PersonalCorpus 版 (精华区)
发信人: seak (江海客), 信区: Virus
标 题: CIH再次透析了中国反病毒产品的内核
发信站: 哈工大紫丁香 (Sun Oct 4 10:57:07 1998), 转信
CIH再次透析了中国反病毒产品的内核
------对比王江民、刘旭的答记者问
中国的反病毒软件乃是中国羸弱的软件产业的两块风水
宝地之一。当财务软件的水土也有流失迹象的时候,98年上
半年杀毒软件的销售额依然突飞猛进,有将近44%的增长,达
到5.6个亿(RMB)。
而我相信,下半年杀毒软件还会有一个井喷行情,这要
归功于CIH的泛滥。
中国的反病毒软件给我的印象是每遇到一个新的病毒时代
就会显出苍白的一面。但这里面有着,不同的表象,或者表征
着一堆神话的破产,或者造就着新的神话。
DIRII曾经让号称世界三大领先技术的中国防毒卡无力的
淡出市场,可见病毒可以把偶像粉碎!但不知谁勾画出一个谈
幽灵色变的氛围后,又造就了新的明星。似乎病毒又变成是机遇;
但没有人公开分析诸如不能恢复被病毒加密的数据、杀毒不净
的问题。宏病毒横行数月,才逐渐得到控制,却少有官方的反
思。而CIH来了,我们又看到什么了?
公安部的通告发了,全民皆兵!如我前面一贴,有ISP把SERVER
的系统时间都修改了,令人哭笑不得。翻看几种电脑媒体,演
员都登场了,瑞星首先杀除,KILL98实时防御,还是KV300
最了得,CIH算什么,我又发现了XXX变形病毒... ...
如果不是一件小事,如果不是这样的巧合,我们还要欢呼
我们的以王江民为代表的反病毒专家挽狂澜于即倒,我们还要
感谢我们用辛辛苦苦积攒下来的MONEY买来的杀毒软件“赐”
于了我们杀掉病毒的机会。
《电脑商情报》98年9月18日家用版*新闻论坛,破天荒的
为一种病毒分别采访了两位中国反病毒的专家。KV300--王江民
、瑞星--刘旭。一定有许多读者不敢相信,关于一个小小的病
毒,关于一个我们都了解一、二的基本概念,两位专家竟然大
相径庭,同一版面上的不同声音令人惊异。
试选几例:以下王江民简称--王,刘旭简称--刘:
1、关于CMOS 和BIOS
王:“最近,在国内流行一种对计算机数据和机器主板BIOS(CMOS)
有极大破坏的cIH病毒。”
刘:“...有些人把BIOS和CMOS混为一谈...”
2、关于发作条件
王:“几乎每个月的26日破坏数据和乱写个别主板的CMOS内容”
刘:“如果条件适当(1.2版4月26日,1.3版6月26,1.4版每月26日)”
3、关于数据可否恢复
王:“KV300可全方位DOS 、WINDOWS 单机与NovELL网络上杀除
该病毒,可修复被病毒破坏的硬盘分区表,找回D、E、F上的数据等”
刘:“从目前的情况看,对于病毒发作所损毁的硬盘,其数据很难恢
复。”
... ...
至于其他一些互相影射攻击的细节,请大家自己看附文。
关于CMOS和BIOS以往的讨论很多,但看来依旧必要对不了解的用户再
做澄清。
BIOS:(BASICE INPUT/OUTPUT SYSTEM)基本输入输出统
物理性质:EPROM或FLASH MEMORY类存储器
逻辑性质:程序
作用:存放计算机SETUP程序,底层驱动等的地方。
CMOS:(Complementary Metal-Oxide-semicomductor)互补过氧
化物半岛体
物理性质:RAM类存储器(靠电池维持记忆)
逻辑性质:数据
作用:用以存放BIOS SETUP程序存放的结果。
两者虽然有联系,但绝对是两种不相干的东西,而从王先生的论述,
显然是没有搞清两者的区别。一个反病毒专家搞不清CMOS和BIOS的区别,
可谓令人难以置信。KV300可以说被扇了个耳光。
关于发作条件,我对王先生的说法十分迷惑,什么叫“几乎每月26
日”,我在任何反病毒的专业论述上也没见过如此含糊论述病毒发作条
件的。如果CIH病毒到26日取一个随机数A(0,1),A>0.9 ,则发作,
那么是几乎每月26日,而事实并没有类似的情况。我认为最大的可能是
江民公司只得到了 CIHV1.4的样本,但又听说有其他的版本,所以含糊
其词。
我的怀疑并非没有道理,因为我已经听说3例关于KV300 不能杀除CIHv1.2。
KV300可以说又被扇了个耳光。
关于恢复数据,这确实有些分析的必要,我谈一点个人的理解,不一定
准确。因为没有对病毒发作做实际测验,(偶只有一块硬盘)。
首先,CIH病毒的破坏是覆盖式的,这个过程显然是不可逆的,既然是不
可逆的,但是那么恢复有没有可能,概率有多少,我认为取决于病毒的
数据破坏的进度进行到哪里了,因为病毒覆盖扇区需要时间,此时硬盘
狂转,可能用户会重起,或有系统的其他原因进程不能结束。此时,未
被覆盖的扇区有恢复的理论可能。即病毒如果已经完整实施了破坏,
则一定不能恢复,如果未完成,那么恢恢复未被覆盖部分的可能性,与
破坏完成度成反比。
以上只是一个通俗的说法,因为我们重点不是讨论CIH,而是中国的
反病毒软件。
论及正题,首先是王江民和刘旭各取所需,由于KV300给出了一个所谓
的修复硬盘的功能,所以王江民言之凿凿的说KV300可以恢复D、E逻辑
扇区的数据,而刘旭的头彩在于病毒是他先发现先杀除的,要强调买了
我的来杀毒,发作就晚了。而王江民的意思是发作了也买KV300吧,还
能修复。
个人认为,就整体概率,可能修复的可能比较小,应该说是一个小概
率事件。但这种概率事件被一方夸大为100%,但又被另一方认定为0%。这
种自说自话的行为,在中国反病毒的宣传和反病毒理念的倡导上比比皆是
。比如计算杀毒数量的方法,比如对同一种病毒的认识等等已经渐渐背离
着科学严谨的轨道,完全被商业利益左右,而至于诸如谎报杀毒数量,谎
报杀毒效果,炮制毒情的行为,是不是已经批量产生,请大家自己甄别思
考。什么国际XXXX病毒已经到了无解的程度,而我独家杀除,什么“智能
、广谱、百分之百”总之是名词与概念齐飞;狂吹共滥捧一色。
而中国的反病毒产品就由于这种浮躁之气,而逐渐经历了一个负淘汰
的过程,能吹者上,不能吹者下。一个应该由技术、安全性等等理性因素
主导的市场,为什么轻易的让浮躁主宰。其实可见,在知名的杀毒软件
中,KILL是最沉默的,并非是技术导致了KILL的淡出,也并非是界面、易
用性等表层的技术因素,一个重要原因,为KILL的广告那样稀少,那样平
淡无奇。于是,中国唯一的官方权威背景的公司,投入了和CA的蜜月之
旅。当我们不经意的看看新版KILL图标下的文件名,那是“CAV”,AV,
显然是CA之AV-CLIENT系列,C的意思不用我说。
尽管我方才也批评了刘旭先生,但从两篇文章的对比,完全可以看出
刘先生比王先生科学、严谨。同样,尽管中国的反病毒软件整体不尽如人
意,但几乎每一个通过公安部鉴定的产品都优于KV300。但KV300就是中
国反病毒产业和IT产业的代表。 KV300可不可以代表中国的IT产业,有
人摇头,但谁说不可以,中国98年上半年应用工具类软件销售仅仅10.8个
亿,而KV300独占3.8 个亿。
一个连BIOS和CMOS都分辨不清的程序员,一个仅有字符界面的DOS时
代的单机版产品的公司,一个只能杀除几百种病毒的工具,一段在软件中
预制过有害数据(用公安系统的结论)保护自己版权的历史,却可以以98
年上半年反病毒软件69%的销售份额独霸榜首。我们是不是该呼唤一点科
学,呼唤一点理性,呼唤第三方测评机制,以及呼唤我们的用户擦亮他们
的眼睛。
于是,当CIH来了的时候,当主角都在“做秀”的时候,我们这些看客
是否可以喝几声倒好!
(后附两篇采访记录,OCR识别,错误在所难免)
%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
海客天涯 ^
+ _ _
--|-- \/
\ | /
-|-
<----------.>
\ / ~
~^~^~^~^~^~^~^~ ~
人是使自己在斗争中变得正确,而不是等到正确了才去斗争
seaowner@mail.hr.hl.cn
%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
以下两篇文章,我不多说了,留给读者思考。
附一:王江民先生答记者问:
记者:CIH 病毒是一种什么样的病毒?
王江民;最近,在国内流行一种对计算机数据和机器主板BIOS
(CMOS)有极大破坏的cIH病毒。ciH是纯32位WIN95/98病毒,不传
染DOS;WIN3.2文件.几乎每个月的26日破坏数据和乱写个别主板的
CMOS内容,该病毒能识别台湾及个别国家产的部分主板上BIOS写入
口,。使在低电压下对可擦写功能的BIOS(CMOS)内的程序注入个
别字符,使BIOS程序紊乱,造成机器暂时不能使用 。该病毒代码长
为1075字节左右,有多个变种,只感染WIN95、wIN98的EXE的PE格
式文件,病毒代码分解为多个不同大小的碎块,潜伏在文件内部的
不同地方,文件长度无变化:该病毒已在世界广泛流行破国内已有
计算机户遭受毁坏性攻击,其损失惨重!
记者:病毒真的能对硬件进行破坏吗,
王江民:随着技术的快速发展,软件硬件相互依赖和相互调节
的作用越来越多,比如;一般情况下,主板最高供电电压为12伏,
一般器件工作电压5伏,现绿色功能CPU的工作电压为2.5一3伏,
BIOS可通过过主板的跳线调整
,这就为用软件调整带来了机会,也带来了可怕。过去,往主板上
开机使用的BIOS(CMOS)芯片写入程序时,需要在专用写入器用
12伏以上电压才可注入程序。现在12伏以下可重复擦写的BIOS
(CMOS)芯片已再使用,已有可从主板生产厂家的网站上下载
BIOS(CMOS)升级程序,由用户自己将主板上
BIOS(CMOS)内的老程序升级。这就被CIH病毒编制者钻了个空子,编出
CIH病毒来乱改BIOS(CMOS)芯片中的程序,造成计算机不能启动即所谓
硬件坏。
记者:用户自己能恢复吗?
王江民:不能这必须靠专业厂商重新擦写或更换BIOS(CMOS)芯片
才能使用。
记者:所有的计算机的BIOS(CMOS)芯片都可被CIH病毒破坏吗?
王江民:不会的,CIH病毒只识别个别主板生产厂家的个别型号的
BIOS(CMOS)芯片的写入端口。
记者:是那些型号的主版?
玉江昆:不便说,这会影响厂家的销售,但是,硬件厂商必须引起重视。
记者;CIH病毒还对什么进行破坏?
王江民:每个月的26日,从硬盘主引导区开始CIH病毒对其中的数
据进行复盖式的乱写,其数据损失惨重。
记者:用户能自己修复数据吗?、、、、,
王江民:如果用户的硬盘划分了有C、D、E…等多个分区,“且重
要数据存放在D、E上,这是有可能恢复的,我们已用kv300的F10自动
修复硬盘分区表功能,修复’了多个被CIH病毒破坏的硬盘,只是C盘
的数据不好恢复。
记者:有好的防范该病毒的方法吗?
王江民:在防的方面,该病毒冲破了国内外所有的病毒实时监测防
火墙,悄悄进入到计算机中来,到了26日便发作。防毒产品对新病毒最
多能防9%,对病毒必须综合治理,全面防范。
记者:有好的查杀该病毒的方法么?
王江民:该病毒采用VXD技术编写,虽是32位编程,但不算复杂,
较好查杀,但有的软件有漏查漏杀现象,也没有弄明白32位文件格式
,匆匆上阵,并没有彻底杀除,这对用户十分危险,一旦漏掉病毒,
26日发作,用户的主板可能被破坏,那可惨了。所有KV300的用户,
请马上升级到W+版以上。否则,一旦患,硬件也难保住!KV300可全
方位DOS 、WINDOWS 单机与NovELL网络上杀除该病毒,可修复被病
毒破坏的硬盘分区表,找回D、E、F上的数据等。注意!请一定用干
净系统软盘引导机器后,再查杀!
否则,病毒会使机器严重感染,查杀不彻底。
当您的机器硬盘上装的是新版Windows95、WINDOWS97、windows98
即32位系统,这时,如果您用D0S7.0以下的系统软盘引导机器后,硬盘
不会被确认。这时,您应自做一张WindOws4.1111(Dos7.1)以上的干
净系统引导软盘来引导系统。
记者:非常感谢王老师百忙之中能抽出宝贵的时间接受我们的采访
,再见!
王江民:不用谢!再见!
附二:刘旭先生答记者问:
记者:有关CIH病毒的消息,我们通过Internet网络有了一些了解
,在国内得到正式的消息是9月1日公安部的病毒通报,国内的反病毒
厂商对此反应速度,很快,瑞星公司首先向公安部提供有关CIH病毒
比较详细资料,请问你是何时发现该病毒的? 、
刘旭:7月8日前后,internet网上对CIH病毒有了一些讨论,而在
此之前的6月初,CIH病毒已被发现,我在国内最早发现是8月月4日,一
个端星软件的用户打电脑告知发现一个新病毒,因为这是一家软件公
司(在此不便透露),他们对电脑也很了解,希望我们帮助清除.我当天拿
到了病毒的样本,凭经验来看,看这个病毒恨小,其代码量没有超过IK,
相当的小,我当时;感觉这个病毒不会有什么危害,只是很仔奇,因
为它是目前国内发现的唯一一个感染Windows95/98系统文件的病毒。
记者:那么当时您是如何处理这个病毒的?
刘旭:按照我们惯常对待新病毒的方法,首先要分析病毒的结构,然后
编制相应的程序,实现对这个病毒的查找和杀灭,这一步大概用了十天
时间,当时手头的病毒标本是CIH1.4版的,我专门编写了查杀该病毒的
程序,并在各种可能的情况下进行测试,效果相当不错,其后用户又提
供了几个病毒样本,分别是CIH1.2、CIH1.3版,我又针对这两个版本重
新调整了杀毒模块。
然同,我开始着手解剖CIH病毒,发现它具有多种功能,它可以读
CMOS中的时间数据,然后根据条件比较,如果条件适当(1.2版4月26日
,1.3版6月26,1.4版每月26日)便转入便转入发作程序,发作部分为两
部分,一部分直接存取FLASH BIOS端口,将一堆垃圾码写入BIOS芯片中
,BIOS不可恢复,这部分是专门用来破坏BIOS的;另一部分则调用VXD
的IOS-SendCommand直接对硬盘进行存取,将垃圾码以2048个扇区为单位
循环写入硬盘直到所有硬盘(含逻辑盘)的数据均被破坏为止。因此,
所有硬盘中的数据均不能恢复,所以一旦病毒发作,其损失难以估量。
记者:CIH病毒为什么能破坏计算机硬件?
刘旭:CIH病毒是针对现有计算机的弱点而编制出来的。从编程手段上来
看,它的确可以称得上是计算机病毒的杰作。因为它的两个基本特点是
其他病毒所不具备的,其一是它采用了Windows VxD技术;其二是它可以
利用现在计算机BIOS可以写入的特点,通过程序可以改写BIOS的内容。
在这里需要说一说BIOs。 BIOS是电脑硬件系统中必备的一个组成部
分,中文称为”基本输入输出系统”,其中存放的都是系统最基本的硬件
参数和驱动程序:以便识别出各种硬件设备,BIOS又俗称“开工程序”。
现在存放BIOS多采用Flash芯片,这种芯片可以通过程序来更改,有些主
板厂商利用这种芯片的特性,提供对BIOS的升级程序,以便支持更多的硬
件设备,CIH病毒就是利用BIOS可改写这一特性来实现对硬件系统的攻击的。
记者:这样说早期采用EPROM的计算机可以避免被CIH病毒攻击?
刘旭:是这样的;CIH病毒并不攻击所有计算机的硬件系统,只是对一
部分计算机构成威胁,这要看cIH病毒是否改写BIOS成功,但是CIH病毒
最致命的破坏是在发作时对硬盘系统的破坏,这是每一台感染CIH病毒的
计算机都不可避免的。CIH病毒在发作时首先攻击BIOS,不管攻击成功或
失败,它都会进一步攻击硬盘,将垃圾码以2048个扇区为单位循环写入硬
盘,知道所有硬盘(含逻辑盘)的数据均被破坏为止,发作现象是硬盘不
挺的运转,再次启动时失败,此时硬盘只能重新分区并格式化,所有数据
丢失,、对于计算机用户来说,这是最难以接受的。从目前的情况看,对
于病毒发作所损毁的硬盘,其数据很难恢复。
记者:这真是一只凶狠的恶性病毒:目前对于用户来说。有什么预
防的办法吗?
刘旭:就我的了解,国外反病毒软件厂商提供了一些反病毒软件,相
对于国内反病毒厂商来说要早。但从多查杀效果上来看。还存在一些问题
,主要是对于病毒的消除不彻底。我编制的瑞星杀病毒软件9.0版用了多
种技术,其中比较特殊的是DOS版和WINDOWS版联合使用因为CH病毒传染
的是Windows95/98的可执行文件(EXE文件),当WINDOS启动之后,会使
用到一些执行文件,这些文件染毒后,即使查到也无法杀灭,因为此时文
件处于禁写状态。所以应当先用干净系统盘启动后,用瑞星的D0S版先清
查整个系统,然后安装瑞星的Windows版软件,由于这个病毒发作后破坏
力巨大,
所以我专门在瑞星9.0中加入了一个功能模块,也就是定时查毒功能,用
户可自行定义按小时、天、星期且自动查毒,所有查毒工作均在后台完成
不影响电脑的正常使用。
记者:国内的反病毒软件厂商都推出了针对CIH病毒的软件,您认为
各家的反病毒软件都怎么样?
刘旭:我是搞技术出身的,十多年来一直和计算机病毒打交道,这次
对cIH病毒反应比较迅速可能与我的习惯有关,因为几乎每见到一新病
毒,我都会把它解剖一番,这是从做瑞星防毒卡时就留下的习惯了。我
刚拿到CIH病毒时,也没太在意,因为它的代码量太少,不应当有什么
太多的功能,引起我好奇的主要有两个原因, 因为它感染贿95/98的系
统文件,二是寄生的文件长度不改变:所以我非常仔细解剖了这个病毒
,才发现它极具攻击性。
8月21日我完成了整个反病毒程序的编制,并将其放干瑞星的BBS站
点上供用户下载;8月25日我带着全套病毒资料向公安部十一局报了案,
引起了公安部的高度重视:8月31日公安部发布病毒通报;9月1日瑞星
公司召开新闻发布会,向各大媒体通报了CIH病毒的情况:应当说这次
瑞星的动作是很快的。
对于竞争厂商的竞争产品,在此我不便多说,,但有些人把BIOS
和CMOS混为一谈。其实目前流行的该病毒只有三个变种,分别是V1.2
,版木长度为1003字节,V1.3版本长度为1040字节,V1.4版本长度为,
1019字节,其中V1。4版本是每月26日发作。另外还有两种没有向外流
传的病毒:V1.0版本656字节,V1.1,版本796字节。
记者:能否再同一个问题,您觉得一个消费者该如何选择反病毒软件
呢?
刘旭:我记得有人曾跟我谈现在品牌竞争,所有的反病毒软件都差下
多,只要选准一个品牌就可以了,这个观点我不赞同,因为编病毒与反病
毒之间纯粹是一场智力的较量,凭的是真正的技术,单靠品牌是无法让用
户满意的。
有时我甚至觉得,我真的很喜欢新奇的病毒,这可能与我搞技术有关
(笑),新的病毒的确能让我兴奋起来。就象职业杀手在追杀他的猎物一
样(笑),但这种病毒能给反病毒厂商提供机会,这是显露技术水平的一
次难得的机会。
在这里多谈两句,瑞垦在反病毒领域走过一段弯路,主要是在防病毒
卡向防病毒软件转变的过程中没有很好的过渡,现在应当说我们又走在了
前头,我建议用户不妨试验一下瑞星杀宏病毒的功能,相信用户一定会满
意,因为我花了两个多且的时间搞清了WORD和EXCEL文件的结构。
记者:谢谢!希望有机会再能向你请教。
刘旭:不用谢。
--
☆ 来源:.哈工大紫丁香 bbs.hit.edu.cn.[FROM: www-post@bbs.hit.edu]
Powered by KBS BBS 2.0 (http://dev.kcn.cn)
页面执行时间:207.231毫秒