史萊姆論壇 - 查看單個文章

psac · 2004-10-26, 08:46 AM

十、江民炸彈

　　江民炸彈是個更厲害更恐怖的惡意程序，是我見過的最狠毒的硬碟炸彈之一。為什麼叫「江民」炸彈，我想大家也都知道吧？畢竟用過KV系列軟體的人有很多，如果當年你曾中過KV殺毒軟體的邏輯炸彈，那麼對這個「江民」炸彈你也不會陌生——會有熟悉的感覺哦！

　　軟體解壓縮後有4個文件，一個是說明文件readme.exe，一個是製作解鎖盤用的文件rescue.com，還有兩個文件就是江民炸彈了。它們的名字分別為Jmbs.arj、JMBOS. zip，其實它們都是一個文件壓縮而成，只不過副檔名不同而已。如果你把它們解壓會看到jmbs.exe文件，大小為1809字元。這個jmbs.exe就是江民炸彈了。如果你不小心執行了它，機器的硬碟將會被死鎖住，無論你用軟式磁碟機還是光碟，都不能啟動電腦，硬碟和報廢了沒什麼區別！如果不懂得解法，基本上就只有買硬碟了！哈哈，恭喜恭喜，可以昇級了(誰拿臭雞蛋丟我)！

　　軟體原理：電腦在啟始DOS系統時將會搜尋所有邏輯碟的順序，當DOS被啟始時，首先要去找主啟始扇區的分區表訊息，位於硬碟的零頭零磁柱的第一個扇區的OBEH位址開始的地方，當分區訊息開始的地方為80H時表示是主啟始分區，其他的為延展分區，主啟始分區被定義為邏輯碟C碟，然後搜尋延展分區的邏輯碟，被定義為D碟，以此類推找到E，F，G.....「邏輯鎖」就是在此下手，修改了正常的主啟始分區記錄將延展分區的第一個邏輯碟指向自己，DOS在啟動時搜尋到第一個邏輯碟後，搜尋下個邏輯碟總是找到是自己，這樣一來就形成了死循環，這就是使用軟式磁碟機，光碟，雙硬碟都不能正常啟動的原因。實際上這「邏輯鎖」只是利用了DOS在啟動時的一個小小缺陷，便令不少高手都束手無策。知道了「邏輯鎖」的「上鎖」原理，要解鎖也就比較容易了。

　　解決辦法：

　　方法一：把rescue.exe拷貝到一張空白的1.44MB軟碟上，插入軟式磁碟機，然後執行。顯示「OK」之類的提示訊息後，你就有了一張江民炸彈的解鎖盤，如果你發現裡面一個文件也沒有，不要驚奇，你沒有做錯什麼，就是這個樣子的。快試試吧，用這張恢復碟啟動電腦，如果出現unlock的字樣，那就恭喜你，成功地解鎖了！想當年，我用這張解鎖盤給朋友解鎖，可沒少美餐啊！她們是怎麼中的就不用我說了吧，嘻嘻！

　　方法二：修改DOS啟動檔案

　　首先準備一張DOS6.22的系統碟，帶上debug、pctools5.0、fdisk等工具。然後在一台正常的電腦上，使用你熟悉的二進制編輯工具（debug、pctools5.0，或者是執行在Windows下的Ultraedit都行）修改軟碟上的IO.SYS文件（修改前記住改該檔案的內容為正常），具體是在這個文件裡面搜尋第一個「55aa」字元串，找到以後修改為任意其他數值即可。用這張修改過的系統軟碟你就可以順利地帶著被鎖的硬碟啟動了。不過這時由於該硬碟正常的分區表已經被邏輯炸彈給惡意修改了，你無法用FDISK來移除和修改分區，而且仍無法用正常的啟動碟啟動系統，這時你可以用DEBUG來手工恢復。使用DEBUG手工修復硬碟步驟如下：

　　　　a:\>debug
　　　　-a
　　　　-xxxx:100 mov ax,0201 讀一個扇區的內容
　　　　-xxxx:103 mov bx,500設定一個快取位址
　　　　-xxxx:106 mov cx,0001 設定第一個硬碟的硬碟游標
　　　　-xxxx:109 mov dx,0080 讀零磁頭
　　　　-xxxx:10c int 13硬碟中斷
　　　　-xxxx:10e int 20
　　　　-xxxx:0110結束程序返回到指示符
　　　　-g執行
　　　　-d500檢視執行後500位址的內容

　　這時候會發現位址6be開始的內容是硬碟分區的訊息，發現此硬碟的延展分區指向自己，這就使DOS或Windows啟動時搜尋硬碟邏輯碟進去死循環，在DEBUG指示符下用E指令修改記憶體資料具體如下：
　　　　E6BE
　　　　xx.0 xx.0 xx.0...............
　　　　.............................
　　　　.......................55 AA

　　55 AA表示硬碟有效的標記，不要修改，xx0表示把以前的資料「xx」改成0，再用硬碟中斷13把修改好的資料寫入硬碟就可以了，具體如下：

　　　　A:\>debug
　　　　a 100 表示修改100位址的彙編指令
　　　　-xxxx:100 mov ax,0301 寫硬碟一個扇區
　　　　-xxxx: 這裡直接按Enter鍵
　　　　-g 執行
　　　　-q 結束
　　然後執行FDISK/MBR（重置硬碟啟始扇區的啟始程序)，再重新啟動電腦就行了。

　　怎麼樣？用這種方法處理夠簡單的吧？而且這種方法還有一個好處就是可以保住碟上的資料！如果你不需要保資料的話，還有更加簡單的處理方法：

　　方法三：巧設BIOS，用DM解鎖

　　大家知道DM軟體是不依賴於主機板BIOS的硬碟識別安裝軟體（所以在不能識別大硬碟的老主機板上也可用DM來安裝使用大容量硬碟）。就算在BIOS中將硬碟設為「NONE」，DM也可識別並處理硬碟。

　　首先你要找到和硬碟配套的DM軟體（找JS要或去網上蕩），然後把DM拷到一張系統碟上。接上被鎖硬碟，開機，按住DEL鍵，進CMOS設定，將所有IDE硬碟設為「NONE」（這是關鍵所在！），儲存設定，重啟動，這時系統即可「帶鎖」啟動。啟動後執行DM，你會發現DM可以繞過BIOS，識別出硬碟，選該硬碟，分區格式化，就OK了。這麼簡單？不過這種方法的弱點是硬碟上的資料將全部丟失掉。

　　方法四：對硬碟進行熱拔插

　　在電源熱拔插之前應該先做好了一切的準備，並盡可能想一下會出現的問題，把硬碟的電源線先給拔鬆了一點，防止在熱拔插時拔不出來，那就遭了，不過也不能太鬆不然會找不到硬碟的，找一張軟碟啟動碟，並插到軟式磁碟機裡，電源開機，看著熟悉的畫面，心中儘管有些激動，但你的手可千萬不要抖啊，不然硬碟燒掉就慘了！眼睛牢牢盯住你的顯示器，軟式磁碟機燈亮之前（就是要在DOS自舉之前並且裝入硬碟驅動後，）按下鍵碟上的「PAUSE」！再把硬碟上的電源線的給拔掉，然後就恢復暫定，一直到DOS啟動完成出現DOS提示號的時候，這時你再把電源線給插到硬碟上去，這時如果硬碟沒壞的話，就會發現已經可以用磁牒分區工具FDISK指令來檢視硬碟的分區表了，不過沒有這麼簡單，裡面的分區表已經被邏輯炸彈給惡意修改了，只能檢視不能修改也不能移除而且一團糟，用普通的辦法還是不能解決的，此時只有用DEBUG來手工恢復了！具體方法同方法二。
不過只能修復C碟也就是主啟始分區，因為延展分區已經修改了。恢復了以後，硬碟就可以用FDISK把主啟始分區的其它空間分成延展分區與邏輯碟了。一切OK！

　

2004-10-26, 08:46 AM	#3 (permalink)
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	十、江民炸彈　　江民炸彈是個更厲害更恐怖的惡意程序，是我見過的最狠毒的硬碟炸彈之一。為什麼叫「江民」炸彈，我想大家也都知道吧？畢竟用過KV系列軟體的人有很多，如果當年你曾中過KV殺毒軟體的邏輯炸彈，那麼對這個「江民」炸彈你也不會陌生——會有熟悉的感覺哦！　　軟體解壓縮後有4個文件，一個是說明文件readme.exe，一個是製作解鎖盤用的文件rescue.com，還有兩個文件就是江民炸彈了。它們的名字分別為Jmbs.arj、JMBOS. zip，其實它們都是一個文件壓縮而成，只不過副檔名不同而已。如果你把它們解壓會看到jmbs.exe文件，大小為1809字元。這個jmbs.exe就是江民炸彈了。如果你不小心執行了它，機器的硬碟將會被死鎖住，無論你用軟式磁碟機還是光碟，都不能啟動電腦，硬碟和報廢了沒什麼區別！如果不懂得解法，基本上就只有買硬碟了！哈哈，恭喜恭喜，可以昇級了(誰拿臭雞蛋丟我)！　　軟體原理：電腦在啟始DOS系統時將會搜尋所有邏輯碟的順序，當DOS被啟始時，首先要去找主啟始扇區的分區表訊息，位於硬碟的零頭零磁柱的第一個扇區的OBEH位址開始的地方，當分區訊息開始的地方為80H時表示是主啟始分區，其他的為延展分區，主啟始分區被定義為邏輯碟C碟，然後搜尋延展分區的邏輯碟，被定義為D碟，以此類推找到E，F，G.....「邏輯鎖」就是在此下手，修改了正常的主啟始分區記錄將延展分區的第一個邏輯碟指向自己，DOS在啟動時搜尋到第一個邏輯碟後，搜尋下個邏輯碟總是找到是自己，這樣一來就形成了死循環，這就是使用軟式磁碟機，光碟，雙硬碟都不能正常啟動的原因。實際上這「邏輯鎖」只是利用了DOS在啟動時的一個小小缺陷，便令不少高手都束手無策。知道了「邏輯鎖」的「上鎖」原理，要解鎖也就比較容易了。　　解決辦法：　　方法一：把rescue.exe拷貝到一張空白的1.44MB軟碟上，插入軟式磁碟機，然後執行。顯示「OK」之類的提示訊息後，你就有了一張江民炸彈的解鎖盤，如果你發現裡面一個文件也沒有，不要驚奇，你沒有做錯什麼，就是這個樣子的。快試試吧，用這張恢復碟啟動電腦，如果出現unlock的字樣，那就恭喜你，成功地解鎖了！想當年，我用這張解鎖盤給朋友解鎖，可沒少美餐啊！她們是怎麼中的就不用我說了吧，嘻嘻！　　方法二：修改DOS啟動檔案　　首先準備一張DOS6.22的系統碟，帶上debug、pctools5.0、fdisk等工具。然後在一台正常的電腦上，使用你熟悉的二進制編輯工具（debug、pctools5.0，或者是執行在Windows下的Ultraedit都行）修改軟碟上的IO.SYS文件（修改前記住改該檔案的內容為正常），具體是在這個文件裡面搜尋第一個「55aa」字元串，找到以後修改為任意其他數值即可。用這張修改過的系統軟碟你就可以順利地帶著被鎖的硬碟啟動了。不過這時由於該硬碟正常的分區表已經被邏輯炸彈給惡意修改了，你無法用FDISK來移除和修改分區，而且仍無法用正常的啟動碟啟動系統，這時你可以用DEBUG來手工恢復。使用DEBUG手工修復硬碟步驟如下：　　　　a:\>debug 　　　　-a 　　　　-xxxx:100 mov ax,0201 讀一個扇區的內容　　　　-xxxx:103 mov bx,500設定一個快取位址　　　　-xxxx:106 mov cx,0001 設定第一個硬碟的硬碟游標　　　　-xxxx:109 mov dx,0080 讀零磁頭　　　　-xxxx:10c int 13硬碟中斷　　　　-xxxx:10e int 20 　　　　-xxxx:0110結束程序返回到指示符　　　　-g執行　　　　-d500檢視執行後500位址的內容　　這時候會發現位址6be開始的內容是硬碟分區的訊息，發現此硬碟的延展分區指向自己，這就使DOS或Windows啟動時搜尋硬碟邏輯碟進去死循環，在DEBUG指示符下用E指令修改記憶體資料具體如下：　　　　E6BE 　　　　xx.0 xx.0 xx.0............... 　　　　............................. 　　　　.......................55 AA 　　55 AA表示硬碟有效的標記，不要修改，xx0表示把以前的資料「xx」改成0，再用硬碟中斷13把修改好的資料寫入硬碟就可以了，具體如下：　　　　A:\>debug 　　　　a 100 表示修改100位址的彙編指令　　　　-xxxx:100 mov ax,0301 寫硬碟一個扇區　　　　-xxxx: 這裡直接按Enter鍵　　　　-g 執行　　　　-q 結束　　然後執行FDISK/MBR（重置硬碟啟始扇區的啟始程序)，再重新啟動電腦就行了。　　怎麼樣？用這種方法處理夠簡單的吧？而且這種方法還有一個好處就是可以保住碟上的資料！如果你不需要保資料的話，還有更加簡單的處理方法：　　方法三：巧設BIOS，用DM解鎖　　大家知道DM軟體是不依賴於主機板BIOS的硬碟識別安裝軟體（所以在不能識別大硬碟的老主機板上也可用DM來安裝使用大容量硬碟）。就算在BIOS中將硬碟設為「NONE」，DM也可識別並處理硬碟。　　首先你要找到和硬碟配套的DM軟體（找JS要或去網上蕩），然後把DM拷到一張系統碟上。接上被鎖硬碟，開機，按住DEL鍵，進CMOS設定，將所有IDE硬碟設為「NONE」（這是關鍵所在！），儲存設定，重啟動，這時系統即可「帶鎖」啟動。啟動後執行DM，你會發現DM可以繞過BIOS，識別出硬碟，選該硬碟，分區格式化，就OK了。這麼簡單？不過這種方法的弱點是硬碟上的資料將全部丟失掉。　　方法四：對硬碟進行熱拔插　　在電源熱拔插之前應該先做好了一切的準備，並盡可能想一下會出現的問題，把硬碟的電源線先給拔鬆了一點，防止在熱拔插時拔不出來，那就遭了，不過也不能太鬆不然會找不到硬碟的，找一張軟碟啟動碟，並插到軟式磁碟機裡，電源開機，看著熟悉的畫面，心中儘管有些激動，但你的手可千萬不要抖啊，不然硬碟燒掉就慘了！眼睛牢牢盯住你的顯示器，軟式磁碟機燈亮之前（就是要在DOS自舉之前並且裝入硬碟驅動後，）按下鍵碟上的「PAUSE」！再把硬碟上的電源線的給拔掉，然後就恢復暫定，一直到DOS啟動完成出現DOS提示號的時候，這時你再把電源線給插到硬碟上去，這時如果硬碟沒壞的話，就會發現已經可以用磁牒分區工具FDISK指令來檢視硬碟的分區表了，不過沒有這麼簡單，裡面的分區表已經被邏輯炸彈給惡意修改了，只能檢視不能修改也不能移除而且一團糟，用普通的辦法還是不能解決的，此時只有用DEBUG來手工恢復了！具體方法同方法二。不過只能修復C碟也就是主啟始分區，因為延展分區已經修改了。恢復了以後，硬碟就可以用FDISK把主啟始分區的其它空間分成延展分區與邏輯碟了。一切OK！

	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次