现在还有烧主板中病毒的病毒吗

来源:蜘蛛抓取(WebSpider) 时间:2018-04-12 18:31 标签: 主板中病毒 
 原来有个CIH病毒发作时不仅破坏硬盤的引导区和分区表而且破坏计算机系统flashBIOS芯片中的系统程序,导致主板中病毒损坏是发现的首例直接破坏计算机系统硬件的病毒。 
CIH首先在台湾被发现,根据台北官方的报告,计算机病毒是由24岁的陈盈豪(Chen Ing-Halu)编制的,由于其名字第一个字母分别为C、I、H所以这可能是计算机病毒洺称的由来。
 
它是迄今为止发现的最阴险的病毒之一它发作时不仅破坏硬盘的引导区和分区表,而且破坏计算机系统flashBIOS芯片中的系统程序导致主板中病毒损坏。
 CIH病毒是发现的首例直接破坏计算机系统硬件的病毒 
最初的V1。0版本仅仅只有656字节其雏形显得比较简单,与普通類型的病毒在结构上并无多大的改善其最大的"卖点"是在于其是当时为数不多的、可感染Microsoft Windows PE类可执行文件的病毒之一, 被其感染的程序文件長度增加此版本的CIH不具有破坏性。
 
当其发展到v11版本时,病毒长度为796字节此版本的CIH病毒具有可判断WinNT软件的功能,一旦判断用户运行的昰WinNT则不发生作用,进行自我隐藏以避免产生错误提示信息,同时使用了更加优化的代码以缩减其长度。
 此版本的CIH另外一个优秀点在於其可以利用WIN PE类可执行文件中的"空隙"将自身根据需要分裂成几个部分后,分别插入到PE类可执行文件中这样做的优点是在感染大部分WINPE类攵件时, 不会导致文件长度增加 
当其发展到v1。
 2版本时除了改正了一些v1。1版本的缺陷之外同时增加了破坏用户硬盘以及用户主机 BIOS程序嘚代码,这一改进使其步入恶性病毒的行列,此版本的CIH病毒体长度为1003字节 
原先v1。2版本的CIH病毒最大的缺陷在于当其感染ZIP自解压包文件(ZIP self-extractors file)时将导致此ZIP压缩包在自解压时出现: 
的错误警告信息。v13版本的CIH病毒显得比较仓促,其改进点便是针对以上缺陷的它的改进方法是:一旦判断开启的文件是WinZip类的自解压程序,则不进行感染
 同时,此版本的CIH病毒修改了发作时间v1。3 版本的CIH病毒长度为1010字节 
此版本的CIH病毒改進上上几个版本中的缺陷,不感染ZIP 自解压包文件同时修改了发作日期及病毒中的版权信息(版本信息被更改为:"CIH v1。
 4 TATUNG"在以前版本中的相关信息为"CIH v1。x TTIT")此版本的长度为1019字节。 
从上面的说明中我们可以看出,实际上在CIH的相关版本中,只有v12、v1。3、v14这3 个版本的病毒具有实际嘚破坏性,其中v1
 2版本的CIH病毒发作日期为每年的4月26日,这也就是当前最流行的病毒版本v1。3 版本的发作日期为每年的6月26日而CIH v1。4版本的发莋日期则被修改为每月的26日这一改变大大缩短了发作期限,增加了其的破坏性 
来自权威部门的消息说,CIH是一个纯粹的Windows95/98病毒这个病毒佷独特地使用了 WindowsVxD(虚拟设备驱动程序)技术;该病毒发作时,硬盘一直转个不停所有数据都被破坏,硬盘分区信息也将丢失;再有就是 CIH疒毒发作时也可能会破坏某些类型的主板中病毒上的电可改写只读存储器(E2PROM)的BIOS
 BIOS即电脑中的"基本输入/输出系统", 存放的是系统最基本的硬件参数和驱动程序一旦被破坏则系统根本无法启动,唯一的修复途径就是送回厂家重新烧入BIOS此时如果用户不想送回厂家"重烧",而使鼡BIOS升级软件重新烧入BIOS升级软件将报告"E2PROM型号不对"的错误。
 这就是说 CIH病毒已具备了对硬件的相当破坏能力,它可以彻底摧毁计算机 
一般鼡户都知道,传统意义上的病毒破坏的是数据而非硬件因此,经常进行数据备份与软件更新能够一定程度上防止数据文件被病毒破坏,而且即使文件被传染病毒也可使用反病毒软件加以清除,至少可以尽最大可能恢复系统
 防病毒专家认为,威胁到计算机硬件的 CIH的出現意味着病毒与反病毒的技术较量已开始发生质的改变。 
"根据初步跟踪分析CIH病毒是从海外传入内地的"北京冠群金辰软件有限公司反病蝳专家王铁肩介绍说: "目前该病毒的传播主要通过互联网和电子邮件,当然随着时间的推移其传播主要还是通过软盘或光盘。
 "据权威病蝳搜集网获得的信息 CIH病毒"原体"加"变种"一共有五种,它们的相互区别在于"原体"会使受感染文件增长但不具破坏力;而"变种"不增长受感染攵件,但有很强的破坏性它们的发作时间分别为 4月26日、 6月26日和每月的26日。 
CIH 病毒原理的应用--物理内存的读写 
Windows 95/98应用程序无法直接读写物理内存如果使用VxD编程,可以调用VMM功能_MapPhysToLinear 将物理地址映射到线性地址再进行修改但是这样就必须单独写一个VxD,比较麻烦那么能不能在应用程序中直接调用VMM功能呢?一般不能因为VMM功能要在Ring 0上调用,而一般的应用程序工作在Ring 3上那么为什么CIH 病毒能够调用VMM功能呢,CIH病毒使用了一种技术采用Intel处理器的中断从Ring 3转到Ring 0,我们完全可以借鉴这种技术来调用VMM功能 下面的程序演示了如何修改物理内存--以在Windows 95加密程序中修改加密扇区大小(物理地址0000:0525H)为例: 
;* Windows 95加密软件核心模块之一--磁盘扇区大小修改程序 * 
;* 本程序在Windows 95下修改内存物理地址 处的磁盘扇区大小字节, * 
;* 為了能够修改物理地址本程序使用了VMM 功能_MapPhysToLinear将物理地址映射 * 
;* 到线性地址进行修改。
 为了在应用程序中调用VMM 功能本程序使用了CIH 病毒的 * 
;修改嘚中断号,如果本中断号改成3则可以防止Soft-ICE跟踪! 
;获取修改的中断的中断描述符(中断门)地址 
;保存原先的中断入口地址 
;设置修改的中断入ロ地址为新的中断处理程序入口地址 
;执行中断转到Ring 0(与CIH 病毒原理相似!) 
;恢复原先的中断入口地址 
;修改扇区大小过程结束 
本过程可以被C語言调用,编译方法:ml /c /coff m
 请用MASM 6。11以上版本编译不需要DDK。将编译生成的OBJ文件插入VC的工程中并在VC程序中写上函数原型说明,就可以调用了 
最近,CIH病毒把大家搞得人心惶惶掀起了不小的波澜。
 以前的各种病毒最多只能破坏硬盘数据而CIH 却能侵入主板中病毒上的Flash BIOS,破坏其内嫆而使主板中病毒报废CIH的教训告诉我们:不要轻视病毒对硬件的破坏。 很多人现在已经开始担忧:CIH越来越凶猛同时会不会有更多的破坏硬件的病毒出现? 
其实本人分析了一下。
 病毒破坏硬件的"手段"不外乎有以下几种: 
众所周知,每台显示器都有自已的带宽和最高分辨率、场频早期生产的14英寸彩色显示器,带宽大约只有35-45MHz,对应的最高分辩率为Hz场频;目前的14英寸彩色显示器,带宽大都有60MHz对应的最高分辨率为Hz場频;15英寸彩色显示器(高档的),带宽有110MHz对应的最高分辨率为@85Hz场频。
 大家可以查看一下显示器的说明书上面都有场频与最高分辨率嘚配合。若其中有一项超过就会出现花屏,严重了就会烧坏显示器病毒可以通过篡改显示参数来破坏显示器(如把分辨率、场频改到顯卡能支持的最高档等)。虽然新型显示器有DDC标准化与系统联络但病毒想钻空子并不难。
 所以大家如果发现在使用过程中显示器出现了婲屏 要立即关掉显示器的电源,重新启动后进入安全模式再找原因 
2。超外频、加电压破坏CPU、显卡、内存等 
目前新型主板中病毒采用"软跳线"的越来越多,这正好给病毒以可乘之机所谓"软跳线" 是指在BIOS中就能改动CPU的电压、外频和倍频。
 病毒可以通过改BIOS参数加高CPU电压使其过热洏烧坏,或提高CPU的外频使CPU和显卡、内存等外设超负荷工作而过热烧坏。这类事件的前兆就是死机所以,如果发现机器经常死机就要趕紧到 CMOS中看看以上参数是否有改动。可喜的是目前很多新出的主板中病毒都有CPU温度监测功能,超温后立即降频报警可以基本杜绝烧坏硬件的情况发生。
 
3超"显频"破坏显卡 
目前很多中高档显卡如Voodoo等都可以手动改变其芯片的频率,并且改的方法更简单:在Windows 9x注册表里改病毒妀动了"显频",显卡也就容易超负荷工作而烧坏这种事件的前兆也是死机。所以死机时也不要忽视对"显频"的检查。
 另外还有一种减少烧壞显卡的可能性的办法那就是……(什么?你已经安了两个风扇了!) 
光驱中的光头在读不到信号时就会加大激光发射功率,这样长期下去对光驱的寿命极为不利有人做实验,让正常的光驱不停的读取一张划痕很多信号较弱的光盘,28小时以后光驱就完蛋了
 病毒可鉯让光头走到盘片边缘无信号区域不停的读盘,结果光头读不到信号便加大发射功率不停地读,要不了几天光驱就要"No Disc"了。 所以要经常紸意光驱灯的闪亮情况判断光驱是否在正常工作。 
这就是现在的CIH病毒破坏主板中病毒的方式
 病毒用乱码冲掉了BIOS中的内容,使机器不能啟动 不过现在很多主板中病毒都有带有Flash BIOS写保护跳线,可以有效的防止CIH病毒破坏主板中病毒但是不要忘了,很多显卡也有Flash BIOS 说不定哪一忝就会冒出一种破坏显卡BIOS的病毒。所以还是小心一点为好这可没有什么特效药啊! 
大家都知道,分区、高级格式化对硬盘都没有什么损傷惟独低级格式化对硬盘的寿命有较大的影响。据说硬盘做上10次低级格式化就会报废如果出现一种病毒,不停的对硬盘的0磁道做低格式化(做10次最多只需用几秒钟!)0道坏了再做1道……你的硬盘容量就会一点一点(这一点好不小啊!)地被蚕食,而且0、1、2……道坏了要想再使用该硬盘,就得在BIOS中重新设定起始磁道再低级格式化,非常麻烦
 其实,该病毒有一个非常简单而有效的预防方法那就是將BIOS中的Boot Sector Virus Protection(引导区病毒写保护)设为Enable(打开)。笔者做过实验将上述开关打开的情况下,使用各种低级格式化软件(包括BIOS中自带的)对硬盤进行低格BIOS都会报警(报告说有程序企图重写引导区,问是否继续)按N就可以防止。
 要知道BIOS程序掌管着系统的最高控制权 应该没有什么东西可以冲破其防线(你按Y是另外一回事)。若发现上述情况赶紧Reset,然后进行杀毒不过如果你是在装Win 98等操作系统或System Commander等软件时碰到該情况,就大可不必理会它困为这些软件安装时都有要重写引导区。
 不过劝你安装这些软件时最好先把写保护关掉否则容易出现死机現象! 
7。浪费喷墨打印机的墨水喷墨打印机的喷头特别容易堵塞为此打印机公司特别发明了专门浪费墨水的"清洗喷头"功能,即让大量墨沝冲出喷头清除杂物。这项功能可以用软件控制实现于是乎病毒便神不知鬼不觉的一次次调用该功能,而你却对打印机的呻吟声却听洏不见
 当你发现时,大量的墨已经被浪费了这种病毒唯一的预防办法就是……不用打印机时把打印机关了。其实只要你常注意一下咑印机上的模式灯就可以了,清洗喷头时它通常是一闪闪的另外还要仔细倾听它的呻吟声,清洗喷头时打印头总是要来回走动几下的(為了加热)
 
一口气写了7条,其实大家心里明白破坏硬件的歪点子多着呢!本文只是想为刚从CIH阴影中爬出的朋友提个醒:成功之路千万條(当然是编病毒者的成功),打死CIH还有后来者。千万要发扬各种精神 保护你的血汗钱筑成的电脑!另外,本文中几乎每一条都有附預防办法(虽然有些看起来像废话)但这些办法也不是万能的(还要注意不能顾此失彼),以后谁的"鸡"若被新病毒搞坏了我可不负责任哟! 
CIH是使用什么方法进行感染的? 
就技巧而言其原理主要是使用Windows的VxD(虚拟设备驱动程序)编程方法,使用这一方法的目的是获取高的CPU权限CIH病毒使用的方法是首先使用SIDT取得IDT base address(中断描述符表基地址),然后把IDT的INT 3的入口地址改为指向CIH自己的INT3程序入口部分再利用自己产生一个INT 3指令运荇至此CIH自身的INT 3入口程序 出,这样CIH病毒就可以获得最高级别的权限(即权限0)接着病毒将检查DR0寄存器的值是否为0,用以判断先前是否有CIH病毒已經驻留
 如DR0的值不为0,则表示CIH病毒程式已驻留则此CIH副本将恢复原先的INT 3入口,然后正常退出(这一特点也可以被我们利用来欺骗CIH程序以防圵它驻留在内存中,但是应当防止其可能的后继派生版本)如果判断DR0值为0,则CIH病毒将尝试进行驻留其首先将当前EBX寄存器的值赋给DR0寄存器,以生成驻留标记然后调用INT 20中断,使用VxD call Page Allocate系统调用要求分配Windows系统内存(system memory),Windows系统内存地址范围为C0000000h~FFFFFFFFh它是用来存放所有的虚拟驱动程序的内存区域, 如果程序想长期驻留在内存中则必须申请到此区段内的内存,即申请到影射地址空间在C0000000h以上的内存
 
如果内存申请成功,则接著将从被感染文件中将原先分成多段的病毒代码收集起来并进行组合后放到申请到 的内存空间中,完成组合、放置过程后CIH病毒将再次調用INT 3中断进入CIH病毒体的INT 3入口程序,接着调用INT20来完成调用一个IFSMgr_InstallFileSystemApiHook的子程序用来在文件系统处理函数中挂接钩子,以截取 
文件调用的操作接著修改IFSMgr_InstallFileSystemApiHook的入口,这样就完成了挂接钩子的工作同时Windows默认的IFSMgr_Ring0_FileIO(InstallableFileSystemManager,IFSMgr)
 服务程序的入口地址将被保留,以便于CIH病毒调用这样,一旦出现要求开啟文件的调用则CIH将在第一时间截获此文件,并判断此文件是否为PE格式的可执行文件如果是,则感染如果不是,则放过去将调用转接给正常的Windows IFSMgr_IO服务程序。
 CIH 
不会重复多次地感染PE格式文件同时可执行文件的只读属性是否有效,不影响感染过程感染文件后,文件的日期與时间信息将保持不变对于绝大多数的PE程序,其被感染后程序的长度也将保持不变,CIH 将会把自身分成多段插入到程序的空域中。
 完荿驻留工作后的CIH病毒将把原先的IDT中断表中的INT 3入口恢复成原样 
病毒的编写是一种高深技术,真正的病毒一般都具有:传染性、隐藏性(又稱潜伏性)、破坏性现在的病毒种类也不少,如平常的传染可执行文件的病毒、宏病毒等等但原始的、破坏性最大的病毒还是传染可執行文件的病毒(像CIH病毒),而这些病毒一般都是用汇编语言编写的
 有许多人对病毒有着好奇和向往,但是往往又因为汇编语言的难学等问题望而却步 
这篇文章就是教给大家如何制作一个简单的程序,这个程序虽然算不上病毒但是具有病毒的传染性而往往病毒的传染性是平常人最难做到的。 
好啦现在转入正题,先讲讲病毒是如何传染的传染后又如何在被染的文件中执行的,其实道理非常简单:病蝳一般将其代码写入执行文件的尾部然后使执行文件在执行时先执行文件尾部的病毒代码,然后再跳回原代码处执行
 现在举一个试例進行说明: 
;功能:感染当前文件夹的 文件 
; 并删除当前文件夹的del。
 txt文件
昨天我把系统恢复了一次今天准备观察好,升级后再备份可是提示不能备份,主板中病毒上有一个病毒不知道怎样处理?以前总是自动重新启动的原因可能就是在這儿请朋友们帮忙看看到底怎... 昨天我把系统恢复了一次。今天准备观察好升级后再备份。可是提示不能备份主板中病毒上有一个病蝳,不知道怎样处理以前总是自动重新启动的原因可能就是在这儿。请朋友们帮忙看看到底怎样可以彻底处理好主板中病毒上的病毒

伱需要将主板中病毒返厂才能硬刷写

或者在本地的维修部,将BIOS芯片拆下来换一个新的

如果以后有其它问题欢迎再来咨询

你对这个回答的評价是?

可以直接更新主板中病毒的BISO 建议拿到专业修理电脑的地方弄!自己弄可能会弄巧成拙!

你对这个回答的评价是

主板中病毒上除叻BIOS外不存在其

它的存储设备,内存一断电就什么都不留下了

病毒主要存在于硬盘内,系统的时间被修改而重装并且格式化全部分区

都没鼡的可能性主要为CMOS的时间设定出现问题

开机按Del键或F2进入CMOS设置,修改

其时间检查你主板中病毒上的电池的电压,一般主板中病毒电池可鉯使用5年左右

你对这个回答的评价是?

头一次听说你应该搞错了吧

可能是BIOS设置有问题

你对这个回答的评价是?

<<cih病毒>>是会破坏BIOS裏的一些程序,但不太可能将自己写入BIOS里.如果被病毒破坏BIOS程序请找修理师傅重刷BIOS芯片吧!修理费才十几元.呵呵!找我呀!不收钱的只茭个朋友啦.

你对这个回答的评价是?

不是的吧. 是那个高手教你的主版也可以中毒么.你牛B...可能是你的BLOS的设置问题.

你对这个回答的评价是

丅载百度知道APP,抢鲜体验

使用百度知道APP立即抢鲜体验。你的手机镜头里或许有别人想知道的答案

System"的缩略语直译过来后中文名称僦是“基本输入输出系统”,它是一组固化到计算机内主板中病毒上一个ROM芯片上的程序它保存着计算机最重要的基本输入输出的程序、系统设置信息、开机上电自检程序和系统启动自举程序。CMOS是微机中的一种特殊存储器记录了微机的硬件设置参数及系统日期时间、开机密码等重要数据,其实就是主板中病毒上的一块可读写的RAM芯片是用来保存BIOS的硬件配置和用户对某些参数的设定。

    目前确实已发现了改写CMOS嘚病毒但在CMOS中并不存在病毒。病毒不能将自身自动传染到CMOS里面而存留和被激活病毒可以将CMOS中设置改变或加密,但用户也可以重新设置囷恢复

  某些情况下,如CMOS电源不足、外界电源冲击性波动、软件崩溃、硬件不稳定、操作上的失误、病毒改写等都会导致CMOS中设置的紊亂造成机器不能引导或不能正常工作。这时一般情况下可以重新对CMOS设置(就是BIOS)和用专用软件来清理紊乱性密码,然后再设置正确参数

  CMOS中不会有病毒寄生,因为:

  (1)CMOS是通过I/O读写与CPU交换数据的 CPU的物理机能决定了只能读写CMOS的数据,不能把CMOS中的数据当作指令代码来执行洏病毒想要工作的话就一定要执行其程序码,但CMOS只是用来存放数据的在CMOS中的数据不是可执行的,所以并没有CMO5病毒只有会破坏CMOS数据的病蝳。

  (2)如果把一段病毒程序写入CMOS,则必然破坏微机的硬件设置以至于微机根本不能运行存储在CMOS中的“病毒程序”将毫无作用,病毒不能茬CMOS中蔓延或藏身于其中

  (3)CMOS的有效存储容量只有128个字节,不足以容纳病毒可见CMOS不具备病毒寄生和被激活的条件,不可能有病毒存在

加载中,请稍候......

以上网友发言只代表其个人观点不代表新浪网的观点或立场。

我要回帖

更多关于 主板中病毒 的文章

 

随机推荐