发信人: wl()
整理人: jia(1998-08-12 12:47:25), 站内信件
|
# From : Junyi Zhang, 6:650/27 (Fri, 27 Jun 97 07:47) # To : All # Subj : 王江民的报复㈡ 发信人: bluesea (蓝海), 信区: Virus 标 题: KV300炸弹─KV300 L++破坏行为的初步分析 发信站: BBS 水木清华站 (Thu Jun 26 05:52:00 1997) KV300炸弹─KV300 L++破坏行为的初步分析 ======================================
【警告】在使用 http://av-china.base.org 的MK300V4 制作的磁盘上 启动KV300 L++ 版本,计算机硬盘数据将可能受到重度破坏。至少包括计算 机从软盘引导失败、逻辑 C: 盘数据丢失。有无其他伴生现象,如病毒等尚 未验证。关于其他问题参见“对 KV300逻辑炸弹的责任分析”一文。
【结论】KV300 L++ 版本程序本身包含对用户计算机实施破坏的代码和 潜在的能力。由于 mk300v4 在制作 Key盘后不参与试验的进行, 并且可以 确认 Key盘指纹等数据不包括可执行的代码,因此 Key盘只是激发条件之一。 经过下面严格的的验证,KV300 L++ 已经满足逻辑炸弹的定义,本文命名其 为“kv300炸弹”。由于下面的原因,KV300 L++对无辜用户有潜在的威胁: (1) 用户购买 KV300 商品无法识别真伪; (2) 对于非商业性的研究和破解可能要付出额外的代价; (3) 由于磁盘的不稳定和离散性,不排除正版用户被误判的可能。
由于病毒的定义包括自传播机制,我本人对下面的研究没有时间彻底完 成,因此,无法下病毒的结论,但实施破坏作用是事实。希望其他朋友补充。 由于是满足一定条件而实施破坏,暂定名为“KV300炸弹”。
【背景】我第一次得到这个消息是 97年6月25日早晨,在水木清华 BBS 的病毒讨论区,看到有BBS 成员从其他BBS 转载文章。该文及后文已经被我 做了文摘标记并放入该讨论区精华区的待处理目录。
随即,我立刻通过 Internet 到北京江民新技术有限责任公司的网点: http://www2.east.cn.net/~wjm/ 下载了KV300 L++ 版本,压缩卷文件名 kv300laa.zip,文件大小316832 bytes。
mk300v4 我已经下载过,为确认,我从http://av-china.base.org (实 际该地址指向http://www.geocities.com/SiliconValley/Vista/8237)再次 下载该文件,并比较没有变化。mk300v4 制作的Key盘在使用KV300 L+ 和先 前版本时,未见BBS 等讨论区有异常反映。我本人也试验过,没有发现安全 性问题。
我在 6月25日晚找了台计算机开始做准备和试验。 【试验环境】486-Dx2/66 兼容机,Award BIOS 4.50G, 一大一小双软 驱,BIOS 设置软驱 Swap 为 Off,3.5"软驱为B:,启动顺序为C:,A:。硬盘 为 540MBytes,选用Normal(非LBA),平分为C、D两个MS-DOS分区。 安装的 MS-DOS 6.22。KV300 正版磁盘升级到 L++一张,空软盘若干。
【准备工作】根据网上文章叙述、和历来的讨论,我猜想可能和今年一 月科大发生的“KV300 病毒”相似,该病毒后被江民公司命名为“8888变形 鬼魂”与“合肥一号”,具体是谁所为没有得到确认。通常的说法有两个, 一是王江民编写或指使,制作了两个 B版KV300 ,其中一个版本对使用盗版 的计算机实施破坏;另一个说法是科大学生解密KV300 后加进去一个病毒。 到目前为止尚没有听到公安部门对上述两者之一实行判决。因此我个人不能 确定是否是上述说法或第三中说法。
所谓准备,至多是在数据恢复不了的情况下,计算机还得能启动。根据 我的知识,病毒软件不可能计算机硬件。 (1) 用mk300v4.2a制作 Key盘,并将 kv300laa.zip 解压缩至软盘并拨开写 保护使其有效,该盘代号为 LAAD。
(3) 制作 MS-DOS 6.22 3.5" 启动工具盘一张,包括下面内容: 基本系统文件: io.sys msdos.sys command.com drvspace.bin MS-DOS 外部命令:debug.exe fdisk.exe format.com sys.com chkdsk.exe scandisk.exe attrib.exe Norton9实用程序:diskedit.exe diskedit.hlp 该盘代号为 BOOTSYS。并启动检验成功。 (4) 用 HD-COPY复制 BOOTSYS,用 pctools编辑 io.sys (40774bytes) 查找 b9 01 00 cd 13,只有一处, 改为 b9 10 00 cd 13。该磁盘代号为 BOOTPRO。 该盘的意义在于修改 MS-DOS ,使得在引导区处于特殊数据结构时状态 时仍然可以通过软盘引导计算机。
(5) 妥善备份硬盘数据。格式化软盘存放数据,代号为 SAVEDATA。
【试验过程】
(6) 该硬盘每柱面 63 扇区,经 diskedit 检查发现首 63 扇区中间有垃圾 (不是病毒),设法清成零,选择 0,0,1 ~ 0,1,0(柱/头/扇,下同),共 64个扇区,存成软盘文件 Good64.dat 于 SAVEDATA。 (7) 用 LAAO 检查 LAAD,报告没有病毒,排除 KV300 由于江民公司失误而 感染一种已知病毒的可能。
(8) 在 B: 插入 LAAD,运行 KV300,两个软驱交替寻道后系统死机。
(9) 抽出软盘,按 Reset 按钮令系统复位,硬盘启动失败,未出现 Starting MS-DOS... 字样。再重复两次,结果相同。
(10)按 Reset 按钮令系统复位,修改 BIOS Setup(CMOS RAM),将磁盘引导 顺序改为 A:,C:,并 Swap 软驱使 3.5"软驱为 A:。
(11)用 BOOTSYS 插入 A:,引导计算机,启动失败。未出现 Starting MS-DOS... 字样。再重复两次,结果相同。
(12)用 BOOTPRO 插入 A:,引导计算机,启动成功。列 C: 目录报告为 Invalid media。
(13)启动 diskedit,能识别物理硬盘的存在。选择 0,0,1 ~ 0,1,0 并存成 软盘文件 BAD64 于 SAVEDATA。
(14)重复步骤11,启动成功。【注】“合肥一号”我没有仔细研究过,但上 述 (8)~(14) 适用于合肥一号。
(15)Chkdsk c:,发现完全紊乱。用 diskedit检查文件分配表表示数据簇的 部分已经改为 01。文件分配表开始的几个字节没有坏。 此时执行步骤 (9)必失败。
(16)我的试验没有继续,用 BOOTSYS 插入软驱,Format c: /u /q /s 系统恢复,数据没有直接恢复,从原备份恢复。
(17)经过比较Good64.dat 和 Bad64.dat,中间的62扇区都为0,没有变化。 KV300 除修改了硬盘主引导记录和分区表 (MBR, 0,0,1)外, 还将逻辑 C 盘的引导记录替换成未知的数据。( 我没有仔细分析其结构以及能否 由此恢复硬盘数据)
(18)我发现这台试验用机,LAAD 的 KV300 在 A: 能够启动成功,而在 B: 时则实施破坏。反复几此如是。
【结论】KV300 L++ 版本程序本身包含对用户计算机实施破坏的代码和 潜在的能力。由于 mk300v4 在制作 Key盘后不参与试验的进行, 并且可以 确认 Key盘指纹等数据不包括可执行的代码,因此 Key盘只是激发条件之一。 经过上面的严格验证,KV300 L++ 已经满足逻辑炸弹的定义,本文命名其为 “kv300炸弹”。由于下面的原因,KV300 L++对无辜用户有潜在的威胁: (1) 用户购买 KV300 商品无法识别真伪; (2) 对于非商业性的研究和破解可能要付出额外的代价; (3) 由于磁盘的不稳定和离散性,不排除正版用户被误判的可能。
(19)关于“KV300病毒”、“合肥一号”的相关内容参见水木清华 BBS 病毒 讨论区精华区。
【附录】试验结果 Good64.dat 和 Bad64.dat 被压缩在 KVBOMB.ZIP文 件中,可以到 telnet://bbs.net.tsinghua.edu.cn 水木清华的病毒讨论区 精华区来下载。
===============================================================================
-- ※ 来源:·Netease BBS nease2.gznet.com·[FROM: 202.96.161.115]
|
|