来源:蜘蛛抓取(WebSpider)
时间:2015-03-08 02:24
标签:
战争游戏 空地一体战
404 Not Found
The requested URL /index/ was not found on this server.
Additionally, a 404 Not Found
error was encountered while trying to use an ErrorDocument to handle the request.psp高达战争记忆出招表无法解压,就是出现了有两个文件损坏,之后无法解压
CIH病毒简介
CIH病毒是一种能够破坏计算机系统硬件的。据目前掌握的材料来看,这个病毒产自台湾,最早随国际两大盗版集团贩卖的盗版光盘在欧美等地广泛传播,随后进一步通过Internet传播到全世界各个角落。 CIH病毒传播的主要途径是Internet和电子邮件,当然随着时间的推移,它也会通过软盘或光盘的交流传播。据悉,权威病毒搜集网目前报道的CIH病毒, “”加“”一共有五种之多,相互之间主要区别在于“原体”会使受感染文件增长,但不具破坏力;而“变种”不但使受感染的文件增长,同时还有很强的破坏性,特别是有一种“变种”,每月26日都会发作。
CIH病毒只感染/98操作系统,从目前分析来看,它对似乎还没有什么影响,所以,对于仅使用DOS的用户来说,这种病毒似乎并没有什么影响,但如果是Windows 95/98用户就要特别注意了。正是因为CIH独特地使用了VxD技术,使得这种病毒在Windows环境下传播的实时性和隐蔽性都特别强,使用一般反病毒软件很难发现这种病毒在系统中的传播。
CIH病毒“变种”在每年(有一种变种是每月26日)都会发作。发作时硬盘一直转个不停,所有数据都被破坏,硬盘分区信息也将丢失。CIH病毒发作后,就只有对硬盘进行重新分区了。再有就是CIH病毒发作时也可能会破坏某些类型主板的,改写的BIOS,被破坏的主板只能送回原厂修理,重新烧入。
大事记(年)
日:台湾传出首例CIH
日:发现版本
日:发现版本
日:CIH V1.3版本造成一定程度的破坏
日:发现版本
1998年7月:在INTERNET 环境中发现一个基于系统的分布感染实例
:CIH病毒开始在美国大面积传播
1998年8月:在游戏站点发现被感染
1998年8月:两家欧洲的PC游戏杂志光盘被发现感染CIH
日:CIH 1.4 版本爆发, 首次在全球蔓延
日:发出紧急通知,、全文播发
1998年9月:Yamaha为某个类型的CD-R驱动编写的软件被感染CIH
1998年10月:一个在全球发行的游戏SiN的DEMO版被发现感染CIH
1999年3月:CIH 1.2 版本被发现在的 机器中预装
:CIH 1.2 版本首次大范围爆发 全球超过六千万台电脑被不同程度破坏
:CIH 1.2 版本第二次大范围爆发,全球损失超过十亿
:CIH 第三次大范围爆发。仅就有超过六千台电脑遭CIH破坏,修复硬盘数量当天接近400块
日:CIH病毒再次爆发,数千台电脑遭破坏,瑞星修复硬盘数量当天接近200块
日:仍然有100多个CIH病毒的受害者到瑞星公司求助,瑞星帮他们挽回了宝贵的数据
版本: 最初的V1.0版本仅仅只有656字节,其显得比较简单,与普通类型的病毒在结构上并无多大的改善,其最大的“卖点”是在于其是当时为数不多的、可感染可执行文件的病毒之一, 被其感染的程序文件长度增加,此版本的CIH不具有破坏性。&CIH病毒v1.1版本: 当其发展到v1.1版本时,病毒长度为796字节,此版本的CIH病毒具有可判断软件的功能,一旦判断用户运行的是WinNT,则不发生作用,进行自我隐藏,以避免产生错误提示信息,同时使用了更加优化的代码,以缩减其长度。此版本的CIH另外一个优秀点在于其可以利用类可执行文件中的“空隙”,将自身根据需要分裂成几个部分后,分别插入到PE类可执行文件中,这样做的优点是在感染大部分WINPE类文件时, 不会导致文件长度增加。&CIH病毒v1.2版本: 当其发展到v1.2版本时,除了改正了一些v1.1版本的缺陷之外,同时增加了破坏用户硬盘以及用户主机 BIOS程序的代码,这一改进,使其步入病毒的行列,此版本的CIH病毒体长度为1003字节。& CIH病毒v1.3版本: 原先v1.2版本的CIH病毒最大的在于当其感染ZIP自解压包文件(ZIP self-extractors file)时,将导致此ZIP压缩包在自解压时出现:&WinZip Self-Extractor header corrupt. Possible cause: disk or file transfer error.&的错误警告信息。v1.3版本的CIH病毒显得比较仓促,其改进点便是针对以上缺陷的,它的改进方法是:一旦判断开启的文件是WinZip类的自解压程序,则不进行感染。同时,此版本的CIH病毒修改了发作时间。v1.3 版本的CIH病毒长度为1010字节。&版本: 此版本的CIH病毒改进上上几个版本中的缺陷,不感染ZIP 自解压包文件,同时修改了发作日期及病毒中的版权信息(版本信息被更改为:“”,在以前版本中的相关信息为“”),此版本的长度为1019字节。
从上面的说明中,我们可以看出,实际上,在CIH的相关版本中,只有v1.2、v1.3、v1.4这3 个版本的病毒具有实际的破坏性,其中v1.2版本的CIH期为每年的4月26日,这也就是2002年最流行的病毒版本,v1.3 版本的发作日期为每年的6月26日,而CIH v1.4版本的发作日期则被修改为每月的26日,这一改变大大缩短了发作期限,增加了其的。
由于流行的CIH病毒版本中,其标识版本号的信息使用的是明文,所以可以通过搜索可执行文件中的字符串来识别是否感染了CIH病毒,搜索的特征串为“CIH v”或者是“CIH v1.”如果你想搜索更完全的特征字符串,可尝试 “CIH v1.2 TTIT”、“CIH v1.3 TTIT”以及“CIH v1.4 TATUNG”,不要直接搜索“CIH”特征串, 因为此特征串在很多
的正常程序中也存在,例如程序中存在如下代码行:& inc bx dec cx dec ax&则它们的特征码正好是“CIH(0x43;0x49;0x48)”,容易产生误判。&具体的搜索方法为:首先开启“”,选择其中的菜单功能“工具 & 查找 & 文件或文件夹”, 在弹出的“查找文件”设置窗口的“名称和位置”输入中输入查找路径及文件名(如:*.EXE),然后在“高级&包含文字” 栏中输入要查找的特征字符串----“CIH v”,最后点取“键”即可开始查找工作。如果在查找过程中,显示出一大堆符合查找特征的可执行文件,则表明您老的计算机上已经感染了CIH病毒。&
实际上,在以上的方法中存在着一个的缺点,那就是:如果用户刚刚感染CIH病毒,那么这样一个大面积的搜索过程实际上也是在扩大病毒的感染面。一般情况下, 推荐的方法是先运行一下“写字板”软件,然后使用上面的方法在“写字板”软件的可执行程序中搜索,以判断是否感染了CIH病毒。&另外一个判断方法是在Windows PE文件中搜索,也就是, 其代表的识别字符为“PE00”,然后查看其前一个字节是否为0x00,如果是,则表示程序未受感染,如果为其他数值, 则表示很可能已经感染了CIH病毒。&
最后一个判断方法是先搜索IMAGE_NT_SIGNATURE字段----“PE00”,接着搜索其偏移0x28位置处的值是否为55 8D 44 24 F8 33 DB 64,如果是,则表示此程序已被感染。&适合高级用户使用的一个方法是直接搜索特征代码,并将其修改掉,方法是:先处理掉两个转跳点,即搜索: 5E CC 56 8B F0 特征串以及5E CC FB 33 DB特征串,将这两个特征串中的CC改为90(nop),接着搜索 CD 20 53 00 01 00 83 C4 20 与 CD 20 67 00 40 00 特征字串,将其全部修改为90,即可(以上数值全部为16进制)。
另外一种方法是将原先的PE的正确入口点找回来,填入当前入口点即可(此处以一个被感染的程序为例),具体方法为:先搜索IMAGE_NT_SIGNATURE字段----“PE00”,接着将距此点偏移0x28处的4个字节值,例如 “A0 02 00 00”(0x),再由此偏移所指的位置(即0x02A0)找到数据“55 8D 44 24 F8 33 DB 64”,并由0X02A0加上0X005E得到0x02FE偏移,此偏移处的数据例如为“CB 21 40 00”(OXOO4021CB),将此值减去OX40000,将得数----“CB 21 00 00” (OXOO0021CB)值放回到距“PE00”点偏移0x28的位置即可(此处为Windows PE格式程序的入口点,术语称为Program Ent ry Point)。最后将“55 8D 44 24 F8 33 DB 64”全部填成“00”, 使得我们容易判断病毒是否已经被杀除过。
判断是否感染CIH病毒的三种方法:1、一般来讲,CIH病毒只感染EXE可执行文件,我们可以用软件打开记事本或写字板,或者其他常用EXE文件,然后按下“切换模式按钮(H)”,再查找“CI?.”,如果发现“CIH v1.2”,“CIH v1.3”或“CIH v1.4”的字符串,则说明已经被感染上CIH病毒了。&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&2、感染到CIH v1.2版,则所有自解压文件均无法自动解开,同时会出现WinZip自解压首部中断。可能原因:磁盘或文件传输错误。这个信息。感染到CI?Hv1.3版则部分WinZip自解压文件无法自动解开。 有的还会造成MAGICZIP不能安装,如果遇到以上情况,有可能就是感染上CIH病毒了。&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&3、CIH病毒会造成的。原因是病毒要写到文件的头部。有时候被病毒传染的文件不能被Win 95识别,认为是非法程序会造成Win 95的死机。当出现死机的情况时,有可能就会是有CIH病毒存在了。
CIH病毒是一种能够破坏计算机系统硬件的恶性病毒。据目前掌握的材料来看,这个病毒产自台湾,最早随国际两大盗版集团贩卖的盗版光盘在欧美等地广泛传播,随后进一步通过Internet传播到全世界各个角落。 目前传播的途径主要通过Internet和电子邮件。计算机病毒的传播已摆脱了传统存储介质的束缚,Internet和光盘现已成为加速
CIH病毒计算机病毒传播最有效的催化剂。CIH病毒只感染Windows95/98操作系统,从目前分析来看它对DOS操作系统似乎还没有什么影响,这可能是因为它使用了Windows下的VxD(虚拟设备驱动程序)技术造成的。所以,对于仅使用DOS的用户来说,这种病毒似乎并没有什么影响,但如果是Windows95/98用户就要特别注意了。正是因为CIH独特地使用了VxD技术,使得这种病毒在Windows环境下传播,其实时性和隐蔽性都特别强,使用一般反病毒软件很难发现这种病毒在系统中的传播。 CIH病毒每月26日都会爆发(有一种版本是每年4月26日爆发)。CIH病毒发作时,一方面全面破坏计算机系统硬盘上的数据,另一方面对某些计算机主板的BIOS进行改写。BIOS被改写后,系统无法启动,只有将计算机送回厂家修理,更换BIOS芯片。由于CIH病毒对数据和硬件的破坏作用都是不可逆的,所以一旦CIH病毒爆发,用户只能眼睁睁地看着价值万元的计算机和积累多年的重要数据毁于一旦。CIH病毒现已被认定是首例能够破坏计算机系统硬件的病毒,同时也是最具杀伤力的恶性病毒。 从技术角度来看,CIH病毒实现了与操作系统的完美结合。该病毒使用了Windows95/98最核心的VxD技术编制,被认为是牢固地连接到了操作系统底层,所以CIH病毒既不会向DOS操作系统传播,也不会向扩散。CIH病毒的这一技术特点给使用传统反病毒技术防治计算机病毒的人提出了巨大的挑战,这是因为传统反病毒工具基本上都是纯DOS或工作在Windows95之下的仿真DOS应用程序,它们无法深入到Windows95/98操作系统的底层去彻底清除CIH病毒;另一方面,由于能够与操作系统底层紧密结合,CIH病毒的传播就更为迅速、隐蔽。防治类似CIH这种能够与操作系统紧密结合的病毒最好的方法是使用本身能够与各种操作系统紧密结合的反病毒软件。 CIH 病毒是一种运用最新技术,会 Format 硬碟的最新病毒,通常都利用网路族上网时,进行传播 。目前最新的变种病毒为CIH 会在每月26 日发病,并会展现最强大的破坏力-Format 硬碟. CIH病毒平常并没有作什么破坏性的动作,也没有显示任何画面,只是占用部份记忆体而已。但是有些 32-bit的程式被感染之后,运作会不正常,甚至会造成当机。但是,CIH病毒长驻在主记忆体之后,每次 执行时,会检查电的日期是否为﹝4月26日﹞,如果是,它会透果你的电脑I/O部:CF8,CFD,CFE修改你 的电脑的某些设定,并且把你电脑所有硬盘的资料都毁了,甚至连硬盘数据区及引导区的资料都不在了 ,并且让电脑当机。当你重新开机,屏幕会出现&DISK BOOT FAILURE, INSERT SYSTEM DISK AND PRESS ENTER&(,请插入系统盘后敲击回车)。若是用软盘引导开机再执行C:指令,则出现&Invalid drive specification&(不可用的编号)。即使曾经有备份引导区资料,但是磁盘中的资料已全毁,可不可以开机已经没有意义了。
检测与预防
系统中感染了CIH病毒时,由于病毒时刻在监视系统中的文件使用情况,造成系统效率降低,而且有些自解压文件在病毒感染后被破坏,清除病毒后也不能使用,尤其是病毒发作时造成的破坏,后果更为严重。目前,防止CIH病毒的传染和破坏主要有两种方法:一是实时监测,不让病毒进入系统,如KILL98就采用了这种方法,其优点是比较安全,但影响系统的速度,有可能误报,而且对使用染有病毒的文件不方便。二是定期对系统进行病毒检查,清除文件中的病毒,这种方法比较简单,系统效率影响不大,但安全性不高。
实际上,CIH病毒第一次进入机器内存时,系统中感染病毒的文件是很少的,只是由于未能及时发现,才使病毒得以传播和蔓延。许多杀毒软件在检查文件中的病毒特征时,由于病毒代码先于杀毒软件获得文件的操作权,从而将病毒代码写进文件中,这就造成了系统中几乎所有的32位可执行文件都感染了CIH病毒的现象。
文件中的CIH病毒的检测比较简单,只要从32位可执行文件的PE文件头的偏移28H处获得程序的入口地址,对入口程序段进行扫描即可。
根据CIH病毒在感染文件前对病毒特征的判别,我们可以人为地在PE格式的EXE文件头的前一个字节的位置处写上55H或一个非零值,以骗过病毒对文件是否染毒的判别。而大多数杀毒软件在杀毒后,保留了文件头中的病毒特征,相当于对这些文件进行了免疫。
由于病毒主要来源于因特网和光盘,光盘文件上的病毒无法清除,始终是系统的隐患,而使用第一种方法则有可能使用户从网上下载文件失败,造成不必要的损失。根据对病毒代码的分析,我们介绍一种方法,它既不影响系统效率,也能使用户放心地使用网上下载的文件和光盘上的文件。
本文提供的方法主要有下列两个步骤:
1、检测内存中的病毒。如果在内存中发现病毒,则清除之,释放其占用的内存,并提示用户对文件进行检测。
2、对CIH病毒进行免疫。设置两重防线,使CIH病毒代码不能再进入内存,从根本上杜绝CIH病毒的传播和破坏。
具体过程是:
通过调用IFSMgr_InstallFileSystemApiHook,获得系统当前的文件系统钩子函数的地址和函数IFSMgr_InstallFileSystemApiHook的入口地址,根据获得的地址,扫描相应的,判断内存中是否有CIH病毒。
如果发现内存中有CIH病毒,调用VXD函数IFSMgr_RemoveFileSystemApiHook 先撤消其设置的文件系统钩子函数,然后利用函数_PageFree将其占用的内存释放。
由于病毒代码在调试寄存器dr0中保存了一个指向系统中原有的文件系统挂钩函数的地址的指针,病毒代码通过该指针转到系统原来的文件钩子函数中,病毒在驻留内存之前,先要检查该寄存器的值是否为零,以判断病毒代码是否已在内存中。因此,我们可以将该寄存器的值设置为,让病毒以为中已有病毒代码存在,从而不驻留内存,这是第一道防线。
考虑到寄存器dr0的值可能被其它程序修改,让病毒代码获得进入内存的机会,我们再设置第二道防线。在内存高端申请一页内存空间,驻留一段代码在这一内存空间中,修改系统中IFSMgr_InstallFileSystemA piHook函数的入口地址,使其指向我们自己设置的代码,该代码负责监视文件系统钩子函数的安装过程,如果是病毒代码要进入内存,则拒绝让其进入,并释放其申请的内存。
有了这两道防线,就能较好地防止CIH病毒进入内存,即便是运行染有病毒的程序,也不会对系统造成不利的影响。
首先用户应该确定自己计算机主板的BIOS是那种类型的,如果是不可升级型的,用户只需对改回去的CMOS的参数进行重新设置即可。如果用户的计算机BIOS是可升级型的。如果出现 CIH病毒发作的症状,不要重新启动计算机从C盘引导系统,而应该及时进入设置程序,将设置为a盘然后A 盘引导系统,之后用杀毒软件对系统软件造成破坏后该怎样办呢?首先使用杀毒软件对硬盘进行彻底杀毒,之后再对系统软件和应用软件进行重新安装。可以在被 CIH病毒破坏的基础上直接安装,这种方法较简单,但会造成硬盘空间的浪费,因为这将带来一些垃圾文件;另一种方法是将用户的重要数据进行备分,之后对硬盘进行格式化,重新安装系统程序和应用程序,这样能节省硬盘空间。
硬盘修复办法
首先使用瑞星杀毒盘启动机器,然后运行瑞星杀毒软件DOS版,选择菜单中的项,本程序将自动分析硬盘是否需要修复。
1)如果出现“The hard disk is ok, needn't recover! Enter = return to main menu”信息,则表示硬盘系统是好的,不需要修复。
2)如果出现红色提示框,报告用户硬盘的分区信息和文件分配表()的类型,用户首先应该确认该提示信息
CIH病毒之后的数据恢复是否正确。然后,再根据以下提示信息选择是否进行恢复。 “Recovery Partition Table?(Y/N)”&若选择“Y”,则瑞星杀毒软件将自动恢复硬盘的分区信息。&如果选择“N”,则瑞星杀毒软件将返回主菜单。恢复硬盘分区结束后,将提示:“Recovery Drive C:(Y/N)”询问用户是否继续恢复C盘的文件。如果选择“Y”,则瑞星杀毒软件将自动恢复C盘中的文件。如果选择“N”,则瑞星杀毒软件将返回主菜单。在恢复硬盘分区后,可以重新启动机器,此时可以看到完全恢复的D、E等扩展逻辑分区;在恢复硬盘分区后,再进一步恢复C盘的文件后,机器,则不仅可以找到扩展的逻辑分区,而且可以看到C盘上恢复的文件目录,这些目录名为“RISING.XXX”(XXX为0-999的数字编号)。这时扩展分区已恢复正常,将C盘中各个目录中的重要文件进行备份。
&3)如果出现“The hard disk can't be recovered, Enter= return to main menu”信息, 则表示逻辑盘数据使用此功能无法恢复。当本功能无法恢复硬盘数据时,可以与瑞星公司联系或由其他专业数据恢复人员进行分析,使用其他方法进行恢复,以确保重要不丢失。
当用户的硬盘数据一旦被CIH病毒破坏后,使用的F10功能,可修复的程度如下: 1.C盘为2.1G以上,原是32位的,C分区的修复率为98%,D,E,F等分区的修复率为99%,配合手工C,D,E,F等分区的修复率为100%。
2.硬盘容量为2.1G以下,原FAT表是16位的,C分区的修复率为0%,D,E,F等分区的修复率为99%,配合手工C,D,E,F等分区的修复率为100%。因为原C盘是16位的短FAT表,所以C盘的FAT表和根目录下的文件目录都被CIH病毒乱码覆盖了。KV3000可以把C盘找回来,虽然根目录的文件名字已被病毒乱码覆盖看不见了,但文件的内容影像还存储在C盘内的某写扇区上。推荐用KV3000找回C盘,再用文件修复软件TIRAMISU.EXE可将C盘内的部分文件影象找回来(需要了解这个软件的朋友可以访问公司的主页http : //……是不是在这个网站上找不到有关TIRAMISU的内容?呵呵,其实现在TIRAMISU已经被整合到Ontrack公司的旗舰产品—EasyRecovery中。相关的详细介绍可以参照下文中的“”),如果原存放文件影象的簇是相连的,找回的文件就完整无损。
但对于FAT16的C盘是不是中了CIH就没救呢?您还是可以尝试一下( ftp : //www.newhua/com/fixmbr102a.zip),FIXMBR是一个DOS应用程序,完全遵守DOS的程序的操作规范。如果执行FIXMBR/?即可得到FIXMBR的帮助信息。如下: Usage : FIXMBR [DriveNo] [/A] [/D] [/P] [/Z] [/H] DriveNo Hard disk scope 0-3 , default is all drive (指硬盘号,0表示第一个硬盘) /A Active DOS partition(激活基本DOS分区) /P Display partition(显示DOS分区的结构) /D Display MBR(显示主引导记录内容) /Z Zero MBR(将主引导记录填零) 缺省的情况下将检查MBR结构,如果不正常将提示是否修复。回答“Y”后将搜索分区。 如果搜索到分区后将提示是否修改MBR,回答“Y”后就将修复完成。如果这时出现死机现象,请将BIOS中的防病毒功能禁止后再做。 缺省的状态下将搜索所有已经存在的硬盘,并完成以上操作。如果完成的结果不对,可以用/Z参数将结果清空后重新启动,就可以恢复到原来的状态。但它不支持和的分区,对FAT32分区表支持也有限。它可以通过全盘搜索决定硬盘分区,并重新构造主引导扇区。由于软件只修改主引导扇区记录,对其他扇区不进行写操作,故一般不会带来不安全目录(如果修复得不理想,请DiskEdit等工具进行手工修复)。注意:FIXMBR是一个比较老的程序。
由于病毒破坏硬盘的方式实在太多,而且大部分破坏都无法用一般软件轻易修复(如果您喜欢使用DiskEdit等磁盘扇区编辑工具,对某些情况还有一线希望),所以我们最好的办法就是安一个好的杀毒软件。下面我们来看看病毒在哪方面的破坏不能恢复呢?分区表破坏,可能是数据损坏中除了物理损坏最严重的一种灾难性破坏。其原因主要有以下几种:
1.个人无操作删除分区,只要没有进行其他的操作完全可以恢复。
2.安装多系统引导软件或采用第三方分区工具,有恢复的可能。
3.病毒破坏可以部分或者全部恢复。
4.利用Ghost克隆分区/硬盘破坏,只可以部分恢复或者不能恢复(用的朋友要小心了)。
据国外的一个主业数据恢复公司调查,数据损坏以后很大程度上是可以恢复的。之所以有很多不能恢复的实例存在,90%以上是由于用户在后来的恢复过程中有无操作,从而造成了更大的破坏。所以希望朋友们牢记以下2点:
1.在硬盘数据出现后,请立即关机,不要再对硬盘进行任何写操作,那样会增大修复的难度,也影响到修复的成功率。
2.每一步操作都应该是(就像Norton Disk Doctor中的Undo功能)或者对故障硬盘是只读的(大名鼎鼎的和都是这种工作原理)。
如果在遇到以上情况,可以用以上这个软件,这个软件包含在Norton Utility系列工具中,功能十分强大,可以恢复分区记录,FAT表,需要注意的是它对硬盘的操作不是只读的,因此需要每一步都做好文件,这样即使误操作也可以恢复,配合DiskEdit在分区表不能恢复时也可以恢复部分文件,可惜Norton Disk Doctor不支持NTFS分区,这不能不说好是它的一大遗憾之处。
老资料:关于CIH病毒,刘旭先生答记者问
这段对话应该是在98年或更早,距今天快十年了
先生答记者问::有关CIH病毒的消息,我们通过网络有了一些了解,在国内得到正式的消息是9月1日公安部的病毒通报,国内的反病毒厂商对此反应速度很快,瑞星公司首先向公安部提供有关CIH病毒比较详细资料,请问你是何时发现该病毒的?刘旭:7月8日前后,Internet网上对CIH病毒有了一些讨论,而在此之前的6月初,CIH病毒已被发现,我在国内最早发现是8月月4日,一个瑞星软件的用户打电脑告知发现一个新病毒,因为这是一家软件公司(在此不便透露),他们对电脑也很了解,希望我们帮助清除.我当天拿到了病毒的样本,凭经验来看,看这个病毒很小,其代码量没有超过1K,相当的小,我当时感觉这个病毒不会有什么危害,只是很仔奇,因为它是目前国内发现的唯一一个感染Windows 95/98系统文件的病毒。
记者:那么当时您是如何处理这个病毒的?
刘旭先生刘旭:按照我们惯常对待新病毒的方法,首先要分析病毒的结构,然后编制相应的程序,实现对这个病毒的查找和杀灭,这一步大概用了十天时间,当时手头的病毒标本是CIH1.4版的,我专门编写了查杀该病毒的程序,并在各种可能的情况下进行测试,效果相当不错,其后用户又提供了几个病毒样本,分别是、CIH1.3版,我又针对这两个版本重新调整了杀毒模块。然后,我开始着手解剖CIH病毒,发现它具有多种功能,它可以读CMOS中的时间数据,然后根据条件比较,如果条件适当(1.2版4月26日,1.3版6月26,1.4版每月26日)便转入发作程序,发作部分为两部分,一部分直接存取FLASH BIOS端口,将一堆垃圾码写入BIOS芯片中,BIOS不可恢复,这部分是专门用来破坏BIOS的;另一部分则调用VXD的直接对硬盘进行存取,将垃圾码以2048个扇区为单位循环写入硬盘直到所有硬盘(含)的数据均被破坏为止。因此,所有硬盘中的数据均不能恢复,所以一旦病毒发作,其损失难以估量。
记者:CIH病毒为什么能破坏?刘旭:CIH病毒是针对现有计算机的弱点而编制出来的。从编程手段上来看,它的确可以称得上是计算机病毒的杰作。因为它的两个基本特点是其他病毒所不具备的,其一是它采用了Windows VxD技术;其二是它可以利用现在计算机BIOS可以写入的特点,通过程序可以改写BIOS的内容。在这里需要说一说BIOS。BIOS是电脑硬件系统中必备的一个组成部分,中文称为””,其中存放的都是系统最基本的硬件参数和驱动程序:以便识别出各种硬件设备,BIOS又俗称“”。现在存放BIOS多采用Flash芯片,这种芯片可以通过程序来更改,有些主板厂商利用这种芯片的特性,提供对BIOS的升级程序,以便支持更多的硬件设备,CIH病毒就是利用BIOS可改写这一特性来实现对硬件系统的攻击的。
记者:这样说早期采用EPROM的计算机可以避免被CIH病毒攻击?刘旭:是这样的;CIH病毒并不攻击所有计算机的硬件系统,只是对一部分计算机构成威胁,这要看CIH病毒是否改写BIOS成功,但是CIH病毒最致命的破坏是在发作时对硬盘系统的破坏,这是每一台感染CIH病毒的计算机都不可避免的。CIH病毒在发作时首先攻击BIOS,不管攻击成功或失败,它都会进一步攻击硬盘,将垃圾码以2048个扇区为单位循环写入硬盘,知道所有硬盘(含逻辑盘)的数据均被破坏为止,发作现象是硬盘不停的运转,再次启动时失败,此时硬盘只能重新分区并格式化,所有数据丢失。对于计算机用户来说,这是最难以接受的。从目前的情况看,对于病毒发作所损毁的硬盘,其数据很难恢复。
记者:这真是一只凶狠的恶性病毒:目前对于用户来说。有什么预防的办法吗?刘旭:就我的了解,国外反病毒软件厂商提供了一些反病毒软件,相对于国内反病毒厂商来说要早。但从多查杀效果上来看。还存在一些问题,主要是对于病毒的消除不彻底。我编制的瑞星杀病毒软件9.0版用了多种技术,其中比较特殊的是DOS版和WINDOWS版联合使用因为CH病毒传染的是Windows 95/98的可执行文件(EXE文件),当WINDOS启动之后,会使用到一些执行文件,这些文件染毒后,即使查到也无法杀灭,因为此时文件处于禁写状态。所以应当先用干净系统盘启动后,用瑞星的D0S版先清查整个系统,然后安装瑞星的Windows版软件,由于这个病毒发作后破坏力巨大,所以我专门在瑞星9.0中加入了一个功能模块,也就是定时查毒功能,用户可自行定义按小时、天、星期自动查毒,所有查毒工作均在后台完成不影响电脑的正常使用。
记者:国内的反病毒软件厂商都推出了针对CIH病毒的软件,您认为各家的反病毒软件都怎么样?刘旭:我是搞技术出身的,十多年来一直和计算机病毒打交道,这次对CIH病毒反应比较迅速可能与我的习惯有关,因为几乎每见到一新病毒,我都会把它解剖一番,这是从做瑞星防毒卡时就留下的习惯了。我刚拿到CIH病毒时,也没太在意,因为它的代码量太少,不应当有什么太多的功能,引起我好奇的主要有两个原因,一是因为它感染Windows 95/98的系统文件,二是寄生的文件长度不改变:所以我非常仔细解剖了这个病毒,才发现它极具攻击性。8月21日我完成了整个的编制,并将其放于瑞星的BBS站点上供用户下载;8月25日我带着全套病毒资料向公安部十一局报了案,引起了公安部的高度重视:8月31日发布病毒通报;9月1日瑞星公司召开新闻发布会,向各大媒体通报了CIH病毒的情况:应当说这次瑞星的动作是很快的。对于竞争厂商的竞争产品,在此我不便多说,但有些人把BIOS和CMOS混为一谈。其实目前流行的该病毒只有三个变种,分别是V1.2,版木长度为1003字节,V1.3版本长度为1040字节,V1.4版本长度为,1019字节,其中V1。4版本是每月26日发作。另外还有两种没有向外流传的病毒:V1.0版本656字节,V1.1,版本796字节。
记者:能否再问一个问题,您觉得一个消费者该如何选择反病毒软件呢?刘旭:我记得有人曾跟我谈现在品牌竞争,所有的反病毒软件都差下多,只要选准一个品牌就可以了,这个观点我不赞同,因为编病毒与反病毒之间纯粹是一场的较量,凭的是真正的技术,单靠品牌是无法让用户满意的。有时我甚至觉得,我真的很喜欢新奇的病毒,这可能与我搞技术有关(笑),新的病毒的确能让我兴奋起来。就象职业杀手在追杀他的猎物一样(笑),但这种病毒能给反病毒厂商提供机会,这是显露技术水平的一次难得的机会。&在这里多谈两句,瑞星在反病毒领域走过一段弯路,主要是在防病毒卡向防病毒软件转变的过程中没有很好的过渡,现在应当说我们又走在了前头,我建议用户不妨试验一下瑞星杀宏病毒的功能,相信用户一定会满意,因为我花了两个多月的时间搞清了和文件的结构。记者:谢谢!希望有机会再能向你请教。刘旭:不用谢。
4·26给我们的启示
日,被称为“”的CIH电脑病毒凶猛地扑向全球未设防的计算机和网络系统,全世界至少有6000万台计算机受到它的侵害,大面积的网络系统处于瘫痪状态,用户的硬盘数据遭到严重破坏。回想当时的惨状,我们不由得会问:为什么当时面对宏病毒的肆虐,却防不胜防呢?
追根溯源,当时由于大众对计算机安全防范意识、计算机反病毒技术的认识比较淡薄,为病毒对电脑的侵袭提供了温床。另一方面,当时的厂商仍然停留在“见毒杀毒”的初级状态。当病毒出现,用户只能被动的在中毒之后,才会采取用杀毒盘来杀除文件中病毒的方法,完全出于被动的补救杀毒方式显然已经。
缉毒技术为根
与之形成鲜明对比的是目前国内计算机反病毒厂商纷纷推出针对各种病毒的全面解决方案,不仅提高了我国的信息安全技术,同时也为用户的电脑提供了有预见性的、全方位、立体化、实时的安全保证。
反病毒厂商在近两年的研发较量中,不断推进反病毒技术的发展。基于Windows、Linux、Unix等平台的单机版杀毒软件和企业版杀毒软件层出不穷,而且在技术上不断出现新的突破。今年年初,伴随着中国加入世贸组织和国外安全厂商的介入,国内企业如瑞星、等老牌杀毒厂商,凭借研发技术的深入和突破,先后推出了针对目前计算机网络中“”的电子邮件防毒杀毒的新品,同时推出了崭新的杀毒新概念,比如瑞星公司推出的中独具的“”,这是一项在国际上惟一一个能有效地对付内存型病毒的技术。
安全体系为本
高精尖的杀毒技术是国内反病毒厂商生存和竞争的资本,但仅仅依靠技术是不够的。全面的提升杀毒防毒意识,全方位立体的组建杀毒网络,提供实时的杀毒咨询和修复的服务才是2002年杀毒厂商能够在竞争中脱颖而出的胜出要素。
现在当有破坏性极大的恶性病毒出现,通过病毒监测网络,可以及时截获病毒,并以最快的反应速度,做出解决方案,并通过巨大的网络体系对病毒进行预警工作。无论是著名的国际厂商,还是崛起的国内反病毒厂商在此方面都有所建树。及时准确地通报疫情,快速反应,提供有效的解决方案。这些都保障了有效的控制病毒的泛滥,最大限度地减少病毒带来的损失。
作为成熟的反病毒企业,建立全国范围内的计算机网和全国反病毒服务网是不能忽视的重要工作。回顾1999年CIH病毒之所以能够大面积发作,其中一个原因也在于我们的反病毒服务网络还不是很健全。我们从瑞星公司了解到,瑞星已经与新华社、全国晚报协会、北京电视台等八十余家媒体组建成了覆盖全国的计算机病毒预报网,广大计算机用户可以及时了解最新的病毒信息,并尽早采取防范措施,将中毒几率降低至最小值。同时瑞星还在全国范围内建立3000多家瑞星,以组成全国反病毒服务网,用户不仅可以从网上不断升级软件,提升软件的防毒指数,而且也可以通过瑞星的服务体系享受到周到细致的、、等服务。
服务网络为责
拥有了先进的反毒技术并组建了庞大密集的,对于用户而言还是无法切身地体会到反病毒厂商真正存在的价值。但当用户从杀毒软件的经销商那里获得了杀毒常识和相关的技术支持;当用户计算机出现硬盘数据丢失而有处可找;当用户通过阅读报纸获得最新病毒信息和防治措施;当用户习惯性地通过网络为杀毒软件升级的时候,反病毒企业的自身价值才真正在消费者心目中得到了体现。
通过了解国内反病毒厂商建立的全方位的信息安全网络体系,会发现当我们遭遇新病毒,尤其是极具破坏力的病毒的时候,不会再束手无措,也不会为电脑遭到损坏而痛心了。因为从病毒发作的第一刻起,就有反病毒专家在第一时间捕捉病毒,并在最短时间内将解决方法告知天下,极大的减少了病毒对与信息安全的威胁。
2002年的“4·26”即将到来,但此时的用户无需再为自己的电脑担忧,因为我们的身边已经有了一群优秀的反病毒专家,有了他们的帮助和努力,我们的计算机将离病毒越来越远。
上午,在军方人员的护送下,正在军中服役的CIH电脑病毒作者被带到了台北“刑事
CIH病毒作者局”接受警方的侦讯。&让办案的警方人员大感意外的是,搞出震惊全球的电脑病毒的陈盈豪在记者们的闪光灯包围中差一点当场瘫倒在地。当陈盈豪踏入台北“”的大门后,面对早早就等在那里的数十名记者的闪光灯一时间情绪失控,只见他浑身发抖,面无血色,两腿发软,几乎无法自己走路!&颇有经验的办案人员没有采取单刀直入的惯用方式对陈盈豪进行问讯,而是先跟他谈他在大学里过去的女朋友、他的家人、大学生活以及与电脑有关的知识,这才让陈盈豪的情绪逐渐恢复了平静。&& 为了进一步调解陈盈豪的情绪,办案人员打开了侦讯室的电脑让他上网。非常巧的是,他一上网就发现他的母校—台湾大同工学院的一位学妹非常崇拜这位制造了震惊全球“”的老大哥,并且希望有机会约他吃饭。陈盈豪看了这封电子邮件后顿时精神焕发,脸上露出了笑容,很快就恢复了常态。这时的陈盈豪已经不害怕警方对他拍照,表示愿意配合警方的调查,跟几分钟前简直判若两人。&心情恢复平静的陈盈豪开始向警方侃侃而谈他制造病毒的“”。陈盈豪说,他从大学一年级开始就痴迷上了电脑,每天都要上网,下载最热门的软件、游戏,因此也经常遭遇电脑病毒。为了解决电脑屡屡“中毒”的烦恼,他看报纸,买了不少广告做得天花乱坠的防病毒软件,结果往往什么用也没有,于是觉得自己被欺骗了。而CIH 病毒完全是他一人设计的,目的是想出一家公司在广告上吹嘘“”防毒软件的洋相。他一共设计了五个版本CIH病毒,其中V1.0、V1.1两个版本没有流出去,而这次危害世界各国的病毒是V1.2版。病毒发作的时间之所以定在4月26日, 因为那是他的高中座号,也是他的绰号。&“电脑天才”:谈恋爱搞社交样样不行,玩电脑编程序绝不服输&如果说陈盈豪在台湾警察们的眼里只是“”的话,那么他的、、和倒觉得他是一个地道的“电脑天才”。&& 陈盈豪的母亲十分担心自己的儿子会被法院判重刑,再三强调她的儿子不是故意的,不然的话就不会把自己的姓名缩写当成病毒的名称。陈盈豪的母亲说,她的儿子是在上中学的时候就喜欢玩电脑的,经常到家境比较宽裕的同学家中或者学校玩电脑,上高中后专心研究电脑软件程序,有时候还会编一些游戏软件跟同学们一起玩。“一口流利的台语,夏天常是一件、,穿着,一副没有睡醒的样子就来上课。”这是陈盈豪在大学同学眼中最典型的形象。 除了这身打扮有些“老土”不起眼外,陈盈豪只要一开口就是电脑,买的全是电脑方面的书。当别人自以为是电脑通的时候,他总会找机会在那人面前露一手,让对手羞得无地自容。&陈盈豪有台湾南部人典型的好脾气,在大同工学院学习时尽管不善交际,但人缘却不差,并且有不少好朋友。他
CIH病毒作者的同学们一致认为,陈盈豪在上大学前就有相当的电脑基础,进了大学后,他的电脑知识更是突飞猛进。陈盈豪对电脑课非常感兴趣,大学一年级的“”的成绩非常拔尖,就连平时的谈话也多半在电脑里打转。同学们谈女生,谈电影新片时,陈盈豪就显得非常地无趣,偶然插一两句话也让同学们有一种“话接不下去”的感觉。&在老师们的眼里,陈盈豪在学校的表现并不十分突出,只是在电脑软件方面有更深的兴趣,也有小聪明,但人很老实。要不是这次捅了个天大漏子的话,他肯定算不上“”。大同工学院多年来的表现也十分平常名气不大不小。有的老师认为,经过这么一折腾,大同工学院的“知名度”顿时大增,这让学校觉得啼笑皆非。& 在陈盈豪一家居住的高雄市三民区,左邻右舍不但对身边竟然出了个如此一号人物表示吃惊,似乎对陈盈豪和他的家人没有什么了解。邻居们说,只知道陈盈豪大概去年从大学毕业,在家待了一阵子,很少看到他。陈盈豪和妈妈还有两个妹妹住在一起,很少看见他的父亲,平常他们家和邻居也很少打招呼,更不知道他会玩电脑,而且还制造出让人惊慌的电脑病毒,而这一切现在已成为邻居们最新的话题。&“电子”:家有,“军情局”吓得退避三舍&陈盈豪在接受“”的侦讯后由于情绪还不稳定,因此当天被马上送回花莲营区,由军方把他送到花莲总医院住院观察。经过医生的初步诊断,陈盈豪有烦躁不安、忧郁的倾向。医生表示,陈盈豪主动说他觉得自己的情绪不稳定,而根据院方的资料显示,陈盈豪三月份还曾经看过精神科医生。此外,陈盈豪的家族竟然有精神病病史。&此外,台湾媒体还曝光一个惊人的秘密:陈盈豪在部队服役的时候曾经向军方自夸说,他可以设计出一种导致军用电脑瘫痪的程序。台湾“军情局”对此万分感兴趣,准备把他收归麾下,充当电子战的专家。然而,在他们调查了陈盈豪的家史后,他们发现陈的精神状态不稳定,并且有家族精神病史。因此,台“军情局”不但没有将他收编,还要求他立即退役!&其后陈盈豪在花莲总医院精神科接受就诊观察。精神科主治医师表示,陈盈豪曾有两次门诊记录,但在诊断过程中并无明显的躁郁症症状,只是出现的情形,而此可能与陈盈豪在部队生活适应不良有关。
CIH终结者 V2.0&& /08//10038_3.shtml
Duba_CIH(CIH病毒专杀工具)& .cn/html_2/1/66/id=7421&pn=0.html
瑞星“()”病毒专杀工具 v1.2& http://www.newasp.net/Soft/softdown.asp?softid=6672&
金山毒霸“CIH”病毒专杀& /soft/zs/.html
为本词条添加和相关影像
互动百科的词条(含所附图片)系由网友上传,如果涉嫌侵权,请与客服联系,我们将按照法律之相关规定及时进行处理。未经许可,禁止商业网站等复制、抓取本站内容;合理使用者,请注明来源于。
登录后使用互动百科的服务,将会得到个性化的提示和帮助,还有机会和770多万专业认证智愿者沟通。
您也可以使用以下网站账号登录:
此词条还可添加&
编辑次数:9次
参与编辑人数:7位
最近更新时间: 14:39:03
贡献光荣榜
扫描二维码用手机浏览词条
保存二维码可印刷到宣传品
扫描二维码用手机浏览词条
保存二维码可印刷到宣传品
说的太好了,我顶!
Copyright & 2014 www.51yue.net Corporation, All Rights Reserved
Processed in 0.0602 second(s), 3 db_queries,
0 rpc_queries
