“邏輯炸彈”引發時的癥狀與某些病毒的作用結果相似,并會對社會引發連帶性的災難。與病毒相比,它強調破壞作用本身,而實施破壞的程序不具有傳染性。邏輯炸彈是一種程序,或任何部分的程序,這是冬眠,直到一個具體作品的程序邏輯被激。
應用原理
所謂“邏輯炸彈”是指在特定邏輯條件滿足時,實施破壞的計算機程序,并出現物理損壞的虛假現象。
最常見的激活一個邏輯炸彈是一個日期。該邏輯炸彈檢查系統日期,并沒有什么問題,直到預先編程的日期和時間達成共識。在這一點上,邏輯炸彈被激活并執行它的代碼。
邏輯炸彈也可以被編程為等待某一個訊息,從程序員。該邏輯炸彈例如,可以檢查一個網站,每周一次為某一個訊息。當邏輯炸彈看到的訊息時,或邏輯炸彈站看到的訊息,它激活并執行它的代碼。
應用特點
該程序觸發后造成計算機數據丟失、計算機不能從硬盤或者軟盤引導,甚至會使整個系統癱瘓,并出現物理損壞的虛假現象。
邏輯炸彈也可以被編程為激活對各種各樣的其他變數,例如當一個數據庫的增長,過去一定規模或用戶主目錄中刪除。
最危險的形式的邏輯炸彈是一個邏輯炸彈激活時,一些事件不會發生。試想一名形跡可疑且不道德的系統管理員,他創建了一個邏輯炸彈,若他一兩個月未登錄系統,該炸彈就會刪除服務器上的所有數據。這位系統管理員編寫此邏輯炸彈的邏輯在于,他知道如果他被解雇,將無法再登錄系統重置邏輯炸彈。某天,這位可疑且不道德的系統管理員在上班途中被一輛巴士撞倒。三周后,他的邏輯炸彈被觸發,服務器數據被清空。該系統管理員設計邏輯炸彈的本意是在自己被解雇時觸發,卻未預料到自己會遭遇車禍。
因為一個邏輯炸彈不自我復制,這是很容易寫一邏輯炸彈的計劃。這也意味著一個邏輯炸彈將不會蔓延到意想不到的受害者。在某些方面,邏輯炸彈是最文明的程序的威脅,因為一個邏輯炸彈,必須針對特定的受害者。
經典使用一個邏輯炸彈,是要確保支付軟件。如果付款是不是由某一特定日期,邏輯炸彈激活和軟件會自動刪除本身。一個更惡意的形式,即邏輯炸彈也將刪除其他數據在系統上。y
應用危害
邏輯炸彈的危害:
(1)?邏輯炸彈可以直接破壞計算機軟件產品的使用當事人的計算機數據。而在微機公用的前提下,惡性炸彈的破壞具有較寬的涉及范圍。在我國微機廣泛使用和備份環節薄弱的情況下,危害常常是不可恢復的,即使對于在特定條件下可以恢復的情況,也可能由于操作不當或其他原因,誘使用戶成為最終毀滅數據的直接責任者;
(2)?引發連帶的社會災難。包括直接和簡介的損失,如經濟損失、企業虧損、資料丟失、科學研究的永久性失敗、當事人承受精神打擊、失業或家庭破裂、連帶的經濟犯罪、刑事犯罪、或相關人的生命安全等等,這樣的例子和事故是列舉不完的。還有很多事故由于各種原因還不可公開,因此,連帶責任和損失將不計其數,實際上和普通刑事、民事或經濟案件一樣,是社會的不穩定因素。
(3)?邏輯炸彈的邏輯條件具有不可控制的意外性。這次無辜用戶遭受襲擊,就是因為好奇而誤用了具有特殊磁道的誘因軟盤,還有的用戶是因為操作順序不當,比如把?KV300拷貝到硬盤,想檢查用?MK300V4加工的磁盤有無病毒,結果啟動KV300時直接插入的是誘因磁盤,而不是原廠磁盤,在這一案例中,導致誘因的磁盤實際屬于普通數據磁盤;
(4)?邏輯條件的判斷很可能失常,以江民炸彈為例,比如,軟盤驅動器的故障、磁盤的故障都是誘發邏輯炸彈的潛在因素。這雖然不是高概率事件,但卻具有不可控性。如果磁盤出錯導致錯誤讀取的數據恰好是破壞性的計算機指令,這種概率可以說就是零,而錯誤數據成為邏輯誘因的概率則高得多;
(5)?邏輯炸彈本身雖然不具備傳播性,但是誘因的傳播是不可控的。要靈活的多。假如病毒可以比作是自己運行的導彈,那么邏輯炸彈則是一枚相對靜止的定時炸彈或充滿易燃品的軍火庫。盡管通過管制可以不爆發,但是不會有人愿意住在核電站附近吧。所謂誘因不可控的例子很容易舉,比如類似技術使得使得類似磁道出現在其他商業軟件程序中,甚至某個新的加密盤生成工具軟件所加工的磁盤都可以成為誘因,這是非常可能的事情;
(6)?新的病毒可以成為邏輯炸彈的新誘因,比如在軟盤拷貝(如KV300升級)?過程中,已經駐留而又沒有被發現的病毒可以給軟盤加工一下,使得正版磁盤成為誘因;病毒也可以駐留內存截獲相應的中斷服務程序,使得KV300?啟動后,實施病毒檢查之前,獲得盜版磁盤的假象。這就是生動的例子,說明除了零以外,其他數都可以被放大。而那些充當系數的因子本身不實施破壞或實質性破壞。
(7)?由于邏輯炸彈不是病毒體,因此無法正常還原和清除,必須對有炸彈的程序實施破解,這個工作是比較困難的。由于邏輯炸彈內含在程序體內,在空間限制、編寫方式、加密方式等各方面比編寫病毒要具有更加靈活的空間和余地,所以很難清除。
(8)?軟件邏輯炸彈或其他類似違法行為,會破壞類似產品或一個領域的相似產品的可信度。對于反病毒廠商,本來就具有很多傳聞,說一些病毒就是某些廠商所炮制,并且我國軟件市場還不成熟,的確應該象種地一樣,一邊種植從土地獲得養分,一邊精心培育和養護這個土地,如果土地傷了元氣,就無法種植新的作物了。對類似案件的處理不當或過輕,會引起激發感染,鼓勵其他軟件也使用類似非法行為進行版權保護。
與病毒的區別
病毒是通過自我復制進行傳播的計算機程序,自我復制是病毒的基本定義,病毒通常包括復制傳播機制和條件破壞機制,而后者不是必備的,所以也存在那些只傳染復制而不實施惡性破壞的所謂的“良性”病毒。而只破壞卻不能自我復制的程序不屬于病毒。典型木馬程序是以“冒充”來作為傳播手段的,比如經常說起的?PK-ZIP300就是典型的例子,它冒充是某個軟件的新版本,在用戶無意嘗試或使用的時候實施破壞。國際上比較先進的計算機反病毒軟件有些已經加進了對典型木馬程序的判別。
相比而言,邏輯炸彈要更隱藏一些。邏輯炸彈可以理解為在特定邏輯條件滿足時實施破壞的計算機程序。與病毒相比,邏輯炸彈強調破壞作用本身,而實施破壞的程序不會傳播。我們從定義上將能夠復制傳染的破壞程序歸屬在病毒中。與典型木馬程序相比,邏輯炸彈一般是隱含在具有正常功能的軟件中,而典型木馬程序可能一般僅僅是至多只模仿程序的外表,而沒有真正的實際功能。當然,這些概念本身都具備一定的靈活性,在一定的條件下可以相互產生和相互轉化。我們也把邏輯炸彈發作的條件成為誘因、邏輯誘因。
硬盤邏輯炸彈
硬盤邏輯炸彈其實是由于硬盤的主引導記錄被修改所引起的。因此,要想了解其原理就必須先了解主引導記錄。硬盤的主引導記錄位于0柱面0磁頭1扇區,它是由3部分組成的,其中從0h到1Beh這446個字節稱為引導程序;從1Beh到1Feh這64個字節被稱為硬盤分區表,一共可容納4個分區的數據;從1Feh到200h這2個字節被稱為自舉標志,在啟動時BIOS檢查用的。后來我們檢查被炸硬盤的主引導記錄,結果發現:1引導程序部分被修改了;2硬盤分區表也被修改了,而且被改成一個循環鏈,即C盤的下一個分區指向D區,D區的下一個分區又指向C區,這樣一直循環下去造成一個死循環;3自舉標志55AA沒被修改。
參考資料 >