发信人: mkwolf()
整理人: (2000-04-23 23:08:52), 站内信件
|
KV300 L++所引发的风风雨雨,已经过去接近2年了,作为游离在业界之外
的民间反病毒技术爱好者和观察者,我们本不愿回忆起这些早已不是新闻
的东西。但4月14日,目前国内唯一属于民间性质的共享反病毒软件作者陶
辰先生在网上发布的“关于kv300逻辑炸弹模拟程序的重要说明” 却不得
不让我们重新关注起这件当年震动了国内IT界的往事:当年陶辰先生为说明
L++事件技术细节而编写的一组模拟和恢复的程序,由于近来可能被某些人
利用,将之模拟部分作为恶性程序发送,而导致了一场风波。关于相关细节
可以参考我们附在文后的陶辰先生的该项说明。
陶辰先生在声明中描述:“近日,公安部门(计算机安全监察处)找本
人调查情况 ,据公安人员所说情况:最近有很多人电脑 被锁,并向kv300
作者王江民求援,王江民以不是kv300逻辑炸弹造成的为由,不予解锁。并
向公安部门举报,并表示要控告本人。公安部门对此事很重视。”
对于以上情况,我们表示深切关注,并提出我们一些看法和观点,希望
有关部门和相关方面予以斟酌:
第一:关于L++有害数据事件,我们从开始就认为,计算机安全产品采用有害
计算机安全的方法保护版权是非常恶性的事件,而通过L++有害数据前后相关
的情况和陶辰L++模拟器相关情况的对比,我们认为两者的初衷、性质、程度
都是完全不同的。陶辰所做的解释是清晰、真实、客观和有说服力的,当初
的考虑也是基本周到的,出现目前的一些情况主要客观基础是因为不可预知
的偶然性因素。从我们对现行国家法律和有关计算机安全法规来分析,我们
觉得陶辰的行为是善意初衷下的法律许可范围之内的行为,陶辰为之负责的
应当是包括模拟程序、恢复程序和程序说明整个的软件包,而不该对别有用
心的人恶意诱使或者强制其他用户使用失去了完整性的某一部分的事件负责
,更必须考虑的细节是,根据我们了解,陶辰编写模拟器是在WIN95作为主流
操作系统的97年,那时WIN98尚未出现,该程序在95桌面环境下是不能产生作
用的,而后来产生一些问题的重要客观条件是WIN98系统取消了读写分区表的
限制,才使能够在98桌面环境中可以执行。这具有显然的偶然性和不可抗性
,其后果是无法预知的。其所谓后果也应当与陶辰本人无关,不应当由他来
承担任何的刑事的和民事的责任。当然这只是我们的观点,我们建议司法机
关能在有关技术专家的配合下,以事实为基础,以法律为准绳,公证、合理
地处理此事。
同时,我们也希望陶辰本人和国内计算机工作者在今后涉及安全热点问题时
本着更加谨慎小心的原则,采用更稳妥的手段来剖析和揭示一些事件的本质。
第二:虽然L++所引发出来的关于保护版权手段的大讨论,是有价值的,至少
在其后基本上国内没有发生类似的事件。但从另一个角度说,L++事件的产生
根本背景,不是版权保护的问题,而是对国内反病毒产品质量的深入反思。而
这一背景恰恰被所谓的版权保护问题所掩盖了,我们非常赞同国家有关管理部
门的在反病毒产品管理上所作出的辛勤努力,特别是对反病毒产品检测结果的
公开,对于促进国内反病毒产品市场的有序化起到了良好的导向作用。但这里
面仍然有大量工作要做,比如检测的规范还不明确,不能形成量化的衡量体系
,对反病毒产品的内核和结构的合理性没有充分考虑,病毒的标本数量过少、
没有形成定期的流行病毒抽检等等,我们非常支持国家有关部门逐步完成的理
顺反病毒产品市场,促进以技术和服务为先导的竞争的工作,并愿意在这份工
作中,给予有关部门以来自民间的支持。
此外,我们在陶辰先生主页上和相关BBS上,看到有关KV300在检测硬盘文件过
程中,不向用户提示擅自删除SODU99文件的报道,我们认为,杀毒软件未经用
户许可擅自删除用户正常文件是极为严重的事件,如果此事属实,我们对相关
企业的行为表示深切遗憾,并希望有关部门严肃调查此事。
第三:我们注意到有关媒体在关注信息安全敏感题材方面比起两年前有了长足
的进步,我们始终觉得有公证、客观的媒体舆论环境,是信息安全产业得以健
康发展的必要条件。我们呼吁媒体能以真实、客观、严肃的姿态报道此事和今
后中国信息安全产业的各种事件,以不回避、不曲解、不为商业利益和厂商压
力左右的姿态,来捍卫IT媒体的独立性和尊严。我们认为此事的报道一方面需
要就事论事的态度,从严格的技术分析、事实调查的角度进行公布和评论,同
时也不应仅仅停留在L++所引发的模拟器事件本身的角度,应该回归到对国内反
病毒产品的整体技术水平与国际先进产品差距的反思高度,全面的调查、分析
和挖掘,才能起到全面促进国内反病毒技术发展、产品进步的意义。
第四:尽管在97年相关事件发生后,相关反病毒企业在技术投入上有所加大,取
得了一些进展,但这些进展还是非常有限的。我们一贯支持民族企业的发展,但
我们认为保护民族企业不等同于保护落后,目前这种落后整体表现在:
1、查杀数量比较少(一般不足国际先进产品的1/10),病毒标本网络覆盖面小,
对国际新病毒反映比较慢。
2、部分病毒软件由于结构不合理,造成了很多BUG的存在。
3、病毒检测机制落后,在虚拟机/启发式扫描等方面没有取得技术的突破,因此
漏报率和误报率都比较高。
4、实时反病毒技术不够成熟,占用系统资源比较多,同时降低了系统稳定性。
5、由于程序设计水平和责任心问题,造成其他安全隐患等等。
另外,国际先进反病毒企业已经基本形成面向多操作系统和群件平台的强大产品
线,并表现出与网络安全、系统维护产品相结合的趋势,这方面更是对国内反病
毒企业的巨大挑战。
而面对上述差距所带来的巨大压力,似乎相关企业更多是以宣传和广告策划来应
答,而缺乏从技术上的深入努力,我们并非是说反病毒产品不需要宣传,我们反
感的是过度商业炒做,因为任何成功的商业广告都不能代替反病毒产品本身的技
术进步。因此,我们建议有关反病毒企业无论从自身发展和更好为用户服务的角
度,都应当切实提高技术水平,逐步赶上国际先进水平,否则只能漫漫被竞争淘
汰。
中国的信息安全事业,不是只属于哪个厂家、哪个部门、哪家媒体的,而是属于
全民的,正因为如此,我们象赞赏所有为这一领域作出努力的人们一样,赞赏陶
辰先生以IT业独有FREE的精神,在没有回报的情况下从事共享杀毒软件SODU99的
研发。但我们对这一事件的关注,不仅是对他个人的关注,更是来自我们对中国
信息安全事业一贯的关注,从这个层面上说,对此事件的调查、报道和处理是否
严肃、公正,所决定的绝对不仅仅是陶辰一个人的命运,而影射着到我们信息安
全产业的前景。在此,我们呼唤团结、配合的协同精神;我们呼唤健康、有序的
市场环境;我们呼唤理性、客观的舆论监督,因为,有了这些基本的要素,中国
信息安全事业才会拥有美好的未来。
病毒观察站(bd.yeah.net)站长 幼虫
应用与安全站(usafe.yeah.net)站长 江海客、阿伟
BTW:
本信欢迎转发,我们更欢迎国内关心计算机安全的有识之士和民间反病毒爱
好者以及广大网友能在看到此公开信后与我们联系,您可以将您关于此事的观点
、了解到的其他情况,MAIL到[email protected],或者POST到病毒观察和应用与安
全的留言版,我们也将随时关注下列站点关于此事的讨论:
水木清华BBS(bbs.tsinghua.edu.cn) VIRUS版
天极网BBS(bbs.cpcw.com)VIRUS版
新浪网BBS (bbs.sina.com.cn)病毒防治、IT业界
广州网易BBS(bbs.nease.net)VIRUS版
中国计算机安全留言版(http://www.infosec.org.cn/)
**********************************************************************
*
附:陶辰《关于kv300逻辑炸弹模拟程序的重要说明》
关于kv300逻辑炸弹模拟程序的重要说明
* 请注意,这不是一篇讲kv300l++事件的文章,请耐心看下去!
一.kv300逻辑炸弹事件来龙去脉:
1997年6月24日王江民先生在其主页上发布了kv300l++版,内含
逻辑炸弹。凡是在mk300v4制作的仿真盘(盗版盘)上执行kv300l++的
用户硬盘数据均被破坏,同时硬盘被锁,软硬盘皆不能启动。从网上的求
救信息可以看到,包括在校大学生的毕业论文被破坏,kv300的代理商的
电脑遭到破坏,求救的人不计其数(网上的求救信息并不能作为证据,因
为不能排除有人误判断及有假消息)。从常规上可做推断:kv300当时至
少有几十万正版用户,盗版用户可能远远大于这一数字,可见此逻辑炸弹
的影响之大。首先王江民不是执法者,无权对盗版用户进行打击,另外,
被打击对象也不应该是用户,而应该是制作盗版的厂商。1997年9月8
日,公安部门认定kv300L++事件违反计算机安全保护条例之23条,对其
做出罚款3000元的决定!
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
-
二.江民炸弹模拟程序
Kv300逻辑炸弹可以造成电脑软硬盘都不能启动的现象,当时在电脑
届引起轰动。这是用常规原理不能解释的现象,当时各大网站及各bbs都
做了详细的讨论,有人提到这是微软操作系统的缺陷所至,但本人并没有
看到能够非常清楚的原理解释。于是本人对其进行了深入的研究,发现了
最少只需要修改分区表两个字节即可使微软的操作系统启动读硬盘时死
锁。当时在不少bbs,网站发表文章详细论述了此现象的原理。 Kv300
作者在这之后,刻意美化自己的行为,后来kv300获得巨大成功后记者对
其的采访更证实了这一点,王江民说罚款3000元算什么,起到了比30万
元广告更大的宣传作用,使kv300的正版用户的超过了100万(见“计算
机世界”文章—王江民传奇)。
本人为了探讨和演示江民炸弹的原理,以及揭露kv300的行为,于1997
年11月1日编写了江民炸弹模拟程序。
作为演示程序此程序和kv300的逻辑炸弹有很大的区别,以下为对比:
kv300逻辑炸弹:
1.先破坏文件分配表,然后修改分区表造成硬盘被锁。2.不做任何备
份 3.没有任何提示 4.在特定条件下激发(盗版盘)
5.王江民始终没有公开提供恢复程序;6.如果用一般常用的修复磁盘工
具,如NORTON,会造成不可逆转的损失;
7.对其的恢复类似于cih破坏数据的恢复,因为需要重建分区表。
8.在win95环境下执行同样会造成文件分配表被破坏,数据损失。
江民炸弹模拟器:
1. 对数据没有任何破坏,只修改分区表,演示硬盘死锁现象。2. 修
改之前对原分区表做备份.
3. 显示硬盘已被lock. 4. 用户在知情的情况下主动使用,对于使用软
件的结果(执行后锁住电脑,可以解锁)非常清楚。
5. 配套解锁程序。6. 不存在此问题。7. 恢复非常简单,安全可
靠。8. 在win95环境执行本程序毫无作用。
本人在编写此程序时,非常充分的考虑了安全性:
1.本软件发布时是一个jmbs.zip文件,解开后是3个文件 :
jmbs.arj ,readme.exe ,rescue.com加锁程序不能立即执行,需要再次解压缩
后才能执行,目的是让用户先执行说明文件和解锁盘制作程序。在readme
中有操作的详细说明和本人的详细联系方法。
2.加锁程序执行时对分区表自动做了备份,备份在硬盘的空闲扇区(考
虑到备份在软盘上,软盘有可能损坏或遗失).
3.加锁程序在执行时会显示本人的真实的e-mail及bp的号码,目的是
为了防止万一别人用其作了坏事,受害人可以联系本人。事实上当时的情
况下不存在将此程序作为特罗伊木马程序在网络上散布的可能性,因为当
时的最新及主流操作系统是win95,在win95环境下,模拟器完全不起作
用。用户要演示逻辑锁现象,必须重新启动系统到纯dos方式,所以误操
作的可能性很小。曾有用户与本人联系,建议将其修改成可以在win95下
运行,方便运行,考虑到安全问题,本人对此建议没有采纳.
4.由于此逻辑锁现象是微软操作系统的bug所至,一般需要修改操作系
统的io.sys才能使系统启动,这样的操作非常复杂,需要多个步骤。本人
经过仔细考虑,编写了一个特殊的引导程序作为解锁程序,由于引导程序
是引导操作系统的,在操作系统加载前执行,不受操作系统bug影响。执
行rescue程序即可生成解锁盘,用此盘启动,系统立刻解锁。
5.为了防止有人篡改本人的程序,造成不良后果,所以对文件作了压缩
加密处理,用王全国编写的可执行压缩工具--zlite对文件进行了压缩,选
择zlite是因为它没有提供相应的解压缩程序,防止jmbs.exe被人反汇编。
6.此程序编写完成后,为了保证其安全性,在自己的电脑,以及同学,
朋友的各种电脑上做了反复测试,确保没有问题。
在经过对安全问题的仔细的考虑及测试后,本人将此程序上传到当时上海
热线的一个栏目—电脑之家,经webmaster同意放在了软件下载区,并根
据本人要求,用红色高亮度字体显示请一定要先仔细看readme再操作!
当时网上正对kv300L++的事件大讨论,本人的程序受到了一定程度的欢
迎,在本人的程序发布以后,并没有毁坏用户数据的情况发生。有不少用
户和本人联系,探讨原理。并有不止一人将其用于保护计算机数据,曾有
一为网友称其单位的电脑常被其他人偷偷使用,造成数据丢失或感染病
毒,非常头痛,自从用了本人的程序,下班将电脑加锁,上班再解锁,从
此电脑非常安全。
随着时间的流逝,kv300L++事件被人淡忘,本人编写的模拟程序也很少
有人再提起。过了一年半的时间,1999年5月本人突然收到一些求救信,
说执行了别人发的e-mail中的附件happy2000.exe (其实是本人的加锁程序
被修改了名字),电脑不能启动,向本人求救,本人立刻向其发送了解锁
程序。然而我觉得非常奇怪,本人的程序是不能在win95下执行的。经过
仔细研究发现,win95的升级版本win98取消了win95的禁止写分区表的
功能,同时即使bios的保护分区表功能打开也不起作用。对于微软的这
一项不可理解的升级举动本人实在无法预料。当即本人在本人的网站上发
表了郑重声明,谴责将本人的软件用于破坏目的,同时请受害人到本人网
站下载解锁程序,并请互相转告。并同时在各大bbs发表。凡是向本人发
求救信的人,本人均向其发送了解锁程序,并向其详细说明了情况。
最近一段时间,又出现了不少求救的信件,本人均对其进行了详细的回答,
并提供解锁程序。同时对所能看到的网站上的求救信息,给与解答。并在
网易bbs上又写了一份详细的说明。
近日,公安部门(计算机安全监察处)找本人调查情况 ,据公安人员所
说情况:最近有很多人电脑
被锁,并向kv300作者王江民求援,王江民以不是kv300逻辑炸弹造成的
为由,不予解锁。并向公安部门
举报,并表示要控告本人。公安部门对此事很重视。
本人认为有必要对整个事情做一个澄清。因此经过仔细回忆,写了以上
内容。
据本人所知,电脑被锁的有两种情况:
1. 有人将本人的模拟程序修改了名称,如happy2000.exe ,game.exe等
等,放在e-mail中发送诱骗他人执行。
2. 首先发送远端控制黑客程序使别人感染,然后通过网络控制别人的
电脑,发送并执行加锁程序。
对于第一种情况,属于欺骗行为,诱使别人执行加锁程序。
对于第二种情况,属于黑客入侵行为,强迫别人执行加锁程序。
本人认为,本人的软件被破坏了完整性,并且用诱骗和强迫手段使别人的
电脑被锁,
这是一种违法行为,责任应有肇事者承担。
可以用这样的比喻:本人造了一把锁,锁上有钥匙,有人用此锁在未经别
人许可的情况下锁住
别人的家门,并取走了钥匙,致使别人不能打开家门,这个责任由谁来负?
请各位网友对此事发表看法。
请各位网友将此文广为转发,警告现在还在干坏事的人尽快收手,并请被
锁之人到本人网站
下载解锁程序,如有问题,和本人联系,我愿提供最大可能的援助!
本人网站: http://sodoo.126.com ,镜像站点http://go.163.com/~sodoo
email: [email protected]
2000/4/13
taochen
--
欢迎到病毒版来做客:)
show me your true colors
[email protected]
http://wolf.mycool.net
※ 来源:.月光软件站 http://www.moon-soft.com.[FROM: 202.102.84.152]
|
|