EVOC BIOS殺毒技術(shù)

研祥智能股份軟件部 謝君義

計算機(jī)病毒是伴隨著現(xiàn)代計算機(jī)的發(fā)展而發(fā)展起來，其對計算機(jī)的開發(fā)以及使用人員帶來了很大的困擾。如果一種病毒在即使重新把硬盤分區(qū)、格式化后還不能清除的話，帶來的困擾就更大——這種病毒就是引導(dǎo)型病毒。該病毒具有很強(qiáng)的隱蔽性，EVOC BIOS殺毒技術(shù)是用來清除這種引導(dǎo)型病毒的技術(shù)。

技術(shù)背景

引導(dǎo)型病毒是指專門感染硬盤主引導(dǎo)扇區(qū)（MBR）和軟盤引導(dǎo)扇區(qū)（DBR）的一種病毒，通常把引導(dǎo)型病毒都統(tǒng)稱為MBR病毒。MBR病毒感染的基本思想：MBR病毒會將正常的MBR或DBR數(shù)據(jù)備份到存儲設(shè)備的某一個位置；如果從感染了MBR病毒的存儲設(shè)備引導(dǎo)，在執(zhí)行BIOS中斷服務(wù)器程序時會將帶有MBR病毒的MBR或DBR讀入內(nèi)存并執(zhí)行；病毒代碼過程中會從備份的位置將正常的MBR或DBR數(shù)據(jù)讀到內(nèi)存中并執(zhí)行，系統(tǒng)正常引導(dǎo)進(jìn)操作系統(tǒng)從而掩蓋病毒自身。同時病毒代碼執(zhí)行過程中還會完成兩個功能：1、使病毒常駐常規(guī)內(nèi)存中常規(guī)內(nèi)存的較高端處；2、病毒同時會HOOK INT 13H，這樣每次執(zhí)行INT13H時候就會先執(zhí)行病毒代碼。

由于病毒常駐內(nèi)存同時Hook了INT 13H中斷，當(dāng)從中MBR病毒的存儲設(shè)備引導(dǎo)時會感染連在電腦上的其他的存儲設(shè)備。進(jìn)入中有MBR病毒的系統(tǒng)后，在讀MBR信息時病毒會把正常的MBR信息傳給你，達(dá)到隱藏病毒自身的目的；如果想把自己手動備份的正常MBR寫回時，病毒會把MBR寫到備份的位置；在正常引導(dǎo)進(jìn)系統(tǒng)之后，病毒還可能會使系統(tǒng)出現(xiàn)類似藍(lán)屏、定時重啟等問題�，F(xiàn)有技術(shù)中，MBR病毒的清除通過上層殺毒軟件來實現(xiàn)的，由于病毒帶有隱藏功能，同時對寫入MBR有轉(zhuǎn)移到是寫入到備份位置的特性，所以上層殺毒軟件檢測MBR病毒時候比較困難；有的殺毒軟件能檢測到，也清除不了病毒。通常MBR病毒是通過專殺工具來實現(xiàn)的。

EVOC實現(xiàn)的BIOS清除MBR病毒技術(shù)方案，是在還沒有引導(dǎo)進(jìn)操作系統(tǒng)之前檢測MBR是否中毒，這時即使已經(jīng)中毒，由于病毒代碼還沒有執(zhí)行，病毒也無法通過返回正常的MBR信息來隱藏自身，這樣使得病毒的查殺更加的準(zhǔn)確。這種技術(shù)方案不需要添加額外花費(fèi)，如不需要用硬件存儲設(shè)芯片備來備份MBR。

技術(shù)原理

BIOS清除MBR技術(shù)是在BIOS中添加一個檢查存儲設(shè)備是否中MBR病毒功能模塊，該功能模塊是在BIOS引導(dǎo)進(jìn)系統(tǒng)之前開始遍歷檢測所有的存儲設(shè)備，查看是否中病毒，如果有種病毒則清除病毒；遍歷檢測完成后再引導(dǎo)進(jìn)系統(tǒng)。清除MBR病毒模塊功能添加的位置是在所有的硬件初始化完成后，在調(diào)用INT 19H中斷讀存儲設(shè)備的MBR信息引導(dǎo)進(jìn)系統(tǒng)之前實現(xiàn)。只有所有的硬件初始化完成后才能遍歷檢測存儲設(shè)備；同時要在引導(dǎo)設(shè)備的MBR執(zhí)行引導(dǎo)進(jìn)系統(tǒng)之前實現(xiàn)，這時如果存儲設(shè)備已經(jīng)中毒，病毒代碼還沒有執(zhí)行，病毒就沒有辦法隱藏。實現(xiàn)BIOS清除MBR病毒方式如圖1。

圖1  BIOS清除MBR方式

相關(guān)閱讀:

• ...2012/10/16 11:33·EVOC低功耗網(wǎng)絡(luò)應(yīng)用平臺在會議室錄播系統(tǒng)中的應(yīng)用
• ...2010/11/25 11:05·The Evolution of Realtime Testing 實時測試的演變
• ...2010/03/02 16:10·EVOC醫(yī)生工作站在EHR、EMR中的應(yīng)用解決方案