電腦病毒CIH特征及來源
電腦病毒CIH特征及來源
電腦病毒CIH來源于哪里呢!又會有什么感染特征呢!有了特征我們就能做出基本的預防了,下面由學習啦小編給你做出詳細的介紹!希望對你有幫助!歡迎回訪,謝謝。
感染特征編輯
由于流行的CIH病毒版本中,其標識版本號的信息使用的是明文,所以可以通過搜索可執(zhí)行文件中的字符串來識別是否感染了CIH病毒,搜索的特征串為“CIH v”或者是“CIH v1.”如果你想搜索更完全的特征字符串,可嘗試“CIH v1.2 TTIT”、“CIH v1.3 TTIT”以及“CIH v1.4 TATUNG”,不要直接搜索“CIH”特征串, 因為此特征串在很多的正常程序中也存在,例如程序中存在如下代碼行: inc bx dec cx dec ax 則它們的特征碼正好是“CIH(0x43;0x49;0x48)”,容易產(chǎn)生誤判。
具體的搜索方法為:首先開啟“資源管理器”,選擇其中的菜單功能“工具>查找>文件或文件夾”,在彈出的“查找文件”設(shè)置窗口的“名稱和位置”輸入中輸入查找路徑及文件名(如:*.EXE),然后在“高級>包含文字”欄中輸入要查找的特征字符串--“CIH v”,最后點勸查找鍵”即可開始查找工作。如果在查找過程中, 顯示出一大堆符合查找特征的可執(zhí)行文件,則表明您老的計算機上已經(jīng)感染了CIH病毒。
實際上,在以上的方法中存在著一個致命的缺點,那就是:如果用戶剛剛感染CIH病毒,那么這樣一個大面積的搜索過程實際上也是在擴大病毒的感染面。
一般情況下,推薦的方法是先運行一下“寫字板”軟件,然后使用上面的方法在“寫字板”軟件的可執(zhí)行程序Notepad.exe中搜索特征串,以判斷是否感染了CIH病毒。 另外一個判斷方法是在Windows PE文件中搜索IMAGE_NT_SIGNATURE字段,也就是0x00004550,其代表的識別字符為“PE00”,然后查看其前一個字節(jié)是否為0x00,如果是,則表示程序未受感染,如果為其他數(shù)值,則表示很可能已經(jīng)感染了CIH病毒。
最后一個判斷方法是先搜索IMAGE_NT_SIGNATURE字段--“PE00”,接著搜索其偏移0x28位置處的值是否為55 8D 44 24 F8 33 DB 64,如果是,則表示此程序已被感染。
還聽說凡是感染了CIH病毒的機器,如果玩NEED FOR SPEED II(極品飛車2)游戲時,會在讀取游戲光 盤時出現(xiàn)死機現(xiàn)象, 本人沒有嘗試過,不知道實際上是不是有這一情況存在。
適合高級用戶使用的一個方法是直接搜索特征代碼,并將其修改掉,方法是:先處理掉兩個轉(zhuǎn)跳點,即搜索:5E CC 56 8B F0 特征串以及5E CC FB 33 DB特征串,將這兩個特征串中的CC改90(nop),接著搜索 CD 20 53 00 01 00 83 C4 20 與 CD 20 67 00 40 00特征字串,將其全部修改為90,即可(以上數(shù)值全部為16進制)。
另外一種方法是將原先的PE程序的正確入口點找回來,填入當前入口點即可(此處以一個被感染的CALC.EXE程序為例),具體方法為:先搜IMAGE_NT_SIGNATURE字段--“PE00”,接著將距此點偏移0x28處的4個字節(jié)值,例如“A0 02 00 00”(0x000002A0),再由此偏移所指的位置(即0x02A0)找到數(shù)據(jù)“55 8D 44 24 F8 33 DB 64”, 并由0X02A0加上0X005E得到0x02FE偏移,此偏移處的數(shù)據(jù)例如為“CB 21 40 00”(OXOO4021CB),將此值減去OX40000,將得數(shù)--“CB 21 00 00”(OXOO0021CB)值放回到距“PE00”點偏移0x28的位置即可(此處為Windows PE格式程序的入口點,術(shù)語稱為Program Entry Point)。最后將“55 8D 44 24 F8 33 DB 64”全部填成“00”,使得我們?nèi)菀着袛嗖《臼欠褚呀?jīng)被殺除過。 按照上面手工殺毒的方法一般適合于某些單獨的軟件(例如某些軟件包含在軟盤中,卻被感染了CIH病毒,可現(xiàn)在就要用,呵呵!)。使用上述方法的缺點在于病毒體還將保留在可執(zhí)行文件中,雖然不會起作用, 但是想起來可能會有點不舒服(記得“WPS2000測試版殘留CIH病毒尸體”的事件么?)。所以,想徹底殺滅,推薦使用某些反病毒軟件進行或是CIH專用殺毒工具(以上操作以及使用反病毒軟件進行殺毒,必須使用干凈的系統(tǒng)盤啟動計算機)。
來源編輯
CIH病毒是一位名叫陳盈豪的臺灣大學生所編寫的,從臺灣傳入大陸地區(qū)的。CIH的載體是一個名為“ICQ中文Chat模塊”的工具,并以熱門盜版光盤游戲如“古墓奇兵”或Windows95/98為媒介,經(jīng)互聯(lián)網(wǎng)各網(wǎng)站互相轉(zhuǎn)載,使其迅速傳播。目前傳播的主要途徑主要通過Internet和電子郵件,當然隨著時間的推移,其傳播主要仍將通過軟盤或光盤途徑。
看了此文電腦病毒CIH特征及來源的人還看了: