計算機病毒是伴隨著(zhù)現代計算機的發(fā)展而發(fā)展起來(lái)，其對計算機的開(kāi)發(fā)以及使用人員帶來(lái)了很大的困擾。如果一種病毒在即使重新把硬盤(pán)分區、格式化后還不能清除的話(huà)，帶來(lái)的困擾就更大——這種病毒就是引導型病毒。該病毒具有很強的隱蔽性，EVOC BIOS殺毒技術(shù)是用來(lái)清除這種引導型病毒的技術(shù)。

    技術(shù)背景

    引導型病毒是指專(zhuān)門(mén)感染硬盤(pán)主引導扇區（MBR）和軟盤(pán)引導扇區（DBR）的一種病毒，通常把引導型病毒都統稱(chēng)為MBR病毒。MBR病毒感染的基本思想：MBR病毒會(huì )將正常的MBR或DBR數據備份到存儲設備的某一個(gè)位置；如果從感染了MBR病毒的存儲設備引導，在執行BIOS中斷服務(wù)器程序時(shí)會(huì )將帶有MBR病毒的MBR或DBR讀入內存并執行；病毒代碼過(guò)程中會(huì )從備份的位置將正常的MBR或DBR數據讀到內存中并執行，系統正常引導進(jìn)操作系統從而掩蓋病毒自身。同時(shí)病毒代碼執行過(guò)程中還會(huì )完成兩個(gè)功能：1、使病毒常駐常規內存中常規內存的最高端處；2、病毒同時(shí)會(huì )HOOK INT 13H，這樣每次執行INT13H時(shí)候就會(huì )先執行病毒代碼。

    由于病毒常駐內存同時(shí)Hook了INT 13H中斷，當從中MBR病毒的存儲設備引導時(shí)會(huì )感染連在電腦上的其他的存儲設備。進(jìn)入中有MBR病毒的系統后，在讀MBR信息時(shí)病毒會(huì )把正常的MBR信息傳給你，達到隱藏病毒自身的目的；如果想把自己手動(dòng)備份的正常MBR寫(xiě)回時(shí)，病毒會(huì )把MBR寫(xiě)到備份的位置；在正常引導進(jìn)系統之后，病毒還可能會(huì )使系統出現類(lèi)似藍屏、定時(shí)重啟等問(wèn)題?，F有技術(shù)中，MBR病毒的清除通過(guò)上層殺毒軟件來(lái)實(shí)現的，由于病毒帶有隱藏功能，同時(shí)對寫(xiě)入MBR有轉移到是寫(xiě)入到備份位置的特性，所以上層殺毒軟件檢測MBR病毒時(shí)候比較困難；有的殺毒軟件能檢測到，也清除不了病毒。通常MBR病毒是通過(guò)專(zhuān)殺工具來(lái)實(shí)現的。

    EVOC實(shí)現的BIOS清除MBR病毒技術(shù)方案，是在還沒(méi)有引導進(jìn)操作系統之前檢測MBR是否中毒，這時(shí)即使已經(jīng)中毒，由于病毒代碼還沒(méi)有執行，病毒也無(wú)法通過(guò)返回正常的MBR信息來(lái)隱藏自身，這樣使得病毒的查殺更加的準確。這種技術(shù)方案不需要添加額外花費，如不需要用硬件存儲設芯片備來(lái)備份MBR。

    技術(shù)原理

    BIOS清除MBR技術(shù)是在BIOS中添加一個(gè)檢查存儲設備是否中MBR病毒功能模塊，該功能模塊是在BIOS引導進(jìn)系統之前開(kāi)始遍歷檢測所有的存儲設備，查看是否中病毒，如果有種病毒則清除病毒；遍歷檢測完成后再引導進(jìn)系統。清除MBR病毒模塊功能添加的位置是在所有的硬件初始化完成后，在調用INT 19H中斷讀存儲設備的MBR信息引導進(jìn)系統之前實(shí)現。只有所有的硬件初始化完成后才能遍歷檢測存儲設備；同時(shí)要在引導設備的MBR執行引導進(jìn)系統之前實(shí)現，這時(shí)如果存儲設備已經(jīng)中毒，病毒代碼還沒(méi)有執行，病毒就沒(méi)有辦法隱藏。實(shí)現BIOS清除MBR病毒方式如圖1。

                    

                         圖1 BIOS清除MBR方式

    其中引導類(lèi)型病毒（MBR病毒）特征標識相當于一個(gè)小的MBR病毒庫，如果發(fā)現有新的MBR病毒可以通過(guò)分析病毒代碼找到其特征標識和備份正常MBR方式就可以實(shí)現功能擴充，以達到清除更多MBR病毒。本技術(shù)方案可以添加到有的BIOS中，實(shí)現MBR病毒的清除功能，從而避免由于病毒引起異常。
其中引導類(lèi)型病毒（MBR病毒）備份正常的MBR時(shí)候通常有兩種方式：1、將正常的MBR整個(gè)扇區的數據備份到存儲設備的某個(gè)扇區；2、將正常MBR的部分或全部數據通過(guò)加密后備份到存儲設備的某個(gè)扇區。在清除MBR病毒的時(shí)候，通過(guò)分析病毒，如果發(fā)現是第一中備份方式，找到其正常MBR備份的位置讀出該扇區的數據后寫(xiě)入 MBR所在的位置即可；如果發(fā)現是第二種備份方式，需要找到加密后的數據位置以及解密算法得到正常的MBR數據并寫(xiě)入MBR所在的位置。

    技術(shù)優(yōu)勢

    本技術(shù)是對BIOS功能的一種擴充，目前還沒(méi)有通過(guò)BIOS實(shí)現清除MBR病毒的技術(shù)。與上層殺毒軟件相比，BIOS實(shí)現清除MBR病毒技術(shù)更加的精準。同時(shí)該功能是由BIOS獨立完成的，不需要任何額外的輔助，也不依賴(lài)于任何操作系統。

? 查殺準確：本技術(shù)是在病毒執行之前開(kāi)始檢測查殺的，這時(shí)候病毒還不能執行隱藏自身的功能，使得檢測病毒更加準確；同時(shí)在還原MBR（或DBR）的時(shí)候，病毒也沒(méi)有辦法轉移到寫(xiě)備份MBR（或DBR）扇區位置，從而可以正常的還原MBR（或DBR）。

? 無(wú)額外硬件成本：本技術(shù)是在BIOS中增加一個(gè)模塊，該模塊只占用很小的代碼空間，不需要更換更大的BIOS ROM芯片；也不需要增加額外的硬件設備來(lái)備份MBR等。同時(shí)本技術(shù)不需要其他的軟件技術(shù)輔助即可完成。

    不依賴(lài)于操作系統：本技術(shù)是通過(guò)BIOS來(lái)實(shí)現的，和實(shí)際使用的操作系統無(wú)關(guān)。

    備注：本文的MBR是指存儲設備的第一扇區數據，即HDD格式存儲設備的主引導扇區數據和FDD格式存儲設備的引導扇區數據（DBR）。