这天我上网,看见了一条让我心生愤懑的新闻:着名安全公司UNT的总裁被证实入侵银行被捕。这明显是黑客的举动,安全公司的总裁进行黑客活动也不稀奇,但让我生气的是,现在反canon病毒的程序发布的还只是个试用版,也就是还不能全面清除的版本。UNT总裁的被捕,意味着反canon病毒程序开发的终止,也就是说canon病毒还会继续流行下去。这样一来,我之前的努力就全部白费了。
这种情况是绝对不允许发生的,我为此付出了那么多,怎么能眼见着事情被逆转。竟然UNT公司已经靠不住了,我决定自己亲手制作canon的专杀工具。
要制作专杀工具,首先要了解canon的工作原理。鉴于canon病毒的强大,当然不能贸然测试,必须先做好防范才行。
前段日子,写主动防御软件时,我同时也对虚拟机技术进行了一定的研究,虽然还没有取得重大的成功,但样品已经做出一个了。所以,这次我打算用虚拟机进行测试。
测试之前,我把电脑上的硬盘换了一块。这块硬盘是我专门用来做一些危险测试用的。虽然在虚拟机内测试,但谁知道canon是否能突破虚拟机的限制破环实机?为了保险,还是换一块硬盘的好,不然资料全毁,到时哭都哭不及。
换好硬盘,我装上虚拟机程序,然后又重启进入BIOS,把CPU的频率调低。开机,打开内存监视器,打开虚拟机,把canon放入虚拟机,然后运行。
因为CPU频率变低,所以程序运行速度变慢,这样有利于观察内存变化。在canon病毒运行后,我只看到内存中添加了一个新的指令,并没有加载文件的迹象。我以为病毒还没发作,不过还是赶紧进行截图保存到软盘上。
也许是虚拟机的功效,canon没有破坏到实机上的数据,但让我奇怪的是,连虚拟机上的数据也同样完好无损。到底是怎么回事?
打开进程管理器,我发现了一个奇怪的现象,在没有程序运行的情况下,CPU的使用率竟然达到了50%左右。这可让我吓了一跳,看来不是病毒没有发作,而是我没有察觉。赶紧找到正在使用CPU的进程,名叫vsvchost.exe,这个进程是win2000的文件保护系统,是系统启动时必须加载的进程。
进程被注入了,这是我的第一感觉。虽然不明白为何虚拟机竟然一点用处都没有,但我还是立即重启了电脑。这回没有进入win2000系统,而是进了minix,这是一个小型版的linux系统。
进入后,我使用2000安装盘,把vsvchost.exe进程需要用到的文件全部替换掉。重启进入2000,打开虚拟机,没想到已运行虚拟机,系统马上宕机,再次重启,被提示找不到系统。
我猜测是系统的引导文件被删除了,刚才宕机的时,我马上就进行了重启,病毒应该没时间把全盘格式化,所以出现找不到系统这种情况,很有可能是引导文件损坏了。想通这点,我马上拿出软盘引导启动系统。
但结果出乎意料,系统依然启动不了,不过在dos下却可以看到win2000的系统文件还在。为什么会启动不了?难道不是系统引导文件的缘故?
我苦苦思索,却半天都得不到结果。根据之前从网上看到的新闻,Canon病毒发作时并没有这种现象出现。它只有一种破坏方式,低格。把每一台被感染的电脑,都进行低级格式化,就像要消灭一切。
正是因为canon的破坏方式单一,所以它的设计者们给它加上了严密的外衣和灵活的传播方式。使得canon能在任何环境下隐藏自身,并且把自己复制传播出去。
我思考了一会儿,想到了一种可能。那就是,canon病毒并不是一开始就进行低格,在进行低格之前,它先对硬盘上的各种软件进行注入。Winpe的执行文件有太多的地方可以被病毒利用,canon应该是把自身分解植入了软件中,然后等待实机传播出去,一旦传播成功,就进行全盘低格。这样做,就可以防止canon自杀。毕竟病毒要造成重大的损失,光破坏一两台电脑是没有用的,它必须疯狂的传播自己,然后才能达到大量破坏的目的。
除了这种情况之外,我猜测,canon病毒应该还有一种应急策略,就是自杀。一旦发现有人要监视它的运行状况,或是想清除它,那么它立即自杀——低格全盘的同时,它也会跟随消失。我觉得,我现在碰到的情况就是后者,canon自杀了。
这是个很难办的难题,我一时半会也想不到如何防止canon自杀,所以暂时放下了这个烦恼。换了块硬盘,上网看了会资料就去睡了。
第二天来到学校,早读时我莫名其妙的被叫到了老师办公室。走在教学楼的走廊上,我的心里有些忐忑,寻思着最近没有干什么作奸犯科的坏事,应该不会是被叫去挨批吧?难道,上次偷摸林琪雅小手的事被发现了?不可能啊,那妮子羞得要死,无论如何也不会说出去的。莫非,是班上哪位男同胞因妒成恨,要大义灭我?
胡思乱想间,走进老师的办公室,发现老师们都出去了,就只剩辅导我们参见竞赛的邓老师还在。我小心翼翼的走了上去,道:“老师,你找我?”
正在看报的邓老师抬眼望了下我,哦了一声放下报纸,上上下下的看来我几遍,才开口道:“我同学,虽然我不是你的班主任。但我还是想对你说,做人要诚实,不要总是耍小聪明,那样对你以后走上社会是没有好处的。”
我听了后感到莫名其妙,怎么忽然间说起这个?上次考试作弊还是小学时的事啊,难道这都被老师知道了?我偷眼瞄了瞄邓老师,心中大摇其头,这邓老师怎么看都不像神棍啊!
见我似没听懂自己在说什么,邓老师又接着道:“你前几天交上来的参赛作品我看过了。作为一个老师,虽然很希望自己的学生能获奖,但拿别人的作品冒名顶替去获奖,这种事情我是绝对不会干的。”
这下我算是懂了,原来邓老师是怀疑我的软件是别人写的,不是我自己编的。这可是天大的愿望啊!为了不显露太多实力,我已经把上交的那个主动防御程序精简了很多了,只能防范一些违规操作,对大部分的木马和病毒根本就毫无抵抗能力。没想到这样还是引起了邓老师的怀疑,我只能在心中大摇其头,叹息现在的学生能力低下,这么简单的一个程序,竟然老师都不信学生能写的出来。
其实不是老师不信学生会写出这种程度的程序,而是邓老师不信我能写出这种程序。邓老师一向认为我只是那种懂得装装系统,在不懂电脑的人面前充高手的菜鸟,现在忽然看到我拿出了一份连我都需要花费大量时间才能写出来的程序,我能不怀疑吗?
“我同学,我知道你很想得奖,但是你这种做法我是不会允许的!难道你的小学老师没有交过你为人要诚恳,做事要诚信吗?”
