“超级巡警”-KV100使用介绍

Author: 任广永 Date: 1995-01-06

        该软件有以下几个特点:一是能查毒杀毒,独特的开放式系统,有利于用户简单方便地不断增加到查出千万种病毒的数量,用户不必为不能查出新病毒而发愁了。二是首次设计有独特的对抗变形病毒的代码过滤器,能查出变换自身代码的变形病毒,使伪装再深的变形病毒也难漏网。三是能按用户意愿主动在软盘上保存硬盘正常的主引导信息,以防日后被病毒破坏后硬盘不能启动时,即可用该软件再恢复。四是能用反查对比法检查主引导信息是否正常。五是本软件的广谱智能检测系统可查出许许多多引导区和文件类未知名新病毒。六是一次启动该软件可查许多软(硬)盘,能解除交差感染的多层多种病毒。七是用0.3秒的时间就可快速查出内存中是否驻留病毒,还可查出98%以上驻留在内存中的未知名新病毒。八是具有自我保护、自我修复、自我解除所有感染上的病毒,类似于防病毒卡永保自身清洁和完整。
        一、KV100的功能及使用方法:
        (1)KV100<回车>(根据主菜单提示,可查、可杀病毒。中途要退出,请按一下Esc键即可),清除病毒时速度较快。查毒时因较仔细,速度稍慢。这种格式自动将当前盘中的可扩充病毒特征库文件VIRUS.DAT调入,以便用来搜索病毒。
        (2)KV100/B<回车> 注意,使用这种格式前,应用本软件查C盘证明无病毒再用纯净的DOS系统软盘引导机器,以确保内存中无驻留病毒。这种格式向A盘备份一个无病毒的硬盘主引导信息档案,其名为:HDPT.DAT。以后这个硬盘主引导信息一旦被病毒破坏,或主引导记录坏硬盘不能启动时,再用以下格式恢复到这个硬盘(不可恢复到别的硬盘中)。这种格式还可协助查出主引导记录是否有病毒或有不正常。
        (3)KV100/HDPT.DAT<回车> 这种格式将备份在A盘的硬盘主引导信息档案恢复到该硬盘中。不可搞错硬盘!也必须证明这个硬盘以后没重新分区和格式化!
        (4)KV100/K<回车> 这种格式能安全清除所有引导区型病毒。在清除硬盘主引导区病毒前,先在A驱动器中放一软盘以便将硬盘病毒或不正常的主引导信息备份在软盘上,其文件名为: HDPT.VIR。这个文件是预防万一原硬盘的主引导信息中有某种加锁的密码也被解除了而不能工作时,再用以下格式将A盘上HDPT.VIR文件中原硬盘主引导信息原样恢复到硬盘。注意,使用这种格式前,应用无病毒的DOS系统软盘引导机器。
        (5)KV100/HDPT.VIR<回车>
        这种格式能将用KV100/K格式后暂存在软盘上的不正常的主引导信息原样恢复到硬盘。
        (6)KV100 VIRUS.DAT <回车>( VIRUS.DAT文件在当前盘中)或KV100 C: VIRUS-1.DAT<回车>(将VIRUS-1.DAT文件拷贝在C盘中使用)
        如果用户扩展的病毒特征码数据文件不是VIRUS.DAT名字,而是其它名字,可以拷贝到C盘中(B盘中、或当前盘中),再用以下格式即可:A>KV100 C:XXX.XXX<回车>
        这种格式只搜索病毒。
        用户可以将KV100.EXE、VIRUS.DAT共同拷贝到硬盘中调用,但是KV100的原盘必须放在A驱动器中,因KV100启动时要读一下原盘,启动成功后方可换进其它要检查的软盘。
        二、自我升级增加KV100查病毒和查变形病毒的数量:
        当您发现可执行文件的字节数增加了几百至几千,而用KV100扫描后无反应,这证明是一种新病毒,您可用PCTOOLS(或DEBUG)软件查看染毒文件尾部或文件头部增加的部分,取其7-50个字节的病毒代码,记在纸上,然后再用编辑软件写进VIRUS.DAT病毒特征码库中,再用KV100就可查出该病毒了。
        你可将一些新病毒的特征字串(每一个病毒特征串选7至5000个字节)用编辑软件编写一个至数个病毒特征码数据库文件,文件的名字由你随意起,如上面的VIRUS.DAT。其内容及格式如下:
        例1:“F3 A5 0E 1F B4 3D BA”Found DIR-2 Virus ->用KV100清除。
        例2:“B8 ?? 42 ?? ?? ?? ?? ?? %% B4 40 %% %% B8 ?? 57”发现普通的感染文件新病毒!)
        你可以随时将发现新病毒的特征字串添写进去,可达千百种,你也可分开多建几个VIRUS1.DAT、VIRUS2.DAT、...,使用时分别调用,那么你就具备能查到无数种病毒的能力。注意:
        1)上述病毒特征串后面的文字串中不得使用这个“西文双引号!
        2)在一选定的病毒特征串中,如果一定位置上的代码是病毒每感染一个目标后都要使其变换,这些常变换的代码可用两个问号“??”来代替。每一个双问号代表一个字节。
        3)在一选定的病毒特征串中,从第一组(有1个字节以上)不变的特征码后到第二组不变的特征码之前,这之间的代码,它们不仅常变换,而且在每一个被感染的目标中,它们之间的间距也不相同,如果是在32个字节内变化,可以用双“%%”百分号来过滤这之间的代码。同样第二组到第三组依此类推。
        4)双问号“??”和百分号“%%”可交叉使用。
        5)当两组特征码之间的距离大于32个字节时,大于部分可增加一些双问号“??”来接续,或多用几个“%%”双百分号,每一个双百分号代表32个字节,如果有连续的2个“%% %%”双百分号,这表示下一组病毒特征码在最后一个双百分号代表的32个字节之间,即在第33至64个字节内。如果有连续的3个“%% %% %%”双百分号,即病毒特征码在最后一个双百分号代表的32个字节之间,即在第65至96个字节内,以此类推。在选每一个病毒的特征码串加后面的文字提示串时,其字数可达5000个字节。
        一些狡猾的病毒,每传染一个目标,就将自身代码变化一次,几乎没有三个连续的代码与前一病毒的代码相同,使常规的查毒软件失效。但是建立在DOS基础上的病毒,难以不在一定字节的范围内使用几个不是连续的但必需的代码,只要在每个被感染的目标内,即在病毒主体内有三组以上不变的代码,我们就可以对其特征码过滤,找出病毒,如下:
        “9C ?? ?? ?? ?? ?? ?? ?? ?? ?? 83 ?? ?? ?? ?? ?? ?? ?? ?? ?? B8 F1 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? 2E 80”发现Doctor变形病毒!!!
        上述字串中的“9C...83...B8F1...2E80”是在病毒代码中四个不连续但有相对固定位置的代码(选每一个病毒特征串加上后面的文字提示,可在5000字节的范围内选)。
        如果上述每相邻两个字串的间隔距离在32个字节内是变化不固定的,应采用以下格式:
        “9C %% 0E %% 56 %% 83 %% 2E 80 %% 75 %% E9”发现Doctor(医生的忠告)变形病毒!
        上述查病毒这一特点,可以说是KV100的精华。比如说,用以下一组广谱特征码:
        “13 04 %% B1 06 %% D3”发现普通的新病毒!用KV100.EXE清除!
        拥有KV100的用户,用上述这一组广谱特征码就可查出:Ping-pong(小球)、Pakistan Brain(巴基斯坦智囊)、Stoned(石头)、Bloody(6.4)、Hong-Kong/Azusa(2708)、Michaelangelo(米开朗基罗)、Disk diller(新杀手病毒)、Pretty Girl(漂亮女孩)、CMOS Destroyer (CMOS设置破坏者)、Ctrl+Break(中断就破坏)、New Century(新世纪)、Yankee Doole(扬基多德)、Trill(颤动声)、Invader/侵入者、Plastique/塑料炸弹、Liberty(自由者)、广大一号病毒、Flip-PT(在引导区的病毒)、Mask-1、Mask-2/(假面具)、2709/ROSE(玫瑰)、BUPT、3584/(郑州)等二十三种以上病毒。
        与KV100配套的VIRUS.DAT这个病毒特征码库中,有许多组这样高效的广谱特征码,再加上内部的智能系统,使KV100能查出以后出现的许许多多不知名新病毒。
        再如,二维变形病毒Doctor(医生),不断变换和加密自身代码,使以往的查毒软件不知怎样取其特征码才能够去查找它,或使其漏查一部分。而KV100只用一串病毒特征码,就可轻而易举将其一起查获。
        从以上两例可见KV100查病毒的高超之处。这是KV100利用随时增加病毒特征码的方法来搜索新病毒。另外KV100内部的智能检测系统查引导区新病毒更加高超,一些引导区新病毒能逃脱国外著名的查毒软件的搜索,但都被KV100的智能检测系统查出来,比如:Torch(火炬)、1991、BUPT/9146、INT60(0002)病毒等。其次,KV100利用已配备在病毒特征码数据库(VIRUS.DAT)中的部分文件类病毒广谱特征码来对文件进行扫描分析,可查出许多不知名和变种的感染文件类新病毒。
        三、自我检查、自我修复、自我解除所有感染上的病毒
        每次执行KV100,程序会进行自检,关键部位稍有变化或感染上了病毒,KV100都会自动修复如初。每次自动修复过程中,都会先将原有问题的KV100做一备份。如果以后使用中不小心使KV100感染上了不知名新病毒,KV100会报警并自动地统统解除。如果KV100自身被破坏得已经不能执行了,或系统内存有病毒,这时,可用无病毒DOS软盘引导机器,调用同一软盘上专门为此配套的修复工具__KV100FIX.EXE来进行自动修复。所以KV100在抗病毒过程中具有自维护和外维护两种方法,这一功能确保了KV100自身洁净、完好。
        四、反查比较法
        KV100还可以用反查法比较来证明原主引导信息是否被病毒感染或被更换。
        格式如下:(需先前取得自己C盘上的正常的主引导信息的代码,需大于30个字节)
        用编辑软件编写如下格式:(假设起名为IBMBOOT.DAT)
        “FA 33 C0 8E D0 BC 00 7C 8B F4 50 07 50 1F FB FC BF 00 06 B9 00 01 F2 A5 EA 1D 06 00 00 BE BE 07 B3 04 80 3C 80 74 0E 80 3C 00 75 1C 83 C6 10 FE CB 75 EF CD 18 8B 14 8B 4C 02 8B EE 83 C6 10 FE”主引导信息正常!OK!OK!
        用KV100 IBMBOOT.DAT格式即可进行检查。如查找正常,将显示出“主引导信息正常!OK!OK!”,如无这个信息,那就应怀疑主引导信息被修改!用KV100/K格式修复。
        目前主要流行的主引导信息前32个字节中还有以下一种类型,都属于正常的部分主引导信息。我们用来验证时应采用连续的30至120个字节。
        “FA 2B C0 8E D0 8E C0 8E D8 B8 00 7C 8B E0 FB 8B F0 BF 00 7E FC B9 00 01 F3 A5 E9 00 02 B9 10 00”主引导信息正常!OK!OK!
        上述二个不同类型的主引导部分信息我们可以写在同一个BOOT.DAT文件中。
        注意:使用KV100/K的格式时,必需先确定你的系统只有DOS一种系统!并且使用KV100/K的格式时,硬盘主引导区如有你的开锁密码将被解除!你应先解除密码后再使用这种格式。
        五、文件目录及注意事项:
        1)SCAN2800.BAT:可检查国内外2800多种病毒。(为便于用户正确使用,一系列主程序隐含在本盘中,由本批处理调用,不可解密!否则将少查毒!)
        2)VIRUS.DAT:与KV100.EXE配合,用来搜索查找新病毒的特征码库文件,用户可不断地增加其内容,使查病毒的数量不断增加。或另起一个名字如VIRUS1.DAT等,将你自己发现的一些新病毒的特征码输进去,使用时可以这样调用:A>KV100 C:VIRUS1.DAT
        3)VIRUS-1.DAT:与KV100.EXE配合,用来搜索查找新老病毒的广谱特征码库文件,用户可不断增加其内容,使查病毒的数量不断增加。使用时可以这样调用:A>KV100 VIRUS-1.DAT或KV100 C:VIRUS-1.DAT
        4)HELP:使用说明
        5)KV100FIX.EXE:自动修复KV100.EXE的工具(可解除所有感染KV100.EXE的病毒)
        使用SCAN2800的格式:将本盘(应有写保护)插入A驱或B驱中)。
        SCAN2800 <回车>  (按下<Ctrl>+<pause break>可中断执行)
        出现提示后,键入A-Z之间的字母即可对A,B,C...Z盘进行病毒搜索(不能对当前盘搜索),当搜索出病毒后就在屏幕上提示用哪种解毒方法或程序对其清除,如:
        Found the DIR-2 Virus ->(用KV100.EXE清除)
        上行的提示就是让你用KV100清除病毒,格式如下:
        (注意:KV100还可以杀死内存中的DIR-2病毒,并迫使其以毒攻毒,最有效地修复好文件。)
        KV100 <回车>当出现主画面后,可连续选择A,B,C,...Z盘进行清杀,按ESC键退出。
        再如屏幕提示:Found 1741/Dong Virus ->(用KV100.EXE清除)
        上面的提示就是让你用KV100.EXE程序来清除病毒,格式如前述。
        使用本软件查解(DIR-2除外)病毒时,请用无病毒DOS软盘引导机器,以保内存无病毒。
        本程序在一些劣质、假冒、低档的软驱上使用时,有可能不执行或死机!请更换后用。
        个别情况下,KV100误报“内存发现病毒”!这一般是硬盘中的CONFIG.SYS和AUTOEXEC.BAT这两个文件中有用户的“内存驻留程序”。这时,应将这两个文件改名后重新引导硬盘,或是用干净DOS软盘引导机器。