江民炸弹江民特有的BOOTSCAN和未知病毒检测

在虚拟机运行江民的硬盘炸弹会影响到电脑主机吗？

虚拟机（Virtual Machine）指通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统。

因此，当你在虚拟机中进行软件评测时，可能系统一样会崩溃；但是，崩溃的只是虚拟机上的操作系统，而不是物理计算机上的操作系统，并且，使用虚拟机的“Undo”（恢复）功能，你可以马上恢复虚拟机到安装软件之前的状态。

应该说不会影响到电脑主机的。

什么是逻辑炸弹，最好能提供样本参考一下

已经被证实的KV300含有逻辑炸弹这个事件为我国计算机用户的数据安全再次敲响警钟。

尽管对于相当多的受害人来说，损失已经无可弥补，但本文作为一个综述和总结，对于计算机用户的数据安全还是应该有借鉴的。

本文涉及技术内比较浅，适于不理解计算机底层结构的非计算机专业的计算机用户参考。

　　在个人计算机程序中，病毒、木马、逻辑炸弹是常见的几种破坏手段。

他们是有区别而又互相联系的。

三者对计算机都存在危害，这是他们的共性，而它们的个性是进行传播和破坏的手段不同。

　　病毒是通过自我复制进行传播的计算机程序，自我复制是病毒的基本定义，病毒通常包括复制传播机制和条件破坏机制，而后者不是必备的，所以也存在那些只传染复制而不实施恶性破坏的所谓的“良性”病毒。

而只破坏却不能自我复制的程序不属于病毒。

典型木马程序是以“冒充”来作为传播手段的，比如经常说起的 PK-ZIP300就是典型的例子，它冒充是某个软件的新版本，在用户无意尝试或使用的时候实施破坏。

国际上比较先进的计算机反病毒软件有些已经加进了对典型木马程序的判别。

　　相比而言，逻辑炸弹要更隐藏一些。

逻辑炸弹可以理解为在特定逻辑条件满足时实施破坏的计算机程序。

与病毒相比，逻辑炸弹强调破坏作用本身，而实施破坏的程序不会传播。

我们从定义上将能够复制传染的破坏程序归属在病毒中。

与典型木马程序相比，逻辑炸弹一般是隐含在具有正常功能的软件中，而典型木马程序可能一般仅仅是至多只模仿程序的外表，而没有真正的实际功能。

当然，这些概念本身都具备一定的灵活性，在一定的条件下可以相互产生和相互转化。

我们也把逻辑炸弹发作的条件成为诱因、逻辑诱因。

　　逻辑炸弹在软件中出现的频率相对比较低，原因主要有两个：首先逻辑炸弹不便于隐藏，可以追根朔源，因此，逻辑炸弹的运用在一般情况下会牺牲这个产品的信誉，并且为作者自己引来法律纠纷，当用户知道一个产品或公司有过这种行为后，这个公司基本上也就完了，正如我们常说的某某人有犯罪的前科，假如一个食品公司曾经在他的面包里面放毒药，那么这个公司今后的任何食品都不会有人买一样。

所以，软件公司如果不是因为特殊情况等非常因素以至失去理智，一般不会开拿自己的前途开玩笑；(也许在中国要特殊一些，不可预测)。

第二，在有相当多数的情况下，逻辑炸弹在民用产品中的应用是没有必要的，正如前面所述是损人不利己，而在军用或特殊领域，如国际武器交易、先进的超级计算设备出口等情况下，逻辑炸弹才具有实用意义，如逻辑炸弹可以限制超级计算设备的计算性能或使得武器的电子控制系统通过特殊通信手段传送情报或删除信息。

普通百姓遭到计算机逻辑炸弹的事情是及其罕见的。

　　在民用计算机产品中实施逻辑炸弹，尤其是在一个市场份额比较高的产品中实施报复，其危害是不胜枚举的。

首先这个面比较广，因为和木马程序一样，逻辑炸弹的传播或运送是借助软件的信誉、行销渠道等正常途径堂而皇之地进行的，无需隐匿和其他技巧，尽管有前面所说的不利影响，但这一锤子买卖却可以轻松得手。

众所周知，零乘以任何数的结果还是零，而哪怕是一的负几万次方也可以轻易被放大到成千上万。

这就是有和没有的区别，也是逻辑炸弹危害和潜在危害的基础。

我国计算机用户对病毒基本上已经具有一定的警惕，而对于逻辑炸弹，或者说对于正版软件可以说毫无防范。

我们结合这次江民炸弹的实例，来具体看看逻辑炸弹的危害： 　　(1) 逻辑炸弹可以直接破坏计算机软件产品的使用当事人的计算机数据。

而在微机公用的前提下，恶性炸弹的破坏具有较宽的涉及范围。

在我国微机广泛使用和备份环节薄弱的情况下，危害常常是不可恢复的，即使对于在特定条件下可以恢复的情况，也可能由于操作不当或其他原因，诱使用户成为最终毁灭数据的直接责任者； 　　(2) 引发连带的社会灾难。

包括直接和简介的损失，如经济损失、企业亏损、资料丢失、科学研究的永久性失败、当事人承受精神打击、失业或家庭破裂、连带的经济犯罪、刑事犯罪、或相关人的生命安全等等，这样的例子和事故是列举不完的。

还有很多事故由于各种原因还不可公开，因此，连带责任和损失将不计其数，实际上和普通刑事、民事或经济案件一样，是社会的不稳定因素。

　　(3) 逻辑炸弹的逻辑条件具有不可控制的意外性。

这次无辜用户遭受袭击，就是因为好奇而误用了具有特殊磁道的诱因软盘，还有的用户是因为操作顺序不当，比如把 KV300拷贝到硬盘，想检查用 MK300V4加工的磁盘有无病毒，结果启动KV300时直接插入的是诱因磁盘，而不是原厂磁盘，在这一案例中，导致诱因的磁盘实际属于普通数据磁盘； 　　(4) 逻辑条件的判断很可能失常，以江民炸弹为例，比如，软盘驱动器的故障、磁盘的故障都是诱发逻辑炸弹的潜在因素。

这虽然不是高概率事件，但却具有不可控性。

如果磁盘出错导致错误读取的数据恰好是破坏性的计算机指令，这种概率可以说就是零，而错误数据成为逻辑诱因的概率则高得多； 　　(5) 逻辑炸弹本身虽然不具备传播性，但是诱因的传播是不可控的。

要灵活的多。

假如病毒可以比作是自己运行的导弹，那么逻辑炸弹则是一枚相对静止的定时炸弹或充满易燃品的军火库。

尽管通过管制可以不爆发，但是不会有人愿意住在核电站附近吧。

所谓诱因不可控的例子很容易举，比如类似技术使得使得类似磁道出现在其他商业软件程序中，甚至某个新的加密盘生成工具软件所加工的磁盘都可以成为诱因，这是非常可能的事情； 　　(6) 新的病毒可以成为逻辑炸弹的新诱因，比如在软盘拷贝(如KV300升级) 过程中，已经驻留而又没有被发现的病毒可以给软盘加工一下，使得正版磁盘成为诱因；病毒也可以驻留内存截获相应的中断服务程序，使得KV300 启动后，实施病毒检查之前，获得盗版磁盘的假象。

这就是生动的例子，说明除了零以外，其他数都可以被放大。

而那些充当系数的因子本身不实施破坏或实质性破坏。

　　(7) 由于逻辑炸弹不是病毒体，因此无法正常还原和清除，必须对有炸弹的程序实施破解，这个工作是比较困难的。

由于逻辑炸弹内含在程序体内，在空间限制、编写方式、加密方式等各方面比编写病毒要具有更加灵活的空间和余地，所以很难清除。

　　(8) 软件逻辑炸弹或其他类似违法行为，会破坏类似产品或一个领域的相似产品的可信度。

对于反病毒厂商，本来就具有很多传闻，说一些病毒就是某些厂商所炮制，并且我国软件市场还不成熟，的确应该象种地一样，一边种植从土地获得养分，一边精心培育和养护这个土地，如果土地伤了元气，就无法种植新的作物了。

对类似案件的处理不当或过轻，会引起激发感染，鼓励其他软件也使用类似非法行为进行版权保护。

　　逻辑炸弹在对计算机的破坏手段的选择上和病毒应该没有本质区别，因此，逻辑炸弹的防范具有和病毒防范非常相似的共性，另外，也有一些特殊的地方。

没有一定之规，作为泛泛之谈，仅供参考。

　　(1) 备份重要数据，为方便数据备份进行适当投资。

如磁带、可擦写光盘、 ZIP磁盘等，扩大容量或加装大容量硬盘、不是备份数据的最佳选择。

使用在线式的活动硬盘也应该格外注意；由于可以认定在硬件没有漏洞的前提下，软件不可能破坏硬件，因此数据备份是防止数据损失的最彻底的途径。

　　(2) 对数据共享的网络数据服务器应格外维护，控制写权限，不在服务器上运行不知情的可疑软件；很多服务器上运行了一些木马程序，表面上没有任何反映，但却可以截获数据包、泄露密码或其他数据；上网的时候开了个FTP Server把C:当作匿名登录帐号的可写目录自己都不知道，这种情况也还是有的； 　　(3) 对于操作系统、应用软件的安全性漏洞要及时从厂商处获取补丁程序，如Windows 的OOB Bug、浏览器(如 Netscape 4.0)的泄密等； 　　(4) 选择使用正版、并且是具有良好信誉的正版软件产品。

非正版软件的使用必须经过小心、安全的测试，确认无误后再在重要机器上使用。

不使用那些在安全性上有争议或前科的软件。

对于争议，只要不是明显的陷害或空穴来风，必然有其道理；另外，具有安全前科的产品是不能信赖的，因为，软件是典型的脑力产品，与作者的情绪、心理健康程度、精神是否正常等等状态密切相关，软件的使用本身是责任的寄托，需要以信赖为基础。

　　(5) 象预防病毒那样，平时应尽量避免和防护对磁盘绝对扇区的写操作。

在平时，除了安装操作系统、格式化硬盘以外，其他程序 (包括反病毒程序的备份)，不应该在重要的特殊扇区(如各引导区)进行。

有条件的应打开 BIOS防护，对于在Windows 95下报告磁盘 unLock错误的程序，在纯DOS 下运行时应更加小心。

　　(6) 留意 Config.sys、Autoexec.bat、dosstart.bat等自动文件在安装、运行某些程序或某些操作后的变化。

另外，wininit.ini、win.ini的 run=/load= 语句、system.ini [boot]drivers=语句、control.ini的[MMCPL]栏目、windows 或windowssystems目录中新增的 *.CPL 都是逻辑炸弹实施报复的着眼点。

当然，正常软件的配置也都是从类似的地方下手，因此这里的防护就有一些盲目了。

　　总之，民用软件出现逻辑炸弹是一件防不胜防的事情。

正如灾难是不可预测一样。

没有这次事件，我们相信还有其他事件，只是迟早。

内因或人的本性是很难更改的，事情的暴露往往是件好事，至少帮助我们认清很多东西，避免其他人受相同的损失。

如果这种行为成为风气了，那么，再好的反病毒软件和技术也都会失去意义。

　　平日的注意和留心可以帮助将损失减少到比较低的程度。

象反病毒软件这类对计算机系统可能进行大量系统级和文件级改写的软件是应该慎之又慎的。

包括类似HD-COPY、PKZIP这样的程序也要使用从网点下载的原装货，常常是这些经常使用的工具在拷来拷去的时候出问题。

对于劳动成果宁可保守，实在不能开玩笑。

有没有真正可以解除江民炸弹的方法，

下面是摘抄来的，我过去处理一概都是热插拔，简单快速。

先说一个简单的方法，就是低格硬盘了： 找一台主机BIOS中带有低格软件的计算机，把被锁硬盘用这一台计算机进行低格就可以解除硬盘锁了呀~~，不过我事先说一下，你的硬盘什么都没有了呀，而且这样的电脑好想也消失了呀。

第2种方法就要热插拔了： 先将硬盘的电源拔的松一点，将98启动盘放入软驱，然后启动电脑，这时要小心看这电脑呀：)在软盘要启动的时候按下PAUSE键，使电脑停止启动；现在是高潮了呀，你要小心的将拔掉硬盘的电源线，按回车键，计算机又开始启动了，启动完毕后，将硬盘的电源线在插入硬盘。

现在硬盘就可以使用了呀`~哈哈，不过这中方法，太冒险了呀，做不好就会机毁人伤呀：)所以我还是不推荐这样呀。

第3种方法debug法。

先准备一张能启动计算机的98启动盘，然后还要准备一贯工具软件UltraEdit32。

在一台正常的计算机中将IO.SYS的系统文件打开，并去掉它的全部属性，在用上述的软件打开它并查找55AA，并将它改成任意的数(我用的是44CC的呀)，其实这样就是将自举标准改掉了。

至于里面的细节，我就不说了，你们看截图好了呀，用这张启动软盘你就可以顺利地带着被锁的硬盘启动了。

不过这时该硬盘的分区表已经不正常，所以我们无法用FDISK来删除和修改分区，而且仍然无法用正常的启动盘启动系统，这时可以用DEBUG来手工恢复。

具体命令如下： a:>debug -a -????:100 mov ax,0201(读一扇区内容) -????:103 mov bx,500(设置一缓存地址) -????:106 mov cx,0001(设置第一硬盘的硬盘指针) -????:109 mov dx,0080(读零磁头) -????:10c int 13 (硬盘中断) -????:10e int 20 -????:0110回车 (注：-????各硬盘不相同，跟后面的:1??都是自动显示的，我们要输入的只是其后的内容) -g -d500 (查看运行后缓存地址500的内容，这时候我们会发现地址6be开始的内容就是硬盘分区表信息，如果硬盘的扩展分区正是指向自己，那么DOS或WINDOWS启动时就会因查找逻辑分区而陷入死循环。

)在DEBUG指示符下继续修改内存数据： E6BE ??.0 ??.0 ??.0…… …… ……55 AA 55 AA是硬盘有效的标志，不要修改，??.0表示把以前的数据“??”改成了0，再用硬盘中断13把修改好的数据写入硬盘就可以了： A:>debug a 100 (表示修改100地址的汇编指令) -????:100 mov ax,0301 (写硬盘一个扇区) -????:回车 -g (运行) -q (退出) 退出后运行fdisk/mbr来重置硬盘引导程序，重新启动即可。

这种方法虽然麻烦一点，但是它能够恢复硬盘分区表，也就是说恢复以后硬盘中的数据也不会丢失。

而以下方法虽然更加方便，但是要么硬盘中的数据难保，要么有一定危险性 第4种是修改IO.SYS的方法 在将上面改过的IO.SYS文件拷入到我们的98启动盘中。

在次启动有硬盘锁的硬盘。

因为同学的电脑上有很多有用的文件，而采用这种方法可以不损害硬盘上的文件。

你现在可以修复你的分区表了呀，你可以用KV3000和DM中文版的修复分区表的功能了。

(此方法适合新手：) 第5种方法是DM修复 第一步，把DM拷到好的硬盘上(如果有的话，没有的就用软盘好了)。

第二步，接上坏硬盘，开机，进CMOS，除好硬盘外，其他的IDE设为NONE(关键所在)，保存，启动。

第三步，进入DOS，运行DM，选中坏硬盘，分区格式化，OK后启动。

第四步，进CMOS，识别硬盘或设为AUTO，保存后启动。

好了，简单吧。

江民为什么杀不了毒？

有4种可能！1病毒在带有密码的压缩包里！要把所有的解压，旧可以了！ 2病毒在/WINDOWS/SYSTEM32文件中，要在安全模式中删除，或用KV2008的bootscan功能杀！ 3病毒在/WINDOS/system32/Restore里，则不用担心！只要关闭系统还原就可以杀了！ 4病毒在/DOCUMENTS AND SETTING/%USER%/LOCAL SET-TINGS/TEMP文件夹，则就好办了，因为这文件夹早被江民禁用了，在下回启动电脑时会自动清除！ 如果还是不行，就找人重装

江民特有的BOOTSCAN和未知病毒检测

谈谈个人的看法. Bootscan也就是开机扫描,在未进入系统前进行杀毒,这样清除率高.不过,个人认为江民的BOOTSCAN不如瑞星的好,几次遇到病毒都查不到.另外,江民的BOOTSCAN曾经因升级错误导致系统崩溃. 未知病毒检测呢,就是检测系统文件夹等区域,包找到的未知的部分文件列出来,其中有的不是病毒. 江民个人认为查杀能力不强,不推荐用. 要解决卡的问题,建议关闭登陆系统后扫描和江民木马一扫光.