一种终端设备启动的监测方法
【专利摘要】提供了一种终端设备启动的监测方法,包括:扫描磁盘确定磁盘文件是否存在病毒;扫描固件确定固件启动信息是否合法;输出磁盘文件及固件启动信息的扫描结果。通过扫描监测实现终端设备的安全启动。
【专利说明】一种终端设备启动的监测方法
【技术领域】
[0001]本发明涉及计算机领域,尤其涉及终端设备启动的方法,特别涉及一种终端设备启动的监测方法。
【背景技术】
[0002]广义的计算机病毒是一种人为制造的、能够进行自我复制的、具有对计算机资源的破坏作用的一组程序或指令的集合,包括特洛伊木马、宏病毒、网络蠕虫等一系列具有一定争议的程序或者代码。计算机病毒种类繁多,特征各异,总结起来具有以下几个主要特征:可执行性(程序性)、传染性、隐蔽性、潜伏性、可触发性、破坏性、攻击的主动性、针对性、寄生性(依附性)、不可预见性、诱惑欺骗性、持久性等。
[0003]安全问题不仅仅出现在操作系统上,目前越来越多的攻击开始关注于BIOS。BIOS攻击的特点是攻击代码从预启动阶段就一直存在。由于BIOS在操作系统之前启动,所以在系统启动后,BIOS上的攻击代码也会发挥破坏作用,在整个上电周期该代码都是有效的。在硬盘上找不到攻击的痕迹。这类攻击代码往往并不依存于某一个硬盘扇区,而是随系统的启动伺机发挥破坏作用。对于同一个操作系统,攻击代码一直存在并且可以重复感染、重复设置。对于不同的操作系统,攻击代码一直存在并且可以重复感染、重复设置。BIOS攻击与操作系统无关,只跟BIOS有直接关系,所以BIOS攻击代码并不会因为操作系统的更换或重新安装而消失。这些代码仍然会按原来的方式传播,感染。很难被检测出来。说明在硬盘上很难找到该攻击的痕迹,所以普通的杀毒软件很难准确的检测出该类攻击代码。
[0004]防病毒软件可以有效的保护操作系统不受电脑病毒的破坏,因此几乎成为每台电脑必备的安全工具。然而由于操作系统自身的不稳定性及所处的启动位置的限制,一些电脑病毒会先于操作系统启动并隐藏起来,使操作系统运行后无法及时发现这些病毒;一些病毒会直接依附于操作系统的核心进程,即使被杀毒软件发现也无法彻底清除;一些病毒会直接使操作系统瘫痪,导致运行于操作系统上的杀毒软件无法启动。对于这种由操作系统自身缺陷和限制所导致的杀毒软件失效的情况,传统的“PC/AT”型的自动启动模式无法从根本上加以解决。
[0005]目前对于防病毒软件的研究还主要着眼于如何提高防病软件的查杀的速度及查杀能力上。现有的文件型病毒检测引擎的工作原理,分析了病毒的行为特性,提出根据病毒行为特征进行病毒检测的改进策略,最后给出了通过检测病毒行为来改进病毒检测引擎的方法。现有的其他文献分析了当前主要的几种病毒检测方法及存在的问题,提出了一种基于BP神经网络的病毒检测方法。另一种方法是将计算机病毒防御问题与生物免疫系统所遇到的问题相结合,提出了提出了一种基于人工免疫的病毒检测方法,给出了计算机软件系统中自体、非自体、抗原、免疫细胞等的表示方法,实现了否定选择和克隆选择等免疫机制。其他方法采用近几年比较流行的网络云防病毒技术,将多个防病毒软件结合起来放在服务器端,并对用户提交的可疑文件进行检测。
[0006]尤其是随着环境保护意识的逐渐加强,水质治理与维护引起了更为广泛的重视,水质在线仪器随之发展,在线监测系统应运而生。由于在线监测的实时性,对在线监测计算机设备的硬件和软件要求也不断提高,尤其是需要通过网络实现整个监测系统内部的数据传输与共享。然而由于网络的接入,不可避免地会遭到计算机病毒的入侵,但是作为在线监测用计算机终端设备,一旦感染病毒,遭受的损失是巨大的,因此亟需在计算机终端设备启动时进行监测,防患于未然。
[0007]目前的研究大都针对病毒检测方法及检测机制,虽然能够提高防病软件的性能,但是这些技术的实现也都是以操作系统为载体,没有从根本上改变防病毒软件对操作系统的依赖,一旦操作系统崩溃或无法正常启动,这些防病毒软件都将无法正常工作。因此有必要实现病毒扫描,运行于操作系统预启动阶段,采用特征代码法作为主要的病毒检测方法,实现对所有磁盘文件的病毒扫描及固件启动信息的扫描。
【发明内容】
[0008]为了解决现有的由操作系统自身缺陷和限制所导致的杀毒软件失效的情况的技术问题,本发明提供了一种终端设备启动的监测方法,所述方法包括:扫描磁盘确定磁盘文件是否存在病毒;扫描固件确定固件启动信息是否合法;输出磁盘文件及固件启动信息的扫描结果。
[0009]优选地,其中,所述扫描磁盘确定磁盘文件是否存在病毒包括:读取磁盘文件目录;根据磁盘文件目录逐一读取每一磁盘文件,对所读取的每一磁盘文件进行以下处理:
[0010]确定磁盘文件的文件类型,根据不同的文件类型进入不同的扫描分支,在不同的扫描分支下扫描所述不同的文件类型,以确定所读取的每一磁盘文件是否存在病毒,将所读取的每一磁盘文件的扫描结果记录于磁盘文件扫描结果列表。
[0011]优选地,其中,所述确定磁盘文件的文件类型包括:解析所读取的每一磁盘文件的文件头,根据所读取的每一磁盘文件的文件头确定磁盘文件的文件类型。
[0012]优选地,其中,所述确定所读取的每一磁盘文件是否存在病毒包括:将所读取的每一磁盘文件与病毒库中的病毒特征码进行比较,匹配成功的磁盘文件是感染病毒的磁盘文件,匹配不成功的磁盘文件是安全的磁盘文件。
[0013]优选地,其中,所述扫描固件确定固件启动信息是否合法包括:读取启动设备信息目录;根据启动设备信息目录逐一读取每一启动设备信息,对所读取的每一启动设备信息进行以下处理:
[0014]根据所述启动设备信息提取启动设备类型及属性信息,根据所述启动设备类型及属性信息确定所读取的每一启动设备信息相对应的启动设备是否属于合法的启动设备,将所读取的每一启动设备信息的扫描结果记录于启动设备信息扫描结果列表。
[0015]优选地,其中,所述根据所述启动设备类型及属性信息确定所读取的每一启动设备信息相对应的启动设备是否属于授权的启动设备包括:如果所述启动设备类型合法并且所述属性信息合法,则所述启动设备信息相对应的启动设备属于合法的启动设备,否则所述启动设备信息相对应的启动设备属于不合法的启动设备。
[0016]优选地,其中,所述输出磁盘文件及固件启动信息的扫描结果包括:输出所述磁盘文件扫描结果列表。输出所述启动设备信息扫描结果列表。
[0017]本申请提供的终端设备启动的监测方法由于其独立于操作系统,从而从根本上解决了由操作系统自身限制所产生的一系列安全问题。同时由于不受操作系统限制,也可方便移植到其他操作系统平台。通过读取系统固件的全局变量的值,获得所有启动项信息,并根据所获信息分析启动项的潜在安全威胁及时给出启动威胁预警,保证了整个安全体系的完整性。
【专利附图】
【附图说明】
[0018]所包括的附图用于进一步理解本发明,其作为说明书的一个组成部分并与说明书一起解释本发明的原理,在附图中:
[0019]图1为本发明优选实施例的终端设备启动的监测方法的流程图。
【具体实施方式】
[0020]图1是本发明的工作流程。先对磁盘文件进行病毒扫描,再对固件的启动项信息进行扫描,最后输出两次扫描的结果信息,用户根据打印的信息决定是否按照启动菜单中列出的选项进行启动。如果在扫描的过程中发现病毒,用户可对病毒文件进行相应处理。本文中将分为两个主要功能部分:磁盘文件病毒扫描功能和固件启动信息扫描功能。
[0021]磁盘文件病毒扫描部分中包括初始化病毒库,然后按照特定扫描策略进行扫描,最后删除病毒文件或直接输出扫描结果。磁盘文件扫描部分的功能采用模块化设计的方法,主要包括初始化模块、扫描模块、结果处理模块。其中扫描模块主要的功能是确定磁盘文件是否存在病毒,具体包括:读取磁盘文件目录;根据磁盘文件目录逐一读取每一磁盘文件,对所读取的每一磁盘文件进行以下处理:确定磁盘文件的文件类型,根据不同的文件类型进入不同的扫描分支,在不同的扫描分支下扫描具有不同的文件类型的文件,以确定所读取的每一磁盘文件是否存在病毒,将所读取的每一磁盘文件的扫描结果记录于磁盘文件扫描结果列表。其中所述磁盘文件目录存储在磁盘的保留扇区内,磁盘的保留扇区仅在操作系统安装时加载,其他时间不能被修改,因此磁盘保留扇区的数据不会被病毒感染,并且磁盘文件病毒扫描部分扫描的磁盘文件包括除磁盘保留扇区的其他所有扇区内的磁盘文件。由于磁盘中包括文件夹和文件,并且文件夹中可能还包括文件夹,因此,逐一读取每一磁盘文件可以是广度逐一读取或深度逐一读取。所述文件类型包括:可执行文件、存档文件、MAIL文件、图像文件等。在不同的扫描分支下扫描具有不同的文件类型的文件包括:基于不同文件类型的文件的结构提取特征码,以准确提取磁盘文件中所嵌入的病毒的特征码,原因是由于不同的文件类型具有不同的数据结构,因此必然导致不同的文件感染病毒后其特征码的提取方法不同。确定所读取的每一磁盘文件是否存在病毒包括:将所读取的每一磁盘文件的特征码与病毒库中的病毒特征码进行比较,匹配成功的磁盘文件是感染病毒的磁盘文件,匹配不成功的磁盘文件是安全的磁盘文件。其中病毒库中保存有任意已知的病毒的特征码。所述确定磁盘文件的文件类型包括:解析所读取的每一磁盘文件的文件头,根据所读取的每一磁盘文件的文件头中的文件类型指示信息确定磁盘文件的文件类型。将所读取的每一磁盘文件的扫描结果记录于磁盘文件扫描结果列表属于临时存储,例如存储在缓冲器或寄存器中。由于磁盘上的文件类型复杂,并且对很多文件都进行了处理,所以扫描时,除了进行正常的特征码匹配,还需要针对不同类型的文件作不同的处理。本模块从检查文件类型开始执行,首先判断待测文件的类型。若为压缩文件则先进行解压缩操作,再对解压后的文件重新进行类型判断。若为非压缩文件,则直接进行特征码匹配操作。如果完全匹配成功,说明该文件为感染文件,返回受感染标志;如果没有匹配成功,则进行下一项检查。
[0022]固件启动信息扫描部分在启动操作系统前获取启动信息并验证信息的正确性。用来获取相关的物理或逻辑设备的通用路径或位置信息。如果一个句柄不能逻辑映射到一个物理设备,那么这个句柄可能就不支持设备路径协议。设备路径描述了这个句柄所指的设备的位置。设备路径的大小由构成该设备的结构体决定。
[0023]
typedef struct{
UINT8 Type;
UINT8 SubType;
UINT8 Length[2];
JFr1-pHVICHco PATH PROTOCO;
[0024]Type指定了设备路径的类型。0x01为硬件设备路径,0x02为ACPI设备路径,0x03为消息设备路径,0x04为媒体设备路径,0x05为BIOS启动规范设备路径,0x7F为硬件设备路径的结束标志。SubType是按类型不同,OxFF是整个设备路径结束标志,0x01标志一个设备路径实例的结束和另一个新设备路径的开始。Length是针对具体的设备路径数据,Type和Sub-Type定义了数据类型,Length中包含数据的大小。将启动菜单中的选项分为两种类型:启动系统的设备和普通可执行选项。当能够正确判断出启动选项的启动设备类型时,只有当该选项的属性是L0AD0PT10NACTIVE时,该启动设备才是安全的。当无法判断出启动选项的启动设备类型时,说明该设备可能为普通可执行选项或是非授权的启动设备。将该启动选项作为普通的可执行选项,并且当该启动项的属性为L0AD0PT10N HIDDEN,并且出现在启动菜单中时,说明该启动选项可能为未经授权设备,启动需慎重。在一优选实施例中,扫描固件确定固件启动信息是否合法包括:读取启动设备信息目录;根据启动设备信息目录逐一读取每一启动设备信息,对所读取的每一启动设备信息进行以下处理:根据所述启动设备信息提取启动设备类型及属性信息,根据所述启动设备类型及属性信息确定所读取的每一启动设备信息相对应的启动设备是否属于合法的启动设备,将所读取的每一启动设备信息的扫描结果记录于启动设备信息扫描结果列表。其中,将所读取的每一启动设备信息的扫描结果记录于启动设备信息扫描结果列表属于临时存储,例如存储在缓冲器或寄存器中。其中,所述根据所述启动设备类型及属性信息确定所读取的每一启动设备信息相对应的启动设备是否属于授权的启动设备包括:如果所述启动设备类型合法并且所述属性信息合法,则所述启动设备信息相对应的启动设备属于合法的启动设备,否则所述启动设备信息相对应的启动设备属于不合法的启动设备。其中,所述输出磁盘文件及固件启动信息的扫描结果包括:输出所述磁盘文件扫描结果列表;输出所述启动设备信息扫描结果列表。
[0025]本发明通过扫描磁盘确定磁盘文件是否存在病毒以及扫描固件确定固件启动信息是否合法,使得在操作系统预启动阶段即防患于未然,通过特征码比对方法使得检测出所有已知病毒,通过扫描固件保证全方位的病毒检测,最终实现终端设备的安全启动。
[0026]以上关于本发明的描述仅仅是示例性的,并且主要针对本发明要解决的技术问题所涉及的必要技术特征进行详细描述,对于本领域技术人员应当清楚地知道或容易想到的关于本发明的其他相关细节不做赘述。应该理解,上述实施例是针对特定实施例进行的详细描述,但是本发明并不局限于该实施例,在不脱离本发明精神和范围的情况下,可以对本发明做出各种各样的改进和变型。任何熟悉本【技术领域】的技术人员在本发明所披露的技术范围内,根据本发明的技术方案及其发明构思加以等同替换或改变,都应涵盖在本发明的保护范围之内。
【权利要求】
1.一种终端设备启动的监测方法,所述方法包括: 扫描磁盘确定磁盘文件是否存在病毒; 扫描固件确定固件启动信息是否合法; 输出磁盘文件及固件启动信息的扫描结果。
2.根据权利要求1所述的终端设备启动的监测方法,其中,所述扫描磁盘确定磁盘文件是否存在病毒包括: 读取磁盘文件目录; 根据磁盘文件目录逐一读取每一磁盘文件,对所读取的每一磁盘文件进行以下处理: 确定磁盘文件的文件类型, 根据不同的文件类型进入不同的扫描分支, 在不同的扫描分支下扫描具有不同的文件类型的文件,以确定所读取的 每一磁盘文件是否存在病毒, 将所读取的每一磁盘文件的扫描结果记录于磁盘文件扫描结果列表。
3.根据权利要求2所述的终端设备启动的监测方法,其中,所述确定磁盘文件的文件类型包括: 解析所读取的每一磁盘文件的文件头, 根据所读取的每一磁盘文件的文件头确定磁盘文件的文件类型。
4.根据权利要求3所述的终端设备启动的监测方法,其中,所述确定所读取的每一磁盘文件是否存在病毒包括: 将所读取的每一磁盘文件的特征码与病毒库中的病毒特征码进行比较,匹配成功的磁盘文件是感染病毒的磁盘文件,匹配不成功的磁盘文件是安全的磁盘文件。
5.根据权利要求4所述的终端设备启动的监测方法,其中,所述扫描固件确定固件启动信息是否合法包括: 读取启动设备信息目录; 根据启动设备信息目录逐一读取每一启动设备信息,对所读取的每一启动设备信息进行以下处理: 根据所述启动设备信息提取启动设备类型及属性信息, 根据所述启动设备类型及属性信息确定所读取的每一启动设备信息相对应的启动设备是否属于合法的启动设备, 将所读取的每一启动设备信息的扫描结果记录于启动设备信息扫描结果列表。
6.根据权利要求5所述的终端设备启动的监测方法,其中,所述根据所述启动设备类型及属性信息确定所读取的每一启动设备信息相对应的启动设备是否属于授权的启动设备包括: 如果所述启动设备类型合法并且所述属性信息合法,则所述启动设备信息相对应的启动设备属于合法的启动设备,否则所述启动设备信息相对应的启动设备属于不合法的启动设备。
7.根据权利要求6所述的终端设备启动的监测方法,其中,所述输出磁盘文件及固件启动信息的扫描结果包括: 输出所述磁盘文件扫描结果列表;输出所述启动设备信息扫描结果列表。
【文档编号】G06F21/56GK103996005SQ201410245479
【公开日】2014年8月20日 申请日期:2014年6月5日 优先权日:2014年6月5日
【发明者】毛力 申请人:四川九成信息技术有限公司