CIH病毒主要感染W(wǎng)indows 95/98/Me的可執(zhí)行程序，發(fā)作時破壞計(jì)算機(jī) Flash? BIOS芯片中的系統(tǒng)程序，導(dǎo)致主板損壞，同時破壞硬盤中的數(shù)據(jù)。病毒發(fā)作時，硬盤驅(qū)動器不停地旋轉(zhuǎn)，病毒程序 以2048個扇區(qū)為單位，從硬盤主引導(dǎo)區(qū)開始依次往硬盤中寫入垃圾數(shù)據(jù)，直到硬盤數(shù)據(jù)被全部破壞為止。硬盤上所有數(shù)據(jù)（包括分區(qū)表）被破壞，必須重新分區(qū)才能有可能挽救硬盤。同時，對于部分廠牌的主板，如技嘉和微星等，會將Flash BIOS 中的系統(tǒng)程序破壞，造成開機(jī)后系統(tǒng)無反應(yīng)。

　　CIH病毒是1998年8月從臺灣傳入國內(nèi)的，共有五個版本，各種不同版本隨時間而發(fā)展，不斷完善，其發(fā)展歷程如下：

　　（1）CIH病毒1.0版

　　最初的1.0版只有 656個字節(jié)，雛形顯得比較簡單，與普通類型的病毒在結(jié)構(gòu)上并無多大的改善，其最大的特點(diǎn)是可感染Microsoft? Windows PE類可執(zhí)行文件，被其感染的程序文件長度增加，1.0版的CIH病毒還不具有破壞性。

　　（2）CIH病毒1.1版

　　當(dāng)CIH病毒發(fā)展到1.1版本時，病毒長度為796個字節(jié)，該版本的CIH病毒具有判斷Windows NT軟件的功能，一旦判斷用戶運(yùn)行的是Windows NT，則不發(fā)生作用，進(jìn)行自我隱藏，以避免產(chǎn)生錯誤提示信息，同時使用了更加優(yōu)化的代碼，以縮減其長度。

　　1.1版CIH病毒的另外一個改進(jìn)點(diǎn)在于其可以利用Windows PE類可執(zhí)行文件中的“空隙”， 將自身根據(jù)需要分裂成幾個部分后，分別插入到PE類可執(zhí)行文件中，這樣做的優(yōu)點(diǎn)是在感染大部分Windows PE類文件時，不會導(dǎo)致文件長度增加。

　　（3）CIH病毒1.2版

　　當(dāng)CIH病毒發(fā)展到1.2版時，除改正了一些1.1版的缺陷之外，同時增加了破壞用戶硬盤以及用戶機(jī)器BIOS程序的代碼，這一改進(jìn)，使其步入惡性病毒的行列，1.2版的CIH病毒體長度為1003個字節(jié)。

　　（4）CIH病毒1.3版

　　1.2版CIH病毒最大的缺陷在于當(dāng)其感染ZIP自解壓包文件時，將導(dǎo)致此ZIP壓縮包在自解壓時出現(xiàn)下列錯誤警告信息：
　　
　　WinZip Self-Extractor header corrupt.
　　Possible cause: disk or file transfer error.

　　1.3版CIH病毒顯得比較倉促，其改進(jìn)點(diǎn)便是針對以上缺陷的，它的改進(jìn)方法是： 一旦判斷開啟的文件是WinZip類的自解壓程序，則不進(jìn)行感染。同時，此版本的CIH病毒修改了病毒發(fā)作時間，由原來的4月26日改為6月26日。1.3版CIH病毒長度為1010個字節(jié)。

　　（4）CIH病毒1.4版

　　1.4版CIH病毒改進(jìn)了以前幾個版本中的缺陷，不感染ZIP自解壓包文件，同時也修改了發(fā)作日期，由6月26日改為每月的26日，增加了病毒發(fā)作的頻率。還修改了病毒中的版權(quán)信息（版權(quán)信息被更改為：“CIH v1.4 TATUNG”，在以前版本中的相關(guān)信息為“CIH v1.x TTIT”），1.4版CIH病毒長度為1019字節(jié)。

　　如前所述，CIH病毒創(chuàng)造了病毒歷史上的幾個第一，具有十分強(qiáng)大的破壞力，該病毒的發(fā)作給全世界造成了不可估量的損失。那么，具有如此之大“殺傷”力的代碼是如何編寫出來的呢？下面，我們以CIH病毒的1.4版為實(shí)例，分析其部分核心代碼。

總結(jié)

以上是生活随笔為你收集整理的病毒程序源码实例剖析-CIH病毒[1]的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。