防止病毒侵入硬盘的装置及方法

专利名称：防止病毒侵入硬盘的装置及方法
技术领域：
本发明涉及一种防止病毒侵入硬盘的装置及方法，尤其涉及以限制开机型病毒(Boot Strap Sector Virus)侵入硬盘的装置及方法。
技术背景一般来说，计算机病毒根据其所影响的地方，可以区分为五大种类文件型病毒(File Infector Virus)、开机型病毒(Boot Strap Sector Virus)、混合型 病毒(Multi-Partite Vims)、宏病毒(Macro Vims)以及视窗病毒等五种。所谓文 件型病毒(File Infector Vims)就是指计算机病毒会依附在程序的可执行文件 上面，而目前文件型病毒(File Infector Virus)占了绝大部分计算机病毒的比 例。当这些被文件型病毒(File Infector Vims)依附的可执行文件被执行时，病 毒的程序就跟着被执行。常见的文件型病毒(File Infector Virus)例如名称为 Connie系列的病毒与名称为耶路撒冷(Jemsalem)系列的病毒。而混合型病毒 (Multi-Partite Virus),顾名思义的可以知道它是由文件型病毒(File Infector Virus)以及开机型病毒(Boot Strap Sector Vims)的特性混合而成的。通常这一 类型的计算机病毒流传率最高，原因是此类型的计算机病毒可以传染扩展名 为气COM与气EXE文件，也可以传染磁盘(Disk)或硬盘(HardDisk)的开机磁 道(Boot Sector)。 一旦计算机在开机时只要感染了混合型病毒(Multi-Partite Vims)之后，随之而后执行过的每一个程序、文件都会被这只混合型病毒 (Multi-Partite Vims)所感染至U，其破坏的程度将会非常可观。例如台湾曾经流 行的大榔头(Hammer)病毒、欧洲流行的Flip翻转病毒都是此混合型病毒 (Multi-Partite Virus)类型的代表。再者，还有一种宏病毒(Macro Virus),这是一种新型的计算机病毒，它 主要是利用软件本身所提供的宏能力来设计病毒，所以凡是具有撰写宏能力 的软件都有宏病毒存在的可能，也由于这一类型病毒的出现使得计算机病毒 的领域又扩大起来，它专门感染经由WORD或EXCEL所编辑过的文件，也就是说，只要有WORD或EXCEL存在的地方，宏病毒(Macro Virus)就会存 在。在台湾最著名的例子正是名称为Taiwan NO.l Word的宏病毒(Macro Virus)。而视窗病毒与传统的文件型病毒在感染方面并没有什么不同，这一类型 的病毒必须在Windows的环境之下才能够启动执行。最后， 一种开机型病毒(Boot Strap Sector Virus)通常会去感染硬盘(Hard Disk)或磁盘(Disk)的系统启动部位，因此开机型病毒(Boot Strap Sector Vims) 又称之为系统型病毒。开机型病毒(Boot Strap Sector Virus)是藏匿和感染磁盘 片或硬盘的第一个扇区，也就是开机磁道(Boot Sector)。开机型病毒(Boot Strap Sector Vims)通过开机动作而侵入存储器，使得开机型病毒(Boot Strap Sector Virus)可于每次开机时，在操作系统(Operation System)还没被加载 之前就被加载到存储器中，这项特性使得开机型病毒(Boot Strap Sector Virus) 拥有更大的能力去进行传染与破坏。而开机型病毒(Boot Strap Sector Vims) 又可以细分为传统开机型病毒及隐型开机型病毒。传统开机型病毒大多经由 磁盘(Disk)传染，进入计算机后再伺机传染其它文件，最有名的例子即是米 开朗基罗病毒(又名石头三号病毒)。而隐型开机型病毒感染的是硬盘(Hard Disk)的开机磁道(Boot Sector),它伪造开机磁道(Boot Sector)的数据，使防毒 软件以为此开机磁道(Boot Sector)的运行是正常，在下次开机时硬盘(Hard Disk)就会受到开机型病毒(Boot Strap Sector Vims)的破坏而造成损坏。由此 可知，开机型病毒(Boot Strap Sector Virus)专门破坏硬盘(Hard Disk)中的开机 磁道(Boot Sector)以达到病毒散播及破坏系统的目的，由于有效的开机磁 道(Boot Sector)是位于磁盘驱动器中第一个磁道(LBA 0 or CHS=0:0:1)， 故只要开机磁道(Boot Sector)被改写将造成系统严重的损害。而目前的防毒软件只能用软件的方式去检测有无异常针对开机磁道 (Boot Sector)写入的动作并通知使用者注意。而目前病毒的种类及形式一 直在改变，新病毒也不断的被产生，如此再怎么强悍的防毒软件也会有无法 检测到的漏洞。攻击者还可制作一个利用防毒软件安全漏洞的程序，造成防 毒软件染上病毒。此时被普遍使用的防毒软件，不仅丧失阻挡恶意程序的功 用，还可能从防卫工具变为计算机的安全威胁。 一旦防毒软件的检测机制被 破解，则计算机里的软件设法开启恶意文件时，实际上防毒软件不会执行扫瞄病毒的动作，反而会执行文件里内含的程序。如此将无法有效地防范病毒，反而会造成病毒入侵硬盘(HardDisk)使得系统损坏。而现今防止病毒入侵硬盘(Hard Disk)的方法，第一类型例如美国专利第 USP5509120号与中国专利第CN1258885号。上述两件专利都是只使用防毒 软件来检测病毒的类型，如图1所示，其所示为中国专利第CN1258885号的代表图。在此流程20中，当开启电源而启动计算机系统时，见步骤21所示，计 算机系统会先去执行基本输入输出系统(basic input/output system, BIOS)以及 初始的自行检查(sdftest)，见步骤22所示。之后，计算机系统会读取扇区(磁 道)的引导程序，见步骤23所示。接着，检测引导程序是否被更改，见步骤 24所示，当引导程序被更改时，发出病毒警告信号，见步骤26所示；反之， 则执行引导程序，见步骤25所示。从图中可清楚的看出步骤24在开启计算机系统过程中仅使用防毒软件 来检测开机磁道(Boot Sector)的内容否有被更改。若检测到开机磁道(Boot Sector)的内容被更改了即发出病毒警告信号，若无检测到开机磁道(Boot Sector)的内容被更改即继续执行开机程序。但是若病毒找出并利用此软件 的漏洞，使防毒软件以为此开机磁道(Boot Sector)为正常运行而继续执行开 机程序，那么硬盘(HardDisk)就会受到病毒的破坏而造成损坏。由此可知，仅以防毒软件作为其防毒机制的类型，容易造成之前所叙述的错误，也就是 病毒若针对防毒软件的漏洞入侵，则检测病毒的软件将会无法招架病毒的入侵，以致于防毒软件被病毒侵入而导致检测与防毒的功能被瘫痪，而无防毒 机制保护的硬盘(Hard Disk)便岌岌可危。第二类型例如美国专利第USP5657473号与韩国专利第KR100383638B 号。上述两件专利都是以一固件程序来检测病毒，并将硬盘(Hard Disk)划分 为多个区域，将所有想要存储的数据引导分区，包括将数据与病毒或被病毒 感染的区域划分开，目的在于可针对病毒或被病毒感染的区域单独处理，避 免数据流失。但是上述的方法仍然无法完全避免硬盘(Hard Disk)被病毒侵入 的危机。因此，由上述例子可知以软件的方式预防同样为软件、程序类型的病毒 仍然会有漏洞，无法百分之百的防止病毒侵入硬盘。发明内容本发明在于提供一种防止病毒侵入硬盘的装置及方法，尤指以限制开机 型病毒侵入硬盘的装置及方法。本发明提出一种防止病毒入侵硬盘的方法，包含下列步骤利用一开关 的切换来产生一第一信号或者一第二信号；接收一写入命令；以及当写入命 令是将一写入数据写入于硬盘的一开机磁道，且开关产生第一信号时，禁止 执行写入命令；当写入命令是将写入数据写入于硬盘的开机磁道且开关产生 第二信号时，执行写入命令。此外，本发明还提出一种防止病毒侵入硬盘的装置，包含 一存储元件； --只读存储器，信号连接于控制电路，用以存储一固件程序； 一控制电路， 信号连接于存储元件，控制电路依据固件程序动作；以及一开关，信号连接 于控制电路，开关产生一第一信号或者一第二信号至控制电路；其中，当控 制电路收到一写入命令，且写入命令是将一写入数据写入于存储元件的一开 机磁道，且开关产生第一信号时，禁止执行写入命令；而当写入命令是将写 入数据写入于硬盘的开机磁道，且开关产生第二信号时，执行写入命令。综合上述技术的说明，本发明的防止病毒入侵硬盘的方法最主要的技术 特征就是由使用者控制开关(Swich)来决定是否开启开机磁道(Boot Sector)写 入功能，当有不正常的开机磁道(Boot Sector)写入动作想要执行时，使用者 也可根据具有 S.M.A.R.T. (Self-Monitoring， Analysis and Reporting Technology)功能的软件的通知而立即进行扫毒及在线更新防毒软件。整体来 说，就是以控制硬件的方式来防止病毒侵入硬盘，如此一来，纯软件的病毒 将无法破解此控制硬件的机制，以达成保护系统的目的。为了能更进一步了解本发明特征及技术内容，请参阅以下有关本发明的 详细说明与附图，然而附图仅提供参考与说明，并非用来对本发明加以限制。


图1为中国专利第CN1258885号的代表图。图2为本发明的一实施例所发展出已具备防止病毒入侵硬盘的方法的装置图。图3为本发明的一实施例所发展出写入命令执行流程图。
具体实施方式
请参见图2，其所示为本发明的一实施例所发展出己具备防止病毒入侵 硬盘的方法的装置图。本实施例应用于一硬盘(Hard Disk)2中，包含 一控 制电路213，控制电路213分别信号连接于一开关(Swich)212、 一磁盘 (Disk)214(或任何存储元件)以及一只读存储器(Read Only Memory)215。其中 控制电路213主要是依据存在于只读存储器(Read Only Memory)215中的一 固件程序(Firmware)的命令来进行运行。当主机想要对硬盘(Hard Disk)2执行一项写入命令时，写入命令会经由 与硬盘(Hard Disk)2信号连接的一数据总线(Data Bus)211传送至硬盘(Hard Disk)2。而控制电路213会依据存在于只读存储器(ReadOnlyMemory)215中 的固件程序(Firmware)判断是否执行此项写入命令至磁盘(Disk)214中。而本 发明的特征便在于当固件程序(Firmware)发现写入命令其中的写入地址包含 对磁盘(Disk)214里的开机磁道(Boot Sector)执行写入动作时，便命令控制电 路213检测开关(Swich)212所产生的一控制信号，并将所检测到的控制信号 回传至固件程序(Firmware)，以供固件程序(Firmware)判断，以决定是否执行 此项包含对开机磁道(Boot Sector)执行写入动作的写入命令。其中开关(Swich)212信号连接于控制电路213，并且可产生控制信号来 决定是否开启或关闭磁盘(Disk)214中的开机磁道(Boot Sector)写入功能，控 制信号可供固件程序(Firmware)判断开机磁道(Boot Sector)写入功能是否开 启或关闭。而上述的控制信号则包含一第一信号以及一第二信号。当开关 (Swich)212开启时，即产生第一信号，表示开机磁道(BootSector)写入功能关 闭，而开关(Swich)212关闭时，即产生第二信号，表示开机磁道(Boot Sector) 写入功能开启。因此，当使用者想要对硬盘(Hard Disk)2执行写入命令，且写入地址包 含对磁盘(Disk)214里的开机磁道(Boot Sector)执行写入动作时(例如重新安 装操作系统(Operation System))，写入命令便通过数据总线(Data Bus)传 送至硬盘(Hard Disk)2内部的控制电路213。而控制电路213则依据只读存储 器(Read Only Memory)215中的固件程序(Firmware)判定是否执行此项包含对磁盘(Disk)214里的开机磁道(Boot Sector)执行写入动作的写入命令。首先， 固件程序(Firmware)即命令控制电路213检测开关(Swich)212所产生的控制 信号，以进行判断是否允许此项包含对磁盘(Disk)214里的开机磁道(Boot Sector)执行写入动作的写入命令执行。若是开关(Swich)212关闭，控制电路 213即检测到开关(Swich)212所产生的第二信号，表示此时开机磁道(Boot Sector)写入功能开启，并将检测到的第二信号回传至固件程序(Firmware)， 固件程序(Firmware)即命令控制电路213允许此项包含对磁盘(Disk)214里的 开机磁道(Boot Sector)执行写入动作的写入命令执行。反之，若是开关 (Swich)212开启，控制电路213即接收到开关(Swich)212所产生的第一信号， 表示此时开机磁道(Boot Sector)写入功能关闭，并将检测到的第一信号回传 至固件程序(Firmware)，固件程序(Firmware)便命令控制电路213放弃执行此 包含对磁盘(Disk)214里的开机磁道(Boot Sector)执行写入动作的写入命令， 并且将这笔在开机磁道(Boot Sector)写入功能关闭时所想要进行的开机磁道 (Boot Sector)写入动作认定为非预期的执行事件并记录在磁盘(Disk)214中。而只读存储器(Read Only Memory)215中 一 具有S.M.A.R.T. (Self-Monitoring, Analysis and Reporting Technology)功能，即具有硬盘自我监 控、分析及回报的技术的一控制软件。具有S.M.A.R.T. (Self-Monitoring, Analysis and Reporting Technology)功能的软件定时读取磁盘(Disk)214中是 否有非预期的针对开机磁道(Boot Sector)做写入动作的记录。当软件读取到 非预期的开机磁道(Boot Sector)写入动作的记录便马上显示非预期执行事件 的一信息来通知使用者，以提醒使用者目前有非预期的针对开机磁道(Boot Sector)的写入事件。而使用者收到软件的通知后可立即判断此非预期的针对 开机磁道(Boot Sector)的写入动作是否为正常写入。若为正常的写入动作， 可能是使用者目前想要对开机磁道(Boot Sector)执行写入动作，例如重新安 装操作系统(Operation System)，则使用者需改变开关(Swich)212状态，也 就是将开关(Swich)212关闭，使开关(Swich)212所产生的信号从第一信号切 换为第二信号，如此才能执行开机磁道(Boot Sector)写入动作，即顺利的安 装操作系统(Operation System)。若为不正常的写入动作，也就是非使用者 所执行的开机磁道(Boot Sector)写入动作，表示可能有病毒想要入侵开机磁 道(Boot Sector),则使用者可马上进行扫毒以及对防毒软件执行在线更新动作。综上所述，以下为本发明的一实施例所发展出固件程序(Firmware)判断 开机磁道(Boot Sector)写入动作执行的伪码(pseudo code): If(Write LBA 0 or CHS=0:0:1);If(AntiVirusEn){ Command Abort;Record event into SMART Log;Return fail;}此段程序主要功能在于当固件程序(Firmware)检测到由数据总线(Data Bus)传至控制电路213的写入命令时，便开始进行判断。若写入命令包含对 磁盘(Disk)214里的开机磁道(Boot Sector)执行写入动作的写入命令，便命令 控制电路213检测开关(Swich)212所产生的控制信号，并将所检测到的控制 信号回传至固件程序(Firmware)。若开关(Swich)212开启，控制电路213便 检测到开关(Swich)212所产生的第一信号并将检测到的第一信号回传至固件 程序(Firmware)，则固件程序(Firmware)会根据开关(Swich)212所产生的第一 信号判断此时开机磁道(Boot Sector)写入功能关闭，所以命令控制电路213 放弃执行此包含对磁盘(Disk)214里的开机磁道(Boot Sector)执行写入动作的 写入命令，并且将此动作记录在磁盘(Disk)214中。当具有S.M.A.R.T. (Self-Monitoring, Analysis and Reporting Technology)功能的控制软件从磁盘 (Disk)214中得知此非预期的开机磁道(Boot Sector)写入动作记录时，便立即 显示该非预期执行事件的信息向使用者回报此非预期的执行动作。另外，所述的开关(Swich)212可在计算机的周边硬件(例如笔记本计算 机(Notebook Computer)的键盘)上设置一热键来控制开启或关闭开机磁道 (Boot Sector)写入功能，例如将热键下压一次即产生第一信号，关闭开机磁 道(Boot Sector)写入功能，再下压一次热键即产生第二信号，开启开机磁道 (BootSector)写入功能。或是在硬盘(Hard Disk)2上设置一物理开关，可切换 开启或关闭开机磁道(Boot Sector)写入功能，当开启物理开关即产生第一信 号，即关闭开机磁道(BootSector)写入功能，关闭物理开关即产生第二信号， 即开启开机磁道(Boot Sector)写入功能。根据上述的实施例，以下再提供一实施例用以解释本发明防止病毒入侵硬盘的方法。请参见图3，其所示为本发明的一实施例所发展出写入命令执行流程图。当一项写入命令发送至硬盘(Hard Disk)2时，见步骤311所示， 固件程序(Firmware)便检测写入命令是否包含对开机磁道(Boot Sector)执行 写入动作，见步骤312所示，若写入命令未包含对开机磁道(Boot Sector)执 行写入动作，则固件程序(Firmware)允许控制电路213执行写入命令，见步 骤313所示。若固件程序(Firmware)检测到写入命令包含对开机磁道(Boot Sector)执行写入动作则进入步骤314，固件程序(Firmware)命令控制电路213 检测开关(Swich)212所产生的控制信号，见步骤314所示，并将检测到的控 制信号回传至固件程序(Firmware)，供固件程序(Firmware)判断是否允许执行 此包含对开机磁道(Boot Sector)执行写入动作的写入命令。若是开关(Swich)212关闭，控制电路213即检测到开关(Swich)212所产 生的第二信号，表示此时开机磁道(Boot Sector)写入功能开启，并将检测到 的第二信号回传至固件程序(Firmware)，固件程序(Firmware)即命令控制电路 213允许此项包含对开机磁道(BootSector)执行写入动作的写入命令执行，见 步骤317所示。反之，若是开关(Swich)212开启，控制电路213即接收到开 关(Swich)212所产生的第一信号，表示此时开机磁道(Boot Sector)写入功能关 闭，并将检测到的第一信号回传至固件程序(Firmware)，固件程序(Firmware) 便命令控制电路213放弃执行此包含对磁盘(Disk)214里的开机磁道(Boot Sector)执行写入动作的写入命令，并且将这笔在开机磁道(Boot Sector)写入功 能关闭时所想要进行的开机磁道(Boot Sector)写入动作认定为非预期的执行 事件并将事件记录在磁盘(Disk)214中，见步骤315所示。之后由一具有 S.M.A.R.T. (Self-Monitoring, Analysis and Reporting Technology)功能的控制 软件依据磁盘(Disk)214中的非预期执行事件的记录而立即显示该非预期执 行事件的信息来通知使用者，见步骤316所示，以提醒使用者目前有非预期 的针对开机磁道(Boot Sector)的写入动作。此外，现今己经可以利用大容量的闪存(flashmemory)来替代磁盘式的硬 盘。也就是说，本发明并不限定于磁盘式的硬盘。图2中的磁盘214可以用 其它的存储元件来代替。例如使用闪存(flashmemory)来替代磁盘214，而闪 存(flash memory)中仍旧需要一开机磁道(Boot Sector),本发明也可以利用相 同的方式来防止开机型病毒(File Infector Virus)写入闪存硬盘的开机磁道(Boot Sector)。虽然本发明已以优选实施例揭示如上，然而其并非用以限定本发明，任 何所属技术领域中的技术人员，在不脱离本发明的精神和范围内，当可作些 许的更动与修改，因此本发明的保护范围当视权利要求书所界定的范围为准。
权利要求
1.一种防止病毒入侵硬盘的方法，其特征是，包含下列步骤利用开关的切换来产生第一信号或者第二信号；接收写入命令；以及当上述写入命令是将写入数据写入于上述硬盘的一开机磁道，且上述开关产生上述第一信号时，禁止执行上述写入命令；当上述写入命令是将上述写入数据写入于上述硬盘的上述开机磁道且上述开关产生上述第二信号时，执行上述写入命令。
2. 根据权利要求1所述的防止病毒入侵硬盘的方法，其特征是，其中上 述开关为控制热键，用以切换来产生上述第一信号或者上述第二信号。
3. 根据权利要求1所述的防止病毒入侵硬盘的方法，其特征是，还包括 当禁止执行上述写入命令时，记录一个非预期执行事件于存储元件中。
4. 根据权利要求3所述的防止病毒入侵硬盘的方法，其特征是，还包括当检测上述固件程序中存储上述非预期执行事件时，显示上述非预期执 行事件的信息。
5. 根据权利要求1所述的防止病毒入侵硬盘的方法，其特征是，当安装 操作系统时，上述开关切换到产生上述第二信号状态。
6. —种防止病毒侵入硬盘的装置，其特征是，包含 存储元件；只读存储器，信号连接于上述控制电路，用以存储固件程序； 控制电路，信号连接于上述存储元件，上述控制电路依据上述固件程序 动作；以及开关，信号连接于上述控制电路，上述开关产生第一信号或者第二信号 至上述控制电路；其中，当上述控制电路收到写入命令，且上述写入命令是将写入数据写 入于上述存储元件的开机磁道，且上述开关产生上述第一信号时，禁止执行 上述写入命令；而当上述写入命令是将上述写入数据写入于上述硬盘的上述 开机磁道，且上述开关产生上述第二信号时，执行上述写入命令。
7. 根据权利要求6所述的防止病毒入侵硬盘的装置，其特征是，其中上述开关为控制热键，用以切换来产生上述第一信号或者上述第二信号。
8. 根据权利要求6所述的防止病毒入侵硬盘的装置，其特征是，其中还包括当禁止执行上述写入命令时，记录非预期执行事件于上述存储元件中。
9. 根据权利要求8所述的防止病毒入侵硬盘的装置，其特征是，其中还包括当检测上述固件程序中存储上述非预期执行事件时，显示上述非预期执 行事件的信息。
10. 根据权利要求6所述的防止病毒入侵硬盘的装置，其特征是，其中 上述存储元件为磁盘或者闪存。
11. 根据权利要求6所述的防止病毒入侵硬盘的装置，其特征是，其中， 当安装操作系统时，上述开关切换到产生上述第二信号状态。
全文摘要
一种防止病毒侵入硬盘的装置及方法，该方法包含下列步骤利用一个开关的切换来产生一个第一信号或者一个第二信号；接收一个写入命令；当写入命令是将一个写入数据写入于硬盘的一个开机磁道，且开关产生第一信号时，禁止执行写入命令；以及当写入命令是将写入数据写入于硬盘的开机磁道且开关产生第二信号时，执行写入命令。
文档编号G06F21/02GK101246457SQ20081008619
公开日2008年8月20日 申请日期2008年3月18日 优先权日2008年3月18日
发明者庄景涪, 钟健平 申请人:祥硕科技股份有限公司