求CIH的破坏原理

如题所述

CIH病毒 工大学子0k;c6Kx8}A1E$YH-\+j
是迄今为止发现的最阴险的病毒之一。 它发作时不仅破坏硬盘的引导区和分区表，而且破坏计算机系统flashBIOS芯片中的系统程序，导致主板损坏。CIH病毒是发现的首例直接破坏计算机系统硬件的病毒。
4iEG;q5mp1Mz0
x,l3?OG1T0该病毒每月25日发作，发作时破坏计算机硬盘存储器中的数据和计算机中的BIOS程序，造成开机一片黑暗。 工大学子s r\0zc l5[0{.A

d6W%x |U"Kh[J0工大学子.Hm/nNI$Xd;^2Y$U%Y3~#^
一、CIH到底是什么病毒
Ak2g"hD?j0
_qExr9phwP0CIH病毒属于文件型病毒，其别名有Win95.CIH、Spacefiller、Win32.CIH、PE_CIH，它主要感染Windows95/98下的可执行文件（PE格式，Portable Executable Format），目前的版本不感染DOS以及WIN 3.X（NE格式，Windows and OS/2 Windows 3.1 execution File Format）下的可执行文件，并且在Win NT中无效。其发展过程经历了v1.0，v1.1、v1.2、v1.3、v1.4总共5个版本，目前最流行的是v1.2版本，在此期间，据某些报导，同时产生了不下十个的变种，不过好象没有流行起来的迹象，本人并未实际接触到这些所谓的CIH变种病毒。 在v1.0、v1.1、v1.2、v1.3、v1.4五个版本，只有v1.2、v1.3、v1.4这三个版本的CIH病毒有实际的破坏性。其中v1.2版本只在每年的4月26日发作，又称为切尔诺贝利病毒（前苏联核事故纪念日）；v1.3的发作日期是每年的6月26日；v1.4版本的发作日期是每月的26。CIH病毒只在Windows 95/98环境下感染发作，当运行了带毒的程序后，CIH病毒驻留内存，再运行其它.exe文件时，首先在文件中搜索“caves”字符，如果没有发现就立即传染。CIH病毒发作时硬盘数据、硬盘主引导记录、系统引导扇区、文件分配表被覆盖，造成硬盘数据特别是C盘数据丢失，并破坏部分类型的主板上的Flash BIOS导致计算机无法使用，是一种既破坏软件又破坏硬件的恶性病毒。 工大学子.[Rqt4c^
工大学子t F Y|"sr+U
CIH病毒的各种不同版本的随时间的发展不断完善，其基本发展历程为：
x#q_:nKQ0工大学子&SBH&Gp l
CIH病毒v1.0版本： 工大学子tf C L)G

u0dDw*X?h2[e'U0m0最初的V1.0版本仅仅只有656字节，其雏形显得比较简单，与普通类型的病毒在结构上并无多大的改善，其最大的“卖点”是在于其是当时为数不多的、可感染Microsoft Windows PE类可执行文件的病毒之一，被其感染的程序文件长度增加，此版本的CIH不具有破坏性。
,HB)s Oa TS0
me,\+s ay2e0CIH病毒v1.1版本：
o2z'ss&[p I-oT0
3[+R;Qk'myZV0当其发展到v1.1版本时，病毒长度为796字节，此版本的CIH病毒具有可判断Win NT软件的功能，一旦判断用户运行的是Win NT，则不发生作用，进行自我隐藏，以避免产生错误提示信息，同时使用了更加优化的代码，以缩减其长度。此版本的CIH另外一个优秀点在于其可以利用WIN PE类可执行文件中的“空隙”，将自身根据需要分裂成几个部分后，分别插入到PE类可执行文件中，这样做的优点是在感染大部分WINPE类文件时，不会导致文件长度增加。 工大学子7vE*P Ryt,?_
工大学子p a9N8g N-P+A g#E
CIH病毒v1.2版本： 工大学子&d(L&n
lteQZf
工大学子+q'](y m3z#g ^
当其发展到v1.2版本时，除了改正了一些v1.1版本的缺陷之外，同时增加了破坏用户硬盘以及用户主机BIOS程序的代码，这一改进，使其步入恶性病毒的行列，此版本的CIH病毒体长度为1003字节。 工大学子\a7OK-H

'^"}u9}}GH9J0CIH病毒v1.3版本：
$wM2|*[V\ UpD0工大学子9Q+V9~ z3v$J R^$x:s
原先v1.2版本的CIH病毒最大的缺陷在于当其感染ZIP自解压包文件（ZIP self-extractors file）时，将导致此ZIP压缩包在自解压时出现：
'J
R*t!w2zBu)L#]Z0O0工大学子}{Ro:R5J
IhM
WinZip Self-Extractor header corrupt.
%vY8D;C Nf0I2Z^0
)Mj!^n/AP8U|0Possible cause: disk or file transfer error.
&t P&FY%w6Gp0
,S.aN!_+K3M3C9e*^'wT0的错误警告信息。v1.3版本的CIH病毒显得比较仓促，其改进点便是针对以上缺陷的，它的改进方法是： 一旦判断开启的文件是WinZip类的自解压程序，则不进行感染。同时，此版本的CIH病毒修改了发作时间。v1.3版本的CIH病毒长度为1010字节。
Qox!N{0m,Y
^0工大学子$v?/}z5E;m
CIH病毒v1.4版本：
2M(qk)iD,LF0此版本的CIH病毒改进上上几个版本中的缺陷，不感染ZIP自解压包文件，同时修改了发作日期及病毒中的版权信息（版本信息被更改为：“CIH v1.4 TATUNG”，在以前版本中的相关信息为“CIH v1.x TTIT”），此版本的长度为1019字节。
o-@ vS C&wa0从上面的说明中，我们可以看出，实际上，在CIH的相关版本中，只有v1.2、v1.3、v1.4这3个版本的病毒具有实际的破坏性，其中v1.2版本的CIH病毒发作日期为每年的4月26日，这也就是当前最流行的病毒版本，v1.3版本的发作日期为每年的6月26日，而CIH v1.4版本的发作日期则被修改为每月的26日，这一改变大大缩短了发作期限，增加了其的破坏性。
M'v ^#Cz#eDd3~D0
#U*l
_`L'z1@5[0二、CIH病毒发作时所产生的破坏性：
N-_5c"DZ [)q-K
B0工大学子 V3`&x)Jz
CIH属恶性病毒，当其发作条件成熟时，其将破坏硬盘数据，同时有可能破坏BIOS程序，其发作特征是：
'n.u.OO"\{N0
-|;T+ZF/rt01、以2048个扇区为单位，从硬盘主引导区开始依次往硬盘中写入垃圾数据，直到硬盘数据被全部破坏为止。最坏的情况下硬盘所有数据（含全部逻辑盘数据）均被破坏，如果重要信息没有备份，那就只有哭了！ 工大学子1?!g.GJC

o,j5C Jc d"h9Lsd'j}02、某些主板上的Flash ROM中的BIOS信息将被清除。 工大学子rwf cA-X8yU2Z.a

(e\-k @*Q(k8uZ5j,H0三、感染CIH病毒的特征：
-NF8e!q+P0
[Sy
L*@i%i1q0由于流行的CIH病毒版本中，其标识版本号的信息使用的是明文，所以可以通过搜索可执行文件中的字符串来识别是否感染了CIH病毒，搜索的特征串为“CIH v”或者是“CIH v1.”如果你想搜索更完全的特征字符串，可尝试“CIH v1.2 TTIT”、“CIH v1.3 TTIT”以及“CIH v1.4 TATUNG”，不要直接搜索“CIH”特征串，因为此特征串在很多的正常程序中也存在，例如程序中存在如下代码行：
8eM(I#N_1K:b0工大学子JlI y1arz2P3K
inc bx
7\i7f)I!I-o)TM G(J-A)I0
'@4]M1bGs0dec cx
|,z/q@4u%T ^5q sfK0
S6y"h"xy4~0dec ax 工大学子vV/_i8}

-X3iS
_8W0则它们的特征码正好是“CIH(0x43;0x49;0x48)”，容易产生误判。
vf-Co3E3b^T o%c(W8q0工大学子y P.ZZorK'a
S
具体的搜索方法为：首先开启“资源管理器”，选择其中的菜单功能“工具→查找→文件或文件夹”，在弹出的“查找文件”设置窗口的“名称和位置”输入中输入查找路径及文件名（如：*.EXE），然后在“高级→包含文字”栏中输入要查找的特征字符串——“CIH v”，最后点取“查找键”即可开始查找工作。如果在查找过程中，显示出一大堆符合查找特征的可执行文件，则表明您老的计算机上已经感染了CIH病毒。 工大学子f]Q(s-M A
工大学子Vl(wx7[$`I'R
实际上，在以上的方法中存在着一个致命的缺点，那就是：如果用户刚刚感染CIH病毒，那么这样一个大面积的搜索过程实际上也是在扩大病毒的感染面。一般情况下，推荐的方法是先运行一下“写字板”软件，然后使用上面的方法在“写字板”软件的可执行程序Notepade.exe中搜索特

参考资料：http://blog.hfut.edu.cn/index.php/5594/action_viewspace_itemid_7163.xhtml

温馨提示：答案为网友推荐，仅供参考

当前网址：http://00.wendadaohang.com/zd/rBTB0T0Z.html