本发明专利技术属于一种清除计算机病毒的技术。它利用硬件和软件结合的方式,其硬件主要由计算机系统总线、地址空间译码、随机存储器、只读存储器和用户口令设置所组成;其软件是采用诱饵触发、屏蔽写盘操作和程序跟踪技术,从而可以判别出程序的病毒部分和正常部分自动分离点,并将程序的正常部分重新写回磁盘,实现了计算机病毒的自动识别、自动过滤和自动清除。它有效地阻止了计算机病毒的进一步传染和破坏作用,保证了计算机系统安全可靠地运行。本发明专利技术使用简单,安全可靠并具有很强的通用性,因此它可以用于对各类计算机病毒的检测和清除。(*该技术在2012年保护过期,可自由使用*)
【技术实现步骤摘要】
本专利技术属于一种在计算机系统中可以自动识别、自动过滤和自动清除计算机病毒的技术。在计算机获得广泛应用的同时,随之而来的计算机病毒却对它的实际应用带来了威胁和危害。更由于计算机病毒具有潜伏性、传染性和破坏性,因此防止这类病毒侵入计算机的各种程序,进而排除它的破坏作用,是一件复杂的工作。为了解决这个问题,目前出现了各种不同的解决方案。通常采用对单个病毒进行物理性解除。这种方法,效率低,速度慢。还有的是采取硬件和软件结合的方法,如《IBM-PC微机病毒防护技术》(中国专利90103037.6)中提出制作一块包含有存储器、地址译码器与程序存储器的电路卡,并在程序存储器中固化有防病毒程序。将这块电路卡插入主机扩展槽,首先检索引导扇区是否符合一定格式,对不符合者予以拒绝引导;然后是在引导过程中检查系统内存容量是否被修改,如为内存容量减少,则表明有病毒入侵而拒绝予以引导。但是它还不能解决当计算机在运行过程中去识别病毒和排除病毒,以利于计算机的正常运行。本专利技术的目的在于提出一种利用硬件和软件相结合的技术,对计算机系统病毒进行检测和解毒,通过判断程序的病毒部分和正常部分自动分离点,从而实现对计算机病毒的自动识别、自动过滤和自动清除,并可获得在不牺牲系统开放性以及毋需用户作额外选择和操作的前提下,计算机系统能进行安全可靠的工作。本专利技术的主要技术方案在于采用软件和硬件相结合的方法本专利技术的软件部分是采用屏蔽各写盘操作、诱饵触发和程序跟踪技术。现结合附图说明图1所示的流程图说明其主要工作过程和原理当计算机启动或加载某一程序时,首先建立相应的启动或加载标志。此时若有写盘操作,则通过该标志使程序跳过写盘操作指令,直接执行返回指令,从而达到屏蔽写盘操作的目的,采取这一屏蔽技术,有效、自动地拦截了如1575、米氏病毒等文件型病毒和其它启动型病毒等这类刚一加载即产生传染和破坏作用的病毒。同时,它在不牺牲系统开放性,不需要用户额外选择和操作的前提下,为进一步提高系统的安全性提供了技术保证。然后采用诱饵触发技术,激活病毒传染机制,从而判断出该运行程序是否带有病毒。其实现方法是1、当系统处于加载过程时;a.通过INT13H中断截获程序运行,此时暂时停止程序正常执行过程。通过INT13H发出写软盘指令;b.当控制再次转入INT13H中断后,比较写软盘指令是否被修改为读软盘指令。若是,则建立发现病毒标志,跟踪该程序的运行过程;若否,则取消写软盘指令,恢复程序正常执行过程。2、当系统加载运行某一文件时a.通过INT21H截获程序运行,此时暂停程序正常执行过程。通过INT21H发出加载运行程序指令(4BH功能);b.当控制再次转入INT21H中断后,比较加载指令是否被修改为别的指令,若是,则转向d;若否,则通过INT21H发出检索第一个匹配目录项指令(11H功能);c.当控制再次转入INT21H中断后,比较检索第一个匹配目录项指令是否被修改为别的指令,若是,则转向d;若否,则取消检索第一个匹配目录项指令,恢复程序正常运行过程;d.建立发现病毒标志、跟踪程序运行。采取这一诱饵触发技术,可以有效地对计算机病毒进行自动识别,提高了对计算机病毒识别的准确性。在发现病毒后,采用程序跟踪技术,即利用计算机系统提供的INT1H单步跟踪功能、进一步跟踪程序运行,直到判断出程序病毒部分与程序正常部分相分离。其判断标准是1、对于启动型病毒,正常引导程序是否已进入系统运行;2、对COM类型可执行文件,程序指令计数器是否等于100H,程序代码段段地址CS是否与程序前缀段地址PSP相同;3、对于EXE类型可执行文件,程序代码段段地址CS是否低于病毒代码段地址,数据段段地址DS与附加数据段段地址ES是否相等并指向程序前缀段地址。在上述三项的判断中,若是,则表明程序病毒部分与正常部分已经完全分离。此时,在病毒程序入口处设置JMP指令,直接跳转到正常操作入口,切断病毒程序与原来系统的联系。从而实现了对计算机病毒的自动过滤。将程序的正常部分重新写回磁盘,实现了对计算机病毒的自动清除。若否,则继续跟踪程序运行。本专利技术的硬件部分是由地址空间译码器、只读存储器、随机存储器、用户口令设置和计算机系统总线等五部分组成。如图2和图3所示,计算机系统总线1即在图3中的BUS标记,它为硬件电路提供了所需的地址总线、数据总线和存储器写信号;地址空间译码器2为只读存储3,随机存储器4和用户口令设置5产生内存空间位置控制信号,它由U1,U2,U3,U5,U8,U10和U13组成;只读存储器3由U6组成,它用于固化由本专利技术按图1所示的能清除计算机病毒的流程图所设计的软件程序。该程序可以用汇编语言来完成随机存储器4由U7组成,它用于存储程序运行的参数;用户口令设置5由U11和U12组成,它用于设置计算机使用密码,禁止非授权用户使用计算机。通过实践表明本专利技术可以高效、快速地自动检测、过滤和清除打印机病毒、64病毒、Stone病毒、Brain病毒、Flipportition病毒和小球病毒等启动型病毒。以及1575病毒、米氏病毒和黑色星期五等文件类病毒。在整个检测和清除过程中,毋需用户做任何选择和操作。同时,本专利技术具有操作简单,性能安全可靠等特点,因此它具有很强的通用性,可以广泛应用于检测和解除各类计算机病毒。图1为本专利技术的流程图。图2为本专利技术的硬件方框图。图3为本专利技术的硬件电路原理图。本专利技术的硬件可由下列方式来实现在图3中,由U1为或门74LS32,U2为或非门74LS02,U3为与门74LS08、U5为三~3输入与门74LS11,U8和U10为74LS138,U13为16位双列插针等器件组成地址空间译码器2。只读存储器3由U6为Eprom2732组成固化在U6的程序可以按图1所提供的流程图,并采用汇编语言来实现。随机存储器4由U7采用RAM6116来实现。用户口令设置5由U11为74LS245和U12为八位拨动开关SW-DIP8构成。本专利技术的硬件,还可以使用功能相同的其他型号芯片为GAL,PAL等逻辑器来实现。权利要求1.一种用于清除计算机系统病毒的方法,其特征在于采用下列步骤A.屏蔽写盘操作,也就是当计算机启动或加载某一程序时,首先建立启动或加载标志,若有写盘操作,则通过该标志使程序跳过写盘操作指令,直接执行返回指令;B.采取诱饵触发,判断运行程序是否带有病毒a.当计算机系统处于加载过程时;(1)通过INT13H中断截获程序运行,并发出写软盘指令;(2)当控制再次转入INT13H中断后,比较写软盘指令是否被修改为读软盘指令。若是,则建立发现病毒标志,并跟踪程序的运行过程;若否,则取消写软盘指令,恢复程序正常执行;b.当系统加载某一文件时(1)通过INT21H截获程序运行,并发出加载运行指令;(2)当控制再次转入INT21H中断后,比较加载指令是否被修改为别的指令,若是,则转向(4);若否,通过INT21H发出检索第一个匹配目录项指令;(3)当控制再次转入INT21H中断后,比较检索第一个匹配目录项指令是否被修改为别的指令,若是,则转向(4);若否,则取消检索的第一个匹配目录项指令,恢复程序正常运行;(4)建立发现病毒标志,跟踪程序运行;C.采取程序跟踪技术,直到程序病毒部分与正常部分相分本文档来自技高网...
【技术保护点】
一种用于清除计算机系统病毒的方法,其特征在于采用下列步骤:A.屏蔽写盘操作,也就是当计算机启动或加载某一程序时,首先建立启动或加载标志,若有写盘操作,则通过该标志使程序跳过写盘操作指令,直接执行返回指令;B.采取诱饵触发,判断运行程序是否带有病毒:a.当计算机系统处于加载过程时;(1)通过INT13H中断截获程序运行,并发出写软盘指令;(2)当控制再次转入INT13H中断后,比较写软盘指令是否被修改为读软盘指令。若是,则建立发现病毒标志,并跟踪程序的运行过程;若否,则取消写软盘指令,恢复程序正常执行;b.当系统加载某一文件时:(1)通过INT21H截获程序运行,并发出加载运行指令;(2)当控制再次转入INT21H中断后,比较加载指令是否被修改为别的指令,若是,则转向(4);若否,通过INT21H发出检索第一个匹配目录项指令;(3)当控制再次转入INT21H中断后,比较检索第一个匹配目录项指令是否被修改为别的指令,若是,则转向(4);若否,则取消检索的第一个匹配目录项指令,恢复程序正常运行;(4)建立发现病毒标志,跟踪程序运行;C.采取程序跟踪技术,直到程序病毒部分与正常部分相分离;a.在病毒程序入口入设置JMP指令,直接跳到正常操作入口,切断病毒程序与原来系统的联系;b.将程序的正常部分重新写回磁盘。...
【技术特征摘要】
【专利技术属性】
技术研发人员:雷兴利,
申请(专利权)人:北京华能地学高技术联合公司,
类型:发明
国别省市:11[中国|北京]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。