CIH病毒

CIH病毒是一位名叫陳盈豪的台灣大學生所編寫的，從台灣傳入大陸地區的。CIH的載體是一個名為“ICQ中文Chat模組”的工具，並以熱門盜版光碟遊戲如“古墓奇兵”或Windows95/98為媒介，經網際網路各網站互相轉載，使其迅速傳播。目前傳播的主要途徑主要通過Internet和電子郵件，當然隨著時間的推移，其傳播主要仍將通過軟碟或光碟途徑。

1998年6月2日，首例CIH病毒在中國台灣被發現；1998年6月6日，發現CIH 病毒V1.2版本；1998年6月12日，發現CIH 病毒V1.3版本；1998年6月30日，發現CIH 病毒V1.4版本；1998年7月26日，CIH病毒在美國大面積傳播；1998年8月26日，CIH病毒實現了全球蔓延，公安部發出緊急通知，新華社和新聞聯播跟進報導；1999年4月26日，CIH病毒1.2版首次大規模爆發，全球超過六千萬台電腦受到了不同程度的破壞。此後，陳盈豪公開道歉並積極提供解毒程式和防毒程式，CIH病毒逐漸得到有效控制。

這個病毒的死灰復燃是在2001年。一個用珍妮佛洛佩茲的裸照偽裝的VBScript文檔里的愛蟲病毒的一個變種包含CIH病毒的掛鈎例程，從而使該病毒在網際網路上傳播開來。但由於CIH病毒只在windows 95、98和windows Me系統上發作，且人們對它的特性也有所了解，因此造成的損失有限。

一個修改版本是CIH.1106，發現於2002年12月，但是沒有嚴重的破壞性。

CIH病毒屬檔案型病毒，殺傷力極強。主要表現在於病毒發作後，硬碟數據全部丟失，甚至主機板上BIOS中的原內容也會被徹底破壞，主機無法啟動。只有更換BIOS，或是向固定在主機板上的BIOS中重新寫入原來版本的程式，才能解決問題。當然，CIH對BIOS的破壞，也並非想像中的那么可怕。 現在PC機基本上使用兩種唯讀存儲器存放BIOS數據，一種是使用傳統的ROM或EPROM，另一種就是E2PROM。廠家事先將BIOS以特殊手段“燒”入（又稱“固化”）到這些存儲器中，然後將它們安裝在PC機里。當我們打開計算機電源時，BIOS中程式和數據首先被執行、載入，使得我們的系統能夠正確識別機器里安裝的各種硬體並調用相應的驅動程式，然後硬碟再開始引導作業系統。 固化在ROM或EPROM中的數據，只有施加以特殊的電壓或使用紫外線才有可能被清除，這就是我們打開有些計算機機箱時，可能會看到有塊晶片上貼著一小塊銀色或黑色紙塊的原因——防止紫外線清除BIOS數據。要清除存儲在這類唯讀存儲器中的數據，僅靠計算機系統內部的電壓是不夠的。所以，僅使用這種唯讀存儲器存儲BIOS數據的用戶，就沒有必要擔心CIH病毒會破壞BIOS。 但最新出產的計算機，特別是Pentium以上的計算機基本上都使用了EEPROM存儲部分BIOS。EEPROM又名“電可改寫唯讀存儲器”。一般情況下，這種存儲器中的數據並不會被用戶輕易改寫，但只要施加特殊的邏輯和電壓，就有可能將EEPROM中的數據改寫掉。使用PC機的CPU邏輯和計算機內部電壓就可輕易實現對EEPROM的改寫，這正是我們通過軟體升級BIOS的原理，也是CIH破壞BIOS的基本方法。 改寫EEPROM內的數據需要一定的邏輯條件，不同PC機系統對這種條件的要求可能並不相同，所以CIH並不會破壞所有使用EEPROM存儲BIOS的主機板，目前報導的只有技嘉和微星等幾種5V主機板，這並不是說這些主機板的質量不好，只不過其EEPROM邏輯正好與CIH吻合，或者CIH的編制者也許就是要有目的地破壞某些品牌的主機板。 所以，要判斷CIH對您的主機板究竟有沒有危害，首先應該判別您的BIOS是僅僅燒在ROM/EPROM之中，還是有一部分使用了EEPROM。 需要注意的是，雖然CIH並不會破壞所有BIOS，但CIH在“黑色”的26日摧毀硬碟上所有數據遠比破壞BIOS要嚴重得多——這是每個感染CIH病毒的用戶不可避免的。

CIH病毒別名有Win95.CIH、Spacefiller、Win32.CIH、PE_CIH，它主要感染Windows95/98下的執行檔(PE格式，Portable Executable Format)，不感染DOS以及WIN 3.X(NE格式，Windows and OS/2 Windows 3.1 execution File Format)下的執行檔，並且在Win NT中無效。其發展過程經歷了v1.0，v1.1、v1.2、v1.3、v1.4總共5個版本，最流行的是v1.2版本.

CIH病毒

CIH病毒各種不同版本的隨時間的發展不斷完善，其基本發展歷程為：

最初的V1.0版本只有656位元組，其顯得比較簡單，與普通類型的病毒在結構上並無多大的改善，其最大的“賣點”是在於其是當時為數不多的、可感染Microsoft Windows PE類執行檔的病毒之一， 被其感染的程式檔案長度增加，此版本的CIH不具有破壞性。

當其發展到v1.1版本時，病毒長度為796位元組，此版本的CIH病毒具有可判斷WinNT軟體的功能，一旦判斷用戶運行的是WinNT，則不發生作用，進行自我隱藏，以避免產生錯誤提示信息，同時使用了更加最佳化的代碼，以縮減其長度。此版本的CIH另外一個優秀點在於其可以利用WIN PE類執行檔中的“空隙”，將自身根據需要分裂成幾個部分後，分別插入到PE類執行檔中，這樣做的優點是在感染大部分WINPE類檔案時， 不會導致檔案長度增加。

當其發展到v1.2版本時，除了改正了一些v1.1版本的缺陷之外，同時增加了破壞用戶硬碟以及用戶主機 BIOS程式的代碼，這一改進，使其步入惡性病毒的行列，此版本的CIH病毒體長度為1003位元組，病毒發作時間為每年的4月26日。

原先v1.2版本的CIH病毒最大的缺陷在於當其感染ZIP自解壓包檔案(ZIP self-extractors file)時，將導致此ZIP

壓縮檔在自解壓時出現：

WinZip Self-Extractor header corrupt.

Possible cause: disk or file transfer error.

的錯誤警告信息。v1.3版本的改進方法是：一旦判斷開啟的檔案是WinZip類的自解壓程式，則不進行感染。同時，此版本的CIH病毒發作時間修改為每年的6月26日。v1.3 版本的CIH病毒長度為1010位元組。

此版本的CIH病毒改進上上幾個版本中的缺陷，不感染ZIP 自解壓包檔案，同時修改了發作日期及病毒中的版權資訊(版本信息被更改為：“CIH v1.4 TATUNG”，在以前版本中的相關信息為“CIH v1.x TTIT”)，此版本的長度為1019位元組。 從上面的說明中，我們可以看出，實際上，在CIH的相關版本中，只有v1.2、v1.3、v1.4這3 個版本的病毒具有實際的破壞性.

CIH屬惡性病毒，當其發作條件成熟時，其將破壞硬碟數據，同時有可能破壞BIOS程式，其發作特徵是：

CIH病毒

1、以2048個扇區為單位，從硬碟主引導區開始依次往硬碟中寫入垃圾數據，直到硬碟數據被全部破壞為止。最壞的情況下硬碟所有數據(含全部邏輯盤數據)均被破壞，如果重要信息沒有備份，那就只有哭了！

2、某些主機板上的Flash Rom中的BIOS信息將被清除。

（1998-2004年）

1998年6月2日：台灣傳出首例CIH病毒報告

1998年6月6日：發現CIH V1.2版本

1998年6月12日：發現CIH V1.3版本

1998年6月26日：CIH V1.3版本造成一定程度的破壞

1998年6月30日：發現CIH V1.4版本

1998年7月：在INTERNET 環境中發現一個基於WIN98系統的分布感染實例

1998年7月26日：CIH病毒開始在美國大面積傳播

1998年8月：在Wing Commander 遊戲站點發現DEMO被感染

1998年8月：兩家歐洲的PC遊戲雜誌光碟被發現感染CIH

1998年8月26日：CIH 1.4 版本爆發, 首次在全球蔓延

1998年8月31日：公安部發出緊急通知，新華社、中央台新聞聯播全文播發

1998年9月：Yamaha為某個類型的CD-R驅動編寫的軟體被感染CIH

1998年10月：一個在全球發行的遊戲SiN的DEMO版被發現感染CIH

1999年3月：CIH 1.2 版本被發現在IBM 的Aptiva 機器中預裝

1999年4月26：CIH 1.2 版本首次大範圍爆發 全球超過六千萬台電腦被不同程度破壞

2000年4月26：CIH 1.2 版本第二次大範圍爆發，全球損失超過十億美元

2001年4月26：CIH 第三次大範圍爆發。僅北京就有超過六千台電腦遭CIH破壞

2002年4月26日：CIH病毒再次爆發，數千台電腦遭破壞

2003年4月26日：仍然有100多個CIH病毒的受害者

由於流行的CIH病毒版本中，其標識版本號的信息使用的是明文，所以可以通過搜尋執行檔中的字元串來識別是否感染了CIH病毒，搜尋的特徵串為“CIH v”或者是“CIH v1.”如果你想搜尋更完全的特徵字元串，可嘗試“CIH v1.2 TTIT”、“CIH v1.3 TTIT”以及“CIH v1.4 TATUNG”，不要直接搜尋“CIH”特徵串， 因為此特徵串在很多的正常程式中也存在，例如程式中存在如下代碼行： inc bx dec cx dec ax 則它們的特徵碼正好是“CIH(0x43;0x49;0x48)”，容易產生誤判。

具體的搜尋方法為：首先開啟“資源管理器”，選擇其中的選單功能“工具>查找>檔案或資料夾”，在彈出的“查找檔案”設定視窗的“名稱和位置”輸入中輸入查找路徑及檔案名稱(如：*.EXE)，然後在“高級>包含文字”欄中輸入要查找的特徵字元串--“CIH v”，最後點擊“查找鍵”即可開始查找工作。如果在查找過程中， 顯示出一大堆符合查找特徵的執行檔，則表明您的計算機上已經感染了CIH病毒。

實際上，在以上的方法中存在著一個致命的缺點，那就是：如果用戶剛剛感染CIH病毒，那么這樣一個大面積的搜尋過程實際上也是在擴大病毒的感染面。

一般情況下，推薦的方法是先運行一下“寫字板”軟體，然後使用上面的方法在“寫字板”軟體的可執行程式Notepad.exe中搜尋特徵串，以判斷是否感染了CIH病毒。 另外一個判斷方法是在Windows PE檔案中搜尋IMAGE_NT_SIGNATURE欄位，也就是0x00004550，其代表的識別字元為“PE00”，然後查看其前一個位元組是否為0x00，如果是，則表示程式未受感染，如果為其他數值，則表示很可能已經感染了CIH病毒。

最後一個判斷方法是先搜尋IMAGE_NT_SIGNATURE欄位--“PE00”，接著搜尋其偏移0x28位置處的值是否為55 8D 44 24 F8 33 DB 64，如果是，則表示此程式已被感染。

適合高級用戶使用的一個方法是直接搜尋特徵代碼，並將其修改掉，方法是：先處理掉兩個轉跳點，即搜尋：5E CC 56 8B F0 特徵串以及5E CC FB 33 DB特徵串，將這兩個特徵串中的CC改90(nop)，接著搜尋 CD 2C4 20 與 CD 20 67 00 40 00特徵字串，將其全部修改為90，即可（以上數值全部為16進制）。

CIH病毒是一種能夠破壞計算機系統硬體的惡性病毒。這個病毒產自台灣，集嘉通訊公司（技嘉子公司）手機研發中心主任工程師陳盈豪在其於台灣大同工學院念書期間製作。最早隨國際兩大盜版集團販賣的盜版光碟在歐美等地廣泛傳播，隨後進一步通過Internet傳播到全世界各個角落。 目前傳播的途徑主要通過Internet和電子郵件。計算機病毒的傳播已擺脫了傳統存儲介質的束縛，Internet和光碟現已成為加速計算機病毒傳播最有效的催化劑。CIH病毒只感染Windows95/98作業系統，從目前分析來看它對DOS作業系統似乎還沒有什麼影響，這可能是因為它使用了Windows下的VxD（虛擬設備驅動程式）技術造成的。所以，對於僅使用DOS的用戶來說，這種病毒似乎並沒有什麼影響，但如果是Windows95/98用戶就要特別注意了。正是因為CIH獨特地使用了VxD技術，使得這種病毒在Windows環境下傳播，其實時性和隱蔽性都特彆強，使用一般反病毒軟體很難發現這種病毒在系統中的傳播。 CIH病毒每月26日都會爆發（有一種版本是每年4月26日爆發）。CIH病毒發作時，一方面全面破壞計算機系統硬碟上的數據，另一方面對某些計算機主機板的BIOS進行改寫。BIOS被改寫後，系統無法啟動，只有將計算機送回廠家修理，更換BIOS晶片。由於CIH病毒對數據和硬體的破壞作用都是不可逆的，所以一旦CIH病毒爆發，用戶只能眼睜睜地看著價值萬元的計算機和積累多年的重要數據毀於一旦。CIH病毒現已被認定是首例能夠破壞計算機系統硬體的病毒，同時也是最具殺傷力的惡性病毒。 從技術角度來看，CIH病毒實現了與作業系統的完美結合。該病毒使用了Windows95/98最核心的VxD技術編制，被認為是牢固地連線到了作業系統底層，所以CIH病毒既不會向DOS作業系統傳播，也不會向WindowsNT作業系統擴散。CIH病毒的這一技術特點給使用傳統反病毒技術防治計算機病毒的人提出了巨大的挑戰，這是因為傳統反病毒工具基本上都是純DOS或工作在Windows95之下的仿真DOS應用程式，它們無法深入到Windows95/98作業系統的底層去徹底清除CIH病毒；另一方面，由於能夠與作業系統底層緊密結合，CIH病毒的傳播就更為迅速、隱蔽。防治類似CIH這種能夠與作業系統緊密結合的病毒最好的方法是使用本身能夠與各種作業系統緊密結合的反病毒軟體。 CIH 病毒是一種運用最新技術，會 Format 硬碟的最新病毒，通常都利用網路族上網時，進行傳播感染 。目前最新的變種病毒為CIH 會在每月26 日發病，並會展現最強大的破壞力-Format 硬碟. CIH病毒平常並沒有作什麼破壞性的動作，也沒有顯示任何畫面，只是占用部份記憶體而已。但是有些 32-bit的程式被感染之後，運作會不正常，甚至會造成當機。但是，CIH病毒長駐在主記憶體之後，每次 執行時，會檢查電的日期是否為﹝4月26日﹞，如果是，它會透過你的電腦I/O部：CF8，CFD，CFE修改你 的電腦的某些設定，並且把你電腦所有硬碟的資料都毀了，甚至連硬碟數據區及引導區的資料都不在了 ，並且讓電腦當機。當你重新開機，螢幕會出現"DISK BOOT FAILURE, INSERT SYSTEM DISK AND PRESS ENTER"(硬碟引導失敗，請插入系統盤後敲擊回車)。若是用軟碟引導開機再執行C:指令，則出現"Invalid drive specification"(不可用的驅動器編號)。即使曾經有備份引導區資料，但是磁碟中的資料已全毀，可不可以開機已經沒有意義了。

系統中感染了CIH病毒時，由於病毒時刻在監視系統中的檔案使用情況，造成系統效率降低，而且有些自解壓檔案在病毒感染後被破壞，清除病毒後也不能使用，尤其是病毒發作時造成的破壞，後果更為嚴重。目前，防止CIH病毒的傳染和破壞主要有兩種方法：一是實時監測，不讓病毒進入系統，如KILL98就採用了這種方法，其優點是比較安全，但影響系統的速度，有可能誤報，而且對使用染有病毒的檔案不方便。二是定期對系統進行病毒檢查，清除檔案中的病毒，這種方法比較簡單，系統效率影響不大，但安全性不高。

實際上，CIH病毒第一次進入機器記憶體時，系統中感染病毒的檔案是很少的，只是由於未能及時發現，才使病毒得以傳播和蔓延。許多防毒軟體在檢查檔案中的病毒特徵時，由於病毒代碼先於防毒軟體獲得檔案的操作權，從而將病毒代碼寫進檔案中，這就造成了系統中幾乎所有的32位執行檔都感染了CIH病毒的現象。

檔案中的CIH病毒的檢測比較簡單，只要從32位執行檔的PE檔案頭的偏移28H處獲得程式的入口地址，對入口程式段進行掃描即可。

根據CIH病毒在感染檔案前對病毒特徵的判別，我們可以人為地在PE格式的EXE檔案頭的前一個位元組的位置處寫上55H或一個非零值，以騙過病毒對檔案是否染毒的判別。而大多數防毒軟體在防毒後，保留了檔案頭中的病毒特徵，相當於對這些檔案進行了免疫。

由於病毒主要來源於網際網路和光碟，光碟檔案上的病毒無法清除，始終是系統的隱患，而使用第一種方法則有可能使用戶從網上下載檔案失敗，造成不必要的損失。根據對病毒代碼的分析，我們介紹一種方法，它既不影響系統效率，也能使用戶放心地使用網上下載的檔案和光碟上的檔案。

首先用戶應該確定自己計算機主機板的BIOS是哪種類型的，如果是不可升級型的，用戶只需對改回去的CMOS的參數進行重新設定即可。如果用戶的計算機BIOS是可升級型的。如果出現 CIH病毒發作的症狀，不要重新啟動計算機從C糟引導系統，而應該及時進入CMOS設定程式，將系統引導盤設定為a盤然後A 盤引導系統，之後用防毒軟體對系統軟體造成破壞後該怎樣辦呢？首先使用防毒軟體對硬碟進行徹底防毒，之後再對系統軟體和套用軟體進行重新安裝。可以在被 CIH病毒破壞的基礎上直接安裝，這種方法較簡單，但會造成硬碟空間的浪費，因為這將帶來一些垃圾檔案；另一種方法是將用戶的重要數據進行備份，之後對硬碟進行格式化，重新安裝系統程式和應用程式，這樣能節省硬碟空間。

首先使用瑞星防毒盤啟動機器，然後運行瑞星防毒軟體DOS版，選擇選單中的項，本程式將自動分析硬碟是否需要修復。

1）如果出現“The hard disk is ok, needn't recover! Enter = return to main menu”信息，則表示硬碟系統是好的，不需要修復。

2）如果出現紅色提示框，報告用戶硬碟的分區信息和檔案分配表（FAT）的類型，用戶首先應該確認該提示信息

是否正確。然後，再根據以下提示信息選擇是否進行恢復。

“Recovery Partition Table?(Y/N)”

若選擇“Y”，則瑞星防毒軟體將自動恢復硬碟的分區信息。

如果選擇“N”，則瑞星防毒軟體將返回主選單。

恢復硬碟分區結束後，瑞星防毒軟體將提示：“Recovery Drive C：(Y/N)”詢問用戶是否繼續恢復C糟的檔案。

如果選擇“Y”，則瑞星防毒軟體將自動恢復C糟中的檔案。

如果選擇“N”，則瑞星防毒軟體將返回主選單。

在恢復硬碟分區後，可以重新啟動機器，此時可以看到完全恢復的D、E等擴展邏輯分區；在恢復硬碟分區後，再進一步恢復C糟的檔案後，重新啟動機器，則不僅可以找到擴展的邏輯分區，而且可以看到C糟上恢復的檔案目錄，這些目錄名為“RISING.XXX”(XXX為0-999的數字編號)。這時擴展分區已恢復正常，將C糟中各個目錄中的重要檔案進行備份。 3）如果出現“The hard disk can't be recovered, Enter= return to main menu”信息， 則表示邏輯盤數據

使用此功能無法恢復。當本功能無法恢復硬碟數據時，可以與瑞星公司聯繫或由其他專業數據恢復人員進行分析，使用其他方法進行恢復，以確保重要數據不丟失。

當用戶的硬碟數據一旦被CIH病毒破壞後，使用KV3000的F10功能，可修復的程度如下：

1．C糟容量為2.1G以上，原FAT表是32位的，C分區的修復率為98%，D，E，F等分區的修復率為99%，配合手工C，D，E，F等分區的修復率為100%。

2．硬碟容量為2.1G以下，原FAT表是16位的，C分區的修復率為0%，D，E，F等分區的修復率也為99%，配合手工C，D，E，F等分區的修復率為100%。因為原C糟是16位的短FAT表，所以C糟的FAT表和根目錄下的檔案目錄都被CIH病毒亂碼覆蓋了。KV3000可以把C糟找回來，雖然根目錄的檔案名稱字已被病毒亂碼覆蓋看不見了，但檔案的內容影像還存儲在C糟內的某寫扇區上。推薦用KV3000找回C糟，再用檔案修復軟體TIRAMISU.EXE可將C糟內的部分檔案影象找回來（需要了解這個軟體的朋友可以訪問Ontrack公司的主頁，在這個網站上已經找不到有關TIRAMISU的內容。因為現在TIRAMISU已經被整合到Ontrack公司的旗艦產品——EasyRecovery中。相關的詳細介紹可以參照下文中的“分區表破壞”），如果原存放檔案影象的簇是相連的，找回的檔案就完整無損。

但對於FAT16的C糟是不是中了CIH就沒救呢？您還是可以嘗試一下FIXMBR，FIXMBR是一個DOS應用程式，完全遵守DOS的程式的操作規範。如果執行FIXMBR/？即可得到FIXMBR的幫助信息。如下： Usage : FIXMBR [DriveNo] [/A] [/D] [/P] [/Z] [/H] DriveNo Hard disk scope 0-3 , default is all drive （指硬碟號，0表示第一個硬碟） /A Active DOS partition（激活基本DOS分區） /P Display partition（顯示DOS分區的結構） /D Display MBR（顯示主引導記錄內容） /Z Zero MBR（將主引導記錄填零） 預設的情況下將檢查MBR結構，如果不正常將提示是否修復。回答“Y”後將搜尋分區。 如果搜尋到分區後將提示是否修改MBR，回答“Y”後就將修復完成。如果這時出現當機現象，請將BIOS中的防病毒功能禁止後再做。 預設的狀態下將搜尋所有已經存在的硬碟，並完成以上操作。如果完成的結果不對，可以用/Z參數將結果清空後重新啟動，就可以恢復到原來的狀態。但它不支持WinNT和Linux的分區，對FAT32分區表支持也有限。它可以通過全盤搜尋決定硬碟分區，並重新構造主引導扇區。由於軟體只修改主引導扇區記錄，對其他扇區不進行寫操作，故一般不會帶來不安全目錄（如果修復得不理想，請DiskEdit等工具進行手工修復）。注意：FIXMBR是一個比較老的程式。

由於病毒破壞硬碟的方式實在太多，而且大部分破壞都無法用一般軟體輕易修復（如果您喜歡使用DiskEdit等磁碟扇區編輯工具，對某些情況還有一線希望），所以我們最好的辦法就是安一個好的防毒軟體。下面我們來看看病毒在哪方面的破壞不能恢復呢？分區表破壞，可能是數據損壞中除了物理損壞最嚴重的一種災難性破壞。其原因主要有以下幾種：

1．個人無操作刪除分區，只要沒有進行其他的操作完全可以恢復。

2．安裝多系統引導軟體或採用第三方分區工具，有恢復的可能。

3．病毒破壞可以部分或者全部恢復。

4．利用Ghost克隆分區/硬碟破壞，只可以部分恢復或者不能恢復（用Ghost的朋友要小心了）。

據國外的一個主業數據恢復公司調查，數據損壞以後很大程度上是可以恢復的。之所以有很多不能恢復的實例存在，90%以上是由於用戶在後來的恢復過程中有無操作，從而造成了更大的破壞。所以希望朋友們牢記以下2點：

1．在硬碟數據出現後，請立即關機，不要再對硬碟進行任何寫操作，那樣會增大修復的難度，也影響到修復的成功率。

2．每一步操作都應該是可逆的（就像Norton Disk Doctor中的Undo功能）或者對故障硬碟是唯讀的（大名鼎鼎的EasyRecovery和Lost&Found都是這種工作原理）。

如果在遇到以上情況，可以用以上這個軟體，這個軟體包含在Norton Utility系列工具中，功能十分強大，可以恢復分區記錄，FAT表，需要注意的是它對硬碟的操作不是唯讀的，因此需要每一步都做好Undo檔案，這樣即使誤操作也可以恢復，Norton Disk Doctor配合DiskEdit在分區表不能恢復時也可以恢復部分檔案，可惜Norton Disk Doctor不支持NTFS分區，這不能不說好是它的一大遺憾之處。