● 十二种流行恶作剧程序简介与清除 - 荔园在线 | 深圳大学学生论坛,荔园晨风BBS,深大在线网站

荔园之美，在春之萌芽，在夏之绽放，在秋之收获，在冬之沉淀

发信人: conjure (等差数列), 信区: Security
标题: 十二种流行恶作剧程序简介与清除
发信站: 荔园晨风BBS站 (Wed Nov 6 19:10:10 2002), 转信

　　如今，网上流传着许多恶意程序，这些恶意程序一般都有解决办法，但对于网络新手来
说，如果不知道解法，那就只有受其摆布，任其恣意破坏了。甚至于有硬盘被格式化或不得
不重装系统的惨剧发生。因此有必要为大家介绍一下流行恶作剧程序的表现症状和清除方法
，使大家对它们
能有所防范，减少悲剧的发生。
　　
　　一、norun
　　
　　norun是个恶作剧软件，它只有一个可执行文件，12288字节大小，运行于Win98/ME下。
运行后要求回答三道算数题。虽然题目很简单，但是一旦答错，机器将连续重启动12次（每
次都有提示）后恢复正常。除此之外，没有其他影响。因此，norun是个真正的恶作剧软件
，对大家的威胁?
⒉淮蟆２还绻髡娴闹匦缕舳?12次的话，也够恐怖的！所以也要掌握应对它的方法
。
　　
　　最直接的方法是你回答对那三道题就可以了。不要担心，是小学二年级的都会做的算数
题。
　　
　　如果你回答对了，就会出现对话框，点击“确定”软件运行结束。由于你回答对了，所
以不会出现连续重启动12次这样的现象。
　　
　　如果你担心自己马虎回答错误（如果这个也回答不正确，那也太……），可以用进程管
理软件终止该进程，这样就可以了。我们以Windows优化大师为例。运行Windows优化大师，
点击“系统安全优化”→“进程管理”，在弹出的窗口中选中norun，点击“终止”按钮即
可终止运行它，?
佣苊饬薾orun造成的12次重启。
　　
　　点评：纯粹的恶作剧软件，可以用来跟朋友开玩笑用。
　　
　　恶毒程度：★
　　
　　二、ilr
　　
　　ilr也是个恶作剧程序，文件大小15KB。这么小的程序能干些什么破坏呢？它是个捉弄
人的程序，运行后会把硬盘上所有分区里的文件夹通通变成回收站！使得你无法通过点击进
入该文件夹！天啊，我要是想进入文件夹该怎么办呢？别着急，恢复方法是用以下格式运行
该软件即可：xxx
x.exe -recover，要记牢格式哦！
　　
　　点评：一个很另类的恶作剧软件，不破坏数据，不会让你无法进入系统中，但是它会让
你无法进入文件夹，使你干着急，可以用来跟朋友开玩笑用。
　　
　　恶毒程度：★★
　　
　　三、FUHD
　　
　　这是一个垃圾文件生成器，程序运行后会在各磁盘（C:-H:）的每一个根目录、第一级
子目录和第二级子目录生成随机文件名的垃圾文件。很久以前有个软件hdfill.exe有相似的
功能，但是该hdfill需要VB4的运行库才能运行，在没有VB4运行库的机器中不能运行该程序
。而该程序是用V
B5编写的，虽然存在运行库的问题，但Win98中已经带有VB5的运行库，所以该程序可以在许
多电脑中运行成功。也就是说许多朋友都有中招的可能和危险！
FUHD压缩包由四个文件组成：
　　
　　FUHD.exe：大小10752字节，所用图标为VB5的安装程序所用图标。直接在磁盘上生成垃
圾文件，程序在后台运行，全过程没有任何提示。
　　
　　setup.exe：大小10752字节，所用图标为VB5的安装程序所用图标。运行后在后台生成
垃圾文件。
　　
　　Undo.exe：大小6656字节。这是作者提供的删除上面两个EXE生成的垃圾文件的文件，
如果你中招了，可以找来该文件，运行后就可以清除那些垃圾文件。
　　
　　readme.txt：说明文件。
　　
　　点评：虽然说现在很多人都有大硬盘，但是大量的垃圾文件分布在各个目录中，也是一
件很麻烦的事。而且目录中含有过多的文件，会大大减慢系统的速度。作为恶作剧软件，它
的危害不大。但如果不知道解除方法，也很讨厌。
　　
　　恶毒程度：★★☆
　　
　　四、Carem3
　　
　　Carem3是网络休闲庄（一个黑客网站）技术顾问Carem的作品，这是一个非常狠毒的恶
意攻击软件，运行后如果不知道正确的破解方法，那肯定是要重装系统的。解压后的
Carem3只有一个文件Carem3.exe，这是它所用的图标（左图），大家记住了，轻易不要运行
使用这个图标的软件，?
蛭阆绿椎娜嘶岣拿模约亲∷奈募笮∫彩歉霾淮淼氖侗鸱椒ǎ珻
arem3.exe文件大小321536字节。
　　
　　此时鼠标被控制在一定范围内，无法点击屏幕上的按钮，按动回车键就会弹出个窗口警
告你不要随意运行可执行程序，说这只是个教训之类的话，然后会自动重新启动电脑，但你
再也无法进入心爱的Windows桌面了！如果你没有按动任何键，Carem3也不会放过你，它会
自动倒记时，从2
0秒到0就重新启动电脑，使你的系统崩溃！
　　
　　程序的基本原理是破坏C:\windows\system\下的vmm32.vxd文件。vmm32.vxd是虚拟设备
驱动程序，正常文件大小913413字节，文件修改时间为1999－01－13，就是由于它被破坏了
（文件被替换为同名文件，大小变为81531字节，文件修改时间变为1998－06－19），导致
你的计算机不能?
隬indows系统。
　　
　　作者提供的破解方法是：在开机的时候按F8选择Command prompt
only方式进入DOS下，之后在提示符后执行repair，就可以解决了。另外你事先备份了
vmm32.vxd文件，就可以使用另外一个破解方法：用启动盘从A盘启动计算机，将备份的
vmm32.vxd复制到c:\windows\system\里，重新启动计算机就可以了。如果没有备份，到其
他计算机上复制一个来吧。

　　
　　除了上面说的那两个方法，还有一个更简便的破解方法。我们在Carem3.exe刚运行后，
倒记时尚未结束前，按住ALT+F4键关闭软件窗口（不要指望能通过按Ctrl+Alt+Del来终止它
，作者早就将这些按键屏蔽了），此时你的鼠标将被锁定在桌面的某个小范围内（屏幕中央
偏右一点），鼠
标是无法使用了。但是如果你自己不重新启动电脑的话，Carem3.exe也不会自动重新启动你
的电脑——因为它已经被关闭了。此时的你可以使用键盘来操作，如果嫌麻烦，直接重新启
动电脑即可。不要害怕，我们按ALT+F4时已经将软件关闭了，在破坏开始前就将它给消灭了
，所以这次重新
启动电脑和我们平常重新启动电脑一样，是安全的！顺便说一句如果你的系统是Win2000以
下就要小心它了！
　点评：比较恶毒，因为一般人想不到它会破坏vmm32.vxd，不过还好，作者提供了破解的
方法，所以还在可控范围内。
　　
　　恶毒程度：★★★
　　
　　五、妖之吻
　　
　　妖之吻是千年老妖的作品。下载解压后大小252KB，只有一个文件名为yzw.exe的可执行
文件，它的外表看起来很友善——图标是两只握在一起的手！如果你被这表面上的友善所打
动，双击运行了这个程序，哈哈，你的恶梦就此开始了！
　　
　　首先，屏幕上会出现一个不大好看的窗口，上面写着“亲爱的，给你一个关机之吻”，
同时在窗口中显示60、59、58……这样的倒计时数，记时到“0”系统就自动重新启动。当
你再次听到Windows的启动声音，以为没什么事的时候，那个可恶的“亲爱的，给你一个关
机之吻”又出现了
，然后再次重启，如此反复，陷入一个死循环中，使你根本无法进入你的系统。你若想在那
个窗口出现时按“Ctrl+Alt+Del”来终止它，根本就不管用，因为作者将热键屏蔽掉了。呵
呵，这深情一“吻”不好受吧？
　　
　　怎么办？你要删除它的主文件？好吧，假设你是在c盘根目录下运行的yzw.exe，删除它
以后你再进入系统时，会出现对一个话框提示你“装载c:\yzw.exe失败，必须重新安装
Windows”，这时你只能点击对话框上的“确定”按钮，点击后这个世界果然清净了许多—
—系统自动关机了。?
闳粝胪ü踩Ｊ浇隬indows也是行不通的，它还会出现上面所说的提示，然后直接关机
。那它到底是怎样控制我的系统的呢？我给你一个提示，看看这句话：“装载c:\yzw.exe失
败”，对！它要装载yzw.exe文件，要装载它就可能从注册表，win.ini，system.ini等入手
，那么这个“吻
”到底从何处加载的呢？
　　
　　实际上，妖之吻运行后会修改c:\windows\system.ini文件，将其中的
shell=explorer.exe改为了shell=c:\yzw.exe。当你再次开机时，所中的妖之吻会被自动加
载运行。从这里可以看出，妖之吻用自己的主文件代替了Windows的explorer.exe文件，
explorer.exe是Windows的外壳程序?
赪indows启动的时候要加载它，由于yzw.exe和explorer.exe的启动运行不一样，因此中
了妖之吻之后，改注册表和win.ini没有用。而且你不能删除yzw.exe，一旦删除它，
Windows就会提示报错，要你重新安装Windows。注：这里c:\代表绝对路径，如你是在
d:\aaa下运行的yzw.exe，相?
Φ膕hell就为d:\aaa\yzw.exe。
　　
　　解决办法：这里共有五种方法提供给大家，用哪种方法都可以的。
　　
　　方法1：由于妖之吻是在system.ini中作怪，我们到那里把它消灭就可以破解它了。具
体方法是：机子重启后按Shift+F5进入Command prompt only方式，键入命令edit
system.ini编辑system.ini文件，把其中的shell:=绝对路径\yzw.exe改为
shell=Explorer.exe，存盘退出，再重启机子就可以进入那熟悉的Windows桌面了。
方法2：同理用edit命令编辑system.ini文件，不过这次是将shell这条语句删除，存盘退出
，重启即可破解妖之吻的控制。
　　
　　方法3：由A盘启动，将其它机子上的explorer.exe文件改名为yzw.exe，并将改名后的
explorer.exe文件拷贝到yzw.exe所在的目录覆盖原来的yzw.exe文件，系统重启后就可以了
。如果你觉得每次加载在Shell后的文件名为yzw.exe不大好，可以再用msconfig.exe将它该
回为explorer.ex
e这个文件名。
　　
　　方法4：大家都知道Windows的窗口可以用组合键Alt+F4来关闭，在这里这个组合键依然
有效。在你第一次运行yzw.exe文件，出现倒记时窗口的时候，按Alt+F4键可以关闭这个窗
口，然后点击“开始”→“运行”调出“运行”对话框，键入msconfig.exe回车，这样就打
开了系统配置实?
贸绦颍慊鱯ystem.ini标签，找到[boot]小节，把shell=yzw.exe(当然前面还有yzw的路径
）改成shell=Explorer.exe，这样就彻底解决了妖之吻。
　　
　　方法5：系统中如果有事先备份的System.ini文件，就可以在机子重启后按Shift+F5进
入Command prompt only方式，然后把事先备份的System.ini文件拷贝到C:\Windows下，覆
盖原文件即可。
　　
　　点评：“老妖出品，必属精品！”“妖之吻”是恶作剧软件中的精品！一个可以促使菜
鸟进步的小软件。并且它在“江湖”中出现的很早，所以对大家的威胁没有它刚出现时那么
大了。
　　
　　恶毒程度：★★★☆
　　
　　七、布莱尔之夜
　　
　　布莱尔之夜也是个恶意程序，如果你不知道解除方法，后果比上面介绍过的两个恶意程
序还要可怕！下载后只有一个文件blair.exe，大小252，416字节，所用图标有闪电一道(左
图)。不小心运行了blair.exe后会出现一个阴暗的画面，画面中间仿佛是中世纪的一个阴暗
城堡，很恐怖哦
！如果你想通过按CTRL+ALT+DEL组合键来终止它的运行，那是不可能成功的！作者早就考虑
到了这一招，把热键都给屏蔽掉了！正当你对着这个讨厌的画面一筹莫展时，电脑自动重新
启动了！当可爱的Windows桌面出现时，那个讨厌的阴暗画面也随之出现了！等5秒种左右，
电脑又被重新启
动，于是一个循环又开始了！最可恶的是，作者把ALT+F4也给屏蔽了！这样我们就不能通过
关闭窗口，然后再检查注册表或Win.ini、System.ini等文件，来对付这个恶意程序。
　　
　　原来，blair.exe被运行后，除了屏蔽了所有热键外，还在C:\Windows下生成
syswf.exe文件，大小仍为252，416字节，并且在注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下建立串值syswf
，其键值为C:\Windows\syswf.exe，这使得syswf.exe在系统启
动时被加载，因此造成重启不断，循环不止。
解决办法：有五种方法提供给你，自己选择吧！
　　
　　方法1：当blair.exe被运行，出现那个阴暗的画面后，赶快按F11键2秒以上，就会弹出
个对话框，上面写着“布莱尔之夜已成功卸载，请重新启动计算机”，按对话框上的“确定
”键机器就会重新启动，这样就成功结锁了！但是C:\Windows下的syswf.exe文件并没有被
删除，还得把它?
境潘阏嬲那宄瞬祭扯埂?
　　
　　方法2：当系统重新启动，桌面出现时，赶紧(动作一定要快)按“开始”→“运行”菜
单，在弹出的“运行”对话框中输入msconfig，回车，然后点击“启动”标签，将复选框
syswf
C:\Windows\syswf.exe前面的“√”去掉。如此操作后，机子还会重启(还在syswf.exe控制
下)，但这是最后一次了。重新进入系统后，将注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的的串值syswf
删除就可以了！慢！那个C:\Windows下的syswf.exe文?
姑簧境荒芩愀删坏那宄耍峡焐境桑?
　　
　　方法3：机子重启后按Shift+F5进入Command prompt only方式进入DOS下，进入
C:\Windows下，找到syswf.exe文件删除，然后重新启动电脑，到注册表中将相应的键值删
除即可。
　　
　　方法4：用A盘启动，拷贝其它电脑上的可执行文件，比方说msconfig.exe，并改名为
syswf.exe，拷贝到C:\Windows下，覆盖原文件。这样就使启动时的文件变为msconfig.exe
，可以解锁了。然后再到注册表中将布莱尔之夜所创键值删除，就成功的摆脱了讨厌的“布
莱尔之夜”了！
　　
　　方法5：布莱尔之夜由于没有替代windows的外壳，因此可以重启电脑到“安全模式”下
，然后将C:\Windows下的syswf.exe文件和注册表中的串值syswf删除，到此就可以了。
　　
　　点评：布莱尔之夜不破坏硬盘数据，只是让你的电脑不断重启，对付它还算容易。但对
于新手它的威胁可一点也不小。
　　
　　恶毒程度：★★★☆
　　
　　六、limit
　　
　　这也是网络休闲庄的作品。解压缩后有三个文件：limit.exe、limitkill.exe和
help.txt。help.txt是说明文件，里面有软件的说明；limit.exe就是为系统攻击程序（
WIN98下），文件大小406528字节，还是让我们来看看它的“面目”认识一下它吧（左图）
。被攻击后的Win98系统不?
苤葱腥魏斡τ贸绦颍换岫韵低澄募鋈魏纹苹怠Ｓ美炊褡骶绾馨踩ㄒ蛭黄苹凳
萋铮籰imitkill.exe为清除文件，运行此文件后重新启动计算机或注销当前用户来重新登
录，会使系统恢复到正常！
　　
　　此程序不属于纯恶作剧的东东，它可以做为一个系统限制工具，用来在自己长时间不用
计算机又怕别人使用时对计算机的限制。
　　
　　可能有朋友要问了：“该软件运行后能锁住计算机里的所有程序，你将不能运行包含
limitkill.exe文件在内任何应用程序。但要运行limitkill.exe文件该怎么办呢？”是的，
这的确是个问题！不过，我们可以利用一个小窍门嘛。窍门就在这里：打开“我的电脑”，
点击“计划任务”
，再点击“添加已计划的任务”，将破解程序limitkill加入到计划任务里，选择“当启动
计算机时”即可，重新启动计算机后就解除封锁了。
点评：如果不知道解法，也很恶毒。如果知道解法则另有它用。
　　
　　恶毒程度：★★★☆
　　
　　八、网恋绝招
　　
　　网恋绝招下载解压后大小323,584字节。只有一个可执行文件lovetty.exe，和大家常用
的软件“追捕”的图标一样，莫非恶意程序都如此^_^？因此如果改名为wry.exe(追捕的主
文件名)，那么就很容易使人上当！如果你不小心执行了lovetty.exe，就会出现如图所示画
面。
　　
　　并从30开始倒记数，到了0系统就自动重新启动了！系统启动后并不直接进入Windows，
而是又进入网恋绝招的倒计时界面，如此循环下去……程序屏蔽了绝大多数的热键，你不能
通过CTRL+ALT+DEL等热键终止程序运行。想到“安全模式”下？还是不行！会提示你“装载
c:\lovetty.exe
失败，必须重新安装Windows”，是不是和“妖之吻”很相像？其实这个软件本来就是模仿
“妖之吻”编制的。
　　
　　当lovetty.exe被运行后，第一个动作就是将System.ini文件里[boot]下面的第三行变
为shell=绝对路径\lovetty.exe，目的是将自身写进System.ini文件里，替代Windows系统
的外壳程序explorer.exe，然后开始以下循环：进入到计时→关闭WINDOWS系统→重新启动
系统。只要系统运?
械絪hell=绝对路径\lovetty.exe这一项时，就会重新执行网恋绝招，从而使系统进入上述
恶性循环。“网恋”看来很“苦”哦！
　　
　　解决办法：由于网恋绝招与妖之吻的实现原理一样，因此清除方法也大致相同。
　　
　　方法1：作者其实留了个“后门”。仔细看上图中所示画面，找到屏幕下端最后一行字
：“解法就一种，本界面上就有出口，你慢慢找吧！”哈哈，“后门”就在这行文字中，确
切的说就在那个“解”字上。用鼠标点击那个“解”字，就解除了恶性循环，也就安全的解
除了网恋绝招的?
刂疲?
　　
　　方法2：其它解除控制的方法可参照妖之吻解决办法！
　　
　　点评：与“妖之吻”太相像了，又出现在“妖之吻”之后，“既生渝，何生亮”恐怕是
其真实处境的写照，但对广大网友而言它的威胁还是瞒大的。
　　
　　恶毒程度：★ ★ ★ ☆
　　
　　九、恶作剧之王
　　
　　“不要摸我的左眼，否则你会后悔的！”，当你看到右眼被黑眼罩蒙住的克林顿在屏幕
上说这句话时，你就要小心了，鼠标千万不能碰到他的眼睛！如果你不小心碰到了头像的左
眼，机器会立刻重启，你的所有硬盘都将被格式化！怎么回事？哈哈，你碰到了大名鼎鼎的
“恶作剧之王”
了！
　　
　　恶作剧之王是个恶意程序，前面提到的几个恶意程序和它相比，简直是小巫见大巫！前
面介绍的那几个程序有一点好处，它们都不破坏硬盘数据。但恶作剧之王就不同了，如果你
处理不当，它就会格式化你的硬盘，使你所有的资料都被删除！恐怖吧？
下载解压后只有一个文件Sex.exe，图标是一个MM的头像，如果你想入非非，用鼠标双击运
行了这个程序，它会让你大失所望——屏幕上出现了克林顿的头像！此时你一定得加倍小心
，千万不要去碰他的左睛，只要一碰他的左眼，就会弹出来一个窗口，上面写着“你一定想
按回车键吧。”?
绻惆戳嘶爻导低辰嶂匦缕舳⒏袷交械挠才獭Ｈ绻慌龅酵废竦淖笱劬筒换
嵊惺隆?
　　
　　这到底是怎么回事呢？原来，当你的鼠标指向那个左眼后，程序就向
C:\Windows\temp\Vbe下复制一个副本文件Sex.exe，然后向Autoexec.bat中写入快速格式化
命令，从最后一个盘格起，然后锁定你的鼠标，只要你按回车，便立刻重启并切换到DOS格
式（主要是因为在Windows下无法格
式化C盘)。在程序退出之前，自动执行一次Autoexec.bat，此时已经开始格盘了！当到了系
统所在分区，就重新启动机器。重新启动后，开始在纯DOS下再一次格盘，由于使用了快速
格式化命令，很快你的硬盘就开始洗澡了，呵呵。即便你的系统中的Format.com早已被你删
除也没有用，作?
咴诔绦蛑胁捎昧宋募鞯姆椒ǎ觳馐欠翊嬖贔ormat.com，如果不存在就生成一个(恶毒呀
)。程序在运行后就锁定了系统功能键和鼠标，同时修改了msdos.sys文件，加入了
BootKeys=0这一行，目的是使启动功能键无效，也就是使
F4，F5，F8这些功能键无效。如果没碰到头像的眼睛，就不会激活格式化功能，因此就不会
有什么事了。
　　
　　解决办法：给你提供了四个方法，你自己选择其中的某一个吧！
　　
　　方法1：如果你的鼠标没有点在头像的左眼上，此时千万不要乱动，赶快运行进程管理
软件，终止进程sex.exe即可。大家常用的软件如windwos优化大师中就有进程管理功能，点
“系统安全优化”－>“进程管理”，就可以看到sex.exe这个进程，选中它，点击“终止”
即可终止sex.exe
的运行。好了，那个讨厌的家伙从屏幕上消失了，可以松一口气了。
　　
　　方法2：如果你的鼠标已经点在它的左眼上了，那就立即关机(1秒钟都不要犹豫)，由A
盘启动，并检查C盘是否被格掉了，如果没有被格掉，可以删除Autoexec.bat和
C:\Windows\Temp\Vbe下的SEX.EXE，然后进入Win98，使用RecoverNT恢复后面的分区。如果
你的动作像蜗牛，那你的硬盘
肯定全被格掉了！此时可以试一下UNFORMAT，不过，只能恢复FAT16的硬盘哦。
　　
　　方法3：如果不幸中弹，赶快到软件作者的主页(http://lovejingtao.126.com)下载恢
复工具，用恢复工具可以恢复硬盘中的数据。
　　
　　方法4：再不然，重装系统，然后使用RecoverNT恢复后面的分区。
点评：非常恶毒！是个可怕的家伙，大家要小心它。
　　
　　恶毒程度：★★★★★
　　
　　十、江民炸弹
　　
　　江民炸弹是个更厉害更恐怖的恶意程序，是我见过的最狠毒的硬盘炸弹之一。为什么叫
“江民”炸弹，我想大家也都知道吧？毕竟用过KV系列软件的人有很多，如果当年你曾中过
KV杀毒软件的逻辑炸弹，那么对这个“江民”炸弹你也不会陌生——会有熟悉的感觉哦
^_^！
　　
　　软件解压缩后有4个文件，一个是说明文件readme.exe，一个是制作解锁盘用的文件
rescue.com，还有两个文件就是江民炸弹了。它们的名字分别为Jmbs.arj、JMBOS.
zip，其实它们都是一个文件压缩而成，只不过扩展名不同而已。如果你把它们解压会看到
jmbs.exe文件，大小为1809字节。这个jmbs.exe就是江
民炸弹了。如果你不小心运行了它，机器的硬盘将会被死锁住，无论你用软驱还是光驱，都
不能启动计算机，硬盘和报废了没什么区别！如果不懂得解法，基本上就只有买硬盘了！哈
哈，恭喜恭喜，可以升级了(谁拿臭鸡蛋丢我)！
　　
　　软件原理：计算机在引导DOS系统时将会搜索所有逻辑盘的顺序，当DOS被引导时，首先
要去找主引导扇区的分区表信息，位于硬盘的零头零柱面的第一个扇区的OBEH地址开始的地
方，当分区信息开始的地方为80H时表示是主引导分区，其他的为扩展分区，主引导分区被
定义为逻辑盘C盘
，然后查找扩展分区的逻辑盘，被定义为D盘，以此类推找到E，F，G.....“逻辑锁”就是
在此下手，修改了正常的主引导分区记录将扩展分区的第一个逻辑盘指向自己，DOS在启动
时查找到第一个逻辑盘后，查找下个逻辑盘总是找到是自己，这样一来就形成了死循环，这
就是使用软驱，光
驱，双硬盘都不能正常启动的原因。实际上这“逻辑锁”只是利用了DOS在启动时的一个小
小缺陷，便令不少高手都束手无策。知道了“逻辑锁”的“上锁”原理，要解锁也就比较容
易了。
　　
　　解决办法：
　　
　　方法一：把rescue.exe拷贝到一张空白的1.44MB软盘上，插入软驱，然后运行。显示“
OK”之类的提示信息后，你就有了一张江
民炸弹的解锁盘，如果你发现里面一个文件也没有，不要惊讶，你没有做错什么，就是这个
样子的。快试试吧，用这张恢复盘启动机子，如果出现unlock的字样，那就恭喜你，成功地
解锁了！想当年，我用这张解锁盘给朋友解锁，可没少美餐啊！她们是怎么中的就不用我说
了吧，嘻嘻^_^?
?
　　
　　方法二：修改DOS启动文件
　　
　　首先准备一张DOS6.22的系统盘，带上debug、pctools5.0、fdisk等工具。然后在一台
正常的机器上，使用你熟悉的二进制编辑工具（debug、pctools5.0，或者是运行在
Windows下的Ultraedit都行）修改软盘上的IO.SYS文件（修改前记住改该文件的属性为正常
），具体是在这个文件里
面搜索第一个“55aa”字符串，找到以后修改为任意其他数值即可。用这张修改过的系统软
盘你就可以顺利地带着被锁的硬盘启动了。不过这时由于该硬盘正常的分区表已经被逻辑炸
弹给恶意修改了，你无法用FDISK来删除和修改分区，而且仍无法用正常的启动盘启动系统
，这时你可以用D
EBUG来手工恢复。使用DEBUG手工修复硬盘步骤如下：
　　
　　a:\>debug
　　
　　-a
　-xxxx:100 mov ax,0201 读一个扇区的内容
　　
　　-xxxx:103 mov bx,500设置一个缓存地址
　　
　　-xxxx:106 mov cx,0001 设置第一个硬盘的硬盘指针
　　
　　-xxxx:109 mov dx,0080 读零磁头
　　
　　-xxxx:10c int 13硬盘中断
　　
　　-xxxx:10e int 20
　　
　　-xxxx:0110退出程序返回到指示符
　　
　　-g运行
　　
　　-d500查看运行后500地址的内容
　　
　　这时候会发现地址6be开始的内容是硬盘分区的信息，发现此硬盘的扩展分区指向自己
，这就使DOS或Windows启动时查找硬盘逻辑盘进去死循环，在DEBUG指示符下用E命令修改内
存数据具体如下：
　　
　　E6BE
　　
　　xx.0 xx.0 xx.0...............
　　
　　.............................
　　
　　.......................55 AA
　　55 AA表示硬盘有效的标记，不要修改，xx0表示把以前的数据“xx”改成0，再用硬盘
中断13把修改好的数据写入硬盘就可以了，具体如下：
　　
　　A:\>debug
　　
　　a 100 表示修改100地址的汇编指令
　　
　　-xxxx:100 mov ax,0301 写硬盘一个扇区
　　
　　-xxxx: 这里直接按回车
　　
　　-g 运行
　　
　　-q 退出
　　
　　然后运行FDISK/MBR（重置硬盘引导扇区的引导程序)，再重新启动电脑就行了。
　　
　　怎么样？用这种方法处理够简单的吧？而且这种方法还有一个好处就是可以保住盘上的
数据！如果你不需要保数据的话，还有更加简单的处理方法：
　　
　　方法三：巧设BIOS，用DM解锁
　　
　　大家知道DM软件是不依赖于主板BIOS的硬盘识别安装软件（所以在不能识别大硬盘的老
主板上也可用DM来安装使用大容量硬盘）。就算在BIOS中将硬盘设为“NONE”，DM也可识别
并处理硬盘。
　　
　　首先你要找到和硬盘配套的DM软件（找JS要或去网上荡），然后把DM拷到一张系统盘上
。接上被锁硬盘，开机，按住DEL键，进CMOS设置，将所有IDE硬盘设为“NONE”（这是关键
所在！），保存设置，重启动，这时系统即可
“带锁”启动。启动后运行DM，你会发现DM可以绕过BIOS，识别出硬盘，选中该硬盘，分区
格式化，就OK了。这么简单？不过这种方法的弱点是硬盘上的数据将全部丢失。
　　
　　方法四：对硬盘进行热拔插
　　
　　在加电热拔插之前应该先做好了一切的准备，并尽可能想一下会出现的问题，把硬盘的
电源线先给拔松了一点，防止在热拔插时拔不出来，那就遭了，不过也不能太松不然会找不
到硬盘的，找一张软盘启动盘，并插到软驱里，加电开机，看着熟悉的画面，心中尽管有些
激动，但你的手
可千万不要抖啊，不然硬盘烧掉就惨了！眼睛牢牢盯住你的显示器，软驱灯亮之前（就是要
在DOS自举之前并且装入硬盘驱动后，）按下键盘上的“PAUSE”！再把硬盘上的电源线的给
拔掉，然后就恢复暂定，一直到DOS启动完成出现DOS提示符的时候，这时你再把电源线给插
到硬盘上去，这
时如果硬盘没坏的话，就会发现已经可以用磁盘分区工具FDISK命令来查看硬盘的分区表了
，不过没有这么简单，里面的分区表已经被逻辑炸弹给恶意修改了，只能查看不能修改也不
能删除而且一团糟，用普通的办法还是不能解决的，此时只有用DEBUG来手工恢复了！具体
方法同方法二。不
过只能修复C盘也就是主引导分区，因为扩展分区已经修改了。恢复了以后，硬盘就可以用
FDISK把主引导分区的其它空间分成扩展分区与逻辑盘了。一切OK！
方法五：利用分区表备份恢复
　　
　　这是最简单的方法，在平时将硬盘的分区表备份一个(没有的话，找一个与之相同型号
的硬盘的分区表也可以)，万一硬盘被逻辑炸弹干掉了，用软盘都起不动的话，可以在BIOS
里将硬盘设为“NONE”，启动后，将分区表的备份恢复回去，然后将硬盘的设置改回来，从
新启动fdisk就可?
粤恕Ｒ陨系墓ぷ鳎恍枰沂裁刺乇鸬娜砑话愕纳倍救砑缛鹦牵琄V3000都可以的
。还有，如果有条件，最好装一块硬盘保护卡，可以对付绝大部分的病毒，至少，系统不会
被破坏——出了问题，冷启一下就可以了。像CIH这样直接修改BIOS数据的都可以恢复。
　　
　　方法六：用硬盘逻辑锁解锁程序
　　
　　如果硬盘被锁死的症结根源在于DOS中的IO.SYS文件，它包含LOADER、IO1、IO2、IO3四
个模块，其中IO1中包含有一个很关键的程序SysInt_I，它在启动中很固执，非要去读分区
表，而且不把分区表读完誓不罢休。如果碰上分区表是循环的，它就只有死机了（通常硬盘
分区表被锁住以?
螅纬梢桓霰蘸系难妨矗琁O.SYS从链头读起，试图读取所有分区的信息，从而形成死循
环。如果修改IO.SYS文件，这样读的第十个扇区结尾处不是55 AA，就认为不是一个逻辑分
区的主引导记录，停止读盘，跳出死循环链。我们用UltraEdit打开C:\IO.SYS，查找“b9
01 00 cd
13”(MS Dos6.22只有一处，Win98有2处要修改)，改为“b9 10 00 cd
13”。不过，这样操作后，这样即使硬盘分区表是完好的，启动后也不认硬盘。所以修改
IO.SYS以后，如果要正常访问硬盘还要将IO.SYS恢复原状。）。很明显，这是DOS的脆弱性
和不完备性。其实这也不能怪DOS，因为DOS为了获得硬盘使用权，就必需读分区表参数，而
且DOS还约定驱动器
号不能超过26，只不过没有考虑到此等循环分区表情形。一句话，机子不能启动不过是DOS
操作系统造成的，如果另写一个操作系统，或许就能启动机子。当然这只是说个笑话。
　　
　　明白了病因在于DOS，问题就好办了。DOS启动中不是要读硬盘分区表吗？我不让你读分
区表甚至连硬盘都不让你读，不就可以顺利启动了。的确是这样的，开硬盘锁的程序实现方
法就是基于这个思想形成的。当然，这只有从软盘启动着手了。
　　
　　我们当然不用自己去动手编制这样的程序了，因为已经有好心的网友提供了这样的程序
，以下为某网友编制的硬盘逻辑锁解锁程序，对付硬盘逻辑锁非常有用，下载地址：
　　
　　ftp://202.110.213.90/wenxinjy/fix-io.rar，含源代码及目标程序，共1020字节。
　　
　　使用方法：如果你的硬盘被老王的逻辑锁给锁住了，把这个小工具复制到你的引导盘上
，运行它Modify一下，然后用它来引导被锁的机器。一切OK。注意修复硬盘后Restore回来
。当然你运行它时，软驱要打开写保护啦。
好了，有了上面这些方法你就不用再害怕逻辑炸弹了。如果你不小心“中弹”，就试试上面
这些方法吧。
　　
　　点评：对我来说，它应该是个毁誉参半的家伙，一方面它的确很恶毒，可以破坏硬盘数
据；另一方面它为我嬴得了许多美餐，所以对它有一定的感情（是谁拿臭鸡蛋丢我）。
　　
　　恶毒程度：★★★★★
　　
　　十一、Diskboom
　　
　　如果你的屏幕无端出现一个DOS框，并有一行英文“your system is now locked by
diskboom,please
reset”那就证明你中了最无耻的Diskboom了！这时候你千万不要按屏幕上的提示去重新启
动计算机，因为那样的话，你就再也找不到你的硬盘了，就算光盘引导，软盘引导都无效！

　　
　　你应该去黑客网站去下载一个Diskboom(如果不幸重起了，那么去朋友家或者网吧下一
个，千万不要扔掉硬盘哦^_^)，然后把压缩包里面的恢复程序复制到一张系统盘，在盘上建
立一个Autoexec.bat文件，第一行输入"恢复程序.exe"，目的是自动执行恢复程序，这一点
是最关键的，rea
dme里面没有说明。最后，拿这张盘引导系统，如果你看到屏幕上出现“unlocked”提示，
就说明你的硬盘又“活”了，赶快感谢上帝吧！:)
　　
　　点评：非常狠毒，如果知道解法则另有它用——比方说给朋友下套后，让其请客吃饭，
:)不过，被朋友发现了你就惨了！
　　
　　恶毒程度：★★★★
　　
　　十二、硬盘终结者
　　
　　硬盘终结者是蔬菜工作室的作品，作者蔬菜就是著名的反弹端口木马网络神偷的作者（
注：作者已经开发出网络神偷XP版，大家要小心喽），所以即便是不运行硬盘终结者也能猜
测出它有多厉害。硬盘终结者共有两个版本1.0和1.1，两者的区别是1.0版由两个文件组成
：Sector.vxd和H
DBreak.exe，而1.1版作者将Sector.vxd与主程序HDBreak.exe合并为一个文件：
HDBreaker.exe。因此它非常适合和其它文件捆绑在一起，对众多的电脑用户的威胁非常大
！由于此程序太过危险，作者已经停止开发新版本。
　　
　　由于使用了VxD技术，所以硬盘终结者能在Windows环境中直接写硬盘扇区，和其它同类
软件不同，硬盘终结者不必等待电脑重启就可以对硬盘进行破坏。运行后立即进行破坏，不
会显示任何界面，它会从硬盘第一物理扇区(0柱0面1扇区)开始，向其中写入内存垃圾数据
，与CIH病毒发作
时的表现相似，据作者说就是从CIH那里学来的。
　　
　　说句心里话，在硬盘终结者的主文件HDBreaker.exe之前，我心里也直犯嘀咕，对于到
底是否运行该程序也犹豫不决。毕竟它是会破坏数据的恶意程序呀。但为了得到第一手资料
，我就豁出去了。不过，为了稳妥起见我是在单位上的没有有用资料的电脑上运行的，事实
证明我这个决定?
钦返摹⒂⒚鞯模∪绻以诒净显诵懈萌砑俏业挠才淌菘峙戮突岬慈晃薮媪耍簿
筒换嵊写宋牧恕?
　　
　　症状表现：运行HDBreaker.exe后，在该目录下出现一个名为Sector.vxd的VXD文件，紧
接着机箱上的硬盘灯狂闪不止，鼠标略有凝滞感，看来是大事不好！连忙按Ctrl+Alt+Del想
重启电脑，没有用！看来作者早就把Ctrl+Alt+Del给屏蔽了。试着运行一些应用程序，有些
可以正常运行，
而有一些应用程序则无法运行，点击图标，显示“非法操作”信息。后来，连复制、粘贴等
常用操作也无法进行！为了得到确切的数据，我对其进行了多次测试，结果每一次的后果都
不同，有两分钟后蓝屏死机的，还有运行十多秒后死机的，也有不断蓝屏但不死机这种情况
出现……最终的
表现为重启电脑后引导失败，用A盘引导，同样无法找到硬盘分区。试图进入C盘，出现
RETRY? ABORT? FAIL?这样的提示信息；D盘和E盘则为“INVALID DRIVE SPECIFICATION”这
样的提示信息。
　　
　　被硬盘终结者破坏的硬盘其C盘的数据是无法完全恢复的！其它分区中的数据能否恢复
要看你的本事了。如果软盘上有主引导区(分区表)的备份，只需将它恢复后再重启电脑就可
以看到C盘以外的其它分区了。在此基础上，如果其它分区上有C盘的Ghost映象的话，将C盘
格式化以后再将?
浠乖山鹗Ы档阶钚　?
　　　如果使用软件恢复硬盘数据，只有江民公司的KVW3000和金山毒霸2001能成功修复除
C盘以外的硬盘数据，其它杀毒软件无法恢复被硬盘终结者破坏后的硬盘数据。不过，令人
遗憾的是KVW3000和金山毒霸2001创建的恢复盘也无法恢复C盘数据。
　　
　　说明：硬盘终结者只能运行于Windows95/98/Me下，所以对Win2000和WinXP用户没有任
何威胁。另外，被硬盘终结者破坏后，硬盘能低级格式化，硬盘还能使用，所以如果一旦中
招可以想办法恢复硬盘数据，即便是恢复不成功，也不要把硬盘仍了，至少你可以重新格式
化硬盘呀。如果?
阏嬉粤四愕挠才蹋詈萌愿摇?:)
　　
　　点评：硬盘终结者实在是太…太…厉害了！个人认为它是本篇中所有恶作剧软件中恶毒
的一个！事实上，硬盘终结者超出了一般恶意玩笑程序的范畴，它是一款极其恶性的硬盘炸
弹程序。千万不要在本机或朋友的机子中运行它，如果你和朋友的系统是Win2000或WinXP除
外。防范方法只
有一个——不去运行它！
　　
　　恶毒程度：★★★★★
　　
　　上面介绍的恶意程序，除了江民炸弹、FUHD、硬盘终结者等少数几个程序外，其它程序
用杀毒软件都查不出来，因此要记住上面的方法哦。最重要的是，不要随意运行来历不明的
程序，如果你不运行它们，它们又能怎么样呢？这是防范恶作剧软件的最好的方法！

--
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.36.29]

荔园在线首页友情链接：深圳大学深大招生荔园晨风BBS S-Term软件网络书店