分享

病毒,破坏,谈如何预防病毒破坏BIOS

 swolook 2010-04-22
 4月26日即将来临,这也是一年一度“CIH”病毒大规模爆发的日子;虽然现在“CIH”已经不是一个陌生的名词,而且一般的杀毒软件都可以识别,但是其对系统和主板的破坏性还是让我们记忆忧新的;可以说“CIH”病毒的出现,才使我们真正了解BIOS的重要性。
  现在破坏主板BIOS,已经不单纯是“CIH”的专利了;如:一种名为Win32.Kriz的病毒,该病毒发作时不仅会破坏所有驱动器中的数据,并且还会象 CIH一样破坏BIOS里的内容,使系统无法启动。所以在4月26日“这个有纪念意义日子”之前,我们再老话新谈,谈一下BIOS的防护。
  即然说到BIOS防护,那么,我们应先谈一下BIOS文件和BIOS的载体(BIOS芯片)。
  BIOS(Basic Input Output System英文缩写)即基本输入/输出系统,是连接操作系统和硬件之间的桥梁,它为计算机提供最低级的、最直接的硬件控制,计算机的原始操作都是依照固化在BIOS里的内容(指令)来完成的。平时这一段程序存放在一个不需要电源的存储器(芯片)中,这就是平时所说的BIOS。

  BIOS文件也可以说一段可执行的二进制代码,其分为BOOT启动模块、SYSTEM系统模块和功能模块。其中SYSTEM模块和功能模块为压缩模块,运行时由BOOT启动模块将其解压。BIOS文件平时存放在主板上的ROM芯片中,即BIOS芯片。
  BIOS芯片可分为EPROM、EEPROM和FLASH ROM(3.3V HUB芯片(也属于FLASH ROM)。目前主板大多采用FLASH ROM芯片。其芯片为单电压工作模式,即工作和编程全为5V电压,读写速度更快,更可靠,而且为便携式设备的在线操作提供了极大的便利;但也就是其便利的编程模式,也留下了容易被破坏的庇端。
  CIH等病毒也正是利用FLASH ROM芯片的可编程模式,而将一些垃圾字节写入BIOS芯片中,造成BIOS文件的不完整性,而造成主板无法启动。
  了解了BIOS文件和BIOS如何被破坏的原因,我们就应从BIOS文件和BIOS芯片两方面来谈一下BIOS的病毒防护。
  一、做好主板BIOS的备份
  每一款主板都有自己相对应的BIOS文件,而且不同厂家相同芯片组的主板,其BIOS的可互用性几乎为零,因此将主板BIOS作一备份,是极其重要的;特别是非主流、非大众化的杂牌主板尤为重要。

  BIOS备份使用其主板的刷新程序即可进行,由于BIOS基本可分为AMI、AWARD和PHOENIX三种类型,因此不同类型的BIOS,所使用的刷新程序也不相同。在进行BIOS备份前,一定要分辨BIOS的类型,以便采用相应的刷新程序。辨别BIOS的类型,有多种方式,本文介绍一种最简单的,即BIOS ID分辨;由于AMI和AWARD两种类型的BIOS ID格式大不相同,因此我们可以很方便的分辨。BIOS ID加电开机时屏幕左下角即是。(AWARD BIOS ID格式:07/06/2000-i440BX-8671-2A69KG0EC-00 AMI BIOS ID格式:51-0102-005123-00111111-101094-AMIS123-P),当然你的主板的ID内容可能与此不同,但是其格式却是一致的。还有一种简单的方式,即开机时按“DEL键”进入CMOS设置,在CMOS设置主界面中也可分辨。

  确定了BIOS的类型后,就可以选用相应的刷新程序进行备份了,只要运行刷新程序,在其界面中进行操作即可。由于刷新备份网站已经介绍多次了,因此不再叙述,如不十分了解,请浏览本网站的AWARD BIOS刷新备份过程 AMI BIOS刷新备份过程

  因只是备份BIOS,因此我们还可以使用刷新程序所提供的相应参数,方便进行备份。首先进入纯DOS环境,纯DOS环境,可用不加任何配置文件的启动盘获得,或使用WIN98的用户开机进按F8键,出现启动选择菜单时选第六项(Safe Mode Command Prompt Only模式)即可进行纯DOS环境;由于目前使用2000或XP的用户增加,由于操作系统已经丢弃DOS,因此如你安装的为WIN2000-XP操作系统,请从本网站上载相应的启动盘制作程序,来制作一张DOS启动盘(或参考文章下部,WIN环境下刷新工具)。在纯DOS环境,AWARD BIOS使用(awdflash /sy/pn bios.bin回车即可;其中 /sy为备份/pn为不刷新;bios.bin为备份文件名,可任意。注意DOS命令的格式,即命令名与参数之间一定要有空格分开即awdflash空格/sy/pn空格 bios.bin)AMI BIOS使用(Amiflash /s bios.bin)。也可将此命令行作一批处理文件,将刷新程序和批处理文件拷贝到软盘或硬盘同一目录下,这样,在软盘上或硬盘上键入制作批处理文件的文件名,回车即可保存。批处理文件可用文本编程程序制作,如使用WIN自带的EDIT文件,点击开始-运行-输入EDIT-确定,在出现的界面中输入awdflash /sy/pn bios.bin,使用鼠标点击FILE,选择SAVE as,选择保存的路径和文件名,确定即可。也可在DOS环境下使用行编辑命令如图5所示,使用+F6存盘保存即可。如想开机时,使用软驱自动备份BIOS文件,可将批处理文件名改为Autoexec.bat,将批处理文件和刷新程序拷贝到DOS启动软盘上,使用此软盘启动机器即可自动备份。 

  如你使用WIN2000或XP操作系统,也可从本网站下载WIN环境下刷新程序,来备分BIOS文件,此程序为AWARD公司提供的公版WIN环境刷新程序。请浏览本网站WINFLASH相关内容

  有了BIOS文件的备份,当BIOS损坏时,就可使用此文件进行恢复了。
  二、使用CIH病毒免疫程序
  
“CIH终身免疫程序”是由金山公司自行研制开发的一个防病毒辅助工具,它的防范原理非常简单,就是先给电脑注入“抗体”。以最流行的“CIH V1.2”为例,它驻入内存,感染电脑之前会首先检测电脑中是否已有了“CIH病毒”(通过对电脑中的某个寄存器数值进行判断),如果有,就不会再次感染。因此,免疫程序在启动电脑的时候,假冒“CIH”进入(抢先改变“CIH”所判断的寄存器中的数值),使“CIH病毒”误认为电脑中已经存在“CIH病毒”,从而不再进行感染,达到了免疫的效果。免疫程序长期驻留电脑,“CIH病毒”就无法实现攻击和破坏。

  “CIH病毒”是工作在Ring0的部分代码,即为“CIH”判断自身是否已经进驻内存的指令,也就是说,“CIH病毒”在感染时会先通过对寄存器数值判断自身是否存在,如果不存在就会立即进驻内存,感染电脑。

  金山毒霸的“CIH终身免疫程序”就是根据这个原理完成的,每次启动电脑时,它都会抢在系统启动前,修改系统寄存器中的值,就是CIH启动时检查的寄存器,使“CIH”误认为自己已经进驻内存而不再感染电脑,从而保持系统的安全。换句话来说就是使用这个程序后,“CIH”将不会再在这个系统内起到任何的作用,用户可以安全地使用电脑,而不用天天惦记着防范“CIH”。

  “CIH终身免疫程序”是一个Windows下的程序,用户只要用鼠标双击程序图标就可以安装使用。一般它会有三个状态:一是当用户没有安装“CIH终身免疫程序”时,它需要提示用户安装,并引导用户完成安装过程;二是当用户已经安装“CIH终身免疫程序”时,它需要提示用户,已经安装,无需重复安装;三是当用户的电脑已经感染了“CIH病毒”时,它需要提示用户先清除病毒然后再安装“免疫程序”。

  需要说明的一点是:如果用户重新安装Windows系统后,一定要重新安装“CIH终身免疫程序”,否则这个免疫程序当然就不再生效了。

需要这个软件的朋友,请到我主页的程序下载中下载,文件名为anticih(34K)
  三、打开BIOS芯片的升级跳线
   如果主板BIOS采用的是28F系列的EEPROM芯片,则主板上一般有一个升级跳线,该跳线控制VPP(12V)编程电压的有无。在新出厂的主板上,其默认值为“升级”状态,这样根本起不到防病毒的作用,仔细观察并确认一下,赶快把它调到“保护”状态。
  有些主板上,直接把EEPROM芯片的Vpp编程电压脚与+12V电压相连了,这时可以做些小手术,强制其断开。具体方法是,拨出BIOS芯片,将1脚向内侧轻轻弯折(注意不要使管脚齐根折断),重新将芯片插入插座,使第1脚和主板电路不接触,这样,CIH之类的病毒就无法对BIOS进行修改了(同时也无法升级了)。不过这种方法只适用于28F系列的BIOS芯片,对29C系列的芯片不起作用。
  此外,有些主板中的CMOS设置,有相关的防写选项,开机时点击“DEL”进入CMOS选项菜单,检查(Advanced Chipsetkh芯片设置中是否有 Flash Firmware Hub选项,如有请设置为:“Disable”),然后保存即可重新开机即可。
  四、自己动手屏蔽BIOS芯片的“写”管脚
  现在主板上用的BIOS芯片,尽管容量有1M、2M和4M之分,然而不论多大容量的芯片,都有一些共性,即芯片大多为32脚的DIP封装,它们的管脚排列、功能、功耗基本上一致。不同类型芯片的不同之处是芯片的写入电压不同,有些写入电压是12V(28F系列),有些是5V的(29C系列)。除此以外,芯片的写操作时序是相同的,即只有当WE#脚(31脚,写入允许脚)从高电平变成低电平时,一个字节的数据才能写入到芯片中去。根据此原理,我们只要增加一个电阻,就可以在计算机遭受CIH病毒的攻击时,使硬件免受于损坏。具体操作是,拨出BIOS芯片,将31脚向内侧弯折,找一个10K的电阻,电阻的一端焊接到芯片的31脚,另一端同+5V电源(32脚)焊接到一起,重新将芯片插入管座。由于31脚同电路脱离了联系,WE#脚一直处于高电平,即处于“读”状态,不论是病毒还是误操作,都不会对芯片内的数据进行改写,这样,才能实现真正意义上BIOS的保护。该操作对28、29系列的芯片都有效,但对Intel 8XX系列主板上使用的HUB BIOS芯片无效。(为了防止对芯片造成操作,请使用BIOS管座修改)
  五、制作一片BIOS备份芯片,有备无患
  如果手里有一块备份的BIOS芯片,是不是心里会踏实很多?你可以找一片和主板相同容量的BIOS芯片,借助本文后面介绍的热插拔法制作一片BIOS硬备份。当然,你也可以让当地的主板维修部门,使用BIOS编程器,把主板BIOS文件写入到一片价格很低的“原始”EPROM芯片中,这种芯片任何病毒也破坏不了,在平时的使用中会比FLASH ROM更加可靠,其后遗症是同时你也不能升级了。
  总之,只要我们平时注意备份BIOS文件,及时使用高版本杀毒程序清除病毒,病毒又能耐我何?

    本站是提供个人知识管理的网络存储空间,所有内容均由用户发布,不代表本站观点。请注意甄别内容中的联系方式、诱导购买等信息,谨防诈骗。如发现有害或侵权内容,请点击一键举报。
    转藏 分享 献花(0

    0条评论

    发表

    请遵守用户 评论公约

    类似文章 更多