最强大的计算机病毒是什么？有什么后果？

825510618a_xiazai

接受

CIH病毒简介

CIH病毒的主要传播途径是互联网和电子邮件. 当然，随着时间的流逝，它也将通过软盘或CD-ROM的交换而传播. 据报道，权威病毒收集网络目前报告的CIH病毒共有“原始”加“变体”五种类型. 它们之间的主要区别是“原始”文件会增加受感染的文件，但它不是破坏性文件. 和“变体”不仅使受感染的文件增长，而且还具有破坏性. 特别是，每个月的26日都会发生“变体”.

CIH病毒仅感染Windows 95/98操作系统. 从当前的分析来看，它似乎对DOS操作系统没有任何影响，因此对于仅使用DOS的用户而言有什么电脑病毒，此病毒似乎没有任何影响. ，但是，如果您是Windows 95/98用户，则应特别注意. 正是因为CIH独特地使用VxD技术，使得该病毒实时传播并隐藏在Windows环境中. 使用通用的防病毒软件很难在系统中找到该病毒的传播.

CIH病毒“变种”发生在每年的4月26日（每个月的26号都有变种）. 在攻击过程中，硬盘持续旋转，所有数据都被破坏，硬盘分区信息将丢失. CIH病毒爆发后，仅应重新分区硬盘. 另一个是当CIH病毒攻击时，某些类型的主板的电压可能会损坏. 重写只读存储器的BIOS. 损坏的主板只能送回原厂进行维修，然后重新刻录到BIOS中.

CIH病毒会破坏哪种BIOS？

当然，CIH破坏BIOS并不像预期的那样可怕.

目前，PC基本使用两种类型的只读存储器来存储BIOS数据，一种是使用传统的ROM或EPROM，另一种是E2PROM. 制造商事先通过特殊方式将BIOS“烧录”（也称为“固化”）到这些存储器中，然后将其安装在PC中. 当我们打开计算机电源时，将首先执行BIOS中的程序和数据并加载它们，以便我们的系统能够正确识别计算机中安装的各种硬件并调用相应的驱动程序，然后硬盘开始启动运行系统.

在ROM或EPROM中固化的数据只能通过施加特殊电压或使用紫外线来清除，这就是为什么当我们打开某些计算机机箱时，我们可能会看到一小块芯片粘附在其上的原因. 或黑纸块阻止紫外线清除BIOS数据. 要清除存储在这种类型的只读存储器中的数据，仅计算系统内部的电压是不够的. 因此，仅使用这种类型的只读存储器来存储BIOS数据的用户就不必担心CIH病毒会破坏BIOS.

但是最新的计算机，尤其是奔腾或更高版本的计算机，基本上使用E2PROM来存储部分BIOS. E2PROM也被称为“电可重写只读存储器”. 通常情况下，用户不会轻易重写此存储器中的数据，但是只要施加特殊的逻辑和电压，就有可能在E2PROM中重写数据. 使用PC的CPU逻辑和计算机的内部电压可以轻松地重写E2PROM. 这是通过软件升级BIOS的原理，也是CIH破坏BIOS的基本方法.

在E2PROM中重写数据需要某些逻辑条件. 不同的PC系统对此情况可能有不同的要求，因此CIH不会销毁所有使用E2PROM存储BIOS的主板. 当前仅报告了技嘉和MSI. 等待几个5V主板，并不是说这些主板的质量不好，只是说它们的E2PROM逻辑与CIH一致，或者CIH的编译器可能只想破坏某些品牌的主板.

因此，要确定CIH是否对主板有害，应首先确定BIOS是仅在ROM / EPROM中刻录，还是部分BIOS使用E2PROM.

应该注意的是，尽管CIH不会销毁所有BIOS，但CIH销毁硬盘“第26天”的所有数据要比销毁BIOS更为严重，这是每位感染CIH病毒的用户不可避免

答案: wudi8333-Juren 5年级9-24 18:57

--------------------------------------------------- ---------------------------------

CIH病毒是一种文件类型的病毒. 它的别名是Win95.CIH，Spacefiller，Win32.CIH和PE_CIH. 它主要感染Windows 95/98下的可执行文件（PE格式，可移植可执行格式）. 当前版本没有. DOS和WIN 3.X（NE格式，Windows和OS / 2 Windows 3.1执行文件格式）下的可执行文件，在Win NT中无效. 开发过程总共经历了v1.0，v1.1，v1.2，v1.3和v1.4的5个版本. 最受欢迎的版本是v1.2版本. 根据一些报告，在此期间，它还产生了不少于十个变体，但似乎没有流行的迹象，而且我实际上并未接触过这些所谓的CIH变体病毒.

随着时间的流逝，各种版本的CIH病毒的开发一直在不断改进，其基本开发过程是:

CIH病毒v1.0版本:

原始的V1.0版本仅656字节，其原型相对简单，并且与普通类型的病毒相比，其结构没有太大改进. 它最大的“卖点”是当时它是少数几个. 1.是一种可以感染Microsoft Windows PE可执行文件的病毒，被其感染的程序文件的长度会增加，此版本的CIH不会造成破坏.

CIH病毒v1.1版本:

当它发展到1.1版时，病毒长度为796字节. 此版本的CIH病毒具有判断Win NT软件的功能. 一旦确定用户正在运行Win NT，它就无效并执行自我控制. 隐藏以避免错误消息，并使用更优化的代码来减少其长度. 此版本的CIH的另一个优点是，它可以使用WIN PE类可执行文件中的“间隙”将自身拆分为多个部分，然后将它们插入PE类可执行文件中. 这样做的优点是，在感染大多数WINPE文件时，不会导致文件长度增加.

CIH病毒v1.2版本:

当开发到v1.2版本时，除了纠正v1.1版本的某些缺陷外，它还添加了破坏用户硬盘和用户主机BIOS程序的代码. 这种改进使其成为一种恶性病毒. 此版本的CIH病毒正文的行长为1003个字节.

CIH病毒v1.3版本:

CIH病毒的原始v1.2版本的最大缺陷是，当感染了ZIP自解压文件时，在此ZIP压缩程序包的自解压过程中，它将导致以下错误警告消息:

WinZip自解压程序头损坏.

可能的原因: 磁盘或文件传输错误.

CIH病毒的v1.3版本显得草率. 其改进指出了上述缺陷. 其改进方法是: 一旦确定打开的文件是WinZip类型的自解压程序，就不会被感染. 同时，此版本的CIH病毒的攻击时间已被修改. CIH病毒的v1.3版本长1010个字节.

CIH病毒v1.4版本:

此版本的CIH病毒改进了先前版本中的缺陷，不感染ZIP自解压软件包文件，并修改了病毒中的攻击日期和版权信息（版本信息已更改为: “ CIH v1 .4 TATUNG”，以前版本中的相关信息是“ CIH v1.x TTIT”），此版本的长度为1019字节.

从以上描述中，我们可以看到，实际上，在CIH的相关版本中，只有病毒的三个版本v1.2，v1.3和v1.4实际上具有破坏性，其中v1 CIH病毒的.2版本攻击日期为每年4月26日，也是最受欢迎的病毒版本. v1.3版本的攻击日期为每年的6月26日，CIH v1.4版本的攻击日期为每年的26日. 这种变化大大缩短了攻击的持续时间，并增加了其破坏性.

CIH病毒攻击的破坏性:

CIH是一种恶性病毒. 攻击条件成熟后，将破坏硬盘数据，同时可能损坏BIOS程序. 其攻击特征是:

1. 以2048扇区为单位，从硬盘的主引导区开始依次将垃圾数据写入硬盘，直到硬盘数据被完全破坏为止. 在最坏的情况下，硬盘上的所有数据（包括所有逻辑磁盘数据）都将被破坏. 如果没有备份重要信息，您只会哭泣！

2. 某些主板上的Flash Rom中的BIOS信息将被清除.

CIH病毒感染的特征:

由于流行的CIH病毒版本，标识版本号的信息为纯文本格式，因此您可以通过在可执行文件中搜索字符串来标识是否感染了CIH病毒，并且搜索字符串为“ CIH” v”或“ CIH v1”. 如果要搜索更完整的字符串，可以尝试使用“ CIH v1.2 TTIT”，“ CIH v1.3 TTIT”和“ CIH v1.4 TATUNG”，请勿直接搜索“ CIH”功能字符串，因为此功能字符串也存在于许多普通程序中，例如，程序中存在以下代码行:

inc bx

dec cx

dec ax

然后他们的签名代码恰好是“ CIH（0x43; 0x49; 0x48）”，这容易造成误判.

具体的搜索方法是: 首先打开“资源管理器”，在弹出的“查找文件”设置窗口中输入的“名称和位置”中选择菜单功能“工具>查找>文件或文件夹”. 搜索路径和文件名（例如: *. EXE），然后在“高级>包含文本”列-“ CIH v”中输入要搜索的功能字符串，最后按搜索键开始搜索. 如果在搜索过程中显示了大量符合搜索特征的可执行文件，则表明您的旧计算机已感染了CIH病毒.

实际上，上述方法存在致命缺陷，即: 如果用户刚刚感染了CIH病毒，那么这样的搜索过程实际上将扩大该病毒的感染面. 通常，推荐的方法是首先运行“ WordPad”软件，然后使用上述方法在“ WordPad”软件的Notepade.exe可执行程序中搜索签名字符串有什么电脑病毒，以确定是否感染了CIH病毒.

另一种判断方法是在Windows PE文件中搜索IMAGE_NT_SIGNATURE字段（即0x00004550），它表示的标识字符为“ PE00”，然后检查前一个字节是否为0x00. 如果是，则表示该程序尚未被接受. 感染，如果它是其他值，则意味着它可能已感染了CIH病毒.

最后一种判断方法是先搜索IMAGE_NT_SIGNATURE字段“ PE00”，然后搜索偏移量0x28处的值是否为55 8D 44 24 F8 33 DB64. 如果是，则表明程序已被感染

我还听说，在玩NEED FOR SPEED II游戏时，所有感染了CIH病毒的计算机在读取游戏光盘时都会崩溃. 我没有尝试过，我不知道它是否确实存在.

适合高级用户的一种方法是直接搜索功能部件代码并对其进行修改. 方法是: 首先处理两个跳转点，即搜索: 5E CC 56 8B F0特征字符串和5E CC FB 33 DB特征字符串，将这两个特征字符串中的CC更改为90（nop），然后搜索CD. 20 53 00 01 00 83 20和CD 20 67 00 40 00功能字符串，并将它们全部修改为90，然后（以上所有值均以十六进制表示）.

另一种方法是检索原始PE程序的正确入口点并填写当前入口点（这里以受感染的CALC.EXE程序为例），具体方法是: 首先搜索IMAGE_NT_SIGNATURE字段- PE00”，然后从该点在0x28处偏移4个字节的值，例如“ A0 02 00 00”（0x000002A0），然后从该偏移量中找到数据“（0x02A0）” 55 8D 44 24 F8 33 DB 64” ，并且偏移量0x02FE是通过将0X005E与0X02A0相加而获得的. 此偏移量处的数据为“ CB 21 40 00”（OXOO4021CB）. 从该值减去OX40000以得到数字--可以将“ CB 21 00 00”（OXOO0021CB）的值放回到从“ PE00”的点偏移0x28的位置（此处是程序的入口Windows PE格式，该术语称为“程序入口点”. 最后，在所有“ 55 8D 44 24 F8 33 DB 64”中填写“ 00”，使我们可以轻松判断病毒是否已被杀死.

根据上述手动防病毒方法，它通常适用于某些单独的软件（例如，软盘中包含某些软件，但是它感染了CIH并且无法读取，但是应该使用它现在，哈哈！）. 使用上述方法的缺点是病毒体将保留在可执行文件中. 尽管它不起作用，但要记住它可能有点不舒服（还记得“残留CIH病毒主体的WPS2000 beta版本”事件吗？）. 因此，为彻底查杀，建议使用某些防病毒软件或CIH专用的防病毒工具（以上操作和用于杀毒的防病毒软件，必须使用干净的系统磁盘来启动计算机）.

答案: 扁平的s头-小菜2级9-24 19:58

--------------------------------------------------- ---------------------------------

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-275205-1.html