【発明の詳細な説明】

【０００１】

【産業上の利用分野】本発明は、コンピュータウィルスとして一般に知られている外敵からコンピュータシステムを保護するための装置及び方法に関する。

【０００２】

【従来の技術】世界がさらに一層コンピュータ化されるにつれて、データ処理産業の大きな関心の一つはウィルスによるコンピュータシステムに対する攻撃の可能性である。 余り深刻でない場合であっても、コンピュータウィルスによる攻撃があった場合は、組織が通常の動作を回復する前に、データやファイルを複写又は回復する必要がある。 もっと深刻な場合には、ウィルスにより破壊されたデータ及びファイルは回復不能であり、組織の動作は永久に遮断される。 最も深刻な場合には、組織のデータベースの保全が警告なしに攻撃されて、組織は不正確なデータを用いて動作を継続し、結果として、侵害、
損失及び被害を被る ウィルス問題は、典型的なコンピュータウィルスが、生物ウィルスと同様に、自己複製能力を有しており、ネットワークの接続を介して感染可能であるために、増大しつつある。 ウィルスはそれ自体がアプリケーションプログラム及び／又はシステムプログラムに付着する。 さらに、比較的無害なウィルスは、（コンピュータシステム内に常駐している間に変身して）「突然変異」し、破壊的なウィルスになる。

【０００３】ウィルスがコンピュータシステムを攻撃する一つの一般的な方法は、ウィルスがシステムの動作及びＩ／Ｏ装置とやり取り可能なように、システム内の割り込みベクタを変更させることによる。 したがって、従来の抗ウィルス方法は、ウィルスによる割り込みベクタの変更の試みを検出可能なように、割り込みベクタと割り込みプログラム指令にフックを設定することである。

【０００４】他の従来の抗ウィルス方法においては、システム内で実行されるプログラムが、最初に、プログラムが変更されたかどうかを検出するために自己診断を行う。 プログラムが変更され、それが感染であった場合には、システム内のプログラムの実行が禁止される。

【０００５】他の従来の抗ウィルス方法においては、感染しない状態の各ぷろぐらむの所定の特性（例えば、サムチェック）が格納される。 プログラムが実行される前に、これらの特性が再生されて、対応する格納された相手側と比較され、変更されたかどうかが判定される。

【０００６】

【発明が解決しようとする課題】しかし、これらの従来の方法は３つの理由から満足のいくものではない。 第１
に、これらの従来の方法の動作は、コンピュータのオペレーティングシステム（例えば、ＤＯＳ）の支援を必要とする。 オペレーティングシステムは、コンピュータシステムが完全にブートした後にのみ機能可能なので、これらの従来の方法は、コンピュータシステムのブート時、例えば、オペレーティングシステムの組み込み前に攻撃をしかけるウィルスからコンピュータを守ることができない。 第２に、従来の方法は、オペレーティングシステムをバイパスし、ハードウェア、又はＢＩＯＳ上で直接動作するウィルスを防止することはできない。 第３
に、現存の抗ウィルスシステムは、オペレーティングシステムのモジュール（例えば、ＩＯ．ＳＹＳ、ＭＳＤＯ
Ｓ． ＳＹＳやＣＯＭＭＡＮＤ． ＣＯＭ）に常駐するウィルスを防止することができない。

【０００７】従って、ウィルスがコンピュータシステムに入ることを防止するだけではなく、すでにコンピュータシステムに常駐するウィルスを除去し不能化することにより、コンピュータシステムをウィルスから保護するための装置及び方法に対する必要性が存在する。 さらに、また、システムのブートアップ時にウィルスから保護する必要性が存在する。

【０００８】

【課題を解決するための手段】ウィルスからコンピュータシステムを保護するための本発明の好適な実施例は、
システムのブート前にデータをコンピュータシステムの記憶装置に格納することを禁止するための手段と、すでにシステム内にロードされたプログラムの保全性を検査するための手段と、さらに、検査手段に応答して、システム内にロードされたプログラムがウィルスに感染していない場合にデータの記憶装置への格納を可能化するための手段と、から構成される。

【０００９】さらに、本発明の好適な実施例は、コンピュータシステム内にロードされて実行されるプログラムがウィルスに感染していないことを確保するための手段と、システム内に常駐している可能性のあるウィルスを除去するための手段と、から構成される。

【００１０】

【実施例】図１は、本発明の好適な実施例を含む典型的なコンピュータシステム１００のブロック図である。 コンピュータシステム１００は、バス１１を介して、ＲＡ
Ｍ１２やＲＯＭ１３や複数のＩ／Ｏ装置などの他の附属装置と相互動作する。 これらのＩ／Ｏ装置１４は、データ記憶装置（例えば、フロッピーディスクやハードディスク）、キーボード（図示せず）、モニタ（図示せず）
などの基本的装置を含んでいる。 Ｉ／Ｏ装置１４は、さらに、テープやＣＤ−ＲＯＭ（図示せず）のような、１
又はそれ以上の呼び出し組み込み可能な装置（任意選択）を含んでいる。

【００１１】記憶装置１４の１つは、（電源オンのような）起動時にプログラムをブートするために用いることが可能である。 このように用いられるので、このような記憶装置１４はブート装置とも呼ばれる。

【００１２】ＲＯＭ１３は、コンピュータシステム１０
０のＩ／Ｏ装置１４とインタフェース動作を実行すための基本入出力システム（ＢＩＯＳ）として一般に知られているソフトウェア指令を含んでいる。 さらに、ＲＯＭ
１３には、ブート装置からブートプログラムをロードするように動作するソフトウェアルーチンが格納されている。 ブートプログラムは、通常は、コンピュータシステム１００の電源オン時、又はシステムの初期化が必要とされる場合に、実行される。

【００１３】今日の大部分のコンピュータシステムで行われているように、Ｉ／Ｏ装置１４は割り込みを発生することにより、ＣＰＵ１０と通信を行う。 ＣＰＵは割当てられた個々の割り込みコードを介してＩ／Ｏ装置の中から割り込みを識別する。 ＣＰＵ１０のＩ／Ｏ装置に対する応答は、とりわけ、割り込みを発生する装置１４に依存している。 割り込みベクタは、異なる割り込み処理ルーチンにＣＰＵ１０を向けるために設けられる。 例えば、今日の多くのパーソナルコンピュータでは、２５６
の割り込みベクタが割当てられている。

【００１４】割り込みベクタは、ＢＩＯＳの実行によるコンピュータシステム１００の起動（又はブート）の間に発生される。 装置割り込みに対するＣＰＵ１００の応答は時間を経るごとに変化される必要があるので、割り込みベクタも、ＣＰＵ１０を異なる割り込み処理ルーチンに向けることが可能なように、時間を経るごとに修正する必要がある。 割り込みベクタの修正を可能にするために、割り込みベクタはコンピュータシステム１００の動作時にＲＡＭ１２内に格納される。

【００１５】効率とユーザとの親和性を増加させるために、大多数のコンピュータシステムは、典型的にはオペレーティングシステムプログラム（例えば、マイクロソフト社のディスクオペレーティングシステムであるＭＳ
ＤＯＳ）により制御される。 オペレーティングシステムは、（ＩＯ．ＳＹＳのような）基本Ｉ／Ｏ装置を駆動して、（例えば、ＭＳＤＯＳのような）他のシステム制御モジュールを制御するためのモジュールから構成される。 さらに、オペレーティングシステムは、ユーザにより入力された指令を翻訳するための（ＭＳＤＯＳのＣＯ
ＭＭＡＮＤ． ＣＯＭのような）指令インタプリタを含むことが可能である。

【００１６】図２には、コンピュータシステム１００の電源が入れられた従来の初期起動の様子が示されており（ブロック２０）、ＣＰＵ１０は通常は最初に、ＲＯＭ
１３内のＢＩＯＳの一部として格納された電源オン自己試験（ＰＯＳＴ）（ブロック２１）を実行する。 ＰＯＳ
Ｔ内に誤差がない場合には、ブートプログラムがブート装置からコンピュータシステム１００（ブロック２２）
内にロードされる。 ブートプログラムが誤差なしで実行されると、オペレーティングシステムモジュール（Ｉ
Ｏ． ＳＹＳ）がロードされる（ブロック２３）。 このオペレーティングシステムモジュールは、基本Ｉ／Ｏ装置１４のためのソフトウェアドライバである。 気温Ｉ／Ｏ
装置１４が次いで試験される（ブロック２４）。 次いで、オペレーティングシステム（ＭＳＤＯＳ．ＳＹＳ）
のコア（ブロック２５）、組み込み可能な装置に関するソフトウェアドライバ（ブロック２６）、及び指令インタプリタ（ＣＯＭＭＡＮＤ．ＣＯＭ）がロードされて、
次いで実行される。

【００１７】上述の手順の完了後に、ブーティング動作が終了したものと判断されて、コンピュータシステムは通常の動作の準備を完了する。 それから、１又はそれ以上のアプリケーションプログラムのロード及び実行を含む指令をユーザから受け取ることが可能になる。

【００１８】現在のコンピュータウィルスは、通常は、
次のように分類可能である。 すなわち、(1)ブート時間感染ウィルス、(2)プログラム感染ウィルス及び(3)システム感染ウィルスである。

【００１９】ブート時間感染ウィルスは典型的には、ブート時にブートプログラムをウィルスプログラムと置き換えることによりコンピュータシステムに影響を与えて、システムを制御する。 どのようにしてウィルスがコンピュータシステムの制御を奪うかについて説明するために、最初に通常のブーティング手順を説明される。

【００２０】コンピュータシステム１００が、（感染したフロッピーディスクをフロッピーディスク装置に挿入した場合などに）ウィルスで感染されと、ウィルスはブーティング手順の間に１又はそれ以上の（例えば、ディスク記憶割り込みベクタなどに関する）割り込みベクタを変更し、それらがウィルスプログラムを指摘するようにする。 コンピュータシステム１００はＢＩＯＳの部分としてウィルスプログラムを認める。 こうして、ウィルスプログラムは、ディスクアクセスに関する割り込み処理プロセスの制御を盗むことが可能になる。 例えば、ユーザがディスクからデータにアクセスする時に、ウィルスプログラムが自己をディスクに複写可能になる。 コンピュータは通常に動作しているように見えるが、コンピュータシステム内のディスクはすでに感染している。

【００２１】プログラム感染ウィルスは通常はアプリケーションプログラム内に常駐している。 それらは、典型的には、割り込みベクタを修正することによりアプリケーションプログラムの実行の間にコンピュータシステムを攻撃して、システムにウィルスプログラムを実行させる。

【００２２】システム感染ウィルスは通常は（ＩＯ．Ｓ
ＹＳやＭＳＤＯＳ． ＳＹＳなどの）オペレーティングシステムプログラム内に常駐している。 それらはブーティング手順時にシステムを攻撃する。

【００２３】図３は、図２に示したと同様のシステム起動プロセスの流れ図である。 しかし、プロセスは改良されて本発明を組み込んでいる。

【００２４】最初に、システムの電源が入れられて、Ｃ
ＰＵがステップ２０で開始する。 システムの電源オン時に、ＰＯＳＴ（ブロック２１）で誤りなしに実行されると、ブーティングプログラムがブーティング装置からコンピュータシステム１００に通常通りロードされる（ブロック２２）。

【００２５】本発明によれば、ブーティングプログラムがロードされて実行される前に（ブロック２３）、設定／開放スイッチ１６が記憶装置１４への書き込みを禁止するべく設定される（ブロック２１Ａ）。 換言すれば、
設定／開放スイッチ１６の設定により、記憶装置（読み出し専用）１４からのデータの取り込みだけが可能になる。

【００２６】特定の記憶装置へのデータの格納を禁止するための方法は、いくつかの方法で実行可能である。 例えば、コンピュータシステム１００のバス制御器１５はバス１１を通過する全てのＩ／Ｏ動作を画面表示するので、設定／開放スイッチ１６の設定に応答して、指定されたＩ／Ｏ装置１４に対する書き込み動作を拒絶することが可能である。

【００２７】代わりに、設定／開放スイッチ１６'をＲ
ＯＭ１３に格納されたＢＩＯＳに常駐させることが可能である。 全てのＩ／Ｏ動作はＢＩＯＳの実行ににより行われるので、ＢＩＯＳは、設定／開放スイッチ１６'の設定によりＢＩＯＳが効果的にある装置への書き込み指令を無視するように、実行可能である。

【００２８】さらに、設定／開放スイッチ１６の設定は、（揮発性記憶装置に比較して）、不揮発性スイッチ１４に対する書き込みのみを禁止すべきである。 これらの装置の内容の保全性のみが保持される必要があるからである。

【００２９】設定／開放スイッチ１６を設定することにより、ウィルスはブート時に記憶装置１４内のデータ／
プログラムを攻撃することができなくなる。

【００３０】流れ図は設定／開放スイッチ１６の設定がコンピュータシステム１００のブート前に正しいことを示しているが、スイッチ１６はシステムのブート前のいかなる時点でも（書き込み動作を禁止するべく）設定することが可能である点は、当業者であれば理解できよう。 例えば、設定／開放をシステムの電源オン信号により設定可能である。

【００３１】設定／開放スイッチ１６が設定された後に、コンピュータシステム１００は、ブートプログラムと基本デバイスに関するロードと実行を開始可能になる（ブロック２２及び２３）。

【００３２】これらのプログラムがロードされて実行された後に、コンピュータシステム１００は、コンピュータがウィルスにより攻撃されたかどうかを検査するであろう（ブロック２３Ａ）。 これは、ＲＡＭ１２内にすでにロードされた割り込みベクタを対応する通常の（感染していない）値と比較することにより行われる。 割り込みベクタの通常の（感染していない）値は記憶装置１４
内のどれかに格納可能である。

【００３３】代わりに、割り込みベクタのデフォルト値は通常はＢＩＯＳのアドレス範囲を指摘しているため、
比較は、ベクタ値がかかる好適な範囲内にあるかどうかを検査するだけである。

【００３４】費用対効果の関係次第で、１つだけの又は特定の組の割り込みベクタがチェックされるべきである。 例えば、大部分のブート時感染ウィルスはモニタの割り込みベクタを使用するので、本発明の目的のためには、かかる割り込みベクタが変更されたかをチェックするだけで十分である場合もある。

【００３５】割り込みベクタの値が変更された場合には、コンピュータシステム１００は、ブーティングプログラムがウィルスに感染していることをユーザに知らせる信号を発生するような、適切な救済行動を起こす（ブロック２）。 本発明の好適な実施例によれば、ウィルスインディケータ１７は不揮発性記憶装置の１つの中に置かれている。 システムがブーティングプログラムを発見すると、ウィルスインディケータが、ブーティング装置が感染したことをユーザに報告するように設定される。
ウィルスインディケータ１７もまた不揮発性記憶装置内に格納される。

【００３６】割り込みベクタが汚染されていない場合には、コンピュータシステムの電源オン動作がシステムドライバ（ＭＳＤＯＳ．ＳＹＳ）（ブロック２５）及び組み込み可能なデバイスドライバ（ブロック２６）をロードして継続される。 しかし、好適な実施例においては、
このような各プログラムは、ウィルスが常駐していないと判定された後（ブロック２４Ａ及び２５Ａ）にのみ、
ロードされる。

【００３７】別の方法として、感染されていない状態のブーティングプログラムのコピーをコンピュータシステム１００内の、ＲＯＭ１３又は不揮発性記憶装置１４のいずれかに格納することも可能である。 このコピーはブーティング前にブーティング装置からのブートプログラムを比較するために用いられる。

【００３８】好適な実施例によれば、いくつかのプログラムモジュール（ＭＳＤＯＳ．ＳＹＳ、組み込み可能なデバイスドライバ、及びＣＯＭＭＡＮＤ．ＣＯＭ）はロードされることが必要であるが、これらがロードされる前にこれらのプログラムの安全性をチェックするための手段が設けられているので、設定／開放スイッチ１６又は１６'は、ＲＡＭ１２内の割り込みベクタが変更されていない場合には、この時点でリセット可能である。 かかる手段が設けられていない場合には、設定／開放スイッチ１６又は１６'は、ステップ２６Ｃの電源オンプロセスの終わり近くにリセット可能である。

【００３９】好適な実施例では、感染されていない状態のシステムモジュール（ＭＳＤＯＳ．ＳＹＳ及び組み込み可能なデバイスドライバ）のそれぞれのチェックサムが格納される。 これらのモジュールの各々がロードされて実行される前に、対応するチェックサムが計算されて、格納された値と比較されて、オペレーティングシステムモジュールが感染されたかどうかが判定される。 比較により変更がないことが示されると、システムはプログラムをロードして通常の手続を進める。 そうでない場合には、警告信号とウィルスインディケータ１７が、ユーザにブーティング装置の交換を報告するように設定される。

【００４０】電源オン手順は、ここでほとんど完了し、
ＣＰＵ１０の作動準備が完了する。 しかし、システムをファイルタイプ（又は、プログラムタイプ）ウィルスから保護するために、検証プログラムが、プログラムタイプウィルスがコンピュータシステム内に入り込むのを防止するために好適な環境に組み込まれる。 （ブロック２
６Ａ及び２６Ｂ）。 検証プログラムは、ユーザがシステムに感染されてない状態の各アプリケーションプログラムに固有の特性（例えば、チェックサム）を与えることを要求する。

【００４１】システムは、ステップ２６Ｂにおいて与えれた特性に対してアプリケーションプログラムの特性をチェックする。 特性が整合した場合にはプログラムの実行が許可される。

【００４２】本発明の別の好適な実施例によれば、ウィルス除去手段が設けられる。 ウィルスクリアリングプログラムは上述のステップで検出されたウィルスを除去する。 ウィルス除去手段は、ブーティングプログラム、オペレーティングシステムモジュール及び組み込み可能なデバイスドライバの良好なコピーを格納する。 ウィルスが前述のブーティングプロセスで検出されると、プログラムの良好なコピーが不揮発性読み出し専用記憶装置から、前のブーティングプロセスで用いられた不良なコピー上に複写される。 上述のウィルス検出方法の１つは、
検証プログラム及びウィルス除去プログラム内のウィルスの存在を検出するために用いることも可能である。

【００４３】

【発明の効果】本発明の保護システムによれば、ブーティング手順の間におけるウィルス保護の不利益を減じることが可能である。 保護システムはブーティング手順を制御して、正確にかつ効果的にシステムをコンピュータウィルスの汚染から防止可能である。 さらに、保護システムの好適な実施例によれば、プログラムタイプのウィルスによる被害を防止し可能であり、さらに、ウィルス清浄手段が設けられる。 このような効果は従来の保護システムによって得ることができない。 このように、本発明の保護システムによればコンピュータウィルスに起因する損害を広範囲に保護可能である。

【００４４】もちろん、上述の記載は本発明の好適な実施例に過ぎず、各種の変更及び修正を本発明の真の精神及び広い観点を離れることなく実施することが可能である。

【図面の簡単な説明】

【図１】本発明が組み込まれるコンピュータシステムのブロック図である。

【図２】コンピュータシステムの典型的な電源オン動作の流れ図である。

【図３】本発明のウィルス防止システムの好適な実施例のブロック図である。

【符号の説明】

１００ コンピュータシステム １０ ＣＰＵ １１ バス １２ ＲＡＭ １３ ＲＯＭ １４ Ｉ／Ｏ装置 １５ バス制御器 １６、１６' 設定／開放スイッチ １７ ウィルスインディケータ

フロントページの続き (51)Int.Cl. ⁵識別記号 庁内整理番号 ＦＩ 技術表示箇所 Ｇ０６Ｆ 11/00 ３５０ Ｍ