毒文件名”

Shellopen=打开(&0)

Shellopencommand=“病毒文件名”

Shellexplores=资源管理器(&X)

Shellexplorescommand=“病毒文件名”

由于存储设备的打开行为被重新定义为执行病毒文件,只要打开该设备(双击或用右键菜单),病毒就会被执行病感染系统。我们可以利用ntfs系统的权限管理功能来阻止病毒通过这种方式进入系统:

Ntfs系统可以定义用户对文件系统的访问权限,如读、写、执行等,移动硬盘在格式化时可以直接做成ntfs格式,而u盘无法用ntfs格式进行格式化,需用以下命令进行转换:

Convert x:/fs:ntfs/x

然后在U盘(活动硬盘)根目录下建立一个文件夹,再开始设置权限:

1)将根目录权限设置为“everyone”只读;

2)将文件夹的权限设置为“everyone”读和写,由于没有执行权限,一些利用文件夹传播的病毒(如欢乐时光)同样不会感染到仪器。

通过以上设置,病毒就无法将autorun.inf文件及病毒主程序写到根目录下,而正常的数据交换可以在文件夹内进行,以上方法设置不当会导致文件夹内数据无法删除、无法拷贝等问题,为了便于设置,可以编制程序来解决,以下是编制的设置程序,如图2所示。

图2 病毒防护程序

需要注意的是,病毒程序同样可以修改权限来写入病毒,因此,在设置权限前先另外建立一个账户,然后以该账户登陆进行设置,病毒程序由于无法获得所有权,也就不能对权限进行更改。

该方法在野外施工期间比较适用,但存在一些不足:

1)在对仪器系统升级时,不可避免的要从外部拷入升级用的可执行文件,如果这些文件被病毒感染,就会对仪器系统造成危害;

2)远程计算机与仪器系统联网进行远程质量监控、远程技术支持、远程数据传送时,病毒会通过网络进入仪器,对系统造成危害。因此,还需进一步研究。

3.2 从存储介质入手,阻止病毒文件的建立

1)保护文件系统:为了防止被使用者发现,病毒文件经常隐藏在系统目录(windows、winnt、system、system32等)下,鉴于地震仪器系统软件安装频率很低,我们同样可以采用权限设置的方法,为所有账户将这些文件夹权限设为执行和读权限,病毒就无法写入这些文件夹,同样需要考虑所有权的问题,在安装系统时建立普通用户名,安装采集软件时再建立专用用户名,进行权限设置时用普通用户名,用采集系统专用用户名设置权限就会失去作用。

2)预植入已知的病毒文件名:在系统升级时有时需要在系统文件夹内写入文件,就需要放开系统文件夹的权限,病毒文件这时就可以写入这些文件夹内,为了防止病毒文件的建立,在这些文件夹内预先建立和病毒文件同名的文件,并取消任何权限,防止被删除,起到免疫的作用;用同样的方法在硬盘每个分区的根目录下建立autorun.inf文件夹和病毒文件名,阻止该类病毒。

以上方法并不能防止所有的病毒,它可以建立在一个我们熟悉的文件夹内而达到隐藏的目的,为此,还需进行激活方面的研究。

3.3 从启动方式入手,阻止病毒被激活

病毒在复制文件的同时,会同时设定自启动方式来激活,常见的有以下几种方式:

1)在“启动”文件夹建立快捷方式,在用户登陆时开始自动运行。这种方式可以通过将“启动”文件夹设置为“读取“和“运行“权限来解决;

2)通过更改文件的关联来实现;

3)通过win.ini自动加载;

4)通过修改注册表来达到自启动目的,主要有以下几种方法:

①在run键值下建立启动项;②采用修改image镜像的方法;③挂载在userinit下;

④挂载在explore.exe下;

⑤利用注册表其他能够引导程序执行的功能实现。

5)利用autoexec.bat启动病毒

这些问题可以采用设定文件、文件夹安全权限、锁定注册表的方法来解决,防止病毒被激活。

由于以上工作通过手工方法比较繁琐,难度较大,可以编制程序来解决,以下是编制的设置程序,如图3所示。

图3 病毒防护程序

该程序在428XL、SYSTEM-IV、NZII-48等仪器上测试通过,经过一年多的使用,可以起到较好的病毒防护作用。

4 病毒防护建议

根据以上分析,地震勘探仪器的病毒防护工作应特别注意以下问题:

1)升级文件在拷入仪器系统前一定要做好杀毒工作;

2)仪器施工结束后应做全面的杀毒、安装系统补丁工作;

3)由于该方法不具备病毒查杀功能,可以配合免安装版杀毒软件(单次运行,无监控、实时保护功能)一起使用,以增强防毒效果。

鉴于计算机系统的特点,病毒的存在将是长期的和不可避免的,新形式的病毒也会不断出现,我们还需在实践中不断探索,提高地震勘探仪器的病毒防护能力,保障地震勘探仪器的正常运行。

[1] 谭峰软件工作室.Windows 98/Me/NT/2000XP注册表配置与使用[M].北京:人民邮电出版社,2002

[2] 卓新建.计算机病毒原理及防治[M].北京:邮电大学出版社,2004

[3] 张仁斌,李 钢,侯整风.计算机病毒与反病毒技术[M].北京:清华大学出版社,2007

[4] 刘卫平.浅谈地震勘探仪器的病毒防护[J].物探装备,2007,17(4)

TP393.O8

B

1004-9134(2010)06-0094-03

刘卫平,男,1970年生,工程师,1990年毕业于兰州电子工业学校电子技术专业,现在东方地球物理公司装备事业部吐哈作业部从事地震勘探仪器技术支持与维修工作。邮编:839009

2010-03-04编辑:梁保江)