第233章 226.全世界解决不了,VK能(两章合一)
在赵德彬的世界里,目前,世界上出现的所有病毒,破坏的都是电脑软件。
那些病毒造成的损害停留在电脑的操作系统、数据文件这一层,破坏性是有限的。
而hIh却能破坏电脑硬件,可以通过一段不到1Kb的代码,让电脑无法开机或是瘫痪。
相对应的,恢复方法除了彻底格式化硬盘以外,还有重刷bIoS系统。
hIh出现时间不长,上一次爆发的规模也不大,事后,病毒作者徐英豪也立刻上传了解毒工具和方法,所以,各大安全公司并没有为hIh开发专杀工具。
在随后的一年中,hIh病毒不断变异、进化,产生了2.0版本——入侵者 Intruder。
到了入侵者这个版本,它开始利用维软系统的漏洞,又产生了特别多的变种病毒,不仅有超强的传染能力和隐蔽能力,还能反杀杀毒软件。
之所以说入侵者的传播性很强,是因为它几乎把当前能用来传播的途径全用上了,包括但不限于:软盘光盘、网站、电子邮件、exe捆绑、感染asp。
很多病毒都是先通过广域网传播到局域网内,再在局域网内部扩散。
在1990年,即便是在丑国,网络也并不普及,中夏更是连网都还没连上。
在这样的环境下,就不要指望着人民群众能有什么网络安全意识了。
但凡是能知道给电脑装个杀毒软件的,都属于是防护意识很强的人了。
甚至有很多电脑用户,都不知道杀毒软件是什么,或者还停留在防病毒卡那一层。
杀毒软件也处于萌芽阶段。
之前,赵德彬研究了国际上的友商出产的杀毒软件,结果那叫一个惨不忍睹,看得赵德彬简直快怀疑人生了:
就这?
就这?
这都能卖钱?
钱也太好赚了吧?
其实,这主要是赵德彬好为人师的老毛病犯了。
这就跟赵德彬批评小马一样。
其实,小马在耳濡目染之下,写出来的代码还挺好的,只是赵德彬看不上而已。
上辈子,赵德彬是一个既严格又没有耐心的老师,一生之敌就是“笨学生”。
因为他自己天赋异禀,所以他理解不了天赋寻常正常人的苦恼。
平时,他接触的都是博士、教授,可他仍是觉得有些孤独,很难找到一个跟他有共同语言的人。
毕竟,能闲着没事跟他讨论一下午香农定理的人,实在不多。
看来看去,赵德彬也就能跟伊戈尔这种类型的聊到一起。
伊戈尔当professor当了一辈子,在丑国,professor那可是很有地位的,更别提人家还是哈弗的终身教授。
所以,伊戈尔身上的“老师味”比赵德彬更重,平常一张嘴就是教育别人。
这俩人倒是志趣相投、性情相似,相处起来相得益彰,总有说不完的话,然后这两个人也不会嫌弃对方笨。
以赵德彬严格的标准来看,不要说是现在的杀毒软件,就是零几年的杀毒软件,技术含量也着实有限。
举个例子,在05、06年左右,只要新建一个空白记事本,改名为svchost.exe放进system32里,就会被各种杀毒软件提示中病毒了。(注释一)
赵德彬的手里自然不会做出那么不灵光的杀毒软件,他充分汲取了后世先进杀毒软件的经验,各种招数能使上多少就使多少。
但由于操作系统和硬件限制,很多操作,赵德彬暂时也无法实现。
比如,作为一个防护系统的杀毒软件,肯定不能轻易地被结束进程吧?
实际上,在很长一段时间内,杀毒软件的进程很轻易地就能被终结,这个“很轻易”的对象不光可以是用户,还可以是病毒。
然而,纵使赵德彬想把VK设置成“SYS引导加载+服务加载+守护进程+系统优先级,关掉VK就相当于把系统核心关了”这种灵光的模式,目前的操作系统还不支持赵德彬这么做。
但是,VK100的升级版,VK1991,对付hIh和入侵者病毒,已经是绰绰有余的了。
入侵者已经成了一种复合型病毒,它的变种病毒很多,为了尽快解决问题,赵德彬负责软件上的解毒,赵文来负责硬件和底层解毒,以及编写数据恢复工具。
别看一个入侵者的大小只有几Kb,但在16位的windows 3.0时期,发作起来最大的内存都扛不住,表现就是电脑慢到卡死,或者直接蓝屏当机,甚至厉害的变种病毒可以直接烧cpU。
赵德彬研究之后,发现了一些有意思的东西。
入侵者其中一个变种病毒,可以把病毒的执行程序插到开机启动项中。
发作后,会扫描电脑中可能是杀毒软件的东西,然后病毒提前把这东西的注册表启动项给删了。
这样一来,被感染的电脑在8月20日开机之后,安装在电脑里面的杀毒软件还不知道发生了什么事,它就已经没机会知道了。
像是迈卡菲、卡斯巴基之类的杀毒软件,根本就打不开。
除此之外,还有的变种病毒可以感染全盘的.exe文件,将病毒和.exe文件捆绑起来,让杀毒软件无从下手。
这些方式,令赵德彬联想到了零几年肆虐中夏的“狗熊拜佛”病毒。
即便是像VK100这样的比较坚挺的杀毒软件,虽然能够运行起来,但入侵者这玩意根本就不在VK100的病毒库里头。
VK100的核心是识别病毒的光谱特征码技术,没有特征码,就不能识别病毒,查杀病毒更无从谈起了。
VK100的能力也只能将病毒从计算机中删除,无法修复损坏的数据。
不过,在入侵者之前,基本上也很少有损坏数据的病毒。
而赵德彬最近和赵文来一起捣鼓的VK 1991搭载的杀毒引擎,在连上了网络之后,获得了一个全方位的升级。
像入侵者变种这么多的病毒,单靠几个特征码,可能认不准或者认不全入侵者的家族成员。
为了扑灭入侵者病毒,赵德彬又给杀毒引擎打了个专门的补丁。
经过测试,VK1991的杀毒引擎基本可以识别出入侵者的小弟们。
对于几个闹腾特别厉害的变种,赵德彬不准备用特征码,他改换了另一种方法。
这个方法类似于VK100的特征码查杀法,但不是从病毒内部提取特征码,而是采用散列算法计算出病毒的散列值。
然后,在查杀的过程中计算每个文件的散列,与病毒的散列值作比较。
当然,不同变种病毒的散列值是不一样的。
找到内存中的病毒进程之后,再删掉病毒创建的文件。(注释二)
做好这些后,赵德彬就着手开发入侵者强力变种一键查杀的专杀工具。
至于赵文来那里,入侵者的变种病毒虽然多,破坏硬件的变种并不多。
在底层排查病毒,对赵文来而言易如反掌。
他最先对付的是可以让cpU中毒的变种。
cpU是个运算器件,如果cpU中毒,病毒是存在cpU的RAm(随机存取存储器)里。
入侵者的变种病毒可以增加cpU的重复工作率,导致cpU的负荷过大,总是处于高速运转的状态,会让cpU的温度上升,导致cpU烧毁。
到了赵文来这种层次,他真的就是字面上的“直接下到RAm里把病毒抓出来杀了”。
反正赵德彬看了,都得摇头。
在赵文来面前,赵德彬两辈子加起来,头一遭体会到了当“笨学生”的感觉。
赵德彬只知道赵文来每一步的目的是要干什么,但他到底干了什么、那一堆0和1是什么意思,赵德彬就不知道了。
这事,俗称——“由他去罢”。
针对入侵者破坏bIoS这一问题,首先要明白,bIoS是什么东西。
bIoS保存着计算机最重要的信息,包括基本输入输出程序、系统设置信息、开机后自检程序和系统自启动程序,为计算机提供最底层的、最直接的软硬件设置和控制。
简单来说,就是:
电脑一开机,bIoS首先被执行加载。
只有bIoS正常运行,系统才可以正确识别硬件,调用相对应的驱动程序,接着硬盘再引号操作系统,电脑才能正常开启。
而赵德彬发现,并不是所有电脑的bIoS都会被破坏。
只有采用了EpRom(电可擦写只读存储器)即来存储bIoS信息的主板才会中招。
这是因为,固化在Rom中的数据是不可改写的,而EpRom在施加特殊的逻辑和电压的情况下,是可以改写的,这就给入侵者留下了可趁之机。
只要病毒篡改了bIoS的信息,计算机的启动项就被打乱了,也许电脑开机后最先启动的是病毒,也许电脑干脆开不了机。
而在1990年能用上EpRom的主板,都属于高级的主板。
历史上,要等到1992年,因特尔发布奔腾系列,EpRom才逐渐成为主流。
对于那些能破坏的bIoS,入侵者病毒发作时,会先破坏bIoS中的信息,将bIoS中的数据读出,经过与16进制的“44”进行“或”运算,然后再把数据写回bIoS。
在逻辑运算中,“或”运算的结果不可逆。
所以,一旦bIoS数据被入侵者破坏,就无法通过软件修复。
赵文来是个精怪(计算机精),他还不是神仙,所以他没有办法逆天而行。
通俗点说,就是:赵文来没办法直接写个软件出来,然后这个软件就能把所有损坏的数据全都修复回来。
但是,只要是能通过软件一键修复的数据,赵文来做出来修复工具都能修复。
由于赵文来是这个星球上所有生物当中最接近于计算机的存在,所以,他写出来的修复工具也应该是地表最强。
如果一台电脑的数据连赵文来写的修复工具都修复不了,那只能说明这台可怜的电脑中毒太深,已经病入膏肓、药石无医了。
赵文来的活半天不到就干完了,他弄好之后,赵德彬还得把专杀工具和修复工具合并到VK 1991里。
赵德彬的任务繁重,他跟王江平和马华成一起,足足忙活了两天才弄完。
这倒不是对付入侵者有多难,主要是赵德彬还要完善VK 1991的杀毒引擎和病毒库。
早在七月中旬,赵德彬找到了蹭网的地方,他和王江平就一起开始了杀毒引擎的开发工作。
当时,还没有卖北美代理权这回事。
所以,他们本来是想做个局域网版本的VK带回内地,供给有局域网的单位使用。
中夏是1994年全面接入互联网的,但在1990年左右,有少数的单位已经有了局域网。
等这次回去,赵德彬准备想办法鼓动鼓动浅川大学。
要是浅川大学能早点拉上局域网,赵德彬就可以通过浅川大学上到互联网。
凭他跟学校良好的关系,从学校劈出一条网线拉到两公里外的德平科技,那都不叫个事。
虽然,用脚趾头想也能知道,这时候的网速肯定慢得很惨烈,但它好歹也是网啊!
有了网,就有了电子邮件,赵德彬就可以跟洪港和丑国联系了。
打电话是行不通的。
这时候,在内地,打国际长途还要到邮电局去,属于单线联系。
内地可以往外头打电话,但是外头打进来接的是邮电局,非常麻烦。
紧接着,没过两天,赵德彬又把VK代理权卖给了铁门塞克。
于是乎,开发中的杀毒引擎和病毒库立刻就找到了下家。
本来,赵德彬准备把VK100全面升级到VK 1991,搭载了杀毒引擎和病毒库,再给铁门塞克。
这样一来,在丑国发售的就直接是VK 1991版本。
至于内地和洪港,则是双版本,能上网的选联网升级的VK 1991,不能上网的还是本地版的VK 100,通过病毒特征码手动升级。
赵德彬跟铁门塞克说的是一两个月把VK100升级到VK 1991,但实际上,VK1991的开发工作已经基本完成了。
接到尤班克斯电话的时候,赵德彬正在悠哉游哉地测试VK 1991,甚至还有兴致去指导一下正在做网站的小马。
得知入侵者肆虐丑国这一档子事后,赵德彬立刻意识到,这是一个千载难逢的机会。
要是趁着这个当口,让VK 1991在丑国上市,然后,丑国人就会懵逼地发现,别的杀毒软件都杀不了入侵者,而VK 1991却有入侵者的专杀工具,还有数据修复工具。
这是什么概念?
哎呀,VK 1991还不得在丑国大火一把?
丑国这个时候还是灯塔呢,VK 1991要是在丑国火了,其他地方的代理商不得哭着喊着上门来买代理权吗?
VK 1991晚一天上市,那就是晚一天赚钱!
到嘴边的肥肉不吃,或者少吃,都是抠神附体的赵德彬不能接受的。
在金钱的激励下,这两天,可真是把赵德彬的前爪给忙坏了。
除了他自己,王江平和马华成都一起来测试、完善VK 1991。
8月25日,拿着新鲜出炉的VK 1991,赵德彬一个电话,叫来了铁门塞克洪港分公司的负责人。
注释一:
svchost.exe这是维软的一个服务,作用是使用空闲的宽带在后台传送文件。
特点是这个系统进程总是在下载数据,经常被病毒利用。
注释二:
这里有两个重点,
一是要覆盖整个磁盘的文件,使用FindFirstFile与 FindNextFile这两个ApI函数,同时使用递归调用的方法;
二是病毒创建的文件会带有系统、只读和隐藏这三个属性,想要删除病毒文件,还要修改文件属性。