史萊姆論壇

返回   史萊姆論壇 > 教學文件資料庫 > Hacker/Cracker 及加解密技術文件
忘記密碼?
論壇說明 標記討論區已讀

歡迎您來到『史萊姆論壇』 ^___^

您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的!

請點擊這裡:『註冊成為我們的一份子!』

Google 提供的廣告


 
 
主題工具 顯示模式
舊 2004-10-26, 08:42 AM   #1
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設 十二種流行惡作劇程序簡介與清除

一、norun

  norun是個惡作劇軟體,它只有一個可執行文件,12288字元大小,執行於Win98/ME下。執行後要求回答三道算數題。雖然題目很簡單,但是一旦答錯,機器將連續重啟動12次(每次都有提示)後恢復正常。除此之外,沒有其他影響。因此,norun是個真正的惡作劇軟體,對大家的威脅並不大。不過,如果機器真的重新啟動12次的話,也夠恐怖的!所以也要掌握應對它的方法。 最直接的方法是你回答對那三道題就可以了。不要擔心,是小學二年級的都會做的算數題。如果你回答對了,就會出現對話視窗,點擊「確定」軟體執行結束。由於你回答對了,所以不會出現連續重啟動12次這樣的現象。 如果你擔心自己馬虎回答錯誤(如果這個也回答不正確,那也太……),可以用行程管理軟體終止該行程,這樣就可以了。我們以Windows最佳化大師為例。執行Windows最佳化大師,點擊「系統安全最佳化」→「行程管理」,在彈出的視窗中選norun,點擊「終止」按鈕即可終止執行它,從而避免了norun造成的12次重啟。

  點評:純粹的惡作劇軟體,可以用來跟朋友開玩笑用。

  惡毒程度:★

  二、ilr

  ilr也是個惡作劇程序,文件大小15KB。這麼小的程序能幹些什麼破壞呢?它是個捉弄人的程序,執行後會把硬碟上所有分區裡的資料夾通通變成資源回收桶!使得你無法通過點擊進入該檔案夾!天啊,我要是想進入資料夾該怎麼辦呢?別著急,恢復方法是用以下格式執行該軟體即可:xxxx.exe -recover,要記牢格式哦! 點評:一個很另類的惡作劇軟體,不破壞資料,不會讓你無法進入系統中,但是它會讓你無法進入資料夾,使你乾著急,可以用來跟朋友開玩笑用。

  惡毒程度:★★

  三、FUHD

  這是一個垃圾文件產生器,程序執行後會在各磁牒(C:-H:)的每一個根目錄、第一級子目錄和第二級子目錄產生隨機檔案名的垃圾文件。很久以前有個軟體hdfill.exe有相似的功能,但是該hdfill需要VB4的執行庫才能執行,在沒有VB4執行庫的機器中不能執行該程序。而該程序是用VB5編寫的,雖然存在執行庫的問題,但Win98中已經帶有VB5的執行庫,所以該程序可以在許多電腦中執行成功。也就是說許多朋友都有中招的可能和危險!

  FUHD壓縮包由四個文件組成:
  FUHD.exe:大小10752字元,所用圖示為VB5的安裝程序所用圖示。直接在磁牒上產生垃圾文件,程序在後台執行,全程序沒有任何提示。
  setup.exe:大小10752字元,所用圖示為VB5的安裝程序所用圖示。執行後在後台產生垃圾文件。
  Undo.exe:大小6656字元。這是作者提供的移除上面兩個EXE產生的垃圾文件的文件,如果你中招了,可以找來該檔案,執行後就可以清除那些垃圾文件。
  readme.txt:說明文件。

  點評:雖然說現在很多人都有大硬碟,但是大量的垃圾文件分佈在各個目錄中,也是一件很麻煩的事。而且目錄中含有過多的文件,會大大減慢系統的速度。作為惡作劇軟體,它的危害不大。但如果不知道解除方法,也很討厭。

  惡毒程度:★★☆

  四、Carem3

  Carem3是網路休閒莊(一個黑客網站)技術顧問Carem的作品,這是一個非常狠毒的惡意攻擊軟體,執行後如果不知道正確的破解方法,那肯定是要重裝系統的。解壓縮後的Carem3只有一個文件Carem3.exe,這是它所用的圖示(左圖),大家記住了,輕易不要執行使用這個圖示的軟體,因為給你下套的人會給它改名的,所以記住它的文件大小也是個不錯的識別方法,Carem3.exe文件大小321536字元。

此時滑鼠被控制在一定範圍內,無法點擊螢幕上的按鈕,按動Enter鍵鍵就會彈出個視窗警告你不要隨意執行可執行程序,說這只是個教訓之類的話,然後會自動重新啟動電腦,但你再也無法進入心愛的Windows桌面了!如果你沒有按動任何鍵,Carem3也不會放過你,它會自動倒記時,從20秒到0就重新啟動電腦,使你的系統崩潰!

  程序的基本原理是破壞C:\windows\system\下的vmm32.vxd文件。vmm32.vxd是虛擬設備驅動程式,正常文件大小913413字元,文件修改時間為1999-01-13,就是由於它被破壞了(文件被取代為同名文件,大小變為81531字元,文件修改時間變為1998-06-19),導致你的電腦不能進入Windows系統。

  作者提供的破解方法是:在開機的時候按F8選項Command prompt only方式進入DOS下,之後在提示號後執行repair,就可以解決了。另外你事先制作備份了vmm32.vxd文件,就可以使用另外一個破解方法:用啟動碟從A盤啟動電腦,將制作備份的vmm32.vxd複製到c:\windows\system\裡,重新啟動電腦就可以了。如果沒有制作備份,到其他電腦上複製一個來吧。

  除了上面說的那兩個方法,還有一個更簡便的破解方法。我們在Carem3.exe剛執行後,倒記時尚未結束前,按住ALT+F4鍵關閉軟體視窗(不要指望能通過按Ctrl+Alt+Del來終止它,作者早就將這些按鍵遮閉了),此時你的滑鼠將被鎖定在桌面的某個小範圍內(螢幕中央偏右一點),滑鼠是無法使用了。但是如果你自己不重新啟動電腦的話,Carem3.exe也不會自動重新啟動你的電腦——因為它已經被關閉了。此時的你可以使用鍵盤來操作,如果嫌麻煩,直接重新啟動電腦即可。不要害怕,我們按ALT+F4時已經將軟體關閉了,在破壞開始前就將它給消滅了,所以這次重新啟動電腦和我們平常重新啟動電腦一樣,是安全的!順便說一句如果你的系統是Win2000以下就要小心它了!

  點評:比較惡毒,因為一般人想不到它會破壞vmm32.vxd,不過還好,作者提供了破解的方法,所以還在可控範圍內。

  惡毒程度:★★★

  五、妖之吻

  妖之吻是千年老妖的作品。下載解壓縮後大小252KB,只有一個檔案名為yzw.exe的可執行文件,它的外表看起來很友善——圖示是兩隻握在一起的手!如果你被這表面上的友善所打動,雙按執行了這個程序,哈哈,你的惡夢就此開始了!

  首先,螢幕上會出現一個不大好看的視窗,上面寫著「親愛的,給你一個關機之吻」,同時在視窗中顯示60、59、58……這樣的倒計時數,記時到「0」系統就自動重新啟動。當你再次聽到Windows的啟動聲音,以為沒什麼事的時候,那個可惡的「親愛的,給你一個關機之吻」又出現了,然後再次重啟,如此反覆,陷入一個死循環中,使你根本無法進入你的系統。你若想在那個視窗出現時按「Ctrl+Alt+Del」來終止它,根本就不管用,因為作者將熱鍵遮閉掉了。呵呵,這深情一「吻」不好受吧?

  怎麼辦?你要移除它的主文件?好吧,假設你是在c碟根目錄下執行的yzw.exe,移除它以後你再進去入系統時,會出現對一個話框提示你「安裝載入c:\yzw.exe失敗,必須重新安裝Windows」,這時你只能點擊對話視窗上的「確定」按鈕,點擊後這個世界果然清淨了許多——系統自動關機了。你若想通過安全模式進入Windows也是行不通的,它還會出現上面所說的提示,然後直接關機。那它到底是怎樣控制我的系統的呢?我給你一個提示,看看這句話:「安裝載入c:\yzw.exe失敗」,對!它要安裝載入yzw.exe文件,要安裝載入它就可能從註冊表,win.ini,system.ini等入手,那麼這個「吻」到底從何處載入的呢?

  實際上,妖之吻執行後會修改c:\windows\system.ini文件,將其中的shell=explorer.exe改為了shell=c:\yzw.exe。當你再次開機時,所中的妖之吻會被自動載入執行。從這裡可以看出,妖之吻用自己的主文件替代了Windows的explorer.exe文件,explorer.exe是Windows的外殼程序,在Windows啟動的時候要載入它,由於yzw.exe和explorer.exe的啟動執行不一樣,因此中了妖之吻之後,改註冊表和win.ini沒有用。而且你不能移除yzw.exe,一旦移除它,Windows就會提示報告錯誤,要你重新安裝Windows。註:這裡c:\代表絕對路徑,如你是在d:\aaa下執行的yzw.exe,相應的shell就為d:\aaa\yzw.exe。

  解決辦法:這裡共有五種方法提供給大家,用哪種方法都可以的。

  方法1:由於妖之吻是在system.ini中作怪,我們到那裡把它消滅就可以破解它了。具體方法是:電腦重啟後按Shift+F5進入Command prompt only方式,按鍵輸入指令edit system.ini編輯system.ini文件,把其中的shell:=絕對路徑\yzw.exe改為shell=Explorer.exe,儲存碟結束,再重啟電腦就可以進入那熟悉的Windows桌面了。

  方法2:同理用edit指令編輯system.ini文件,不過這次是將shell這條語句移除,儲存碟結束,重啟即可破解妖之吻的控制。

  方法3:由A盤啟動,將其它電腦上的explorer.exe文件改名為yzw.exe,並將改名後的explorer.exe檔案拷貝到yzw.exe所在的目錄覆蓋原來的yzw.exe文件,系統重啟後就可以了。如果你覺得每次載入在Shell後的檔案名為yzw.exe不大好,可以再用msconfig.exe將它該回為explorer.exe這個檔案名。

  方法4:大家都知道Windows的視窗可以用組合鍵Alt+F4來關閉,在這裡這個組合鍵依然有效。在你第一次執行yzw.exe文件,出現倒記時視窗的時候,按Alt+F4鍵可以關閉這個視窗,然後點擊「開始」→「執行」彈出「執行」對話視窗,按鍵輸入msconfig.exeEnter鍵,這樣就開啟了系統組態實用程序,點擊system.ini標籤,找到[boot]小節,把shell=yzw.exe(當然前面還有yzw的路徑)改成shell=Explorer.exe,這樣就徹底解決了妖之吻。

  方法5:系統中如果有事先制作備份的System.ini文件,就可以在電腦重啟後按Shift+F5進入Command prompt only方式,然後把事先制作備份的System.ini檔案拷貝到C:\Windows下,覆蓋原文件即可。

  點評:「老妖出品,必屬精品!」「妖之吻」是惡作劇軟體中的精品!一個可以促使菜鳥進步的小軟體。並且它在「江湖」中出現的很早,所以對大家的威脅沒有它剛出現時那麼大了。
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
向 psac 送花的會員:
羅迪 (2009-09-09)
感謝您發表一篇好文章
舊 2004-10-26, 08:44 AM   #2 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

六、布萊爾之夜

  布萊爾之夜也是個惡意程序,如果你不知道解除方法,後果比上面介紹過的兩個惡意程序還要可怕!下載後只有一個文件blair.exe,大小252,416字元,所用圖示有閃電一道(左圖)。不小心執行了blair.exe後會出現一個陰暗的畫面,畫面中間彷彿是中世紀的一個陰暗城堡,很恐怖哦!如果你想通過按CTRL+ALT+DEL組合鍵來終止它的執行,那是不可能成功的!作者早就考慮到了這一招,把熱鍵都給遮閉掉了!正當你對著這個討厭的畫面一籌莫展時,電腦自動重新啟動了!當可愛的Windows桌面出現時,那個討厭的陰暗畫面也隨之出現了!等5秒種左右,電腦又被重新啟動,於是一個循環又開始了!最可惡的是,作者把ALT+F4也給遮閉了!這樣我們就不能通過關閉視窗,然後再檢查註冊表或Win.ini、System.ini等文件,來對付這個惡意程序。

  原來,blair.exe被執行後,除了遮閉了所有熱鍵外,還在C:\Windows下產生syswf.exe文件,大小仍為252,416字元,並且在註冊表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下建立串值syswf,其鍵值為C:\Windows\syswf.exe,這使得syswf.exe在系統啟動時被載入,因此造成重啟不斷,循環不止。

  解決辦法:有五種方法提供給你,自己選項吧!

  方法1:當blair.exe被執行,出現那個陰暗的畫面後,趕快按F11鍵2秒以上,就會彈出個對話視窗,上面寫著「布萊爾之夜已成功卸載,請重新啟動電腦」,按對話視窗上的「確定」鍵機器就會重新啟動,這樣就成功結鎖了!但是C:\Windows下的syswf.exe文件並沒有被移除,還得把它移除才算真正的清除了布萊爾之夜。

  方法2:當系統重新啟動,桌面出現時,趕緊(動作一定要快)按「開始」→「執行」表單,在彈出的「執行」對話視窗中輸入msconfig,Enter鍵,然後點擊「啟動」標籤,將複選框syswf C:\Windows\syswf.exe前面的「√」去掉。如此操作後,電腦還會重啟(還在syswf.exe控制下),但這是最後一次了。重新進入系統後,將註冊表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的的串值syswf移除就可以了!慢!那個C:\Windows下的syswf.exe文件還沒移除,不能算乾淨的清除了,趕快移除它吧!

  方法3:電腦重啟後按Shift+F5進入Command prompt only方式進入DOS下,進入C:\Windows下,找到syswf.exe文件移除,然後重新啟動電腦,到註冊表中將相應的鍵值移除即可。

  方法4:用A盤啟動,拷貝其它電腦上的可執行文件,比方說msconfig.exe,並改名為syswf.exe,拷貝到C:\Windows下,覆蓋原文件。這樣就使啟動時的文件變為msconfig.exe,可以解鎖了。然後再到註冊表中將布萊爾之夜所創鍵值移除,就成功的擺脫了討厭的「布萊爾之夜」了!

  方法5:布萊爾之夜由於沒有替代windows的外殼,因此可以重啟電腦到「安全模式」下,然後將C:\Windows下的syswf.exe文件和註冊表中的串值syswf移除,到此就可以了。

  點評:布萊爾之夜不破壞硬碟資料,只是讓你的電腦不斷重啟,對付它還算容易。但對於新手它的威脅可一點也不小。

  惡毒程度:★★★☆

  七、limit

  這也是網路休閒莊的作品。解壓縮後有三個文件:limit.exe、limitkill.exe和help.txt。help.txt是說明文件,裡面有軟體的說明;limit.exe就是為系統攻擊程序(WIN98下),文件大小406528字元,還是讓我們來看看它的「面目」認識一下它吧(左圖)。被攻擊後的Win98系統不能執行任何應用程式,但不會對系統檔案做任何破壞。用來惡作劇很安全(因為它不破壞資料嘛);limitkill.exe為清除文件,執行此文件後重新啟動電腦或註銷當前用戶來重新登入,會使系統恢復到正常!

  此程序不屬於純惡作劇的東東,它可以做為一個系統限制工具,用來在自己長時間不用電腦又怕別人使用時對電腦的限制。

  可能有朋友要問了:「該軟體執行後能鎖住電腦裡的所有程式,你將不能執行包含limitkill.exe文件在內任何應用程式。但要執行limitkill.exe文件該怎麼辦呢?」是的,這的確是個問題!不過,我們可以利用一個小竅門嘛。竅門就在這裡:開啟「我的電腦」,點擊「計劃工作」,再點擊「增加已計劃的工作」,將破解程序limitkill加入到計劃工作裡,選項「當啟動電腦時」即可,重新啟動電腦後就解除封鎖了。

  點評:如果不知道解法,也很惡毒。如果知道解法則另有它用。

  惡毒程度:★★★☆

  八、網戀絕招

  網戀絕招下載解壓縮後大小323,584字元。只有一個可執行文件lovetty.exe,和大家常用的軟體「追捕」的圖示一樣,莫非惡意程序都如此?因此如果改名為wry.exe(追捕的主檔案名),那麼就很容易使人上當!如果你不小心執行了lovetty.exe,就會出現如圖所顯示畫面。

並從30開始倒記數,到了0系統就自動重新啟動了!系統啟動後並不直接進入Windows,而是又進入網戀絕招的倒計時界面,如此循環下去……程序遮閉了絕大多數的熱鍵,你不能通過CTRL+ALT+DEL等熱鍵終止程序執行。想到「安全模式」下?還是不行!會提示你「安裝載入c:\lovetty.exe失敗,必須重新安裝Windows」,是不是和「妖之吻」很相像?其實這個軟體本來就是模仿「妖之吻」編製的。

  當lovetty.exe被執行後,第一個動作就是將System.ini文件裡[boot]下面的第三行變為shell=絕對路徑\lovetty.exe,目的是將自身寫進System.ini文件裡,替代Windows系統的外殼程序explorer.exe,然後開始以下循環:進入到計時→關閉WINDOWS系統→重新啟動系統。只要系統執行到shell=絕對路徑\lovetty.exe這一項時,就會重新執行網戀絕招,從而使系統進入上述惡性循環。「網戀」看來很「苦」哦!

  解決辦法:由於網戀絕招與妖之吻的實現原理一樣,因此清除方法也大致相同。

  方法1:作者其實留了個「後門」。仔細看上圖中所顯示畫面,找到螢幕下端最後一行字:「解法就一種,本界面上就有出口,你慢慢找吧!」哈哈,「後門」就在這行文字中,確切的說就在那個「解」字上。用滑鼠點擊那個「解」字,就解除了惡性循環,也就安全的解除了網戀絕招的控制!

  方法2:其它解除控制的方法可參照妖之吻解決辦法!

  點評:與「妖之吻」太相像了,又出現在「妖之吻」之後,「既生渝,何生亮」恐怕是其真實處境的寫照,但對廣大網友而言它的威脅還是瞞大的。

  惡毒程度:★ ★ ★ ☆



 

  九、惡作劇之王

  「不要摸我的左眼,否則你會後悔的!」,當你看到右眼被黑眼罩蒙住的克林頓在螢幕上說這句話時,你就要小心了,滑鼠千萬不能碰到他的眼睛!如果你不小心碰到了頭像的左眼,機器會立刻重啟,你的所有硬碟都將被格式化!怎麼回事?哈哈,你碰到了大名鼎鼎的「惡作劇之王」了!

  惡作劇之王是個惡意程序,前面提到的幾個惡意程序和它相比,簡直是小巫見大巫!前面介紹的那幾個程序有一點好處,它們都不破壞硬碟資料。但惡作劇之王就不同了,如果你處理不當,它就會格式化你的硬碟,使你所有的資料都被移除!恐怖吧?

  下載解壓縮後只有一個文件Sex.exe,圖示是一個MM的頭像,如果你想入非非,用滑鼠雙按執行了這個程序,它會讓你大失所望——螢幕上出現了克林頓的頭像!此時你一定得加倍小心,千萬不要去碰他的左睛,只要一碰他的左眼,就會彈出來一個視窗,上面寫著「你一定想按Enter鍵鍵吧。」如果你按了Enter鍵鍵,系統將會重新啟動,並格式化所有的硬碟。如果沒碰到頭像的左眼就不會有事。

  這到底是怎麼回事呢?原來,當你的滑鼠指向那個左眼後,程序就向C:\Windows\temp\Vbe下複製一個副本文件Sex.exe,然後向Autoexec.bat中寫入快速格式化指令,從最後一個盤格起,然後鎖定你的滑鼠,只要你按Enter鍵,便立刻重啟並切換到DOS格式(主要是因為在Windows下無法格式化C碟)。在程序結束之前,自動執行一次Autoexec.bat,此時已經開始格式化硬碟了!當到了系統所在分區,就重新啟動機器。重新啟動後,開始在純DOS下再一次格式化硬碟,由於使用了快速格式化指令,很快你的硬碟就開始洗澡了,呵呵。即便你的系統中的Format.com早已被你移除也沒有用,作者在程序中採用了文件流的方法,檢測是否存在Format.com,如果不存在就產生一個(惡毒呀)。程序在執行後就鎖定了系統功能鍵和滑鼠,同時修改了msdos.sys文件,加入了BootKeys=0這一行,目的是使啟動功能鍵無效,也就是使 F4,F5,F8這些功能鍵無效。如果沒碰到頭像的眼睛,就不會啟動格式化功能,因此就不會有什麼事了。

  解決辦法:給你提供了四個方法,你自己選項其中的某一個吧!

  方法1:如果你的滑鼠沒有點在頭像的左眼上,此時千萬不要亂動,趕快執行行程管理軟體,終止行程sex.exe即可。大家常用的軟體如windwos最佳化大師中就有行程管理功能,點「系統安全最佳化」->「行程管理」,就可以看到sex.exe這個行程,選它,點擊「終止」即可終止sex.exe的執行。好了,那個討厭的傢伙從螢幕上消失了,可以鬆一口氣了。

  方法2:如果你的滑鼠已經點在它的左眼上了,那就立即關機(1秒鍾都不要猶豫),由A盤啟動,並檢查C碟是否被格掉了,如果沒有被格掉,可以移除Autoexec.bat和C:\Windows\Temp\Vbe下的SEX.EXE,然後進入Win98,使用RecoverNT恢復後面的分區。如果你的動作像蝸牛,那你的硬碟肯定全被格掉了!此時可以試一下UNFORMAT,不過,只能恢復FAT16的硬碟哦。

  方法3:如果不幸中彈,趕快到軟體作者的主頁(http://lovejingtao.126.com)下載恢復工具,用恢復工具可以恢復硬碟中的資料。

  方法4:再不然,重裝系統,然後使用RecoverNT恢復後面的分區。

  點評:非常惡毒!是個可怕的傢伙,大家要小心它。

  惡毒程度:★★★★★
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
向 psac 送花的會員:
羅迪 (2009-09-09)
感謝您發表一篇好文章
舊 2004-10-26, 08:46 AM   #3 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

十、江 民炸彈

  江民炸彈是個更厲害更恐怖的惡意程序,是我見過的最狠毒的硬碟炸彈之一。為什麼叫「江 民」炸彈,我想大家也都知道吧?畢竟用過KV系列軟體的人有很多,如果當年你曾中過KV殺毒軟體的邏輯炸彈,那麼對這個「江 民」炸彈你也不會陌生——會有熟悉的感覺哦!

  軟體解壓縮後有4個文件,一個是說明文件readme.exe,一個是製作解鎖盤用的文件rescue.com,還有兩個文件就是江 民炸彈了。它們的名字分別為Jmbs.arj、JMBOS. zip,其實它們都是一個文件壓縮而成,只不過副檔名不同而已。如果你把它們解壓會看到jmbs.exe文件,大小為1809字元。這個jmbs.exe就是江 民炸彈了。如果你不小心執行了它,機器的硬碟將會被死鎖住,無論你用軟式磁碟機還是光碟,都不能啟動電腦,硬碟和報廢了沒什麼區別!如果不懂得解法,基本上就只有買硬碟了!哈哈,恭喜恭喜,可以昇級了(誰拿臭雞蛋丟我)!

  軟體原理:電腦在啟始DOS系統時將會搜尋所有邏輯碟的順序,當DOS被啟始時,首先要去找主啟始扇區的分區表訊息,位於硬碟的零頭零磁柱的第一個扇區的OBEH位址開始的地方,當分區訊息開始的地方為80H時表示是主啟始分區,其他的為延展分區,主啟始分區被定義為邏輯碟C碟,然後搜尋延展分區的邏輯碟,被定義為D碟,以此類推找到E,F,G.....「邏輯鎖」就是在此下手,修改了正常的主啟始分區記錄將延展分區的第一個邏輯碟指向自己,DOS在啟動時搜尋到第一個邏輯碟後,搜尋下個邏輯碟總是找到是自己,這樣一來就形成了死循環,這就是使用軟式磁碟機,光碟,雙硬碟都不能正常啟動的原因。實際上這「邏輯鎖」只是利用了DOS在啟動時的一個小小缺陷,便令不少高手都束手無策。知道了「邏輯鎖」的「上鎖」原理,要解鎖也就比較容易了。

  解決辦法:

  方法一:把rescue.exe拷貝到一張空白的1.44MB軟碟上,插入軟式磁碟機,然後執行。顯示「OK」之類的提示訊息後,你就有了一張江 民炸彈的解鎖盤,如果你發現裡面一個文件也沒有,不要驚奇,你沒有做錯什麼,就是這個樣子的。快試試吧,用這張恢復碟啟動電腦,如果出現unlock的字樣,那就恭喜你,成功地解鎖了!想當年,我用這張解鎖盤給朋友解鎖,可沒少美餐啊!她們是怎麼中的就不用我說了吧,嘻嘻!

  方法二:修改DOS啟動檔案

  首先準備一張DOS6.22的系統碟,帶上debug、pctools5.0、fdisk等工具。然後在一台正常的電腦上,使用你熟悉的二進制編輯工具(debug、pctools5.0,或者是執行在Windows下的Ultraedit都行)修改軟碟上的IO.SYS文件(修改前記住改該檔案的內容為正常),具體是在這個文件裡面搜尋第一個「55aa」字元串,找到以後修改為任意其他數值即可。用這張修改過的系統軟碟你就可以順利地帶著被鎖的硬碟啟動了。不過這時由於該硬碟正常的分區表已經被邏輯炸彈給惡意修改了,你無法用FDISK來移除和修改分區,而且仍無法用正常的啟動碟啟動系統,這時你可以用DEBUG來手工恢復。使用DEBUG手工修復硬碟步驟如下:

    a:\>debug
    -a
    -xxxx:100 mov ax,0201 讀一個扇區的內容
    -xxxx:103 mov bx,500設定一個快取位址
    -xxxx:106 mov cx,0001 設定第一個硬碟的硬碟游標
    -xxxx:109 mov dx,0080 讀零磁頭
    -xxxx:10c int 13硬碟中斷
    -xxxx:10e int 20
    -xxxx:0110結束程序返回到指示符
    -g執行
    -d500檢視執行後500位址的內容

  這時候會發現位址6be開始的內容是硬碟分區的訊息,發現此硬碟的延展分區指向自己,這就使DOS或Windows啟動時搜尋硬碟邏輯碟進去死循環,在DEBUG指示符下用E指令修改記憶體資料 具體如下:
    E6BE
    xx.0 xx.0 xx.0...............
    .............................
    .......................55 AA

  55 AA表示硬碟有效的標記,不要修改,xx0表示把以前的資料「xx」改成0,再用硬碟中斷13把修改好的資料寫入硬碟就可以了,具體如下:

    A:\>debug
    a 100 表示修改100位址的彙編指令
    -xxxx:100 mov ax,0301 寫硬碟一個扇區
    -xxxx: 這裡直接按Enter鍵
    -g 執行
    -q 結束
  然後執行FDISK/MBR(重置硬碟啟始扇區的啟始程序),再重新啟動電腦就行了。

  怎麼樣?用這種方法處理夠簡單的吧?而且這種方法還有一個好處就是可以保住碟上的資料!如果你不需要保資料的話,還有更加簡單的處理方法:

  方法三:巧設BIOS,用DM解鎖

  大家知道DM軟體是不依賴於主機板BIOS的硬碟識別安裝軟體(所以在不能識別大硬碟的老主機板上也可用DM來安裝使用大容量硬碟)。就算在BIOS中將硬碟設為「NONE」,DM也可識別並處理硬碟。

  首先你要找到和硬碟配套的DM軟體(找JS要或去網上蕩),然後把DM拷到一張系統碟上。接上被鎖硬碟,開機,按住DEL鍵,進CMOS設定,將所有IDE硬碟設為「NONE」(這是關鍵所在!),儲存設定,重啟動,這時系統即可 「帶鎖」啟動。啟動後執行DM,你會發現DM可以繞過BIOS,識別出硬碟,選該硬碟,分區格式化,就OK了。這麼簡單?不過這種方法的弱點是硬碟上的資料將全部丟失掉。

  方法四:對硬碟進行熱拔插

  在電源熱拔插之前應該先做好了一切的準備,並盡可能想一下會出現的問題,把硬碟的電源線先給拔鬆了一點,防止在熱拔插時拔不出來,那就遭了,不過也不能太鬆不然會找不到硬碟的,找一張軟碟啟動碟,並插到軟式磁碟機裡,電源開機,看著熟悉的畫面,心中儘管有些激動,但你的手可千萬不要抖啊,不然硬碟燒掉就慘了!眼睛牢牢盯住你的顯示器,軟式磁碟機燈亮之前(就是要在DOS自舉之前並且裝入硬碟驅動後,)按下鍵碟上的「PAUSE」!再把硬碟上的電源線的給拔掉,然後就恢復暫定,一直到DOS啟動完成出現DOS提示號的時候,這時你再把電源線給插到硬碟上去,這時如果硬碟沒壞的話,就會發現已經可以用磁牒分區工具FDISK指令來檢視硬碟的分區表了,不過沒有這麼簡單,裡面的分區表已經被邏輯炸彈給惡意修改了,只能檢視不能修改也不能移除而且一團糟,用普通的辦法還是不能解決的,此時只有用DEBUG來手工恢復了!具體方法同方法二。
不過只能修復C碟也就是主啟始分區,因為延展分區已經修改了。恢復了以後,硬碟就可以用FDISK把主啟始分區的其它空間分成延展分區與邏輯碟了。一切OK!

 
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
向 psac 送花的會員:
羅迪 (2009-09-09)
感謝您發表一篇好文章
舊 2004-10-26, 08:49 AM   #4 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

 方法五:利用分區表製作制作備份恢復

  這是最簡單的方法,在平時將硬碟的分區表製作制作備份一個(沒有的話,找一個與之相同型號的硬碟的分區表也可以),萬一硬碟被邏輯炸彈幹掉了,用軟碟都起不動的話,可以在BIOS裡將硬碟設為「NONE」,啟動後,將分區表的製作制作備份恢復回去,然後將硬碟的設定改回來,從新啟動fdisk就可以了。

以上的工作,不需要找什麼特別的軟體,一般的殺毒軟體,如瑞星,KV3000都可以的。還有,如果有條件,最好裝一塊硬碟保護卡,可以對付絕大部分的病毒,至少,系統不會被破壞——出了問題,冷啟一下就可以了。像CIH這樣直接修改BIOS資料的都可以恢復。

  方法六:用硬碟邏輯鎖解鎖程序

  如果硬碟被鎖死的癥結根源在於DOS中的IO.SYS文件,它包含LOADER、IO1、IO2、IO3四個模組,其中IO1中包含有一個很關鍵的程序SysInt_I,它在啟動中很固執,非要去讀分區表,而且不把分區表讀完誓不罷休。

如果碰上分區表是循環的,它就只有當機了(通常硬碟分區表被鎖住以後,形成一個閉合的循環鏈,IO.SYS從鏈頭讀起,試圖讀取所有分區的訊息,從而形成死循環。如果修改IO.SYS文件,這樣讀的第十個扇區結尾處不是55 AA,就認為不是一個邏輯分區的硬碟分區表,停止讀磁碟,跳出死循環鏈。


我們用UltraEdit開啟C:\IO.SYS,搜尋「b9 01 00 cd 13」(MS Dos6.22只有一處,Win98有2處要修改),改為「b9 10 00 cd 13」。


不過,這樣操作後,這樣即使硬碟分區表是完好的,啟動後也不認硬碟。所以修改IO.SYS以後,如果要正常訪問硬碟還要將IO.SYS恢復原狀。)。


很明顯,這是DOS的脆弱性和不完備性。其實這也不能怪DOS,因為DOS為了獲得硬碟使用權,就必需讀分區表參數,而且DOS還約定驅動器號不能超過26,只不過沒有考慮到此等循環分區表情形。

一句話,電腦不能啟動不過是DOS操作系統造成的,如果另寫一個操作系統,或許就能啟動電腦。


當然這只是說個笑話。

  明白了病因在於DOS,問題就好辦了。DOS啟動中不是要讀硬碟分區表嗎?我不讓你讀分區表甚至連硬碟都不讓你讀,不就可以順利啟動了。


的確是這樣的,開硬碟鎖的程序實現方法就是關於這個思想形成的。當然,這只有從軟碟啟動著手了。

  我們當然不用自己去動手編製這樣的程序了,因為已經有好心的網友提供了這樣的程序,以下為某網友編製的硬碟邏輯鎖解鎖程序,對付硬碟邏輯鎖非常有用,下載位址:

  ftp://202.110.213.90/wenxinjy/fix-io.rar,含來源碼及目標程序,共1020字元。

  使用方法:如果你的硬碟被老王的邏輯鎖給鎖住了,把這個小工具複製到你的起始碟上,執行它Modify一下,然後用它來啟始被鎖的機器。一切OK。

注意修復硬碟後Restore回來。


當然你執行它時,軟式磁碟機要開啟寫保護啦。

  好了,有了上面這些方法你就不用再害怕邏輯炸彈了。如果你不小心「中彈」,就試試上面這些方法吧。

  點評:對我來說,它應該是個毀譽參半的傢伙,一方面它的確很惡毒,可以破壞硬碟資料;另一方面它為我嬴得了許多美餐,所以對它有一定的感情(是誰拿臭雞蛋丟我)。

  惡毒程度:★★★★★

  十一、Diskboom

  如果你的螢幕無端出現一個DOS框,並有一行英文「your system is now locked by diskboom,please reset」那就證明你中了最無恥的Diskboom了!這時候你千萬不要按螢幕上的提示去重新啟動電腦,因為那樣的話,你就再也找不到你的硬碟了,就算光碟啟始,軟碟啟始都無效!

  你應該去黑客網站去下載一個Diskboom(如果不幸重新啟動了,那麼去朋友家或者網咖下一個,千萬不要扔掉硬碟哦),然後把壓縮包裡面的恢復程序複製到一張系統碟,在碟上建立一個Autoexec.bat文件,第一行輸入"恢復程序.exe",目的是自動執行恢復程序,這一點是最關鍵的,readme裡面沒有說明。


最後,拿這張盤啟始系統,如果你看到螢幕上出現「unlocked」提示,就說明你的硬碟又「活」了,趕快感謝上帝吧!

  點評:非常狠毒,如果知道解法則另有它用——比方說給朋友下套後,讓其請客吃飯,不過,被朋友發現了你就慘了!

  惡毒程度:★★★★

  十二、硬碟終結者

  硬碟終結者是蔬菜工作室的作品,作者蔬菜就是著名的反彈連接阜木馬網路神偷的作者(註:作者已經開發出網路神偷XP版,大家要小心嘍),所以即便是不執行硬碟終結者也能猜測出它有多厲害。硬碟終結者共有兩個版本1.0和1.1,兩者的區別是1.0版由兩個文件組成:

Sector.vxd和HDBreak.exe,而1.1版作者將Sector.vxd與主程序HDBreak.exe合併為一個文件:

HDBreaker.exe。因此它非常適合和其它文件元件服務在一起,對眾多的電腦用戶的威脅非常大!由於此程序太過危險,作者已經停止開發新版本。

  由於使用了VxD技術,所以硬碟終結者能在Windows環境中直接寫硬碟扇區,和其它同類軟體不同,硬碟終結者不必等待電腦重啟就可以對硬碟進行破壞。執行後立即進行破壞,不會顯示任何界面,它會從硬碟第一物理扇區(0柱0面1扇區)開始,向其中寫入記憶體垃圾資料,與CIH病毒發作時的表現相似,據作者說就是從CIH那裡學來的。

  說句心裡話,在硬碟終結者的主文件HDBreaker.exe之前,我心裡也直犯嘀咕,對於到底是否執行該程序也猶豫不決。畢竟它是會破壞資料的惡意程序呀。


但為了得到第一手資料,我就豁出去了。不過,為了穩妥起見我是在服務機構上的沒有有用資料的電腦上執行的,事實證明我這個決定是正確的、英明的!如果我在本機機上執行該軟體,那我的硬碟資料恐怕就會蕩然無存了,也就不會有此文了。

  症狀表現:執行HDBreaker.exe後,在該目錄下出現一個名為Sector.vxd的VXD文件,緊接著機箱上的硬碟燈狂閃不止,滑鼠略有凝滯感,看來是大事不好!連忙按Ctrl+Alt+Del想重啟電腦,沒有用!看來作者早就把Ctrl+Alt+Del給遮閉了。試著執行一些套用程式,有些可以正常執行,而有一些套用程式則無法執行,點擊圖示,顯示「非法操作」訊息。後來,連複製、貼上等常用操作也無法進行!

為了得到確切的資料,我對其進行了多次測試,結果每一次的後果都不同,有兩分鍾後顯示藍色當機的,還有執行十多秒後當機的,也有不斷顯示藍色但不當機這種情況出現……最終的表現為重啟電腦後啟始失敗,用A盤啟始,同樣無法找到硬碟分區。試圖進入C碟,出現RETRY? ABORT? FAIL?這樣的提示訊息;D碟和E碟則為「INVALID DRIVE SPECIFICATION」這樣的提示訊息。

  被硬碟終結者破壞的硬碟其C碟的資料是無法完全恢復的!其它分區中的資料能否恢復要看你的本事了。如果軟碟上有主啟始區(分區表)的製作制作備份,只需將它恢復後再重啟電腦就可以看到C碟以外的其它分區了。在此基礎上,如果其它分區上有C碟的Ghost映像的話,將C碟格式化以後再將其還原,可將損失降到最小。

  如果使用軟體恢復硬碟資料,只有江民公司的KVW3000和金山毒霸2001能成功修復除C碟以外的硬碟資料,其它殺毒軟體無法恢復被硬碟終結者破壞後的硬碟資料。不過,令人遺憾的是KVW3000和金山毒霸2001新增的恢復碟也無法恢復C碟資料。

  說明:硬碟終結者只能執行於Windows95/98/Me下,所以對Win2000和WinXP用戶沒有任何威脅。


另外,被硬碟終結者破壞後,硬碟能低階格式化,硬碟還能使用,所以如果一旦中招可以想辦法恢復硬碟資料,即便是恢復不成功,也不要把硬碟仍了,至少你可以重新格式化硬碟呀。


如果你真要仍了你的硬碟,最好仍給我。

  點評:硬碟終結者實在是太…太…厲害了!個人認為它是本篇中所有惡作劇軟體中惡毒的一個!事實上,硬碟終結者超出了一般惡意玩笑程序的範疇,它是一款極其惡性的硬碟炸彈程序。千萬不要在本機機或朋友的電腦中執行它,如果你和朋友的系統是Win2000或WinXP除外。防範方法只有一個——不去執行它!

  惡毒程度:★★★★★

  上面介紹的惡意程序,除了江民炸彈、FUHD、硬碟終結者等少數幾個程序外,其它程序用殺毒軟體都查不出來,因此要記住上面的方法哦。最重要的是,不要隨意執行來歷不明的程序,如果你不執行它們,它們又能怎麼樣呢?

這是防範惡作劇軟體的最好的方法!
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
向 psac 送花的會員:
羅迪 (2009-09-09)
感謝您發表一篇好文章
 


主題工具
顯示模式

發表規則
不可以發文
不可以回覆主題
不可以上傳附加檔案
不可以編輯您的文章

論壇啟用 BB 語法
論壇啟用 表情符號
論壇啟用 [IMG] 語法
論壇禁用 HTML 語法
Trackbacks are 禁用
Pingbacks are 禁用
Refbacks are 禁用


所有時間均為台北時間。現在的時間是 03:41 PM


Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2021, Jelsoft Enterprises Ltd.


SEO by vBSEO 3.6.1