计算机病毒的特征_计算机病毒的预防措施_计算机病毒的危害包含4个方面(25)

所以在每月的26日之前，请务必备份您的重要数据。 这里所说的发作日是指病毒损坏硬盘和主板的日期。如果您在某月的26日开机时，屏幕出现的提示是：“Disk Boot Failure，Insert System Disk And Press Enter”，然后您可能会插入系统软盘启动机器，但当需要转到硬盘提示符时，却得到“Invalid Drive Specification”的信息，就表明硬盘的主引导区已经被改写了，这极有可能就是CIH病毒已经成功地攻击了您的系统。 2. CIH病毒发作现象 CIH病毒发作时，将用凌乱的信息覆盖硬盘主引导区和系统BOOT区，改写硬盘数据，破坏flash BIOS，用随机数填充flash内存，导致机器无法运行。 CIH病毒对flash BIOS的操作，仅在主板和芯片允许写Flash存储器时才有可能，所以该病毒发作时仅会破坏大多数可升级主板的Flash BIOS。 一旦系统不幸遇到了这样的情况，除了硬盘中的数据将丢失外，很有可能主板也已经报废，只能更换主板或请人员重新填写Flash BIOS信息。 CIH病毒有多个变种，只感染Windows 95、Windows 98的.EXE的.PE格式文件，病毒代码分解为一个或多个不同大小的碎块，潜伏在文件内部的不同的地方，文件总长度无变化。

.PE文件格式是32位的，文件头标存放了文件各模块参数。CIH病毒修改了这些32位参数，并使其文件映象执行参数首先指向病毒的程序体。 杀CIH病毒除需要对Windows低层技术有所了解外，还需要对Windows的PE格式文件有所了解。如不了解，查杀这种病毒也可采取投机行为。有些杀毒软件仅仅修改一个病毒映象开始执行的参数，和少量的去掉了病毒头的部分字节，但这样简单杀毒后的文件会留有病毒僵尸，容易引起问题，因此应彻底杀净病毒，否则杀不好，就会把文件杀害。 3. CIH病毒传染后遗BUG 由于Windows系统运行设置条件和被传染的文件头标数据模块的大小不一样，被CIH病毒感染后，小部分文件会产生各种各样的不正常的特殊的传染结果，如文件中的病毒体前部，执行文件在被执行中又被自身文件动态的覆盖了一小部分代码。 但文件映像执行参数还首先指向病毒程序体，病毒有可能还会被执行或残缺执行，有可能执行发作破坏指令，也有可能文件坏掉了不能再执行。造成某些查病毒软件对此漏查；某些文件中的病毒体，因为文件头标格式特殊，CIH病毒躲藏在文件的后部，某些查病毒软件也漏查漏杀；某些文件中的病毒，残缺了一部分传染在文件内。

某些杀毒软件，没认真彻底研究透32位的PE文件格式，只查杀出大多数PE文件头标前部潜藏的CIH病毒，而漏查了许多PE文件头标深部感染的CIH病毒，这非常危险。有些杀毒软件，只简单地把文件中的CIH病毒第一碎块中的文件映像开始执行指针参数恢复，没把病毒隐藏在文件体中的各个碎块清理掉。上述做法都使病毒体完整的或不完整的残留在文件中，这些代码由于有破坏的代码存在，所以仍然有危险。 4. CIH的免疫 此处的CIH病毒疫苗Ant-CIHv1.00是CIH作者所作，已经在网上免费发放。网址是：~qiu/chi/ant-cih.zip CIH病毒免疫程序是免疫的疫苗不是解毒程序，所以安装前，必须回到纯DOS状态，然后用查毒程序彻底把病毒杀干净。再回到Windows95/98，将cih.zip解压缩后，释放出三个文件，执行其中的setup.exe即可进行安装。系统会自动重新启动。 免疫程序安装后，电脑就会对CIH系列的病毒产生免疫。以后不小心从网上下载含有CIH病毒的程序也大可放心地执行，其他所有没中毒的程序也不会被感染。 即使到了发作时，也不会发作，因为系统中根本没常驻CIH病毒。安装完毕后，可以将这三个疫苗文件删除，以后，无论你开机，关机，重新进入Windows几次，系统都有自动免疫功能。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-27948-25.html