電腦病毒CIH特征及來源

電腦病毒CIH特征及來源

　　電腦病毒CIH來源于哪里呢!又會(huì)有什么感染特征呢!有了特征我們就能做出基本的預(yù)防了，下面由學(xué)習(xí)啦小編給你做出詳細(xì)的介紹!希望對(duì)你有幫助!歡迎回訪，謝謝。

　　感染特征編輯

　　由于流行的CIH病毒版本中，其標(biāo)識(shí)版本號(hào)的信息使用的是明文，所以可以通過搜索可執(zhí)行文件中的字符串來識(shí)別是否感染了CIH病毒，搜索的特征串為“CIH v”或者是“CIH v1.”如果你想搜索更完全的特征字符串，可嘗試“CIH v1.2 TTIT”、“CIH v1.3 TTIT”以及“CIH v1.4 TATUNG”，不要直接搜索“CIH”特征串， 因?yàn)榇颂卣鞔诤芏嗟恼３绦蛑幸泊嬖?，例如程序中存在如下代碼行： inc bx dec cx dec ax 則它們的特征碼正好是“CIH(0x43;0x49;0x48)”，容易產(chǎn)生誤判。

　　具體的搜索方法為：首先開啟“資源管理器”，選擇其中的菜單功能“工具>查找>文件或文件夾”，在彈出的“查找文件”設(shè)置窗口的“名稱和位置”輸入中輸入查找路徑及文件名(如：*.EXE)，然后在“高級(jí)>包含文字”欄中輸入要查找的特征字符串--“CIH v”，最后點(diǎn)勸查找鍵”即可開始查找工作。如果在查找過程中， 顯示出一大堆符合查找特征的可執(zhí)行文件，則表明您老的計(jì)算機(jī)上已經(jīng)感染了CIH病毒。

　　實(shí)際上，在以上的方法中存在著一個(gè)致命的缺點(diǎn)，那就是：如果用戶剛剛感染CIH病毒，那么這樣一個(gè)大面積的搜索過程實(shí)際上也是在擴(kuò)大病毒的感染面。

　　一般情況下，推薦的方法是先運(yùn)行一下“寫字板”軟件，然后使用上面的方法在“寫字板”軟件的可執(zhí)行程序Notepad.exe中搜索特征串，以判斷是否感染了CIH病毒。 另外一個(gè)判斷方法是在Windows PE文件中搜索IMAGE_NT_SIGNATURE字段，也就是0x00004550，其代表的識(shí)別字符為“PE00”，然后查看其前一個(gè)字節(jié)是否為0x00，如果是，則表示程序未受感染，如果為其他數(shù)值，則表示很可能已經(jīng)感染了CIH病毒。

　　最后一個(gè)判斷方法是先搜索IMAGE_NT_SIGNATURE字段--“PE00”，接著搜索其偏移0x28位置處的值是否為55 8D 44 24 F8 33 DB 64，如果是，則表示此程序已被感染。

　　還聽說凡是感染了CIH病毒的機(jī)器，如果玩NEED FOR SPEED II(極品飛車2)游戲時(shí)，會(huì)在讀取游戲光 盤時(shí)出現(xiàn)死機(jī)現(xiàn)象， 本人沒有嘗試過，不知道實(shí)際上是不是有這一情況存在。

　　適合高級(jí)用戶使用的一個(gè)方法是直接搜索特征代碼，并將其修改掉，方法是：先處理掉兩個(gè)轉(zhuǎn)跳點(diǎn)，即搜索：5E CC 56 8B F0 特征串以及5E CC FB 33 DB特征串，將這兩個(gè)特征串中的CC改90(nop)，接著搜索 CD 20 53 00 01 00 83 C4 20 與 CD 20 67 00 40 00特征字串，將其全部修改為90，即可(以上數(shù)值全部為16進(jìn)制)。

　　另外一種方法是將原先的PE程序的正確入口點(diǎn)找回來，填入當(dāng)前入口點(diǎn)即可(此處以一個(gè)被感染的CALC.EXE程序?yàn)槔?，具體方法為：先搜IMAGE_NT_SIGNATURE字段--“PE00”，接著將距此點(diǎn)偏移0x28處的4個(gè)字節(jié)值，例如“A0 02 00 00”(0x000002A0)，再由此偏移所指的位置(即0x02A0)找到數(shù)據(jù)“55 8D 44 24 F8 33 DB 64”， 并由0X02A0加上0X005E得到0x02FE偏移，此偏移處的數(shù)據(jù)例如為“CB 21 40 00”(OXOO4021CB)，將此值減去OX40000，將得數(shù)--“CB 21 00 00”(OXOO0021CB)值放回到距“PE00”點(diǎn)偏移0x28的位置即可(此處為Windows PE格式程序的入口點(diǎn)，術(shù)語稱為Program Entry Point)。最后將“55 8D 44 24 F8 33 DB 64”全部填成“00”，使得我們?nèi)菀着袛嗖《臼欠褚呀?jīng)被殺除過。 按照上面手工殺毒的方法一般適合于某些單獨(dú)的軟件(例如某些軟件包含在軟盤中，卻被感染了CIH病毒，可現(xiàn)在就要用，呵呵!)。使用上述方法的缺點(diǎn)在于病毒體還將保留在可執(zhí)行文件中，雖然不會(huì)起作用， 但是想起來可能會(huì)有點(diǎn)不舒服(記得“WPS2000測(cè)試版殘留CIH病毒尸體”的事件么?)。所以，想徹底殺滅，推薦使用某些反病毒軟件進(jìn)行或是CIH專用殺毒工具(以上操作以及使用反病毒軟件進(jìn)行殺毒，必須使用干凈的系統(tǒng)盤啟動(dòng)計(jì)算機(jī))。

　　來源編輯

　　CIH病毒是一位名叫陳盈豪的臺(tái)灣大學(xué)生所編寫的，從臺(tái)灣傳入大陸地區(qū)的。CIH的載體是一個(gè)名為“ICQ中文Chat模塊”的工具，并以熱門盜版光盤游戲如“古墓奇兵”或Windows95/98為媒介，經(jīng)互聯(lián)網(wǎng)各網(wǎng)站互相轉(zhuǎn)載，使其迅速傳播。目前傳播的主要途徑主要通過Internet和電子郵件，當(dāng)然隨著時(shí)間的推移，其傳播主要仍將通過軟盤或光盤途徑。
看了此文電腦病毒CIH特征及來源的人還看了：

1.計(jì)算機(jī)病毒的具體介紹

2.計(jì)算機(jī)病毒簡(jiǎn)介及預(yù)防

3.2016計(jì)算機(jī)病毒發(fā)展的現(xiàn)狀

4.4.26日電腦病毒日是怎樣來的

5.傳入我國(guó)的第一例計(jì)算機(jī)病毒是什么