一直以来,微软Windows操作系统因庞大的装机量,成为木马、病毒等程序所攻击的目标。有时候用户也会在不经意的情况下破坏系统文件。系统不稳定大部分情况下都是由于系统文件遭受到破坏所引起的。虽然在正版Windows7中系统文件的稳定性有了不少的改善,但来自各方面的威胁还是再所难勉。
在谈这个话题之前,首先系统管理员需要明白一点,就是微软操作系统中的系统文件不管管是操作系统安装时的必需文件,而且还包括一些驱动程序。微软操作系统对硬件的支持力度要比Linux等开源操作系统强的多。在Windows7操作系统中,一进攻可以检测大多数的硬件,并且在安装过程中会自动查找并安装相应的驱动程序。这主要是因为微软在一个新版本操作系统出来之前,都会对当前主流的硬件设备进行测试。如果测试通过的话会将这个硬件的驱动程序加入到操作系统中。所以在Windows7系统安装成果后不用手工安装驱动程序就可以识别大部分的硬件。而这些驱动程序也就构成了微软操作系统中的系统文件。以下对于系统文件稳定性的一些保护措施,对于这些驱动程序文件同样有效。
一、利用文件签名来验证Windows7系统文件是否被修改
在Windows7操作系统中,所有的系统文件(包括微软认可的驱动程序文件)都会带有微软的签名。在这个签名信息中包含了系统文件名、存储路径、文件创建的日期以及版本号等信息。如果系统管理员在Windows7系统部署完毕后,收集相关的信息。然后当操作系统出现不稳定的情况,系统管理员怀疑是系统文件遭受破坏所引起的,就可以将系统文件的签名与原始签名进行对比,就可以判断系统文件是否在管理员不知情的情况下被更改了。从而可以采取相关的措施来修复系统文件来恢复操作系统的稳定性。
在微软操作系统中,现在不需要手工来收集这些信息。在系统中提供了一个图形化文件签名工具,可以帮助系统管理员来做这项工作。在命令行模式下,输入sigverif命令就会弹出如下的对话框。
文件签名验证
这个文件签名工具是微软操作系统提供的一个基于图形化管理的工具。当安装了某个应用程序或者硬件设别时,如果系统管理员怀疑原始的、被保护的、经过数字签名的系统文件或者启动程序被非法修改或者替换,则就可以利用这个工具来检查是否有这种情况的存在。虽然这个工具在以前版本的操作系统中已经存在,但是以前一直被大家所忽视。在Windows7中对这个工具做了不少的改善,特别是在性能上。经过笔者的测试,在Windows7操作系统中,这个工具的运行速度要比以前版本的操作系统快好几倍。另外这个工具在功能上也有所改进。如在以前的操作系统中只检测系统文件,而不会检测驱动程序。而现在的话,这个工具会同时检测系统文件以及驱动程序文件,以确保所有的文件都具有微软的数字签名。当工具检测到没有经过签名或者不准确的文件版本时,就会将相关的信息文件名、修改时间、版本号等内容告诉给管理员。也会在系统相关日志中保留这些信息,以便系统管理员后续查询。
不过笔者使用后觉得还有一个不方便的地方,就是无法将这写信息直接导入到文本文件或者直接进行复制。如现在这个工具查询到某个文件有问题,如tcpip.sys这个文件有问题。现在系统管理员可能需要在互联网上查找这个文件的具体用途,以及以前是否有人也遇到过这种问题。但是让笔者气馁的是竟然不能够直接复制这个文件名字。现在笔者要向他人请教这个文件的用途时,不得不手工进行输入,而不能够通过复制粘贴来实现。笔者建议微软的设计专家们,在这方面可以更加人性化一点。最后能够把这些信息在这个窗口中直接导出为文本文件或者可以直接进行复制粘贴操作。而不是要打开日志文件来进行这些行为。
另外需要注意的是,这个工具不会对有问题的文件尽心自我修复。所以运行这个工具并不要求有管理员的权限。也就是说,普通用户也可以运行这个程序来检查系统文件是否被受到恶意更改。