计算机病毒是伴随着现代计算机的发展而发展起来，其对计算机的开发以及使用人员带来了很大的困扰。如果一种病毒在即使重新把硬盘分区、格式化后还不能清除的话，带来的困扰就更大——这种病毒就是引导型病毒。该病毒具有很强的隐蔽性，EVOC BIOS杀毒技术是用来清除这种引导型病毒的技术。

技术背景

引导型病毒是指专门感染硬盘主引导扇区（MBR）和软盘引导扇区（DBR）的一种病毒，通常把引导型病毒都统称为MBR病毒。MBR病毒感染的基本思想：MBR病毒会将正常的MBR或DBR数据备份到存储设备的某一个位置；如果从感染了MBR病毒的存储设备引导，在执行BIOS中断服务器程序时会将带有MBR病毒的MBR或DBR读入内存并执行；病毒代码过程中会从备份的位置将正常的MBR或DBR数据读到内存中并执行，系统正常引导进操作系统从而掩盖病毒自身。同时病毒代码执行过程中还会完成两个功能：1、使病毒常驻常规内存中常规内存的最高端处；2、病毒同时会HOOK INT 13H，这样每次执行INT13H时候就会先执行病毒代码。

由于病毒常驻内存同时Hook了INT 13H中断，当从中MBR病毒的存储设备引导时会感染连在电脑上的其他的存储设备。进入中有MBR病毒的系统后，在读MBR信息时病毒会把正常的MBR信息传给你，达到隐藏病毒自身的目的；如果想把自己手动备份的正常MBR写回时，病毒会把MBR写到备份的位置；在正常引导进系统之后，病毒还可能会使系统出现类似蓝屏、定时重启等问题。现有技术中，MBR病毒的清除通过上层杀毒软件来实现的，由于病毒带有隐藏功能，同时对写入MBR有转移到是写入到备份位置的特性，所以上层杀毒软件检测MBR病毒时候比较困难；有的杀毒软件能检测到，也清除不了病毒。通常MBR病毒是通过专杀工具来实现的。

EVOC实现的BIOS清除MBR病毒技术方案，是在还没有引导进操作系统之前检测MBR是否中毒，这时即使已经中毒，由于病毒代码还没有执行，病毒也无法通过返回正常的MBR信息来隐藏自身，这样使得病毒的查杀更加的准确。这种技术方案不需要添加额外花费，如不需要用硬件存储设芯片备来备份MBR。

技术原理

BIOS清除MBR技术是在BIOS中添加一个检查存储设备是否中MBR病毒功能模块，该功能模块是在BIOS引导进系统之前开始遍历检测所有的存储设备，查看是否中病毒，如果有种病毒则清除病毒；遍历检测完成后再引导进系统。清除MBR病毒模块功能添加的位置是在所有的硬件初始化完成后，在调用INT 19H中断读存储设备的MBR信息引导进系统之前实现。只有所有的硬件初始化完成后才能遍历检测存储设备；同时要在引导设备的MBR执行引导进系统之前实现，这时如果存储设备已经中毒，病毒代码还没有执行，病毒就没有办法隐藏。实现BIOS清除MBR病毒方式如图1。

图1  BIOS清除MBR方式

其中引导类型病毒（MBR病毒）特征标识相当于一个小的MBR病毒库，如果发现有新的MBR病毒可以通过分析病毒代码找到其特征标识和备份正常MBR方式就可以实现功能扩充，以达到清除更多MBR病毒。本技术方案可以添加到有的BIOS中，实现MBR病毒的清除功能，从而避免由于病毒引起异常。

其中引导类型病毒（MBR病毒）备份正常的MBR时候通常有两种方式：1、将正常的MBR整个扇区的数据备份到存储设备的某个扇区；2、将正常MBR的部分或全部数据通过加密后备份到存储设备的某个扇区。在清除MBR病毒的时候，通过分析病毒，如果发现是第一中备份方式，找到其正常MBR备份的位置读出该扇区的数据后写入 MBR所在的位置即可；如果发现是第二种备份方式，需要找到加密后的数据位置以及解密算法得到正常的MBR数据并写入MBR所在的位置。

技术优势

本技术是对BIOS功能的一种扩充，目前还没有通过BIOS实现清除MBR病毒的技术。与上层杀毒软件相比，BIOS实现清除MBR病毒技术更加的精准。同时该功能是由BIOS独立完成的，不需要任何额外的辅助，也不依赖于任何操作系统。

查杀准确：本技术是在病毒执行之前开始检测查杀的，这时候病毒还不能执行隐藏自身的功能，使得检测病毒更加准确；同时在还原MBR（或DBR）的时候，病毒也没有办法转移到写备份MBR（或DBR）扇区位置，从而可以正常的还原MBR（或DBR）。

无额外硬件成本：本技术是在BIOS中增加一个模块，该模块只占用很小的代码空间，不需要更换更大的BIOS ROM芯片；也不需要增加额外的硬件设备来备份MBR等。同时本技术不需要其他的软件技术辅助即可完成。

不依赖于操作系统：本技术是通过BIOS来实现的，和实际使用的操作系统无关。

备注：本文的MBR是指存储设备的第一扇区数据，即HDD格式存储设备的主引导扇区数据和FDD格式存储设备的引导扇区数据（DBR）。（研祥智能股份软件部 谢君义）