一、norun
norun是個惡作劇軟件,它只有一個可執行文件,12288字節大小,運行于Win98/ME下.運行后要求回答三道算數題.雖然題目很簡單,但是一旦答錯,機器將連續重啟動12次(每次都有提示)后恢復正常.除此之外,沒有其他影響.因此,norun是個真正的惡作劇軟件,對大家的威脅并不大.不過,如果機器真的重新啟動12次的話,也夠恐怖的!所以也要掌握應對它的方法.
最直接的方法是你回答對那三道題就可以了.不要擔心,是小學二年級的都會做的算數題.
如果你回答對了,就會出現對話框,點擊"確定"軟件運行結束.由于你回答對了,所以不會出現連續重啟動12次這樣的現象.
如果你擔心自己馬虎回答錯誤(如果這個也回答不正確,那也太……),可以用進程管理軟件終止該進程,這樣就可以了.我們以Windows優化大師為例.運行Windows優化大師,點擊"系統安全優化"→"進程管理",在彈出的窗口中選中norun,點擊"終止"按鈕即可終止運行它,從而避免了norun造成的12次重啟.
點評:純粹的惡作劇軟件,可以用來跟朋友開玩笑用.
惡毒程度:★
二、ilr
ilr也是個惡作劇程序,文件大小15KB.這么小的程序能干些什么破壞呢?它是個捉弄人的程序,運行后會把硬盤上所有分區里的文件夾通通變成回收站!使得你無法通過點擊進入該文件夾!天啊,我要是想進入文件夾該怎么辦呢?別著急,恢復方法是用以下格式運行該軟件即可:xxxx.exe -recover,要記牢格式哦!
點評:一個很另類的惡作劇軟件,不破壞數據,不會讓你無法進入系統中,但是它會讓你無法進入文件夾,使你干著急,可以用來跟朋友開玩笑用.
惡毒程度:★★
三、FUHD
這是一個垃圾文件生成器,程序運行后會在各磁盤(C:-H:)的每一個根目錄、第一級子目錄和第二級子目錄生成隨機文件名的垃圾文件.很久以前有個軟件hdfill.exe有相似的功能,但是該hdfill需要VB4的運行庫才能運行,在沒有VB4運行庫的機器中不能運行該程序.而該程序是用VB5編寫的,雖然存在運行庫的問題,但Win98中已經帶有VB5的運行庫,所以該程序可以在許多電腦中運行成功.也就是說許多朋友都有中招的可能和危險!
FUHD壓縮包由四個文件組成:
FUHD.exe:大小10752字節,所用圖標為VB5的安裝程序所用圖標.直接在磁盤上生成垃圾文件,程序在后臺運行,全過程沒有任何提示.
setup.exe:大小10752字節,所用圖標為VB5的安裝程序所用圖標.運行后在后臺生成垃圾文件.
Undo.exe:大小6656字節.這是作者提供的刪除上面兩個EXE生成的垃圾文件的文件,如果你中招了,可以找來該文件,運行后就可以清除那些垃圾文件.
readme.txt:說明文件.
點評:雖然說現在很多人都有大硬盤,但是大量的垃圾文件分布在各個目錄中,也是一件很麻煩的事.而且目錄中含有過多的文件,會大大減慢系統的速度.作為惡作劇軟件,它的危害不大.但如果不知道解除方法,也很討厭.
惡毒程度:★★☆
四、Carem3
Carem3是網絡休閑莊(一個黑客網站)技術顧問Carem的作品,這是一個非常狠毒的惡意攻擊軟件,運行后如果不知道正確的破解方法,那肯定是要重裝系統的.解壓后的Carem3只有一個文件Carem3.exe,這是它所用的圖標(左圖),大家記住了,輕易不要運行使用這個圖標的軟件,因為給你下套的人會給它改名的,所以記住它的文件大小也是個不錯的識別方法,Carem3.exe文件大小321536字節.
此時鼠標被控制在一定范圍內,無法點擊屏幕上的按鈕,按動回車鍵就會彈出個窗口警告你不要隨意運行可執行程序,說這只是個教訓之類的話,然后會自動重新啟動電腦,但你再也無法進入心愛的Windows桌面了!如果你沒有按動任何鍵,Carem3也不會放過你,它會自動倒記時,從20秒到0就重新啟動電腦,使你的系統崩潰!
程序的基本原理是破壞C:\windows\system\下的vmm32.vxd文件.vmm32.vxd是虛擬設備驅動程序,正常文件大小913413字節,文件修改時間為1999-01-13,就是由于它被破壞了(文件被替換為同名文件,大小變為81531字節,文件修改時間變為1998-06-19),導致你的計算機不能進入Windows系統.
作者提供的破解方法是:在開機的時候按F8選擇Command prompt only方式進入DOS下,之后在提示符后執行repair,就可以解決了.另外你事先備份了vmm32.vxd文件,就可以使用另外一個破解方法:用啟動盤從A盤啟動計算機,將備份的vmm32.vxd復制到c:\windows\system\里,重新啟動計算機就可以了.如果沒有備份,到其他計算機上復制一個來吧.
除了上面說的那兩個方法,還有一個更簡便的破解方法.我們在Carem3.exe剛運行后,倒記時尚未結束前,按住ALT+F4鍵關閉軟件窗口(不要指望能通過按Ctrl+Alt+Del來終止它,作者早就將這些按鍵屏蔽了),此時你的鼠標將被鎖定在桌面的某個小范圍內(屏幕中央偏右一點),鼠標是無法使用了.但是如果你自己不重新啟動電腦的話,Carem3.exe也不會自動重新啟動你的電腦——因為它已經被關閉了.此時的你可以使用鍵盤來操作,如果嫌麻煩,直接重新啟動電腦即可.不要害怕,我們按ALT+F4時已經將軟件關閉了,在破壞開始前就將它給消滅了,所以這次重新啟動電腦和我們平常重新啟動電腦一樣,是安全的!順便說一句如果你的系統是Win2000以下就要小心它了!
點評:比較惡毒,因為一般人想不到它會破壞vmm32.vxd,不過還好,作者提供了破解的方法,所以還在可控范圍內.
惡毒程度:★★★
五、妖之吻
妖之吻是千年老妖的作品.下載解壓后大小252KB,只有一個文件名為yzw.exe的可執行文件,它的外表看起來很友善——圖標是兩只握在一起的手!如果你被這表面上的友善所打動,雙擊運行了這個程序,哈哈,你的惡夢就此開始了!
首先,屏幕上會出現一個不大好看的窗口,上面寫著"親愛的,給你一個關機之吻",同時在窗口中顯示60、59、58……這樣的倒計時數,記時到"0"系統就自動重新啟動.當你再次聽到Windows的啟動聲音,以為沒什么事的時候,那個可惡的"親愛的,給你一個關機之吻"又出現了,然后再次重啟,如此反復,陷入一個死循環中,使你根本無法進入你的系統.你若想在那個窗口出現時按"Ctrl+Alt+Del"來終止它,根本就不管用,因為作者將熱鍵屏蔽掉了.呵呵,這深情一"吻"不好受吧?
怎么辦?你要刪除它的主文件?好吧,假設你是在c盤根目錄下運行的yzw.exe,刪除它以后你再進入系統時,會出現對一個話框提示你"裝載c:\yzw.exe失敗,必須重新安裝Windows",這時你只能點擊對話框上的"確定"按鈕,點擊后這個世界果然清凈了許多——系統自動關機了.你若想通過安全模式進入Windows也是行不通的,它還會出現上面所說的提示,然后直接關機.那它到底是怎樣控制我的系統的呢?我給你一個提示,看看這句話:"裝載c:\yzw.exe失敗",對!它要裝載yzw.exe文件,要裝載它就可能從注冊表,win.ini,system.ini等入手,那么這個"吻"到底從何處加載的呢?
實際上,妖之吻運行后會修改c:\windows\system.ini文件,將其中的shell=explorer.exe改為了shell=c:\yzw.exe.當你再次開機時,所中的妖之吻會被自動加載運行.從這里可以看出,妖之吻用自己的主文件代替了Windows的explorer.exe文件,explorer.exe是Windows的外殼程序,在Windows啟動的時候要加載它,由于yzw.exe和explorer.exe的啟動運行不一樣,因此中了妖之吻之后,改注冊表和win.ini沒有用.而且你不能刪除yzw.exe,一旦刪除它,Windows就會提示報錯,要你重新安裝Windows.注:這里c:\代表絕對路徑,如你是在d:\aaa下運行的yzw.exe,相應的shell就為d:\aaa\yzw.exe.
解決辦法:這里共有五種方法提供給大家,用哪種方法都可以的.
方法1:由于妖之吻是在system.ini中作怪,我們到那里把它消滅就可以破解它了.具體方法是:機子重啟后按Shift+F5進入Command prompt only方式,鍵入命令edit system.ini編輯system.ini文件,把其中的shell:=絕對路徑\yzw.exe改為shell=Explorer.exe,存盤退出,再重啟機子就可以進入那熟悉的Windows桌面了.
方法2:同理用edit命令編輯system.ini文件,不過這次是將shell這條語句刪除,存盤退出,重啟即可破解妖之吻的控制.
方法3:由A盤啟動,將其它機子上的explorer.exe文件改名為yzw.exe,并將改名后的explorer.exe文件拷貝到yzw.exe所在的目錄覆蓋原來的yzw.exe文件,系統重啟后就可以了.如果你覺得每次加載在Shell后的文件名為yzw.exe不大好,可以再用msconfig.exe將它該回為explorer.exe這個文件名.
方法4:大家都知道Windows的窗口可以用組合鍵Alt+F4來關閉,在這里這個組合鍵依然有效.在你第一次運行yzw.exe文件,出現倒記時窗口的時候,按Alt+F4鍵可以關閉這個窗口,然后點擊"開始"→"運行"調出"運行"對話框,鍵入msconfig.exe回車,這樣就打開了系統配置實用程序,點擊system.ini標簽,找到[boot]小節,把shell=yzw.exe(當然前面還有yzw的路徑)改成shell=Explorer.exe,這樣就徹底解決了妖之吻.
方法5:系統中如果有事先備份的System.ini文件,就可以在機子重啟后按Shift+F5進入Command prompt only方式,然后把事先備份的System.ini文件拷貝到C:\Windows下,覆蓋原文件即可.
點評:"老妖出品,必屬精品!""妖之吻"是惡作劇軟件中的精品!一個可以促使菜鳥進步的小軟件.并且它在"江湖"中出現的很早,所以對大家的威脅沒有它剛出現時那么大了.
惡毒程度:★★★☆
六、布萊爾之夜
布萊爾之夜也是個惡意程序,如果你不知道解除方法,后果比上面介紹過的兩個惡意程序還要可怕!下載后只有一個文件blair.exe,大小252,416字節,所用圖標有閃電一道(左圖).不小心運行了blair.exe后會出現一個陰暗的畫面,畫面中間仿佛是中世紀的一個陰暗城堡,很恐怖哦!如果你想通過按CTRL+ALT+DEL組合鍵來終止它的運行,那是不可能成功的!作者早就考慮到了這一招,把熱鍵都給屏蔽掉了!正當你對著這個討厭的畫面一籌莫展時,電腦自動重新啟動了!當可愛的Windows桌面出現時,那個討厭的陰暗畫面也隨之出現了!等5秒種左右,電腦又被重新啟動,于是一個循環又開始了!最可惡的是,作者把ALT+F4也給屏蔽了!這樣我們就不能通過關閉窗口,然后再檢查注冊表或Win.ini、System.ini等文件,來對付這個惡意程序.
原來,blair.exe被運行后,除了屏蔽了所有熱鍵外,還在C:\Windows下生成syswf.exe文件,大小仍為252,416字節,并且在注冊表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下建立串值syswf,其鍵值為C:\Windows\syswf.exe,這使得syswf.exe在系統啟動時被加載,因此造成重啟不斷,循環不止.
解決辦法:有五種方法提供給你,自己選擇吧!
方法1:當blair.exe被運行,出現那個陰暗的畫面后,趕快按F11鍵2秒以上,就會彈出個對話框,上面寫著"布萊爾之夜已成功卸載,請重新啟動計算機",按對話框上的"確定"鍵機器就會重新啟動,這樣就成功結鎖了!但是C:\Windows下的syswf.exe文件并沒有被刪除,還得把它刪除才算真正的清除了布萊爾之夜.
方法2:當系統重新啟動,桌面出現時,趕緊(動作一定要快)按"開始"→"運行"菜單,在彈出的"運行"對話框中輸入msconfig,回車,然后點擊"啟動"標簽,將復選框syswf C:\Windows\syswf.exe前面的"√"去掉.如此操作后,機子還會重啟(還在syswf.exe控制下),但這是最后一次了.重新進入系統后,將注冊表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的的串值syswf刪除就可以了!慢!那個C:\Windows下的syswf.exe文件還沒刪除,不能算干凈的清除了,趕快刪除它吧!
方法3:機子重啟后按Shift+F5進入Command prompt only方式進入DOS下,進入C:\Windows下,找到syswf.exe文件刪除,然后重新啟動電腦,到注冊表中將相應的鍵值刪除即可.
方法4:用A盤啟動,拷貝其它電腦上的可執行文件,比方說msconfig.exe,并改名為syswf.exe,拷貝到C:\Windows下,覆蓋原文件.這樣就使啟動時的文件變為msconfig.exe,可以解鎖了.然后再到注冊表中將布萊爾之夜所創鍵值刪除,就成功的擺脫了討厭的"布萊爾之夜"了!
方法5:布萊爾之夜由于沒有替代windows的外殼,因此可以重啟電腦到"安全模式"下,然后將C:\Windows下的syswf.exe文件和注冊表中的串值syswf刪除,到此就可以了.
點評:布萊爾之夜不破壞硬盤數據,只是讓你的電腦不斷重啟,對付它還算容易.但對于新手它的威脅可一點也不小.
惡毒程度:★★★☆
七、limit
這也是網絡休閑莊的作品.解壓縮后有三個文件:limit.exe、limitkill.exe和help.txt.help.txt是說明文件,里面有軟件的說明;limit.exe就是為系統攻擊程序(WIN98下),文件大小406528字節,還是讓我們來看看它的"面目"認識一下它吧(左圖).被攻擊后的Win98系統不能執行任何應用程序,但不會對系統文件做任何破壞.用來惡作劇很安全(因為它不破壞數據嘛);limitkill.exe為清除文件,運行此文件后重新啟動計算機或注銷當前用戶來重新登錄,會使系統恢復到正常!
此程序不屬于純惡作劇的東東,它可以做為一個系統限制工具,用來在自己長時間不用計算機又怕別人使用時對計算機的限制.
可能有朋友要問了:"該軟件運行后能鎖住計算機里的所有程序,你將不能運行包含limitkill.exe文件在內任何應用程序.但要運行limitkill.exe文件該怎么辦呢?"是的,這的確是個問題!不過,我們可以利用一個小竅門嘛.竅門就在這里:打開"我的電腦",點擊"計劃任務",再點擊"添加已計劃的任務",將破解程序limitkill加入到計劃任務里,選擇"當啟動計算機時"即可,重新啟動計算機后就解除封鎖了.
點評:如果不知道解法,也很惡毒.如果知道解法則另有它用.
惡毒程度:★★★☆
八、網戀絕招
網戀絕招下載解壓后大小323,584字節.只有一個可執行文件lovetty.exe,和大家常用的軟件"追捕"的圖標一樣,莫非惡意程序都如此^_^?因此如果改名為wry.exe(追捕的主文件名),那么就很容易使人上當!如果你不小心執行了lovetty.exe,就會出現如圖所示畫面.
并從30開始倒記數,到了0系統就自動重新啟動了!系統啟動后并不直接進入Windows,而是又進入網戀絕招的倒計時界面,如此循環下去……程序屏蔽了絕大多數的熱鍵,你不能通過CTRL+ALT+DEL等熱鍵終止程序運行.想到"安全模式"下?還是不行!會提示你"裝載c:\lovetty.exe失敗,必須重新安裝Windows",是不是和"妖之吻"很相像?其實這個軟件本來就是模仿"妖之吻"編制的.
當lovetty.exe被運行后,第一個動作就是將System.ini文件里[boot]下面的第三行變為shell=絕對路徑\lovetty.exe,目的是將自身寫進System.ini文件里,替代Windows系統的外殼程序explorer.exe,然后開始以下循環:進入到計時→關閉WINDOWS系統→重新啟動系統.只要系統運行到shell=絕對路徑\lovetty.exe這一項時,就會重新執行網戀絕招,從而使系統進入上述惡性循環."網戀"看來很"苦"哦!
解決辦法:由于網戀絕招與妖之吻的實現原理一樣,因此清除方法也大致相同.
方法1:作者其實留了個"后門".仔細看上圖中所示畫面,找到屏幕下端最后一行字:"解法就一種,本界面上就有出口,你慢慢找吧!"哈哈,"后門"就在這行文字中,確切的說就在那個"解"字上.用鼠標點擊那個"解"字,就解除了惡性循環,也就安全的解除了網戀絕招的控制!
方法2:其它解除控制的方法可參照妖之吻解決辦法!
點評:與"妖之吻"太相像了,又出現在"妖之吻"之后,"既生渝,何生亮"恐怕是其真實處境的寫照,但對廣大網友而言它的威脅還是瞞大的.
惡毒程度:★ ★ ★ ☆
九、惡作劇之王
"不要摸我的左眼,否則你會后悔的!",當你看到右眼被黑眼罩蒙住的克林頓在屏幕上說這句話時,你就要小心了,鼠標千萬不能碰到他的眼睛!如果你不小心碰到了頭像的左眼,機器會立刻重啟,你的所有硬盤都將被格式化!怎么回事?哈哈,你碰到了大名鼎鼎的"惡作劇之王"了!
惡作劇之王是個惡意程序,前面提到的幾個惡意程序和它相比,簡直是小巫見大巫!前面介紹的那幾個程序有一點好處,它們都不破壞硬盤數據.但惡作劇之王就不同了,如果你處理不當,它就會格式化你的硬盤,使你所有的資料都被刪除!恐怖吧?
下載解壓后只有一個文件Sex.exe,圖標是一個MM的頭像,如果你想入非非,用鼠標雙擊運行了這個程序,它會讓你大失所望——屏幕上出現了克林頓的頭像!此時你一定得加倍小心,千萬不要去碰他的左睛,只要一碰他的左眼,就會彈出來一個窗口,上面寫著"你一定想按回車鍵吧."如果你按了回車鍵,系統將會重新啟動,并格式化所有的硬盤.如果沒碰到頭像的左眼就不會有事.
這到底是怎么回事呢?原來,當你的鼠標指向那個左眼后,程序就向C:\Windows\temp\Vbe下復制一個副本文件Sex.exe,然后向Autoexec.bat中寫入快速格式化命令,從最后一個盤格起,然后鎖定你的鼠標,只要你按回車,便立刻重啟并切換到DOS格式(主要是因為在Windows下無法格式化C盤).在程序退出之前,自動執行一次Autoexec.bat,此時已經開始格盤了!當到了系統所在分區,就重新啟動機器.重新啟動后,開始在純DOS下再一次格盤,由于使用了快速格式化命令,很快你的硬盤就開始洗澡了,呵呵.即便你的系統中的Format.com早已被你刪除也沒有用,作者在程序中采用了文件流的方法,檢測是否存在Format.com,如果不存在就生成一個(惡毒呀).程序在運行后就鎖定了系統功能鍵和鼠標,同時修改了msdos.sys文件,加入了BootKeys=0這一行,目的是使啟動功能鍵無效,也就是使 F4,F5,F8這些功能鍵無效.如果沒碰到頭像的眼睛,就不會激活格式化功能,因此就不會有什么事了.
解決辦法:給你提供了四個方法,你自己選擇其中的某一個吧!
方法1:如果你的鼠標沒有點在頭像的左眼上,此時千萬不要亂動,趕快運行進程管理軟件,終止進程sex.exe即可.大家常用的軟件如windwos優化大師中就有進程管理功能,點"系統安全優化"->"進程管理",就可以看到sex.exe這個進程,選中它,點擊"終止"即可終止sex.exe的運行.好了,那個討厭的家伙從屏幕上消失了,可以松一口氣了.
方法2:如果你的鼠標已經點在它的左眼上了,那就立即關機(1秒鐘都不要猶豫),由A盤啟動,并檢查C盤是否被格掉了,如果沒有被格掉,可以刪除Autoexec.bat和C:\Windows\Temp\Vbe下的SEX.EXE,然后進入Win98,使用RecoverNT恢復后面的分區.如果你的動作像蝸牛,那你的硬盤肯定全被格掉了!此時可以試一下UNFORMAT,不過,只能恢復FAT16的硬盤哦.
方法3:如果不幸中彈,趕快到軟件作者的主頁(http://lovejingtao.126.com)下載恢復工具,用恢復工具可以恢復硬盤中的數據.
方法4:再不然,重裝系統,然后使用RecoverNT恢復后面的分區.
點評:非常惡毒!是個可怕的家伙,大家要小心它.
惡毒程度:★★★★★
十、江 民炸彈
江民炸彈是個更厲害更恐怖的惡意程序,是我見過的最狠毒的硬盤炸彈之一.為什么叫"江民"炸彈,我想大家也都知道吧?畢竟用過KV系列軟件的人有很多,如果當年你曾中過KV殺毒軟件的邏輯炸彈,那么對這個"江 民"炸彈你也不會陌生——會有熟悉的感覺哦^_^!
軟件解壓縮后有4個文件,一個是說明文件readme.exe,一個是制作解鎖盤用的文件rescue.com,還有兩個文件就是江 民炸彈了.它們的名字分別為Jmbs.arj、JMBOS. zip,其實它們都是一個文件壓縮而成,只不過擴展名不同而已.如果你把它們解壓會看到jmbs.exe文件,大小為1809字節.這個jmbs.exe就是江 民炸彈了.如果你不小心運行了它,機器的硬盤將會被死鎖住,無論你用軟驅還是光驅,都不能啟動計算機,硬盤和報廢了沒什么區別!如果不懂得解法,基本上就只有買硬盤了!哈哈,恭喜恭喜,可以升級了(誰拿臭雞蛋丟我)!
軟件原理:計算機在引導DOS系統時將會搜索所有邏輯盤的順序,當DOS被引導時,首先要去找主引導扇區的分區表信息,位于硬盤的零頭零柱面的第一個扇區的OBEH地址開始的地方,當分區信息開始的地方為80H時表示是主引導分區,其他的為擴展分區,主引導分區被定義為邏輯盤C盤,然后查找擴展分區的邏輯盤,被定義為D盤,以此類推找到E,F,G....."邏輯鎖"就是在此下手,修改了正常的主引導分區記錄將擴展分區的第一個邏輯盤指向自己,DOS在啟動時查找到第一個邏輯盤后,查找下個邏輯盤總是找到是自己,這樣一來就形成了死循環,這就是使用軟驅,光驅,雙硬盤都不能正常啟動的原因.實際上這"邏輯鎖"只是利用了DOS在啟動時的一個小小缺陷,便令不少高手都束手無策.知道了"邏輯鎖"的"上鎖"原理,要解鎖也就比較容易了.
解決辦法:
方法一:把rescue.exe拷貝到一張空白的1.44MB軟盤上,插入軟驅,然后運行.顯示"OK"之類的提示信息后,你就有了一張江 民炸彈的解鎖盤,如果你發現里面一個文件也沒有,不要驚訝,你沒有做錯什么,就是這個樣子的.快試試吧,用這張恢復盤啟動機子,如果出現unlock的字樣,那就恭喜你,成功地解鎖了!想當年,我用這張解鎖盤給朋友解鎖,可沒少美餐啊!她們是怎么中的就不用我說了吧,嘻嘻^_^!
方法二:修改DOS啟動文件
首先準備一張DOS6.22的系統盤,帶上debug、pctools5.0、fdisk等工具.然后在一臺正常的機器上,使用你熟悉的二進制編輯工具(debug、pctools5.0,或者是運行在Windows下的Ultraedit都行)修改軟盤上的IO.SYS文件(修改前記住改該文件的屬性為正常),具體是在這個文件里面搜索第一個"55aa"字符串,找到以后修改為任意其他數值即可.用這張修改過的系統軟盤你就可以順利地帶著被鎖的硬盤啟動了.不過這時由于該硬盤正常的分區表已經被邏輯炸彈給惡意修改了,你無法用FDISK來刪除和修改分區,而且仍無法用正常的啟動盤啟動系統,這時你可以用DEBUG來手工恢復.使用DEBUG手工修復硬盤步驟如下:
a:\>debug
-a
-xxxx:100 mov ax,0201 讀一個扇區的內容
-xxxx:103 mov bx,500設置一個緩存地址
-xxxx:106 mov cx,0001 設置第一個硬盤的硬盤指針
-xxxx:109 mov dx,0080 讀零磁頭
-xxxx:10c int 13硬盤中斷
-xxxx:10e int 20
-xxxx:0110退出程序返回到指示符
-g運行
-d500查看運行后500地址的內容
這時候會發現地址6be開始的內容是硬盤分區的信息,發現此硬盤的擴展分區指向自己,這就使DOS或Windows啟動時查找硬盤邏輯盤進去死循環,在DEBUG指示符下用E命令修改內存數據 具體如下:
E6BE
xx.0 xx.0 xx.0...............
.............................
.......................55 AA
55 AA表示硬盤有效的標記,不要修改,xx0表示把以前的數據"xx"改成0,再用硬盤中斷13把修改好的數據寫入硬盤就可以了,具體如下:
A:\>debug
a 100 表示修改100地址的匯編指令
-xxxx:100 mov ax,0301 寫硬盤一個扇區
-xxxx: 這里直接按回車
-g 運行
-q 退出
然后運行FDISK/MBR(重置硬盤引導扇區的引導程序),再重新啟動電腦就行了.
怎么樣?用這種方法處理夠簡單的吧?而且這種方法還有一個好處就是可以保住盤上的數據!如果你不需要保數據的話,還有更加簡單的處理方法:
方法三:巧設BIOS,用DM解鎖
大家知道DM軟件是不依賴于主板BIOS的硬盤識別安裝軟件(所以在不能識別大硬盤的老主板上也可用DM來安裝使用大容量硬盤).就算在BIOS中將硬盤設為"NONE",DM也可識別并處理硬盤.
首先你要找到和硬盤配套的DM軟件(找JS要或去網上蕩),然后把DM拷到一張系統盤上.接上被鎖硬盤,開機,按住DEL鍵,進CMOS設置,將所有IDE硬盤設為"NONE"(這是關鍵所在!),保存設置,重啟動,這時系統即可 "帶鎖"啟動.啟動后運行DM,你會發現DM可以繞過BIOS,識別出硬盤,選中該硬盤,分區格式化,就OK了.這么簡單?不過這種方法的弱點是硬盤上的數據將全部丟失.
方法四:對硬盤進行熱拔插
在加電熱拔插之前應該先做好了一切的準備,并盡可能想一下會出現的問題,把硬盤的電源線先給拔松了一點,防止在熱拔插時拔不出來,那就遭了,不過也不能太松不然會找不到硬盤的,找一張軟盤啟動盤,并插到軟驅里,加電開機,看著熟悉的畫面,心中盡管有些激動,但你的手可千萬不要抖啊,不然硬盤燒掉就慘了!眼睛牢牢盯住你的顯示器,軟驅燈亮之前(就是要在DOS自舉之前并且裝入硬盤驅動后,)按下鍵盤上的"PAUSE"!再把硬盤上的電源線的給拔掉,然后就恢復暫定,一直到DOS啟動完成出現DOS提示符的時候,這時你再把電源線給插到硬盤上去,這時如果硬盤沒壞的話,就會發現已經可以用磁盤分區工具FDISK命令來查看硬盤的分區表了,不過沒有這么簡單,里面的分區表已經被邏輯炸彈給惡意修改了,只能查看不能修改也不能刪除而且一團糟,用普通的辦法還是不能解決的,此時只有用DEBUG來手工恢復了!具體方法同方法二.不過只能修復C盤也就是主引導分區,因為擴展分區已經修改了.恢復了以后,硬盤就可以用FDISK把主引導分區的其它空間分成擴展分區與邏輯盤了.一切OK!
方法五:利用分區表備份恢復
這是最簡單的方法,在平時將硬盤的分區表備份一個(沒有的話,找一個與之相同型號的硬盤的分區表也可以),萬一硬盤被邏輯炸彈干掉了,用軟盤都起不動的話,可以在BIOS里將硬盤設為"NONE",啟動后,將分區表的備份恢復回去,然后將硬盤的設置改回來,從新啟動fdisk就可以了.以上的工作,不需要找什么特別的軟件,一般的殺毒軟件,如瑞星,KV3000都可以的.還有,如果有條件,最好裝一塊硬盤保護卡,可以對付絕大部分的病毒,至少,系統不會被破壞——出了問題,冷啟一下就可以了.像CIH這樣直接修改BIOS數據的都可以恢復.
方法六:用硬盤邏輯鎖解鎖程序
如果硬盤被鎖死的癥結根源在于DOS中的IO.SYS文件,它包含LOADER、IO1、IO2、IO3四個模塊,其中IO1中包含有一個很關鍵的程序SysInt_I,它在啟動中很固執,非要去讀分區表,而且不把分區表讀完誓不罷休.如果碰上分區表是循環的,它就只有死機了(通常硬盤分區表被鎖住以后,形成一個閉合的循環鏈,IO.SYS從鏈頭讀起,試圖讀取所有分區的信息,從而形成死循環.如果修改IO.SYS文件,這樣讀的第十個扇區結尾處不是55 AA,就認為不是一個邏輯分區的主引導記錄,停止讀盤,跳出死循環鏈.我們用UltraEdit打開C:\IO.SYS,查找"b9 01 00 cd 13"(MS Dos6.22只有一處,Win98有2處要修改),改為"b9 10 00 cd 13".不過,這樣操作后,這樣即使硬盤分區表是完好的,啟動后也不認硬盤.所以修改IO.SYS以后,如果要正常訪問硬盤還要將IO.SYS恢復原狀.).很明顯,這是DOS的脆弱性和不完備性.其實這也不能怪DOS,因為DOS為了獲得硬盤使用權,就必需讀分區表參數,而且DOS還約定驅動器號不能超過26,只不過沒有考慮到此等循環分區表情形.一句話,機子不能啟動不過是DOS操作系統造成的,如果另寫一個操作系統,或許就能啟動機子.當然這只是說個笑話.
明白了病因在于DOS,問題就好辦了.DOS啟動中不是要讀硬盤分區表嗎?我不讓你讀分區表甚至連硬盤都不讓你讀,不就可以順利啟動了.的確是這樣的,開硬盤鎖的程序實現方法就是基于這個思想形成的.當然,這只有從軟盤啟動著手了.
我們當然不用自己去動手編制這樣的程序了,因為已經有好心的網友提供了這樣的程序,以下為某網友編制的硬盤邏輯鎖解鎖程序,對付硬盤邏輯鎖非常有用,下載地址:
ftp://202.110.213.90/wenxinjy/fix-io.rar,含源代碼及目標程序,共1020字節.
使用方法:如果你的硬盤被老王的邏輯鎖給鎖住了,把這個小工具復制到你的引導盤上,運行它Modify一下,然后用它來引導被鎖的機器.一切OK.注意修復硬盤后Restore回來.當然你運行它時,軟驅要打開寫保護啦.
好了,有了上面這些方法你就不用再害怕邏輯炸彈了.如果你不小心"中彈",就試試上面這些方法吧.
點評:對我來說,它應該是個毀譽參半的家伙,一方面它的確很惡毒,可以破壞硬盤數據;另一方面它為我嬴得了許多美餐,所以對它有一定的感情(是誰拿臭雞蛋丟我).
惡毒程度:★★★★★
十一、Diskboom
如果你的屏幕無端出現一個DOS框,并有一行英文"your system is now locked by diskboom,please reset"那就證明你中了最無恥的Diskboom了!這時候你千萬不要按屏幕上的提示去重新啟動計算機,因為那樣的話,你就再也找不到你的硬盤了,就算光盤引導,軟盤引導都無效!
你應該去黑客網站去下載一個Diskboom(如果不幸重起了,那么去朋友家或者網吧下一個,千萬不要扔掉硬盤哦^_^),然后把壓縮包里面的恢復程序復制到一張系統盤,在盤上建立一個Autoexec.bat文件,第一行輸入"恢復程序.exe",目的是自動執行恢復程序,這一點是最關鍵的,readme里面沒有說明.最后,拿這張盤引導系統,如果你看到屏幕上出現"unlocked"提示,就說明你的硬盤又"活"了,趕快感謝上帝吧!:)
點評:非常狠毒,如果知道解法則另有它用——比方說給朋友下套后,讓其請客吃飯,:)不過,被朋友發現了你就慘了!
惡毒程度:★★★★
十二、硬盤終結者
硬盤終結者是蔬菜工作室的作品,作者蔬菜就是著名的反彈端口木馬網絡神偷的作者(注:作者已經開發出網絡神偷XP版,大家要小心嘍),所以即便是不運行硬盤終結者也能猜測出它有多厲害.硬盤終結者共有兩個版本1.0和1.1,兩者的區別是1.0版由兩個文件組成:Sector.vxd和HDBreak.exe,而1.1版作者將Sector.vxd與主程序HDBreak.exe合并為一個文件:HDBreaker.exe.因此它非常適合和其它文件捆綁在一起,對眾多的電腦用戶的威脅非常大!由于此程序太過危險,作者已經停止開發新版本.
由于使用了VxD技術,所以硬盤終結者能在Windows環境中直接寫硬盤扇區,和其它同類軟件不同,硬盤終結者不必等待電腦重啟就可以對硬盤進行破壞.運行后立即進行破壞,不會顯示任何界面,它會從硬盤第一物理扇區(0柱0面1扇區)開始,向其中寫入內存垃圾數據,與CIH病毒發作時的表現相似,據作者說就是從CIH那里學來的.
說句心里話,在硬盤終結者的主文件HDBreaker.exe之前,我心里也直犯嘀咕,對于到底是否運行該程序也猶豫不決.畢竟它是會破壞數據的惡意程序呀.但為了得到第一手資料,我就豁出去了.不過,為了穩妥起見我是在單位上的沒有有用資料的電腦上運行的,事實證明我這個決定是正確的、英明的!如果我在本機上運行該軟件,那我的硬盤數據恐怕就會蕩然無存了,也就不會有此文了.
癥狀表現:運行HDBreaker.exe后,在該目錄下出現一個名為Sector.vxd的VXD文件,緊接著機箱上的硬盤燈狂閃不止,鼠標略有凝滯感,看來是大事不好!連忙按Ctrl+Alt+Del想重啟電腦,沒有用!看來作者早就把Ctrl+Alt+Del給屏蔽了.試著運行一些應用程序,有些可以正常運行,而有一些應用程序則無法運行,點擊圖標,顯示"非法操作"信息.后來,連復制、粘貼等常用操作也無法進行!為了得到確切的數據,我對其進行了多次測試,結果每一次的后果都不同,有兩分鐘后藍屏死機的,還有運行十多秒后死機的,也有不斷藍屏但不死機這種情況出現……最終的表現為重啟電腦后引導失敗,用A盤引導,同樣無法找到硬盤分區.試圖進入C盤,出現RETRY? ABORT? FAIL?這樣的提示信息;D盤和E盤則為"INVALID DRIVE SPECIFICATION"這樣的提示信息.
被硬盤終結者破壞的硬盤其C盤的數據是無法完全恢復的!其它分區中的數據能否恢復要看你的本事了.如果軟盤上有主引導區(分區表)的備份,只需將它恢復后再重啟電腦就可以看到C盤以外的其它分區了.在此基礎上,如果其它分區上有C盤的Ghost映象的話,將C盤格式化以后再將其還原,可將損失降到最小.
如果使用軟件恢復硬盤數據,只有江民公司的KVW3000和金山毒霸2001能成功修復除C盤以外的硬盤數據,其它殺毒軟件無法恢復被硬盤終結者破壞后的硬盤數據.不過,令人遺憾的是KVW3000和金山毒霸2001創建的恢復盤也無法恢復C盤數據.
說明:硬盤終結者只能運行于Windows95/98/Me下,所以對Win2000和WinXP用戶沒有任何威脅.另外,被硬盤終結者破壞后,硬盤能低級格式化,硬盤還能使用,所以如果一旦中招可以想辦法恢復硬盤數據,即便是恢復不成功,也不要把硬盤仍了,至少你可以重新格式化硬盤呀.如果你真要仍了你的硬盤,最好仍給我.:)
點評:硬盤終結者實在是太…太…厲害了!個人認為它是本篇中所有惡作劇軟件中惡毒的一個!事實上,硬盤終結者超出了一般惡意玩笑程序的范疇,它是一款極其惡性的硬盤炸彈程序.千萬不要在本機或朋友的機子中運行它,如果你和朋友的系統是Win2000或WinXP除外.防范方法只有一個——不去運行它!
惡毒程度:★★★★★
上面介紹的惡意程序,除了江民炸彈、FUHD、硬盤終結者等少數幾個程序外,其它程序用殺毒軟件都查不出來,因此要記住上面的方法哦.最重要的是,不要隨意運行來歷不明的程序,如果你不運行它們,它們又能怎么樣呢?這是防范惡作劇軟件的最好的方法!