| 主权项 |
1.一种感染电脑病毒档案之追踪检测方法,系检测 企图改变电脑系统之基本输出入系统之INT13h中断 向量位址之电脑病毒程式,该电脑系统之中央处理 器内部配置有控制暂存器、断点暂存器、除错控 制暂存器、除错状态暂存器,该检测方法包括下列 步骤: a.在该电脑系统之记忆体中指定一记忆区; b.设定该中央处理器中各相关暂存器; c.判断该中央处理器是否有除错状况产生,若无,则 继续回圈测试,若有,则进一步判断中央处理器之 除错状态暂存器中之对应中断点条件是否被设定; d.若该中央处理器之除错状态暂存器中之对应中 断点条件已被设定,则由记忆体堆叠节区中取得触 发该除错状况之指令之区及偏移位置; e.将该指令之节区及偏移位址予以正规化; f.建立一记忆体控制区块串列; g.对该记忆体控制区块之串列进行扫描,以找出涵 盖到前述正规化之指令节区及偏移位址之程式; h.将该改变INT13h中断向量之程式名称及位址予以 记录在步骤a中所指定之记忆区中; i.对该记忆区中之档案内容进行扫描,并与已知病 毒码比对,若比对出与已知病毒码相同之档案内容 ,即警示使用者。2.如申请专利范围第1项所述之感 染电脑病毒档案之追踪检测方法,其中步骤b在设 定该中央处理器中各相关暂存器之步骤包括: b1.在中央处理器之任一个侦错位址暂存器中设定 一预定数値; b2.在中央处理器之除错控制暂存器之读取/写入控 制位元中设定一预定数値; b3.在该除错控制暂存器之长度设定位元中设定一 预定数値。3.如申请专利范围第2项所述之感染电 脑病毒档案之追踪检测方法,其中步骤b1在任一个 侦错位址暂存器中所设定之预定数値为十六进位 数値资料4Ch。4.如申请专利范围第2项所述之感染 电脑病毒档案之追踪检测方法,其中步骤b2中,该中 央处理器之除错控制暂存器之读取/写入控制位元 中所设定之预定数値为01,其意谓启动中央处理器 在执行资料写入时之中断功能。5.如申请专利范 围第2项所述之感染电脑病毒档案之追踪检测方法 ,其中步骤b3中,该中央处理器之除错控制暂存器之 长度设定位元中所设定之预定数値为11,其系代表 断点位址之存取长度値是四个位元组。6.如申请 专利范围第1项所述之感染电脑病毒档案之追踪检 测方法,其中步骤f建立记忆体控制区块串列系呼 叫DOS作业系统中之INT21h/AH=52h功能函数。7.如申请 专利范围第1项所述之感染电脑病毒档案之追踪检 测方法,其中步骤I中,若在对该记忆区中之档案内 容进行扫描及比对时,并未比对出与已知病毒码相 同之档案内容时,其更包括输出该档案内容,以作 为日后未知病毒之追踪检测。图式简单说明: 第一图系显示一包括有中央处理器、输出入界面 、磁碟装置、记忆体之典型个人电脑简化系统图; 第二图系显示中央处理器中各主要暂存器之示意 图; 第三图系显示一Pentium级中央处理器内部相关暂存 器之示意图; 第四图系显示本发明病毒检测方法之流程图; 第五图系接续第四图之流程图。 |
