如今,网上流传着许多恶意程序,这些恶意程序一般都有解决办法,但对于网络新手来说,如果不知道解法,那就只有受其摆布,任其恣意破坏了。甚至于有硬盘被格式化或不得不重装系统的惨剧发生。因此有必要为大家介绍一下流行恶作剧程序的表现症状和清除方法,使大家对它们能有所防范,减少悲剧的发生。
十、江民炸弹
江 民炸弹是个更厉害更恐怖的恶意程序,是我见过的最狠毒的硬盘炸弹之一。为什么叫“江 民”炸弹,我想大家也都知道吧?毕竟用过KV系列软件的人有很多,如果当年你曾中过KV杀毒软件的逻辑炸弹,那么对这个“江 民”炸弹你也不会陌生——会有熟悉的感觉哦^_^!
软件解压缩后有4个文件,一个是说明文件readme.exe,一个是制作解锁盘用的文件rescue.com,还有两个文件就是江 民炸弹了。它们的名字分别为Jmbs.arj、JMBOS. zip,其实它们都是一个文件压缩而成,只不过扩展名不同而已。如果你把它们解压会看到jmbs.exe文件,大小为1809字节。这个jmbs.exe就是江 民炸弹了。如果你不小心运行了它,机器的硬盘将会被死锁住,无论你用软驱还是光驱,都不能启动计算机,硬盘和报废了没什么区别!如果不懂得解法,基本上就只有买硬盘了!哈哈,恭喜恭喜,可以升级了(谁拿臭鸡蛋丢我)!
软件原理:计算机在引导DOS系统时将会搜索所有逻辑盘的顺序,当DOS被引导时,首先要去找主引导扇区的分区表信息,位于硬盘的零头零柱面的第一个扇区的OBEH地址开始的地方,当分区信息开始的地方为80H时表示是主引导分区,其他的为扩展分区,主引导分区被定义为逻辑盘C盘,然后查找扩展分区的逻辑盘,被定义为D盘,以此类推找到E,F,G.....“逻辑锁”就是在此下手,修改了正常的主引导分区记录将扩展分区的第一个逻辑盘指向自己,DOS在启动时查找到第一个逻辑盘后,查找下个逻辑盘总是找到是自己,这样一来就形成了死循环,这就是使用软驱,光驱,双硬盘都不能正常启动的原因。实际上这“逻辑锁”只是利用了DOS在启动时的一个小小缺陷,便令不少高手都束手无策。知道了“逻辑锁”的“上锁”原理,要解锁也就比较容易了。
解决办法:
方法一:把rescue.exe拷贝到一张空白的1.44MB软盘上,插入软驱,然后运行。显示“OK”之类的提示信息后,你就有了一张江 民炸弹的解锁盘,如果你发现里面一个文件也没有,不要惊讶,你没有做错什么,就是这个样子的。快试试吧,用这张恢复盘启动机子,如果出现unlock的字样,那就恭喜你,成功地解锁了!想当年,我用这张解锁盘给朋友解锁,可没少美餐啊!她们是怎么中的就不用我说了吧,嘻嘻^_^!
方法二:修改DOS启动文件
首先准备一张DOS6.22的系统盘,带上debug、pctools5.0、fdisk等工具。然后在一台正常的机器上,使用你熟悉的二进制编辑工具(debug、pctools5.0,或者是运行在Windows下的Ultraedit都行)修改软盘上的IO.SYS文件(修改前记住改该文件的属性为正常),具体是在这个文件里面搜索第一个“55aa”字符串,找到以后修改为任意其他数值即可。用这张修改过的系统软盘你就可以顺利地带着被锁的硬盘启动了。不过这时由于该硬盘正常的分区表已经被逻辑炸弹给恶意修改了,你无法用FDISK来删除和修改分区,而且仍无法用正常的启动盘启动系统,这时你可以用DEBUG来手工恢复。使用DEBUG手工修复硬盘步骤如下:
a:\>debug
-a
-xxxx:100 mov ax,0201 读一个扇区的内容
-xxxx:103 mov bx,500设置一个缓存地址
-xxxx:106 mov cx,0001 设置第一个硬盘的硬盘指针
-xxxx:109 mov dx,0080 读零磁头
-xxxx:10c int 13硬盘中断
-xxxx:10e int 20
-xxxx:0110退出程序返回到指示符
-g运行
-d500查看运行后500地址的内容
这时候会发现地址6be开始的内容是硬盘分区的信息,发现此硬盘的扩展分区指向自己,这就使DOS或Windows启动时查找硬盘逻辑盘进去死循环,在DEBUG指示符下用E命令修改内存数据 具体如下:
E6BE
xx.0 xx.0 xx.0...............
.............................
.......................55 AA
55 AA表示硬盘有效的标记,不要修改,xx0表示把以前的数据“xx”改成0,再用硬盘中断13把修改好的数据写入硬盘就可以了,具体如下:
A:\>debug
a 100 表示修改100地址的汇编指令
-xxxx:100 mov ax,0301 写硬盘一个扇区
-xxxx: 这里直接按回车
-g 运行
-q 退出
然后运行FDISK/MBR(重置硬盘引导扇区的引导程序),再重新启动电脑就行了。
怎么样?用这种方法处理够简单的吧?而且这种方法还有一个好处就是可以保住盘上的数据!如果你不需要保数据的话,还有更加简单的处理方法:
方法三:巧设BIOS,用DM解锁
大家知道DM软件是不依赖于主板BIOS的硬盘识别安装软件(所以在不能识别大硬盘的老主板上也可用DM来安装使用大容量硬盘)。就算在BIOS中将硬盘设为“NONE”,DM也可识别并处理硬盘。
首先你要找到和硬盘配套的DM软件(找JS要或去网上荡),然后把DM拷到一张系统盘上。接上被锁硬盘,开机,按住DEL键,进CMOS设置,将所有IDE硬盘设为“NONE”(这是关键所在!),保存设置,重启动,这时系统即可 “带锁”启动。启动后运行DM,你会发现DM可以绕过BIOS,识别出硬盘,选中该硬盘,分区格式化,就OK了。这么简单?不过这种方法的弱点是硬盘上的数据将全部丢失。
方法四:对硬盘进行热拔插
在加电热拔插之前应该先做好了一切的准备,并尽可能想一下会出现的问题,把硬盘的电源线先给拔松了一点,防止在热拔插时拔不出来,那就遭了,不过也不能太松不然会找不到硬盘的,找一张软盘启动盘,并插到软驱里,加电开机,看着熟悉的画面,心中尽管有些激动,但你的手可千万不要抖啊,不然硬盘烧掉就惨了!眼睛牢牢盯住你的显示器,软驱灯亮之前(就是要在DOS自举之前并且装入硬盘驱动后,)按下键盘上的“PAUSE”!再把硬盘上的电源线的给拔掉,然后就恢复暂定,一直到DOS启动完成出现DOS提示符的时候,这时你再把电源线给插到硬盘上去,这时如果硬盘没坏的话,就会发现已经可以用磁盘分区工具FDISK命令来查看硬盘的分区表了,不过没有这么简单,里面的分区表已经被逻辑炸弹给恶意修改了,只能查看不能修改也不能删除而且一团糟,用普通的办法还是不能解决的,此时只有用DEBUG来手工恢复了!具体方法同方法二。不过只能修复C盘也就是主引导分区,因为扩展分区已经修改了。恢复了以后,硬盘就可以用FDISK把主引导分区的其它空间分成扩展分区与逻辑盘了。一切OK!
方法五:利用分区表备份恢复
这是最简单的方法,在平时将硬盘的分区表备份一个(没有的话,找一个与之相同型号的硬盘的分区表也可以),万一硬盘被逻辑炸弹干掉了,用软盘都起不动的话,可以在BIOS里将硬盘设为“NONE”,启动后,将分区表的备份恢复回去,然后将硬盘的设置改回来,从新启动fdisk就可以了。以上的工作,不需要找什么特别的软件,一般的杀毒软件,如瑞星,KV3000都可以的。还有,如果有条件,最好装一块硬盘保护卡,可以对付绝大部分的病毒,至少,系统不会被破坏——出了问题,冷启一下就可以了。像CIH这样直接修改BIOS数据的都可以恢复。
方法六:用硬盘逻辑锁解锁程序
如果硬盘被锁死的症结根源在于DOS中的IO.SYS文件,它包含LOADER、IO1、IO2、IO3四个模块,其中IO1中包含有一个很关键的程序SysInt_I,它在启动中很固执,非要去读分区表,而且不把分区表读完誓不罢休。如果碰上分区表是循环的,它就只有死机了(通常硬盘分区表被锁住以后,形成一个闭合的循环链,IO.SYS从链头读起,试图读取所有分区的信息,从而形成死循环。如果修改IO.SYS文件,这样读的第十个扇区结尾处不是55 AA,就认为不是一个逻辑分区的主引导记录,停止读盘,跳出死循环链。我们用UltraEdit打开C:\IO.SYS,查找“b9 01 00 cd 13”(MS Dos6.22只有一处,Win98有2处要修改),改为“b9 10 00 cd 13”。不过,这样操作后,这样即使硬盘分区表是完好的,启动后也不认硬盘。所以修改IO.SYS以后,如果要正常访问硬盘还要将IO.SYS恢复原状。)。很明显,这是DOS的脆弱性和不完备性。其实这也不能怪DOS,因为DOS为了获得硬盘使用权,就必需读分区表参数,而且DOS还约定驱动器号不能超过26,只不过没有考虑到此等循环分区表情形。一句话,机子不能启动不过是DOS操作系统造成的,如果另写一个操作系统,或许就能启动机子。当然这只是说个笑话。
明白了病因在于DOS,问题就好办了。DOS启动中不是要读硬盘分区表吗?我不让你读分区表甚至连硬盘都不让你读,不就可以顺利启动了。的确是这样的,开硬盘锁的程序实现方法就是基于这个思想形成的。当然,这只有从软盘启动着手了。
我们当然不用自己去动手编制这样的程序了,因为已经有好心的网友提供了这样的程序,以下为某网友编制的硬盘逻辑锁解锁程序,对付硬盘逻辑锁非常有用,下载地址:
ftp://202.110.213.90/wenxinjy/fix-io.rar,含源代码及目标程序,共1020字节。
使用方法:如果你的硬盘被老王的逻辑锁给锁住了,把这个小工具复制到你的引导盘上,运行它Modify一下,然后用它来引导被锁的机器。一切OK。注意修复硬盘后Restore回来。当然你运行它时,软驱要打开写保护啦。
好了,有了上面这些方法你就不用再害怕逻辑炸弹了。如果你不小心“中弹”,就试试上面这些方法吧。
点评:对我来说,它应该是个毁誉参半的家伙,一方面它的确很恶毒,可以破坏硬盘数据;另一方面它为我嬴得了许多美餐,所以对它有一定的感情(是谁拿臭鸡蛋丢我)。
恶毒程度:★★★★★
十一、Diskboom
如果你的屏幕无端出现一个DOS框,并有一行英文“your system is now locked by diskboom,please reset”那就证明你中了最无耻的Diskboom了!这时候你千万不要按屏幕上的提示去重新启动计算机,因为那样的话,你就再也找不到你的硬盘了,就算光盘引导,软盘引导都无效!
你应该去黑客网站去下载一个Diskboom(如果不幸重起了,那么去朋友家或者网吧下一个,千万不要扔掉硬盘哦^_^),然后把压缩包里面的恢复程序复制到一张系统盘,在盘上建立一个Autoexec.bat文件,第一行输入"恢复程序.exe",目的是自动执行恢复程序,这一点是最关键的,readme里面没有说明。最后,拿这张盘引导系统,如果你看到屏幕上出现“unlocked”提示,就说明你的硬盘又“活”了,赶快感谢上帝吧!:)
点评:非常狠毒,如果知道解法则另有它用——比方说给朋友下套后,让其请客吃饭,:)不过,被朋友发现了你就惨了!
恶毒程度:★★★★
十二、硬盘终结者
硬盘终结者是蔬菜工作室的作品,作者蔬菜就是著名的反弹端口木马网络神偷的作者(注:作者已经开发出网络神偷XP版,大家要小心喽),所以即便是不运行硬盘终结者也能猜测出它有多厉害。硬盘终结者共有两个版本1.0和1.1,两者的区别是1.0版由两个文件组成:Sector.vxd和HDBreak.exe,而1.1版作者将Sector.vxd与主程序HDBreak.exe合并为一个文件:HDBreaker.exe。因此它非常适合和其它文件捆绑在一起,对众多的电脑用户的威胁非常大!由于此程序太过危险,作者已经停止开发新版本。
由于使用了VxD技术,所以硬盘终结者能在Windows环境中直接写硬盘扇区,和其它同类软件不同,硬盘终结者不必等待电脑重启就可以对硬盘进行破坏。运行后立即进行破坏,不会显示任何界面,它会从硬盘第一物理扇区(0柱0面1扇区)开始,向其中写入内存垃圾数据,与CIH病毒发作时的表现相似,据作者说就是从CIH那里学来的。
说句心里话,在硬盘终结者的主文件HDBreaker.exe之前,我心里也直犯嘀咕,对于到底是否运行该程序也犹豫不决。毕竟它是会破坏数据的恶意程序呀。但为了得到第一手资料,我就豁出去了。不过,为了稳妥起见我是在单位上的没有有用资料的电脑上运行的,事实证明我这个决定是正确的、英明的!如果我在本机上运行该软件,那我的硬盘数据恐怕就会荡然无存了,也就不会有此文了。
症状表现:运行HDBreaker.exe后,在该目录下出现一个名为Sector.vxd的VXD文件,紧接着机箱上的硬盘灯狂闪不止,鼠标略有凝滞感,看来是大事不好!连忙按Ctrl+Alt+Del想重启电脑,没有用!看来作者早就把Ctrl+Alt+Del给屏蔽了。试着运行一些应用程序,有些可以正常运行,而有一些应用程序则无法运行,点击图标,显示“非法操作”信息。后来,连复制、粘贴等常用操作也无法进行!为了得到确切的数据,我对其进行了多次测试,结果每一次的后果都不同,有两分钟后蓝屏死机的,还有运行十多秒后死机的,也有不断蓝屏但不死机这种情况出现……最终的表现为重启电脑后引导失败,用A盘引导,同样无法找到硬盘分区。试图进入C盘,出现RETRY? ABORT? FAIL?这样的提示信息;D盘和E盘则为“INVALID DRIVE SPECIFICATION”这样的提示信息。
被硬盘终结者破坏的硬盘其C盘的数据是无法完全恢复的!其它分区中的数据能否恢复要看你的本事了。如果软盘上有主引导区(分区表)的备份,只需将它恢复后再重启电脑就可以看到C盘以外的其它分区了。在此基础上,如果其它分区上有C盘的Ghost映象的话,将C盘格式化以后再将其还原,可将损失降到最小。
如果使用软件恢复硬盘数据,只有江民公司的KVW3000和金山毒霸2001能成功修复除C盘以外的硬盘数据,其它杀毒软件无法恢复被硬盘终结者破坏后的硬盘数据。不过,令人遗憾的是KVW3000和金山毒霸2001创建的恢复盘也无法恢复C盘数据。
说明:硬盘终结者只能运行于Windows95/98/Me下,所以对Win2000和WinXP用户没有任何威胁。另外,被硬盘终结者破坏后,硬盘能低级格式化,硬盘还能使用,所以如果一旦中招可以想办法恢复硬盘数据,即便是恢复不成功,也不要把硬盘仍了,至少你可以重新格式化硬盘呀。如果你真要仍了你的硬盘,最好仍给我。:)
点评:硬盘终结者实在是太…太…厉害了!个人认为它是本篇中所有恶作剧软件中恶毒的一个!事实上,硬盘终结者超出了一般恶意玩笑程序的范畴,它是一款极其恶性的硬盘炸弹程序。千万不要在本机或朋友的机子中运行它,如果你和朋友的系统是Win2000或WinXP除外。防范方法只有一个——不去运行它!
恶毒程度:★★★★★
上面介绍的恶意程序,除了江民炸弹、FUHD、硬盘终结者等少数几个程序外,其它程序用杀毒软件都查不出来,因此要记住上面的方法哦。最重要的是,不要随意运行来历不明的程序,如果你不运行它们,它们又能怎么样呢?这是防范恶作剧软件的最好的方法!
文章最后,特别感谢随 风飘飘任逍遥等朋友,多谢你们的帮助。对于一直支持和帮助我的各位编辑也表示衷心的感谢!祝大家春节快乐,万事如意!
……