CIH病毒

CIH病毒是一位名叫陳盈豪的中國台灣大學生所編寫的，從中國台灣傳入中國大陸地區的。CIH的載體是一個名為“ICQ中文Chat模塊”的工具，並以熱門盜版光盤遊戲如“古墓奇兵”或Windows95/98為媒介，經互聯網各網站互相轉載，使其迅速傳播。目前傳播的主要途徑主要通過Internet和電子郵件，當然隨着時間的推移，其傳播主要仍將通過軟盤或光盤途徑。

1998年6月2日，首例CIH病毒在中國台灣被發現；1998年6月6日，發現CIH 病毒V1.2版本；1998年6月12日，發現CIH 病毒V1.3版本；1998年6月30日，發現CIH 病毒V1.4版本；1998年7月26日，CIH病毒在美國大面積傳播；1998年8月26日，CIH病毒實現了全球蔓延，公安部發出緊急通知，新華社和新聞聯播跟進報導；1999年4月26日，CIH病毒1.2版首次大規模爆發，全球超過六千萬台電腦受到了不同程度的破壞。此後，陳盈豪公開道歉並積極提供解毒程式和防毒程式，CIH病毒逐漸得到有效控制。

這個病毒的死灰復燃是在2001年。一個用珍妮佛洛佩茲的裸照偽裝的VBScript文檔裏的愛蟲病毒的一個變種包含CIH病毒的掛鈎例程，從而使該病毒在互聯網上傳播開來。但由於CIH病毒只在windows 95、98和windows Me系統上發作，且人們對它的特性也有所瞭解，因此造成的損失有限。

一個修改版本是CIH.1106，發現於2002年12月，但是沒有嚴重的破壞性。

CIH病毒屬文件型病毒，殺傷力極強。主要表現在於病毒發作後，硬盤數據全部丟失，甚至主板上BIOS中的原內容也會被徹底破壞，主機無法啓動。只有更換BIOS，或是向固定在主板上的BIOS中重新寫入原來版本的程序，才能解決問題。當然，CIH對BIOS的破壞，也並非想像中的那麼可怕。 當時PC機基本上使用兩種只讀存儲器存放BIOS數據，一種是使用傳統的ROM或EPROM，另一種就是E2PROM。廠家事先將BIOS以特殊手段“燒”入（又稱“固化”）到這些存儲器中，然後將它們安裝在PC機裏。當我們打開計算機電源時，BIOS中程序和數據首先被執行、加載，使得我們的系統能夠正確識別機器裏安裝的各種硬件並調用相應的驅動程序，然後硬盤再開始引導操作系統。 固化在ROM或EPROM中的數據，只有施加以特殊的電壓或使用紫外線才有可能被清除，這就是我們打開有些計算機機箱時，可能會看到有塊芯片上貼着一小塊銀色或黑色紙塊的原因——防止紫外線清除BIOS數據。要清除存儲在這類只讀存儲器中的數據，僅靠計算機系統內部的電壓是不夠的。所以，僅使用這種只讀存儲器存儲BIOS數據的用户，就沒有必要擔心CIH病毒會破壞BIOS。 但最新出產的計算機，特別是Pentium以上的計算機基本上都使用了EEPROM存儲部分BIOS。EEPROM又名“電可改寫只讀存儲器”。一般情況下，這種存儲器中的數據並不會被用户輕易改寫，但只要施加特殊的邏輯和電壓，就有可能將EEPROM中的數據改寫掉。使用PC機的CPU邏輯和計算機內部電壓就可輕易實現對EEPROM的改寫，這正是我們通過軟件升級BIOS的原理，也是CIH破壞BIOS的基本方法。 改寫EEPROM內的數據需要一定的邏輯條件，不同PC機系統對這種條件的要求可能並不相同，所以CIH並不會破壞所有使用EEPROM存儲BIOS的主板，當時報道的只有技嘉和微星等幾種5V主板，這並不是説這些主板的質量不好，只不過其EEPROM邏輯正好與CIH吻合，或者CIH的編制者也許就是要有目的地破壞某些品牌的主板。 所以，要判斷CIH對您的主板究竟有沒有危害，首先應該判別您的BIOS是僅僅燒在ROM/EPROM之中，還是有一部分使用了EEPROM。 需要注意的是，雖然CIH並不會破壞所有BIOS，但CIH在“黑色”的26日摧毀硬盤上所有數據遠比破壞BIOS要嚴重得多——這是每個感染CIH病毒的用户不可避免的。

CIH病毒別名有Win95.CIH、Spacefiller、Win32.CIH、PE_CIH，它主要感染Windows95/98下的可執行文件(PE格式，Portable Executable Format)，不感染DOS以及WIN 3.X(NE格式，Windows and OS/2 Windows 3.1 execution File Format)下的可執行文件，並且在Win NT中無效。其發展過程經歷了v1.0，v1.1、v1.2、v1.3、v1.4總共5個版本，最流行的是v1.2版本.

CIH病毒各種不同版本的隨時間的發展不斷完善，其基本發展歷程為：

最初的V1.0版本只有656字節，其顯得比較簡單，與普通類型的病毒在結構上並無多大的改善，其最大的“賣點”是在於其是當時為數不多的、可感染Microsoft Windows PE類可執行文件的病毒之一， 被其感染的程序文件長度增加，此版本的CIH不具有破壞性。

當其發展到v1.1版本時，病毒長度為796字節，此版本的CIH病毒具有可判斷WinNT軟件的功能，一旦判斷用户運行的是WinNT，則不發生作用，進行自我隱藏，以避免產生錯誤提示信息，同時使用了更加優化的代碼，以縮減其長度。此版本的CIH另外一個優秀點在於其可以利用WIN PE類可執行文件中的“空隙”，將自身根據需要分裂成幾個部分後，分別插入到PE類可執行文件中，這樣做的優點是在感染大部分WINPE類文件時， 不會導致文件長度增加。

當其發展到v1.2版本時，除了改正了一些v1.1版本的缺陷之外，同時增加了破壞用户硬盤以及用户主機 BIOS程序的代碼，這一改進，使其步入惡性病毒的行列，此版本的CIH病毒體長度為1003字節，病毒發作時間為每年的4月26日。

原先v1.2版本的CIH病毒最大的缺陷在於當其感染ZIP自解壓包文件(ZIP self-extractors file)時，將導致此ZIP

壓縮包在自解壓時出現：

WinZip Self-Extractor header corrupt.

Possible cause: disk or file transfer error.

的錯誤警告信息。v1.3版本的改進方法是：一旦判斷開啓的文件是WinZip類的自解壓程序，則不進行感染。同時，此版本的CIH病毒發作時間修改為每年的6月26日。v1.3 版本的CIH病毒長度為1010字節。

此版本的CIH病毒改進上上幾個版本中的缺陷，不感染ZIP 自解壓包文件，同時修改了發作日期及病毒中的版權信息(版本信息被更改為：“CIH v1.4 TATUNG”，在以前版本中的相關信息為“CIH v1.x TTIT”)，此版本的長度為1019字節。 從上面的説明中，我們可以看出，實際上，在CIH的相關版本中，只有v1.2、v1.3、v1.4這3 個版本的病毒具有實際的破壞性.

CIH屬惡性病毒，當其發作條件成熟時，其將破壞硬盤數據，同時有可能破壞BIOS程序，其發作特徵是：

1、以2048個扇區為單位，從硬盤主引導區開始依次往硬盤中寫入垃圾數據，直到硬盤數據被全部破壞為止。最壞的情況下硬盤所有數據(含全部邏輯盤數據)均被破壞，如果重要信息沒有備份，那就只有哭了。

2、某些主板上的Flash Rom中的BIOS信息將被清除。

（1998-2004年）

1998年6月2日：中國台灣傳出首例CIH病毒報告

1998年6月6日：發現CIH V1.2版本

1998年6月12日：發現CIH V1.3版本

1998年6月26日：CIH V1.3版本造成一定程度的破壞

1998年6月30日：發現CIH V1.4版本

1998年7月：在INTERNET 環境中發現一個基於WIN98系統的分佈感染實例

1998年7月26日：CIH病毒開始在美國大面積傳播

1998年8月：在Wing Commander 遊戲站點發現DEMO被感染

1998年8月：兩家歐洲的PC遊戲雜誌光盤被發現感染CIH

1998年8月26日：CIH 1.4 版本爆發, 首次在全球蔓延

1998年8月31日：公安部發出緊急通知，新華社、中央台新聞聯播全文播發

1998年9月：Yamaha為某個類型的CD-R驅動編寫的軟件被感染CIH

1998年10月：一個在全球發行的遊戲SiN的DEMO版被發現感染CIH

1999年3月：CIH 1.2 版本被發現在IBM 的Aptiva 機器中預裝

1999年4月26：CIH 1.2 版本首次大範圍爆發 全球超過六千萬台電腦被不同程度破壞

2000年4月26：CIH 1.2 版本第二次大範圍爆發，全球損失超過十億美元

2001年4月26：CIH 第三次大範圍爆發。僅北京就有超過六千台電腦遭CIH破壞

2002年4月26日：CIH病毒再次爆發，數千台電腦遭破壞

2003年4月26日：仍然有100多個CIH病毒的受害者

由於流行的CIH病毒版本中，其標識版本號的信息使用的是明文，所以可以通過搜索可執行文件中的字符串來識別是否感染了CIH病毒，搜索的特徵串為“CIH v”或者是“CIH v1.”如果你想搜索更完全的特徵字符串，可嘗試“CIH v1.2 TTIT”、“CIH v1.3 TTIT”以及“CIH v1.4 TATUNG”，不要直接搜索“CIH”特徵串， 因為此特徵串在很多的正常程序中也存在，例如程序中存在如下代碼行： inc bx dec cx dec ax 則它們的特徵碼正好是“CIH(0x43;0x49;0x48)”，容易產生誤判。

具體的搜索方法為：首先開啓“資源管理器”，選擇其中的菜單功能“工具>查找>文件或文件夾”，在彈出的“查找文件”設置窗口的“名稱和位置”輸入中輸入查找路徑及文件名(如：*.EXE)，然後在“高級>包含文字”欄中輸入要查找的特徵字符串--“CIH v”，最後點擊“查找鍵”即可開始查找工作。如果在查找過程中， 顯示出一大堆符合查找特徵的可執行文件，則表明您的計算機上已經感染了CIH病毒。

實際上，在以上的方法中存在着一個致命的缺點，那就是：如果用户剛剛感染CIH病毒，那麼這樣一個大面積的搜索過程實際上也是在擴大病毒的感染面。

一般情況下，推薦的方法是先運行一下“寫字板”軟件，然後使用上面的方法在“寫字板”軟件的可執行程序Notepad.exe中搜索特徵串，以判斷是否感染了CIH病毒。 另外一個判斷方法是在Windows PE文件中搜索IMAGE_NT_SIGNATURE字段，也就是0x00004550，其代表的識別字符為“PE00”，然後查看其前一個字節是否為0x00，如果是，則表示程序未受感染，如果為其他數值，則表示很可能已經感染了CIH病毒。

最後一個判斷方法是先搜索IMAGE_NT_SIGNATURE字段--“PE00”，接着搜索其偏移0x28位置處的值是否為55 8D 44 24 F8 33 DB 64，如果是，則表示此程序已被感染。

適合高級用户使用的一個方法是直接搜索特徵代碼，並將其修改掉，方法是：先處理掉兩個轉跳點，即搜索：5E CC 56 8B F0 特徵串以及5E CC FB 33 DB特徵串，將這兩個特徵串中的CC改90(nop)，接着搜索 CD 2C4 20 與 CD 20 67 00 40 00特徵字串，將其全部修改為90，即可（以上數值全部為16進制）。

CIH病毒是一種能夠破壞計算機系統硬件的惡性病毒。這個病毒產自台灣，集嘉通訊公司（技嘉子公司）手機研發中心主任工程師陳盈豪在其於台灣大同工學院唸書期間製作。最早隨國際兩大盜版集團販賣的盜版光盤在歐美等地廣泛傳播，隨後進一步通過Internet傳播到全世界各個角落。 目前傳播的途徑主要通過Internet和電子郵件。計算機病毒的傳播已擺脱了傳統存儲介質的束縛，Internet和光盤現已成為加速計算機病毒傳播最有效的催化劑。CIH病毒只感染Windows95/98操作系統，從目前分析來看它對DOS操作系統似乎還沒有什麼影響，這可能是因為它使用了Windows下的VxD（虛擬設備驅動程序）技術造成的。所以，對於僅使用DOS的用户來説，這種病毒似乎並沒有什麼影響，但如果是Windows95/98用户就要特別注意了。正是因為CIH獨特地使用了VxD技術，使得這種病毒在Windows環境下傳播，其實時性和隱蔽性都特別強，使用一般反病毒軟件很難發現這種病毒在系統中的傳播。 CIH病毒每月26日都會爆發（有一種版本是每年4月26日爆發）。CIH病毒發作時，一方面全面破壞計算機系統硬盤上的數據，另一方面對某些計算機主板的BIOS進行改寫。BIOS被改寫後，系統無法啓動，只有將計算機送回廠家修理，更換BIOS芯片。由於CIH病毒對數據和硬件的破壞作用都是不可逆的，所以一旦CIH病毒爆發，用户只能眼睜睜地看着價值萬元的計算機和積累多年的重要數據毀於一旦。CIH病毒現已被認定是首例能夠破壞計算機系統硬件的病毒，同時也是最具殺傷力的惡性病毒。 從技術角度來看，CIH病毒實現了與操作系統的完美結合。該病毒使用了Windows95/98最核心的VxD技術編制，被認為是牢固地連接到了操作系統底層，所以CIH病毒既不會向DOS操作系統傳播，也不會向WindowsNT操作系統擴散。CIH病毒的這一技術特點給使用傳統反病毒技術防治計算機病毒的人提出了巨大的挑戰，這是因為傳統反病毒工具基本上都是純DOS或工作在Windows95之下的仿真DOS應用程序，它們無法深入到Windows95/98操作系統的底層去徹底清除CIH病毒；另一方面，由於能夠與操作系統底層緊密結合，CIH病毒的傳播就更為迅速、隱蔽。防治類似CIH這種能夠與操作系統緊密結合的病毒最好的方法是使用本身能夠與各種操作系統緊密結合的反病毒軟件。 CIH 病毒是一種運用最新技術，會 Format 硬碟的最新病毒，通常都利用網路族上網時，進行傳播感染 。目前最新的變種病毒為CIH 會在每月26 日發病，並會展現最強大的破壞力-Format 硬碟. CIH病毒平常並沒有作什麼破壞性的動作，也沒有顯示任何畫面，只是佔用部份記憶體而已。但是有些 32-bit的程式被感染之後，運作會不正常，甚至會造成當機。但是，CIH病毒長駐在主記憶體之後，每次 執行時，會檢查電的日期是否為﹝4月26日﹞，如果是，它會透過你的電腦I/O部：CF8，CFD，CFE修改你 的電腦的某些設定，並且把你電腦所有硬盤的資料都毀了，甚至連硬盤數據區及引導區的資料都不在了 ，並且讓電腦當機。當你重新開機，屏幕會出現"DISK BOOT FAILURE, INSERT SYSTEM DISK AND PRESS ENTER"(硬盤引導失敗，請插入系統盤後敲擊回車)。若是用軟盤引導開機再執行C:指令，則出現"Invalid drive specification"(不可用的驅動器編號)。即使曾經有備份引導區資料，但是磁盤中的資料已全毀，可不可以開機已經沒有意義了 ^[1]  。

系統中感染了CIH病毒時，由於病毒時刻在監視系統中的文件使用情況，造成系統效率降低，而且有些自解壓文件在病毒感染後被破壞，清除病毒後也不能使用，尤其是病毒發作時造成的破壞，後果更為嚴重。目前，防止CIH病毒的傳染和破壞主要有兩種方法：一是實時監測，不讓病毒進入系統，如KILL98就採用了這種方法，其優點是比較安全，但影響系統的速度，有可能誤報，而且對使用染有病毒的文件不方便。二是定期對系統進行病毒檢查，清除文件中的病毒，這種方法比較簡單，系統效率影響不大，但安全性不高。

實際上，CIH病毒第一次進入機器內存時，系統中感染病毒的文件是很少的，只是由於未能及時發現，才使病毒得以傳播和蔓延。許多殺毒軟件在檢查文件中的病毒特徵時，由於病毒代碼先於殺毒軟件獲得文件的操作權，從而將病毒代碼寫進文件中，這就造成了系統中幾乎所有的32位可執行文件都感染了CIH病毒的現象。

文件中的CIH病毒的檢測比較簡單，只要從32位可執行文件的PE文件頭的偏移28H處獲得程序的入口地址，對入口程序段進行掃描即可。

根據CIH病毒在感染文件前對病毒特徵的判別，我們可以人為地在PE格式的EXE文件頭的前一個字節的位置處寫上55H或一個非零值，以騙過病毒對文件是否染毒的判別。而大多數殺毒軟件在殺毒後，保留了文件頭中的病毒特徵，相當於對這些文件進行了免疫。

由於病毒主要來源於因特網和光盤，光盤文件上的病毒無法清除，始終是系統的隱患，而使用第一種方法則有可能使用户從網上下載文件失敗，造成不必要的損失。根據對病毒代碼的分析，我們介紹一種方法，它既不影響系統效率，也能使用户放心地使用網上下載的文件和光盤上的文件。

首先用户應該確定自己計算機主板的BIOS是哪種類型的，如果是不可升級型的，用户只需對改回去的CMOS的參數進行重新設置即可。如果用户的計算機BIOS是可升級型的。如果出現 CIH病毒發作的症狀，不要重新啓動計算機從C盤引導系統，而應該及時進入CMOS設置程序，將系統引導盤設置為a盤然後A 盤引導系統，之後用殺毒軟件對系統軟件造成破壞後該怎樣辦呢？首先使用殺毒軟件對硬盤進行徹底殺毒，之後再對系統軟件和應用軟件進行重新安裝。可以在被 CIH病毒破壞的基礎上直接安裝，這種方法較簡單，但會造成硬盤空間的浪費，因為這將帶來一些垃圾文件；另一種方法是將用户的重要數據進行備份，之後對硬盤進行格式化，重新安裝系統程序和應用程序，這樣能節省硬盤空間 ^[2]  。

首先使用瑞星殺毒盤啓動機器，然後運行瑞星殺毒軟件DOS版，選擇菜單中的項，本程序將自動分析硬盤是否需要修復。

1）如果出現“The hard disk is ok, needn't recover! Enter = return to main menu”信息，則表示硬盤系統是好的，不需要修復。

2）如果出現紅色提示框，報告用户硬盤的分區信息和文件分配表（FAT）的類型，用户首先應該確認該提示信息

是否正確。然後，再根據以下提示信息選擇是否進行恢復。

“Recovery Partition Table?(Y/N)”

若選擇“Y”，則瑞星殺毒軟件將自動恢復硬盤的分區信息。

如果選擇“N”，則瑞星殺毒軟件將返回主菜單。

恢復硬盤分區結束後，瑞星殺毒軟件將提示：“Recovery Drive C：(Y/N)”詢問用户是否繼續恢復C盤的文件。

如果選擇“Y”，則瑞星殺毒軟件將自動恢復C盤中的文件。

如果選擇“N”，則瑞星殺毒軟件將返回主菜單。

在恢復硬盤分區後，可以重新啓動機器，此時可以看到完全恢復的D、E等擴展邏輯分區；在恢復硬盤分區後，再進一步恢復C盤的文件後，重新啓動機器，則不僅可以找到擴展的邏輯分區，而且可以看到C盤上恢復的文件目錄，這些目錄名為“RISING.XXX”(XXX為0-999的數字編號)。這時擴展分區已恢復正常，將C盤中各個目錄中的重要文件進行備份。 3）如果出現“The hard disk can't be recovered, Enter= return to main menu”信息， 則表示邏輯盤數據

使用此功能無法恢復。當本功能無法恢復硬盤數據時，可以與瑞星公司聯繫或由其他專業數據恢復人員進行分析，使用其他方法進行恢復，以確保重要數據不丟失 ^[3]  。

當用户的硬盤數據一旦被CIH病毒破壞後，使用KV3000的F10功能，可修復的程度如下：

1．C盤容量為2.1G以上，原FAT表是32位的，C分區的修復率為98%，D，E，F等分區的修復率為99%，配合手工C，D，E，F等分區的修復率為100%。

2．硬盤容量為2.1G以下，原FAT表是16位的，C分區的修復率為0%，D，E，F等分區的修復率也為99%，配合手工C，D，E，F等分區的修復率為100%。因為原C盤是16位的短FAT表，所以C盤的FAT表和根目錄下的文件目錄都被CIH病毒亂碼覆蓋了。KV3000可以把C盤找回來，雖然根目錄的文件名字已被病毒亂碼覆蓋看不見了，但文件的內容影像還存儲在C盤內的某寫扇區上。推薦用KV3000找回C盤，再用文件修復軟件TIRAMISU.EXE可將C盤內的部分文件影象找回來（需要了解這個軟件的朋友可以訪問Ontrack公司的主頁，在這個網站上已經找不到有關TIRAMISU的內容。因為現在TIRAMISU已經被整合到Ontrack公司的旗艦產品——EasyRecovery中。相關的詳細介紹可以參照下文中的“分區表破壞”），如果原存放文件影象的簇是相連的，找回的文件就完整無損。

但對於FAT16的C盤是不是中了CIH就沒救呢？您還是可以嘗試一下FIXMBR，FIXMBR是一個DOS應用程序，完全遵守DOS的程序的操作規範。如果執行FIXMBR/？即可得到FIXMBR的幫助信息。如下： Usage : FIXMBR [DriveNo] [/A] [/D] [/P] [/Z] [/H] DriveNo Hard disk scope 0-3 , default is all drive （指硬盤號，0表示第一個硬盤） /A Active DOS partition（激活基本DOS分區） /P Display partition（顯示DOS分區的結構） /D Display MBR（顯示主引導記錄內容） /Z Zero MBR（將主引導記錄填零） 缺省的情況下將檢查MBR結構，如果不正常將提示是否修復。回答“Y”後將搜索分區。 如果搜索到分區後將提示是否修改MBR，回答“Y”後就將修復完成。如果這時出現死機現象，請將BIOS中的防病毒功能禁止後再做。 缺省的狀態下將搜索所有已經存在的硬盤，並完成以上操作。如果完成的結果不對，可以用/Z參數將結果清空後重新啓動，就可以恢復到原來的狀態。但它不支持WinNT和Linux的分區，對FAT32分區表支持也有限。它可以通過全盤搜索決定硬盤分區，並重新構造主引導扇區。由於軟件只修改主引導扇區記錄，對其他扇區不進行寫操作，故一般不會帶來不安全目錄（如果修復得不理想，請DiskEdit等工具進行手工修復）。注意：FIXMBR是一個比較老的程序 ^[4]  。

由於病毒破壞硬盤的方式實在太多，而且大部分破壞都無法用一般軟件輕易修復（如果您喜歡使用DiskEdit等磁盤扇區編輯工具，對某些情況還有一線希望），所以我們最好的辦法就是安一個好的殺毒軟件。下面我們來看看病毒在哪方面的破壞不能恢復呢？分區表破壞，可能是數據損壞中除了物理損壞最嚴重的一種災難性破壞。其原因主要有以下幾種：

1．個人無操作刪除分區，只要沒有進行其他的操作完全可以恢復。

2．安裝多系統引導軟件或採用第三方分區工具，有恢復的可能。

3．病毒破壞可以部分或者全部恢復。

4．利用Ghost克隆分區/硬盤破壞，只可以部分恢復或者不能恢復（用Ghost的朋友要小心了）。

據國外的一個主業數據恢復公司調查，數據損壞以後很大程度上是可以恢復的。之所以有很多不能恢復的實例存在，90%以上是由於用户在後來的恢復過程中有無操作，從而造成了更大的破壞。所以希望朋友們牢記以下2點：

1．在硬盤數據出現後，請立即關機，不要再對硬盤進行任何寫操作，那樣會增大修復的難度，也影響到修復的成功率。

2．每一步操作都應該是可逆的（就像Norton Disk Doctor中的Undo功能）或者對故障硬盤是隻讀的（大名鼎鼎的EasyRecovery和Lost&Found都是這種工作原理）。

如果在遇到以上情況，可以用以上這個軟件，這個軟件包含在Norton Utility系列工具中，功能十分強大，可以恢復分區記錄，FAT表，需要注意的是它對硬盤的操作不是隻讀的，因此需要每一步都做好Undo文件，這樣即使誤操作也可以恢復，Norton Disk Doctor配合DiskEdit在分區表不能恢復時也可以恢復部分文件，可惜Norton Disk Doctor不支持NTFS分區，這不能不説好是它的一大遺憾之處 ^[5]  。