首页 新闻 搜索 短信 分类 聊天 企业
上移动梦网
赢手机大奖

新浪首页 > 科技时代 > 软件 > 系统工具 > 正文
4.26事件-CIH病毒剖析

http://www.sina.com.cn 2000/04/23 18:09 新浪科技

  文/小狐狸神

  1999年4月26日,星期一,还是在4月26日,还是CIH,导致了大量的PC计算机停止工作,同时导 致用户的数据遭到严重破坏。

  早在1998年7月26日,CIH的恶性病毒就已经在美国开始大面积肆虐。

  1998年8月26日,该病毒入侵中国。

  1998年8月31日,我国公安部发出防范CIH病毒的紧急通知。

  1998年9月1日,中国中央电视台在新闻联播中播发了此通知。

  接着,全国各大报刊纷纷不惜版面、不遗余力地在显著版面刊发大量的相关报道。

  反病毒厂商一时打破以久沉寂,大大红火了一把。

  刹那间,全世界防、查、杀CIH病毒的呼声昏天黑地......

  可时至今日,CIH病毒还在大面积继续传播......,在昨天,我们又看到了悲惨的一幕,大量的PC机 在CIH的肆虐中一批批倒下,SINA电脑论坛中“哭”声响彻天际......。

  CIH病毒到底是什么病毒?

  CIH病毒属文件型病毒,其别名有Win95.CIH、Spacefiller、Win32.CIH、P E_CIH,它主要感染Windows95/98下的可执行文件(PE格式,Portable Executable Format),目前的版本不感染DOS以及WIN 3.X(NE格式,Windows and OS/2 Wind ows 3.1 execution File Format)下的可执行文件,并且在Win NT中无效。其发展过 程经历了v1.0,v1.1、v1.2、v1.3、v1.4总共5个版本,目前最流行的是v1.2版本,在此期间,据 某些报导,同时产生了不下十个的变种,不过好象没有流行起来的迹象,本人并未实际接触到这些所谓的CIH变种病毒。

  CIH病毒的各种不同版本的随时间的发展不断完善,其基本发展历程为:

  CIH病毒v1.0版本:

  最初的V1.0版本仅仅只有656字节,其雏形显得比较简单,与普通类型的病毒在结构上并无多大的改善, 其最大的“卖点”是在于其是当时为数不多的、可感染Microsoft Windows PE类可执行文件的病毒之一 ,被其感染的程序文件长度增加,此版本的CIH不具有破坏性。

  CIH病毒v1.1版本:

  当其发展到v1.1版本时,病毒长度为796字节,此版本的CIH病毒具有可判断Win NT软件的功能 ,一旦判断用户运行的是Win NT,则不发生作用,进行自我隐藏,以避免产生错误提示信息,同时使用了更加优化的代 码,以缩减其长度。此版本的CIH另外一个优秀点在于其可以利用WIN PE类可执行文件中的“空隙”,将自身根据需 要分裂成几个部分后,分别插入到PE类可执行文件中,这样做的优点是在感染大部分WINPE类文件时,不会导致文件长 度增加。

  CIH病毒v1.2版本:

  当其发展到v1.2版本时,除了改正了一些v1.1版本的缺陷之外,同时增加了破坏用户硬盘以及用户主机 BIOS程序的代码,这一改进,使其步入恶性病毒的行列,此版本的CIH病毒体长度为1003字节。

  CIH病毒v1.3版本:

  原先v1.2版本的CIH病毒最大的缺陷在于当其感染ZIP自解压包文件(ZIP self-extra ctors file)时,将导致此ZIP压缩包在自解压时出现:

  WinZip Self-Extractor header corrupt.  Possible c ause: disk or file transfer error.

  的错误警告信息。v1.3版本的CIH病毒显得比较仓促,其改进点便是针对以上缺陷的,它的改进方法是: 一旦判断开启的文件是WinZip类的自解压程序,则不进行感染。同时,此版本的CIH病毒修改了发作时间。v1.3 版本的CIH病毒长度为1010字节。

  CIH病毒v1.4版本:

  此版本的CIH病毒改进上上几个版本中的缺陷,不感染ZIP自解压包文件,同时修改了发作日期及病毒中的 版权信息(版本信息被更改为:“CIH v1.4 TATUNG”,在以前版本中的相关信息为“CIH v1.x T TIT”),此版本的长度为1019字节。

  从上面的说明中,我们可以看出,实际上,在CIH的相关版本中,只有v1.2、v1.3、v1.4这3个 版本的病毒具有实际的破坏性,其中v1.2版本的CIH病毒发作日期为每年的4月26日,这也就是当前最流行的病毒版 本,v1.3版本的发作日期为每年的6月26日,而CIH v1.4版本的发作日期则被修改为每月的26日,这一改变 大大缩短了发作期限,增加了其的破坏性。

  CIH病毒发作时所产生的破坏性:

  CIH属恶性病毒,当其发作条件成熟时,其将破坏硬盘数据,同时有可能破坏BIOS程序,其发作特征是:

  1、以2048个扇区为单位,从硬盘主引导区开始依次往硬盘中写入垃圾数据,直到硬盘数据被全部破坏为止 。最坏的情况下硬盘所有数据(含全部逻辑盘数据)均被破坏,如果重要信息没有备份,那就只有哭了!

  2、某些主板上的Flash Rom中的BIOS信息将被清除。

  感染CIH病毒的特征:

  由于流行的CIH病毒版本中,其标识版本号的信息使用的是明文,所以可以通过搜索可执行文件中的字符串来 识别是否感染了CIH病毒,搜索的特征串为“CIH v”或者是“CIH v1.”如果你想搜索更完全的特征字符串, 可尝试“CIH v1.2 TTIT”、“CIH v1.3 TTIT”以及“CIH v1.4 TATUNG”,不 要直接搜索“CIH”特征串,因为此特征串在很多的正常程序中也存在,例如程序中存在如下代码行:

  inc bx  dec cx  dec ax

  则它们的特征码正好是“CIH(0x43;0x49;0x48)”,容易产生误判。

  具体的搜索方法为:首先开启“资源管理器”,选择其中的菜单功能“工具>查找>文件或文件夹”,在弹出的 “查找文件”设置窗口的“名称和位置”输入中输入查找路径及文件名(如:*.EXE),然后在“高级>包含文字”栏中 输入要查找的特征字符串----“CIH v”,最后点取“查找键”即可开始查找工作。如果在查找过程中,显示出一大 堆符合查找特征的可执行文件,则表明您老的计算机上已经感染了CIH病毒。

  实际上,在以上的方法中存在着一个致命的缺点,那就是:如果用户刚刚感染CIH病毒,那么这样一个大面积 的搜索过程实际上也是在扩大病毒的感染面。一般情况下,推荐的方法是先运行一下“写字板”软件,然后使用上面的方法在 “写字板”软件的可执行程序Notepade.exe中搜索特征串,以判断是否感染了CIH病毒。

  另外一个判断方法是在Windows PE文件中搜索IMAGE_NT_SIGNATURE字段,也就是 0x00004550,其代表的识别字符为“PE00”,然后查看其前一个字节是否为0x00,如果是,则表示程序未 受感染,如果为其他数值,则表示很可能已经感染了CIH病毒。

  最后一个判断方法是先搜索IMAGE_NT_SIGNATURE字段----“PE00”,接着搜索其偏 移0x28位置处的值是否为55 8D 44 24 F8 33 DB 64,如果是,则表示此程序已被感染。

  还听说凡是感染了CIH 病毒的机器,如果玩NEED FOR SPEED II游戏时,会在读取游戏光 盘时出现死机现象,本人没有尝试过,不知道实际上是不是有这一情况存在。

  适合高级用户使用的一个方法是直接搜索特征代码,并将其修改掉,方法是:先处理掉两个转跳点,即搜索:5 E CC 56 8B F0 特征串以及5E CC FB 33 DB特征串,将这两个特征串中的CC改为90(no p),接着搜索 CD 20 53 00 01 00 83 C4 20 与 CD 20 67 00 40 00 特征字串,将其全部修改为90,即可(以上数值全部为16进制)。

  另外一种方法是将原先的PE程序的正确入口点找回来,填入当前入口点即可(此处以一个被感染的CALC. EXE程序为例),具体方法为:先搜索IMAGE_NT_SIGNATURE字段----“PE00”,接着将距此点 偏移0x28处的4个字节值,例如“A0 02 00 00”(0x000002A0),再由此偏移所指的位置(即0 x02A0)找到数据“55 8D 44 24 F8 33 DB 64”,并由0X02A0加上0X005E得到0 x02FE偏移,此偏移处的数据例如为“CB 21 40 00”(OXOO4021CB),将此值减去OX4000 0,将得数----“CB 21 00 00” (OXOO0021CB)值放回到距“PE00”点偏移0x28的位 置即可(此处为Windows PE格式程序的入口点,术语称为Program Entry Point)。最后将“ 55 8D 44 24 F8 33 DB 64”全部填成“00”,使得我们容易判断病毒是否已经被杀除过。

  按照上面手工杀毒的方法一般适合于某些单独的软件(例如某些软件包含在软盘中,却被感染了CIH不读,可 现在就要用,呵呵!)。使用上述方法的缺点在于病毒体还将保留在可执行文件中,虽然不会起作用,但是想起来可能会有点 不舒服(记得“WPS2000测试版残留CIH病毒尸体”的事件么?)。所以,想彻底杀灭,推荐使用某些反病毒软件进 行(以上操作以及使用反病毒软件进行杀毒,必须使用干净的系统盘启动计算机)。

  病毒已经发作了,该怎么办?

  如果病毒已经发作,那就得看您老的运气了,一种情况是硬盘数据被破坏,在这种情况下,可能出现计算机能够 使用软盘启动,但是一旦试图访问硬盘,就出现无法访问或者是访问出错或者是可以访问硬盘,但是列出一大堆无意义的信息 。

  实际上,就以上不同的情况,它们的区别在于硬盘信息的破坏程度不同,一般推荐使用Norton软件进行尝 试性恢复,同时就目前掌握的情况来看,除C:以外的其他逻辑分区可以被完全修复(这得看它破坏到哪里了,一般发作的症 状是硬盘转个不停,总不会有人白痴到让它写完了主分区再写完逻辑分区后才关机吧,另外备注一下:根据本人手头的程序显 示,CIH标准版本在破坏上的确是进行顺序写入垃圾数据,完全破坏硬盘信息的,可听说某些只写5M或者是类似的数据, 是否是CIH的派生版本不得而知),而是否能修复C:则得看实际破坏程度了,总之一句话,看你的运气啦!

  以上情况对于重视数据的同志而言可谓是“伤心的痛”,呵呵,他宁可机器爆掉,也不要数据丢失,所以推荐以 后购买大容量的备份设备。

  另外一种情况是除了硬盘数据损坏之外,其主板上的Flash ROM中的BIOS程序也被破坏,这一情况 又得分成两大类,得视你的损坏情况以及主板的构造而定:

  一是全部损坏,那就惨了,机器变成了黑脸的哑巴,连叫都不会叫了,这一故障只有重新写一遍BIOS,写入 的方法一般是使用兼容Flash ROM的“烧录器”,这玩意实际上也不复杂,一个电子爱好者随便弄块8255之类的 便宜芯片就能捣起来(一般配合PC等计算机使用)。如果您机器主板上的Flash ROM是安装在插座上的,则推荐将 其锹下来,然后找人帮忙给再写一块(一般情况下你很有可能需要一块包含有相同或者近似版本BIOS的其他ROM芯片, 可尝试找朋友借)。

  如果你那边实在是找不到有“烧录器”的地方,则如果你手头有一些类似用于主板BIOS升级的文件盘,同时 你能借的到相同的BIOS芯片,也可以先将借来的BIOS ROM芯片插在你的BIOS ROM插座上(记得先把带病 毒的硬盘拔了),然后尝试使用干净DOS盘启动(只需要启动基本DOS系统即可,不要挂其他的驱动程序),启动完成后 ,就要开始尝试危险的热插拔工作,即:将借来的BIOS ROM拔掉,换上数据损坏的Flash Rom,然后启动主 板BIOS升级的软件进行写入工作。(备注:此方法中所使用的热插拔乃电子界的大忌,如果造成任何损失,本人概不负责 )。

  二是基本启动部分未出现损坏,这一情况的特征为可能机器不能正常启动,但是还有一些启动的感觉,例如它居 然还能够出现检测软盘的动作(要保证能够由软盘启动计算机),这一情况比较幸福,在这种情况下,基本BIOS还能运行 ,但是由于其一般只支持IDE接口的显示卡,则可能你的屏幕上不会有任何的显示信息。在这一情况下,则必须使用“黑灯 瞎火”法,它的原理也就是类似BIOS升级等的操作,它要求我们手头必须有能用的一些BIOS升级程序软件,然后我们 在他人的机器上先制作一张DOS启动盘,并将升级操作所需要运行的命令行放在autoexec.bat文件中,然后拿 这张软盘到被CIH病毒破坏的机器上启动,接着的一些如“回车”、按上下方向键等的操作就要“摸黑”进行了。如果幸运 的话,按以上步骤操作,您老的机器就被救活了。

  三是惨得一塌糊涂,以上方法都不适用,则推荐你们去问问销售商能不能帮你们解决,这也没办法!

  CIH及派生问题FAQ:

  Q:CIH是谁写的?

  A:我不晓得,不过网上早有风言风语了,以下照抄:

  CIH病毒是台湾大同工学院一位名叫陈盈豪的学生搞的一个恶作剧,但无意中,通过互联网流出,并通过互联 网的传播, 终造成大规模的病毒流行。当时, 这个病毒传播时所使用的载体为一个名叫"ICQ中文Chat模块" 的 工具,此工具软件作者本人所维护的站台并没有CIH病毒, 但由于互联网上各站台互相转载,在转载的过程中,感染上了 CIH病毒。当时这个工具下载并使用的人非常多,结果一传十,十传百......。

  当“ICQ中文Chat补丁”工具的作者知道此事后,联络了台湾非常著名的一个免费杀毒软件作者,这个杀 毒软件就是Super Scanner。Super Scanner首先推出了CIH病毒的查毒工具,当时并没有杀毒 模块。此时,CIH病毒作者与Super Scanner联系上,并提供了CIH免疫工具。

  CIH病毒作者在台湾各大Newsgroup与BBS上发布道歉信,公开道歉,道歉原文如下:

  ------------------------------------------------- -----------------------------------------

  这是一封公开道歉的信,这次的病毒事件,CIH V1.2,CIH V1.3,以及CIH V1.4,造 成大家的伤害以及不便,为此深表歉意!事件是发生于五月底,病毒是从宿舍内部迅速扩大到各大网站,因为网站的频繁使用 ,同时病毒的传染力甚强,于是造成如此大的灾难,学校已经依学规对我个人适当的处 分,并且郑重警告,以后若有类似的 事情发生,校方绝对会追究到底!?

  为了弥补个人的过失,这段时间,对外面中毒的热门软件,我也用archie搜寻,花时间一一检查是否有病 毒,有中毒的话,也附上此档案中CIH病毒类似的字样,或是直接E-Mail给该站管理员,避免再次造成伤害。而在这 段期间,感谢SSCAN作者的帮忙,用最快的速度写出完整的解毒程序。同时我也及时写?出对CIH病毒的免疫程序。同 时藉此声,最近在网站上的流传CIH Version1.0 for word97巨集病毒,绝非个人行为,请各位详 查。网站毕竟是公开的,全世界的病毒到处流窜,新的病毒还是永远会继续产生,下载软件还是小心点,对大家造成的伤害和 不便,本人再一次深感抱歉,特写这封道歉信,以示负责!

  Super Scanner作者从CIH病毒作者提供的资料进行分析,并在1998年6月6日推出第一个 能完整杀除CIH全系列的版本,Super Scanner 2.20S版,文件名SS980606。EXE。

  Super Scanner最新版已经为2.50b(9月16日出品),可通过http://sscan .yeah.net转到Super Scanner的主站去看看。

  ------------------------------------------------- -----------------------------------------

  Q:CIH是使用什么方法进行感染的?

  A:就技巧而言,其原理主要是使用Windows的VxD(虚拟设备驱动程序)编程方法,使用这一方法的 目的是获取高的CPU权限,CIH病毒使用的方法是首先使用SIDT取得IDT base address(中断描述 符表基地址),然后把IDT的INT 3 的入口地址改为指向CIH自己的INT3程序入口部分,再利用自己产生一个 INT 3指令运行至此CIH自身的INT 3入口程序出,这样CIH病毒就可以获得最高级别的权限(即权限0),接 着病毒将检查DR0寄存器的值是否为0,用以判断先前是否有CIH病毒已经驻留。如DR0的值不为0,则表示CIH病 毒程式已驻留,则此CIH副本将恢复原先的INT 3入口,然后正常退出(这一特点也可以被我们利用来欺骗CIH程序 ,以防止它驻留在内存中,但是应当防止其可能的后继派生版本)。如果判断DR0值为0,则CIH病毒将尝试进行驻留, 其首先将当前EBX寄存器的值赋给DR0寄存器,以生成驻留标记,然后调用INT 20中断,使用VxD call Page Allocate系统调用,要求分配Windows系统内存(system memory),Window s系统内存地址范围为C0000000h~FFFFFFFFh,它是用来存放所有的虚拟驱动程序的内存区域,如果程序 想长期驻留在内存中,则必须申请到此区段内的内存,即申请到影射地址空间在C0000000h以上的 内存。

  如果内存申请成功,则接着将从被感染文件中将原先分成多段的病毒代码收集起来,并进行组合后放到申请到的 内存空间中,完成组合、放置过程后,CIH病毒将再次调用INT 3中断进入CIH病毒体的INT 3入口程序,接着 调用INT20来完成调用一个IFSMgr_InstallFileSystemApiHook的子程序,用来在文件 系统处理函数中挂接钩子,以截取文件调用的操作,接着修改IFSMgr_InstallFileSystemApiH ook的入口,这样就完成了挂接钩子的工作,同时Windows默认的IFSMgr_Ring0_FileIO(In stallableFileSystemManager,IFSMgr)。服务程序的入口地址将被保留,以便于CIH 病毒调用,这样,一旦出现要求开启文件的调用,则CIH将在第一时间截获此文件,并判断此文件是否为PE格式的可执行 文件,如果是,则感染,如果不是,则放过去,将调用转接给正常的Windows IFSMgr_IO服务程序。CIH 不会重复多次地感染PE格式文件,同时可执行文件的只读属性是否有效,不影响感染过程,感染文件后,文件的日期与时间 信息将保持不变。对于绝大多数的PE程序,其被感染后,程序的长度也将保持不变,CIH将会把自身分成多段,插入到程 序的空域中。完成驻留工作后的CIH病毒将把原先的IDT中断表中的INT 3入口恢复成原样。

  Q:ROM、PROM、EPROM、EEPROM、Flash ROM分别指什么?

  A:ROM指的是“只读存储器”,即Read-Only Memory。这是一种线路最简单半导体电路, 通过掩模工艺,一次性制造,其中的代码与数据将永久保存(除非坏掉),不能进行修改。这玩意一般在大批量生产时才会被 用的,优点是成本低、非常低,但是其风险比较大,在产品设计时,如果调试不彻底,很容易造成几千片的费片,行内话叫“ 掩砸了”!

  PROM指的是“可编程只读存储器”既Programmable Red-Only Memory。这样 的产品只允许写入一次,所以也被称为“一次可编程只读存储器”(One Time Progarmming ROM, OTP-ROM)。PROM在出厂时,存储的内容全为1,用户可以根据需要将其中的某些单元写入数据0(部分的PRO M在出厂时数据全为0,则用户可以将其中的部分单元写入1),以实现对其“编程”的目的。PROM的典型产品是“双极 性熔丝结构”,如果我们想改写某些单元,则可以给这些单元通以足够大的电流,并维持一定的时间,原先的熔丝即可熔断, 这样就达到了改写某些位的效果。另外一类经典的PROM为使用“肖特基二极管”的PROM,出厂时,其中的二极管处于 反向截止状态,还是用大电流的方法将反相电压加在“肖特基二极管”,造成其永久性击穿即可。

  EPROM指的是“可擦写可编程只读存储器”,即Erasable Programmable Read -Only Memory。它的特点是具有可擦除功能,擦除后即可进行再编程,但是缺点是擦除需要使用紫外线照射一定 的时间。这一类芯片特别容易识别,其封装中包含有“石英玻璃窗”,一个编程后的EPROM芯片的“石英玻璃窗”一般使 用黑色不干胶纸盖住,以防止遭到阳光直射。

  EEPROM指的是“电可擦除可编程只读存储器”,即Electrically Erasable Pr ogrammable Read-Only Memory。它的最大优点是可直接用电信号擦除,也可用电信号写入。E EPROM不能取代RAM的原应是其工艺复杂,耗费的门电路过多,且重编程时间比较长,同时其有效重编程次数也比较低 。

  Flash memory指的是“闪存”,所谓“闪存”,它也是一种非易失性的内存,属于EEPROM的 改进产品。它的最大特点是必须按块(Block)擦除(每个区块的大小不定,不同厂家的产品有不同的规格),而EEP ROM则可以一次只擦除一个字节(Byte)。目前“闪存”被广泛用在PC机的主板上,用来保存BIOS程序,便于进 行程序的升级。其另外一大应用领域是用来作为硬盘的替代品,具有抗震、速度快、无噪声、耗电低的优点,但是将其用来取 代RAM就显得不合适,因为RAM需要能够按字节改写,而Flash ROM做不到。

  Q:主板Flash ROM中的BIOS程序怎会被破坏的?

  A:PC机上常用来保存PC BIOS程序的Flash ROM包含两个电压接口,其中+12V一般用B oot Block的改写,Boot Block为一特殊的区块,它主要用于保存一个最小的BIOS,用以启动最基本 的系统之用,当Flash ROM中的其它区块内的数据被破坏时,只要Boot Block内的程序还处于可用状态, 则可以利用这一基本的PC BIOS程序来启动一个最小化的系统,一般情况下,起码应当支持软盘的读写以及键盘的输入 ,这样我们就有 机会使用软盘来重新构建整个Flash ROM中的数据。一般的主板上均包含有一个专门的跳线,用来 确定是否给此Flash ROM芯片提供+12V电压,只有我们需要修改Flash ROM中的Boot Block 区域内的数据时,才需要短接此跳线,以提供+12V电压。

  另外一路电压为+5V电压,它可以用于维持芯片工作,同时为更新Flasm ROM中非Boot Blo ck区域提供写入电压。

  就以上的理论,可以得出:主板上的+12V跳线是为了防止更新Flash ROM中的Boot Bloc k区域而设置的,如果想升级BIOS,同时此升级程序只需要更新Boot Block区域以外的BIOS程序,则主板 上的跳线根本没必要去跳,因为更新Boot Block区域以外的数据并不需要+12V电压,这样,即使升级失败,我 们也还存在着一个Boot Block中的最基本BIOS可以使用,这样就可以使用软盘来恢复原先的BIOS数据(一 般在升级的时候后,都提示用户保存当前的BIOS数据)。

  以上的理论是非常美好的,可为什么还是有拥护的BIOS程序在CIH病毒的魔爪下被彻底摧毁了呢?

  第一种情况是主板上的跳线处于短接状态,即Flash ROM芯片已经有+12V电压了,这一情况是由于 用户不小心造成的,或者干脆是根本不知道。这就得怪你自己了。

  第二种情况不是由用户造成的,而是由厂家造成的,这里涉及到一个比较复杂的问题,由于上面美好的Boot Block概念是建立在Intel的基础之上的,也就是说,Intel公司拥有此项专利,这就导致使用此类技术的一般 都是Intel公司出的Flash ROM芯片,如常见的 Intel 28F0 芯片,当然,世界上并不是只有In teL一家公司会生产Flash ROM,象Atmel、MXIC、SST、Winbond等公司也能生产,而且可以 保证管脚兼容,但是某些芯片在+5V的电压下就可以进行改写,这些单5V的芯片便是造成BIOS数据被彻底破坏的原应 。就本人所知,SST、Winboard、Atmel公司出的这些芯片都是具有单5V可改特性的。以下是一些参考信息 :

  写入电压 5 Volt 12 Volt Atmel AT29LC010 -- Intel -- 28F 001BX-T MXIC -- MX28F1000 SST 29EE010 -- Winbond W29EE0 11 --

  (主板厂家为什么不使用如Intel公司的带“Boot Block”保护的芯片呢?道理很简单,其他公 司的产品更便宜!)

  技巧:对于这些单5V可写芯片的保护措施是将其WE (Write Enable)管脚设为无效,例如A tmel AT29C10A芯片的31脚为WE引脚,属性为低电平有效,则只要将此引脚与VCC(+5V)相连,将其 电平拉高即可。一般情况下如果使用插座的Flash ROM芯片,则可考虑不将此脚插入,另外焊条线与VCC连接即可 。

  Q:CIH病毒是破坏硬件的病毒么?

  A:不是,前面已经讲的很明白了,在最坏的情况下,此病毒破坏的也只是Flasm ROM中的BIOS程 序,而BIOS程序在Flasm ROM中只是一堆电流的表现,实际上,即使出现最坏的情况,也没有任何硬件会出现物 理损坏,那块Flasm ROM中也只是信息丢失,并不代表此Flasm ROM就出现物理损坏了,如果拥有写入器, 还是可以在原先的Flasm ROM中写入BIOS程序的。

  如果说“CIH病毒是破坏硬件的病毒”,则整个概念观就会被颠倒,象重新写入了一下Flash ROM信 息(仅仅只是电流变化而已),就被引申为“破坏硬件”,那么硬盘上的信息是以N与S的磁级进行区分的,那么我删除了硬 盘上的一个文件,造成了某些扇区数据的变换,是不是也可以引申为硬盘的这些扇区发生“物理损坏”了呢?哈哈哈!

  的确,CIH病毒给我们造成了很大的麻烦,可能造成你的机器不能够启动,但它并没有出现什么破坏硬件的情 况,这是很明显的。


  


初学者园地】【科技聊天】【关闭窗口

新 闻 查 询



科技时代意见反馈留言板 电话:010-82612286 或 010-82628888-3488   欢迎批评指正

新浪简介 | 用户注册 | 广告服务 | 招聘信息 | 中文阅读 | Richwin | 联系方式 | 帮助信息

Copyright © 1996 - 2002 SINA.com, Stone Rich Sight. All Rights Reserved

版权所有 四通利方 新浪网