欢迎来到天天文库
浏览记录
ID:8975363
大小:207.50 KB
页数:40页
时间:2018-04-13
《“江民炸弹”的介绍与清除》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库。
1、“江民炸弹”的介绍与清除2002-3-21浏览次数:1504次江民炸弹是个更厉害更恐怖的恶意程序,是我见过的最狠毒的硬盘炸弹之一。为什么叫“江民”炸弹,我想大家也都知道吧?毕竟用过KV系列软件的人有很多,如果当年你曾中过KV杀毒软件的逻辑炸弹,那么对这个“江民”炸弹你也不会陌生——会有熟悉的感觉哦^_^!软件解压缩后有4个文件,一个是说明文件readme.exe,一个是制作解锁盘用的文件rescue.com,还有两个文件就是江民炸弹了。它们的名字分别为Jmbs.arj、JMBOS.zip,其实它们都是一个文件压缩而成,只不过扩展名不同而已。如果
2、你把它们解压会看到jmbs.exe文件,大小为1809字节。这个jmbs.exe就是江民炸弹了。如果你不小心运行了它,机器的硬盘将会被死锁住,无论你用软驱还是光驱,都不能启动计算机,硬盘和报废了没什么区别!如果不懂得解法,基本上就只有买硬盘了!哈哈,恭喜恭喜,可以升级了。软件原理:计算机在引导DOS系统时将会搜索所有逻辑盘的顺序,当DOS被引导时,首先要去找主引导扇区的分区表信息,位于硬盘的零头零柱面的第一个扇区的OBEH地址开始的地方,当分区信息开始的地方为80H时表示是主引导分区,其他的为扩展分区,主引导分区被定义为逻辑盘C盘,然后查找扩展
3、分区的逻辑盘,被定义为D盘,以此类推找到E,F,G.....“逻辑锁”就是在此下手,修改了正常的主引导分区记录将扩展分区的第一个逻辑盘指向自己,DOS在启动时查找到第一个逻辑盘后,查找下个逻辑盘总是找到是自己,这样一来就形成了死循环,这就是使用软驱,光驱,双硬盘都不能正常启动的原因。实际上这“逻辑锁”只是利用了DOS在启动时的一个小小缺陷,便令不少高手都束手无策。知道了“逻辑锁”的“上锁”原理,要解锁也就比较容易了。解决办法:方法一:把rescue.exe拷贝到一张空白的1.44MB软盘上,插入软驱,然后运行。显示“OK”之类的提示信息
4、后,你就有了一张江民炸弹的解锁盘,如果你发现里面一个文件也没有,不要惊讶,你没有做错什么,就是这个样子的。快试试吧,用这张恢复盘启动机子,如果出现unlock的字样,那就恭喜你,成功地解锁了!想当年,我用这张解锁盘给朋友解锁,可没少美餐啊!她们是怎么中的就不用我说了吧,嘻嘻^_^!方法二:修改DOS启动文件首先准备一张DOS6.22的系统盘,带上debug、pctools5.0、fdisk等工具。然后在一台正常的机器上,使用你熟悉的二进制编辑工具(debug、pctools5.0,或者是运行在Windows下的Ultraedit都行)修
5、改软盘上的IO.SYS文件(修改前记住改该文件的属性为正常),具体是在这个文件里面搜索第一个“55aa”字符串,找到以后修改为任意其他数值即可。用这张修改过的系统软盘你就可以顺利地带着被锁的硬盘启动了。不过这时由于该硬盘正常的分区表已经被逻辑炸弹给恶意修改了,你无法用FDISK来删除和修改分区,而且仍无法用正常的启动盘启动系统,这时你可以用DEBUG来手工恢复。使用DEBUG手工修复硬盘步骤如下:a:>debug-a-xxxx:100movax,0201读一个扇区的内容-xxxx:103movbx,500设置一个缓存地址
6、-xxxx:106movcx,0001设置第一个硬盘的硬盘指针-xxxx:109movdx,0080读零磁头-xxxx:10cint13硬盘中断-xxxx:10eint20-xxxx:0110退出程序返回到指示符-g运行-d500查看运行后500地址的内容这时候会发现地址6be开始的内容是硬盘分区的信息,发现此硬盘的扩展分区指向自己,这就使DOS或Windows启动时查找硬盘逻辑盘进去死循环,在DEBUG指示符下用E命令修改内存数据具体如下:E6BExx.0xx.0xx.0
7、...................................................................55AA55AA表示硬盘有效的标记,不要修改,xx0表示把以前的数据“xx”改成0,再用硬盘中断13把修改好的数据写入硬盘就可以了,具体如下:A:>debuga100表示修改100地址的汇编指令-xxxx:100movax,0301写硬盘一个扇区-xxxx:这里直接按回车-g运行-q退出然后运行FDISK/MBR(重置硬盘引导扇区的引导程序),
8、再重新启动电脑就行了。怎么样?用这种方法处理够简单的吧?而且这种方法还有一个好处就是可
此文档下载收益归作者所有
