| 摘要 |
一种开机型病毒侦测方法,系首先在电脑系统中之相关暂存器中,设定预定之数值资料,其包括设定除错扩展位元、设定硬碟装置之硬碟状态/命令暂存器之位址、以及设定该处理器于执行输出入界面动作时,产生中断功能、以及设定位元长度值。当发生除错状况时,首先判断处理器之除错状态暂存器中之断点条件是否被设定,然后判断处理器目前所执行之指令是否为执行资料转移之输出指令、判断输出入埠位址直接定址或暂存器间接定址之位址资料是否为写入资料至硬碟装置之位址、判断输出入埠之位址是否恰为硬碟装置启动磁区之位址,若是的话即发出警示,以警告使用者该电脑可能已感染到开机型病毒。 |
| 主权项 |
1.一种开机型病毒侦测方法,用以侦测一开机型病毒码是否写入主一电脑系统之硬碟装置的启动磁区,该电脑系系中包括有一中央处理器,经由一输出入界面与该硬碟装置连接,该中央处理器内部配置有控制暂存器、断点暂存器、除错控制暂存器、除错状态暂存器,该侦测方法包括下列步骤:a.在该中央处理器之一控制暂存器中设定除错扩展位元,以启动输出入断点除错扩展功能;b.在该中央处理器之断点暂存器中设定该电脑系统所连接硬碟装置之硬碟状态/命令暂存器之位址;c.在除错控制暂存器中,设定该中央处理器于执行输出入界面动作时,产生中断功能、以及设定位元长度値;d.判断是否发生除错状况;e.判断中央处理器之除错状态暂存器中之对应的断点条件是否被设定;f.判断中央处理器目前所执行之指令是否为执行资料转移之输出指令;g.判断中央处理器中,输出入埠位址直接定址或暂存器间接定址之位址资料是否为写入资料至硬碟装置之位址;h.判断输出入埠之位址是否恰为硬碟装置启动磁区之位址;i.发出警示。2.如申请专利范围第1项所述之开机型病毒侦测方法,其中步骤b包括下列步骤:b1.设定第一个硬碟状态/命令暂存器之位址数値;以及b2.设定第二个硬碟状态/命令暂存器之位址数値。3.如申请专利范围第2项所述之开机型病毒侦测方法,其中该第一个硬碟状态/命令暂存器之位址数値为01F7h,而该第二个硬碟状态/命令暂存器之位址数値为0177h。4.如申请专利范围第1项所述之开机型病毒侦测方法,其中步骤c包括下列步骤:c1.在中央处理器之除错控制暂存器之读取/写入控制位元中设定一预定数値;以及c2.在该除错控制暂存器之长度设定位元中设定数値位元长度。5.如申请专利范围第1项所述之开机型病毒侦测方法,其中步骤f之资料转移输出指令为OUT/OUTS。6.如申请专利范围第1项所述之开机型病毒侦测方法,其中步骤g中写入资料至硬碟装置之位址値包括有写入资料至DMA通道之位址。7.如申请专利范围第1项所述之开机型病毒侦测方法,其中步骤g中写入资料至硬碟装置之位址値包括有写入资料至一磁区之位址。8.如申请专利范围第1项所述之开机型病毒侦测方法,其中步骤g中写入资料至硬碟装置之位址値包括有写入资料至数个磁区之位址。9.如申请专利范围第1项所述之开机型病毒侦测方法,其中步骤h中输出入埠之位址为1F3h-1F6h。10.如申请专利范围第1项所述之开机型病毒侦测方法,其中步骤h中输出入埠之位址为173h-176h。图式简单说明:第一图系显示一典型个人电脑系统中,中央处理单元、输出入界面、硬碟装置、记忆体间之简略连接示意图;第二图系显示一Pentium级中央处理器内部相关暂存器之示意图;第三图系显示本发明病毒侦测方法之流程图。 |
