前天晚上喝多了,昨天头痛了一天,所以没有更新。我会在最近几天补上的,不好意思。端午节到了,更新可能会有些不规律,请大家多多包涵。
----------------长江一号防火墙---------------
这天洛凡上网,看见了一条让他心生愤懑的新闻:着名安全公司unt的总裁被证实入侵银行被捕。这明显是黑客的举动,安全公司的总裁进行黑客活动也不稀奇,但让他生气的是,现在反canon病毒的程序发布的还只是个试用版,也就是还不能全面清除的版本。unt总裁的被捕,意味着反canon病毒程序开发的终止,也就是说canon病毒还会继续流行下去。这样一来,洛凡之前的努力就全部白费了。
这种情况是绝对不允许发生的,洛凡为此付出了那么多,怎么能眼见着事情被逆转。竟然unt公司已经靠不住了,他决定自己亲手制作canon的专杀工具。
要制作专杀工具,首先要了解canon的工作原理。鉴于canon病毒的强大,当然不能贸然测试,必须先做好防范才行。
前段日子,写主动防御软件时,洛凡同时也对虚拟机技术进行了一定的研究,虽然还没有取得重大的成功,但样品已经做出一个了。所以,这次他打算用虚拟机进行测试。
测试之前,洛凡把电脑上的硬盘换了一块。这块硬盘是他专门用来做一些危险测试用的。虽然在虚拟机内测试,但谁知道canon是否能突破虚拟机的限制破环实机?为了保险,还是换一块硬盘的好,不然资料全毁,到时哭都哭不及。
换好硬盘,洛凡装上虚拟机程序,然后又重启进入bios,把cpu的频率调低。开机,打开内存监视器,打开虚拟机,把canon放入虚拟机,然后运行。
因为cpu频率变低,所以程序运行速度变慢,这样有利于观察内存变化。在canon病毒运行后,洛凡只看到内存中添加了一个新的指令,并没有加载文件的迹象。他以为病毒还没发作,不过还是赶紧进行截图保存到软盘上。
也许是虚拟机的功效,canon没有破坏到实机上的数据,但让洛凡奇怪的是,连虚拟机上的数据也同样完好无损。到底是怎么回事?
打开进程管理器,洛凡发现了一个奇怪的现象,在没有程序运行的情况下,cpu的使用率竟然达到了50%左右。这可让他吓了一跳,看来不是病毒没有发作,而是他没有察觉。赶紧找到正在使用cpu的进程,名叫vsvchost.exe,这个进程是win2000的文件保护系统,是系统启动时必须加载的进程。
进程被注入了,这是洛凡的第一感觉。虽然不明白为何虚拟机竟然一点用处都没有,但洛凡还是立即重启了电脑。这回没有进入win2000系统,而是进了minix,这是一个小型版的linux系统。
进入后,洛凡使用2000安装盘,把vsvchost.exe进程需要用到的文件全部替换掉。重启进入2000,打开虚拟机,没想到已运行虚拟机,系统马上宕机,再次重启,被提示找不到系统。
洛凡猜测是系统的引导文件被删除了,刚才宕机的时,他马上就进行了重启,病毒应该没时间把全盘格式化,所以出现找不到系统这种情况,很有可能是引导文件损坏了。想通这点,他马上拿出软盘引导启动系统。