工控网首页
>

应用设计

>

EVOC BIOS杀毒技术

EVOC BIOS杀毒技术

  计算机病毒是伴随着现代计算机的发展而发展起来,其对计算机的开发以及使用人员带来了很大的困扰。如果一种病毒在即使重新把硬盘分区、格式化后还不能清除的话,带来的困扰就更大——这种病毒就是引导型病毒。该病毒具有很强的隐蔽性,EVOC BIOS杀毒技术是用来清除这种引导型病毒的技术。
技术背景
  引导型病毒是指专门感染硬盘主引导扇区(MBR)和软盘引导扇区(DBR)的一种病毒,通常把引导型病毒都统称为MBR病毒。MBR病毒感染的基本思想:MBR病毒会将正常的MBR或DBR数据备份到存储设备的某一个位置;如果从感染了MBR病毒的存储设备引导,在执行BIOS中断服务器程序时会将带有MBR病毒的MBR或DBR读入内存并执行;病毒代码过程中会从备份的位置将正常的MBR或DBR数据读到内存中并执行,系统正常引导进操作系统从而掩盖病毒自身。同时病毒代码执行过程中还会完成两个功能:1、使病毒常驻常规内存中常规内存的最高端处;2、病毒同时会HOOK INT 13H,这样每次执行INT13H时候就会先执行病毒代码。
  由于病毒常驻内存同时Hook了INT 13H中断,当从中MBR病毒的存储设备引导时会感染连在电脑上的其他的存储设备。进入中有MBR病毒的系统后,在读MBR信息时病毒会把正常的MBR信息传给你,达到隐藏病毒自身的目的;如果想把自己手动备份的正常MBR写回时,病毒会把MBR写到备份的位置;在正常引导进系统之后,病毒还可能会使系统出现类似蓝屏、定时重启等问题。现有技术中,MBR病毒的清除通过上层杀毒软件来实现的,由于病毒带有隐藏功能,同时对写入MBR有转移到是写入到备份位置的特性,所以上层杀毒软件检测MBR病毒时候比较困难;有的杀毒软件能检测到,也清除不了病毒。通常MBR病毒是通过专杀工具来实现的。
  EVOC实现的BIOS清除MBR病毒技术方案,是在还没有引导进操作系统之前检测MBR是否中毒,这时即使已经中毒,由于病毒代码还没有执行,病毒也无法通过返回正常的MBR信息来隐藏自身,这样使得病毒的查杀更加的准确。这种技术方案不需要添加额外花费,如不需要用硬件存储设芯片备来备份MBR。
技术原理
  BIOS清除MBR技术是在BIOS中添加一个检查存储设备是否中MBR病毒功能模块,该功能模块是在BIOS引导进系统之前开始遍历检测所有的存储设备,查看是否中病毒,如果有种病毒则清除病毒;遍历检测完成后再引导进系统。清除MBR病毒模块功能添加的位置是在所有的硬件初始化完成后,在调用INT 19H中断读存储设备的MBR信息引导进系统之前实现。只有所有的硬件初始化完成后才能遍历检测存储设备;同时要在引导设备的MBR执行引导进系统之前实现,这时如果存储设备已经中毒,病毒代码还没有执行,病毒就没有办法隐藏。实现BIOS清除MBR病毒方式如图1。
 


图1  BIOS清除MBR方式

  其中引导类型病毒(MBR病毒)特征标识相当于一个小的MBR病毒库,如果发现有新的MBR病毒可以通过分析病毒代码找到其特征标识和备份正常MBR方式就可以实现功能扩充,以达到清除更多MBR病毒。本技术方案可以添加到有的BIOS中,实现MBR病毒的清除功能,从而避免由于病毒引起异常。
  其中引导类型病毒(MBR病毒)备份正常的MBR时候通常有两种方式:1、将正常的MBR整个扇区的数据备份到存储设备的某个扇区;2、将正常MBR的部分或全部数据通过加密后备份到存储设备的某个扇区。在清除MBR病毒的时候,通过分析病毒,如果发现是第一中备份方式,找到其正常MBR备份的位置读出该扇区的数据后写入 MBR所在的位置即可;如果发现是第二种备份方式,需要找到加密后的数据位置以及解 密算法得到正常的MBR数据并写入MBR所在的位置。

技术优势
  本技术是对BIOS功能的一种扩充,目前还没有通过BIOS实现清除MBR病毒的技术。与上层杀毒软件相比,BIOS实现清除MBR病毒技术更加的精准。同时该功能是由BIOS独立完成的,不需要任何额外的辅助,也不依赖于任何操作系统。
  ? 查杀准确:本技术是在病毒执行之前开始检测查杀的,这时候病毒还不能执行隐藏自身的功能,使得检测病毒更加准确;同时在还原MBR(或DBR)的时候,病毒也没有办法转移到写备份MBR(或DBR)扇区位置,从而可以正常的还原MBR(或DBR)。
  ? 无额外硬件成本:本技术是在BIOS中增加一个模块,该模块只占用很小的代码空间,不需要更换更大的BIOS ROM芯片;也不需要增加额外的硬件设备来备份MBR等。同时本技术不需要其他的软件技术辅助即可完成。
  ? 不依赖于操作系统:本技术是通过BIOS来实现的,和实际使用的操作系统无关。

  备注:本文的MBR是指存储设备的第一扇区数据,即HDD格式存储设备的主引导扇区数据和FDD格式存储设备的引导扇区数据(DBR)。

投诉建议

提交

查看更多评论
其他资讯

查看更多

研祥新品!M80紧凑型无风扇系统

研祥新品 MPG-800 嵌入式GPU计算平台

研祥“巨无霸”来袭,“飞”一般的速度!

研祥新show:自由随「芯」,想你所想!

工业级平板“硬汉”,霸气彪悍超乎想象!