Shell's Home

Jun 4, 2005 - 1 minute read - Comments

病毒编年史-近古

近古时代是以win9X的兴起为代表的,这个时期后,人们对于保护模式编程有了相当的积累。更换系统变化的是系统结构,而保护模式的各个易于错漏之处一直保留到现在。同时病毒也开始向跨平台和多样化发展了。难倒病毒编写者也感受到了平台变换的阵痛?

AD 1995,宏病毒出现,代表作 Word Concept,作者未知。 贝壳评论:

这个病毒的意义是打破了人们对于非可执行文件不会中毒的认识。使得非可执行文件也成为了病毒的媒介。并且降低了病毒的技术门槛,使得病毒技术从生僻技术变成了人人都可以接受和理解的技术。制作者从必须懂得各种计算机内部机理变成只需要了解Word宏的编写,从客观上加速了病毒制造的普及。

同时这个也是典型的一个概念型病毒,病毒并不具备破坏性。更多程度上是和Fred Cohen一样为了证明自己的观点而做的。其症状是Word的Normal模板中会出现两个名字为AAAZAO和AAAZFS 的宏命令。另外还有一个PayLoad宏,该宏只包含一句话“这足以证明我的观点(That’s enough to prove my point.)”,而不做其他事情。

AD 1997.6.24,KV300L++事件。某种意义上说,KV300L++事件不是病毒。不过,这个事件在病毒技术,反病毒理念,反盗版理念上造成极大冲击。关于事件我摘录如下:

1997年6月24日王江民先生在其主页上发布了kv300l++版,内含逻辑炸弹。凡是在mk300v4制作的仿真盘(盗版盘)上执行kv300l++的用户硬盘数据均被破坏,同时硬盘被锁,软硬盘皆不能启动。从网上的求救信息可以看到,包括在校大学生的毕业论文被破坏,kv300的代理商的电脑遭到破坏,求救的人不计其数(网上的求救信息并不能作为证据,因为不能排除有人误判断及有假消息)。从常规上可做推断:kv300当时至少有几十万正版用户,盗版用户可能远远大于这一数字,可见此逻辑炸弹的影响之大。首先王江民不是执法者,无权对盗版用户进行打击,另外,被打击对象也不应该是用户,而应该是制作盗版的厂商。1997年9月8日,公安部门认定kv300L++事件违反计算机安全保护条例之23条,对其做出罚款3000元的决定!

另外还有这个事件的一个评论:http://www.chinabyte.com/20011224/1428573.shtml

贝壳评论:

原理上说,KV300L++逻辑炸弹是通过修改硬盘MBR区中分区表导致逻辑死锁所致。属于系统漏洞的一种应用,解法可以使用修改过的IO.sys等等,在此不赘言。就理论上说,KV300L++是严格的恶意代码,关于逻辑锁的解释根本不能成立。假如逻辑炸弹造成损失可以通过技术途径修复,那么就都不叫逻辑炸弹了?并且就行为上说。中国计算机保护条例中打击的范围是制作,传播,销售盗版。江民公司通过打击用户的方式制衡盗版。无论有无效果,客观上打击了客户。就角色上说就更离谱了,江民公司根本不是执法者,连直接打击盗版商的权利都没有,充其量就是能够起诉盗版商而已。最恶心人的是,江民公司在事先一字未提,其原因为何不说,本身绝对侵犯了消费者知情权。后期的很多评论各有偏向,不排除江民公司和对手在做商业宣传的可能。在此引出的问题是,软件保护究竟如何做?

AD 1998,java病毒出现,代表作 StrangeBrew,作者未知。 贝壳评论:

此种病毒代表病毒编写由平台相关迈向了平台无关。从某种意义上说,此种病毒和上面的宏病毒都属于源码病毒,更严格来说是脚本病毒。依靠脚本来传播,因此编写非常简单。当今流行的多数病毒都多少带有这种特征。

AD 1998.6,9X时代巅峰之作 CIH,作者 台湾大同工学院 陈盈豪。 贝壳评论:

说起此君真当是病毒史上又一传奇人物。CIH小小一个病毒,大小约1K,连续创下四个世界之最。最早的大规模硬件破坏病毒,最早的windows核心态感染病毒,流行事件最长,破坏最强。而且这个病毒本身不变形不加密,仅仅通过windows的段机制拆分重组来破坏特征扫描。堪称病毒史上的经典作品。其源码公开,有兴趣做windows核心研究的一定要下一个来看看。不过这个病毒的设定还有点搞笑,CIH取自作者的姓名台湾拼音,病毒发作的时间之所以定在4月26日,因为那是他的高中座号,也是他的绰号。

同时此病毒的解毒方法也成传奇了,五花八门的解毒方法另人瞠目结舌。因为病毒破坏了硬件,所以所有软件解毒方案全成了空话一句,反到是各种偏方效用非常。例如热插拔法就是在此时风行的。很多用户也首次接触了编程器和刷新BIOS的概念。BIOS刷新中的防刷死(BlackBlock方法)成为必备条件。硬盘数据恢复中常用的种种数据修复工具和数据修复方法也是从此时开始流行的。

就贝壳查找的资料显示,作者陈盈豪在99年4月曾经入狱,2000年被发展Linux操作系统的美商网虎公司聘请为工程师,负责硬件事业部门的研究工作。

近古时代就此终结,就传统意义上的种种病毒来说。至今尚无超过CIH的。