荔园在线

荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀

[回到开始] [上一篇][下一篇]


发信人: oldfat (Oldfat), 信区: Virus
标  题:  4.26事件-CIH病毒剖析
发信站: BBS 荔园晨风站 (Wed Apr 28 06:56:46 1999), 转信





   4.26事件-CIH病毒剖析


  --------------------------------------------------------------------------
------


  http://www.sina.com.cn 1999年4月26日 小狐狸神

    1999年4月26日,星期二,还是在4月26日,还是CIH,导致了大量的PC计算机停止
工作,同时导致用户的数据遭到严重破坏。


    早在1998年7月26日,CIH的恶性病毒就已经在美国开始大面积肆虐。


    1998年8月26日,该病毒入侵中国。


    1998年8月31日,我国公安部发出防范CIH病毒的紧急通知。


    1998年9月1日,中国中央电视台在新闻联播中播发了此通知。


    接着,全国各大报刊纷纷不惜版面、不遗余力地在显著版面刊发大量的相关报道



    反病毒厂商一时打破以久沉寂,大大红火了一把。


    刹那间,全世界防、查、杀CIH病毒的呼声昏天黑地......


    可时至今日,CIH病毒还在大面积继续传播......,在昨天,我们又看到了悲惨的
一幕,大量的PC机在CIH的肆虐中一批批倒下,SINA电脑论坛中“哭”声响彻天际.....
.。


    CIH病毒到底是什么病毒?


    CIH病毒属文件型病毒,其别名有Win95.CIH、Spacefiller、Win32.CIH、PE_CIH
,它主要感染Windows95/98下的可执行文件(PE格式,Portable Executable Format),
目前的版本不感染DOS以及WIN 3.X(NE格式,Windows and OS/2 Windows 3.1 executio
n File Format)下的可执行文件,并且在Win NT中无效。其发展过程经历了v1.0,v1.1
、v1.2、v1.3、v1.4总共5个版本,目前最流行的是v1.2版本,在此期间,据某些报导,
同时产生了不下十个的变种,不过好象没有流行起来的迹象,本人并未实际接触到这些
所谓的CIH变种病毒。


    CIH病毒的各种不同版本的随时间的发展不断完善,其基本发展历程为:


    CIH病毒v1.0版本:


    最初的V1.0版本仅仅只有656字节,其雏形显得比较简单,与普通类型的病毒在结
构上并无多大的改善,其最大的“卖点”是在于其是当时为数不多的、可感染Microsof
t Windows PE类可执行文件的病毒之一,被其感染的程序文件长度增加,此版本的CIH不
具有破坏性。


    CIH病毒v1.1版本:


    当其发展到v1.1版本时,病毒长度为796字节,此版本的CIH病毒具有可判断Win
NT软件的功能,一旦判断用户运行的是Win NT,则不发生作用,进行自我隐藏,以避免
产生错误提示信息,同时使用了更加优化的代码,以缩减其长度。此版本的CIH另外一个
优秀点在于其可以利用WIN PE类可执行文件中的“空隙”,将自身根据需要分裂成几个
部分后,分别插入到PE类可执行文件中,这样做的优点是在感染大部分WINPE类文件时,
不会导致文件长度增加。


    CIH病毒v1.2版本:


    当其发展到v1.2版本时,除了改正了一些v1.1版本的缺陷之外,同时增加了破坏
用户硬盘以及用户主机BIOS程序的代码,这一改进,使其步入恶性病毒的行列,此版本
的CIH病毒体长度为1003字节。


    CIH病毒v1.3版本:


    原先v1.2版本的CIH病毒最大的缺陷在于当其感染ZIP自解压包文件(ZIP self-ex
tractors file)时,将导致此ZIP压缩包在自解压时出现:


    WinZip Self-Extractor header corrupt.

    Possible cause: disk or file transfer error.


    的错误警告信息。v1.3版本的CIH病毒显得比较仓促,其改进点便是针对以上缺陷
的,它的改进方法是:一旦判断开启的文件是WinZip类的自解压程序,则不进行感染。
同时,此版本的CIH病毒修改了发作时间。v1.3版本的CIH病毒长度为1010字节。


    CIH病毒v1.4版本:


    此版本的CIH病毒改进上上几个版本中的缺陷,不感染ZIP自解压包文件,同时修
改了发作日期及病毒中的版权信息(版本信息被更改为:“CIH v1.4 TATUNG”,在以前
版本中的相关信息为“CIH v1.x TTIT”),此版本的长度为1019字节。


    从上面的说明中,我们可以看出,实际上,在CIH的相关版本中,只有v1.2、v1.
3、v1.4这3个版本的病毒具有实际的破坏性,其中v1.2版本的CIH病毒发作日期为每年的
4月26日,这也就是当前最流行的病毒版本,v1.3版本的发作日期为每年的6月26日,而
CIH v1.4版本的发作日期则被修改为每月的26日,这一改变大大缩短了发作期限,增加
了其的破坏性。


    CIH病毒发作时所产生的破坏性:


    CIH属恶性病毒,当其发作条件成熟时,其将破坏硬盘数据,同时有可能破坏BIO
S程序,其发作特征是:


    1、以2048个扇区为单位,从硬盘主引导区开始依次往硬盘中写入垃圾数据,直到
硬盘数据被全部破坏为止。最坏的情况下硬盘所有数据(含全部逻辑盘数据)均被破坏,
如果重要信息没有备份,那就只有哭了!


    2、某些主板上的Flash Rom中的BIOS信息将被清除。


    感染CIH病毒的特征:


    由于流行的CIH病毒版本中,其标识版本号的信息使用的是明文,所以可以通过搜
索可执行文件中的字符串来识别是否感染了CIH病毒,搜索的特征串为“CIH v”或者是
“CIH v1.”如果你想搜索更完全的特征字符串,可尝试“CIH v1.2 TTIT”、“CIH v1
.3 TTIT”以及“CIH v1.4 TATUNG”,不要直接搜索“CIH”特征串,因为此特征串在很
多的正常程序中也存在,例如程序中存在如下代码行:


    inc bx

    dec cx

    dec ax


    则它们的特征码正好是“CIH(0x43;0x49;0x48)”,容易产生误判。


    具体的搜索方法为:首先开启“资源管理器”,选择其中的菜单功能“工具>查找
>文件或文件夹”,在弹出的“查找文件”设置窗口的“名称和位置”输入中输入查找路
径及文件名(如:*.EXE),然后在“高级>包含文字”栏中输入要查找的特征字符串----
“CIH v”,最后点取“查找键”即可开始查找工作。如果在查找过程中,显示出一大堆
符合查找特征的可执行文件,则表明您老的计算机上已经感染了CIH病毒。


    实际上,在以上的方法中存在着一个致命的缺点,那就是:如果用户刚刚感染CI
H病毒,那么这样一个大面积的搜索过程实际上也是在扩大病毒的感染面。一般情况下,
推荐的方法是先运行一下“写字板”软件,然后使用上面的方法在“写字板”软件的可
执行程序Notepade.exe中搜索特征串,以判断是否感染了CIH病毒。


    另外一个判断方法是在Windows PE文件中搜索IMAGE_NT_SIGNATURE字段,也就是
0x00004550,其代表的识别字符为“PE00”,然后查看其前一个字节是否为0x00,如果
是,则表示程序未受感染,如果为其他数值,则表示很可能已经感染了CIH病毒。


    最后一个判断方法是先搜索IMAGE_NT_SIGNATURE字段----“PE00”,接着搜索其
偏移0x28位置处的值是否为55 8D 44 24 F8 33 DB 64,如果是,则表示此程序已被感染



    还听说凡是感染了CIH 病毒的机器,如果玩NEED FOR SPEED II游戏时,会在读取
游戏光盘时出现死机现象,本人没有尝试过,不知道实际上是不是有这一情况存在。


    适合高级用户使用的一个方法是直接搜索特征代码,并将其修改掉,方法是:先
处理掉两个转跳点,即搜索:5E CC 56 8B F0 特征串以及5E CC FB 33 DB特征串,将这
两个特征串中的CC改为90(nop),接着搜索 CD 20 53 00 01 00 83 C4 20 与 CD 20 67
 00 40 00 特征字串,将其全部修改为90,即可(以上数值全部为16进制)。


    另外一种方法是将原先的PE程序的正确入口点找回来,填入当前入口点即可(此处
以一个被感染的CALC.EXE程序为例),具体方法为:先搜索IMAGE_NT_SIGNATURE字段---
-“PE00”,接着将距此点偏移0x28处的4个字节值,例如“A0 02 00 00”(0x000002A0
),再由此偏移所指的位置(即0x02A0)找到数据“55 8D 44 24 F8 33 DB 64”,并由0X
02A0加上0X005E得到0x02FE偏移,此偏移处的数据例如为“CB 21 40 00”(OXOO4021CB
),将此值减去OX40000,将得数----“CB 21 00 00” (OXOO0021CB)值放回到距“PE00
”点偏移0x28的位置即可(此处为Windows PE格式程序的入口点,术语称为Program Ent
ry Point)。最后将“55 8D 44 24 F8 33 DB 64”全部填成“00”,使得我们容易判断
病毒是否已经被杀除过。


    按照上面手工杀毒的方法一般适合于某些单独的软件(例如某些软件包含在软盘中
,却被感染了CIH不读,可现在就要用,呵呵!)。使用上述方法的缺点在于病毒体还将
保留在可执行文件中,虽然不会起作用,但是想起来可能会有点不舒服(记得“WPS2000
测试版残留CIH病毒尸体”的事件么?)。所以,想彻底杀灭,推荐使用某些反病毒软件
进行(以上操作以及使用反病毒软件进行杀毒,必须使用干净的系统盘启动计算机)。


    病毒已经发作了,该怎么办?


    如果病毒已经发作,那就得看您老的运气了,一种情况是硬盘数据被破坏,在这
种情况下,可能出现计算机能够使用软盘启动,但是一旦试图访问硬盘,就出现无法访
问或者是访问出错或者是可以访问硬盘,但是列出一大堆无意义的信息。


    实际上,就以上不同的情况,它们的区别在于硬盘信息的破坏程度不同,一般推
荐使用Norton软件进行尝试性恢复,同时就目前掌握的情况来看,除C:以外的其他逻辑
分区可以被完全修复(这得看它破坏到哪里了,一般发作的症状是硬盘转个不停,总不会
有人白痴到让它写完了主分区再写完逻辑分区后才关机吧,另外备注一下:根据本人手
头的程序显示,CIH标准版本在破坏上的确是进行顺序写入垃圾数据,完全破坏硬盘信息
的,可听说某些只写5M或者是类似的数据,是否是CIH的派生版本不得而知),而是否能
修复C:则得看实际破坏程度了,总之一句话,看你的运气啦!


    以上情况对于重视数据的同志而言可谓是“伤心的痛”,呵呵,他宁可机器爆掉
,也不要数据丢失,所以推荐以后购买大容量的备份设备。


    另外一种情况是除了硬盘数据损坏之外,其主板上的Flash ROM中的BIOS程序也被
破坏,这一情况又得分成两大类,得视你的损坏情况以及主板的构造而定:


    一是全部损坏,那就惨了,机器变成了黑脸的哑巴,连叫都不会叫了,这一故障
只有重新写一遍BIOS,写入的方法一般是使用兼容Flash ROM的“烧录器”,这玩意实际
上也不复杂,一个电子爱好者随便弄块8255之类的便宜芯片就能捣起来(一般配合PC等计
算机使用)。如果您机器主板上的Flash ROM是安装在插座上的,则推荐将其锹下来,然
后找人帮忙给再写一块(一般情况下你很有可能需要一块包含有相同或者近似版本BIOS的
其他ROM芯片,可尝试找朋友借)。


    如果你那边实在是找不到有“烧录器”的地方,则如果你手头有一些类似用于主
板BIOS升级的文件盘,同时你能借的到相同的BIOS芯片,也可以先将借来的BIOS ROM芯
片插在你的BIOS ROM插座上(记得先把带病毒的硬盘拔了),然后尝试使用干净DOS盘启动
(只需要启动基本DOS系统即可,不要挂其他的驱动程序),启动完成后,就要开始尝试危
险的热插拔工作,即:将借来的BIOS ROM拔掉,换上数据损坏的Flash Rom,然后启动主
板BIOS升级的软件进行写入工作。(备注:此方法中所使用的热插拔乃电子界的大忌,如
果造成任何损失,本人概不负责)。


    二是基本启动部分未出现损坏,这一情况的特征为可能机器不能正常启动,但是
还有一些启动的感觉,例如它居然还能够出现检测软盘的动作(要保证能够由软盘启动计
算机),这一情况比较幸福,在这种情况下,基本BIOS还能运行,但是由于其一般只支持
IDE接口的显示卡,则可能你的屏幕上不会有任何的显示信息。在这一情况下,则必须使
用“黑灯瞎火”法,它的原理也就是类似BIOS升级等的操作,它要求我们手头必须有能
用的一些BIOS升级程序软件,然后我们在他人的机器上先制作一张DOS启动盘,并将升级
操作所需要运行的命令行放在autoexec.bat文件中,然后拿这张软盘到被CIH病毒破坏的
机器上启动,接着的一些如“回车”、按上下方向键等的操作就要“摸黑”进行了。如
果幸运的话,按以上步骤操作,您老的机器就被救活了。


    三是惨得一塌糊涂,以上方法都不适用,则推荐你们去问问销售商能不能帮你们
解决,这也没办法!


    CIH及派生问题FAQ:


    Q:CIH是谁写的?


    A:我不晓得,不过网上早有风言风语了,以下照抄:


    CIH病毒是台湾大同工学院一位名叫陈盈豪的学生搞的一个恶作剧,但无意中,通
过互联网流出,并通过互联网的传播, 终造成大规模的病毒流行。当时, 这个病毒传
播时所使用的载体为一个名叫"ICQ中文Chat模块" 的工具,此工具软件作者本人所维护
的站台并没有CIH病毒, 但由于互联网上各站台互相转载,在转载的过程中,感染上了
CIH病毒。当时这个工具下载并使用的人非常多,结果一传十,十传百......。


    当“ICQ中文Chat补丁”工具的作者知道此事后,联络了台湾非常著名的一个免费
杀毒软件作者,这个杀毒软件就是Super Scanner。Super Scanner首先推出了CIH病毒的
查毒工具,当时并没有杀毒模块。此时,CIH病毒作者与Super Scanner联系上,并提供
了CIH免疫工具。


    CIH病毒作者在台湾各大Newsgroup与BBS上发布道歉信,公开道歉,道歉原文如下



    ----------------------------------------------------------------------
--------------------


    这是一封公开道歉的信,这次的病毒事件,CIH V1.2,CIH V1.3,以及CIH V1.4
,造成大家的伤害以及不便,为此深表歉意!事件是发生于五月底,病毒是从宿舍内部
迅速扩大到各大网站,因为网站的频繁使用,同时病毒的传染力甚强,于是造成如此大
的灾难,学校已经依学规对我个人适当的处分,并且郑重警告,以后若有类似的事情发
生,校方绝对会追究到底!?


    为了弥补个人的过失,这段时间,对外面中毒的热门软件,我也用archie搜寻,
花时间一一检查是否有病毒,有中毒的话,也附上此档案中CIH病毒类似的字样,或是直
接E-Mail给该站管理员,避免再次造成伤害。而在这段期间,感谢SSCAN作者的帮忙,用
最快的速度写出完整的解毒程序。同时我也及时写?出对CIH病毒的免疫程序。同时藉此
声,最近在网站上的流传CIH Version1.0 for word97巨集病毒,绝非个人行为,请各位
详查。网站毕竟是公开的,全世界的病毒到处流窜,新的病毒还是永远会继续产生,下
载软件还是小心点,对大家造成的伤害和不便,本人再一次深感抱歉,特写这封道歉信
,以示负责!


    Super Scanner作者从CIH病毒作者提供的资料进行分析,并在1998年6月6日推出
第一个能完整杀除CIH全系列的版本,Super Scanner 2.20S版,文件名SS980606。EXE。



    Super Scanner最新版已经为2.50b(9月16日出品),可通过http://sscan.yeah.n
et转到Super Scanner的主站去看看。


    ----------------------------------------------------------------------
--------------------


    Q:CIH是使用什么方法进行感染的?


    A:就技巧而言,其原理主要是使用Windows的VxD(虚拟设备驱动程序)编程方法,
使用这一方法的目的是获取高的CPU权限,CIH病毒使用的方法是首先使用SIDT取得IDT
base address(中断描述符表基地址),然后把IDT的INT 3 的入口地址改为指向CIH自己
的INT3程序入口部分,再利用自己产生一个INT 3指令运行至此CIH自身的INT 3入口程序
出,这样CIH病毒就可以获得最高级别的权限(即权限0),接着病毒将检查DR0寄存器的值
是否为0,用以判断先前是否有CIH病毒已经驻留。如DR0的值不为0,则表示CIH病毒程式
已驻留,则此CIH副本将恢复原先的INT 3入口,然后正常退出(这一特点也可以被我们利
用来欺骗CIH程序,以防止它驻留在内存中,但是应当防止其可能的后继派生版本)。如
果判断DR0值为0,则CIH病毒将尝试进行驻留,其首先将当前EBX寄存器的值赋给DR0寄存
器,以生成驻留标记,然后调用INT 20中断,使用VxD call Page Allocate系统调用,
要求分配Windows系统内存(system memory),Windows系统内存地址范围为C0000000h~
FFFFFFFFh,它是用来存放所有的虚拟驱动程序的内存区域,如果程序想长期驻留在内存
中,则必须申请到此区段内的内存,即申请到影射地址空间在C0000000h以上的内存。



    如果内存申请成功,则接着将从被感染文件中将原先分成多段的病毒代码收集起
来,并进行组合后放到申请到的内存空间中,完成组合、放置过程后,CIH病毒将再次调
用INT 3中断进入CIH病毒体的INT 3入口程序,接着调用INT20来完成调用一个IFSMgr_I
nstallFileSystemApiHook的子程序,用来在文件系统处理函数中挂接钩子,以截取文件
调用的操作,接着修改IFSMgr_InstallFileSystemApiHook的入口,这样就完成了挂接钩
子的工作,同时Windows默认的IFSMgr_Ring0_FileIO(InstallableFileSystemManager,
IFSMgr)。服务程序的入口地址将被保留,以便于CIH病毒调用,这样,一旦出现要求开
启文件的调用,则CIH将在第一时间截获此文件,并判断此文件是否为PE格式的可执行文
件,如果是,则感染,如果不是,则放过去,将调用转接给正常的Windows IFSMgr_IO服
务程序。CIH不会重复多次地感染PE格式文件,同时可执行文件的只读属性是否有效,不
影响感染过程,感染文件后,文件的日期与时间信息将保持不变。对于绝大多数的PE程
序,其被感染后,程序的长度也将保持不变,CIH将会把自身分成多段,插入到程序的空
域中。完成驻留工作后的CIH病毒将把原先的IDT中断表中的INT 3入口恢复成原样。


    Q:ROM、PROM、EPROM、EEPROM、Flash ROM分别指什么?


    A:ROM指的是“只读存储器”,即Read-Only Memory。这是一种线路最简单半导
体电路,通过掩模工艺,一次性制造,其中的代码与数据将永久保存(除非坏掉),不能
进行修改。这玩意一般在大批量生产时才会被用的,优点是成本低、非常低,但是其风
险比较大,在产品设计时,如果调试不彻底,很容易造成几千片的费片,行内话叫“掩
砸了”!


    PROM指的是“可编程只读存储器”既Programmable Red-Only Memory。这样的产
品只允许写入一次,所以也被称为“一次可编程只读存储器”(One Time Progarmming
ROM,OTP-ROM)。PROM在出厂时,存储的内容全为1,用户可以根据需要将其中的某些单
元写入数据0(部分的PROM在出厂时数据全为0,则用户可以将其中的部分单元写入1),以
实现对其“编程”的目的。PROM的典型产品是“双极性熔丝结构”,如果我们想改写某
些单元,则可以给这些单元通以足够大的电流,并维持一定的时间,原先的熔丝即可熔
断,这样就达到了改写某些位的效果。另外一类经典的PROM为使用“肖特基二极管”的
PROM,出厂时,其中的二极管处于反向截止状态,还是用大电流的方法将反相电压加在
“肖特基二极管”,造成其永久性击穿即可。


    EPROM指的是“可擦写可编程只读存储器”,即Erasable Programmable Read-On
ly Memory。它的特点是具有可擦除功能,擦除后即可进行再编程,但是缺点是擦除需要
使用紫外线照射一定的时间。这一类芯片特别容易识别,其封装中包含有“石英玻璃窗
”,一个编程后的EPROM芯片的“石英玻璃窗”一般使用黑色不干胶纸盖住,以防止遭到
阳光直射。


    EEPROM指的是“电可擦除可编程只读存储器”,即Electrically Erasable Prog
rammable Read-Only Memory。它的最大优点是可直接用电信号擦除,也可用电信号写入
。EEPROM不能取代RAM的原应是其工艺复杂,耗费的门电路过多,且重编程时间比较长,
同时其有效重编程次数也比较低。


    Flash memory指的是“闪存”,所谓“闪存”,它也是一种非易失性的内存,属
于EEPROM的改进产品。它的最大特点是必须按块(Block)擦除(每个区块的大小不定,不
同厂家的产品有不同的规格),而EEPROM则可以一次只擦除一个字节(Byte)。目前“闪存
”被广泛用在PC机的主板上,用来保存BIOS程序,便于进行程序的升级。其另外一大应
用领域是用来作为硬盘的替代品,具有抗震、速度快、无噪声、耗电低的优点,但是将
其用来取代RAM就显得不合适,因为RAM需要能够按字节改写,而Flash ROM做不到。


    Q:主板Flash ROM中的BIOS程序怎会被破坏的?


    A:PC机上常用来保存PC BIOS程序的Flash ROM包含两个电压接口,其中+12V一般
用Boot Block的改写,Boot Block为一特殊的区块,它主要用于保存一个最小的BIOS,
用以启动最基本的系统之用,当Flash ROM中的其它区块内的数据被破坏时,只要Boot
Block内的程序还处于可用状态,则可以利用这一基本的PC BIOS程序来启动一个最小化
的系统,一般情况下,起码应当支持软盘的读写以及键盘的输入,这样我们就有机会使
用软盘来重新构建整个Flash ROM中的数据。一般的主板上均包含有一个专门的跳线,用
来确定是否给此Flash ROM芯片提供+12V电压,只有我们需要修改Flash ROM中的Boot B
lock区域内的数据时,才需要短接此跳线,以提供+12V电压。


    另外一路电压为+5V电压,它可以用于维持芯片工作,同时为更新Flasm ROM中非
Boot Block区域提供写入电压。


    就以上的理论,可以得出:主板上的+12V跳线是为了防止更新Flash ROM中的Boo
t Block区域而设置的,如果想升级BIOS,同时此升级程序只需要更新Boot Block区域以
外的BIOS程序,则主板上的跳线根本没必要去跳,因为更新Boot Block区域以外的数据
并不需要+12V电压,这样,即使升级失败,我们也还存在着一个Boot Block中的最基本
BIOS可以使用,这样就可以使用软盘来恢复原先的BIOS数据(一般在升级的时候后,都提
示用户保存当前的BIOS数据)。


    以上的理论是非常美好的,可为什么还是有拥护的BIOS程序在CIH病毒的魔爪下被
彻底摧毁了呢?


    第一种情况是主板上的跳线处于短接状态,即Flash ROM芯片已经有+12V电压了,
这一情况是由于用户不小心造成的,或者干脆是根本不知道。这就得怪你自己了。


    第二种情况不是由用户造成的,而是由厂家造成的,这里涉及到一个比较复杂的
问题,由于上面美好的Boot Block概念是建立在Intel的基础之上的,也就是说,Intel
公司拥有此项专利,这就导致使用此类技术的一般都是Intel公司出的Flash ROM芯片,
如常见的 Intel 28F0 芯片,当然,世界上并不是只有InteL一家公司会生产Flash ROM
,象Atmel、MXIC、SST、Winbond等公司也能生产,而且可以保证管脚兼容,但是某些芯
片在+5V的电压下就可以进行改写,这些单5V的芯片便是造成BIOS数据被彻底破坏的原应
。就本人所知,SST、Winboard、Atmel公司出的这些芯片都是具有单5V可改特性的。以
下是一些参考信息: 写入电压 5 Volt 12 Volt

  Atmel AT29LC010 --

  Intel -- 28F001BX-T

  MXIC -- MX28F1000

  SST 29EE010 --

  Winbond W29EE011 --



    (主板厂家为什么不使用如Intel公司的带“Boot Block”保护的芯片呢?道理很
简单,其他公司的产品更便宜!)


    技巧:对于这些单5V可写芯片的保护措施是将其WE (Write Enable)管脚设为无效
,例如Atmel AT29C10A芯片的31脚为WE引脚,属性为低电平有效,则只要将此引脚与VC
C(+5V)相连,将其电平拉高即可。一般情况下如果使用插座的Flash ROM芯片,则可考虑
不将此脚插入,另外焊条线与VCC连接即可。


    Q:CIH病毒是破坏硬件的病毒么?


    A:不是,前面已经讲的很明白了,在最坏的情况下,此病毒破坏的也只是Flasm
 ROM中的BIOS程序,而BIOS程序在Flasm ROM中只是一堆电流的表现,实际上,即使出现
最坏的情况,也没有任何硬件会出现物理损坏,那块Flasm ROM中也只是信息丢失,并不
代表此Flasm ROM就出现物理损坏了,如果拥有写入器,还是可以在原先的Flasm ROM中
写入BIOS程序的。


    如果说“CIH病毒是破坏硬件的病毒”,则整个概念观就会被颠倒,象重新写入了
一下Flash ROM信息(仅仅只是电流变化而已),就被引申为“破坏硬件”,那么硬盘上的
信息是以N与S的磁级进行区分的,那么我删除了硬盘上的一个文件,造成了某些扇区数
据的变换,是不是也可以引申为硬盘的这些扇区发生“物理损坏”了呢?哈哈哈!


    的确,CIH病毒给我们造成了很大的麻烦,可能造成你的机器不能够启动,但它并
没有出现什么破坏硬件的情况,这是很明显的。




--
※ 来源:.BBS 荔园晨风站 bbs.szu.edu.cn.[FROM: 172.24.13.80]


[回到开始] [上一篇][下一篇]

荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店