[发明专利]一种检测系统引导区异常的方法及装置在审
| 申请号: | 202110031727.6 | 申请日: | 2021-01-11 |
| 公开(公告)号: | CN112733143A | 公开(公告)日: | 2021-04-30 |
| 发明(设计)人: | 代鹏 | 申请(专利权)人: | 安芯网盾(北京)科技有限公司 |
| 主分类号: | G06F21/56 | 分类号: | G06F21/56;G06F9/4401 |
| 代理公司: | 北京中创云知识产权代理事务所(普通合伙) 11837 | 代理人: | 徐辉 |
| 地址: | 100094 北京市海淀区西北旺镇*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 检测 系统 引导 异常 方法 装置 | ||
本发明提供一种检测系统引导区异常的方法及装置,所述方法包括:步骤S1,当前操作系统通过BIOS启动时,获取实模式下可用物理内存大小,将所述可用物理内存大小作为第一值;步骤S2,根据当前操作系统的版本获取该版本对应的实模式可访问的正常物理内存大小,将所述正常物理内存大小作为第二值;步骤S3,比较所述第一值和所述第二值的大小,如果比较结果不一致,则检测到当前操作系统引导区异常。根据本发明的方案,可以更全面地检测系统引导区异常。
技术领域
本发明涉及计算机信息安全领域,尤其涉及一种检测系统引导区异常的方法及装置。
背景技术
现有的计算机操作系统在通过BIOS启动时,可能出现系统引导区代码被恶意修改的情况,在这种情况下,操作系统启动速度可能会变慢,甚至无法启动。在一些极端的情况下,操作系统可能被恶意劫持,给用户带来巨大的损失。
现有的检测系统引导区异常的方法通常采用杀毒软件扫描病毒的方式,而杀毒软件通常是基于文件扫描的,但是系统引导区并不存在文件,因此采用杀毒软件对其进行扫描的扫描效果不好,无法有效检测系统引导区异常。
发明内容
为解决上述技术问题,本发明提出了一种检测系统引导区异常的方法及装置,用以解决现有技术无法有效检测系统引导区异常的技术问题。
根据本发明的第一方面,提供一种检测系统引导区异常的方法,所述方法包括以下步骤:
步骤S1,当前操作系统通过BIOS启动时,获取实模式下可用物理内存大小,将所述可用物理内存大小作为第一值;
步骤S2,根据当前操作系统的版本获取该版本对应的实模式可访问的正常物理内存大小,将所述正常物理内存大小作为第二值;
步骤S3,比较所述第一值和所述第二值的大小,如果比较结果不一致,则检测到当前系统引导区异常。
进一步地,在所述步骤S3所述比较所述第一值和所述第二值的大小,如果比较结果不一致的步骤之后,进一步包括步骤S4,获取当前系统引导区代码特征,将所述代码特征作为第一数据特征;
步骤S5,收集系统引导区的代码特征的白名单特征库;
步骤S6,将所述第一数据特征和所述白名单特征库进行匹配,如果未匹配上,则检测到当前操作系统引导区异常。
进一步地,所述步骤S1中,所述获取实模式下可用物理内存大小,具体包括:读取物理内存地址0x413的值。
进一步地,检测到当前系统引导区异常之后,上报风险。
根据本发明的第二方面,提供一种检测系统引导区异常的方法,所述方法包括以下步骤:
步骤S1,当前操作系统通过BIOS启动时,获取当前系统引导区的代码特征,将所述代码特征作为第一数据特征;
步骤S2,收集系统引导区的代码特征的白名单特征库;
步骤S3,将所述第一数据特征和所述白名单特征库进行匹配,如果未匹配上,则检测到当前系统引导区异常。
进一步地,在所述步骤S3所述将所述第一数据特征和所述白名单特征库进行匹配,如果未匹配上的步骤之后,进一步包括步骤S4,获取实模式下可用物理内存大小,将所述可用物理内存大小作为第一值;
步骤S5,根据当前操作系统的版本获取该版本对应的实模式可访问的正常物理内存大小,将所述正常物理内存大小作为第二值;
步骤S6,比较所述第一值和所述第二值的大小,如果比较结果不一致,则检测到当前系统引导区异常。
根据本发明第三方面,提供一种检测系统引导区异常的装置,所述装置包括:
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于安芯网盾(北京)科技有限公司,未经安芯网盾(北京)科技有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202110031727.6/2.html,转载请声明来源钻瓜专利网。
