[发明专利]一种自动清除计算机病毒的技术

说明书

本发明属于一种在计算机系统中可以自动识别、自动过滤和自动清除计算机病毒的技术。

在计算机获得广泛应用的同时，随之而来的计算机病毒却对它的实际应用带来了威胁和危害。更由于计算机病毒具有潜伏性、传染性和破坏性，因此防止这类病毒侵入计算机的各种程序，进而排除它的破坏作用，是一件复杂的工作。为了解决这个问题，目前出现了各种不同的解决方案。通常采用对单个病毒进行物理性解除。这种方法，效率低，速度慢。还有的是采取硬件和软件结合的方法，如《IBM-PC微机病毒防护技术》（中国专利：90103037.6）中提出制作一块包含有存储器、地址译码器与程序存储器的电路卡，并在程序存储器中固化有防病毒程序。将这块电路卡插入主机扩展槽，首先检索引导扇区是否符合一定格式，对不符合者予以拒绝引导;然后是在引导过程中检查系统内存容量是否被修改，如为内存容量减少，则表明有病毒入侵而拒绝予以引导。但是它还不能解决当计算机在运行过程中去识别病毒和排除病毒，以利于计算机的正常运行。

本发明的目的在于提出一种利用硬件和软件相结合的技术，对计算机系统病毒进行检测和解毒，通过判断程序的病毒部分和正常部分自动分离点，从而实现对计算机病毒的自动识别、自动过滤和自动清除，并可获得在不牺牲系统开放性以及毋需用户作额外选择和操作的前提下，计算机系统能进行安全可靠的工作。

本发明的主要技术方案在于采用软件和硬件相结合的方法：

本发明的软件部分是采用屏蔽各写盘操作、诱饵触发和程序跟踪技术。现结合图1所示的流程图说明其主要工作过程和原理：

当计算机启动或加载某一程序时，首先建立相应的启动或加载标志。此时若有写盘操作，则通过该标志使程序跳过写盘操作指令，直接执行返回指令，从而达到屏蔽写盘操作的目的，采取这一屏蔽技术，有效、自动地拦截了如1575、米氏病毒等文件型病毒和其它启动型病毒等这类刚一加载即产生传染和破坏作用的病毒。同时，它在不牺牲系统开放性，不需要用户额外选择和操作的前提下，为进一步提高系统的安全性提供了技术保证。

然后采用诱饵触发技术，激活病毒传染机制，从而判断出该运行程序是否带有病毒。其实现方法是：

1、当系统处于加载过程时;

a.通过INT13H中断截获程序运行，此时暂时停止程序正常执行过程。通过INT13H发出写软盘指令;

b.当控制再次转入INT13H中断后，比较写软盘指令是否被修改为读软盘指令。若是，则建立发现病毒标志，跟踪该程序的运行过程;若否，则取消写软盘指令，恢复程序正常执行过程。

2、当系统加载运行某一文件时：

a.通过INT21H截获程序运行，此时暂停程序正常执行过程。通过INT21H发出加载运行程序指令（4BH功能）;

b.当控制再次转入INT21H中断后，比较加载指令是否被修改为别的指令，若是，则转向d;若否，则通过INT21H发出检索第一个匹配目录项指令（11H功能）;

c.当控制再次转入INT21H中断后，比较检索第一个匹配目录项指令是否被修改为别的指令，若是，则转向d;若否，则取消检索第一个匹配目录项指令，恢复程序正常运行过程;

d.建立发现病毒标志、跟踪程序运行。

采取这一诱饵触发技术，可以有效地对计算机病毒进行自动识别，提高了对计算机病毒识别的准确性。

在发现病毒后，采用程序跟踪技术，即利用计算机系统提供的INT1H单步跟踪功能、进一步跟踪程序运行，直到判断出程序病毒部分与程序正常部分相分离。其判断标准是：

1、对于启动型病毒，正常引导程序是否已进入系统运行;

2、对COM类型可执行文件，程序指令计数器是否等于100H，程序代码段段地址CS是否与程序前缀段地址PSP相同;

3、对于EXE类型可执行文件，程序代码段段地址CS是否低于病毒代码段地址，数据段段地址DS与附加数据段段地址ES是否相等并指向程序前缀段地址。

在上述三项的判断中，若是，则表明程序病毒部分与正常部分已经完全分离。此时，在病毒程序入口处设置JMP指令，直接跳转到正常操作入口，切断病毒程序与原来系统的联系。从而实现了对计算机病毒的自动过滤。将程序的正常部分重新写回磁盘，实现了对计算机病毒的自动清除。

若否，则继续跟踪程序运行。

本发明的硬件部分是由地址空间译码器、只读存储器、随机存储器、用户口令设置和计算机系统总线等五部分组成。