再再谈王江民硬盘逻辑炸弹（真正的逻辑锁）完结！

JuncoJet

前言
　　硬盘逻辑锁这个课题，高中时的电脑作业就是这个研究，当时这个研究主要是怎么破除逻辑死锁。对于构造这个炸弹只是拿网络上现成的资源，这次为了了解磁盘分区表，所以手动构造了逻辑锁。感觉还是挺完美的，至少并不是传说中的只影响老版本的MS-DOS，而WINXP和PE（WIN2003-WIN10）系统都会受到影响。测试下来，Linux受到影响比较小，但是一旦挂载回环的磁盘分区，后果也是相当的严重的。

废话不多说

实战-设置炸弹
手动挡（老司机自行上车），用DG、WINHEX手动创建一个逻辑锁，这个步骤截图比较多但是并不很复杂

首先用DG来分三个区，一个主分区两个逻辑分区


打开WINHEX的磁盘编辑，复制逻辑分区1的逻辑分区表


粘贴到逻辑分区2的逻辑分区表


完成操作，此时打开DG会被检测到逻辑锁


自动挡（新手可试乘试驾），用鄙人写的开源小程序创建逻辑锁
上锁，运行程序输入S，然后要上锁的物理磁盘


完成上锁可以用V命令查看MBR


启动炸弹（逻辑锁死）
然后启动主机，WINXP明显被锁住，硬盘无限读取


CentOS，无法进入系统


TinyCore可以进入，列出256个sda分区信息


真机测试，主板支持UEFI，这个被锁就相当严重了。电脑任何按键都无法作用，只要硬盘在就会无限读盘，无法启动U盘或者其他引导方式。


实战-拆弹（解除逻辑锁）
解除逻辑锁并不像网上说的重建MBR，因为你根本不可能进入DOS、PE，甚至无法进入BIOS设置

　　然后按照老方法炮制一个引导程序，网上的代码对多核支持不好，然后我研究验证很久写了一个支持多核的引导程序。
　　修复程序不会删除原有的分区表，只会禁用分区类型（Partition Type Indicator，系统识别字），将0x0F/0x05（扩展分区系统识别字）置为0x00，这样重启进入系统后，用户可以使用扇区编辑工具进行自行的修复。由于不删除分区表所以修复几率相当个的高。使用该引导程序，首先确保主机里硬盘只有一块，主要是为了避免误操作正常的硬盘。然后把 boot.img 写入到U盘或者软盘的首个扇区，这样就做成了修复盘，开机从U盘/软盘启动就能够修复，修复提示成功后取出修复盘，重启电脑。有些情况下也能通过 Linux 热插拔被锁的硬盘，然后使用 dd if=/dev/zero of=/dev/sdX bs=512 count=1 方式来强制修复磁盘，Windows下热插拔是没有效果的，同学们可以自己去尝试研究下，方法不唯一。
　　修复程序流程如上图，好像有人留言说要引导程序源码，想说其实这个并不需要源码，使用逆向工具反而能比源码更多注解。同学们可以跟着我一起分析引导程序源码，毕竟我们是专业的论坛！哈哈


真源码也长这样


扩展阅读
逻辑分区是个典型的链表结构，所以就简化了下大致的结构画了个图


原版的分区表结构


逻辑锁就是把原来应该指向下一个的分区表的地址改为上一个分区表的地址，或者当前分区表的地址，形成一种回环的结构

JuncoJet

kuan99118 发表于 2018-12-25 17:28
解除逻辑锁并不像网上说的重建MBR，因为你根本不可能进入DOS、PE，甚至无法进入BIOS设置

对于上面说的   ...

对于会锁死 BIOS（即支持 UEFI 的 “高端主板”），目前无解，只能找块旧主板去解锁硬盘。老主板如果只有传统MBR引导模式的话，BIOS是不会被锁死的。此时使用U盘写入引导程序，或者软盘写入引导程序，开机通过U盘/软盘启动，可以解除逻辑锁。

kaedemina

作死在实机上执行了一次这个程序。
还好没有弄在系统盘上面，不然麻烦就大了。
三个硬盘：一个系统盘(NVME)，一个垃圾桶盘(NVME)，一个数据盘(机械硬盘)，我把数据盘锁了
经过：
1. 重启之后弹出主板厂商的图标，然后黑屏，这个时候应该是死循环了
2. 再次重启进入BIOS（不知道是不是因为我没有系统盘，BIOS可以正常进入），关闭UEFI，强制LEGACY启动
3. 将楼主提供的img文件烧入U盘，然后从U盘启动（LEGACY）
4. 关闭LEGACY启动，强制UEFI启动
5. 进入系统使用DG进行最后一步修复

以上就是我这个小白的作死过程。我有点庆幸我的driver_0不是系统盘，不然就麻烦了。
另外很奇怪的现象就是，在虚拟机里面运行的话，卡巴斯基会报毒然后直接结束进程，关掉卡巴斯基之后，虽然会报错（只有一个NVME盘，报错error on write disk 5），但是运行是成功了的，重启之后无法启动系统，只能重装。但是不在虚拟机里面运行，卡巴斯基没有任何反应，直接成功了，不知道这个和我锁的不是系统盘有没有关系。不过我毕竟是UEFI，系统盘的话，不敢这么折腾了。
以上算是一个报告吧。还是第一次接触这种硬盘逻辑锁

PS：虚拟机里面锁了硬盘重装的时候，安装程序会显示磁盘为MBR格式（原本为GPT），这是为什么呢？另外，倘若以后真的遇到了这种类型的恶意软件，是否可以通过Ubuntu的Live CD直接运行Ubuntu来解决问题？


附环境：
主板 华硕 PRIME H470-PLUS（国内无此型号），相近的应该是H470M-PLUS？
系统：Windows 10 21H1
安全软件：KIS（卡巴斯基）
程序在虚拟机中报毒：PDM:Trojan.Win32.Generic

欻欻

我有个疑问，如果不是在PE中锁，在win开机视窗下运行lz的工具，dos锁硬盘引导，而且这个硬盘之前打开了类似影子系统且全盘保护的话，lz的工具包括手法进行上锁，那么重启以后的结果是啥呢，好奇，没试过

kuan99118

解除逻辑锁并不像网上说的重建MBR，因为你根本不可能进入DOS、PE，甚至无法进入BIOS设置

对于上面说的   甚至无法进入BIOS设置   不太理解，锁硬盘还能把BIOS锁了？

ctlmlcfq

现在还有多少人知道江民啊。。。 典型的中国企业，因一人而兴，因一人而亡。

pikachu888

哇,这....要是让virus运用了,对电脑是毁灭性的吧

楼主大神啊!

JuncoJet

山野村夫 发表于 2019-7-19 00:11
引导扇区不晓得能不能加密或者植入病毒程序之类的，如果能的话，重建MBR也不能拯救

重建还是可以的，你所说的引导区植入病毒劫持，还原卡还原精灵就是那么做的，读取硬盘引导区时劫持INT 13中断向量。

灵影

玩引导的都是大牛。

ouyangbao

沙发，果然厉害了，牛逼，长知识了

hdwlx

这个是牛贴呀，楼主技术达人。

howardlee

这个真是厉害！

至风

羡慕----我高中遥不可攀的几节微机课。

胃小饱

牛逼了，我的哥

幻象

请问能在虚拟机里搞着玩玩吗？

小凹凸曼

电脑炸弹？？多年前遇到过

xiao135140

沙发，果然厉害了，牛逼，长知识了