病毒只是壹個程序。它是如何損壞硬件的？

我將詳細介紹CIH病毒的破壞原理。

CIH病毒是迄今為止發現的最陰險的病毒之壹。當它爆發時，不僅破壞了硬盤的引導區和分區表，還破壞了計算機系統的flashBIOS芯片中的系統程序，導致主板的損壞。CIH病毒是發現的第壹種直接破壞計算機系統硬件的病毒。

該病毒在每月25日發作，破壞電腦硬盤內存中的數據和電腦中的BIOS程序，導致系統暗啟動。

1.CIH是什麽病毒？

CIH病毒屬於文件病毒，別名為Win95。CIH，太空填料，Win32。CIH和CIH。主要感染Windows95/98下的可執行文件(PE格式)，目前版本不感染DOS和WIN 3。X(NE格式，Windows和OS/2 Windows 3.1執行文件格式)，並且在Win NT中無效。它的開發過程經歷了v1.0、v1.1、v1.2、v1.3、v1.4五個版本。目前最流行的版本是v1.2。在此期間，在v1.0、v1.1、v1.2、v1.3和v1.4五個版本中，只有v1.2、v1.3和v65438+可用。其中，版本v1.2只發生在每年的4月26日，又稱切爾諾貝利病毒(前蘇聯核事故紀念日)；v1.3的發病日期為每年的6月26日；v1.4版本的攻擊日期為每月26日。CIH病毒只在Windows 95/98環境下感染。運行感染病毒的程序後，CIH病毒會留在內存中。運行其他時。exe文件，先在文件中搜索“洞穴”，如果沒有找到，就會立即被感染。CIH病毒爆發時，硬盤數據、硬盤主引導記錄、系統引導扇區、文件分配表被覆蓋，導致硬盤數據尤其是c盤數據丟失，破壞某些類型主板上的Flash BIOS，導致電腦無法使用。它是壹種破壞軟件和硬件的惡性病毒。

各種版本的CIH病毒隨著時間的發展不斷改進，其基本發展過程如下:

CIH病毒v1.0版本:

V1.0的原始版本只有656字節，雛形也比較簡單，結構相比普通病毒並沒有太大的改進。它最大的“賣點”是它是當時為數不多的可以感染微軟Windows PE可執行文件的病毒，而且被感染的程序文件長度增加，所以這個版本的CIH不具有破壞性。

CIH病毒v1.1版本:

發展到v1.1版本時，病毒長度為796字節。這個版本的CIH病毒具有判斷Win NT軟件的功能。壹旦判斷用戶運行的是Win NT就不行了，它會隱藏自己，避免產生錯誤的提示信息。同時，它使用更優化的代碼來減少其長度。該版本CIH的另壹個突出之處是，它可以利用WIN PE類可執行文件中的“gap”根據需要將自身拆分成若幹部分，分別插入PE類可執行文件中。這樣做的好處是，當大多數WINPE類文件被感染時，文件長度不會增加。

CIH病毒v1.2版本:

發展到v1.2版本時，不僅修正了v1.1版本的壹些缺陷，還增加了破壞用戶硬盤和用戶主機BIOS程序的代碼。這壹改進使其步入了惡性病毒的行列。該版本CIH病毒的長度為1003字節。

CIH病毒v1.3版本:

CIH病毒原始版本(v1.2)最大的缺陷是，當感染了壹個ZIP自解壓文件後，自解壓時會出現這個ZIP自解壓文件:

WinZip自解壓文件頭損壞。

可能的原因:磁盤或文件傳輸錯誤。

的錯誤警告消息。v1.3版本的CIH病毒顯得有些著急，其改進點就是針對上述缺陷。它的改進方法是:壹旦判斷打開的文件是WinZip自解壓程序，就不會被感染。同時，這個版本的CIH病毒修改了攻擊時間。v1.3版CIH病毒的長度為1010字節。

CIH病毒v1.4版本:

該版本CIH病毒改進了之前版本中的缺陷，不感染ZIP自解壓包文件，並修改了病毒中的攻擊日期和版權信息(版本信息改為“CIH v1.4 TATUNG”，之前版本中的相關信息為“CIH v1.x TTIT”)。這個版本的長度是1066。

從上面的描述中我們可以看到，其實在CIH的相關版本中，只有v1.2、v1.3、v1.4這三個版本的病毒實際上是具有破壞性的，其中v1.2版本的CIH病毒的爆發日期是每年的4月26日，是目前最流行的病毒版本。v1.3版本的攻擊日期為每年的6月26日，而CIH v1.4版本的攻擊日期改為每月的26日，大大縮短了攻擊周期，增加了其破壞性。

第二，CIH病毒爆發造成的破壞:

CIH屬於惡性病毒。當它的攻擊條件成熟時，它會破壞硬盤數據，可能還會破壞BIOS程序。其攻擊特征如下:

1.將垃圾數據以2048個扇區為單位從硬盤主引導區依次寫入硬盤，直到硬盤數據被完全破壞。在最壞的情況下，硬盤上的所有數據(包括所有邏輯磁盤數據)都會被破壞。重要信息不備份，只能哭！

2.某些主板上的閃存ROM中的BIOS信息將被清除。

三。CIH病毒感染的特點:

在CIH病毒的流行版本中，識別版本號的信息是明文，所以可以通過搜索可執行文件中的字符串來識別自己是否感染了CIH病毒，搜索特征字符串為“CIH v”或“CIH v1”如果想搜索更完整的特征串，可以嘗試“CIH v1.2 TTIT”、“CIH v1.3 TTIT”、“CIH v 1.4 Tatung”，不要直接搜索“CIH”特征串，因為這個特征串在很多正常程序中也存在，比如程序中存在以下幾行:

公司bx

十二月cx

十二月斧

他們的簽名代碼正是“CIH(0x 43；0x490x48)”，容易出現誤判。

具體搜索方法如下:首先打開資源管理器，選擇菜單功能工具→查找→文件或文件夾，輸入搜索路徑和文件名(如*。EXE)在彈出的查找文件設置窗口中輸入名稱和位置，然後在“高級→包含文本”壹欄中輸入要搜索的特征字符串“CIH V”。如果在搜索過程中顯示大量符合搜索特征的可執行文件，則表明您的舊電腦已經感染了CIH病毒。

實際上，上述方法都有壹個致命的缺點，那就是如果用戶剛剛感染了CIH病毒，那麽這樣大規模的搜索過程實際上是在擴大病毒的感染區域。壹般情況下，推薦的方法是先運行寫字板軟件，然後用上述方法在寫字板軟件的可執行程序Notepade.exe中搜索特征串，確定是否感染了CIH病毒。

另壹種判斷方法是在Windows PE文件中搜索IMAGE_NT_SIGNATURE字段，即0x00004550，表示標識字符“PE00”，然後檢查前面的字節是否為0x00，如果是，則說明程序沒有被感染，如果是其他值，則說明很可能感染了CIH病毒。

最後壹種判斷方法是先搜索IMAGE_NT_SIGNATURE字段——“pe00”，然後搜索偏移量0x28處的值是否為55 8D 44 24 F8 33 DB 64。如果是，說明這個程序已經被感染了。

我還聽說，任何感染了CIH病毒的機器在玩《極品飛車2》時，在讀取遊戲光盤時都會崩潰。我沒試過，也不知道這個是不是真的存在。

適合高級用戶的方法是直接搜索特征碼並進行修改。方法如下:首先去掉兩個跳轉點，即搜索5eCC56bf0特征串和5E CC FB 33 DB特征串，將這兩個特征串中的CC改為90(nop)。然後搜索CD 20 53 00 01 00 83 C4 20和CD 20 67 00 40 00的特征串，全部修改為90(以上數值均為16十六進制)。

另壹種方法是找到原PE程序的正確入口點，填入當前入口點(以壹個被感染的CALC.EXE程序為例)。具體方法如下:先搜索IMAGE_NT_SIGNATURE字段——“pe00”，然後在0x28處偏移四個字節，比如“a 0020000”(0x 000002 a 0)。然後在該偏移量所指示的位置(即0x02A0)找到數據“55 8D 44 24 F8 33 DB 64”，0x02FE的偏移量是通過將0X005E加到0X02A0而獲得的。例如，該偏移量處的數據為“CB 21 4000”(OXOO 4021 CB)，從OX40000中減去該值。只需將“CB 210000”(0x 0021CB)的值放回距離“PE00”點偏移0x28的位置即可(這裏是Windows PE格式程序的入口點，術語稱為程序入口點)。最後，“55 8D 44 24 F8 33 DB 64”填的是“00”，方便我們判斷病毒是否已經被殺死。

按照上面的手動殺毒方法，壹般適用於壹些單獨的軟件(比如有些軟件是包含在軟盤裏的，但是感染了CIH，現在就可以用了，呵呵！)。使用上述方法的缺點是病毒體會留在可執行文件中。雖然不會用，但是想起來可能會有點難受(還記得“WPS2000 beta中死CIH病毒殘留”的事件嗎？)。所以為了徹底查殺，建議使用壹些殺毒軟件(以上操作和使用殺毒軟件殺毒必須使用幹凈的系統盤啟動電腦)。

第四，病毒已經發作了，怎麽辦？

如果病毒已經爆發，那就看妳以前的運氣了。在壹種情況下，硬盤數據被破壞。這種情況下，可能會出現電腦可以用軟盤啟動，但是壹旦嘗試訪問硬盤，就會無法訪問，或者出現訪問錯誤或者可以訪問硬盤，但是會列出很多沒有意義的信息。

修理硬盤

就目前的情況來看，除了C:之外的其他邏輯分區都是可以完全修復的(要看在哪裏被破壞了。攻擊的壹般癥狀就是硬盤不停的轉，沒有人會傻逼到寫完主分區再寫邏輯分區就讓它關機。另註:根據我手頭的程序，標準版的CIH確實是按順序寫垃圾數據，完全破壞硬盤信息。聽說有的只寫5M或者類似的數據，是不是CIH的衍生版本不得而知)，能否修復要看實際損壞程度。總之，就看妳的運氣了！

CIH病毒破壞了主引導扇區和硬盤分區表，使得硬盤上的數據無法訪問。只要重建主引導扇區，恢復分區表，就利用了恢復數據的可能性。但是CIH病毒對c盤的破壞比之前的引導型病毒更嚴重，c盤的文件分配表基本不可能恢復。對於其他邏輯磁盤，可以使用壹些工具來恢復它們。壹些殺毒軟件公司推出了修復工具，但並不是100%有效。如果硬盤上有重要數據，最好不要輕易動手，請專業人士修復。

修理主板

另壹種情況是，除了硬盤數據損壞，主板上Flash ROM中的BIOS程序也損壞。這種情況可以分為兩類，取決於妳的損壞和主板的結構:

壹是全部損壞，慘不忍睹。機器變成了黑臉啞巴，連尖叫都不會。這個故障只能通過重寫BIOS來解決。寫的方法壹般是使用與Flash ROM兼容的“編程設備”。這個東西其實並不復雜，壹個電子發燒友隨便弄個8255之類的廉價芯片就可以了(壹般與PC等電腦配套使用)。如果妳機器主板上的Flash ROM是裝在插座裏的，建議鏟下來，找個人幫妳再寫壹個(壹般情況下，妳很可能需要另外壹個ROM芯片，有相同或相似版本的BIOS，盡量找朋友借)。

如果妳這邊實在找不到“編程設備”，如果妳有壹些和主板BIOS升級用的類似的文件盤，可以借用相同的BIOS芯片，也可以先把借來的BIOS ROM芯片插到妳的BIOS ROM插槽裏(記得先拔掉有病毒的硬盤)，然後用幹凈的DOS盤試著啟動(只要啟動基本的DOS系統，不要掛其他驅動)，啟動完成後，要開始嘗試危險的熱插拔工作，即拔掉借來的BIOS ROM，換成數據損壞的Flash Rom，然後啟動主板BIOS升級的軟件進行寫入。 (註:該方法使用的熱插拔是電子領域的大忌，造成的任何損失我概不負責)。

第二，基本啟動部分沒有損傷。這種情況的特點是機器可能無法正常啟動，但還是有壹些啟動感。比如它其實可以檢測到軟盤(保證電腦可以通過軟盤啟動)。這種情況比較幸福。在這種情況下，基本BIOS仍然可以運行，但是由於它壹般只支持IDE接口的顯卡，所以妳的屏幕上可能不會有任何顯示信息。在這種情況下，我們必須使用“盲燈”的方法，其原理類似於BIOS升級，這就要求我們手頭要有壹些可用的BIOS升級程序軟件，然後我們先在別人的機器上做壹個DOS啟動盤，把升級操作需要的命令行放在autoexec.bat文件中，然後把這個軟盤拿到被CIH病毒破壞的機器上啟動它，再做壹些“回車”和按上下箭頭鍵之類的東西。幸運的話，按照上面的步驟操作，妳的機器就有救了。

第三，亂得壹塌糊塗。以上方法都不適用，建議妳去問問賣家能不能幫妳解決。沒有出路了！

動詞（verb的縮寫）CIH病毒疫苗

去年秋天，CIH病毒的制造商在SSCAN殺毒軟件作者的幫助下，編寫了壹個針對CIH病毒的免疫程序，可以保證安裝後不會受到CIH病毒的攻擊。

由於該程序沒有病毒檢查或殺毒功能，安裝前必須先用殺毒工具檢查硬盤。在確認沒有CIH病毒的前提下，安裝在Windows 95/98環境下(CIH病毒只發生在這種環境下)。安裝後，系統會自動重啟。這時候電腦就免疫了，即使運行含有CIH病毒的軟件，也要重裝Windows 95/98系統才會被感染。

其原理如下:每次開機，系統都會立即自動執行cih.exe程序，操作的結果只是在系統的壹個寄存器DR0中做壹個標記。該程序不駐留在內存中，也不會與其他防病毒軟件沖突，也不會被感染。之後如果運行帶有CIH病毒的程序，CIH病毒就不會駐留內存(CIH病毒在駐留內存之前會判斷DR0寄存器，免疫程序已經做了標記)，不會被感染攻擊。

雖然安裝免疫程序後可以避免CIH病毒的攻擊，但是當從安裝了免疫程序的電腦上復制壹個帶有CIH病毒的文件到其他沒有安裝免疫程序的電腦上時，只要壹運行這個文件就會感染CIH病毒，所以安裝免疫程序並不是最好的辦法。

六、CIH病毒大事記(摘自《中國計算機》)

1998年6月2日:中國臺灣省發現首例CIH病毒。

1998年6月6日:第壹份CIH病毒樣本到達DF反病毒實驗室。

1998年6月6日:CIH病毒版本1.2被FSAV反病毒機構發布並跟蹤。

1998 6月12日:CIH病毒版本1.3被FSAV反病毒機構發布並跟蹤。

1998年6月26日:CIH病毒版本1.3首次發作，但危害較小。

1998年6月30日:CIH病毒版本1.4由FSAV反病毒機構發布並跟蹤。

6月65438+7月0998: CIH病毒通過受感染的盜版軟件在互聯網上傳播。

1998年8月:《飛行隊長》遊戲軟件試玩版被CIH病毒感染。

1998年8月:兩家歐洲遊戲雜誌寄送感染CIH病毒的光盤。

1998年8月26日:CIH病毒1.4版爆發，媒體廣泛關註。