基于硬盘保护的机房电脑软件维护研究

摘要:阐述了硬盘保护在高校机房维护中应用现状和要求。分析了在硬盘保护条件下的计算机机房电脑软件维护中存在的误区和问题,指出了软件维护中应着力解决的四个关键点,尤其在做好ARP攻击的防范和“机器狗”病毒的防范方面提出了自己的看法。最后给出了分析结论。

关键词:硬盘保护;机房;软件维护

中图分类号:TP311文献标识码:A文章编号:1009-3044(2009)14-3820-03

Research on Computer Lab Computerized Software Maintenance Based on Hard Disk Protection

TANG Zhi-gui

(School of Computer Science, Anhui University of Technology, Ma'anshan 243002, China)

Abstract: Introduced the current situation and requirements of hard disk protection in the maintenance of the university's computer lab. It analyzed the misunderstanding and problems of the software maintenance of computer lab in the condition of hard disk protection, And pointes out four key points that should be solved in software maintenance, and draws a conclusion especially in the protection against the attack of ARP and “Machine dog” virus. Finally it gives out the conclusion.

Key words: hard disk Protection; computer Lab; software maintenance

1 引言

随着计算机的普及与应用,以及因特网的高速发展,网络通信已成为人们获取各类信息和相互之间联系的重要手段。但同时,计算机病毒恶性制作和传播亦日益猖狂起来,导致在短时间内,上演计算机染毒瘫痪的大灾难[2]。因此,高校计算中心开放实验下的机房电脑维护面临着越来越大的压力。如何做好机房的电脑维护,尤其是软件维护,保障教学的正常进行是我们每个机房实验人员应该思考的问题。

2 硬盘保护在高校机房维护中应用现状和要求

2.1 硬盘保护在高校机房维护中应用现状

高校计算机实验室的设备很多,相应的软件管理与维护工作也很繁琐,因此,使用具有硬盘保护功能的商用机是机房管理教师的迫切要求,也是顺应电脑发展和适应扩招的必然结果。它的使用可以让电脑快速地恢复到系统原始的“安全”状态,而不是每次都重装系统,使管理人员从繁琐的系统安装与维护工作中解脱出来,从而提高工作效率。

近年来,随着学校不断发展,我校计算中心购置的计算机大都为联想商用机,其自带的硬盘保护系统中包含有网络传输功能,只要有一台电脑装好系统后,就可通过网络来进行传输。联想硬盘保护系统采用的是“联想慧盾”技术。该系统功能的实现不依赖于任何其他软件及操作系统,具有多系统引导、单机保护、网络复制、自动分配IP等功能。据文献检索、走访,以及通过各学校学生了解,目前,具有硬盘保护功能的电脑在高校应用普遍。

2.2 高校电脑的日常维护要求

机房电脑日常维护主要是硬件维护和软件维护。由于网络环境的恶化,木马、病毒的猖獗,软件的日常维护已成为机房电脑维护人员的主要任务。

2.2.1 软件维护主要内容

安装新增教学软件,满足教学上的需要;及时进行系统升级,杜绝恶意软件的侵袭;对学生上机操作不当等引起的软件故障进行维护;对学生因使用带毒的U盘、访问不良网站而引起的软件故障进行维护;解决会员不能正常登陆、结帐下机等网管软件方面的问题;满足计算机文化基础考试以及每年两次的省二级等级考试的软件环境需要;满足校“赛为”杯计算机编程竞赛和校、院两级其他上机培训要求。

2.2.2 日常维护的方法

对于电脑能进入系统的,可以在开放模式下对其查杀病毒、升级补丁、安装新增教学软件等进行简单的维护操作。简单维护不了的,可以选择一台正常的电脑或专门的母机用对等网线同传,也可将其本地硬盘中的GHOST镜像文件还原。若还不行,则格式化硬盘、重装系统。

实际工作中,如遇到多台电脑需要维护,则可先分析软件故障原因,然后在维护好母机的基础上,进行一次性的网络同传。

3 当前电脑软件维护中存在的认识误区和问题

3.1 当前电脑软件维护中存在的认识误区

1) 误区一:过分依赖某款防毒软件。

某某安全卫士在防范流氓软件和某些木马程序方面的确起到了不小的作用,下载排行也名列前茅。但我个人认为:该款安全卫士必尽不是专业的杀毒软件,更不是专业的防火墙,因此它并不能代替二者。另外,随着该款安全卫士系列软件用的人越来越多,它自然而然地成了恶意软件的攻击目标。因此,该款软件像其他安全软件一样,在与恶意软件的较量中,也常有力不从心而败下阵来的时候。当然,客观地说它在打补丁方面还是较快的,但是否全面值得商榷。我们通常在它打完补丁后,再用其它款软件检测,往往仍有安全漏洞需要修复。

2) 误区二:认为系统有硬盘还原功能或做了GHOST备份,就安全了。

一般情况下,高校在添置设备时都会配备具有硬盘还原功能的电脑系统。而且随着老机子的淘汰,这一比例会越来越大。譬如:我校计算中心仅用于对外开放的550台电脑全部是联想启天系列商用机。它具有的硬盘还原功能,的确给我们日常软件维护带来了方便。平时只要用母机进行网络同传即可解决问题。而且为了更安全,对母机的系统再进行GHOST备份,以防母机在使用中系统或崩溃、或不正常时使用。但随着“机器狗”病毒的出现,电脑硬盘还原系统也变得不安全了。“机器狗”病毒是继“熊猫烧香”之后,又一种恶性计算机病毒,它通过自动释放出的内核级驱动程序pcihdd.sys,采用物理直接读写方式绕过还原卡监控,感染Windows系统核心的用户模式引导文件%SystemRoot%\system32\userinit.exe,从而造成还原卡失效[2]。这种病毒是第一种可以穿透硬盘还原卡保护功能的病毒,可穿透目前技术条件下的任何软件、硬件还原,基本无法靠还原抵挡。中了“机器狗”病毒的电脑还会自动联网下载各种病毒木马,并借助ARP类病毒进行传播,使其传播速度成级数倍增快,很快就造成全网瘫痪。而且,感染“机器狗”病毒的机器,即使用GHOST软件还原镜像文件,也不能使系统恢复正常。从而使机房的电脑软件维护变的越来越难、工作量变得越来越大了。

3) 误区三:掉入屏幕提示的陷阱

对屏幕提示深信不已,往往会害了自己。学生在机房上机时经常会使用带毒的U盘,这些带毒的优盘里常常含有盗号木马等程序。病毒发作时常会锁住屏幕,在屏幕中央弹出一个对话框,叫你输入管理员密码。每当发生这种情况时,学生通常是请机房管理教师去处理的。若不假思索地就输入管理员密码,那就上当了。这时,正确的做法是:只要把学生的U盘拔下,重起电脑即可。

像这种情况在机房里会经常发生。有一次,我们就遇到一个机房里的130台电脑开机后,同时在网管锁屏界面上均显示IP冲突,造成学生无法上机使用。若以管理员身份进去后查看,网络连接的IP地址设置却正常。此时便有人提议安装双网卡来解决此问题。其实,这只是由于Windows XP系统存在漏洞,病毒利用它对电脑系统进行攻击所造成的结果。明白了这些,我们在系统维护时只要给系统打上MS08-067补丁(WindowsXP-KB958644-x86-CHS.exe)就能从根本上杜绝这种现象的发生。

3.2当前电脑软件维护中存在的问题

为了发挥每台电脑的作用,实验室往往也将母机放在实验室内开放使用,这就造成母机也不能保证干净的状况;同时,因经费问题也没能多配一块硬盘用于维护。因此,教师常忙于维护母机。

安装系统时,因身边没有相关软件,往往需要上网下载。因此,一些恶意软件常常伴随着共享软件的下载安装而悄悄地进入到电脑系统里。联网安装时也难以保证系统不会受到攻击。因此,系统一开始就难以保证干净,因而增加了后续的维护量。

随着U盘的普及和MP3的广泛使用,机房电脑遭受攻击和感染的几率成倍增加。对学生使用带毒的U盘难以控制;不能有效控制学生在业余时间内访问不健康的网站。同时,也难以控制好奇的学生利用黑客技术对机房电脑进行的非法操作。

另外,目前维护人员对网络的监控在技术层面的掌握上还很薄弱。虽然,有些则是技术本身存在的缺陷(譬如传统的杀毒软件技术滞后于病毒的重大技术缺陷在还原卡环境下表露无遗[2])。

4 软件维护中应着力解决好的四个关键点

4.1 抓好母机的制作(以联想商用机为例)

母机的制作是软件维护的第一步。一个干净、运行稳定、速度快的系统是我们追求的目标。

首先,应准备好干净的系统安装盘(如Windows XP或Windows 2003)、相关驱动程序、常用工具软件和各种教学用软件,以及联想硬盘保护程序等。

其次,格式化硬盘,以保证硬盘的干净。

第三,刷新BIOS、设置从CDROM启动、安装联想硬盘保护系统。

第四,设置好硬盘分区、保护类型,以及相关参数。

第五,安装操作系统、相关驱动程序,以及联想硬盘保护驱动程序(通常在随机驱动程序光盘里的X:\Lx_Tools\相关目录下[5])。

第六,安装工具软件和教学用应用软件。

第七,配置“网络连接”,安装相关协议。

第八,设置IE浏览器,命名工作组和计算机名。

第九,安装相关的杀毒软件和防火墙。

第十,安装万象等网管客户端软件。

完成以上操作后,就可上网(或通过第三方软件)升级所有的补丁(包括操作系统和常用软件的各种升级补丁)。根据需要我们也可以有选择地升级一些推荐性补丁,但关键补丁一定得全部升级。为了保证打全系统补丁,可以选择两至三家第三方软件进行补丁的升级。

为防止各应用软件之间的相互冲突,在安装每款应用软件后应立即重起,并运行一次,以便及时发现问题;同时,应对系统进行优化和清理,从而保证母机的安装质量。

4.2 做好系统备份

母机做好后,电脑因为有硬盘还原功能,而就具有了软件的维护功能。为了防止万一,此时我们通常还要用Ghost软件做个系统盘的分区镜像备份。值得注意的是:在运行Ghost之前应将硬盘保护分区的保护类型设置为不保护。待备份结束后再将硬盘保护分区的保护类型设置回来。由于Ghost是按分区来进行复制的,所以在操作时一定要小心,不要把目标盘(分区)弄错了。为防止下一步软件安装出错,我们常常在过程中做一些阶段备份,待系统完全正常后,可将其中间的阶段备份删除,从而避免出错后每次都要从头开始的尴尬局面。

另外,在磁盘空间许可的情况下可以安装双系统,一旦一个系统在使用中崩溃,可以立即使用另一个系统。有条件的实验室,可以对每种型号的电脑多备一个硬盘,平时留做应急还原时用。

4.3 做好ARP攻击的防范

随着网络技术的不断发展,ARP攻击的手段也不断变化,从最初IP冲突攻击、ARP溢出攻击发展到更加隐秘ARP欺骗攻击;除了众多的ARP攻击工具,许多病毒也采用了ARP攻击技术,其攻击方式更多样化和复杂化,冲击力度影响力也比以前更大[1]。ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。它的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的进行。基于这一工作特性,黑客向对方计算机不断发送有欺诈性质的ARP数据包,数据包内包含有与当前设备重复的Mac地址,使对方在回应报文时,由于简单的地址重复错误而导致不能进行正常的网络通信。一般情况下,受到ARP攻击的计算机会出现掉线、IP冲突、个人隐私泄漏、账号被盗用、“挂马”,以及网络速度、网络访问行为受第三者非法控制等ARP欺骗所带来的攻击现象。又因为这种攻击是利用ARP请求报文进行“欺骗”的,所以防火墙会误以为是正常的请求数据包,不予拦截。因此普通的防火墙很难抵挡这种攻击。因此,做好预防是软件维护中一项重要内容。

免疫措施:

1) 在客户机中,将网关的IP地址与MAC地址做一个绑定 。即让局域网中的每个客户机,通过设置网关的静态ARP信息,而使PC机实现网关的IP-MAC绑定(有条件可以在网关服务器中实现客户机的IP-MAC地址绑定)。

客户机中的设置方法如下:

新建记事本,输入如下命令:

@echo off

arp Ca

arp Cd(清空当前的ARP缓存表)

arp Cs192.168.0.100Ce0C8cC3cC7bC57(将正确网关IP与MAC地址静态绑定起来)

exit

将这个文件以.bat(如123.bat)批处理形式存放到系统的根目录中。同时,建立一个.vbs(如abc.bas)文件(相关代码如下),同样也存放到系统的根目录中,并都设为“只读”属性。让该文件在系统的“任务计划”里按时(如1分钟)调用123.bat批处理文件,刷新ARP缓存表而又不显示DOS窗口。实践证明采用此方法后可以有效地阻止ARP病毒对机房电脑的攻击。具体设置方法为:依次单击打开“开始”菜单进入“控制面板”选择“性能和维护”再选择“任务计划”双击“添加任务计划”,然后在其“计划”的“高级”选项里设置重复任务的时间(如1分钟)和持续的时间(如15小时)即可。具体相关代码如下:

DIM objShell

set objShell=wscript.createObject("wscript.shell")

iReturn=objShell.Run("cmd.exe /C C:\123.bat", 0, TRUE)

2) 及时升级客户端的操作系统和应用程序补丁;

3) 安装ARP防火墙;

4) 如果网络规模较小,尽量使用手动指定IP设置,而不是使用DHCP来分配IP地址;

5) 如果交换机支持,在交换机上绑定MAC地址与IP地址。

4.4 做好“机器狗”病毒的防范

据金山毒霸全球反病毒监测中心统计数据,2008年上半年,机器狗病毒名列十大病毒/木马之首。并且以机器狗、磁碟机、AUTO 木马群为代表的对抗型病毒已经成为广大用户电脑安全的主要威胁[4]。

4.4.1 清除“机器狗”病毒的方法

手工解毒:首先在系统目录下, 新建一个记事本文件, 然后将其打开输入以下内容:

@echo off

taskkill /f /im userinit.exe

del userinit.exe /f/q/q

操作完毕后, 将其保存为.bat 批处理形式的文件, 名称任意。然后双击运行, 再从其他正常的电脑系统上, 复制一个userinit.exe 文件, 并且将其粘贴到系统目录下。也可使用启动盘引导系统,或进入安全模式用相同版本的正常userinit.exe文件替换染毒系统的%SystemRoot%/system32/userinit.exe文件。

工具查杀:目前可以利用的专杀工具有:360顽固木马专杀大全(含最新机器狗木马专杀工具)、瑞星机器狗专杀、超级巡警机器狗专杀以及金山机器狗/磁碟机专杀工具等。特别注意的是:使用工具查杀时最好在安全模式或断网的情况下进行。

4.4.2 预防措施

安装机器狗病毒免疫程序:目前可以利用的免疫工具除江民机器狗病毒免疫程序外、还有上面提到的专杀工具,它们大多都有免疫功能。

建立批处理文件pcihdd.bat

@echo off

md %systemroot%\system32\drivers\pcihdd.sys

cacls %systemroot%\system32\drivers\pcihdd.sys /e /p everyone:n

cacls %systemroot%\system32\userinit.exe /e /p everyone:r

exit

运行之,病毒因无法安装驱动文件pcihdd.sys,从而使系统免疫[3]。

通过“组策略”禁用Windows系统的自动播放功能,切断传播途径。

通过hosts文件屏蔽恶意网站域名和IP,或用“超级巡警”等软件的“恶意网站屏蔽”功能进行屏蔽,并将hosts文件的属性设为“只读”。

禁用病毒使用的端口[6]。

防止机器狗病毒的一种特别方法:用受限帐户类型建立的用户帐户安装计算机系统,从而限制机器狗病毒的使用权限,使它在与硬盘保护抢占控制权中始终处于劣势。我校计算中心其中有一个机房里的一批次电脑早在2005年就是采用这种方法安装系统的,现发现该系统对于机器狗攻击表现出了百毒不侵的态势。实验证明该方法的确能有效阻止机器狗病毒的发作。

5 结论

经过多年的实践探索,我们认为:在使用硬盘保护系统的同时,作为从事机房电脑维护的一名教师,首先要明确机房维护的要求、要杜绝存在的误区认识,要着力解决好电脑维护中的几个关键点,尤其要在做好ARP攻击的防范和“机器狗”病毒的防范方面下足功夫才是,要一开始就从母机制作的环节抓起。实验室要加强人员培训,努力提高实验室人员对网络监控技术的掌握。同时,通过各种途径提高学生防范病毒意识、规范他们的上机行为。只有这样,才能探索出一条既能保证实验教学,又能强化软件维护、降低机房教师软件维护工作量的可行办法来。

参考文献:

[1] 林宏刚,陈麟,等. 一种主动检测和防范ARP攻击的算法研究[J],四川大学学报(工程科学版),2008(3):143-149.

[2] 张婷婷."机器狗"横行霸道,微点专家支招"解毒"方案.[J].中国新技术新产品,2008(1):28-29.

[3] 翁永平.机器狗病毒的预防与清除[J].电脑知识与技术(经验技巧),2008(3):54-56.

[4] 信息播报.2008年上半年中国电脑病毒疫情及互联网安全报告[J].信息网络安全,2008(8):73-76.

[5] 联想(北京)有限公司.联想应用用户手册(QT)[M].版本号V2.1,2007,10.

[6] 刘功申.计算机病毒及其防范技术[M].北京:清华大学出版社,2008.