本发明专利技术提供了一种修复基本输入输出系统BIOS恶意程序的方法和装置。该方法包括:在操作系统下读取当前的BIOS信息,并将读取的BIOS信息进行组合生成完整的BIOS文件;检测BIOS文件中是否存在木马特征模块,当存在木马特征模块时,在BIOS文件中移除木马特征模块;将移除木马特征模块后的BIOS文件覆盖主板中的原BIOS文件。通过本发明专利技术,能够使得用户轻松的清除BIOS中的木马程序,且不需要通过寻找原BIOS文件进行重刷BIOS。
【技术实现步骤摘要】
修复基本输入输出系统BIOS恶意程序的方法和装置
本专利技术涉及计算机
,特别是涉及一种修复基本输入输出系统BIOS恶意程序的方法和装置。
技术介绍
随着恶意程序的技术发展,其所处的位置也越来越底层,从应用层,发展到驱动层,进而进化到从MBR(MasterBootRecord,主引导记录)启动的BOOTKIT,即使重装系统也无法解决问题,但还是可以通过在DOS或WINPE下恢复MBR来解决,导致后者又进一步的进化成进驻到主板BIOS(BasicInputOutputSystem,基本输入输出系统)中的恶意程序。除非用户重刷BIOS或更新主板,否则无法清除病毒,最为著名的就是在2012年发现的BMWBIOS病毒。这种病毒能够连环感染BIOS、MBR和Windows系统文件,使受害电脑无论重装系统、格式化硬盘,还是换掉硬盘都无法彻底清除病毒。现有技术能够提供的方法是重新刷新主板的BIOS来清除恶意程序或更换主板,但是一般用户无法实现,必须由特定的商家来进行处理,同时由于BIOS版本的多样化导致要找到原始版本的BIOS数据也存在着一定的难度,如更换主板,成本又较高。
技术实现思路
鉴于上述问题,提出了本专利技术以便提供一种克服上述问题或者至少部分地解决上述问题的修复基本输入输出系统BIOS恶意程序的方法和相应地装置。依据本专利技术的一个方面,提供一种修复基本输入输出系统BIOS恶意程序的方法,包括:在操作系统下读取当前的BIOS信息,并将读取的BIOS信息进行组合生成完整的BIOS文件;检测BIOS文件中是否存在恶意程序特征模块;当存在恶意程序特征模块时,按如下步骤对BIOS文件进行修复:在BIOS文件中移除恶意程序特征模块;将移除恶意程序特征模块后的BIOS文件覆盖主板中的原BIOS文件。可选地,在操作系统下读取当前的BIOS信息,并将读取的BIOS信息进行组合生成完整的BIOS文件,包括:通过操作系统提供的用于读取BIOS信息的函数,在内存的预设地址处读出BIOS信息;将所读出的全部BIOS信息组合成完整的BIOS文件。可选地,用于读取BIOS信息的函数为MmMapIoSpace函数,预设地址为物理地址0xf0000。可选地,检测BIOS文件中是否存在恶意程序特征模块,包括:获取BIOS的型号;根据BIOS的型号,检测BIOS文件中指定模块的模块信息中是否包含预设字符,其中,在本地存储有BIOS型号与预设字符的对应关系;如果包含预设字符,则确认该指定模块中存在恶意程序特征模块;如果不包含预设字符,则确认该指定模块中不存在恶意程序特征模块。可选地,在BIOS文件中移除恶意程序特征模块,包括:通过与BIOS的型号对应的BIOS工具提供的删除指令,删除BIOS文件中的恶意程序特征模块。可选地,删除指令为release指令。可选地,在将移除恶意程序特征模块后的BIOS文件覆盖主板中的原BIOS文件之前,还包括:对移除恶意程序特征模块后的BIOS文件进行校验;将移除恶意程序特征模块后的BIOS文件覆盖主板中的原BIOS文件,包括:如果移除恶意程序特征模块后的BIOS文件校验通过,则将移除恶意程序特征模块后的BIOS文件覆盖主板中的原BIOS文件。可选地,将移除恶意程序特征模块后的BIOS文件覆盖主板中的原BIOS文件,包括:在BIOS文件中获得用于写入BIOS文件的指定端口,通过该指定端口将移除恶意程序特征模块后的BIOS文件写入到主板中;其中,指定端口为SMIPORT端口。依据本专利技术的一个方面,还提供了一种修复基本输入输出系统BIOS恶意程序的装置,包括:文件生成模块,配置为在操作系统下读取当前的BIOS信息,并将读取的BIOS信息进行组合生成完整的BIOS文件;检测模块,配置为检测BIOS文件中是否存在恶意程序特征模块;删除模块,配置为当检测模块检测到存在恶意程序特征模块时,在BIOS文件中移除恶意程序特征模块;文件写入模块,配置为将移除恶意程序特征模块后的BIOS文件覆盖主板中的原BIOS文件。可选地,文件生成模块包括:信息读取单元,配置为通过操作系统提供的用于读取BIOS信息的函数,在内存的预设地址处读出BIOS信息;文件组合单元,配置为将所读出的全部BIOS信息组合成完整的BIOS文件。可选地,信息读取单元中用于读取BIOS信息的函数为MmMapIoSpace函数,预设地址为物理地址0xf0000。可选地,检测模块包括:型号获取单元,配置为获取BIOS的型号;检测单元,配置为根据BIOS的型号,检测BIOS文件中指定模块的模块信息中是否包含预设字符,其中,在本地存储有BIOS型号与预设字符的对应关系;如果包含预设字符,则确认该指定模块中存在恶意程序特征模块;如果不包含预设字符,则确认该指定模块中不存在恶意程序特征模块。可选地,删除模块还配置为通过与BIOS的型号对应的BIOS工具提供的删除指令,删除BIOS文件中的恶意程序特征模块。可选地,删除指令为release指令。可选地,该装置还包括:校验模块,配置为对移除恶意程序特征模块后的BIOS文件进行校验;相应地,文件写入模块还配置为如果校验模块校验通过,则将移除恶意程序特征模块后的BIOS文件覆盖主板中的原BIOS文件。可选地,文件写入模块还配置为在BIOS文件中获得用于写入BIOS文件的指定端口,通过该指定端口将移除恶意程序特征模块后的BIOS文件写入到主板中;其中,指定端口为SMIPORT端口。本专利技术提供了一种修复BIOS恶意程序的方法和装置,通过本专利技术,能够在操作系统下读取当前的BIOS信息,并生成完整的BIOS文件,检测BIOS文件中的木马特征模块,删除木马特征模块后,将BIOS文件覆盖原BIOS文件,可使得用户轻松的清除BIOS中的木马程序,且不需要通过寻找原BIOS文件进行重刷BIOS。上述说明仅是本专利技术技术方案的概述,为了能够更清楚了解本专利技术的技术手段,而可依照说明书的内容予以实施,并且为了让本专利技术的上述和其它目的、特征和优点能够更明显易懂,以下特举本专利技术的具体实施方式。附图说明通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本专利技术的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:图1是根据本专利技术一个实施例的一种修复BIOS恶意程序的方法流程图;图2是根据本专利技术一个实施例的一种修复BIOS恶意程序的具体方法流程图;图3是根据本专利技术一个实施例的一种查找木马模块的界面示意图;图4是根据本专利技术一个实施例的一种修复BIOS恶意程序的装置结构框图。具体实施方式下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应该被这里阐述的实施例所限制。相反,提供这些实施例是为了能够透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。实施例一本专利技术实施例提供了一种修复BIOS恶意程序的方法。该方法对修复BIOS恶意程序的装置进行了改进。例如,本实施例中修复BIOS恶意程序的装置可以为安装在客户端上的恶意程序查杀工具,其中,客户端可以为PC(PersonalC本文档来自技高网...
【技术保护点】
一种修复基本输入输出系统BIOS恶意程序的方法,包括:在操作系统下读取当前的BIOS信息,并将读取的BIOS信息进行组合生成完整的BIOS文件;检测所述BIOS文件中是否存在恶意程序特征模块;当存在所述恶意程序特征模块时,在所述BIOS文件中移除所述恶意程序特征模块;将移除所述恶意程序特征模块后的BIOS文件覆盖主板中的原BIOS文件。
【技术特征摘要】
1.一种修复基本输入输出系统BIOS恶意程序的方法,包括:在操作系统下读取当前的BIOS信息,并将读取的BIOS信息进行组合生成完整的BIOS文件;检测所述BIOS文件中是否存在恶意程序特征模块;当存在所述恶意程序特征模块时,在所述BIOS文件中移除所述恶意程序特征模块;将移除所述恶意程序特征模块后的BIOS文件覆盖主板中的原BIOS文件;其中,所述在操作系统下读取当前的BIOS信息,并将读取的BIOS信息进行组合生成完整的BIOS文件,包括:通过所述操作系统提供的用于读取BIOS信息的函数,在内存的预设地址处读出BIOS信息;将所读出的全部BIOS信息组合成完整的BIOS文件。2.根据权利要求1所述的方法,其中,所述用于读取BIOS信息的函数为MmMapIoSpace函数,所述预设地址为物理地址0xf0000。3.根据权利要求1所述的方法,其中,所述检测所述BIOS文件中是否存在恶意程序特征模块,包括:获取所述BIOS的型号;根据所述BIOS的型号,检测所述BIOS文件中指定模块的模块信息中是否包含预设字符,其中,在本地存储有BIOS型号与预设字符的对应关系;如果包含所述预设字符,则确认该指定模块中存在恶意程序特征模块;如果不包含所述预设字符,则确认该指定模块中不存在恶意程序特征模块。4.根据权利要求3所述的方法,其中,在所述BIOS文件中移除所述恶意程序特征模块,包括:通过与所述BIOS的型号对应的BIOS工具提供的删除指令,删除所述BIOS文件中的恶意程序特征模块。5.根据权利要求4所述的方法,其中,所述删除指令为release指令。6.根据权利要求1至5任一项所述的方法,其中,在将移除所述恶意程序特征模块后的BIOS文件覆盖主板中的原BIOS文件之前,还包括:对移除所述恶意程序特征模块后的BIOS文件进行校验;所述将移除所述恶意程序特征模块后的BIOS文件覆盖主板中的原BIOS文件,包括:如果移除所述恶意程序特征模块后的BIOS文件校验通过,则将移除所述恶意程序特征模块后的BIOS文件覆盖主板中的原BIOS文件。7.根据权利要求6所述的方法,其中,所述将移除所述恶意程序特征模块后的BIOS文件覆盖主板中的原BIOS文件,包括:在所述BIOS文件中获得用于写入BIOS文件的指定端口,通过该指定端口将移除所述恶意程序特征模块后...
【专利技术属性】
技术研发人员:邵坚磊,
申请(专利权)人:北京奇虎科技有限公司,奇智软件北京有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。