“CIH病毒”的意思、由来-中文百科全书

历史

1998年9月，雅马哈公司为感染了该病毒的CD-R400驱动提供一个固件更新。1998年10月，用户传播的Activision公司游戏SiN的一个演示版因为在某一用户的机器上接触被感染文件而受到感染。这个公司的传染源来自IBM1999年3月间发售的已感染CIH病毒的一组Aptiva品牌个人电脑。1999年4月26日，公众开始关注CIH首次发作时，这些电脑已经运出一个月了。这是一宗大灾难，全球不计其数的电脑硬盘被垃圾数据覆盖，甚至破坏BIOS，无法启动。至2000年4月26日，亚洲报称发生多宗损坏，但病毒没有传播开来。2001年3月发现Anjulie蠕虫病毒，它将CIH v1.2植入感染的系统。

这个病毒的死灰复燃是在2001年。一个用珍妮佛洛佩兹的裸照伪装的VBScript文档里的爱虫病毒的一个变种包含CIH病毒的挂钩例程，从而使该病毒在互联网上传播开来。

一个修改版本是CIH.1106，发现于2002年12月，但是没有严重的破坏性。

只有CIH感染大量发信的电脑蠕虫（如求职信病毒）所使用的程序，或有Anjulie蠕虫病毒参与时，CIH才会被看成是一个威胁。但是CIH病毒只在windows 95，98和windows Me系统上发作，影响有限。现在由于人们对它的威胁有了认知，且它只能运行于旧的Windows 9X操作系统，CIH不再像他刚出现时分布那么广泛传播。

CIH病毒的破坏

当然，CIH对BIOS的破坏，也并非想像中的那么可怕。现在PC机基本上使用两种只读存储器存放BIOS数据，一种是使用传统的ROM或EPROM，另一种就是E2PROM。厂家事先将BIOS以特殊手段“烧”入（又称“固化”）到这些存储器中，然后将它们安装在PC机里。当我们打开计算机电源时，BIOS中程序和数据首先被执行、加载，使得我们的系统能够正确识别机器里安装的各种硬件并调用相应的驱动程序，然后硬盘再开始引导操作系统。固化在ROM或EPROM中的数据，只有施加以特殊的电压或使用紫外线才有可能被清除，这就是为什么我们打开有些计算机机箱时，可能会看到有块芯片上贴着一小块银色或黑色纸块的原因——防止紫外线清除BIOS数据。要清除存储在这类只读存储器中的数据，仅靠计算系统内部的电压是不够的。所以，仅使用这种只读存储器存储BIOS数据的用户，就没有必要担心CIH病毒会破坏BIOS。但最新出产的计算机，特别是Pentium以上的计算机基本上都使用了E2PROM存储部分BIOS。E2PROM又名“电可改写只读存储器”。一般情况下，这种存储器中的数据并不会被用户轻易改写，但只要施加特殊的逻辑和电压，就有可能将E2PROM中的数据改写掉。使用PC机的CPU逻辑和计算机内部电压就可轻易实现对E2PROM的改写，这正是我们通过软件升级BIOS的原理，也是CIH破坏BIOS的基本方法。改写E2PROM内的数据需要一定的逻辑条件，不同PC机系统对这种条件的要求可能并不相同，所以CIH并不会破坏所有使用E2PROM存储BIOS的主板，目前报道的只有技嘉和微星等几种5V主板，这并不是说这些主板的质量不好，只不过其E2PROM逻辑正好与CIH吻合，或者CIH的编制者也许就是要有目的地破坏某些品牌的主板。所以，要判断CIH对您的主板究竟有没有危害，首先应该判别您的BIOS是仅仅烧在ROM/EPROM之中，还是有一部分使用了E2PROM。需要注意的是，虽然CIH并不会破坏所有BIOS，但CIH在“黑色”的26日摧毁硬盘上所有数据远比破坏BIOS要严重得多——这是每个感染CIH病毒的用户不可避免的。

CIH病毒的版本

CIH病毒属文件型病毒，杀伤力极强，其别名有Win95.CIH、Spacefiller、Win32.CIH、PE_CIH，它主要感染Windows95/98下的可执行文件(PE格式，Portable Executable Format)，目前的版本不感染DOS以及WIN 3.X(NE格式，Windows and OS/2 Windows 3.1 execution File Format)下的可执行文件，并且在Win NT中无效。其发展过程经历了v1.0，v1.1、v1.2、v1.3、v1.4总共5个版本，目前最流行的是v1.2版本，在此期间，据某些报导，同时产生了不下十个的变种，不过好像没有流行起来的迹象，本人并未实际接触到这些所谓的CIH变种病毒。

CIH病毒的各种不同版本的随时间的发展不断完善，其基本发展历程为：

CIH病毒v1.0版本

最初的V1.0版本仅仅只有656字节，其雏形显得比较简单，与普通类型的病毒在结构上并无多大的改善，其最大的“卖点”是在于其是当时为数不多的、可感染Microsoft Windows PE类可执行文件的病毒之一，被其感染的程序文件长度增加，此版本的CIH不具有破坏性。

CIH病毒v1.1版本

当其发展到v1.1版本时，病毒长度为796字节，此版本的CIH病毒具有可判断WinNT软件的功能，一旦判断用户运行的是WinNT，则不发生作用，进行自我隐藏，以避免产生错误提示信息，同时使用了更加优化的代码，以缩减其长度。此版本的CIH另外一个优秀点在于其可以利用WIN PE类可执行文件中的“空隙”，将自身根据需要分裂成几个部分后，分别插入到PE类可执行文件中，这样做的优点是在感染大部分WINPE类文件时，不会导致文件长度增加。

CIH病毒v1.2版本

当其发展到v1.2版本时，除了改正了一些v1.1版本的缺陷之外，同时增加了破坏用户硬盘以及用户主机 BIOS程序的代码，这一改进，使其步入恶性病毒的行列，此版本的CIH病毒体长度为1003字节。

CIH病毒v1.3版本

原先v1.2版本的CIH病毒最大的缺陷在于当其感染ZIP自解压包文件(ZIP self-extractors file)时，将导致此ZIP

压缩包在自解压时出现：

WinZip Self-Extractor header corrupt.

Possible cause: disk or file transfer error.

的错误警告信息。v1.3版本的CIH病毒显得比较仓促，其改进点便是针对以上缺陷的，它的改进方法是：一旦判断开启的文件是WinZip类的自解压程序，则不进行感染。同时，此版本的CIH病毒修改了发作时间。v1.3 版本的CIH病毒长度为1010字节。

CIH病毒v1.4版本

此版本的CIH病毒改进上上几个版本中的缺陷，不感染ZIP 自解压包文件，同时修改了发作日期及病毒中的版权信息(版本信息被更改为：“CIH v1.4 TATUNG”，在以前版本中的相关信息为“CIH v1.x TTIT”)，此版本的长度为1019字节。从上面的说明中，我们可以看出，实际上，在CIH的相关版本中，只有v1.2、v1.3、v1.4这3 个版本的病毒具有实际的破坏性，其中v1.2版本的CIH病毒发作日期为每年的4月26日，这也就是2002年最流行的病毒版本，v1.3 版本的发作日期为每年的6月26日，而CIH v1.4版本的发作日期则被修改为每月的26日，这一改变大大缩短了发作期限，增加了其的破坏性。

CIH病毒发作特征

CIH属恶性病毒，当其发作条件成熟时，其将破坏硬盘数据，同时有可能破坏BIOS程序，其发作特征是：

1、以2048个扇区为单位，从硬盘主引导区开始依次往硬盘中写入垃圾数据，直到硬盘数据被全部破坏为止。最坏的情况下硬盘所有数据(含全部逻辑盘数据)均被破坏，如果重要信息没有备份，那就只有哭了！

2、某些主板上的Flash Rom中的BIOS信息将被清除。

3、v1.4版本每月26号发作，v1.3版本每年6月26号发作，以下版本4月26号发作。

大事记

（1998-2004年）

1998年6月2日：台湾传出首例CIH病毒报告

1998年6月6日：发现CIH V1.2版本

1998年6月12日：发现CIH V1.3版本

1998年6月26日：CIH V1.3版本造成一定程度的破坏

1998年6月30日：发现CIH V1.4版本

1998年7月：在INTERNET 环境中发现一个基于WIN98系统的分布感染实例

1998年7月26日：CIH病毒开始在美国大面积传播

1998年8月：在Wing Commander 游戏站点发现DEMO被感染

1998年8月：两家欧洲的PC游戏杂志光盘被发现感染CIH

1998年8月26日：CIH 1.4 版本爆发, 首次在全球蔓延

1998年8月31日：公安部发出紧急通知，新华社、中央台新闻联播全文播发

1998年9月：Yamaha为某个类型的CD-R驱动编写的软件被感染CIH

1998年10月：一个在全球发行的游戏SiN的DEMO版被发现感染CIH

1999年3月：CIH 1.2 版本被发现在IBM 的Aptiva 机器中预装

1999年4月26：CIH 1.2 版本首次大范围爆发全球超过六千万台电脑被不同程度破坏

2000年4月26：CIH 1.2 版本第二次大范围爆发，全球损失超过十亿美元

2001年4月26：CIH 第三次大范围爆发。仅北京就有超过六千台电脑遭CIH破坏

2002年4月26日：CIH病毒再次爆发，数千台电脑遭破坏

2003年4月26日：仍然有100多个CIH病毒的受害者

感染CIH病毒的特征

由于流行的CIH病毒版本中，其标识版本号的信息使用的是明文，所以可以通过搜索可执行文件中的字符串来识别是否感染了CIH病毒，搜索的特征串为“CIH v”或者是“CIH v1.”如果你想搜索更完全的特征字符串，可尝试“CIH v1.2 TTIT”、“CIH v1.3 TTIT”以及“CIH v1.4 TATUNG”，不要直接搜索“CIH”特征串，因为此特征串在很多的正常程序中也存在，例如程序中存在如下代码行： inc bx dec cx dec ax 则它们的特征码正好是“CIH(0x43;0x49;0x48)”，容易产生误判。

具体的搜索方法为：首先开启“资源管理器”，选择其中的菜单功能“工具>查找>文件或文件夹”，在弹出的“查找文件”设置窗口的“名称和位置”输入中输入查找路径及文件名(如：*.EXE)，然后在“高级>包含文字”栏中输入要查找的特征字符串--“CIH v”，最后点劝查找键”即可开始查找工作。如果在查找过程中，显示出一大堆符合查找特征的可执行文件，则表明您老的计算机上已经感染了CIH病毒。

实际上，在以上的方法中存在着一个致命的缺点，那就是：如果用户刚刚感染CIH病毒，那么这样一个大面积的搜索过程实际上也是在扩大病毒的感染面。

一般情况下，推荐的方法是先运行一下“写字板”软件，然后使用上面的方法在“写字板”软件的可执行程序Notepad.exe中搜索特征串，以判断是否感染了CIH病毒。另外一个判断方法是在Windows PE文件中搜索IMAGE_NT_SIGNATURE字段，也就是0x00004550，其代表的识别字符为“PE00”，然后查看其前一个字节是否为0x00，如果是，则表示程序未受感染，如果为其他数值，则表示很可能已经感染了CIH病毒。

最后一个判断方法是先搜索IMAGE_NT_SIGNATURE字段--“PE00”，接着搜索其偏移0x28位置处的值是否为55 8D 44 24 F8 33 DB 64，如果是，则表示此程序已被感染。

还听说凡是感染了CIH病毒的机器，如果玩NEED FOR SPEED II(极品飞车2)游戏时，会在读取游戏光盘时出现死机现象，本人没有尝试过，不知道实际上是不是有这一情况存在。

适合高级用户使用的一个方法是直接搜索特征代码，并将其修改掉，方法是：先处理掉两个转跳点，即搜索：5E CC 56 8B F0 特征串以及5E CC FB 33 DB特征串，将这两个特征串中的CC改90(nop)，接着搜索 CD 20 53 00 01 00 83 C4 20 与 CD 20 67 00 40 00特征字串，将其全部修改为90，即可（以上数值全部为16进制）。

另外一种方法是将原先的PE程序的正确入口点找回来，填入当前入口点即可（此处以一个被感染的CALC.EXE程序为例），具体方法为：先搜IMAGE_NT_SIGNATURE字段--“PE00”，接着将距此点偏移0x28处的4个字节值，例如“A0 02 00 00”(0x000002A0)，再由此偏移所指的位置（即0x02A0）找到数据“55 8D 44 24 F8 33 DB 64”，并由0X02A0加上0X005E得到0x02FE偏移，此偏移处的数据例如为“CB 21 40 00”（OXOO4021CB），将此值减去OX40000，将得数--“CB 21 00 00”（OXOO0021CB）值放回到距“PE00”点偏移0x28的位置即可（此处为Windows PE格式程序的入口点，术语称为Program Entry Point）。最后将“55 8D 44 24 F8 33 DB 64”全部填成“00”，使得我们容易判断病毒是否已经被杀除过。按照上面手工杀毒的方法一般适合于某些单独的软件（例如某些软件包含在软盘中，却被感染了CIH不读，可现在就要用，呵呵！）。使用上述方法的缺点在于病毒体还将保留在可执行文件中，虽然不会起作用，但是想起来可能会有点不舒服（记得“WPS2000测试版残留CIH病毒尸体”的事件么？）。所以，想彻底杀灭，推荐使用某些反病毒软件进行或是CIH专用杀毒工具（以上操作以及使用反病毒软件进行杀毒，必须使用干净的系统盘启动计算机）。

检测方法

1、一般来讲，CIH病毒只感染EXE可执行文件，我们可以用Ultra EditText Editor 软件打开记事本或写字板，或者其他常用EXE文件，然后按下“切换16进制模式按钮（H）”，再查找“CI?Hv1．”，如果发现“CIH v1．2”，“CIH v1．3”或“CIH v1．4”的字符串，则说明已经被感染上CIH病毒了。

2、感染到CIH v1．2版，则所有WinZip自解压文件均无法自动解开，同时会出现WinZip自解压首部中断。可能原因：磁盘或文件传输错误。这个信息。感染到CI?Hv1．3版则部分WinZip自解压文件无法自动解开。有的还会造成MAGICZIP不能安装，如果遇到以上情况，有可能就是感染上CIH病毒了。

3、CIH病毒会造成Win 95的死机。原因是病毒代码要写到文件的头部。有时候被病毒传染的文件不能被Win 95识别，认为是非法程序会造成Win 95的死机。当出现频繁死机的情况时，有可能就会是有CIH病毒存在了。

来源

CIH病毒是一位名叫陈盈豪的台湾大学生所编写的，从台湾传入大陆地区的。CIH的载体是一个名为“ICQ中文Chat模块”的工具，并以热门盗版光盘游戏如“古墓奇兵”或Windows95/98为媒介，经互联网各网站互相转载，使其迅速传播。目前传播的主要途径主要通过Internet和电子邮件，当然随着时间的推移，其传播主要仍将通过软盘或光盘途径。

破坏性

CIH病毒是一种能够破坏计算机系统硬件的恶性病毒。据目前掌握的材料来看，这个病毒产自台湾，最早随国际两大盗版集团贩卖的盗版光盘在欧美等地广泛传播，随后进一步通过Internet传播到全世界各个角落。目前传播的途径主要通过Internet和电子邮件。计算机病毒的传播已摆脱了传统存储介质的束缚，Internet和光盘现已成为加速计算机病毒传播最有效的催化剂。CIH病毒只感染Windows95/98操作系统，从目前分析来看它对DOS操作系统似乎还没有什么影响，这可能是因为它使用了Windows下的VxD（虚拟设备驱动程序）技术造成的。所以，对于仅使用DOS的用户来说，这种病毒似乎并没有什么影响，但如果是Windows95/98用户就要特别注意了。正是因为CIH独特地使用了VxD技术，使得这种病毒在Windows环境下传播，其实时性和隐蔽性都特别强，使用一般反病毒软件很难发现这种病毒在系统中的传播。 CIH病毒每月26日都会爆发（有一种版本是每年4月26日爆发）。CIH病毒发作时，一方面全面破坏计算机系统硬盘上的数据，另一方面对某些计算机主板的BIOS进行改写。BIOS被改写后，系统无法启动，只有将计算机送回厂家修理，更换BIOS芯片。由于CIH病毒对数据和硬件的破坏作用都是不可逆的，所以一旦CIH病毒爆发，用户只能眼睁睁地看着价值万元的计算机和积累多年的重要数据毁于一旦。CIH病毒现已被认定是首例能够破坏计算机系统硬件的病毒，同时也是最具杀伤力的恶性病毒。从技术角度来看，CIH病毒实现了与操作系统的完美结合。该病毒使用了Windows95/98最核心的VxD技术编制，被认为是牢固地连接到了操作系统底层，所以CIH病毒既不会向DOS操作系统传播，也不会向WindowsNT操作系统扩散。CIH病毒的这一技术特点给使用传统反病毒技术防治计算机病毒的人提出了巨大的挑战，这是因为传统反病毒工具基本上都是纯DOS或工作在Windows95之下的仿真DOS应用程序，它们无法深入到Windows95/98操作系统的底层去彻底清除CIH病毒；另一方面，由于能够与操作系统底层紧密结合，CIH病毒的传播就更为迅速、隐蔽。防治类似CIH这种能够与操作系统紧密结合的病毒最好的方法是使用本身能够与各种操作系统紧密结合的反病毒软件。 CIH 病毒是一种运用最新技术，会 Format 硬碟的最新病毒，通常都利用网路族上网时，进行传播感染。目前最新的变种病毒为CIH 会在每月26 日发病，并会展现最强大的破坏力-Format 硬碟. CIH病毒平常并没有作什么破坏性的动作，也没有显示任何画面，只是占用部份记忆体而已。但是有些 32-bit的程式被感染之后，运作会不正常，甚至会造成当机。但是，CIH病毒长驻在主记忆体之后，每次执行时，会检查电的日期是否为﹝4月26日﹞，如果是，它会透果你的电脑I/O部：CF8，CFD，CFE修改你的电脑的某些设定，并且把你电脑所有硬盘的资料都毁了，甚至连硬盘数据区及引导区的资料都不在了，并且让电脑当机。当你重新开机，屏幕会出现"DISK BOOT FAILURE, INSERT SYSTEM DISK AND PRESS ENTER"(硬盘引导失败，请插入系统盘后敲击回车)。若是用软盘引导开机再执行C:指令，则出现"Invalid drive specification"(不可用的驱动器编号)。即使曾经有备份引导区资料，但是磁盘中的资料已全毁，可不可以开机已经没有意义了。

检测与预防

系统中感染了CIH病毒时，由于病毒时刻在监视系统中的文件使用情况，造成系统效率降低，而且有些自解压文件在病毒感染后被破坏，清除病毒后也不能使用，尤其是病毒发作时造成的破坏，后果更为严重。目前，防止CIH病毒的传染和破坏主要有两种方法：一是实时监测，不让病毒进入系统，如KILL98就采用了这种方法，其优点是比较安全，但影响系统的速度，有可能误报，而且对使用染有病毒的文件不方便。二是定期对系统进行病毒检查，清除文件中的病毒，这种方法比较简单，系统效率影响不大，但安全性不高。

实际上，CIH病毒第一次进入机器内存时，系统中感染病毒的文件是很少的，只是由于未能及时发现，才使病毒得以传播和蔓延。许多杀毒软件在检查文件中的病毒特征时，由于病毒代码先于杀毒软件获得文件的操作权，从而将病毒代码写进文件中，这就造成了系统中几乎所有的32位可执行文件都感染了CIH病毒的现象。

文件中的CIH病毒的检测比较简单，只要从32位可执行文件的PE文件头的偏移28H处获得程序的入口地址，对入口程序段进行扫描即可。

根据CIH病毒在感染文件前对病毒特征的判别，我们可以人为地在PE格式的EXE文件头的前一个字节的位置处写上55H或一个非零值，以骗过病毒对文件是否染毒的判别。而大多数杀毒软件在杀毒后，保留了文件头中的病毒特征，相当于对这些文件进行了免疫。

由于病毒主要来源于因特网和光盘，光盘文件上的病毒无法清除，始终是系统的隐患，而使用第一种方法则有可能使用户从网上下载文件失败，造成不必要的损失。根据对病毒代码的分析，我们介绍一种方法，它既不影响系统效率，也能使用户放心地使用网上下载的文件和光盘上的文件。

本文提供的方法主要有下列两个步骤：

1、检测内存中的病毒。如果在内存中发现病毒，则清除之，释放其占用的内存，并提示用户对文件进行检测。

2、对CIH病毒进行免疫。设置两重防线，使CIH病毒代码不能再进入内存，从根本上杜绝CIH病毒的传播和破坏。

具体过程是：

通过调用VXD函数IFSMgr_InstallFileSystemApiHook，获得系统当前的文件系统钩子函数的地址和函数IFSMgr_InstallFileSystemApiHook的入口地址，根据获得的地址，扫描相应的内存区，判断内存中是否有CIH病毒。

如果发现内存中有CIH病毒，调用VXD函数IFSMgr_RemoveFileSystemApiHook 先撤消其设置的文件系统钩子函数，然后利用函数_PageFree将其占用的内存释放。

由于病毒代码在调试寄存器dr0中保存了一个指向系统中原有的文件系统挂钩函数的地址的指针，病毒代码通过该指针转到系统原来的文件钩子函数中，病毒在驻留内存之前，先要检查该寄存器的值是否为零，以判断病毒代码是否已在内存中。因此，我们可以将该寄存器的值设置为非零值，让病毒以为内存中已有病毒代码存在，从而不驻留内存，这是第一道防线。

考虑到寄存器dr0的值可能被其它程序修改，让病毒代码获得进入内存的机会，我们再设置第二道防线。在内存高端申请一页内存空间，驻留一段代码在这一内存空间中，修改系统中IFSMgr_InstallFileSystemA piHook函数的入口地址，使其指向我们自己设置的代码，该代码负责监视文件系统钩子函数的安装过程，如果是病毒代码要进入内存，则拒绝让其进入，并释放其申请的内存。

有了这两道防线，就能较好地防止CIH病毒进入内存，即便是运行染有病毒的程序，也不会对系统造成不利的影响。

解决方法

首先用户应该确定自己计算机主板的BIOS是那种类型的，如果是不可升级型的，用户只需对改回去的CMOS的参数进行重新设置即可。如果用户的计算机BIOS是可升级型的。如果出现 CIH病毒发作的症状，不要重新启动计算机从C盘引导系统，而应该及时进入CMOS设置程序，将系统引导盘设置为a盘然后A 盘引导系统，之后用杀毒软件对系统软件造成破坏后该怎样办呢？首先使用杀毒软件对硬盘进行彻底杀毒，之后再对系统软件和应用软件进行重新安装。可以在被 CIH病毒破坏的基础上直接安装，这种方法较简单，但会造成硬盘空间的浪费，因为这将带来一些垃圾文件；另一种方法是将用户的重要数据进行备分，之后对硬盘进行格式化，重新安装系统程序和应用程序，这样能节省硬盘空间。

硬盘修复办法

瑞星修复

首先使用瑞星杀毒盘启动机器，然后运行瑞星杀毒软件DOS版，选择菜单中的项，本程序将自动分析硬盘是否需要修复。

1）如果出现“The hard disk is ok, needn't recover! Enter = return to main menu”信息，则表示硬盘系统是好的，不需要修复。

2）如果出现红色提示框，报告用户硬盘的分区信息和文件分配表（FAT）的类型，用户首先应该确认该提示信息

是否正确。然后，再根据以下提示信息选择是否进行恢复。

“Recovery Partition Table?(Y/N)”

若选择“Y”，则瑞星杀毒软件将自动恢复硬盘的分区信息。

如果选择“N”，则瑞星杀毒软件将返回主菜单。

恢复硬盘分区结束后，瑞星杀毒软件将提示：“Recovery Drive C：(Y/N)”询问用户是否继续恢复C盘的文件。

如果选择“Y”，则瑞星杀毒软件将自动恢复C盘中的文件。

如果选择“N”，则瑞星杀毒软件将返回主菜单。

在恢复硬盘分区后，可以重新启动机器，此时可以看到完全恢复的D、E等扩展逻辑分区；在恢复硬盘分区后，再进一步恢复C盘的文件后，重新启动机器，则不仅可以找到扩展的逻辑分区，而且可以看到C盘上恢复的文件目录，这些目录名为“RISING.XXX”(XXX为0-999的数字编号)。这时扩展分区已恢复正常，将C盘中各个目录中的重要文件进行备份。 3）如果出现“The hard disk can't be recovered, Enter= return to main menu”信息，则表示逻辑盘数据

使用此功能无法恢复。当本功能无法恢复硬盘数据时，可以与瑞星公司联系或由其他专业数据恢复人员进行分析，使用其他方法进行恢复，以确保重要数据不丢失。

江民修复

当用户的硬盘数据一旦被CIH病毒破坏后，使用KV3000的F10功能，可修复的程度如下：

1．C盘容量为2.1G以上，原FAT表是32位的，C分区的修复率为98%，D，E，F等分区的修复率为99%，配合手工C，D，E，F等分区的修复率为100%。

2．硬盘容量为2.1G以下，原FAT表是16位的，C分区的修复率为0%，D，E，F等分区的修复率为99%，配合手工C，D，E，F等分区的修复率为100%。因为原C盘是16位的短FAT表，所以C盘的FAT表和根目录下的文件目录都被CIH病毒乱码覆盖了。KV3000可以把C盘找回来，虽然根目录的文件名字已被病毒乱码覆盖看不见了，但文件的内容影像还存储在C盘内的某写扇区上。推荐用KV3000找回C盘，再用文件修复软件TIRAMISU.EXE可将C盘内的部分文件影象找回来（需要了解这个软件的朋友可以访问Ontrack公司的主页是不是在这个网站上找不到有关TIRAMISU的内容？呵呵，其实现在TIRAMISU已经被整合到Ontrack公司的旗舰产品—EasyRecovery中。相关的详细介绍可以参照下文中的“分区表破坏”），如果原存放文件影象的簇是相连的，找回的文件就完整无损。

但对于FAT16的C盘是不是中了CIH就没救呢？您还是可以尝试一下FIXMBR，FIXMBR是一个DOS应用程序，完全遵守DOS的程序的操作规范。如果执行FIXMBR/？即可得到FIXMBR的帮助信息。如下： Usage : FIXMBR [DriveNo] [/A] [/D] [/P] [/Z] [/H] DriveNo Hard disk scope 0-3 , default is all drive （指硬盘号，0表示第一个硬盘） /A Active DOS partition（激活基本DOS分区） /P Display partition（显示DOS分区的结构） /D Display MBR（显示主引导记录内容） /Z Zero MBR（将主引导记录填零）缺省的情况下将检查MBR结构，如果不正常将提示是否修复。回答“Y”后将搜索分区。如果搜索到分区后将提示是否修改MBR，回答“Y”后就将修复完成。如果这时出现死机现象，请将BIOS中的防病毒功能禁止后再做。缺省的状态下将搜索所有已经存在的硬盘，并完成以上操作。如果完成的结果不对，可以用/Z参数将结果清空后重新启动，就可以恢复到原来的状态。但它不支持WinNT和Linux的分区，对FAT32分区表支持也有限。它可以通过全盘搜索决定硬盘分区，并重新构造主引导扇区。由于软件只修改主引导扇区记录，对其他扇区不进行写操作，故一般不会带来不安全目录（如果修复得不理想，请DiskEdit等工具进行手工修复）。注意：FIXMBR是一个比较老的程序。

由于病毒破坏硬盘的方式实在太多，而且大部分破坏都无法用一般软件轻易修复（如果您喜欢使用DiskEdit等磁盘扇区编辑工具，对某些情况还有一线希望），所以我们最好的办法就是安一个好的杀毒软件。下面我们来看看病毒在哪方面的破坏不能恢复呢？分区表破坏，可能是数据损坏中除了物理损坏最严重的一种灾难性破坏。其原因主要有以下几种：

1．个人无操作删除分区，只要没有进行其他的操作完全可以恢复。

2．安装多系统引导软件或采用第三方分区工具，有恢复的可能。

3．病毒破坏可以部分或者全部恢复。

4．利用Ghost克隆分区/硬盘破坏，只可以部分恢复或者不能恢复（用Ghost的朋友要小心了）。

据国外的一个主业数据恢复公司调查，数据损坏以后很大程度上是可以恢复的。之所以有很多不能恢复的实例存在，90%以上是由于用户在后来的恢复过程中有无操作，从而造成了更大的破坏。所以希望朋友们牢记以下2点：

1．在硬盘数据出现后，请立即关机，不要再对硬盘进行任何写操作，那样会增大修复的难度，也影响到修复的成功率。

2．每一步操作都应该是可逆的（就像Norton Disk Doctor中的Undo功能）或者对故障硬盘是只读的（大名鼎鼎的EasyRecovery和Lost&Found都是这种工作原理）。

如果在遇到以上情况，可以用以上这个软件，这个软件包含在Norton Utility系列工具中，功能十分强大，可以恢复分区记录，FAT表，需要注意的是它对硬盘的操作不是只读的，因此需要每一步都做好Undo文件，这样即使误操作也可以恢复，Norton Disk Doctor配合DiskEdit在分区表不能恢复时也可以恢复部分文件，可惜Norton Disk Doctor不支持NTFS分区，这不能不说好是它的一大遗憾之处。

关于作者

1999年4月30日上午，在军方人员的护送下，正在台湾军中服役的CIH电脑病毒作者陈盈豪被带到了台北“刑事局”接受警方的侦讯。

让办案的警方人员大感意外的是，搞出震惊全球的电脑病毒的陈盈豪在记者们的闪光灯包围中差一点当场瘫倒在地。当陈盈豪踏入台北“刑事局”的大门后，面对早早就等在那里的数十名记者的闪光灯一时间情绪失控，只见他浑身发抖，面无血色，两腿发软，几乎无法自己走路！

颇有经验的办案人员没有采取单刀直入的惯用方式对陈盈豪进行问讯，而是先跟他谈他在大学里过去的女朋友、他的家人、大学生活以及与电脑有关的知识，这才让陈盈豪的情绪逐渐恢复了平静。

为了进一步调解陈盈豪的情绪，办案人员打开了侦讯室的电脑让他上网。非常巧的是，他一上网就发现他的母校—台湾大同工学院的一位学妹非常崇拜这位制造了震惊全球“电脑大屠杀”的老大哥，并且希望有机会约他吃饭。陈盈豪看了这封电子邮件后顿时精神焕发，脸上露出了笑容，很快就恢复了常态。这时的陈盈豪已经不害怕警方对他拍照，表示愿意配合警方的调查，跟几分钟前简直判若两人。

心情恢复平静的陈盈豪开始向警方侃侃而谈他制造病毒的“辉煌战果”。陈盈豪说，他从大学一年级开始就痴迷上了电脑，每天都要上网，下载最热门的软件、游戏，因此也经常遭遇电脑病毒。为了解决电脑屡屡“中毒”的烦恼，他看报纸，买了不少广告做得天花乱坠的防病毒软件，结果往往什么用也没有，于是觉得自己被欺骗了。而CIH 病毒完全是他一人设计的，目的是想出一家公司在广告上吹嘘“百分之百”防毒软件的洋相。他一共设计了五个版本CIH病毒，其中V1．0、V1．1两个版本没有流出去，而这次危害世界各国的病毒是V1．2版。病毒发作的时间之所以定在4月26日，因为那是他的高中座号，也是他的绰号。

“电脑天才”：谈恋爱搞社交样样不行，玩电脑编程序绝不服输

如果说陈盈豪在台湾警察们的眼里只是“电脑鬼才”的话，那么他的母亲、同学、老师和左邻右舍倒觉得他是一个地道的“电脑天才”。

陈盈豪的母亲十分担心自己的儿子会被法院判重刑，再三强调她的儿子不是故意的，不然的话就不会把自己的姓名缩写当成病毒的名称。陈盈豪的母亲说，她的儿子是在上中学的时候就喜欢玩电脑的，经常到家境比较宽裕的同学家中或者学校玩电脑，上高中后专心研究电脑软件程序，有时候还会编一些游戏软件跟同学们一起玩。“一口流利的台语，夏天常是一件T恤、短裤，穿着凉鞋，一副没有睡醒的样子就来上课。”这是陈盈豪在大学同学眼中最典型的形象。除了这身打扮有些“老土”不起眼外，陈盈豪只要一开口就是电脑，买的全是电脑方面的书。当别人自以为是电脑通的时候，他总会找机会在那人面前露一手，让对手羞得无地自容。

陈盈豪有台湾南部人典型的好脾气，在大同工学院学习时尽管不善交际，但人缘却不差，并且有不少好朋友。他的同学们一致认为，陈盈豪在上大学前就有相当的电脑基础，进了大学后，他的电脑知识更是突飞猛进。陈盈豪对电脑课非常感兴趣，大学一年级的“程序设计”的成绩非常拔尖，就连平时的谈话也多半在电脑里打转。同学们谈女生，谈电影新片时，陈盈豪就显得非常地无趣，偶然插一两句话也让同学们有一种“话接不下去”的感觉。

在老师们的眼里，陈盈豪在学校的表现并不十分突出，只是在电脑软件方面有更深的兴趣，也有小聪明，但人很老实。要不是这次捅了个天大漏子的话，他肯定算不上“校园风云人物”。大同工学院多年来的表现也十分平常名气不大不小。有的老师认为，经过这么一折腾，大同工学院的“知名度”顿时大增，这让学校觉得啼笑皆非。

在陈盈豪一家居住的高雄市三民区，左邻右舍不但对身边竟然出了个如此一号人物表示吃惊，似乎对陈盈豪和他的家人没有什么了解。邻居们说，只知道陈盈豪大概去年从大学毕业，在家待了一阵子，很少看到他。陈盈豪和妈妈还有两个妹妹住在一起，很少看见他的父亲，平常他们家和邻居也很少打招呼，更不知道他会玩电脑，而且还制造出让人惊慌的电脑病毒，而这一切现在已成为邻居们最新的话题。

“电脑疯子”：家有精神病史，“军情局”吓得退避三舍

陈盈豪在接受“刑事局”的侦讯后由于情绪还不稳定，因此当天被马上送回花莲营区，由军方把他送到花莲总医院住院观察。经过医生的初步诊断，陈盈豪有烦躁不安、忧郁的倾向。医生表示，陈盈豪主动说他觉得自己的情绪不稳定，而根据院方的资料显示，陈盈豪三月份还曾经看过精神科医生。此外，陈盈豪的家族竟然有精神病病史。

此外，台湾媒体还曝光一个惊人的秘密：陈盈豪在部队服役的时候曾经向军方自夸说，他可以设计出一种导致军用电脑瘫痪的程序。台湾“军情局”对此万分感兴趣，准备把他收归麾下，充当电子战的专家。然而，在他们调查了陈盈豪的家史后，他们发现陈的精神状态不稳定，并且有家族精神病史。因此，台“军情局”不但没有将他收编，还要求他立即退役！

其后陈盈豪在花莲总医院精神科接受就诊观察。花莲总医院精神科主治医师陆承贤表示，陈盈豪曾有两次精神科门诊记录，但在诊断过程中并无明显的躁郁症症状，只是出现焦虑不安的情形，而此可能与陈盈豪在部队生活适应不良有关。

新CIH病毒

与传统的CIH病毒不同，新CIH病毒（WIN32.Yami）可以在Windows 2000/XP下运行，因此新CIH病毒的破坏范围比传统CIH病毒大得多。2003年5月17日，瑞星全球反病毒监测网络率先截获该恶性病毒，由于该病毒的破坏能力与当年臭名昭著的CIH病毒几乎完全一样，因此瑞星将该病毒命名为新CIH病毒。

新CIH病毒会驻留在系统内核，它首先判断打开的文件是否为Windows 可执行文件（PE文件），如果不是则不进行感染操作，如果是则将病毒插入到PE文件各节的空隙中（与传统的CIH一样），因此感染后文件的长度不会增加。由于病毒自身的原因，感染时有些文件会被破坏，导致不能正常运行。新CIH病毒发作时企图用“YM Kill You”字符串信息覆盖系统硬盘，这样会导致数据恢复相当困难。它同时通过向主板BIOS中写入垃圾数据来对硬件系统进行永久性破坏。

新CIH病毒行为分析：

1、病毒搜索kernel32的起始偏移地址

2、取得病毒所用的API地址

3、进入Ring0

4、通过直接IO的方式写BIOS和硬盘

值得庆幸的是，这个新CIH病毒发作条件较为特殊，不会定期发作，而且只会通过感染文件来传播，因此不太可能在短期内造成巨大的破坏。各反病毒软件公司以最快的速度研发出查杀此病毒的专杀工具，因此该病毒的大面积破坏在很大程度上被控制住了。

词条	CIH病毒
释义	CIH病毒是一种能够破坏计算机系统硬件的恶性病毒。据目前掌握的材料来看，这个病毒产自台湾，最早随国际两大盗版集团贩卖的盗版光盘在欧美等地广泛传播，随后进一步通过Internet传播到全世界各个角落。历史 CIH病毒的破坏 CIH病毒的版本(CIH病毒v1.0版本 CIH病毒v1.1版本 CIH病毒v1.2版本 CIH病毒v1.3版本 CIH病毒v1.4版本) CIH病毒发作特征大事记感染CIH病毒的特征检测方法来源破坏性检测与预防解决方法硬盘修复办法(瑞星修复江民修复) 关于作者新CIH病毒历史 1998年9月，雅马哈公司为感染了该病毒的CD-R400驱动提供一个固件更新。1998年10月，用户传播的Activision公司游戏SiN的一个演示版因为在某一用户的机器上接触被感染文件而受到感染。这个公司的传染源来自IBM1999年3月间发售的已感染CIH病毒的一组Aptiva品牌个人电脑。1999年4月26日，公众开始关注CIH首次发作时，这些电脑已经运出一个月了。这是一宗大灾难，全球不计其数的电脑硬盘被垃圾数据覆盖，甚至破坏BIOS，无法启动。至2000年4月26日，亚洲报称发生多宗损坏，但病毒没有传播开来。2001年3月发现Anjulie蠕虫病毒，它将CIH v1.2植入感染的系统。这个病毒的死灰复燃是在2001年。一个用珍妮佛洛佩兹的裸照伪装的VBScript文档里的爱虫病毒的一个变种包含CIH病毒的挂钩例程，从而使该病毒在互联网上传播开来。一个修改版本是CIH.1106，发现于2002年12月，但是没有严重的破坏性。只有CIH感染大量发信的电脑蠕虫（如求职信病毒）所使用的程序，或有Anjulie蠕虫病毒参与时，CIH才会被看成是一个威胁。但是CIH病毒只在windows 95，98和windows Me系统上发作，影响有限。现在由于人们对它的威胁有了认知，且它只能运行于旧的Windows 9X操作系统，CIH不再像他刚出现时分布那么广泛传播。 CIH病毒的破坏当然，CIH对BIOS的破坏，也并非想像中的那么可怕。现在PC机基本上使用两种只读存储器存放BIOS数据，一种是使用传统的ROM或EPROM，另一种就是E2PROM。厂家事先将BIOS以特殊手段“烧”入（又称“固化”）到这些存储器中，然后将它们安装在PC机里。当我们打开计算机电源时，BIOS中程序和数据首先被执行、加载，使得我们的系统能够正确识别机器里安装的各种硬件并调用相应的驱动程序，然后硬盘再开始引导操作系统。固化在ROM或EPROM中的数据，只有施加以特殊的电压或使用紫外线才有可能被清除，这就是为什么我们打开有些计算机机箱时，可能会看到有块芯片上贴着一小块银色或黑色纸块的原因——防止紫外线清除BIOS数据。要清除存储在这类只读存储器中的数据，仅靠计算系统内部的电压是不够的。所以，仅使用这种只读存储器存储BIOS数据的用户，就没有必要担心CIH病毒会破坏BIOS。但最新出产的计算机，特别是Pentium以上的计算机基本上都使用了E2PROM存储部分BIOS。E2PROM又名“电可改写只读存储器”。一般情况下，这种存储器中的数据并不会被用户轻易改写，但只要施加特殊的逻辑和电压，就有可能将E2PROM中的数据改写掉。使用PC机的CPU逻辑和计算机内部电压就可轻易实现对E2PROM的改写，这正是我们通过软件升级BIOS的原理，也是CIH破坏BIOS的基本方法。改写E2PROM内的数据需要一定的逻辑条件，不同PC机系统对这种条件的要求可能并不相同，所以CIH并不会破坏所有使用E2PROM存储BIOS的主板，目前报道的只有技嘉和微星等几种5V主板，这并不是说这些主板的质量不好，只不过其E2PROM逻辑正好与CIH吻合，或者CIH的编制者也许就是要有目的地破坏某些品牌的主板。所以，要判断CIH对您的主板究竟有没有危害，首先应该判别您的BIOS是仅仅烧在ROM/EPROM之中，还是有一部分使用了E2PROM。需要注意的是，虽然CIH并不会破坏所有BIOS，但CIH在“黑色”的26日摧毁硬盘上所有数据远比破坏BIOS要严重得多——这是每个感染CIH病毒的用户不可避免的。 CIH病毒的版本 CIH病毒属文件型病毒，杀伤力极强，其别名有Win95.CIH、Spacefiller、Win32.CIH、PE_CIH，它主要感染Windows95/98下的可执行文件(PE格式，Portable Executable Format)，目前的版本不感染DOS以及WIN 3.X(NE格式，Windows and OS/2 Windows 3.1 execution File Format)下的可执行文件，并且在Win NT中无效。其发展过程经历了v1.0，v1.1、v1.2、v1.3、v1.4总共5个版本，目前最流行的是v1.2版本，在此期间，据某些报导，同时产生了不下十个的变种，不过好像没有流行起来的迹象，本人并未实际接触到这些所谓的CIH变种病毒。 CIH病毒的各种不同版本的随时间的发展不断完善，其基本发展历程为： CIH病毒v1.0版本最初的V1.0版本仅仅只有656字节，其雏形显得比较简单，与普通类型的病毒在结构上并无多大的改善，其最大的“卖点”是在于其是当时为数不多的、可感染Microsoft Windows PE类可执行文件的病毒之一，被其感染的程序文件长度增加，此版本的CIH不具有破坏性。 CIH病毒v1.1版本当其发展到v1.1版本时，病毒长度为796字节，此版本的CIH病毒具有可判断WinNT软件的功能，一旦判断用户运行的是WinNT，则不发生作用，进行自我隐藏，以避免产生错误提示信息，同时使用了更加优化的代码，以缩减其长度。此版本的CIH另外一个优秀点在于其可以利用WIN PE类可执行文件中的“空隙”，将自身根据需要分裂成几个部分后，分别插入到PE类可执行文件中，这样做的优点是在感染大部分WINPE类文件时，不会导致文件长度增加。 CIH病毒v1.2版本当其发展到v1.2版本时，除了改正了一些v1.1版本的缺陷之外，同时增加了破坏用户硬盘以及用户主机 BIOS程序的代码，这一改进，使其步入恶性病毒的行列，此版本的CIH病毒体长度为1003字节。 CIH病毒v1.3版本原先v1.2版本的CIH病毒最大的缺陷在于当其感染ZIP自解压包文件(ZIP self-extractors file)时，将导致此ZIP 压缩包在自解压时出现： WinZip Self-Extractor header corrupt. Possible cause: disk or file transfer error. 的错误警告信息。v1.3版本的CIH病毒显得比较仓促，其改进点便是针对以上缺陷的，它的改进方法是：一旦判断开启的文件是WinZip类的自解压程序，则不进行感染。同时，此版本的CIH病毒修改了发作时间。v1.3 版本的CIH病毒长度为1010字节。 CIH病毒v1.4版本此版本的CIH病毒改进上上几个版本中的缺陷，不感染ZIP 自解压包文件，同时修改了发作日期及病毒中的版权信息(版本信息被更改为：“CIH v1.4 TATUNG”，在以前版本中的相关信息为“CIH v1.x TTIT”)，此版本的长度为1019字节。从上面的说明中，我们可以看出，实际上，在CIH的相关版本中，只有v1.2、v1.3、v1.4这3 个版本的病毒具有实际的破坏性，其中v1.2版本的CIH病毒发作日期为每年的4月26日，这也就是2002年最流行的病毒版本，v1.3 版本的发作日期为每年的6月26日，而CIH v1.4版本的发作日期则被修改为每月的26日，这一改变大大缩短了发作期限，增加了其的破坏性。 CIH病毒发作特征 CIH属恶性病毒，当其发作条件成熟时，其将破坏硬盘数据，同时有可能破坏BIOS程序，其发作特征是： 1、以2048个扇区为单位，从硬盘主引导区开始依次往硬盘中写入垃圾数据，直到硬盘数据被全部破坏为止。最坏的情况下硬盘所有数据(含全部逻辑盘数据)均被破坏，如果重要信息没有备份，那就只有哭了！ 2、某些主板上的Flash Rom中的BIOS信息将被清除。 3、v1.4版本每月26号发作，v1.3版本每年6月26号发作，以下版本4月26号发作。大事记（1998-2004年） 1998年6月2日：台湾传出首例CIH病毒报告 1998年6月6日：发现CIH V1.2版本 1998年6月12日：发现CIH V1.3版本 1998年6月26日：CIH V1.3版本造成一定程度的破坏 1998年6月30日：发现CIH V1.4版本 1998年7月：在INTERNET 环境中发现一个基于WIN98系统的分布感染实例 1998年7月26日：CIH病毒开始在美国大面积传播 1998年8月：在Wing Commander 游戏站点发现DEMO被感染 1998年8月：两家欧洲的PC游戏杂志光盘被发现感染CIH 1998年8月26日：CIH 1.4 版本爆发, 首次在全球蔓延 1998年8月31日：公安部发出紧急通知，新华社、中央台新闻联播全文播发 1998年9月：Yamaha为某个类型的CD-R驱动编写的软件被感染CIH 1998年10月：一个在全球发行的游戏SiN的DEMO版被发现感染CIH 1999年3月：CIH 1.2 版本被发现在IBM 的Aptiva 机器中预装 1999年4月26：CIH 1.2 版本首次大范围爆发全球超过六千万台电脑被不同程度破坏 2000年4月26：CIH 1.2 版本第二次大范围爆发，全球损失超过十亿美元 2001年4月26：CIH 第三次大范围爆发。仅北京就有超过六千台电脑遭CIH破坏 2002年4月26日：CIH病毒再次爆发，数千台电脑遭破坏 2003年4月26日：仍然有100多个CIH病毒的受害者感染CIH病毒的特征由于流行的CIH病毒版本中，其标识版本号的信息使用的是明文，所以可以通过搜索可执行文件中的字符串来识别是否感染了CIH病毒，搜索的特征串为“CIH v”或者是“CIH v1.”如果你想搜索更完全的特征字符串，可尝试“CIH v1.2 TTIT”、“CIH v1.3 TTIT”以及“CIH v1.4 TATUNG”，不要直接搜索“CIH”特征串，因为此特征串在很多的正常程序中也存在，例如程序中存在如下代码行： inc bx dec cx dec ax 则它们的特征码正好是“CIH(0x43;0x49;0x48)”，容易产生误判。具体的搜索方法为：首先开启“资源管理器”，选择其中的菜单功能“工具>查找>文件或文件夹”，在弹出的“查找文件”设置窗口的“名称和位置”输入中输入查找路径及文件名(如：.EXE)，然后在“高级>包含文字”栏中输入要查找的特征字符串--“CIH v”，最后点劝查找键”即可开始查找工作。如果在查找过程中，显示出一大堆符合查找特征的可执行文件，则表明您老的计算机上已经感染了CIH病毒。实际上，在以上的方法中存在着一个致命的缺点，那就是：如果用户刚刚感染CIH病毒，那么这样一个大面积的搜索过程实际上也是在扩大病毒的感染面。一般情况下，推荐的方法是先运行一下“写字板”软件，然后使用上面的方法在“写字板”软件的可执行程序Notepad.exe中搜索特征串，以判断是否感染了CIH病毒。另外一个判断方法是在Windows PE文件中搜索IMAGE_NT_SIGNATURE字段，也就是0x00004550，其代表的识别字符为“PE00”，然后查看其前一个字节是否为0x00，如果是，则表示程序未受感染，如果为其他数值，则表示很可能已经感染了CIH病毒。最后一个判断方法是先搜索IMAGE_NT_SIGNATURE字段--“PE00”，接着搜索其偏移0x28位置处的值是否为55 8D 44 24 F8 33 DB 64，如果是，则表示此程序已被感染。还听说凡是感染了CIH病毒的机器，如果玩NEED FOR SPEED II(极品飞车2)游戏时，会在读取游戏光盘时出现死机现象，本人没有尝试过，不知道实际上是不是有这一情况存在。适合高级用户使用的一个方法是直接搜索特征代码，并将其修改掉，方法是：先处理掉两个转跳点，即搜索：5E CC 56 8B F0 特征串以及5E CC FB 33 DB特征串，将这两个特征串中的CC改90(nop)，接着搜索 CD 20 53 00 01 00 83 C4 20 与 CD 20 67 00 40 00特征字串，将其全部修改为90，即可（以上数值全部为16进制）。另外一种方法是将原先的PE程序的正确入口点找回来，填入当前入口点即可（此处以一个被感染的CALC.EXE程序为例），具体方法为：先搜IMAGE_NT_SIGNATURE字段--“PE00”，接着将距此点偏移0x28处的4个字节值，例如“A0 02 00 00”(0x000002A0)，再由此偏移所指的位置（即0x02A0）找到数据“55 8D 44 24 F8 33 DB 64”，并由0X02A0加上0X005E得到0x02FE偏移，此偏移处的数据例如为“CB 21 40 00”（OXOO4021CB），将此值减去OX40000，将得数--“CB 21 00 00”（OXOO0021CB）值放回到距“PE00”点偏移0x28的位置即可（此处为Windows PE格式程序的入口点，术语称为Program Entry Point）。最后将“55 8D 44 24 F8 33 DB 64”全部填成“00”，使得我们容易判断病毒是否已经被杀除过。按照上面手工杀毒的方法一般适合于某些单独的软件（例如某些软件包含在软盘中，却被感染了CIH不读，可现在就要用，呵呵！）。使用上述方法的缺点在于病毒体还将保留在可执行文件中，虽然不会起作用，但是想起来可能会有点不舒服（记得“WPS2000测试版残留CIH病毒尸体”的事件么？）。所以，想彻底杀灭，推荐使用某些反病毒软件进行或是CIH专用杀毒工具（以上操作以及使用反病毒软件进行杀毒，必须使用干净的系统盘启动计算机）。检测方法 1、一般来讲，CIH病毒只感染EXE可执行文件，我们可以用Ultra EditText Editor 软件打开记事本或写字板，或者其他常用EXE文件，然后按下“切换16进制模式按钮（H）”，再查找“CI?Hv1．”，如果发现“CIH v1．2”，“CIH v1．3”或“CIH v1．4”的字符串，则说明已经被感染上CIH病毒了。 2、感染到CIH v1．2版，则所有WinZip自解压文件均无法自动解开，同时会出现WinZip自解压首部中断。可能原因：磁盘或文件传输错误。这个信息。感染到CI?Hv1．3版则部分WinZip自解压文件无法自动解开。有的还会造成MAGICZIP不能安装，如果遇到以上情况，有可能就是感染上CIH病毒了。 3、CIH病毒会造成Win 95的死机。原因是病毒代码要写到文件的头部。有时候被病毒传染的文件不能被Win 95识别，认为是非法程序会造成Win 95的死机。当出现频繁死机的情况时，有可能就会是有CIH病毒存在了。来源 CIH病毒是一位名叫陈盈豪的台湾大学生所编写的，从台湾传入大陆地区的。CIH的载体是一个名为“ICQ中文Chat模块”的工具，并以热门盗版光盘游戏如“古墓奇兵”或Windows95/98为媒介，经互联网各网站互相转载，使其迅速传播。目前传播的主要途径主要通过Internet和电子邮件，当然随着时间的推移，其传播主要仍将通过软盘或光盘途径。破坏性 CIH病毒是一种能够破坏计算机系统硬件的恶性病毒。据目前掌握的材料来看，这个病毒产自台湾，最早随国际两大盗版集团贩卖的盗版光盘在欧美等地广泛传播，随后进一步通过Internet传播到全世界各个角落。目前传播的途径主要通过Internet和电子邮件。计算机病毒的传播已摆脱了传统存储介质的束缚，Internet和光盘现已成为加速计算机病毒传播最有效的催化剂。CIH病毒只感染Windows95/98操作系统，从目前分析来看它对DOS操作系统似乎还没有什么影响，这可能是因为它使用了Windows下的VxD（虚拟设备驱动程序）技术造成的。所以，对于仅使用DOS的用户来说，这种病毒似乎并没有什么影响，但如果是Windows95/98用户就要特别注意了。正是因为CIH独特地使用了VxD技术，使得这种病毒在Windows环境下传播，其实时性和隐蔽性都特别强，使用一般反病毒软件很难发现这种病毒在系统中的传播。 CIH病毒每月26日都会爆发（有一种版本是每年4月26日爆发）。CIH病毒发作时，一方面全面破坏计算机系统硬盘上的数据，另一方面对某些计算机主板的BIOS进行改写。BIOS被改写后，系统无法启动，只有将计算机送回厂家修理，更换BIOS芯片。由于CIH病毒对数据和硬件的破坏作用都是不可逆的，所以一旦CIH病毒爆发，用户只能眼睁睁地看着价值万元的计算机和积累多年的重要数据毁于一旦。CIH病毒现已被认定是首例能够破坏计算机系统硬件的病毒，同时也是最具杀伤力的恶性病毒。从技术角度来看，CIH病毒实现了与操作系统的完美结合。该病毒使用了Windows95/98最核心的VxD技术编制，被认为是牢固地连接到了操作系统底层，所以CIH病毒既不会向DOS操作系统传播，也不会向WindowsNT操作系统扩散。CIH病毒的这一技术特点给使用传统反病毒技术防治计算机病毒的人提出了巨大的挑战，这是因为传统反病毒工具基本上都是纯DOS或工作在Windows95之下的仿真DOS应用程序，它们无法深入到Windows95/98操作系统的底层去彻底清除CIH病毒；另一方面，由于能够与操作系统底层紧密结合，CIH病毒的传播就更为迅速、隐蔽。防治类似CIH这种能够与操作系统紧密结合的病毒最好的方法是使用本身能够与各种操作系统紧密结合的反病毒软件。 CIH 病毒是一种运用最新技术，会 Format 硬碟的最新病毒，通常都利用网路族上网时，进行传播感染。目前最新的变种病毒为CIH 会在每月26 日发病，并会展现最强大的破坏力-Format 硬碟. CIH病毒平常并没有作什么破坏性的动作，也没有显示任何画面，只是占用部份记忆体而已。但是有些 32-bit的程式被感染之后，运作会不正常，甚至会造成当机。但是，CIH病毒长驻在主记忆体之后，每次执行时，会检查电的日期是否为﹝4月26日﹞，如果是，它会透果你的电脑I/O部：CF8，CFD，CFE修改你的电脑的某些设定，并且把你电脑所有硬盘的资料都毁了，甚至连硬盘数据区及引导区的资料都不在了，并且让电脑当机。当你重新开机，屏幕会出现"DISK BOOT FAILURE, INSERT SYSTEM DISK AND PRESS ENTER"(硬盘引导失败，请插入系统盘后敲击回车)。若是用软盘引导开机再执行C:指令，则出现"Invalid drive specification"(不可用的驱动器编号)。即使曾经有备份引导区资料，但是磁盘中的资料已全毁，可不可以开机已经没有意义了。检测与预防系统中感染了CIH病毒时，由于病毒时刻在监视系统中的文件使用情况，造成系统效率降低，而且有些自解压文件在病毒感染后被破坏，清除病毒后也不能使用，尤其是病毒发作时造成的破坏，后果更为严重。目前，防止CIH病毒的传染和破坏主要有两种方法：一是实时监测，不让病毒进入系统，如KILL98就采用了这种方法，其优点是比较安全，但影响系统的速度，有可能误报，而且对使用染有病毒的文件不方便。二是定期对系统进行病毒检查，清除文件中的病毒，这种方法比较简单，系统效率影响不大，但安全性不高。实际上，CIH病毒第一次进入机器内存时，系统中感染病毒的文件是很少的，只是由于未能及时发现，才使病毒得以传播和蔓延。许多杀毒软件在检查文件中的病毒特征时，由于病毒代码先于杀毒软件获得文件的操作权，从而将病毒代码写进文件中，这就造成了系统中几乎所有的32位可执行文件都感染了CIH病毒的现象。文件中的CIH病毒的检测比较简单，只要从32位可执行文件的PE文件头的偏移28H处获得程序的入口地址，对入口程序段进行扫描即可。根据CIH病毒在感染文件前对病毒特征的判别，我们可以人为地在PE格式的EXE文件头的前一个字节的位置处写上55H或一个非零值，以骗过病毒对文件是否染毒的判别。而大多数杀毒软件在杀毒后，保留了文件头中的病毒特征，相当于对这些文件进行了免疫。由于病毒主要来源于因特网和光盘，光盘文件上的病毒无法清除，始终是系统的隐患，而使用第一种方法则有可能使用户从网上下载文件失败，造成不必要的损失。根据对病毒代码的分析，我们介绍一种方法，它既不影响系统效率，也能使用户放心地使用网上下载的文件和光盘上的文件。本文提供的方法主要有下列两个步骤： 1、检测内存中的病毒。如果在内存中发现病毒，则清除之，释放其占用的内存，并提示用户对文件进行检测。 2、对CIH病毒进行免疫。设置两重防线，使CIH病毒代码不能再进入内存，从根本上杜绝CIH病毒的传播和破坏。具体过程是：通过调用VXD函数IFSMgr_InstallFileSystemApiHook，获得系统当前的文件系统钩子函数的地址和函数IFSMgr_InstallFileSystemApiHook的入口地址，根据获得的地址，扫描相应的内存区，判断内存中是否有CIH病毒。如果发现内存中有CIH病毒，调用VXD函数IFSMgr_RemoveFileSystemApiHook 先撤消其设置的文件系统钩子函数，然后利用函数_PageFree将其占用的内存释放。由于病毒代码在调试寄存器dr0中保存了一个指向系统中原有的文件系统挂钩函数的地址的指针，病毒代码通过该指针转到系统原来的文件钩子函数中，病毒在驻留内存之前，先要检查该寄存器的值是否为零，以判断病毒代码是否已在内存中。因此，我们可以将该寄存器的值设置为非零值，让病毒以为内存中已有病毒代码存在，从而不驻留内存，这是第一道防线。考虑到寄存器dr0的值可能被其它程序修改，让病毒代码获得进入内存的机会，我们再设置第二道防线。在内存高端申请一页内存空间，驻留一段代码在这一内存空间中，修改系统中IFSMgr_InstallFileSystemA piHook函数的入口地址，使其指向我们自己设置的代码，该代码负责监视文件系统钩子函数的安装过程，如果是病毒代码要进入内存，则拒绝让其进入，并释放其申请的内存。有了这两道防线，就能较好地防止CIH病毒进入内存，即便是运行染有病毒的程序，也不会对系统造成不利的影响。解决方法首先用户应该确定自己计算机主板的BIOS是那种类型的，如果是不可升级型的，用户只需对改回去的CMOS的参数进行重新设置即可。如果用户的计算机BIOS是可升级型的。如果出现 CIH病毒发作的症状，不要重新启动计算机从C盘引导系统，而应该及时进入CMOS设置程序，将系统引导盘设置为a盘然后A 盘引导系统，之后用杀毒软件对系统软件造成破坏后该怎样办呢？首先使用杀毒软件对硬盘进行彻底杀毒，之后再对系统软件和应用软件进行重新安装。可以在被 CIH病毒破坏的基础上直接安装，这种方法较简单，但会造成硬盘空间的浪费，因为这将带来一些垃圾文件；另一种方法是将用户的重要数据进行备分，之后对硬盘进行格式化，重新安装系统程序和应用程序，这样能节省硬盘空间。硬盘修复办法瑞星修复首先使用瑞星杀毒盘启动机器，然后运行瑞星杀毒软件DOS版，选择菜单中的项，本程序将自动分析硬盘是否需要修复。 1）如果出现“The hard disk is ok, needn't recover! Enter = return to main menu”信息，则表示硬盘系统是好的，不需要修复。 2）如果出现红色提示框，报告用户硬盘的分区信息和文件分配表（FAT）的类型，用户首先应该确认该提示信息是否正确。然后，再根据以下提示信息选择是否进行恢复。 “Recovery Partition Table?(Y/N)” 若选择“Y”，则瑞星杀毒软件将自动恢复硬盘的分区信息。如果选择“N”，则瑞星杀毒软件将返回主菜单。恢复硬盘分区结束后，瑞星杀毒软件将提示：“Recovery Drive C：(Y/N)”询问用户是否继续恢复C盘的文件。如果选择“Y”，则瑞星杀毒软件将自动恢复C盘中的文件。如果选择“N”，则瑞星杀毒软件将返回主菜单。在恢复硬盘分区后，可以重新启动机器，此时可以看到完全恢复的D、E等扩展逻辑分区；在恢复硬盘分区后，再进一步恢复C盘的文件后，重新启动机器，则不仅可以找到扩展的逻辑分区，而且可以看到C盘上恢复的文件目录，这些目录名为“RISING.XXX”(XXX为0-999的数字编号)。这时扩展分区已恢复正常，将C盘中各个目录中的重要文件进行备份。 3）如果出现“The hard disk can't be recovered, Enter= return to main menu”信息，则表示逻辑盘数据使用此功能无法恢复。当本功能无法恢复硬盘数据时，可以与瑞星公司联系或由其他专业数据恢复人员进行分析，使用其他方法进行恢复，以确保重要数据不丢失。江民修复当用户的硬盘数据一旦被CIH病毒破坏后，使用KV3000的F10功能，可修复的程度如下： 1．C盘容量为2.1G以上，原FAT表是32位的，C分区的修复率为98%，D，E，F等分区的修复率为99%，配合手工C，D，E，F等分区的修复率为100%。 2．硬盘容量为2.1G以下，原FAT表是16位的，C分区的修复率为0%，D，E，F等分区的修复率为99%，配合手工C，D，E，F等分区的修复率为100%。因为原C盘是16位的短FAT表，所以C盘的FAT表和根目录下的文件目录都被CIH病毒乱码覆盖了。KV3000可以把C盘找回来，虽然根目录的文件名字已被病毒乱码覆盖看不见了，但文件的内容影像还存储在C盘内的某写扇区上。推荐用KV3000找回C盘，再用文件修复软件TIRAMISU.EXE可将C盘内的部分文件影象找回来（需要了解这个软件的朋友可以访问Ontrack公司的主页是不是在这个网站上找不到有关TIRAMISU的内容？呵呵，其实现在TIRAMISU已经被整合到Ontrack公司的旗舰产品—EasyRecovery中。相关的详细介绍可以参照下文中的“分区表破坏”），如果原存放文件影象的簇是相连的，找回的文件就完整无损。但对于FAT16的C盘是不是中了CIH就没救呢？您还是可以尝试一下FIXMBR，FIXMBR是一个DOS应用程序，完全遵守DOS的程序的操作规范。如果执行FIXMBR/？即可得到FIXMBR的帮助信息。如下： Usage : FIXMBR [DriveNo] [/A] [/D] [/P] [/Z] [/H] DriveNo Hard disk scope 0-3 , default is all drive （指硬盘号，0表示第一个硬盘） /A Active DOS partition（激活基本DOS分区） /P Display partition（显示DOS分区的结构） /D Display MBR（显示主引导记录内容） /Z Zero MBR（将主引导记录填零）缺省的情况下将检查MBR结构，如果不正常将提示是否修复。回答“Y”后将搜索分区。如果搜索到分区后将提示是否修改MBR，回答“Y”后就将修复完成。如果这时出现死机现象，请将BIOS中的防病毒功能禁止后再做。缺省的状态下将搜索所有已经存在的硬盘，并完成以上操作。如果完成的结果不对，可以用/Z参数将结果清空后重新启动，就可以恢复到原来的状态。但它不支持WinNT和Linux的分区，对FAT32分区表支持也有限。它可以通过全盘搜索决定硬盘分区，并重新构造主引导扇区。由于软件只修改主引导扇区记录，对其他扇区不进行写操作，故一般不会带来不安全目录（如果修复得不理想，请DiskEdit等工具进行手工修复）。注意：FIXMBR是一个比较老的程序。由于病毒破坏硬盘的方式实在太多，而且大部分破坏都无法用一般软件轻易修复（如果您喜欢使用DiskEdit等磁盘扇区编辑工具，对某些情况还有一线希望），所以我们最好的办法就是安一个好的杀毒软件。下面我们来看看病毒在哪方面的破坏不能恢复呢？分区表破坏，可能是数据损坏中除了物理损坏最严重的一种灾难性破坏。其原因主要有以下几种： 1．个人无操作删除分区，只要没有进行其他的操作完全可以恢复。 2．安装多系统引导软件或采用第三方分区工具，有恢复的可能。 3．病毒破坏可以部分或者全部恢复。 4．利用Ghost克隆分区/硬盘破坏，只可以部分恢复或者不能恢复（用Ghost的朋友要小心了）。据国外的一个主业数据恢复公司调查，数据损坏以后很大程度上是可以恢复的。之所以有很多不能恢复的实例存在，90%以上是由于用户在后来的恢复过程中有无操作，从而造成了更大的破坏。所以希望朋友们牢记以下2点： 1．在硬盘数据出现后，请立即关机，不要再对硬盘进行任何写操作，那样会增大修复的难度，也影响到修复的成功率。 2．每一步操作都应该是可逆的（就像Norton Disk Doctor中的Undo功能）或者对故障硬盘是只读的（大名鼎鼎的EasyRecovery和Lost&Found都是这种工作原理）。如果在遇到以上情况，可以用以上这个软件，这个软件包含在Norton Utility系列工具中，功能十分强大，可以恢复分区记录，FAT表，需要注意的是它对硬盘的操作不是只读的，因此需要每一步都做好Undo文件，这样即使误操作也可以恢复，Norton Disk Doctor配合DiskEdit在分区表不能恢复时也可以恢复部分文件，可惜Norton Disk Doctor不支持NTFS分区，这不能不说好是它的一大遗憾之处。关于作者 1999年4月30日上午，在军方人员的护送下，正在台湾军中服役的CIH电脑病毒作者陈盈豪被带到了台北“刑事局”接受警方的侦讯。让办案的警方人员大感意外的是，搞出震惊全球的电脑病毒的陈盈豪在记者们的闪光灯包围中差一点当场瘫倒在地。当陈盈豪踏入台北“刑事局”的大门后，面对早早就等在那里的数十名记者的闪光灯一时间情绪失控，只见他浑身发抖，面无血色，两腿发软，几乎无法自己走路！颇有经验的办案人员没有采取单刀直入的惯用方式对陈盈豪进行问讯，而是先跟他谈他在大学里过去的女朋友、他的家人、大学生活以及与电脑有关的知识，这才让陈盈豪的情绪逐渐恢复了平静。为了进一步调解陈盈豪的情绪，办案人员打开了侦讯室的电脑让他上网。非常巧的是，他一上网就发现他的母校—台湾大同工学院的一位学妹非常崇拜这位制造了震惊全球“电脑大屠杀”的老大哥，并且希望有机会约他吃饭。陈盈豪看了这封电子邮件后顿时精神焕发，脸上露出了笑容，很快就恢复了常态。这时的陈盈豪已经不害怕警方对他拍照，表示愿意配合警方的调查，跟几分钟前简直判若两人。心情恢复平静的陈盈豪开始向警方侃侃而谈他制造病毒的“辉煌战果”。陈盈豪说，他从大学一年级开始就痴迷上了电脑，每天都要上网，下载最热门的软件、游戏，因此也经常遭遇电脑病毒。为了解决电脑屡屡“中毒”的烦恼，他看报纸，买了不少广告做得天花乱坠的防病毒软件，结果往往什么用也没有，于是觉得自己被欺骗了。而CIH 病毒完全是他一人设计的，目的是想出一家公司在广告上吹嘘“百分之百”防毒软件的洋相。他一共设计了五个版本CIH病毒，其中V1．0、V1．1两个版本没有流出去，而这次危害世界各国的病毒是V1．2版。病毒发作的时间之所以定在4月26日，因为那是他的高中座号，也是他的绰号。 “电脑天才”：谈恋爱搞社交样样不行，玩电脑编程序绝不服输* 如果说陈盈豪在台湾警察们的眼里只是“电脑鬼才”的话，那么他的母亲、同学、老师和左邻右舍倒觉得他是一个地道的“电脑天才”。陈盈豪的母亲十分担心自己的儿子会被法院判重刑，再三强调她的儿子不是故意的，不然的话就不会把自己的姓名缩写当成病毒的名称。陈盈豪的母亲说，她的儿子是在上中学的时候就喜欢玩电脑的，经常到家境比较宽裕的同学家中或者学校玩电脑，上高中后专心研究电脑软件程序，有时候还会编一些游戏软件跟同学们一起玩。“一口流利的台语，夏天常是一件T恤、短裤，穿着凉鞋，一副没有睡醒的样子就来上课。”这是陈盈豪在大学同学眼中最典型的形象。除了这身打扮有些“老土”不起眼外，陈盈豪只要一开口就是电脑，买的全是电脑方面的书。当别人自以为是电脑通的时候，他总会找机会在那人面前露一手，让对手羞得无地自容。陈盈豪有台湾南部人典型的好脾气，在大同工学院学习时尽管不善交际，但人缘却不差，并且有不少好朋友。他的同学们一致认为，陈盈豪在上大学前就有相当的电脑基础，进了大学后，他的电脑知识更是突飞猛进。陈盈豪对电脑课非常感兴趣，大学一年级的“程序设计”的成绩非常拔尖，就连平时的谈话也多半在电脑里打转。同学们谈女生，谈电影新片时，陈盈豪就显得非常地无趣，偶然插一两句话也让同学们有一种“话接不下去”的感觉。在老师们的眼里，陈盈豪在学校的表现并不十分突出，只是在电脑软件方面有更深的兴趣，也有小聪明，但人很老实。要不是这次捅了个天大漏子的话，他肯定算不上“校园风云人物”。大同工学院多年来的表现也十分平常名气不大不小。有的老师认为，经过这么一折腾，大同工学院的“知名度”顿时大增，这让学校觉得啼笑皆非。在陈盈豪一家居住的高雄市三民区，左邻右舍不但对身边竟然出了个如此一号人物表示吃惊，似乎对陈盈豪和他的家人没有什么了解。邻居们说，只知道陈盈豪大概去年从大学毕业，在家待了一阵子，很少看到他。陈盈豪和妈妈还有两个妹妹住在一起，很少看见他的父亲，平常他们家和邻居也很少打招呼，更不知道他会玩电脑，而且还制造出让人惊慌的电脑病毒，而这一切现在已成为邻居们最新的话题。 “电脑疯子”：家有精神病史，“军情局”吓得退避三舍陈盈豪在接受“刑事局”的侦讯后由于情绪还不稳定，因此当天被马上送回花莲营区，由军方把他送到花莲总医院住院观察。经过医生的初步诊断，陈盈豪有烦躁不安、忧郁的倾向。医生表示，陈盈豪主动说他觉得自己的情绪不稳定，而根据院方的资料显示，陈盈豪三月份还曾经看过精神科医生。此外，陈盈豪的家族竟然有精神病病史。此外，台湾媒体还曝光一个惊人的秘密：陈盈豪在部队服役的时候曾经向军方自夸说，他可以设计出一种导致军用电脑瘫痪的程序。台湾“军情局”对此万分感兴趣，准备把他收归麾下，充当电子战的专家。然而，在他们调查了陈盈豪的家史后，他们发现陈的精神状态不稳定，并且有家族精神病史。因此，台“军情局”不但没有将他收编，还要求他立即退役！其后陈盈豪在花莲总医院精神科接受就诊观察。花莲总医院精神科主治医师陆承贤表示，陈盈豪曾有两次精神科门诊记录，但在诊断过程中并无明显的躁郁症症状，只是出现焦虑不安的情形，而此可能与陈盈豪在部队生活适应不良有关。新CIH病毒与传统的CIH病毒不同，新CIH病毒（WIN32.Yami）可以在Windows 2000/XP下运行，因此新CIH病毒的破坏范围比传统CIH病毒大得多。2003年5月17日，瑞星全球反病毒监测网络率先截获该恶性病毒，由于该病毒的破坏能力与当年臭名昭著的CIH病毒几乎完全一样，因此瑞星将该病毒命名为新CIH病毒。新CIH病毒会驻留在系统内核，它首先判断打开的文件是否为Windows 可执行文件（PE文件），如果不是则不进行感染操作，如果是则将病毒插入到PE文件各节的空隙中（与传统的CIH一样），因此感染后文件的长度不会增加。由于病毒自身的原因，感染时有些文件会被破坏，导致不能正常运行。新CIH病毒发作时企图用“YM Kill You”字符串信息覆盖系统硬盘，这样会导致数据恢复相当困难。它同时通过向主板BIOS中写入垃圾数据来对硬件系统进行永久性破坏。新CIH病毒行为分析： 1、病毒搜索kernel32的起始偏移地址 2、取得病毒所用的API地址 3、进入Ring0 4、通过直接IO的方式写BIOS和硬盘值得庆幸的是，这个新CIH病毒发作条件较为特殊，不会定期发作，而且只会通过感染文件来传播，因此不太可能在短期内造成巨大的破坏。各反病毒软件公司以最快的速度研发出查杀此病毒的专杀工具，因此该病毒的大面积破坏在很大程度上被控制住了。
随便看	等离子体激元衰变中微子过程等离子体技术等离子体加热等离子体理论基础等离子体频率等离子体天体物理学等离子体湍动加速等离子体武器等离子体物理等离子体物理学等离子体物理与聚变能等离子体显示等离子体显示技术等离子体显示屏等离子体显示器等离子体隐身技术等离子体隐形等离子体在材料中的应用等离子体诊断学等离子体振荡等离子体质谱仪等离子通道钻井技术等离子团等离子武器等离子显示屏