今日頭條
官方微信
官方抖音
案例頻道 計算機病毒是伴隨著現代計算機的發展而發展起來,其對計算機的開發以及使用人員帶來了很大的困擾。如果一種病毒在即使重新把硬盤分區、格式化后還不能清除的話,帶來的困擾就更大——這種病毒就是引導型病毒。該病毒具有很強的隱蔽性,EVOC BIOS殺毒技術是用來清除這種引導型病毒的技術。
技術背景
引導型病毒是指專門感染硬盤主引導扇區(MBR)和軟盤引導扇區(DBR)的一種病毒,通常把引導型病毒都統稱為MBR病毒。MBR病毒感染的基本思想:MBR病毒會將正常的MBR或DBR數據備份到存儲設備的某一個位置;如果從感染了MBR病毒的存儲設備引導,在執行BIOS中斷服務器程序時會將帶有MBR病毒的MBR或DBR讀入內存并執行;病毒代碼過程中會從備份的位置將正常的MBR或DBR數據讀到內存中并執行,系統正常引導進操作系統從而掩蓋病毒自身。同時病毒代碼執行過程中還會完成兩個功能:1、使病毒常駐常規內存中常規內存的最高端處;2、病毒同時會HOOK INT 13H,這樣每次執行INT13H時候就會先執行病毒代碼。
由于病毒常駐內存同時Hook了INT 13H中斷,當從中MBR病毒的存儲設備引導時會感染連在電腦上的其他的存儲設備。進入中有MBR病毒的系統后,在讀MBR信息時病毒會把正常的MBR信息傳給你,達到隱藏病毒自身的目的;如果想把自己手動備份的正常MBR寫回時,病毒會把MBR寫到備份的位置;在正常引導進系統之后,病毒還可能會使系統出現類似藍屏、定時重啟等問題。現有技術中,MBR病毒的清除通過上層殺毒軟件來實現的,由于病毒帶有隱藏功能,同時對寫入MBR有轉移到是寫入到備份位置的特性,所以上層殺毒軟件檢測MBR病毒時候比較困難;有的殺毒軟件能檢測到,也清除不了病毒。通常MBR病毒是通過專殺工具來實現的。
EVOC實現的BIOS清除MBR病毒技術方案,是在還沒有引導進操作系統之前檢測MBR是否中毒,這時即使已經中毒,由于病毒代碼還沒有執行,病毒也無法通過返回正常的MBR信息來隱藏自身,這樣使得病毒的查殺更加的準確。這種技術方案不需要添加額外花費,如不需要用硬件存儲設芯片備來備份MBR。
技術原理
BIOS清除MBR技術是在BIOS中添加一個檢查存儲設備是否中MBR病毒功能模塊,該功能模塊是在BIOS引導進系統之前開始遍歷檢測所有的存儲設備,查看是否中病毒,如果有種病毒則清除病毒;遍歷檢測完成后再引導進系統。清除MBR病毒模塊功能添加的位置是在所有的硬件初始化完成后,在調用INT 19H中斷讀存儲設備的MBR信息引導進系統之前實現。只有所有的硬件初始化完成后才能遍歷檢測存儲設備;同時要在引導設備的MBR執行引導進系統之前實現,這時如果存儲設備已經中毒,病毒代碼還沒有執行,病毒就沒有辦法隱藏。實現BIOS清除MBR病毒方式如圖1。
圖1 BIOS清除MBR方式
其中引導類型病毒(MBR病毒)特征標識相當于一個小的MBR病毒庫,如果發現有新的MBR病毒可以通過分析病毒代碼找到其特征標識和備份正常MBR方式就可以實現功能擴充,以達到清除更多MBR病毒。本技術方案可以添加到有的BIOS中,實現MBR病毒的清除功能,從而避免由于病毒引起異常。
其中引導類型病毒(MBR病毒)備份正常的MBR時候通常有兩種方式:1、將正常的MBR整個扇區的數據備份到存儲設備的某個扇區;2、將正常MBR的部分或全部數據通過加密后備份到存儲設備的某個扇區。在清除MBR病毒的時候,通過分析病毒,如果發現是第一中備份方式,找到其正常MBR備份的位置讀出該扇區的數據后寫入 MBR所在的位置即可;如果發現是第二種備份方式,需要找到加密后的數據位置以及解密算法得到正常的MBR數據并寫入MBR所在的位置。
技術優勢
本技術是對BIOS功能的一種擴充,目前還沒有通過BIOS實現清除MBR病毒的技術。與上層殺毒軟件相比,BIOS實現清除MBR病毒技術更加的精準。同時該功能是由BIOS獨立完成的,不需要任何額外的輔助,也不依賴于任何操作系統。
? 查殺準確:本技術是在病毒執行之前開始檢測查殺的,這時候病毒還不能執行隱藏自身的功能,使得檢測病毒更加準確;同時在還原MBR(或DBR)的時候,病毒也沒有辦法轉移到寫備份MBR(或DBR)扇區位置,從而可以正常的還原MBR(或DBR)。
? 無額外硬件成本:本技術是在BIOS中增加一個模塊,該模塊只占用很小的代碼空間,不需要更換更大的BIOS ROM芯片;也不需要增加額外的硬件設備來備份MBR等。同時本技術不需要其他的軟件技術輔助即可完成。
不依賴于操作系統:本技術是通過BIOS來實現的,和實際使用的操作系統無關。
備注:本文的MBR是指存儲設備的第一扇區數據,即HDD格式存儲設備的主引導扇區數據和FDD格式存儲設備的引導扇區數據(DBR)。
北京市公安局海淀分局備案號:11010802023656號