“硬盘终结者”是蔬菜工作室出品的恶性硬盘炸弹程序,出生日期为2011年7月,它出手狠毒,中招后数据通常都会“尸骨无存”,使受害者“死不瞑目”(尤其是在C盘下激活终结者,他将会和C盘的所有的数据同归于尽),如果受害者对硬盘数据结构不熟悉,又或者不懂的使用NORTON DISK DOCTOR等专业软件来搜索寻找,恢复数据,往往只能“在烈火中永生”(FDISK+FORMAT),所以珍贵数据资料都将在硬盘终结的魔爪下灰飞烟灭。由于其辣手无情,极少人有以身试毒的勇气,有关他的详细资料,测试报告更加凤毛麟角。
凭着“硬盘终结者”“一周岁”之际,为面更多人在遇到其毒手“还阳”无门,笔者向大家展示他的破坏全过程,陪同大家踏上硬盘终结者的地狱之旅,并拍摄许多珍贵的“照片”以供大家留念。
“硬盘终结者”,使用了VxD技术,所以能够在Windows环境中直接写硬盘扇区,而无需等待重启就可以马上破坏硬盘数据,“硬盘终结者”在WIN9X/ME系统中运行后立即在后台进行毁灭性的破坏,不会显示任何界面,它会从硬盘第一物理扇区(0柱0面1扇区)开始,向其中写入内存垃圾数据。
如图一所示的HDBreaker。Exe就是硬盘终结者1.1版的主程序,大小为81K,大家看了以上的文字介绍,是否有种头皮发麻,脊骨生寒的感受?其实这些只是硬盘终结者简介,以上述文字中我们不难想象到中招后的硬盘必然“惨不忍睹”,但是究竟如何“惨不忍睹”呢?系统会无法正常启动吗?逻辑分区会丢失吗?数据会破坏吗?硬盘还能继续使用吗?.........
一些文章曾经指出,“被硬盘终结者破坏的硬盘,其C盘的数据是无法完全恢复的,其他分区中的数据能否恢复就要看的本事了”,而且还提到,只要江民公司的KV3000和金山公司的毒霸2001能够成功修复除C盘以外的硬盘数据,而且它杀毒软件则无能为力“云云
从上述援引的两段文字,我们可以看出,中招以后的硬盘,全部成功恢复所有数据的可能性几乎为0,但是我们还是有希望恢复C盘以外其他分区的数据。那么,如何运用这两种杀毒软件挽救经历硬盘终结者“洗劫”的数据呢?笔者抱着“我不如地狱,谁入地狱”的决心,就位大家闯一闯“地狱”,在一次详细测试被硬盘终结者破坏后硬盘数据的恢复方法,希望对大家有所帮助。
需要说明一点,本测试只是针对杀毒软件对被破坏后的数据恢复程度,从而观察该杀毒软件的数据恢复功能,因此测试对象不包括如NORTONDISK DOCTOR等专业修复工具,由于曾经有文章指出多个杀毒软件,如冠群金辰KILL2000,瑞星RAV2002,北信源VRV2001,创源安全之星XP等的DOS版均无法恢复数据,并且笔者亲身验证的,所以本测试只是“邀请”了金山毒霸和KV3000两位“成功人士”登台献艺,还要就是需要特别强调:
本测试极度危险,笔者是在完善的备份措施,充分的准备工作下进行。
如果大家没有做好心理准备,切勿在自己的电脑上玩火。
笔者不对因此而造成的直接间接损失负任何的责任!请大家千万谨记。
说到这里,相信助威读者对“硬盘终结者”已经有了一个初步的了解了,下面让我们共同踏上通往“地狱”的硬盘终结者好的列车把!
测试的硬盘容量为4.3G左右,笔者创建了两个分区,C盘为600M,而D潘只有200M,其他的空间没有划分出来。因为“硬盘终结者”只能够作用于windows 95/98/me,笔者选择了总体评价最高,用户最多的win98se,软件方面,在C盘上安装了WINDOWS优化大师,金山毒霸2002,KVW3000多功能国际版,D盘存放了硬盘终结者所在的文件夹HDBREAKER,KV3000安装文件,一个游戏软件以及KEY_make,合计4个文件夹。监狱前段时间金山公司已经推出了金山毒霸2002,而其中附带的硬盘修复工具比金山毒霸2001有一定的改进,所以本测试放弃了金山毒霸2001而改用金山毒霸2002。
废话就不多说了,硬盘终结者的“地狱之旅”正式开始。
我运行存放在D盘上的硬盘终结者的主程序,顿时,硬盘灯狂闪,鼠标移动略显凝滞,接着我们可以看到在硬盘终结者所在的目录下增加了一个名字为Sector.vxd的文件,图二中间
然后,马上运行Windows优化大师,打算看看硬盘终结者的进程,结果出现了程序打开错误的情况(图三、四)
看来硬盘数据已经开始遭到破坏,相当一部分程序已经无法运行,笔者尽可能运行不同的程序以观察更多的情况,于是立即运行金山毒霸2002对C盘进行查毒操作,结果金山毒霸2002同样无法正常运行(图五)
在硬盘终结者的强大破坏力之下,这些程序的运行已经出错连连,几秒种后,win98se系统更是出现了非法操作的提示框(图六)
此事系统完全失去控制,重新启动电脑以后,发现硬盘已经无法引导,使用Win98启动盘引导后。打算在DOS下进入硬盘的C、D盘查看一下。不是吧?两个逻辑分区居然全部丢失了?图7
冷汗没有干,每个人身上都有冷汗,包括笔者在内的三位测试人员和思维旁观人员,因为每个人都已经亲眼目睹了,亲身体验到这个程序的破坏力了。
短短几分钟发生的事情,却让我们一辈子刻骨铭心,就在程序运行的一瞬间,我们等于在地狱的边缘转了一圈。
硬盘的所有分区均全部无法进入,看来硬盘终结者的破坏工作已经完成,而且相当的彻底。当前首要任务,就是立即寻找丢失的数据,尽可能将损失降至最低,下面我们一起来看看如何使用金山毒霸2002以及KV3000来进行数据恢复工作。
首先出场的是反病毒界的新星——金山毒霸2002。
使用金山毒霸2002抢救被硬盘终结者破坏后的数据,分两种情况,第一种使用户平时曾经做过金山毒霸的DOS杀毒盘,那么就比较方便了,在制作金山毒霸DOS杀毒盘的过程中,金山毒霸就会在其DOS杀毒盘里自动生成了一个名字为hd0.dat的文件,这就是硬盘主引导记录的备份文件,有了他,就可以很轻易找回硬盘的部分数据了。这时候,我们的工作就是把hd0.dat恢复到硬盘上。
首先在其他电脑上用foiinata:/s制作一张启动盘,然后再安装了金山毒霸2002的电脑上把金山毒霸2002所在目录中的硬盘修复工具KAVFIX.EXE及其支持文件KAVFIX.OVL复制到这张启动盘上,最后别忘了将以前制作的金山毒霸DOS杀毒软件中的hd0.dat也一并复制到这张启动盘上。
重启需要修复的电脑,用刚刚做好的启动盘引导,进入DOS以后,键入KAVFIX,回车,进入金山毒霸硬盘修复工具的主界面。图8
此时需要先用F10开启菜单选项,在Object菜单下边选择第一项“SELECT DRIVE....”用来选择一个操作的硬盘,其后,金山毒霸硬盘修复工具就会提醒你备份现在的硬盘引导记录,备份完成以后,马上选择TOOLS选项中的第四项RE—STORE BOOT RECORD(图8),输入路径为刚刚做引导盘时保存的hd0.dat文件的路径,默认为A:\hd0.dat,按照提示就可以开始修复工作了。
修复完成以后,系统会提醒用户重新启动,按照提示重启,再一次使用启动盘引导进入DOS,就可以发现原来硬盘的C、D盘想可以进入了,我们可以看到D盘刚才的那4个文件夹,而且D盘的数据全部完整无缺,但是非常遗憾,C盘里的所有东西已经变成一个乱码文件,C盘的数据恢复失败(图9)。至于恢复失败的原因,笔者将在下文中详细陈述。
如果平时没有制作金山毒霸的DOS杀毒盘,就等于没有备份硬盘的主引导记录文件hd0.dat,怎么办呢?答案还是肯定的,可以恢复,这时候我们重复上述步骤,先做一张启动盘,同样把KAVFIX.EXE,KAVFIX.ovl两个文件复制进去,还是用这张启动盘引导系统,然后自动金山毒霸硬盘修复工具,选择一个操作的硬盘,其实到现为止,所有操作都和上面一样,之后我们就要选择TOOis项目的第一项——“FAST SEARCH PArtition TAble.......”(快速硬盘修复)
然后按照提示选择就可以开始修复工作了,修复的过程如图10所示。
修复完成后同样需要重启电脑,重启后在用DOS启动盘引导,就可以进入硬盘访问了。这次数据修复的结果和上一次略有不同,这次金山毒霸2002的硬盘修复工具依然不能够修复C盘,但是已经成功修复了D盘的所有数据,经这次修复以后,原来的D盘编程了现在的C盘,而原来的C盘分区却丢失了(图11)
虽然这次没有找回原来的C盘数据,但是原来D盘的数据还是全部成功找回来了。不过即使找回了C盘,C盘上面的数据也可以说是恢复无望了。
使用金山毒霸2002的恢复方法叙述完毕,下面我们在看看我们的老大哥KV3000的表现吧。
同理,KV3000的恢复方法也要分两种情况:第一种情况是平时已使用WINdows版的KVWW3000或者DOS版的KV3000备份硬盘主引导信息的,那么这这时候就轮到它出场了。首先,你需要把以前备份的硬盘主引导文件(默认为HDPT.DAT、HDboot.DAT)拷贝到KV3000的加密软盘上,然后使用启动盘引导进入DOS系统,擦汗如KV3000的加密软盘后,使用KV3000/hdpt.dAT命令进行修复,重启以后就可以访问硬盘了,恢复结果和上面使用金山毒霸2002相同,只能够找回D盘的数据,也就是我们可以看懂刚才的那4个文件夹,C盘可以进入,但是同样为乱码,数据丢失了,恢复以后的界面如图9所示。
如果平时没有备份引导记录,那么我们使用KV3000可以找回C盘以外的数据,首先使用引导盘启动到DOS系统,接着插入KV3000的加密软盘,执行KV3000主程序,在按下F10使用硬盘分区表修复功能,就可以按照提示备份现在已经收到破坏的引导记录,然后就会重建硬盘分区表,重建完毕后启动电脑,使用引导盘启动以后就可以进入C、D盘访问了,不过情况和刚才一样,只能够找回D盘数据,C盘可以进入,但是依然为乱码,恢复以后我界面如图9所示,而使用F10功能键恢复的过程如图12所示
关于如何运用金山毒霸2002以及KV3000恢复受到硬盘终结者破坏的部分硬盘数据的方法叙述完毕,希望能够帮助中招的朋友找回部分硬盘数据,只要按照上述方法,其他分区的数据应该可以找回来,但是C盘的数据就不要指望了,那么为何C盘的数据无法找回呢?笔者估计这是硬盘终结者从硬盘第一物理扇区开始,向其中写入垃圾填充覆盖现有数据所造成的结果,如果大家想了解硬盘终结者的破坏力究竟有多大,请看看KV3000所截取的扇区图图13
图13就是被硬盘终结者破坏以后的主引导扇区的情况,我们可以发现,这里已经缺少了80和55AA这两个系统启动必不可少的重要标志,而且硬盘的主引导记录已经遭到了破坏,被垃圾数据覆盖取代,这就是为何中招以后的硬盘无法引导的原因。
然而,就算是运用金山毒霸2002和KV3000修复后的硬盘,虽然硬盘可以进入了,但是C盘的数据全部都不能修复了,只是找回C盘以外其他分区的数据,那么。如果使用其他专业工具是否可以找回C盘的数据呢?请大家在看看下面KV3000的扇区图(图14、15)
这两幅是使用KV3000查看扇区功能的截图,反映了硬盘不同扇区(7736、7744)的情况,结果发现他们的扇区内容居然全部相同!如果助威读者细心观察,不难发现上面的扇区图(图14、15)的数据和图13的引导扇区的数据一模一样的!
而且如果继续往下搜索,就会发现一个奇怪的现象,只要每翻8页硬盘扇区的内筒,这些扇区上的内容就会重复一次,也就是说这些扇区的内容每隔一定的扇区数量就循环一次,这绝对不是正常的现象,如果是正常的数据,是不可能每个一段扇区面上面的内容就会重复一次的,毕竟数据不同,上面的内容更不可能反复不断的循环,看来的确是硬盘扇区被硬盘终结者写入了垃圾数据填充覆盖造成的俄国。由此可见,即使NORTON DISK DOCTOR等等专业工具出马,也未必能完全修复数据,KV和毒霸能够修复到此等程度,已经难能可贵了啊。
对于硬盘终结者这样一个恶性的硬盘炸弹程序,反病毒软件当然不会对他手下留情,目前几乎所有的反病毒软件都将他定义为了病毒。不过,别以为你升级了反病毒软件就可以把它拒之千里之外了,事实并非你想的那么简单,根据笔者的了解,作者蔬菜手上至少还有一个没有公开的版本,图16
对于发布板,反病毒当然轻而易举的捕获并将它的特征码加入病毒库,真正难以查杀的就是这类仅仅作者自己使用,并不发布的版本。
就在本文即将完成之际,笔者收到了网友寄来的硬盘终结者的第二版的样本,大小只有15K,和公开发布版相比,个头明显缩小了一大截,根据破坏测试,其破坏力和硬盘终结者第一版本完全相同,同时经国产反病毒三巨头瑞星2002增强版,KV3000杀毒王、毒霸2002最新版本扫描测试,只有KV能够发现并且弹出警示窗口,其他两者对它完全就是无视,这也不能怪瑞星和毒霸,毕竟这不是公开发布的版本,如果无人上报样本,反病毒软件就无法正确识别,笔者毫不犹豫在转发的邮件地址栏中填上瑞星病毒收集小组和毒霸开发组的E—mail。
至此,我实在不知道什么才叫安全,在武侠小说中,一个细微的失误很可能会造成杀生之祸,对电脑病毒而言,何尝不是这样呢?众所周知,反病毒软件总是落后于电脑病毒,除了反病毒界老前辈王江民先生的金玉良言“备份,备份,在备份”以外,实在是没有更好的办法了啊
说到这里,我想大家都想觉得这个硬盘终结者是一个令人毛骨悚然的程序吧,的确,中招以后,我们可以做的唯一的工作就是尽可能搜索一切可以找回的数据,备份后,再把硬盘重新分区格式化使用。
对弈这样一个恶意的破坏程序,我们如果运行了的话,损失将是无法避免的,但是只要我们按照上面说的方法正确操作的话,我们就可以找回部分的数据,不会全军覆没的,而预防的方法看来就只有两条路了:一是不要运行,而是使用windows2000/windows XP。
好了,这次我带大家在硬盘终极者这个地狱里面走了一趟出来。希望能够帮助到有需要的朋友找回部分数据吧,同时在一次提醒大家,千万不要运行来历不明的文件,要不碰上像硬盘终结者这样的恶意程序,那么也许你就要为好奇,好玩而付出沉重的代价了,还要就是平时一定要做好数据的备份,引导记录的备份,说不定你那个时候就会用到他们。
最后,希望本文能够对大家有一点启发和帮助,关键就是安装WINDOWS 9X的朋友千万不要碰到并运行这个足以令你的数据进入地狱的东西啊
图17是硬盘终结者的作者蔬菜在某木马论坛的“自白贴”,不知道大家有什么感想?
算人者,人亦算之。当你看着前方美味可口的婵并准备将他捕获的时候,可能意识到你的背后可能还要一直黄雀的存在呢?