[发明专利]修复基本输入输出系统BIOS恶意程序的方法和装置

说明书

技术领域

本发明涉及计算机技术领域，特别是涉及一种修复基本输入输出系统BIOS恶意程序的方法和装置。

背景技术

随着恶意程序的技术发展，其所处的位置也越来越底层，从应用层，发展到驱动层，进而进化到从MBR（Master Boot Record，主引导记录）启动的BOOTKIT，即使重装系统也无法解决问题，但还是可以通过在DOS或WINPE下恢复MBR来解决，导致后者又进一步的进化成进驻到主板BIOS（BasicInput Output System，基本输入输出系统）中的恶意程序。除非用户重刷BIOS或更新主板，否则无法清除病毒，最为著名的就是在2012年发现的BMW BIOS病毒。

这种病毒能够连环感染BIOS、MBR和Windows系统文件，使受害电脑无论重装系统、格式化硬盘，还是换掉硬盘都无法彻底清除病毒。

现有技术能够提供的方法是重新刷新主板的BIOS来清除恶意程序或更换主板，但是一般用户无法实现，必须由特定的商家来进行处理，同时由于BIOS版本的多样化导致要找到原始版本的BIOS数据也存在着一定的难度，如更换主板，成本又较高。

发明内容

鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的修复基本输入输出系统BIOS恶意程序的方法和相应地装置。

依据本发明的一个方面，提供一种修复基本输入输出系统BIOS恶意程序的方法，包括：

在操作系统下读取当前的BIOS信息，并将读取的BIOS信息进行组合生成完整的BIOS文件；

检测BIOS文件中是否存在恶意程序特征模块；

当存在恶意程序特征模块时，按如下步骤对BIOS文件进行修复：

在BIOS文件中移除恶意程序特征模块；

将移除恶意程序特征模块后的BIOS文件覆盖主板中的原BIOS文件。

可选地，在操作系统下读取当前的BIOS信息，并将读取的BIOS信息进行组合生成完整的BIOS文件，包括：

通过操作系统提供的用于读取BIOS信息的函数，在内存的预设地址处读出BIOS信息；

将所读出的全部BIOS信息组合成完整的BIOS文件。

可选地，用于读取BIOS信息的函数为MmMapIoSpace函数，预设地址为物理地址0xf0000。

可选地，检测BIOS文件中是否存在恶意程序特征模块，包括：

获取BIOS的型号；

根据BIOS的型号，检测BIOS文件中指定模块的模块信息中是否包含预设字符，其中，在本地存储有BIOS型号与预设字符的对应关系；

如果包含预设字符，则确认该指定模块中存在恶意程序特征模块；

如果不包含预设字符，则确认该指定模块中不存在恶意程序特征模块。

可选地，在BIOS文件中移除恶意程序特征模块，包括：

通过与BIOS的型号对应的BIOS工具提供的删除指令，删除BIOS文件中的恶意程序特征模块。

可选地，删除指令为release指令。

可选地，在将移除恶意程序特征模块后的BIOS文件覆盖主板中的原BIOS文件之前，还包括：

对移除恶意程序特征模块后的BIOS文件进行校验；

将移除恶意程序特征模块后的BIOS文件覆盖主板中的原BIOS文件，包括：

如果移除恶意程序特征模块后的BIOS文件校验通过，则将移除恶意程序特征模块后的BIOS文件覆盖主板中的原BIOS文件。

可选地，将移除恶意程序特征模块后的BIOS文件覆盖主板中的原BIOS文件，包括：

在BIOS文件中获得用于写入BIOS文件的指定端口，通过该指定端口将移除恶意程序特征模块后的BIOS文件写入到主板中；

其中，指定端口为SMI PORT端口。

依据本发明的一个方面，还提供了一种修复基本输入输出系统BIOS恶意程序的装置，包括：

文件生成模块，配置为在操作系统下读取当前的BIOS信息，并将读取的BIOS信息进行组合生成完整的BIOS文件；

检测模块，配置为检测BIOS文件中是否存在恶意程序特征模块；

删除模块，配置为当检测模块检测到存在恶意程序特征模块时，在BIOS文件中移除恶意程序特征模块；

文件写入模块，配置为将移除恶意程序特征模块后的BIOS文件覆盖主板中的原BIOS文件。

可选地，文件生成模块包括：