[发明专利]查杀引导型病毒的方法及系统

说明书

【技术领域】

本发明涉及计算机技术领域，尤其涉及一种查杀引导型病毒的方法及系统。

【背景技术】

硬盘格式存储设备的主引导扇区位于整个硬盘的0磁道0柱面1扇区即第一扇区(也叫主引导记录MBR)，包括硬盘主引导记录、分区信息表和主引导记录结束标志字符；硬盘格式设备通常包括多个分区，每个分区都有一个分区引导记录(DOS Boot Record，DBR)，其中MBR不属于任何一个分区。每个分区的DBR位于每个分区的第一扇区。如果计算机的系统启动程序安装在硬盘格式存储设备上，在开机上电后，会通过BIOS中断服务程序将MBR读入内存，然后通过MBR找到其中一个分区有系统启动程序，再通过该分区的DBR引导进操作系统。

软盘(Floppy Disk Drive，FDD)格式存储设备的引导扇区也是第一扇区(FDD的DBR)。如果系统启动程序(一般是DOS系统)安装在FDD格式存储设备上，在开机上电后，会通过BIOS中断服务程序将DBR读入内存，通过DBR引导进操作系统。

本文中所提到的引导记录数据的概念，是个广义的概念，可以是硬盘第一扇区的数据(包括但不限于硬盘主引导记录的数据)；也可以是软盘引导扇区的数据。

引导型病毒是指专门感染硬盘格式存储设备的主引导扇区或软盘格式存储设备的引导扇区的一类病毒。我们在分析引导型病毒的机理后，得到以下过程：如果存储设备感染了引导型病毒，引导型病毒会将正常的MBR或DBR数据备份到存储设备的某一个位置。如果将感染引导型病毒的存储设备作为系统启动盘使用，从感染了引导型病毒的存储设备引导，在执行BIOS中断服务器程序将MBR或DBR读入内存的阶段，病毒代码将被读入内存并执行。在执行病毒代码的过程中，引导型病毒从备份的位置将正常的MBR或DBR数据读到内存中并执行，系统正常引导进操作系统从而掩盖病毒自身。待系统引导进操作系统之后，病毒发作，致使出现类似蓝屏、定时重启等问题。

【发明内容】

基于此，有必要提供一种能防止病毒掩盖自身从而使得引导型病毒的查杀更精确有效的查杀引导型病毒的方法。

一种查杀引导型病毒的方法，包括以下步骤：

开机上电，硬件初始化设置；

检测存储设备的引导扇区是否包含预设的引导型病毒的特征标识，若是，则清除引导型病毒；

加载引导设备的引导扇区，引导进入操作系统。

优选的，所述存储设备包括多个存储设备；在所述硬件初始化设置的步骤之后，进一步包括：

遍历存储设备，对每个存储设备，执行所述检测存储设备的引导扇区是否包含预设的引导型病毒的特征标识的步骤。

优选的，所述清除引导型病毒的步骤为：

获取引导型病毒备份正常引导记录数据的存放位置，从所述存放位置读取所述备份的正常引导记录数据，写入存储设备的引导扇区。优选的，所述获取引导型病毒备份正常引导记录数据的存放位置，从所述存放位置读取所述备份的正常引导记录数据，写入存储设备的引导扇区的步骤包括：

若存储设备是硬盘格式存储设备，则根据存储设备的MBR获取引导型病毒备份的正常MBR数据的存放位置，从所述存放位置读取所述备份的正常MBR数据，写入所述硬盘格式存储设备的主引导扇区；

若存储设备是软盘格式存储设备，则根据所述存储设备的DBR获取引导型病毒备份的正常DBR数据的存放位置，从所述存放位置读取所述备份的正常DBR数据，写入所述软盘格式存储设备的引导扇区。

优选的，所述清除引导型病毒的步骤为：

获取病毒代码的存放位置和引导型病毒备份的加密后的正常引导记录数据的存放位置，获取所述病毒代码和所述备份的加密后的正常引导记录数据，根据所述病毒代码对所述加密后的正常引导记录数据进行解密，将解密后的正常引导记录数据写回存储设备的引导扇区。

此外，还有必要提供一种能放置病毒掩盖自身从而使得引导型病毒的查杀更精确有效的查杀引导型病毒的系统。

一种查杀引导型病毒的系统，包括：

初始化模块，用于在开机上电后进行硬件初始化设置；

检测模块，用于检测存储设备的引导扇区是否包含预设的引导型病毒的特征标识；

病毒清除模块，用于在所述检测模块检测到存储设备的引导扇区是否包含预设的引导型病毒的特征标识时清除引导型病毒；

引导模块，用于加载引导设备的引导扇区，引导进入操作系统。

优选的，所述存储包括多个存储设备；所述系统还包括：