第1个回答 2019-12-09
CIH病毒属于文件型病毒,当受感染的EXE文件执行后,该病毒便驻留内存中,并感染所接触到的其他PE格式执行程序。CIH是真正意义上的
Windows95/98病毒。CIH采用一种独特的感染可执行程序的方法,被感染文件的大小没有任何改变。病毒的大小约在1K左右。
病毒工作原理:
1.攻击BIOS
CIH最异乎寻常之处,是它对计算机BIOS的攻击。打开计算机时,BIOS(基本输入输出系统)首先取得系统的控制权,CMOS
中读取系统设置参数,初始化并协调有关系统设备的数据流,在这之后,系统控制权移交给硬盘或软盘的引导区,最后转达给予操作系统。
在CIH发作时,会试图向BIOS中写入垃圾信息,BIOS中的内容会被彻底洗去。这时,补救办法只有更换BIOS,或是向固定在主板上的BIOS中重新写入原来版本的程序。现在市面上常见的BIOS多达3种秒以上,有时直接更换主板反而是更为简便、经济的选择。从这个角度上,CIH病毒被称为是首例直接攻击和破坏计算机硬件系统的病毒。
2.覆盖硬盘
向硬盘写入垃圾内容也是CIH的破坏性之一,从实际的影响看,覆盖硬盘所带来的损失至少不逊于对BIOS的攻击。CIH发作时,调节器用IOS-SendCommand直接对硬盘进行存取,将垃圾代码以208个扇区为单位,循环写入硬盘,直到所有硬盘(含逻辑盘)的数据均被破坏为止。
3.打入Windows内核
无论是要攻击BIOS,还是设法驻留内存来为病毒传播创造条件,对CIH这类Windows95/98病毒而言,关键是要打入Windows内核,取得核心级控制权。
CIH病毒与Windows95/98系统有紧密的相关性,正因如此,CIH病毒目前在Windows
NT平台上无法传播。防范CIH病毒的措施有:
1.修改系统时间,跳过每个月的26日。
2.有些电脑系统主板具备BIOS写保护跳线,但一般设置均为开,可将其拨至关的位置,这样可以防止病毒BIOS信息。
3.用户采用双平台(Win95和NT)时,该病毒在Windows95下可能会感染Windows
NT程序,使得Windows
NT操作系统不能正常启动。
4.有第一次查、杀毒时,使用DOS版杀毒软件,清除病毒后再装入Windows版软件,这是由于在Windows95/98启动后,有几个文件被子系统使用,处于禁写状态,如果这些文件染毒,将不会被彻底清除。因此在清除病毒时,应该避免首先使用Windows版软件杀毒。
5.检查CIH病毒的方法可采用压缩并解压缩文件的方式,如果解压缩出现问题,多半可以肯定有(CIHv1.2)的存在,但用该方法不能判断CIHv1.4病毒。
6.用户不要轻易启动从电子邮件分离的,或从网站上下载的未知软件。
7.由于病毒将垃圾码写入硬盘(包括第二个硬盘),用恢复硬盘分区表方法是不可能恢复的,所以请务必将重要数据备份,以免造成损失。