CN101046752A - 在病毒攻击时引导备选mbr的系统和方法 - Google Patents

Abstract

在硬盘驱动器上的被病毒感染的MBR可能阻止引导的情况下，可以使用隐藏受保护区域中的服务MBR引导服务O.S.，然后可以使用同样也是在隐藏受保护区域中的先前备份的MBR替代服务MBR，来安装任何缺少的分区。

Description

在病毒攻击时引导备选MBR的系统和方法

技术领域

本发明总体上涉及引导计算机中的操作系统。

背景技术

当打开计算机时，调用存储在计算机非易失性固态存储器中的例如基本输入输出系统(BIOS)的引导装入程序，从而开始“引导”过程，其中进行各种初始化的工作。在这些初始化工作中最重要的是将操作系统从计算机的磁盘存储器上复制到通常是计算机的易失性固态存储器上，用于当使用计算机时计算机的处理器执行操作系统。当关闭计算机或当计算机“重引导”时，存储器中的操作系统被刷新。通过从相对快的存储器而不是从磁盘上执行操作系统，加速了计算机操作。

引导中基本的工具是主引导记录(MBR)，通常在引导过程早期BIOS从辅助存储器访问MBR。在当前实施中，MBR可以存储在硬盘驱动器的前63个扇区，分区引导记录(PBR)存储在后续磁盘扇区中。MBR包含BIOS必须知道从而完成引导的各种O.S.数据的磁盘位置记录，包括包含磁盘上数据分布的分区表。分区表可以具有例如4个分区的空间，每个条目包括分区大小、分区是引导分区时的标记符、以及定义文件系统的类型。

本发明认识到可能设计了恶意的病毒将磁盘的前63个扇区清空或者毁坏MBR从而阻止引导。本发明进一步认识到虽然能够将MBR备份到外部存储器中，但恢复MBR需要定位外部存储器和从外部存储器下载信息，这需要时间，并进一步取决于用户记得备份MBR的频率，外部存储的拷贝可能会过时。考虑到上述关键性的认识，由此提供本发明。

发明内容

计算机介质存储逻辑，该逻辑包括接收引导中断信号、作为响应使用服务主引导记录(MBR)覆盖当前MBR。服务MBR用于引导服务操作系统，然后由先前备份的MBR替代。

如果需要，在有的实施中，逻辑能够包括当使用服务MBR时访问先前备份的MBR从而安装任何没有安装的分区。服务MBR和先前备分的MBR可以存储在辅助存储器中的隐藏分区区域(HPA)中。

在非限制实施中，逻辑能够包括在用服务MBR覆盖当前MBR之前，备份当前MBR。只有首先确定MBR备份表有效时才备份当前MBR。同时，只有首先确定服务MBR有效时才用服务MBR覆盖当前MBR。

在下面描述的有的实施中，先前备份的MBR可以是多个先前备份的MBR之一，先前备份的MBR存储在辅助存储器的HPA中。当前主引导记录通过以当前主引导记录覆盖先前备份的主引导记录中最早的一个而变化时，备份当前主引导记录。当前主引导记录中的分区表变化时，可以例如修改服务主引导记录。

另一方面，计算机系统包括例如但不限于BIOS的引导装入程序、例如但不限于硬盘驱动器的辅助存储器，其存储用户操作系统(UOS)和服务操作系统(SOS)。能够提供主存储器，引导装入程序通过接入当前主引导记录(MBR)将操作系统从辅助存储器装入主存储器从而执行引导序列。引导装入程序响应于引导中断信号，使用存储器辅助存储器中的服务MBR替代当前MBR，装入SOS，使用辅助存储器上先前备份的MBR替代服务MBR，然后使用先前备份的MBR去安装服务MBR没有安装的分区。

另一方面，计算机系统包括使用存储在辅助存储器的隐藏保护区域的服务主引导记录替代感染了病毒的当前主引导记录的装置；使用服务主引导记录将至少一个分区安装到主存储器的装置；使用先前备份的主引导记录覆盖服务主引导记录的装置；和使用先前备份的主引导记录安装使用服务主引导记录时没有安装的至少一个分区的装置。

参考附图能够最佳地理解本发明的细节，包括结构和操作，其中相似附图标记表示相似部分。

附图说明

图1是描述本发明的非限制架构的框图；和

图2是描述引导至服务分区的逻辑的非限制实施方式的流程图；

图3是描述将主引导记录(MBR)备份至例如硬盘的辅助存储器上的逻辑的非限制实施方式的流程图。

具体实施方式

首先参照图1，其显示了通常由10标记的实施了本发明的数据处理系统的高层次框图。一个非限制实施例中的系统10是个人计算机或膝上型电脑。系统10包括处理器12，可以是但不限于联想公司的PowerPC处理器(或由例如Intel或AMD制造业界常见的其它处理器)。在通电时，处理器12执行可以存储在主计算机存储器16中的例如基本输入/输出系统(BIOS)程序14的引导装入程序，将例如硬盘驱动器或闪存或其它辅助存储器的辅助数据存储器20中的主操作系统18(例如Windows XP(注册商标))装入存储器16中。如图1所示，主操作系统18可以位于辅助数据存储器20的标记为“C区”的分区中，该分区紧邻具有主引导记录(MBR)和理想的是分区引导记录(PBR)的初始扇区组21之后。MBR可以包括具有多达四个分区的空间的分区表，尽管图1为了简洁只显示了一个分区(“C”区)。

在图1所示的非限制架构中，在称为“普通”锁点22上方的是隐藏受保护区域(HPA)24，HPA 24包含根据下述逻辑获得的MBR备份和列出备份的MBR备份表，该表存储在引导器(例如BIOS)知道的位置。“普通”锁点22可以由例如系统制造者建立，系统制造者在锁点22建立SetMax指令，从而一旦发生整个系统启动，具有MBR备份的区域24就会显示为在辅助存储器20上隐藏或不存在，保护了区域24(以及图1中区域24之上的区域)不受破坏、病毒感染或任何其它会影响系统性能的伤害的影响。相应地，SetMax指令包括代表普通锁点22的位置边界的任何适当格式的数据，例如逻辑块地址(LBA)、扇区/同位标磁道组/报头等，从而当设置SetMax时，SetMax指令有效定义的普通锁点22之外的磁盘区域就会被截取，即例如当用户操作系统查询实现为HDD存储内容的存储器时，被截取的区域就不被辅助存储器列为存储器的一部分。

在MBR备份的区域24之上可以是一或多个持有增加备份的区域26，即在给定时间段内增加到原始图象上的新信息的备份。如图1所示，每个增加点可以通俗地称为“视窗阴影点”。在辅助存储器20上的最高普通备份锁点28之上可以是基础备份区域30，其保持辅助存储器20上提供的应用的原始图象、操作系统等，在基础恢复解锁点32之上可以是服务操作系统(SOS)分区34，其可保持例如Windows PE(注册商标)的SOS。如果需要，例如磁盘操作系统(DOS)信息的隐藏分区信息可以存储在SOS区域34(理想的)之上的区域36中。

理解了上述非限制架构，现在参考图2，图2显示了如果MBR扇区组21中的MBR已经被病毒破坏时能够存储在计算机介质(例如但不限于BIOS14或主存储器16)并且能够由例如BIOS实施完成引导的逻辑。从框38开始，例如中断引导流的用户接收初始扇区组21中的MBR被破坏的电位指示。用户可能中断引导的理由之一是用户可能接收到辅助存储器被破坏的计算机消息。

进行到判断菱形框40，理想的是能够确定MBR备份区域24中的备份表是否有效。可以通过比较表的散列(hash)和先前推导得到并存储的散列来实现，这将会在下文中参考图3讨论。

如果在判断菱形框40的测试失败了，返回错误并可以进行正确动作。正确动作可以是如下重建有效MBR。使用将会在下面进一步说明的图3的逻辑得到的结构，可以访问分区表中分区的开始逻辑框地址(LBA)和使用LBA访问分区。读取分区确定其是否是具有有效分区报头分区引导记录(PBR)，从而确保该分区是分区表中指示的那个。指向位置处找到的数据也能够和该分区最近备份的数据比较，如果三方都吻合，可以认为确认了正确分区开始点并且“正确的”MBR也相应地被重建。

当在判断菱形框40的测试成功时，如果MBR没有被破坏并且用户由于其它原因中断引导，在框42备份正在使用的MBR。然后，在判断菱形框44处可以确定存储在BIOS知道的服务分区34的位置的服务MBR是否有效。可以通过比较服务MBR的散列和先前得到并存储的散列从而完成该测试，这将会在下文中参考图3进行讨论。

如果服务MBR无效，返回错误，否则逻辑流至框46用服务MBR覆盖初始扇区组21中的当前MBR。然后在框48将服务O.S.从服务分区34引导至存储器16。服务MBR使得HPA的一部分看起来是标准分区，从而可以给其分配一个驱动器字母并且其可以引导普通(知晓的非HPA)操作系统。

继续到框50，使用MBR备份区域24中最近有效的MBR覆盖正在初始扇区组21中使用的服务MBR。如将参考图3进行说明的，可以在备份区域24备份数个(例如10个)MBR，在框50使用最近有效的一个。为了确定最近有效的MBR，检查MBR，首先检查最近一个的有效性，如果最近MBR无效(例如指示感染病毒的全零或其它格式)，然后检查下一个最近MBR，依此类推。

在框52结束，现在可以使用在框50处替代服务MBR的最近有效备份MBR安装任何使用服务MBR没有安装的分区。因而，现在认识到原始用户分区(例如4个)是通过迭代分区数安装的，即对每一个新的分区，更新MBR中的分区表，安装各个分区，然后更新下一分区表条目和安装其分区等，直到安装了所有的原始用户分区。

图3显示在框54处当例如用于检测分区表或MBR其它部分的变化的驱动器指示要更新载使用中的MBR(即载初始扇区组21中的MBR)时，输入DO循环。在判断菱形框56，例如通过确定变化是否包括例如指示病毒感染的全零的一或多个格式，确定变化是否是实际的。假设变化是实际的，在框58处BIOS对MBR备份区域24解锁，然后在框60处使用新的MBR覆盖备份区域最早的MBR。

进行到框62，更新由新备份的MBR指示的服务MBR中需要更新的任何分区表条目，然后计算并存储服务MBR的散列，用于如上所述的在图2中的判断菱形框44。同时，在框处64更新MBR备份区域24中的MBR表，以反映在框60的覆盖操作，然后计算并存储表格的散列，用于如上所述的在图2中的判断菱形框40。然后在框66锁住MBR备份区域24。

尽管详细描述了“在病毒攻击时引导备选MBR的系统和方法”，需要理解本发明只由权利要求限制。

Claims (21)

1.一种存储逻辑的计算机介质，其包括：

接收引导中断信号；

使用服务主引导记录覆盖当前主引导记录；

使用服务主引导记录引导服务操作系统；和

用先前备份的主引导记录替代服务主引导记录。

2.根据权利要求1所述的介质，其中逻辑进一步包括：

至少部分通过访问先前备份的主引导记录安装，安装在使用服务主引导记录时没有安装的任何分区。

3.根据权利要求1所述的介质，其中服务主引导记录和先前备份的主引导记录存储在辅助存储器中的隐藏分区区域中。

4.根据权利要求3所述的介质，其中逻辑进一步包括：

在用服务主引导记录覆盖当前主引导记录之前，备份当前主引导记录。

5.根据权利要求4所述的介质，其中只有首先确定主引导记录备份表有效时才备份当前主引导记录。

6.根据权利要求1所述的介质，其中只有首先确定服务主引导记录有效时才以服务主引导记录覆盖当前主引导记录。

7.根据权利要求1所述的介质，其中先前备份的主引导记录是多个先前备份的主引导记录之一，先前备份的主引导记录存储在辅助存储器的隐藏分区区域中。

8.根据权利要求7所述的介质，其中逻辑进一步包括：

如果当前主引导记录通过覆盖先前备份的主引导记录中最早的一个而变化时，备份当前主引导记录。

9.根据权利要求8所述的介质，其中逻辑进一步包括：

如果当前主引导记录中的分区表变化时，至少修改服务主引导记录。

10.一种计算机系统，其包括：

至少一个引导装入程序；

至少一个辅助存储器，用于至少存储用户操作系统和服务操作系统；和

至少一个主存储器，引导装入程序配置为至少部分通过访问当前主引导记录将操作系统从辅助存储器载入主存储器从而执行引导序列，引导装入程序至少部分响应于引导中断信号，使用辅助存储器中的服务主引导记录替代当前主引导记录、载入服务操作系统、使用辅助存储器上先前备份的主引导记录替代服务主引导记录、然后使用先前备份的主引导记录来安装任何没有安装的分区。

11.根据权利要求10所述的系统，其中服务主引导记录和先前备份的主引导记录存储在辅助存储器中的隐藏分区区域中。

12.根据权利要求10所述的系统，其中在用服务主引导记录覆盖当前主引导记录之前，备份当前主引导记录到辅助存储器。

13.根据权利要求12所述的系统，其中只有首先确定主引导记录备份表有效时才备份当前主引导记录。

14.根据权利要求10所述的系统，其中只有首先确定服务主引导记录有效时才以服务主引导记录覆盖当前主引导记录。

15.根据权利要求10所述的系统，其中先前备份的主引导记录是多个先前备份的主引导记录之一，先前备份的主引导记录存储在辅助存储器中。

16.根据权利要求15所述的系统，其中如果当前主引导记录通过以当前主引导记录覆盖先前备份的主引导记录中最早的一个而变化时，备份当前主引导记录。

17.根据权利要求16所述的系统，其中如果当前主引导记录中的分区表变化时，至少修改服务主引导记录。

18.一种计算机系统，其包括：

使用存储在辅助存储器的隐藏保护区域的服务主引导记录替代感染了病毒的当前主引导记录的装置；

使用服务主引导记录将至少一个分区安装到主存储器的装置；

使用先前备份的主引导记录覆盖服务主引导记录的装置；和

使用先前备份的主引导记录安装使用服务主引导记录时没有安装的至少一个分区的装置。

19.根据权利要求18所述的系统，其中只有首先确定服务主引导记录有效时才用服务主引导记录覆盖当前主引导记录。

20.根据权利要求19所述的系统，其中先前备份的主引导记录是多个先前备份的主引导记录之一，先前备份的主引导记录存储在辅助存储器中，如果当前主引导记录通过以当前主引导记录覆盖先前备份的主引导记录中最早的一个而变化时，备份当前主引导记录。

21.根据权利要求20所述的系统，其中如果当前主引导记录中的分区表变化时，至少修改服务主引导记录。

Images