有可能是江民硬盘炸弹（但不确定）

马云波波波

此样本有可能是江民硬盘炸弹（但不确定）

夜微凉

硬盘炸弹

马云波波波

夜微凉 发表于 2013-4-19 23:15
硬盘炸弹

您好，请问 硬盘炸弹 与 江民硬盘逻辑锁 有什么区别？

夜微凉

马云波波波 发表于 2013-4-19 23:17
您好，请问 硬盘炸弹 与 江民硬盘逻辑锁 有什么区别？

我第一次见这个，




硬盘逻辑锁是江民公司的kv300 L版中带的一个保护程序，本意是对付那些企图破解KV300软件那些人的硬盘的。后来有好事者将它分离出来单独用上了。那时江民公司为了打击盗版,在KV新版升级程序植入了一个黑客程序，当检测到用户使用了盗版的KV以后就将硬盘的分区表锁住，被称为“主动逻辑锁”，使无数人受害，江民公司也因此被处罚。

硬盘锁住原理

　　硬盘锁住通常是对硬盘的分区表做手脚，因此首先应该了解硬盘的分区表。硬盘分区表位于0柱面0磁头1扇区，这个扇区的前面200多个字节是主引导程序，后面从01BEH开始的64个字节是分区表。分区表共64字节，分为4栏，每栏16字节，用来描述一个分区。如果是用DOS的FDISK程序分区后，最多只用两栏，第一栏描述基本的DOS分区， 二栏描述扩展的DOS分区。 分区表一栏的结构与各字节的含义如下：

　　00H—标志活动字节，活动DOS分区为80H，其它为00H。
　　01H—本分区逻辑0扇区所在的磁头号。
　　02H—逻辑0扇区所在柱面中的扇区号。
　　03H—逻辑0扇区所在的柱面号。
　　04H—分区类型标志。
　　05H—本分区最后一个扇区的磁头号。
　　06H—最后一个扇区的扇区号。
　　07H—最后一个柱面的柱面号。
　　08H—硬盘上在本分区之前的扇区总数，用双字表示。
　　0CH—本分区的扇区总数，从逻辑0扇区计数，不含隐藏扇区，用双字表示。

　　在上面的介绍中给出的柱面号与扇区号虽然各占一个字节，但实际上扇区号用6位表示，柱面号用10位表示，扇区号所在字节的最高两位实际上是柱面号的最高两位。 　　分区表的最后两个字节是分区表的有效标志，如果将其改变，将不能从硬盘启动，这是一种简单的锁住硬盘的方法。解决的办法是从软盘启动，启动后硬盘仍然可以使用。用Debug或Noratn中的Diskedit软件将硬盘该分区表中的标志恢复，则从硬盘启动也没有问题了。锁住硬盘的另一种方法是对分区参数做手脚，如果将分区参数全部变为0，则启动时由于找不到分区参数，从硬盘是没法启动，从软盘启动后也不认硬盘，如果你敲入盘符C并回车，将出现提示Invalid driver specification。
如果你不幸将分区表参数改成一个循环链，即C盘的下一个分区指向D驱，D驱的下一个分区又指向C区，这样循环下去，DOS启动或WIN95启动时由于无休止的读取逻辑驱动器，就只有死机的份了。这是只要有硬盘存在，不管你用软盘还是硬盘都没法启动机子了，由于不能启动是由于硬盘造成的，即使你将硬盘下到其它计算机上，也没法使用，这样硬盘就彻底被锁死了。
　　一个完整的硬盘锁程序，不过是重新改写0柱面0磁头1扇区的引导程序，并将分区表破坏或故意制造一个循环分区表，而将真正的硬盘分区表参数和引导程序放在其它隐藏扇区并保护起来，如果启动时口令不对，则不能启动机子，口令对了则顺利启动。

傻猪猪米走鸡

       
       
ESET SMART SECURITY
Threat detected
Details:
Web page:        https://att.kafan.cn/forum.php?mo ... DI2NDk0MHwxNTUyMTU5
Threat:        a variant of Win32/KillDisk.Q trojan
Comment:        Access to the web page was blocked by ESET Smart Security.

       
        Open ESET KnowledgeBase  |  www.eset.com         

搓一把

夜微凉 发表于 2013-4-19 23:19
我第一次见这个，

版主，好详细。

sdupyb

dreams521

风爱朴2

尘梦幽然

江民为了反盗版搞出的一个很缺德的病毒