专利名称:Ibm-pc微机病毒防护技术的制作方法
技术领域:
本发明涉及微型计算机的安全保护技术,特别涉及IBM-PC系列微机及各种兼容机的病毒防护技术。它利用一块IBM-PC机专用扩展卡,防止各种病毒对主机的入侵及传染,从而使计算机用户免受病毒的危害,而且不影响计算机的正常使用。
计算机病毒的出现及广泛蔓延,给计算机用户特别是微型机用户造成了很大损失。现有对抗计算机病毒的工具,一般是单纯采用软件进行消毒或免疫,即发现一种病毒后,先研究病毒程序本身,然后针对该种病毒编写对应的解毒及免疫软件。由于通常只有当病毒已广泛传染并产生破坏后才会被发现,而且各种病毒编制均不相同,需采用不同的解毒方法,所以这种待发现病毒后再研究解毒方法的做法十分被动,致使照此方法编写的已有的各种解毒软件均有一个很大的缺点,通用性不强。每种软件只能对少数几种病毒发挥解毒或免疫作用,而且病毒稍作变化,即可能失去作用。
再者解毒或免疫软件也是在系统启动后运行,对于那种在初始引导时进入系统的启动性病毒,很难起到防护作用。况且这种做法的一个很不安全的因素是解毒软件本身亦有被病毒感染或破坏的可能性。
还有一种做法是将解毒或免疫软件固化在ROM中使用,这样做固然有速度快、不会被传染等优点,但依然是被动型防护,其基本缺点也和上述相同。
本发明的目的在于克服上述缺点,采用硬件与软件相结合的方法,有效地阻止各种启动型病毒的入侵,而且对计算机的正常使用几乎不产生影响。
本发明的病毒防护技术是这样实现的制作一块符合标准IBM-PC总线的扩展卡,其上固化有防病毒程序;
将扩展卡插入主机扩展槽内,开机后,主机在引导前自动执行下列步骤①执行引导前先检查引导扇区是否符合DOS引导扇区的格式,不符合者拒绝引导。
②引导过程中,随时检查系统内存容量是否被修改,若出现内存容量(由INT12得到)减少,则拒绝继续引导。
下面详细说明本发明的病毒防护技术。
IBM-PC系列微机内的BIOS具有自动检测、加载扩展ROM程序的功能,只要扩展ROM满足以下格式第一字节55H第二字节AAH第三字节ROM长度(以512字节为单位)第四字节初始化远调用入口整个ROM的校验和为零。
根据上述特性,先设计一块IBM-PC机的标准扩展卡,附图
为该卡的原理图。图中A为存储器地址译码器如20LS2521译码地址可在COOOH~DFFOH段内选择,B是存储器,译码RROM芯片,EPROM芯片或E2PROM芯片等,用于存放本卡工作程序。
扩展卡制做完成后,将该卡插入待保护微机的标准扩展槽内。IBM-PC机加电后将对扩展ROM区进行扫描,检测到扩展卡中符合标准加载ROM后,自动从ROM第四字节执行一次初始化远程调用,卡上的初始化程序在执行必要的初始化工作后,将PC机的引导中断向量(INT 19)改到卡上的启动程序入口处使得主机完成自检,执行启动时,控制权被本卡接管,这样便可借助于卡上ROM中事先固化好的程序执行各种防病毒措施。对于各种不同的操作系统可以用不同的预防措施。针对绝大多数用户所使用的DOS操作系统,本发明采用以下两项主要预防措施。
1.检测启动盘DOS引导扇区是否为正常的DOS格式。所有IBM DOS引导扇区都有一个标准格式(参见IBM-PC DOS技术资料),前三个字节为E9 XX XX或EB XX90;在引导扇区后部必有如下字符串Non-System disk or disk error Replace and pressany key when ready若发现引导扇区与上述格式不符,那肯定为非DOS引导扇区,便拒绝执行引导。同时给出警告信息。
2.BIOS的INT12调用给出系统的内存容量(以1K为单位)。在引导前先调用INT 12读取内存容量并保存起来,在引导过程中随时调用INT12读取内存容量,并与开始读取的值相比较,发现不同即表明有病毒非法窃取内存,则中断启动运行,同时给出警告信息。
由于大多数染有启动性病毒的引导盘,引导扇区均不符合DOS标准格式,更重要的是,启动性病毒须通过修改系统的内存容量来驻留内存,不然将会被DOS所覆盖而失去作用,而标准DOS在启动之前不会占用内存,因而在采取了上述两种措施后,但能做到,在执行启动的过程中一旦发现有病毒入侵,立即停止引导系统,只有在更换了干净的DOS盘后才能重新进行启动。从而达到了防止所有启动型病毒及其变种的入侵。
这样做的一个最大优点是,防病毒措施是在执行BIOS的过程中运行的,先于DOS运行。而BIOS是固化程序,不会被病毒感染,因此可以保证防病毒措施先于任何盘操作运行,即先于任何有可能传染病毒的操作运行。这一点与韵母依靠软件防护有本质区别。
更进一步,若在卡的ROM中再增加一些程序,做到下述防护功能在计算机启动完成后仍对某些关键的DOS中断向量进行监测,如通过对INT21的监测,检查是否有修改可执行文件等操作发生,然后进行综合判断,查看是否有隐藏在这件中的病毒,即文件型病毒试图进行传染或破坏,若有则发出警告,同时阻止传染这样便可防止文件型病毒的传染与破坏。
经计算和试验,用本技术实现的两种预防启动性病毒的措施。运行时间很短,每次运行最慢不超过1毫秒,而且启动完成后对机器的正常使用没有任何影响,因此可以认为采用这种技术预防病毒,对计算机的使用几乎没有影响。
为了进一步增强IBM-PC的安全性,还提供了一种技术专为IBM-PC机的用户提供用机口令功能,具体这样实现用户可先用一专用程序将用户设置的口令字以加密的方式保存在机内某个特殊的地方,该保存信息的地方不受断电和关机的影响,而且可很方便地修改。如硬盘上介于主引盘扇区与DOS分区之间的非DOS区域,或在扩展卡上专设一片带有电池保护的RAM,并事先在扩展卡的ROM中写入一段适当的程序,这样主机开机后当控制权由本卡接管时,本卡在执行引导启动之前,会先去查寻特设保存口令的地方有无存入用户口令,若有则要求用户输入口令字并将其与已存放的口令字相比较,键入口令正确才进行引导,否则拒绝引导,这样如果不知道正确口令字,那么无论用软盘或硬盘均无法启动系统,从而达到了阻止非法用户使用机器的目的。而且由于口令字是通过加密方式保存在机器中的,即使在机器启动后,非法用户也无法取得正确的口令字。
用机口令功能,为微机用户实现了专机专用,专人专用的愿望,而且对阻止病侵非法入毒计算机,无凝也是有很大帮助的。
与现有病毒防护技术相比,本发明具有下列显著优点。
1.采用硬件与软件结合的方法,使系统在引导之前自动具有防护病毒的功能,这是任何软件所达不到的。
2.针对病毒的共同弱点进行设计,不但能有效地防止现存的各种病毒及其变种的入侵同时也具有防止将来可能出现的新病毒入侵的功能。
3.固化在ROM中的程序不需要任何辅助软件的支持,不存在自身被感染或被破坏的可能,而任何解毒或防毒软件均有受病毒感染或被病毒破坏的可能。
4.不占用系统内存资源,对机器正常运行影响甚微,而防病毒软件必须占用系统内存资源。
5.用机口令功能可阻止非法用户以任何方式启动系统,而一般仅用软件设置的口令只能阻止非法用户用硬盘启动系统,不能阻止用软盘引导进入系统。
6.本发明实现容易,使用简便,通用性强。
本技术在实现时,应在扩展卡上增加硬件保护电路,防止ROM中程序被非法读取或跟踪,进而防止人为纂改或绕过其防护功能。
权利要求
1.IBM-PC系列微机病毒防护技术,其特征在于制作一块符合标准IBM-PC总线的电路卡,电路卡上包括有存储器地址译码器与程序存储器,程序存储器中有符合BIOS加载ROM标准的防病毒程序;将该卡插入主机扩展插槽,开机后主机在引导前自动执行下列步骤来阻止启动性病毒的入侵①执行引导前先检查引导扇区是否符合DOS引导扇区的格式,不符合者拒绝引导;②引导过程中随时检查系统内存容量是否被修改,若发现内存容量(由INT12得到)减少,则表明有病毒入侵而拒绝继续引导。
2.根据权利要求1规定的病毒防护技术其特征在于在主机系统启动前要求用户输入用机口令,然后将该口令与机内存放的口令相比较,口令正确才能进行引导,对输入口令不正确者,无论用软盘还是硬盘均无法启动系统。
全文摘要
IBM-PC微机病毒防护技术用于对IBM-PC系列微机及各种兼容微机进行安全保护,依照本技术,只需在主机中插入一块专用电路板,即可防止各种病毒对计算机的入侵及对机内软件的传染和破坏,而且不影响计算机的正常使用,该技术还可为微机提供口令保护功能。用于禁止非法用户使用计算机,以增强计算机的安全性。本技术实现容易,使用简便,安全可靠,通用性强。
文档编号G06F11/28GK1057534SQ9010303
公开日1992年1月1日 申请日期1990年6月21日 优先权日1990年6月21日
发明者杨震宇, 谢青山, 李强, 周焱, 余伟 申请人:深圳华星科技有限公司