|
|
.gif) 硬盤知識
|
|
|
CIH病毒資料大全(二) |
二、CIH病毒發作時所產生的破壞性:
CIH屬惡性病毒,當其發作條件成熟時,其將破壞硬盤數據,同時有可能破壞BIOS程序,其發作特征是:
1、以2048個扇區為單位,從硬盤主引導區開始依次往硬盤中寫入垃圾數據,直到硬盤數據被全部破壞為止。最壞的情況下硬盤所有數據(含全部邏輯盤數據)均被破壞,如果重要信息沒有備份,那就隻有哭了!
2、某些主板上的Flash ROM中的BIOS信息將被清除。
三、感染CIH病毒的特征:
由於流行的CIH病毒版本中,其標識版本號的信息使用的是明文,所以可以通過搜索可執行文件中的字符串來識別是否感染了CIH病毒,搜索的特征串為“CIH
v”或者是“CIH v1.”如果你想搜索更完全的特征字符串,可嘗試“CIH v1.2 TTIT”、“CIH v1.3 TTIT”以及“CIH v1.4
TATUNG”,不要直接搜索“CIH”特征串,因為此特征串在很多的正常程序中也存在,例如程序中存在如下代碼行:
inc bx
dec cx
dec ax
則它們的特征碼正好是“CIH(0x430x490x48)”,容易產生誤判。
具體的搜索方法為:首先開啟“資源管理器”,選擇其中的菜單功能“工具→查找→文件或文件夾”,在彈出的“查找文件”設置窗口的“名稱和位置”輸入中輸入查找路徑及文件名(如:*.EXE),然後在“高級→包含文字”欄中輸入要查找的特征字符串––“CIH
v”,最後點取“查找鍵”即可開始查找工作。如果在查找過程中,顯示出一大堆符合查找特征的可執行文件,則表明您老的計算機上已經感染了CIH病毒。
實際上,在以上的方法中存在著一個致命的缺點,那就是:如果用戶剛剛感染CIH病毒,那麼這樣一個大面積的搜索過程實際上也是在擴大病毒的感染面。一般情況下,推薦的方法是先運行一下“寫字板”軟件,然後使用上面的方法在“寫字板”軟件的可執行程序Notepade.exe中搜索特征串,以判斷是否感染了CIH病毒。
另外一個判斷方法是在Windows PE文件中搜索IMAGE_NT_SIGNATURE字段,也就是0x00004550,其代表的識別字符為“PE00”,然後查看其前一個字節是否為0x00,如果是,則表示程序未受感染,如果為其他數值,則表示很可能已經感染了CIH病毒。
最後一個判斷方法是先搜索IMAGE_NT_SIGNATURE字段––“PE00”,接著搜索其偏移0x28位置處的值是否為55 8D 44 24 F8 33
DB 64,如果是,則表示此程序已被感染。
還聽說凡是感染了CIH病毒的機器,如果玩NEED FOR SPEED
II遊戲時,會在讀取遊戲光盤時出現死機現像,本人沒有嘗試過,不知道實際上是不是有這一情況存在。
適合高級用戶使用的一個方法是直接搜索特征代碼,並將其修改掉,方法是:先處理掉兩個轉跳點,即搜索:5E CC 56 8B F0 特征串以及5E CC FB
33 DB特征串,將這兩個特征串中的CC改為90(nop),接著搜索 CD 20 53 00 01 00 83 C4 20 與 CD 20 67 00 40
00 特征字串,將其全部修改為90,即可(以上數值全部為16進制)。
另外一種方法是將原先的PE程序的正確入口點找回來,填入當前入口點即可(此處以一個被感染的CALC.EXE程序為例),具體方法為:先搜索IMAGE_NT_SIGNATURE字段––“PE00”,接著將距此點偏移0x28處的4個字節值,例如“A0
02 00 00”(0x000002A0),再由此偏移所指的位置(即0x02A0)找到數據“55 8D 44 24 F8 33 DB
64”,並由0X02A0加上0X005E得到0x02FE偏移,此偏移處的數據例如為“CB 21 40
00”(OXOO4021CB),將此值減去OX40000,將得數––“CB 21 00
00”(OXOO0021CB)值放回到距“PE00”點偏移0x28的位置即可(此處為Windows PE格式程序的入口點,術語稱為Program Entry
Point)。最後將“55 8D 44 24 F8 33 DB 64”全部填成“00”,使得我們容易判斷病毒是否已經被殺除過。
按照上面手工殺毒的方法一般適合於某些單獨的軟件(例如某些軟件包含在軟盤中,卻被感染了CIH不讀,可現在就要用,呵呵!)。使用上述方法的缺點在於病毒體還將保留在可執行文件中,雖然不會起作用,但是想起來可能會有點不舒服(記得“WPS2000測試版殘留CIH病毒尸體”的事件麼?)。所以,想徹底殺滅,推薦使用某些反病毒軟件進行(以上操作以及使用反病毒軟件進行殺毒,必須使用干淨的繫統盤啟動計算機)。
四、病毒已經發作了,該怎麼辦?
如果病毒已經發作,那就得看您老的運氣了,一種情況是硬盤數據被破壞,在這種情況下,可能出現計算機能夠使用軟盤啟動,但是一旦試圖訪問硬盤,就出現無法訪問或者是訪問出錯或者是可以訪問硬盤,但是列出一大堆無意義的信息。
修復硬盤
就目前掌握的情況來看,除C:以外的其他邏輯分區可以被完全修復(這得看它破壞到哪裡了,一般發作的癥狀是硬盤轉個不停,總不會有人白痴到讓它寫完了主分區再寫完邏輯分區後纔關機吧,另外備注一下:根據本人手頭的程序顯示,CIH標準版本在破壞上的確是進行順序寫入垃圾數據,完全破壞硬盤信息的,可聽說某些隻寫5M或者是類似的數據,是否是CIH的派生版本不得而知),而是否能修復C:則得看實際破壞程度了,總之一句話,看你的運氣啦!
CIH病毒破壞了主引導扇區和硬盤分區表,使得硬盤上的數據無法訪問。隻要重建主引導扇區、重新恢復分區表,就用恢復數據的可能。但是CIH病毒對C盤的破壞要比以往的引導型病毒嚴重,C盤的文件分配表基本不可能恢復。對於其它邏輯盤,可以用一些工具進行恢復。一些反病毒軟件公司推出了修復工具,但也不是百分之百的有效。如果你的硬盤上有重要數據,最好不要輕易動手,請專業人員修復。
修復主板
另外一種情況是除了硬盤數據損壞之外,其主板上的Flash ROM中的BIOS程序也被破壞,這一情況又得分成兩大類,得視你的損壞情況以及主板的構造而定:
一是全部損壞,那就慘了,機器變成了黑臉的啞巴,連叫都不會叫了,這一故障隻有重新寫一遍BIOS,寫入的方法一般是使用兼容Flash
ROM的“燒錄器”,這玩意實際上也不復雜,一個電子愛好者隨便弄塊8255之類的便宜芯片就能搗起來(一般配合PC等計算機使用)。如果您機器主板上的Flash
ROM是安裝在插座上的,則推薦將其鍬下來,然後找人幫忙給再寫一塊(一般情況下你很有可能需要一塊包含有相同或者近似版本BIOS的其他ROM芯片,可嘗試找朋友借)。
如果你那邊實在是找不到有“燒錄器”的地方,則如果你手頭有一些類似用於主板BIOS升級的文件盤,同時你能借的到相同的BIOS芯片,也可以先將借來的BIOS
ROM芯片插在你的BIOS
ROM插座上(記得先把帶病毒的硬盤撥了),然後嘗試使用干淨DOS盤啟動(隻需要啟動基本DOS繫統即可,不要掛其他的驅動程序),啟動完成後,就要開始嘗試危險的熱插撥工作,即:將借來的BIOS
ROM撥掉,換上數據損壞的Flash
Rom,然後啟動主板BIOS升級的軟件進行寫入工作。(備注:此方法中所使用的熱插撥乃電子界的大忌,如果造成任何損失,本人概不負責)。
二是基本啟動部分未出現損壞,這一情況的特征為可能機器不能正常啟動,但是還有一些啟動的感覺,例如它居然還能夠出現檢測軟盤的動作(要保證能夠由軟盤啟動計算機),這一情況比較幸福,在這種情況下,基本BIOS還能運行,但是由於其一般隻支持IDE接口的顯示卡,則可能你的屏幕上不會有任何的顯示信息。在這一情況下,則必須使用“黑燈瞎火”法,它的原理也就是類似BIOS升級等的操作,它要求我們手頭必須有能用的一些BIOS升級程序軟件,然後我們在他人的機器上先制作一張DOS啟動盤,並將升級操作所需要運行的命令行放在autoexec.bat文件中,然後拿這張軟盤到被CIH病毒破壞的機器上啟動,接著的一些如“回車”、按上下方向鍵等的操作就要“摸黑”進行了。如果幸運的話,按以上步驟操作,您的機器就被救活了。
三是慘得一塌糊塗,以上方法都不適用,則推薦你們去問問銷售商能不能幫你們解決,這也沒辦法! |
|
|
