CIH破坏硬件的简单原理病毒是如何破坏硬件的转 破坏电脑硬件的病毒

CIH病毒
是迄今为止发现的最阴险的病毒之一。它发作时不仅破坏硬盘的引导区和分区表,而且破坏计算机系统flashBIOS芯片中的系统程序,导致主板损坏。CIH病毒是发现的首例直接破坏计算机系统硬件的病毒。

该病毒每月25日发作,发作时破坏计算机硬盘存储器中的数据和计算机中的BIOS程序,造成开机一片黑暗。


一、CIH到底是什么病毒

CIH病毒属于文件型病毒,其别名有Win95.CIH、Spacefiller、Win32.CIH、PE_CIH,它主要感染Windows95/98下的可执行文件(PE格式,PortableExecutable Format),目前的版本不感染DOS以及WIN 3.X(NE格式,Windows and OS/2Windows 3.1 execution File Format)下的可执行文件,并且在WinNT中无效。其发展过程经历了v1.0,v1.1、v1.2、v1.3、v1.4总共5个版本,目前最流行的是v1.2版本,在此期间,据某些报导,同时产生了不下十个的变种,不过好象没有流行起来的迹象,本人并未实际接触到这些所谓的CIH变种病毒。在v1.0、v1.1、v1.2、v1.3、v1.4五个版本,只有v1.2、v1.3、v1.4这三个版本的CIH病毒有实际的破坏性。其中v1.2版本只在每年的4月26日发作,又称为切尔诺贝利病毒(前苏联核事故纪念日);v1.3的发作日期是每年的6月26日;v1.4版本的发作日期是每月的26。CIH病毒只在Windows95/98环境下感染发作,当运行了带毒的程序后,CIH病毒驻留内存,再运行其它.exe文件时,首先在文件中搜索“caves”字符,如果没有发现就立即传染。CIH病毒发作时硬盘数据、硬盘主引导记录、系统引导扇区、文件分配表被覆盖,造成硬盘数据特别是C盘数据丢失,并破坏部分类型的主板上的FlashBIOS导致计算机无法使用,是一种既破坏软件又破坏硬件的恶性病毒。

CIH病毒的各种不同版本的随时间的发展不断完善,其基本发展历程为:

CIH病毒v1.0版本:

最初的V1.0版本仅仅只有656字节,其雏形显得比较简单,与普通类型的病毒在结构上并无多大的改善,其最大的“卖点”是在于其是当时为数不多的、可感染MicrosoftWindows PE类可执行文件的病毒之一,被其感染的程序文件长度增加,此版本的CIH不具有破坏性。

CIH病毒v1.1版本:

当其发展到v1.1版本时,病毒长度为796字节,此版本的CIH病毒具有可判断Win NT软件的功能,一旦判断用户运行的是WinNT,则不发生作用,进行自我隐藏,以避免产生错误提示信息,同时使用了更加优化的代码,以缩减其长度。此版本的CIH另外一个优秀点在于其可以利用WINPE类可执行文件中的“空隙”,将自身根据需要分裂成几个部分后,分别插入到PE类可执行文件中,这样做的优点是在感染大部分WINPE类文件时,不会导致文件长度增加。

CIH病毒v1.2版本:

当其发展到v1.2版本时,除了改正了一些v1.1版本的缺陷之外,同时增加了破坏用户硬盘以及用户主机BIOS程序的代码,这一改进,使其步入恶性病毒的行列,此版本的CIH病毒体长度为1003字节。

CIH病毒v1.3版本:

原先v1.2版本的CIH病毒最大的缺陷在于当其感染ZIP自解压包文件(ZIP self-extractorsfile)时,将导致此ZIP压缩包在自解压时出现:

WinZip Self-Extractor header corrupt.

Possible cause: disk or file transfer error.

的错误警告信息。v1.3版本的CIH病毒显得比较仓促,其改进点便是针对以上缺陷的,它的改进方法是:一旦判断开启的文件是WinZip类的自解压程序,则不进行感染。同时,此版本的CIH病毒修改了发作时间。v1.3版本的CIH病毒长度为1010字节。

CIH病毒v1.4版本:
此版本的CIH病毒改进上上几个版本中的缺陷,不感染ZIP自解压包文件,同时修改了发作日期及病毒中的版权信息(版本信息被更改为:“CIHv1.4 TATUNG”,在以前版本中的相关信息为“CIH v1.x TTIT”),此版本的长度为1019字节。
从上面的说明中,我们可以看出,实际上,在CIH的相关版本中,只有v1.2、v1.3、v1.4这3个版本的病毒具有实际的破坏性,其中v1.2版本的CIH病毒发作日期为每年的4月26日,这也就是当前最流行的病毒版本,v1.3版本的发作日期为每年的6月26日,而CIHv1.4版本的发作日期则被修改为每月的26日,这一改变大大缩短了发作期限,增加了其的破坏性。

二、CIH病毒发作时所产生的破坏性:

CIH属恶性病毒,当其发作条件成熟时,其将破坏硬盘数据,同时有可能破坏BIOS程序,其发作特征是:

1、以2048个扇区为单位,从硬盘主引导区开始依次往硬盘中写入垃圾数据,直到硬盘数据被全部破坏为止。最坏的情况下硬盘所有数据(含全部逻辑盘数据)均被破坏,如果重要信息没有备份,那就只有哭了!

2、某些主板上的FlashROM中的BIOS信息将被清除。

三、感染CIH病毒的特征:

由于流行的CIH病毒版本中,其标识版本号的信息使用的是明文,所以可以通过搜索可执行文件中的字符串来识别是否感染了CIH病毒,搜索的特征串为“CIHv”或者是“CIH v1.”如果你想搜索更完全的特征字符串,可尝试“CIH v1.2TTIT”、“CIH v1.3 TTIT”以及“CIH v1.4TATUNG”,不要直接搜索“CIH”特征串,因为此特征串在很多的正常程序中也存在,例如程序中存在如下代码行:

inc bx

dec cx

dec ax

则它们的特征码正好是“CIH(0x43;0x49;0x48)”,容易产生误判。

具体的搜索方法为:首先开启“资源管理器”,选择其中的菜单功能“工具→查找→文件或文件夹”,在弹出的“查找文件”设置窗口的“名称和位置”输入中输入查找路径及文件名(如:*.EXE),然后在“高级→包含文字”栏中输入要查找的特征字符串——“CIHv”,最后点取“查找键”即可开始查找工作。如果在查找过程中,显示出一大堆符合查找特征的可执行文件,则表明您老的计算机上已经感染了CIH病毒。

实际上,在以上的方法中存在着一个致命的缺点,那就是:如果用户刚刚感染CIH病毒,那么这样一个大面积的搜索过程实际上也是在扩大病毒的感染面。一般情况下,推荐的方法是先运行一下“写字板”软件,然后使用上面的方法在“写字板”软件的可执行程序Notepade.exe中搜索特征串,以判断是否感染了CIH病毒。

另外一个判断方法是在WindowsPE文件中搜索IMAGE_NT_SIGNATURE字段,也就是0x00004550,其代表的识别字符为“PE00”,然后查看其前一个字节是否为0x00,如果是,则表示程序未受感染,如果为其他数值,则表示很可能已经感染了CIH病毒。

最后一个判断方法是先搜索IMAGE_NT_SIGNATURE字段——“PE00”,接着搜索其偏移0x28位置处的值是否为55 8D44 24 F8 33 DB 64,如果是,则表示此程序已被感染。

还听说凡是感染了CIH病毒的机器,如果玩NEED FOR SPEEDII游戏时,会在读取游戏光盘时出现死机现象,本人没有尝试过,不知道实际上是不是有这一情况存在。

适合高级用户使用的一个方法是直接搜索特征代码,并将其修改掉,方法是:先处理掉两个转跳点,即搜索:5E CC 56 8B F0 特征串以及5E CC FB 33DB特征串,将这两个特征串中的CC改为90(nop),接着搜索 CD 2053 00 01 00 83 C4 20 与 CD 20 67 00 40 00特征字串,将其全部修改为90,即可(以上数值全部为16进制)。

另外一种方法是将原先的PE程序的正确入口点找回来,填入当前入口点即可(此处以一个被感染的CALC.EXE程序为例),具体方法为:先搜索IMAGE_NT_SIGNATURE字段——“PE00”,接着将距此点偏移0x28处的4个字节值,例如“A002 00 00”(0x000002A0),再由此偏移所指的位置(即0x02A0)找到数据“55 8D 44 24 F8 33 DB64”,并由0X02A0加上0X005E得到0x02FE偏移,此偏移处的数据例如为“CB 21 4000”(OXOO4021CB),将此值减去OX40000,将得数——“CB 21 0000”(OXOO0021CB)值放回到距“PE00”点偏移0x28的位置即可(此处为WindowsPE格式程序的入口点,术语称为Program Entry Point)。最后将“55 8D 44 24 F8 33 DB64”全部填成“00”,使得我们容易判断病毒是否已经被杀除过。

按照上面手工杀毒的方法一般适合于某些单独的软件(例如某些软件包含在软盘中,却被感染了CIH不读,可现在就要用,呵呵!)。使用上述方法的缺点在于病毒体还将保留在可执行文件中,虽然不会起作用,但是想起来可能会有点不舒服(记得“WPS2000测试版残留CIH病毒尸体”的事件么?)。所以,想彻底杀灭,推荐使用某些反病毒软件进行(以上操作以及使用反病毒软件进行杀毒,必须使用干净的系统盘启动计算机)。

四、病毒已经发作了,该怎么办?

如果病毒已经发作,那就得看您老的运气了,一种情况是硬盘数据被破坏,在这种情况下,可能出现计算机能够使用软盘启动,但是一旦试图访问硬盘,就出现无法访问或者是访问出错或者是可以访问硬盘,但是列出一大堆无意义的信息。

修复硬盘

就目前掌握的情况来看,除C:以外的其他逻辑分区可以被完全修复(这得看它破坏到哪里了,一般发作的症状是硬盘转个不停,总不会有人白痴到让它写完了主分区再写完逻辑分区后才关机吧,另外备注一下:根据本人手头的程序显示,CIH标准版本在破坏上的确是进行顺序写入垃圾数据,完全破坏硬盘信息的,可听说某些只写5M或者是类似的数据,是否是CIH的派生版本不得而知),而是否能修复C:则得看实际破坏程度了,总之一句话,看你的运气啦!

CIH病毒破坏了主引导扇区和硬盘分区表,使得硬盘上的数据无法访问。只要重建主引导扇区、重新恢复分区表,就用恢复数据的可能。但是CIH病毒对C盘的破坏要比以往的引导型病毒严重,C盘的文件分配表基本不可能恢复。对于其它逻辑盘,可以用一些工具进行恢复。一些反病毒软件公司推出了修复工具,但也不是百分之百的有效。如果你的硬盘上有重要数据,最好不要轻易动手,请专业人员修复。

修复主板

另外一种情况是除了硬盘数据损坏之外,其主板上的FlashROM中的BIOS程序也被破坏,这一情况又得分成两大类,得视你的损坏情况以及主板的构造而定:

一是全部损坏,那就惨了,机器变成了黑脸的哑巴,连叫都不会叫了,这一故障只有重新写一遍BIOS,写入的方法一般是使用兼容FlashROM的“烧录器”,这玩意实际上也不复杂,一个电子爱好者随便弄块8255之类的便宜芯片就能捣起来(一般配合PC等计算机使用)。如果您机器主板上的FlashROM是安装在插座上的,则推荐将其锹下来,然后找人帮忙给再写一块(一般情况下你很有可能需要一块包含有相同或者近似版本BIOS的其他ROM芯片,可尝试找朋友借)。

如果你那边实在是找不到有“烧录器”的地方,则如果你手头有一些类似用于主板BIOS升级的文件盘,同时你能借的到相同的BIOS芯片,也可以先将借来的BIOSROM芯片插在你的BIOSROM插座上(记得先把带病毒的硬盘拔了),然后尝试使用干净DOS盘启动(只需要启动基本DOS系统即可,不要挂其他的驱动程序),启动完成后,就要开始尝试危险的热插拔工作,即:将借来的BIOSROM拔掉,换上数据损坏的FlashRom,然后启动主板BIOS升级的软件进行写入工作。(备注:此方法中所使用的热插拔乃电子界的大忌,如果造成任何损失,本人概不负责)。

二是基本启动部分未出现损坏,这一情况的特征为可能机器不能正常启动,但是还有一些启动的感觉,例如它居然还能够出现检测软盘的动作(要保证能够由软盘启动计算机),这一情况比较幸福,在这种情况下,基本BIOS还能运行,但是由于其一般只支持IDE接口的显示卡,则可能你的屏幕上不会有任何的显示信息。在这一情况下,则必须使用“黑灯瞎火”法,它的原理也就是类似BIOS升级等的操作,它要求我们手头必须有能用的一些BIOS升级程序软件,然后我们在他人的机器上先制作一张DOS启动盘,并将升级操作所需要运行的命令行放在autoexec.bat文件中,然后拿这张软盘到被CIH病毒破坏的机器上启动,接着的一些如“回车”、按上下方向键等的操作就要“摸黑”进行了。如果幸运的话,按以上步骤操作,您的机器就被救活了。

三是惨得一塌糊涂,以上方法都不适用,则推荐你们去问问销售商能不能帮你们解决,这也没办法!

五、CIH病毒疫苗

去年秋天,CIH病毒的制造者在SSCAN防病毒软件作者的帮助下编写了一个CIH病毒的免疫程序,该程序安装后可确保不受CIH病毒的侵袭。

因为该程序没有查毒或杀毒功能,在安装前必须先用杀毒工具检查一下硬盘,在确认没有CIH病毒的前提下,在Windows95/98环境下安装(CIH病毒只在此环境下才发作),安装完后系统会自动重新启动,这时电脑已经有免疫能力,即使是运行含有CIH病毒的软件,也不会感染,直到你重新安装Windows95/98系统。

它的原理是这样的:每次开机时,系统就会立即自动执行cih.exe程序,运行的结果只是在系统的一个暂存器DR0中做一个记号,程序并不驻留内存,也不会与其它杀毒软件冲突,自身也不会被感染。这之后如果运行了带CIH病毒的程序,CIH病毒也不会驻进内存(CIH病毒在驻留内存前先判断DR0暂存器,免疫程序已经做了记号),也不会感染和发作了。

安装了免疫程序后虽然可以免遭CIH病毒的侵袭,但是从安装了免疫程序的电脑上拷贝带有CIH病毒的文件到其它未安装免疫程序的电脑上时,只要一运行这个文件就会感染上CIH病毒,因此安装免疫程序并不是最好的方法。

六、CIH病毒大事记(摘自《中国计算机的》)

1998年6月2日:首例CIH病毒在中国台湾被发现。

1998年6月6日:首例CIH病毒样品抵达DF反病毒实验室。

1998年6月6日:CIH病毒1.2版本出笼并为FSAV反病毒机构跟踪。

1998年6月12日:CIH病毒1.3版本出笼并为FSAV反病毒机构跟踪。

1998年6月26日:CIH病毒1.3版本首次发作,但危害较小。

1998年6月30日:CIH病毒1.4版本出笼并为FSAV反病毒机构跟踪。

1998年7月:CIH病毒通过受感染的盗版软件在网上传播。

1998年8月:“飞行大队长”游戏软件演示版受CIH病毒感染。

1998年8月:欧洲两种游戏杂志发送受CIH病毒感染的CD-ROM。

1998年8月26日:CIH病毒1.4版发作,媒体予以广泛关注。
CIH破坏硬件的简单原理病毒是如何破坏硬件的[转] 破坏电脑硬件的病毒

1998年9月:YAMAHA公司发送第一批受CIH病毒感染的CD-ROM软件。

1998年10月:广为流传的SiN游戏软件演示版受CIH感染。

1999年3月:CIH病毒1.2版侵入IBM公司Aptiva型计算机。

1999年4月26日,CIH病毒1.2版首次发作,计算机业损失巨大。

CIH病毒把大家搞得人心惶惶,掀起了不小的波澜。以前的各种病毒最多只能破坏硬盘数据,而CIH却能侵入主板上的FlashBIOS,破坏其内容而使主板报废。CIH的教训告诉我们:不要轻视病毒对硬件的破坏。很多人现在已经开始担忧:CIH越来越凶猛,同时会不会有更多的破坏硬件的病毒出现?其实,本人分析了一下。病毒破坏硬件的“手段”,不外乎有以下几种:

  1.破坏显示器
  众所周知,每台显示器都有自已的带宽和最高分辨率、场频。早期生产的14英寸彩色显示器,带宽大约只有35-45MHz,对应的最高分辩率为1024×768@60Hz场频;目前的14英寸彩色显示器,带宽大都有60MHz,对应的最高分辨率为1024×768@75Hz场频;15英寸彩色显示器(高档的),带宽有110MHz,对应的最高分辨率为1280×1024@85Hz场频。大家可以查看一下显示器的说明书,上面都有场频与最高分辨率的配合。若其中有一项超过,就会出现花屏,严重了就会烧坏显示器。病毒可以通过篡改显示参数来破坏显示器(如把分辨率、场院频改到显卡能支持的最高档等)。虽然新型显示器有DDC标准化与系统联络,但病毒想钻空子并不难。所以大家如果发现在使用过程中显示器出现了花屏,要立即关掉显示器的电源,重新启动后进入安全模式再找原因。

  2.超外频、加电压破坏CPU、显卡、内存等
  目前新型主板采用“软跳线”的越来越多,这正好给病毒以可乘之机。所谓“软跳线”是指在BIOS中就能改动CPU的电压、外频和倍频。病毒可以通过改BIOS参数,加高CPU电压使其过热而烧坏,或提高CPU的外频,使CPU和显卡、内存等外设超负荷工作而过热烧坏。这类事件的前兆就是死机。所以,如果发现机器经常死机,就要赶紧到CMOS中看看以上参数是否有改动。可喜的是,目前很多主板都有CPU温度监测功能,超温后立即降频报警,可以基本杜绝烧坏硬件的情况发生。

  3.超“显频”破坏显卡
  目前很多中高档显卡如Voodoo等都可以手动改变其芯片的频率,并且改的方法更简单:在Windows9x注册表里改。病毒改动了“显频”,显卡也就容易超负荷工作而烧坏。这种事件的前兆也是死机。所以,死机时也不要忽视对“显频”的检查。另外还有一种减少烧坏显卡的可能性的办法,那就是……(什么?你已经安了两个风扇了!?)

  4.破坏光驱
  光驱中的光头在读不到信号时就会加大激光发射功率,这样长期下去对光驱的寿命极为不利。有人做实验,让正常的光驱不停的读取一张划痕很多,信号较弱的光盘,28小时以后光驱就完蛋了。病毒可以让光头走到盘片边缘无信号区域不停的读盘,结果光头读不到信号,便加大发射功率不停地读,要不了几天,光驱就要“NoDisc”了。所以要经常注意光驱灯的闪亮情况,判断光驱是否在正常工作。

  5.破坏主板、显卡的Flash BIOS
  这就是现在的CIH病毒破坏主板的方式。病毒用乱码冲掉了BIOS中的内容,使机器不能启动。不过现在很多主板都有带有FlashBIOS写保护跳线,可以有效的防止CIH病毒破坏主板。但是不要忘了,很多显卡也有FlashBIOS,说不定哪一天就会冒出一种破坏显卡BIOS的病毒。所以还是小心一点为好,这可没有什么特效药啊!

  6.破坏硬盘
  大家都知道,分区、高级格式化对硬盘都没有什么损伤,惟独低级格式化对硬盘的寿命有较大的影响。据说硬盘做上10次低级格式化就会报废。如果出现一种病毒,不停的对硬盘的0磁道做低格式化(做10次最多只需用几秒钟!),0道坏了再做1道……你的硬盘容量就会一点一点(这一点好不小啊!)地被蚕食,而且0、1、2……道坏了,要想再使用该硬盘,就得在BIOS中重新设定起始磁道,再低级格式化,非常麻烦。其实,该病毒有一个非常简单而有效的预防方法,那就是将BIOS中的BootSectorVirusProtection(引导区病毒写保护)设为Enable(打开)。笔者做过实验,将上述开关打开的情况下,使用各种低级格式化软件(包括BIOS中自带的)对硬盘进行低格,BIOS都会报警(报告说有程序企图重写引导区,问是否继续),按N就可以防止。要知道BIOS程序掌管着系统的最高控制权,应该没有什么东西可以冲破其防线(你按Y是另外一回事)。若发现上述情况,赶紧Reset,然后进行杀毒不过,如果你是在装Win98等操作系统或SystemCommander等软件时碰到该情况,就大可不必理会它,困为这些软件安装时都有要重写引导区。不过劝你安装这些软件时最好先把写保护关掉,否则容易出现死机现象!

  7.浪费喷墨打印机的墨水喷墨打印机的喷头特别容易堵塞,为此打印机公司特别发明了专门浪费墨水的“清洗喷头”功能,即让大量墨水冲出喷头,清除杂物。这项功能可以用软件控制实现,于是乎病毒便神不知鬼不觉的一次次调用该功能,而你却对打印机的呻吟声却听而不见。当你发现时,大量的墨已经被浪费了。这种病毒唯一的预防办法就是……不用打印机时把打印机关了。其实,只要你常注意一下打印机上的模式灯就可以了,清洗喷头时它通常是一闪闪的。另外还要仔细倾听它的呻吟声,清洗喷头时打印头总是要来回走动几下的(为了加热)。

  

爱华网本文地址 » http://www.aihuau.com/a/25101013/167384.html

更多阅读

倍润告诉你润体乳是如何重要 乳腺保养的重要性

倍润告诉你润体乳是如何重要——简介女人,尤其想做精致美丽的女人,就要时刻记得:“要对自己好一点”。夏季的炎热气氛已经开始在各处渗透了,脸部油光满面,太阳躲都躲不开;面对高温、干燥等多重挑战,你的肌肤做好准备了吗?今天向大家分享下夏

雾天是如何形成的? 雾霾是怎么形成的

雾天是如何形成的?当空气容纳的水汽达到最大限度时,就达到了饱和。而气温愈高,空气中所能容纳的水汽也愈多。1立方米的空气,气温在4℃时,最多能容纳的水汽量是6.36克;而气温是20℃时,1立方米的空气中最多可以含水汽量是17.30克。如

挂QQ是如何赚钱的? qq华夏怎么挂机赚钱

挂QQ是如何赚钱的?——简介挂QQ的确是一个暴利项目,但是又是一个简单的不能再简单的方法,就是这个技巧曾经让无数的人一天产生上万元的收入,这也是一个过时的创意,为什么我们还是要拿出来讲一下呢,就是因为他曾经风靡过,那么我们就要去了解

ANSYS入门教程,我是如何ANSYS的。 ansys如何入门

ANSYS入门教程,我是如何ANSYS的。——简介ANSYS有限元分析软件是一个多用途的有限元法软件,可以用来求解结构、流体、电力、电磁场及碰撞等问题,在许多领域中都得到了广泛应用,如航空航天、汽车工业、生物医学、桥梁、建筑、电子产品、

声明:《CIH破坏硬件的简单原理病毒是如何破坏硬件的转 破坏电脑硬件的病毒》为网友追风爱人分享!如侵犯到您的合法权益请联系我们删除