这样一来,被感染的电脑在8月20日开机之后,安装在电脑里面的杀毒软件还不知道发生了什么事,它就已经没机会知道了。
像是迈卡菲、卡斯巴基之类的杀毒软件,根本就打不开。
除此之外,还有的变种病毒可以感染全盘的.exe文件,将病毒和.exe文件捆绑起来,让杀毒软件无从下手。
这些方式,令赵德彬联想到了零几年肆虐中夏的“狗熊拜佛”病毒。
即便是像VK100这样的比较坚挺的杀毒软件,虽然能够运行起来,但入侵者这玩意根本就不在VK100的病毒库里头。
VK100的核心是识别病毒的光谱特征码技术,没有特征码,就不能识别病毒,查杀病毒更无从谈起了。
VK100的能力也只能将病毒从计算机中删除,无法修复损坏的数据。
不过,在入侵者之前,基本上也很少有损坏数据的病毒。
而赵德彬最近和赵文来一起捣鼓的VK 1991搭载的杀毒引擎,在连上了网络之后,获得了一个全方位的升级。
像入侵者变种这么多的病毒,单靠几个特征码,可能认不准或者认不全入侵者的家族成员。
为了扑灭入侵者病毒,赵德彬又给杀毒引擎打了个专门的补丁。
经过测试,VK1991的杀毒引擎基本可以识别出入侵者的小弟们。
对于几个闹腾特别厉害的变种,赵德彬不准备用特征码,他改换了另一种方法。
这个方法类似于VK100的特征码查杀法,但不是从病毒内部提取特征码,而是采用散列算法计算出病毒的散列值。
然后,在查杀的过程中计算每个文件的散列,与病毒的散列值作比较。
当然,不同变种病毒的散列值是不一样的。
找到内存中的病毒进程之后,再删掉病毒创建的文件。(注释二)
做好这些后,赵德彬就着手开发入侵者强力变种一键查杀的专杀工具。
至于赵文来那里,入侵者的变种病毒虽然多,破坏硬件的变种并不多。
在底层排查病毒,对赵文来而言易如反掌。
他最先对付的是可以让CPU中毒的变种。
CPU是个运算器件,如果CPU中毒,病毒是存在CPU的RAM(随机存取存储器)里。
入侵者的变种病毒可以增加CPU的重复工作率,导致CPU的负荷过大,总是处于高速运转的状态,会让CPU的温度上升,导致CPU烧毁。
到了赵文来这种层次,他真的就是字面上的“直接下到RAM里把病毒抓出来杀了”。
反正赵德彬看了,都得摇头。
在赵文来面前,赵德彬两辈子加起来,头一遭体会到了当“笨学生”的感觉。
赵德彬只知道赵文来每一步的目的是要干什么,但他到底干了什么、那一堆0和1是什么意思,赵德彬就不知道了。
这事,俗称——“由他去罢”。
针对入侵者破坏BIOS这一问题,首先要明白,BIOS是什么东西。
BIOS保存着计算机最重要的信息,包括基本输入输出程序、系统设置信息、开机后自检程序和系统自启动程序,为计算机提供最底层的、最直接的软硬件设置和控制。
简单来说,就是:
电脑一开机,BIOS首先被执行加载。
只有BIOS正常运行,系统才可以正确识别硬件,调用相对应的驱动程序,接着硬盘再引号操作系统,电脑才能正常开启。
而赵德彬发现,并不是所有电脑的BIOS都会被破坏。
只有采用了EPROM(电可擦写只读存储器)即来存储BIOS信息的主板才会中招。
这是因为,固化在ROM中的数据是不可改写的,而EPROM在施加特殊的逻辑和电压的情况下,是可以改写的,这就给入侵者留下了可趁之机。
只要病毒篡改了BIOS的信息,计算机的启动项就被打乱了,也许电脑开机后最先启动的是病毒,也许电脑干脆开不了机。
而在1990年能用上EPROM的主板,都属于高级的主板。
历史上,要等到1992年,因特尔发布奔腾系列,EPROM才逐渐成为主流。
对于那些能破坏的BIOS,入侵者病毒发作时,会先破坏BIOS中的信息,将BIOS中的数据读出,经过与16进制的“44”进行“或”运算,然后再把数据写回BIOS。
在逻辑运算中,“或”运算的结果不可逆。
所以,一旦BIOS数据被入侵者破坏,就无法通过软件修复。
赵文来是个精怪(计算机精),他还不是神仙,所以他没有办法逆天而行。
通俗点说,就是:赵文来没办法直接写个软件出来,然后这个软件就能把所有损坏的数据全都修复回来。