专利名称::微机抗病毒卡的制作方法
技术领域:
:本发明涉及的微机抗病毒卡属计算机
技术领域:
。目前流传于世的计算机病毒是一种设计严密而精巧的可执行程序,它具有潜伏性、复制性、传染性和破坏性等特点。目前病毒在微机中存在的方式可以分为两类,一类是以磁盘介质为载体,随系统的启动而进入内存的病毒,称为启动型病毒;另一类是以可执行文件为载体,随用户启动该文件而进入内存的病毒,称为文件型病毒。当算机存在病毒时,在系统运行中涉及到未传染病毒的磁盘或文件,病毒则将自身复制到磁盘或文件中,使其也同样具有了传染性,当满足某些条件时,病毒一般都有所表现,其现象是在显示器上显示某些特殊的内容,或演奏某些特殊的音乐,干扰用户正常使用;所有病毒均会干扰程序运行,并降低运行速度。计算机病毒至今已遍布全国,形成危害,抗病毒工作已成为计算机
技术领域:
的当务之急。目前抗病毒入侵的手段有三种防病毒软件,解病毒软件,华兴病毒防护卡。防病毒软件这类软件一般是在DOS的环境下运行的,若采用这个软件防止病毒入侵,必须待DOS系统启动后,作为用户程序执行并驻留内存,它需占用一定内存空间,这种软件对启动型病毒不起作用,仅可防部分文件型病毒。解病毒软件这种软件是在发现磁盘或文件被病毒传染后的补救措施,不能予防病毒的入侵。华兴病毒防护卡这种防护卡对某些病毒无防护作用,如1707病毒;该防护卡还存在如下不足之处a.由于该防护卡采用了存储空间页面选择技术,程序实现复杂,结构上使用了5个芯片1个开关,成本较高;b.该防护卡占用了内存最低端--系统中断向量表的部分区域;其中存放有供判断比较用的系统参数,有为完成页面选择的地址转换而设的中断6D的入口及其服务程序(该服务程序只是一条中断返回指令),若这一区域被填入其它中断向量,或中断6D被其它应用程序占用,则系统将发生混乱,因此,该卡可能干扰某些应用程序的运行;c.使用该卡时发现,某些病毒不能被予防,主要是因为该卡假设病毒程序在修改中断21的同时也修改中断8或1C;经过对病毒的分析发现,某些病毒先修改中断21,使其指向病毒程序,而当满足某些条件后,才修改中断8或1C;若条件不满足,则该病毒只具有传染性,而不具有表现性,在此情况下,华兴病毒防护卡无法发现病毒。本发明的目的是立足于事先予防,克服一般防病毒软件对启动型病毒不起作用的弱点,提出一种新的微机抗病毒卡。本发明从系统的原理出发,根据病毒的共同特点,设计出以保护系统薄弱环节为目的的软件,采取如下措施a.采用扩展ROM的方式,使本卡在系统进行硬件初始化时就被启动,由此开始监视系统全部运行过程;并在卡上安装了一片静态RAM,本卡使用的所有临时性数据均保存在其中,不占用户的存储空间;b.在一般情况下,用户也可以采用扩展ROM的方式,扩展系统功能,为避免与本卡发生冲突,本卡设有工作选择开关,根据需要选择工作地址;c.病毒可侵入DOS系统,是由于DOS系统的参数被病毒修改,使之具有传染性,本系统的主要功能是监测DOS系统的参数,以防其被修改,这些参数是系统内存总量(MEM.SIZE),软硬盘中断服务程序(INT40,INT13),DOS系统服务程序(INT20-27),计时时钟服务程序(INT8,INT1C)。本发明的工作原理及实现过程本发明对DOS系统中关键的中断入口地址作了修改,使这些系统的中断程序先进入本卡的监测程序,由监测程序过滤出对DOS系统有害的操作,并提示给用户,达到防止病毒入侵的目的,若操作对DOS系统无害时,则转入正常状态的中断服务程序中运行,被修改的中断是INT13,INT21,以及协调二者工作的INT1C,凡是被修改的中断向量入口地址均被保存,必要时可以全部恢复。建立程序库,核对用户指定的、关键的可执行文件,当用户运行这些文件时,由监测程序检查该文件的长度,若发现文件长度有变化,就向用户发出警报,并停止程序的运行。具体作法是a.初始化程序用于初始化本卡所用参数,它由机器系统ROMBIOS调用;本卡在初始化过程中,用固化的初始化程序修改INT13,INT1C的入口地址使其分别指向本卡上固化的INT13监测程序,及INT1C协调程序,将INT8,INT13,INT1C,INT40等中断入口地址,保存在静态RAM中,在CRT上显示本卡被正常初始化的信息,表示初始化工作结束,通知用户本卡正常启动;b.INT13监测程序该程序用于监测系统内存量及INT13、INT40中断向量,加在原系统INT13之前;该程序核对初始化时保存的INT13,INT40中断向量的入口地址,以及系统内存总量的值,判断是否同时被修改,因为,目前所有启动型病毒的作用均是修改读盘中断入口地址及内存量,而正常引导过程不需修改这两个参数;若监测程序发现INT13,INT40,MEM.SIZE被修改,则向用户发出警报,并迫使系统暂停运行,等用户更换启动盘后,再次启动系统;c.INT1C协调程序该程序用于判断DOS系统装入状态、将INT21入口指向INT21监测程序,它装在原系统INT1C之前;其作用之一是监测操作系统是否已完成装入,若系统已正常装入,则启动型病毒不会再进入系统,此时,修改INT13标志,使INT13监测程序不再起作用;其二是修改INT21中断向量的入口,使其指向本卡固化的INT21监测程序;该协调程序的功能完成后,将INT1C的中断向量入口地址改回系统的原设置,在以后的运行中,全部由INT21监测程序完成对文件型病毒的检测;d.INT21监测程序该程序用以判定系统参数合法性及控制文件型病毒入侵,它加在原I-NT21监测程序之前;由于DOS系统的大部分操作,均须经过INT21的中断服务程序,病毒也利用了这一特征,进行传染,为此,该程序利用以下操作达到检查病毒的目的(a).判断INT21监测程序是否被关闭这是本卡的特点之一,即在用户确信没有必要继续监测系统运行时,可将本卡关闭;(b).判断INT21的功能调用值,是否超出正常范围若超出DOS的基本范围,则必须经过对被监测参数的检测程序;(c).调用INT21下列功能,均经过对被检测参数的检测程序00,0F,11,15,22,28,29,2A,2C,31,36,40,41,43,4C,4e。(d).对于用读/写方式打开的.COM,.EXE,.BIN,.PIF,.SYS,.OV?文件,在进行写操作时,提示用户该文件将被修改,由用户确认修改的必要性,因为某些病毒在修改系统参数之前,先传染其它可执行文件;设此功能,可以有效地防止这些文件被非法修改;(e).当开始运行可执行文件时,监测程序将在程序库中搜索该文件是否是用户指明的,需要保护的文件,若是,则检查文件的长度与程序库中保存的值是否相同,若发现其长度发生变化,则提示用户检查该文件是否被病毒传染,以确保判断的准确性;(f).INT21监测程序可准确地判断出程序对下列系统参数的修改MEM.SIZE,INT13,INT40,INT1C,INT8,INT20-27并提示给用户,由用户判断修改的正确性;监测程序对病毒的判断不依赖于病毒对其它系统参数的修改,以免由此而延误发出警报的时间,有效的地防止病毒在内存中被激活;(g).经过监测程序发现的被修改的系统参数,若被用户否定,则监测程序自动地恢复原值,以杜绝病毒在内存中被激活的可能性;结合表及附图对本发明的实施方案说明如下表1初始化程序表2INT13监测程序表3INT1C协调程序表4INT21监测程序表5可编程门阵列芯片的编程图1微机抗病毒卡原理框图图2微机抗病毒卡逻辑原理图图3微机抗病毒卡结构图图4微机抗病毒卡印刷电路图(a.正面;b.反面)如图1、图3所示,该卡由只读存储器1、读写存储器2、地址译码器3、选择开关4、网络电阻7组成,各部件之间的联接如图2所示,总体部分通过扩展总线插头5与主机相联。扩展总线插头5中A2~A9数据总线低8位D7~D0;A11地址允许AEN。只读存储器1中A0~A12地址信号线,输入信号;D0~D7八位数据线,输出信号;CE片选信号,低有效,输入信号;OE输出允许,低有效,输入信号;PGM编程控制线,此电路中恒接+5V(Vcc);Vpp编程电源,恒接+5V。读写存储器2中A0~A10地址信号线,输入信号;D0~D7八位数据线,输入/输出信号;W写信号,低有效,输入信号;G片选信号,低有效输入信号;E输出允许,低有效,输入信号。地址译码器3中I1~I8地址线,输入信号;I9地址允许AEN,输入信号I10存储器读MR/,输入信号;O1只读存储器片选信号,低有效,输入信号;O2~O6开关输入;O7存储器写信号,低有效,输入信号;O8读写存储器片选信号,低有效,输出信号。选择开关4中有接通和断开二种状态。由扩展总线插头5上的地址信号及AEN,MR信号输入到地址译码器3的I1~I8、I9、I10,由选择开关4的开关状态控制,送到地址译码器3的SA13~SA17中,由地址译码器3内部的逻辑选择,输出使只读存储器1有效的片选信号EPR/,及使读写存储器2有效的片选信号RAM/。由扩展总线插头5上的地址信号A0~A12,及由地址译码器3输出的CE信号,使只读存储器1能够工作,此时只读存储器1的D0~D7数据线上输出固化的程序的二进制数据,这些数据经扩展总线插头5的A2~A9送到主机的CPU中处理,完成固化程序规定的任务。由扩展总线插头5上的地址信号A0~A10,及由地址译码器3输出的W,G信号,使读写存储器2能够工作,此时读写存储器2的D0~D7数据线上输入或输出固化的程序需要的数据,这些数据经扩展总线插头5的A2~A9送到主机的CPU中,完成相应的数据传送工作。抗病毒程序固化在只读存储器1中,处于扩展EPROM区域,其中有4个地址供用户选择,读写存储器2中存放要保护的DOS系统参数及抗病毒程序的工作参数;地址译码器3使用可编程门阵列芯片,选择开关4用五位DIP开关选择四组只读存储器1在系统可扩展ROM区中的地址;网络电阻7接在选择开关4和地址译码器3线路之间,起电压调整作用;以上部分均固定在兼作印刷电路板的底板6上。只读存储器1使用8kx8位EPROM2764或27c64,读写存储器2选用2kx8位静态RAM6116或2016,地址译码器3及选择开关4使用G-AL16V8或PAL16L8可编程门阵列芯片,该芯片的编程如表5所示,网络电阻7选用4.7kx6的标准网络电阻。如图3所示底板6的形状呈凸字型,其尺寸与微机扩展槽相配合,其电路接口与微机扩展槽相适应;该底板6的尺寸为120x48MM;底板6的正、反面带有如图4所示的印刷电路,板上左侧固定五位选择开关4、网络电阻7及地址译码器3,中间固定读写存储器2--6116芯片,右上方固定只读存储器1--2764芯片。表5</tables>1=ON,0=OFF,x表示不起作用;开关第5位为1时关闭本卡;本发明与现有技术相比具有如下优点a.本微机抗病毒卡不占用系统的存储空间,仅占用系统的一个扩展槽,使用时不影响各种程序的正常运行;b.固化程序是一个开放结构,程序简单,便于扩充功能;c.该发明功能齐全,能防止目前所有病毒的入侵和传染,结构简单,成本低,该卡仅用三个常规芯片即可制成;该发明的微机抗病毒卡使用方便,它适用于任何档次的PC机及其兼容机,需要时,将它插在微机的任一扩展槽中,即可使用。表权利要求1.一种用以抵抗微机病毒的微机抗病毒卡,其特征在于该卡由只读存储器1、读写存储器2、地址译码器3、选择开关4、网络电阻7组成,总体部分通过扩展总线插头5与主机相联;抗病毒程序固化在只读存储器1中,读写存储器2中存放保护DOS系统的参数及抗病毒程序的工作参数,地址译码器3使用可编程门阵列芯片,选择开关4用五位DIP开关选择四组ROM区中的地址,以上部分均固定在兼作印刷电路板的底板6上。2.根据权利要求1所述的微机抗病毒卡,其特征在于选择开关4的可选位置为1=ON,0=OFF,x表示不起作用;开关第5位为1时关闭本卡。3.根据权利要求1所述的微机抗病毒卡,其特征在于扩展总线插头5中A2~A9数据总线低8位D7~D0;A11地址允许AEN;只读存储器1中A0~A12地址信号线,输入信号;D0~D7八位数据线,输出信号;CE片选信号,低有效,输入信号;OE输出允许,低有效,输入信号;PGM编程控制线,此电路中恒接+5V(Vcc);Vpp编程电源,恒接+5V;读写存储器2中A0~A10地址信号线,输入信号;D0~D7八位数据线,输入/输出信号;W写信号,低有效,输入信号;G片选信号,低有效输入信号;E输出允许,低有效,输入信号;地址译码器3中I1~I8地址线,输入信号;I9地址允许AEN,输入信号I10存储器读MR/,输入信号;O1只读存储器片选信号,低有效,输入信号;O2~O6开关输入;O7存储器写信号,低有效,输入信号;O8读写存储器片选信号,低有效,输出信号;选择开关4中有接通和断开二种状态;由扩展总线插头5上的地址信号及AEN,MR信号输入到地址译码器3的I1~I8、I9、I10,由选择开关4的开关状态控制,送到地址译码器3的SA13~SA17中,由地址译码器3内部的逻辑选择,输出使只读存储器1有效的片选信号EPR/,及使读写存储器2有效的片选信号RAM/;由扩展总线插头5上的地址信号A0~A12,及由地址译码器3输出的CE信号,使只读存储器1能够工作,此时只读存储器1的D0~D7数据线上输出固化的程序的二进制数据,这些数据经扩展总线插头5的A2~A9送到主机的CPU中处理,完成固化程序规定的任务;由扩展总线插头5上的地址信号A0~A10,及由地址译码器3输出的W,G信号,使读写存储器2能够工作,此时读写存储器2的D0~D7数据线上输入或输出固化的程序需要的数据,这些数据经扩展总线插头5的A2~A9送到主机的CPU中,完成相应的数据传送工作。4.根据权利要求1或2或3所述的微机抗病毒卡,其特征在于只读存储器1使用8kx8位EPROM2764或27c64,读写存储器2选用2kx8位静态RAM6116或2016,地址译码器3及选择开关4使用G-AL16V8或PAL16L8可编程门阵列芯片;网络电阻7采用4.7Kx6的标准网络电阻;底板6的形状呈凸字型,适于装入微机扩展槽中,其电路接口与微机扩展槽相适应。专利摘要本实用新型涉及的微机抗病毒卡属计算机
技术领域:
。本装置根据病毒的共同特点,设计出以保护系统薄弱环节为目的的软件;采用扩展ROM、增加监测功能的方式,提高微机抗病毒能力。该卡由只读存储器1、读写存储器2、地址译码器3、选择开关4等部分组成。使用时仅占用系统的一个扩展槽,不影响各种程序的运行;固化程序是一个开放结构,便于扩充功能;该装置功能齐全,能防止目前所有病毒的入侵和传染,结构简单,成本低,使用方便,它可用于任何档次的PC及其兼容机。文档编号G06F11/26GK2081110SQ90218598公开日1991年7月17日申请日期1990年8月29日优先权日1990年8月29日发明者李明华,吕延林申请人:北京海淀计算机多维公司