引导区数据处理方法及装置、计算机存储介质、电子设备与流程

本发明涉及计算机技术领域，具体而言，涉及一种引导区数据处理方法及装置、计算机可读介质及电子设备。

背景技术：

随着计算机技术的发展，计算机在每一个行业都得到了广泛的应用，各行各业对计算机系统的依赖越来越大，但是，随着计算机网络的发展，计算机病毒对信息安全的威胁日益严重，各种计算机病毒的产生和全球性的蔓延已经给计算机系统的安全造成了巨大的危害和损害，其造成的计算机资源的损失和破坏，不但会造成资源和财富的巨大浪费，而且有可能造成社会性的灾难。

计算机硬盘的引导区是计算机的核心区域，如果引导区被病毒感染，可能会导致计算机死机。现有技术中修复被病毒感染的数据所采用的手段都是专杀方案，即分析病毒对用户源数据的加密隐藏手段，然后逆向操作来还原原始数据。但是该方法对引导区病毒(如：异鬼、暗云等)的查杀修复能力不足，普适度低，需要耗费大量的人力和时间重新开发专杀修复方案，安全响应速度较慢。

因此本领域亟需寻求一种新的引导区数据处理方法及装置。

需要说明的是，在上述背景技术部分公开的信息仅用于加强对本发明的背景的理解，因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。

技术实现要素：

本发明的目的在于提供一种引导区数据处理方法及装置、计算机可读介质及电子设备，进而对引导区被改写的数据进行修复，以保证计算机的正常工作，同时降低成本，提高安全响应速度。

本发明的其他特性和优点将通过下面的详细描述变得显然，或部分地通过本发明的实践而习得。

根据本发明的第一方面，提供一种引导区数据处理方法，其特征在于，包括：

获取修复数据和校验数据，所述修复数据用于对终端的引导区的数据进行修复，所述校验数据为在进入所述终端的第一操作系统之前从所述引导区获取的数据；

进入所述第一操作系统，并在所述第一操作系统的环境下，读取所述引导区的数据以得到一待检测数据；

判断所述待检测数据与所述校验数据是否匹配；

若所述待检测数据与所述校验数据不匹配，则采用所述修复数据替换所述引导区中的数据，以修复所述引导区。

根据本发明的第二方面，提供一种引导区数据处理装置，其特征在于，包括：

第一数据获取模块，用于获取修复数据和校验数据，所述修复数据用于对终端的引导区的数据进行修复，所述校验数据为在进入所述终端的第一操作系统之前从所述引导区获取的数据；

第二数据获取模块，用于进入所述第一操作系统，在所述第一操作系统的环境下，读取所述引导区的数据以得到一待检测数据；

数据匹配模块，用于判断所述待检测数据与所述校验数据是否匹配；

引导区修复模块，用于若所述待检测数据与所述校验数据不匹配，则采用所述修复数据替换所述引导区中的数据，以修复所述引导区。

在本发明的一些实施例中，基于前述方案，所述第一数据获取模块包括：

数据信息收集单元，用于收集所述终端的第二操作系统的数据信息与磁盘的数据信息；

修复数据获取单元，用于根据一引导记录模板和所述数据信息获取所述修复数据。

在本发明的一些实施例中，基于前述方案，所述数据信息收集单元包括：

收集子单元，用于收集所述第二操作系统的注册表分区键值、所述磁盘的磁盘文件系统数据和应用程序编程接口返回的数据。

在本发明的一些实施例中，基于前述方案，所述修复数据获取单元包括：

样本数据获取单元，用于将所述数据信息发送至云端，以通过将所述数据信息与所述云端存储的所述第二操作系统的历史数据进行对比获得一样本数据；

组合单元，用于将所述样本数据与所述引导记录模板组合以获得所述修复数据。

在本发明的一些实施例中，基于前述方案，所述引导记录模板为从所述第二操作系统中获取的引导区的数据模板。

在本发明的一些实施例中，基于前述方案，所述第二数据获取模块包括：

第一加载单元，用于加载一多操作系统启动程序；

启动项添加单元，用于在所述多操作系统启动程序中添加与所述第一操作系统对应的启动项；

系统启动单元，用于在接收到对所述第一操作系统的启动项的触发指令时，进入所述第一操作系统。

在本发明的一些实施例中，基于前述方案，在获取所述修复数据和所述校验数据之前，所述装置还包括：

云更新模块，用于对本地病毒库进行云更新；

第一查杀模块，用于根据更新后的所述病毒库对所述引导区进行病毒查杀。

在本发明的一些实施例中，基于前述方案，在所述修复数据替换所述待引导区中的数据后，所述装置还包括：

数据读取模块，用于重新读取所述引导区的数据；

修复判断模块，用于将所述引导区的数据与所述修复数据进行匹配，以判断所述引导区是否被修复；

数据替换模块，用于在所述引导区的数据与所述修复数据匹配时，确定所述引导区被修复。

在本发明的一些实施例中，基于前述方案，所述装置还包括：

第二查杀模块，用于在所述引导区被修复后，进入第二操作系统，并对所述第二操作系统中的引导型驱动列表进行扫描；

病毒清除模块，用于清除扫描到的病毒文件及病毒驱动注册信息。

在本发明的一些实施例中，基于前述方案，所述第二查杀模块包括：

第二加载单元，用于加载一引导型驱动；

驱动启动单元，用于在所述第二操作系统内核初始化阶段，启动所述引导型驱动，以对所述第二操作系统中的引导型驱动列表进行扫描。

在本发明的一些实施例中，基于前述方案，所述装置还包括：

驱动替换模块，用于当扫描到所述引导型驱动列表中存在黑名单中的驱动程序时，将所述驱动程序替换为空驱动。

在本发明的一些实施例中，基于前述方案，所述病毒清除模块包括：

病毒清除单元，用于在所述第二操作系统完成界面初始化后，清除所述扫描到的病毒文件及所述病毒驱动注册信息。

根据本发明的第三方面，提供了一种计算机可读介质，其上存储有计算机程序，所述程序被处理器执行时实现如上述实施例中所述的引导区数据处理方法。

根据本发明的第四方面，提供了一种电子设备，包括：一个或多个处理器；存储装置，用于存储一个或多个程序，当所述一个或多个程序被所述一个或多个处理器执行时，使得所述一个或多个处理器实现如上述实施例中所述的引导区数据处理方法。

根据本示例实施例中的引导区数据处理方法，首先根据第二操作系统(用户操作系统)与磁盘的信息获取修复数据，根据进入第一操作系统(病毒查杀环境)之前从引导区获取的数据得到校验数据；然后进入第一操作系统，读取引导区的数据以得到待检测数据；将待检测数据和校验数据进行匹配，若不匹配，则采用修复数据替换引导区的数据，以修复引导区。本发明通过对终端设备的硬件与用户操作系统的参数进行云分析，重组出未受感染的引导区记录作为修复数据，突破了以往使用病毒专杀技术还原用户引导区记录的种种不足与缺陷，对新型病毒与未知变种也能成功修复还原；另外，将终端设备置于完全受控的第一操作系统环境中进行修复流程，第一操作系统作为查杀环境能够避免在受感染系统环境中执行修复时遭遇病毒的反查杀、对抗等问题，能够打击顽固病毒，大大提高了修复成功率。

本发明应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本发明。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本发明的实施例，并与说明书一起用于解释本发明的原理。显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1示出相关技术中病毒专杀技术的流程图；

图2示出相关技术中计算机启动的流程图；

图3示出可以应用本发明实施例的引导区数据处理方法或引导区数据处理装置的示例性系统架构的示意图；

图4示出了适于用来实现本发明实施例的电子设备的计算机系统的结构示意图；

图5示出本发明一实施例中的引导区数据处理方法的流程图；

图6示出本发明一实施例中的获取修复数据的方法流程图；

图7示出本发明一实施例中云端重组生成修复数据的示意图；

图8示出本发明一实施例中病毒查杀报告的示意图；

图9示出本发明一实施例中引导区数据处理的结构示意图；

图10示出本发明一实施例中引导区数据处理装置的结构示意图；

图11示出本发明一实施例中引导区数据处理装置的结构示意图；

图12示出本发明一实施例中引导区数据处理装置的结构示意图；

图13示出本发明一实施例中引导区数据处理装置的结构示意图；

图14示出本发明一实施例中引导区数据处理装置的结构示意图。

具体实施方式

现在将参考附图更全面地描述示例实施方式。然而，示例实施方式能够以多种形式实施，且不应被理解为限于在此阐述的范例；相反，提供这些实施方式使得本发明将更加全面和完整，并将示例实施方式的构思全面地传达给本领域的技术人员。

此外，所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施例中。在下面的描述中，提供许多具体细节从而给出对本发明的实施例的充分理解。然而，本领域技术人员将意识到，可以实践本发明的技术方案而没有特定细节中的一个或更多，或者可以采用其它的方法、组元、装置、步骤等。在其它情况下，不详细示出或描述公知方法、装置、实现或者操作以避免模糊本发明的各方面。

附图中所示的方框图仅仅是功能实体，不一定必须与物理上独立的实体相对应。即，可以采用软件形式来实现这些功能实体，或在一个或多个硬件模块或集成电路中实现这些功能实体，或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。

附图中所示的流程图仅是示例性说明，不是必须包括所有的内容和操作/步骤，也不是必须按所描述的顺序执行。例如，有的操作/步骤还可以分解，而有的操作/步骤可以合并或部分合并，因此实际执行的顺序有可能根据实际情况改变。

随着计算机技术的发展，各种病毒及其变种时刻威胁着网络安全，这些病毒及其变种可能依附介质软盘、硬盘等构成传染源，当病毒及其变种被激活后，随着用户的操作可能自我复制到传染对象中，进行破坏活动。

为了清除病毒，保证计算机的正常运行，通常采用病毒专杀技术进行杀毒。图1示出了本领域相关技术中病毒专杀技术的流程图，如图1所示，现有的病毒专杀技术为：

s101：从受感染的操作系统环境中获取用户样本；

s102：将用户样本与已有的病毒特征库进行匹配，判断黑白；

s103：若发现黑样本，则启动该病毒所属的专杀模块；

s104：专杀模块逆向操作病毒行为，从用户样本中还原解密用户的原生数据；

s105：以原生数据覆盖用户机器引导区，替换被感染的数据，以完成修复。

相关技术中，采用病毒专杀技术对未知新病毒和变种的查杀修复能力不足，普适度低。当出现新病毒时需要耗费大量的人力分析样本行为，重新开发整套专杀修复方案，安全响应速度慢。

对于bootkit等类型的病毒，由于其为了能劫持用户操作系统，可以绕过杀毒软件的检测，采用先于用户操作系统加载，然后劫持系统核心模块的策略。以个人电脑为例，现在的电脑架构中，由于基本输入输出系统(basicinputoutputsystem，bios)、主引导记录(mainbootrecord，mbr)和卷引导记录(volumebootrecord，vbr)先于操作系统启动，并且可刷写，因此bootkit等类型的病毒被设计为常驻于这些敏感区域，并且被优先执行，从而能进一步控制后续的系统初始化流程。

图2示出了计算机启动的流程，如图2所示，在步骤s201中，机器加电：按下电源键，向计算机的主板供电；在步骤s202：bios初始化：对系统中的硬件，如：内存、cpu、硬盘等设备，进行自我检查；在步骤s203中，mbr初始化、vbr初始化：从bios中选择硬盘为第一启动项后，计算机会读取硬盘上的主引导扇区，将控制权交给主引导扇区；然后主引导扇区会将控制权交给引导分区；在步骤s204中，启动装载：当完成操作系统启动前的初始化工作后，加载开机管理程序或多操作系统启动程序，并将执行权转移到操作系统；在步骤s205中，依次进行操作系统内核加载、设备驱动加载、操作系统初始化和操作系统登录，直至计算机屏幕出现登录页面。

当敏感区域被病毒感染后，若采用相关技术中的专杀技术很难将病毒查杀干净，且查杀效率较低，安全响应速度慢。

鉴于相关技术中存在的问题，本发明提供了一种引导区数据处理方法及引导区数据处理装置。

图3示出了可以应用本发明实施例的引导区数据处理方法或引导区数据处理装置的示例性系统架构300的示意图。

如图3所示，系统架构300可以包括终端设备301，网络302和服务器303。网络302用以在终端设备301和服务器303之间提供通信链路的介质。网络302可以包括各种连接类型，例如有线、无线通信链路或者光纤电缆等等。

应该理解，图3中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要，可以具有任意数目的终端设备、网络和服务器。比如服务器303可以是多个服务器组成的服务器集群等。

用户可以使用终端设备301通过网络302与服务器303交互，以接收或发送数据等。终端设备301可以是具有硬盘的各种电子设备，包括但不限于平板电脑、便携式计算机和台式计算机等等。

服务器303可以是提供各种服务的服务器。服务器303可以接收本地的磁盘信息、用户操作系统的信息，并将获取的磁盘信息、用户操作系统信息与引导记录模板重组，形成修复数据；获取进入第一操作系统(病毒查杀系统)之前引导区的数据作为校验数据；在第一操作系统(病毒查杀系统)环境下，对引导区进行病毒查杀，通过将读取的待检测数据与校验数据进行匹配，以判断引导区是否感染病毒；如果待检测数据与校验数据不匹配，则采用修复数据替代引导区中的数据，以修复引导区；进一步的，为了清除所有病毒文件及病毒驱动注册信息，可以在第二操作系统(用户操作系统)内核初始化阶段，对引导型驱动列表进行查杀，清理扫描到的病毒文件和注册表中病毒驱动的注册信息。

图4示出了适于用来实现本发明中的实施例的电子设备的计算机系统的结构示意图。

需要说明的是，图4示出的电子设备的计算机系统400仅是一个示例，不应对本发明实施例的功能和使用范围带来任何限制。

如图4所示，计算机系统400包括中央处理单元(cpu)401，其可以根据存储在只读存储器(rom)402中的程序或者从存储部分408加载到随机访问存储器(ram)403中的程序而执行各种适当的动作和处理。在ram403中，还存储有系统操作所需的各种程序和数据。cpu401、rom402以及ram403通过总线204彼此相连。输入/输出(i/o)接口405也连接至总线404。

以下部件连接至i/o接口405：包括键盘、鼠标等的输入部分406；包括诸如阴极射线管(crt)、液晶显示器(lcd)等以及扬声器等的输出部分407；包括硬盘等的存储部分408；以及包括诸如lan卡、调制解调器等的网络接口卡的通信部分409。通信部分409经由诸如因特网的网络执行通信处理。驱动器410也根据需要连接至i/o接口405。可拆卸介质411，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器410上，以便于从其上读出的计算机程序根据需要被安装入存储部分408。

特别地，根据本发明的实施例，下文参考流程图描述的过程可以被实现为计算机软件程序。例如，本发明的实施例包括一种计算机程序产品，其包括承载在计算机可读介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中，该计算机程序可以通过通信部分409从网络上被下载和安装，和/或从可拆卸介质411被安装。在该计算机程序被中央处理单元(cpu)401执行时，执行本申请的系统中限定的各种功能。

需要说明的是，本发明所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑磁盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本发明中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本发明中，计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于：无线、电线、光缆、rf等等，或者上述的任意合适的组合。

附图中的流程图和框图，图示了按照本发明各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图或流程图中的每个方框、以及框图或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

描述于本发明实施例中所涉及到的单元可以通过软件的方式实现，也可以通过硬件的方式来实现，所描述的单元也可以设置在处理器中。其中，这些单元的名称在某种情况下并不构成对该单元本身的限定。

作为另一方面，本申请还提供了一种计算机可读存储介质，该计算机可读存储介质可以是上述实施例中描述的电子设备中所包含的；也可以是单独存在，而未装配入该电子设备中。上述计算机可读存储介质承载有一个或者多个程序，当上述一个或者多个程序被一个该电子设备执行时，使得该电子设备实现如下述实施例中所述的方法。例如，所述的电子设备可以实现如图5-图9所示的各个步骤。

在本发明一实施例中，首先提供了一种引导区数据处理方法，以对存在的问题进行优化处理，具体参考图5所示，引导区数据处理方法适用于前述实施例中的所述电子设备，并至少包括以下步骤，具体为：

步骤s510：获取修复数据和校验数据，所述修复数据用于对终端的引导区的数据进行修复，所述校验数据为在进入所述终端的第一操作系统之前从所述引导区获取的数据；

步骤s520：进入所述第一操作系统，在所述第一操作系统的环境下，读取所述引导区的数据以得到一待检测数据；

步骤s530：判断所述待检测数据与所述校验数据是否匹配；

步骤s540：若所述待检测数据与所述校验数据不匹配，则采用所述修复数据替换所述引导区中的数据，以修复所述引导区。

根据本示例实施例中的引导区数据处理方法，服务器303获取修复数据和校验数据后，启动终端设备301的第一操作系统，在第一操作系统的环境下，读取引导区的数据以得到待检测数据，然后将待检测数据与校验数据进行匹配，以判断引导区的数据是否被改写；若待检测数据与校验数据匹配，则引导区的数据未被改写，不需对引导区进行修复；若待检测数据与校验数据不匹配，则引导区的数据被改写，可以采用修复数据替换引导区中的数据，以修复引导区。本发明一方面通过本地数据结合云分析，重组出原生的引导区的数据作为修复数据，再通过修复数据对引导区进行修复，能够突破以往使用病毒专杀技术还原用户引导区记录的种种不足与缺陷，对新型病毒与未知变种也能成功修复；另一方面，在第一操作系统环境下进行修复流程，避免了在受感染系统环境中执行修复时遭遇病毒对抗等问题，可以打击顽固病毒，大大提高了修复成功率。

下面，以计算机为终端设备301为例，对本示例实施例中的引导区数据处理方法进行进一步的说明。

在步骤s510中，获取修复数据和校验数据，所述修复数据用于对终端引导区的数据进行修复，所述校验数据为在进入所述终端的第一操作系统之前从所述引导区获取的数据。

在本示例实施例中，图6示出了获取修复数据的流程图，如图6所示，获取修复数据的方法包括：步骤s601：收集计算机的第二操作系统的数据信息与磁盘的数据信息；步骤s602：根据引导记录模板、收集的数据信息获取修复数据。下面对获取修复数据的方法进行详细说明：

在步骤s601中，收集计算机的第二操作系统的数据信息与磁盘的数据信息。

在本示例实施例中，第二操作系统可以是windows、unix、dos、macos等操作系统，目前市场上使用较多的是windows操作系统，且多数病毒在windows操作系统下具有各种反查杀对抗手段，因此本发明中的引导区数据处理方法可以主要用于解决windows操作系统出现的病毒感染问题。采集的计算机的第二操作系统的数据信息可以是注册表分区键值、磁盘的数据信息可以是文件系统磁盘数据，还可以采集应用程序编程接口返回的数据，当然也可以采集其它的数据，本发明对此不做具体限定。

在步骤s602中，根据引导记录模板、收集的数据信息获取修复数据。

在本示例实施例中，引导区包含主引导扇区和引导分区，主引导扇区的数据称为主引导记录(mbr)，其为独立于主机操作系统的数据结构，驻留于磁盘0扇区，其结构布局分为引导代码区、出错信息数据区和分区表；引导分区的数据称为卷引导记录(vbr)，其驻留于操作系统分区的首个扇区，其结构分为引导代码区和卷信息区。当引导区感染病毒时，病毒仅能感染并改写用户磁盘上已经使用的主引导记录/卷引导记录，并且主引导记录/卷引导记录的模板通常隐藏在用户所使用的操作系统的系统文件中，因此可以通过从系统文件中提取主引导记录/卷引导记录，形成引导记录模板，且该引导记录模板是完全干净的。同时，收集的数据信息可以被发送至云端，云端存储有第二操作系统的历史数据，将收集的数据信息与历史数据进行对比，根据收集的数据信息中的关键词判断其为历史数据中哪些数据的可能性最大，然后将可能性最大的所有数据整合以获得一样本数据；最后将样本数据与引导记录模板组合以获得修复数据。图7示出了重组引导区的数据获得修复数据的结构示意图，具体过程如上所述。由于修复数据是基于干净的引导记录模板重组生成的，因此修复数据是未受感染前的原生mbr/vbr，进而可以采用修复数据对被病毒改写的数据进行修复。

在本示例实施例中，可以以进入第一操作系统之前从引导区获取的数据作为校验数据。第一操作系统可以是unix、linux、xenix等可以避免病毒各种反查杀对抗手段的操作系统，由于在linux操作系统的环境下，避免病毒反查杀对抗手段的效果最好，因此优选采用linux操作系统作为第一操作系统。同时，为了减少磁盘占用率，可以采用简化版的第一操作系统，以作为病毒查杀环境。在进入第一操作系统之前，可以读取引导区的数据并保存为副本以形成校验数据，该校验数据可能是被病毒改写的数据，也可能是未被病毒改写的伪装数据。

在步骤s520中，进入所述第一操作系统，在所述第一操作系统的环境下，读取所述引导区的数据以得到一待检测数据。

在本示例实施例中，为了进入第一操作系统，可以在计算机中加载一多操作系统启动程序，并在该多操作系统启动程序中添加与第一操作系统对应的启动项；进入计算机的启动项后，服务器303可能接收到对第一操作系统的启动项的触发指令，以进入第一操作系统。触发指令可以是用户通过操控与计算机连接的外部装置，如键盘、鼠标，或通过计算机触摸屏选择第一操作系统的启动项，也可以是计算机通过自动运行代码实现选择第一操作系统的启动项，以进入第一操作系统，本发明对此不做具体限定。

在本示例实施例中，在第一操作系统的环境下，对引导区的病毒进行扫描并读取引导区的数据，该引导区的数据即为待检测数据。进一步的，可以根据待检测数据判断引导区的数据是否被病毒改写。

在步骤s530：判断所述待检测数据与所述校验数据是否匹配；

在本示例实施例中，可以将待检测数据与步骤s510中获取的校验数据进行匹配，判断所述待检测数据是否为被病毒改写的引导区的数据。当待检测数据与校验数据匹配时，则引导区的数据未感染病毒，记为白记录；当待检测数据与校验数据不匹配时，则引导区的数据感染病毒，数据被改写，记为黑记录。

步骤s540：若所述待检测数据与所述校验数据不匹配，则采用所述修复数据替换所述引导区中的数据，以修复所述引导区。

在本示例实施例中，当检测到黑记录时，可以将步骤s510中获取的修复数据覆盖到引导区，即采用修复数据替换引导区中的数据，以修复引导区。

进一步的，在采用修复数据替换引导区的数据后，可以对引导区是否被完全修复进行校验。校验方法可以是：重新读取引导区的数据；将引导区的数据与修复数据对比，若引导区的数据与修复数据匹配，则完成了修复；若引导区的数据与修复数据不匹配，则修复未完成，可以再次以修复数据替换引导区的数据，并验证，直至完成修复；并且完成修复后还可以记录修复结果，以生成一病毒查杀报告反馈给用户。

在本示例实施例中，在获取修复数据和校验数据之前，可以对本地病毒库进行云更新；然后根据更新后的病毒库对引导区进行病毒查杀。现有的很多杀毒产品(如同样用于查杀修复引导区病毒的360系统急救箱产品、金山急救箱产品等等)都会实时更新病毒类型及相应地杀毒程序，并将相关数据存储于云端，为了提高病毒查杀效率，可以在计算机启动初期，具体地可以在获取修复数据和校验数据之前，对计算机本地病毒库进行云更新，根据更新后的病毒库对引导区中的一般病毒进行查杀。另外，也可以通过云端对计算机引导区中的一般病毒进行查杀，以进一步提高病毒查杀效率。

在本示例实施例中，由于病毒除了改写引导区的数据外，还可能在用户操作系统环境中安装一些系统文件、遗留一些病毒文件，因此为了保证计算机的正常工作，可以对用户操作系统环境下的病毒文件及病毒安装的系统文件进行清理。在本发明中，当在第一操作系统环境下完成引导区的修复后，可以重启计算机，选择第二操作系统对应的启动项，进入第二操作系统；接着对第二操作系统中的引导型驱动列表进行扫描，清除扫描到的病毒文件、病毒安装的系统文件及病毒驱动注册信息。

在本示例实施例中，在进入第一操作系统之前或在完成引导区的修复之后，可以加载一引导型驱动，为在第二操作系统环境下病毒驱动模块查杀病毒做准备。当在第二操作系统内核初始化阶段，引导型驱动先于其它驱动启动，通过对第二操作系统中的引导型驱动列表进行病毒扫描，获取病毒信息，然后在第二操作系统完成界面初始化后，将第二操作系统中扫描到的病毒文件，注册表中病毒驱动注册信息全部清理掉。本申请对引导型驱动列表进行病毒扫描可以是在本地，通过已安装的病毒查杀软件进行扫描，也可以是通过云端对其进行病毒扫描，当然也可以先本地扫描后云端扫描，本发明对此不做具体限定。

在本示例性实施例中，由于病毒除了修改引导区的数据，还可以获得高权限以操控用户操作系统，例如在用户操作系统中注册服务、生成驱动链等，如果在发现黑记录时直接删除黑记录，可能导致操作系统在启动时找不到相关驱动链或相关数据，系统就会报错或直接导致操作系统不能正常启动。因此在启动引导型驱动，对第二操作系统中的引导型驱动列表进行病毒扫描的时候，如果发现驱动列表中存在黑名单上的黑记录，则可以将黑记录对应的驱动替换为空驱动，以保证操作系统的兼容性，减少蓝屏死机的概率，进一步提高用户体验。

在本示例实施例中，当清理完第二操作系统中剩余的病毒文件、注册表中病毒驱动注册信息之后，可以在计算机显示界面上展示病毒查杀结果，图8示出了一种病毒查杀结果反馈页面，在该反馈页面中，详细记载了病毒的种类、数量、路径、状态等信息，用户根据这些信息即可清楚的了解到计算机目前的状态，并放心使用。

图9示出了本发明的引导区数据处理方法的流程图，如图9所示，本发明可以包括两个阶段，其中，第一阶段可以包括如下流程：云更新本地病毒库、一般病毒查杀、获取修复数据、重启进入第一操作系统、扫描引导区病毒、查杀病毒并进行修复、验证并记录修复结果；第二阶段可以包括如下流程：重启进入第二操作系统内核初始化阶段、对引导型驱动列表进行病毒查杀、展示查杀结果。通过本发明的引导区数据处理方法，能够避免在专杀方案上耗费大量运营成本，提高快速安全响应，保证终端设备的正常工作，进而提高用户体验。

以下介绍本发明的装置实施例，可以用于执行本发明上述的引导区数据处理方法。对于本发明装置实施例中未披露的细节，请参照本发明上述的引导区数据处理方法的实施例。

图10示出了一种引导区数据处理装置的结构示意图，参照图10所示，引导区数据处理装置1000可以包括：第一数据获取模块1001、第二数据获取模块1002、数据匹配模块1003、引导区修复模块1004。

具体地，第一数据获取模块1001，用于获取修复数据和校验数据，所述修复数据用于对终端的引导区的数据进行修复，所述校验数据为在进入所述终端的第一操作系统之前从所述引导区获取的数据；第二数据获取模块1002，用于进入所述第一操作系统，在所述第一操作系统的环境下，读取所述引导区的数据以得到一待检测数据；数据匹配模块1003，用于判断所述待检测数据与所述校验数据是否匹配；引导区修复模块1004，用于若所述待检测数据与所述校验数据不匹配，则采用所述修复数据替换所述引导区中的数据，以修复所述引导区。

在本示例实施例中，第一数据获取模块1001包括：数据信息收集单元10011和数据信息收集单元10012。

具体地，数据信息收集单元10011，用于收集所述终端的第二操作系统的数据信息与磁盘的数据信息；数据信息收集单元10012，用于根据一引导记录模板和所述数据信息获取所述修复数据。

进一步的，数据信息收集单元10011包括收集子单元100111，用于收集所述第二操作系统的注册表分区键值、所述磁盘的磁盘文件系统数据和应用程序编程接口返回的数据。

在本示例实施例中，修复数据获取单元10012包括：样本数据获取单元100121和组合单元100122。

具体地，样本数据获取单元100121，用于将所述数据信息发送至云端，以通过将所述数据信息与所述云端存储的所述第二操作系统的历史数据进行对比获得一样本数据；组合单元100122，用于将所述样本数据与所述引导记录模板组合以获得所述修复数据。

在本示例实施例中，引导记录模板为从所述第二操作系统中获取的引导区的数据模板。

在本示例实施例中，第二数据获取模块1002包括：第一加载单元10021、启动项添加单元10022和系统启动单元10023。

具体地，第一加载单元10021，用于加载一多操作系统启动程序；启动项添加单元10022，用于在所述多操作系统启动程序中添加与所述第一操作系统对应的启动项；系统启动单元10023，用于在接收到对所述第一操作系统的启动项的触发指令时，进入所述第一操作系统。

图11示出了一种引导区数据处理装置的结构示意图，参照图11所示，引导区数据处理装置1000还包括：云更新模块1005和第一查杀模块1006。

具体地，在获取所述修复数据和所述校验数据之前，云更新模块1005，用于对本地病毒库进行云更新；第一查杀模块1006，用于根据更新后的所述病毒库对所述引导区进行病毒查杀。

图12示出了一种引导区数据处理装置的结构示意图，参照图12所示，引导区数据处理装置1000还包括：数据读取模块1007、修复判断模块1008和数据替换模块1009。

具体地，在所述修复数据替换所述待检测数据后，数据读取模块1007，用于重新读取引导区的数据；修复判断模块1008，用于将所述引导区的数据与所述修复数据进行匹配，以判断所述引导区是否被修复；数据替换模块1009，用于在所述引导区的数据与所述修复数据匹配时，确定所述引导区被修复。

图13示出了一种引导区数据处理装置的结构示意图，参照图13所示，引导区数据处理装置1000还包括：第二查杀模块1010和病毒清除模块1011。

具体地，第二查杀模块1010，用于在所述引导区被修复后，进入第二操作系统，并对所述第二操作系统中的引导型驱动列表进行扫描；病毒清除模块1011，用于清除扫描到的病毒文件及病毒驱动注册信息。

在本示例实施例中，第二查杀模块1010包括：第二加载单元10101和驱动启动单元10102。

具体地，第二加载单元10101，用于加载一引导型驱动；驱动启动单元10102，用于在所述第二操作系统内核初始化阶段，启动所述引导型驱动，以对所述第二操作系统中的引导型驱动列表进行扫描。

图14示出了一种引导区数据处理装置的结构示意图，参照图14所示，引导区数据处理装置1000还包括驱动替换模块1012，用于当扫描到所述引导型驱动列表中存在黑名单中的驱动程序时，将所述驱动程序替换为空驱动。

在本示例实施例中，病毒清除模块1011包括病毒清除单元10111，用于在所述第二操作系统完成界面初始化后，清除所述扫描到的病毒文件及所述病毒驱动注册信息。

由于本发明的示例实施例的引导区数据处理装置的各个功能模块与上述引导区数据处理方法的示例实施例的步骤对应，因此在此不再赘述。

应当注意，尽管在上文详细描述中提及了引导区数据处理装置的若干模块或者单元，但是这种划分并非强制性的。实际上，根据本发明的实施方式，上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之，上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。

本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本发明的其它实施方案。本申请旨在涵盖本发明的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本发明未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本发明的真正范围和精神由所附的权利要求指出。

应当理解的是，本发明并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本发明的范围仅由所附的权利要求来限。