[轉錄]Re: 【TW.CN】中國強烈抗議4/26台灣CIH大屠殺！

作者oca (好久沒來了懷念的地方)

標題[轉錄]Re: 【TW.CN】中國強烈抗議4/26台灣CIH大屠殺！

時間Fri Apr 30 23:51:53 1999

※ [本文轉錄自 oca 信箱] 作者: oca.bbs@bbs.nchu.edu.tw 標題: Re: 【TW.CN】中國強烈抗議4/26台灣CIH大屠殺！時間: Fri Apr 30 16:06:20 1999 發信人: Hwh@pivot (小姐你喜歡吃青椒嗎) on board 'NCHU-APM' 標題: Re: 【TW.CN】中國強烈抗議4/26台灣CIH大屠殺！發信站: 中興大學天樞資訊網 (Fri Apr 30 00:11:52 1999) [ 本文轉載自 virus 討論區 ] [ 本文原作者是: office99.bbs@cis.nctu.edu.tw ] [ 發表時間為: Apr 28 21:19:57 1999 ] 來源: 57-248.rd.ethome.com.tw ==> 在 "0 4 Jiann" <lin4jian@ms1.hinet.net> 的文章中提到: > M$ Office 99 <office99.bbs@cis.nctu.edu.tw> 次寫入到主題.... > 　據報載該病毒的作者正在服兵役，所以算起來也是隸屬於中華民國國防部， > 不過ＣＩＨ病毒出現時他還是在校學生，這會兒不知有沒有學以致用？ > 　上文貼在這裡倒還〝勉強〞符合軍武版的主旨。呵呵。。。你大概不知到CIH在中國發作的模樣。。。。不是一台掛了，而是整個單位、整的城市。。。去年，他曾讓中國很多單位「掛了」。。。包括影響長江大水救災的 MSG傳遞。。。因而讓中國公安部與解放軍宣布加強對CIH的看管與研發緊急搶救之道。以下轉貼一篇CIH在中國的屠殺PC歷史。。。。。有網友用南京大屠殺形容 CIH造成的災難。　　1999年4月26日，星期一，還是在4月26日，還是CIH，導致了大量的PC計算機停止工作，同時導致用戶的數據遭到嚴重破壞。　　早在1998年7月26日，CIH的惡性病毒就已經在美國開始大面積肆虐。　　1998年8月26日，該病毒入侵中國。　　1998年8月31日，我國公安部發出防範CIH病毒的緊急通知。　　1998年9月1日，中國中央電視台在新聞聯播中播發了此通知。　　接著，全國各大報刊紛紛不惜版面、不遺余力地在顯著版面刊發大量的相關報道。　　反病毒廠商一時打破以久沉寂，大大紅火了一把。　　剎那間，全世界防、查、殺CIH病毒的呼聲昏天黑地...... 　　可時至今日，CIH病毒還在大面積繼續傳播......，在昨天，我們又看到了悲慘的一幕，大量的PC機在CIH的肆虐中一批批倒下，SINA電腦論壇中“哭”聲響徹天際..... .。　　CIH病毒到底是什麼病毒？　　CIH病毒屬文件型病毒，其別名有Win95.CIH、Spacefiller、Win32.CIH、PE_CIH ，它主要感染Windows95/98下的可執行文件(PE格式，Portable Executable Format)，目前的版本不感染DOS以及WIN 3.X(NE格式，Windows and OS/2 Windows 3.1 executio n File Format)下的可執行文件，並且在Win NT中無效。其發展過程經歷了v1.0，v1.1 、v1.2、v1.3、v1.4總共5個版本，目前最流行的是v1.2版本，在此期間，據某些報導，同時產生了不下十個的變種，不過好象沒有流行起來的跡象，本人並未實際接觸到這些所謂的CIH變種病毒。　　CIH病毒的各種不同版本的隨時間的發展不斷完善，其基本發展歷程為︰　　CIH病毒v1.0版本︰　　最初的V1.0版本僅僅只有656字節，其雛形顯得比較簡單，與普通類型的病毒在結構上並無多大的改善，其最大的“賣點”是在于其是當時為數不多的、可感染Microsof t Windows PE類可執行文件的病毒之一，被其感染的程序文件長度增加，此版本的CIH不具有破壞性。　　CIH病毒v1.1版本︰　　當其發展到v1.1版本時，病毒長度為796字節，此版本的CIH病毒具有可判斷Win NT軟件的功能，一旦判斷用戶運行的是Win NT，則不發生作用，進行自我隱藏，以避免產生錯誤提示信息，同時使用了更加優化的代碼，以縮減其長度。此版本的CIH另外一個優秀點在于其可以利用WIN PE類可執行文件中的“空隙”，將自身根據需要分裂成幾個部分後，分別插入到PE類可執行文件中，這樣做的優點是在感染大部分WINPE類文件時，不會導致文件長度增加。　　CIH病毒v1.2版本︰　　當其發展到v1.2版本時，除了改正了一些v1.1版本的缺陷之外，同時增加了破壞用戶硬盤以及用戶主機BIOS程序的代碼，這一改進，使其步入惡性病毒的行列，此版本的CIH病毒體長度為1003字節。　　CIH病毒v1.3版本︰　　原先v1.2版本的CIH病毒最大的缺陷在于當其感染ZIP自解壓包文件(ZIP self-ex tractors file)時，將導致此ZIP壓縮包在自解壓時出現︰　　WinZip Self-Extractor header corrupt. 　　Possible cause: disk or file transfer error. 　　的錯誤警告信息。v1.3版本的CIH病毒顯得比較倉促，其改進點便是針對以上缺陷的，它的改進方法是︰一旦判斷開啟的文件是WinZip類的自解壓程序，則不進行感染。同時，此版本的CIH病毒修改了發作時間。v1.3版本的CIH病毒長度為1010字節。　　CIH病毒v1.4版本︰　　此版本的CIH病毒改進上上幾個版本中的缺陷，不感染ZIP自解壓包文件，同時修改了發作日期及病毒中的版權信息(版本信息被更改為︰“CIH v1.4 TATUNG”，在以前版本中的相關信息為“CIH v1.x TTIT”)，此版本的長度為1019字節。　　從上面的說明中，我們可以看出，實際上，在CIH的相關版本中，只有v1.2、v1. 3、v1.4這3個版本的病毒具有實際的破壞性，其中v1.2版本的CIH病毒發作日期為每年的 4月26日，這也就是當前最流行的病毒版本，v1.3版本的發作日期為每年的6月26日，而 CIH v1.4版本的發作日期則被修改為每月的26日，這一改變大大縮短了發作期限，增加了其的破壞性。　　CIH病毒發作時所產生的破壞性︰　　CIH屬惡性病毒，當其發作條件成熟時，其將破壞硬盤數據，同時有可能破壞BIO S程序，其發作特征是︰　　1、以2048個扇區為單位，從硬盤主引導區開始依次往硬盤中寫入垃圾數據，直到硬盤數據被全部破壞為止。最壞的情況下硬盤所有數據(含全部邏輯盤數據)均被破壞，如果重要信息沒有備份，那就只有哭了！　　2、某些主板上的Flash Rom中的BIOS信息將被清除。　　感染CIH病毒的特征︰　　由于流行的CIH病毒版本中，其標識版本號的信息使用的是明文，所以可以通過搜索可執行文件中的字符串來識別是否感染了CIH病毒，搜索的特征串為“CIH v”或者是 “CIH v1.”如果你想搜索更完全的特征字符串，可嘗試“CIH v1.2 TTIT”、“CIH v1 .3 TTIT”以及“CIH v1.4 TATUNG”，不要直接搜索“CIH”特征串，因為此特征串在很多的正常程序中也存在，例如程序中存在如下代碼行︰　　inc bx 　　dec cx 　　dec ax 　　則它們的特征碼正好是“CIH(0x43;0x49;0x48)”，容易產生誤判。　　具體的搜索方法為︰首先開啟“資源管理器”，選擇其中的菜單功能“工具>查找 >文件或文件夾”，在彈出的“查找文件”設置窗口的“名稱和位置”輸入中輸入查找路徑及文件名(如︰*.EXE)，然後在“高級>包含文字”欄中輸入要查找的特征字符串---- “CIH v”，最後點取“查找鍵”即可開始查找工作。如果在查找過程中，顯示出一大堆符合查找特征的可執行文件，則表明您老的計算機上已經感染了CIH病毒。　　實際上，在以上的方法中存在著一個致命的缺點，那就是︰如果用戶剛剛感染CI H病毒，那麼這樣一個大面積的搜索過程實際上也是在擴大病毒的感染面。一般情況下，推薦的方法是先運行一下“寫字板”軟件，然後使用上面的方法在“寫字板”軟件的可執行程序Notepade.exe中搜索特征串，以判斷是否感染了CIH病毒。　　另外一個判斷方法是在Windows PE文件中搜索IMAGE_NT_SIGNATURE字段，也就是 0x00004550，其代表的識別字符為“PE00”，然後查看其前一個字節是否為0x00，如果是，則表示程序未受感染，如果為其他數值，則表示很可能已經感染了CIH病毒。　　最後一個判斷方法是先搜索IMAGE_NT_SIGNATURE字段----“PE00”，接著搜索其偏移0x28位置處的值是否為55 8D 44 24 F8 33 DB 64，如果是，則表示此程序已被感染。　　還听說凡是感染了CIH 病毒的機器，如果玩NEED FOR SPEED II游戲時，會在讀取游戲光盤時出現死機現象，本人沒有嘗試過，不知道實際上是不是有這一情況存在。　　適合高級用戶使用的一個方法是直接搜索特征代碼，並將其修改掉，方法是︰先處理掉兩個轉跳點，即搜索︰5E CC 56 8B F0 特征串以及5E CC FB 33 DB特征串，將這兩個特征串中的CC改為90(nop)，接著搜索 CD 20 53 00 01 00 83 C4 20 與 CD 20 67 00 40 00 特征字串，將其全部修改為90，即可(以上數值全部為16進制)。　　另外一種方法是將原先的PE程序的正確入口點找回來，填入當前入口點即可(此處以一個被感染的CALC.EXE程序為例)，具體方法為︰先搜索IMAGE_NT_SIGNATURE字段--- -“PE00”，接著將距此點偏移0x28處的4個字節值，例如“A0 02 00 00”(0x000002A0 )，再由此偏移所指的位置(即0x02A0)找到數據“55 8D 44 24 F8 33 DB 64”，並由0X 02A0加上0X005E得到0x02FE偏移，此偏移處的數據例如為“CB 21 40 00”(OXOO4021CB )，將此值減去OX40000，將得數----“CB 21 00 00” (OXOO0021CB)值放回到距“PE00 ”點偏移0x28的位置即可(此處為Windows PE格式程序的入口點，術語稱為Program Ent ry Point)。最後將“55 8D 44 24 F8 33 DB 64”全部填成“00”，使得我們容易判斷病毒是否已經被殺除過。　　按照上面手工殺毒的方法一般適合于某些單獨的軟件(例如某些軟件包含在軟盤中，卻被感染了CIH不讀，可現在就要用，呵呵！)。使用上述方法的缺點在于病毒體還將保留在可執行文件中，雖然不會起作用，但是想起來可能會有點不舒服(記得“WPS2000 測試版殘留CIH病毒尸體”的事件麼？)。所以，想徹底殺滅，推薦使用某些反病毒軟件進行(以上操作以及使用反病毒軟件進行殺毒，必須使用干淨的系統盤啟動計算機)。　　病毒已經發作了，該怎麼辦？　　如果病毒已經發作，那就得看您老的運氣了，一種情況是硬盤數據被破壞，在這種情況下，可能出現計算機能夠使用軟盤啟動，但是一旦試圖訪問硬盤，就出現無法訪問或者是訪問出錯或者是可以訪問硬盤，但是列出一大堆無意義的信息。　　實際上，就以上不同的情況，它們的區別在于硬盤信息的破壞程度不同，一般推薦使用Norton軟件進行嘗試性恢復，同時就目前掌握的情況來看，除C︰以外的其他邏輯分區可以被完全修復(這得看它破壞到哪里了，一般發作的癥狀是硬盤轉個不停，總不會有人白痴到讓它寫完了主分區再寫完邏輯分區後才關機吧，另外備注一下︰根據本人手頭的程序顯示，CIH標準版本在破壞上的確是進行順序寫入垃圾數據，完全破壞硬盤信息的，可听說某些只寫5M或者是類似的數據，是否是CIH的派生版本不得而知)，而是否能修復C︰則得看實際破壞程度了，總之一句話，看你的運氣啦！　　以上情況對于重視數據的同志而言可謂是“傷心的痛”，呵呵，他寧可機器爆掉，也不要數據丟失，所以推薦以後購買大容量的備份設備。　　另外一種情況是除了硬盤數據損壞之外，其主板上的Flash ROM中的BIOS程序也被破壞，這一情況又得分成兩大類，得視你的損壞情況以及主板的構造而定︰　　一是全部損壞，那就慘了，機器變成了黑臉的啞巴，連叫都不會叫了，這一故障只有重新寫一遍BIOS，寫入的方法一般是使用兼容Flash ROM的“燒錄器”，這玩意實際上也不復雜，一個電子愛好者隨便弄塊8255之類的便宜芯片就能搗起來(一般配合PC等計算機使用)。如果您機器主板上的Flash ROM是安裝在插座上的，則推薦將其鍬下來，然後找人幫忙給再寫一塊(一般情況下你很有可能需要一塊包含有相同或者近似版本BIOS的其他ROM芯片，可嘗試找朋友借)。　　如果你那邊實在是找不到有“燒錄器”的地方，則如果你手頭有一些類似用于主板BIOS升級的文件盤，同時你能借的到相同的BIOS芯片，也可以先將借來的BIOS ROM芯片插在你的BIOS ROM插座上(記得先把帶病毒的硬盤拔了)，然後嘗試使用干淨DOS盤啟動 (只需要啟動基本DOS系統即可，不要掛其他的驅動程序)，啟動完成後，就要開始嘗試危險的熱插拔工作，即︰將借來的BIOS ROM拔掉，換上數據損壞的Flash Rom，然後啟動主板BIOS升級的軟件進行寫入工作。(備注︰此方法中所使用的熱插拔乃電子界的大忌，如果造成任何損失，本人概不負責)。　　二是基本啟動部分未出現損壞，這一情況的特征為可能機器不能正常啟動，但是還有一些啟動的感覺，例如它居然還能夠出現檢測軟盤的動作(要保證能夠由軟盤啟動計算機)，這一情況比較幸福，在這種情況下，基本BIOS還能運行，但是由于其一般只支持 IDE接口的顯示卡，則可能你的屏幕上不會有任何的顯示信息。在這一情況下，則必須使用“黑燈瞎火”法，它的原理也就是類似BIOS升級等的操作，它要求我們手頭必須有能用的一些BIOS升級程序軟件，然後我們在他人的機器上先制作一張DOS啟動盤，並將升級操作所需要運行的命令行放在autoexec.bat文件中，然後拿這張軟盤到被CIH病毒破壞的機器上啟動，接著的一些如“回車”、按上下方向鍵等的操作就要“摸黑”進行了。如果幸運的話，按以上步驟操作，您老的機器就被救活了。　　三是慘得一塌糊涂，以上方法都不適用，則推薦你們去問問銷售商能不能幫你們解決，這也沒辦法！　　CIH及派生問題FAQ︰　　Q︰CIH是誰寫的？　　A︰我不曉得，不過網上早有風言風語了，以下照抄︰　　CIH病毒是台灣大同工學院一位名叫陳盈豪的學生搞的一個惡作劇，但無意中，通過互聯網流出，並通過互聯網的傳播，終造成大規模的病毒流行。當時，這個病毒傳播時所使用的載體為一個名叫"ICQ中文Chat模塊" 的工具，此工具軟件作者本人所維護的站台並沒有CIH病毒，但由于互聯網上各站台互相轉載，在轉載的過程中，感染上了 CIH病毒。當時這個工具下載並使用的人非常多，結果一傳十，十傳百......。　　當“ICQ中文Chat補丁”工具的作者知道此事後，聯絡了台灣非常著名的一個免費殺毒軟件作者，這個殺毒軟件就是Super Scanner。Super Scanner首先推出了CIH病毒的查毒工具，當時並沒有殺毒模塊。此時，CIH病毒作者與Super Scanner聯系上，並提供了CIH免疫工具。　　CIH病毒作者在台灣各大Newsgroup與BBS上發布道歉信，公開道歉，道歉原文如下︰　　---------------------------------------------------------------------- -------------------- 　　這是一封公開道歉的信，這次的病毒事件，CIH V1.2，CIH V1.3，以及CIH V1.4 ，造成大家的傷害以及不便，為此深表歉意！事件是發生于五月底，病毒是從宿舍內部迅速擴大到各大網站，因為網站的頻繁使用，同時病毒的傳染力甚強，于是造成如此大的災難，學校已經依學規對我個人適當的處分，並且鄭重警告，以後若有類似的事情發生，校方絕對會追究到底!? 　　為了彌補個人的過失，這段時間，對外面中毒的熱門軟件，我也用archie搜尋，花時間一一檢查是否有病毒，有中毒的話，也附上此檔案中CIH病毒類似的字樣，或是直接E-Mail給該站管理員，避免再次造成傷害。而在這段期間，感謝SSCAN作者的幫忙，用最快的速度寫出完整的解毒程序。同時我也及時寫?出對CIH病毒的免疫程序。同時藉此聲，最近在網站上的流傳CIH Version1.0 for word97巨集病毒，絕非個人行為，請各位詳查。網站畢竟是公開的，全世界的病毒到處流竄，新的病毒還是永遠會繼續產生，下載軟件還是小心點，對大家造成的傷害和不便，本人再一次深感抱歉，特寫這封道歉信，以示負責! 　　Super Scanner作者從CIH病毒作者提供的資料進行分析，並在1998年6月6日推出第一個能完整殺除CIH全系列的版本，Super Scanner 2.20S版，文件名SS980606。EXE。　　Super Scanner最新版已經為2.50b(9月16日出品)，可通過http://sscan.yeah.n et轉到Super Scanner的主站去看看。　　---------------------------------------------------------------------- -------------------- 　　Q︰CIH是使用什麼方法進行感染的？　　A︰就技巧而言，其原理主要是使用Windows的VxD(虛擬設備驅動程序)編程方法，使用這一方法的目的是獲取高的CPU權限，CIH病毒使用的方法是首先使用SIDT取得IDT base address(中斷描述符表基地址)，然後把IDT的INT 3 的入口地址改為指向CIH自己的INT3程序入口部分，再利用自己產生一個INT 3指令運行至此CIH自身的INT 3入口程序出，這樣CIH病毒就可以獲得最高級別的權限(即權限0)，接著病毒將檢查DR0寄存器的值是否為0，用以判斷先前是否有CIH病毒已經駐留。如DR0的值不為0，則表示CIH病毒程式已駐留，則此CIH副本將恢復原先的INT 3入口，然後正常退出(這一特點也可以被我們利用來欺騙CIH程序，以防止它駐留在內存中，但是應當防止其可能的後繼派生版本)。如果判斷DR0值為0，則CIH病毒將嘗試進行駐留，其首先將當前EBX寄存器的值賦給DR0寄存器，以生成駐留標記，然後調用INT 20中斷，使用VxD call Page Allocate系統調用，要求分配Windows系統內存(system memory)，Windows系統內存地址範圍為C0000000h～ FFFFFFFFh，它是用來存放所有的虛擬驅動程序的內存區域，如果程序想長期駐留在內存中，則必須申請到此區段內的內存，即申請到影射地址空間在C0000000h以上的內存。　　如果內存申請成功，則接著將從被感染文件中將原先分成多段的病毒代碼收集起來，並進行組合後放到申請到的內存空間中，完成組合、放置過程後，CIH病毒將再次調用INT 3中斷進入CIH病毒體的INT 3入口程序，接著調用INT20來完成調用一個IFSMgr_I nstallFileSystemApiHook的子程序，用來在文件系統處理函數中掛接鉤子，以截取文件調用的操作，接著修改IFSMgr_InstallFileSystemApiHook的入口，這樣就完成了掛接鉤子的工作，同時Windows默認的IFSMgr_Ring0_FileIO(InstallableFileSystemManager， IFSMgr)。服務程序的入口地址將被保留，以便于CIH病毒調用，這樣，一旦出現要求開啟文件的調用，則CIH將在第一時間截獲此文件，並判斷此文件是否為PE格式的可執行文件，如果是，則感染，如果不是，則放過去，將調用轉接給正常的Windows IFSMgr_IO服務程序。CIH不會重復多次地感染PE格式文件，同時可執行文件的只讀屬性是否有效，不影響感染過程，感染文件後，文件的日期與時間信息將保持不變。對于絕大多數的PE程序，其被感染後，程序的長度也將保持不變，CIH將會把自身分成多段，插入到程序的空域中。完成駐留工作後的CIH病毒將把原先的IDT中斷表中的INT 3入口恢復成原樣。　　Q︰ROM、PROM、EPROM、EEPROM、Flash ROM分別指什麼？　　A︰ROM指的是“只讀存儲器”，即Read-Only Memory。這是一種線路最簡單半導體電路，通過掩模工藝，一次性制造，其中的代碼與數據將永久保存(除非壞掉)，不能進行修改。這玩意一般在大批量生產時才會被用的，優點是成本低、非常低，但是其風險比較大，在產品設計時，如果調試不徹底，很容易造成幾千片的費片，行內話叫“掩砸了”！　　PROM指的是“可編程只讀存儲器”既Programmable Red-Only Memory。這樣的產品只允許寫入一次，所以也被稱為“一次可編程只讀存儲器”(One Time Progarmming ROM，OTP-ROM)。PROM在出廠時，存儲的內容全為1，用戶可以根據需要將其中的某些單元寫入數據0(部分的PROM在出廠時數據全為0，則用戶可以將其中的部分單元寫入1)，以實現對其“編程”的目的。PROM的典型產品是“雙極性熔絲結構”，如果我們想改寫某些單元，則可以給這些單元通以足夠大的電流，並維持一定的時間，原先的熔絲即可熔斷，這樣就達到了改寫某些位的效果。另外一類經典的PROM為使用“肖特基二極管”的 PROM，出廠時，其中的二極管處于反向截止狀態，還是用大電流的方法將反相電壓加在 “肖特基二極管”，造成其永久性擊穿即可。　　EPROM指的是“可擦寫可編程只讀存儲器”，即Erasable Programmable Read-On ly Memory。它的特點是具有可擦除功能，擦除後即可進行再編程，但是缺點是擦除需要使用紫外線照射一定的時間。這一類芯片特別容易識別，其封裝中包含有“石英玻璃窗 ”，一個編程後的EPROM芯片的“石英玻璃窗”一般使用黑色不干膠紙蓋住，以防止遭到陽光直射。　　EEPROM指的是“電可擦除可編程只讀存儲器”，即Electrically Erasable Prog rammable Read-Only Memory。它的最大優點是可直接用電信號擦除，也可用電信號寫入。EEPROM不能取代RAM的原應是其工藝復雜，耗費的門電路過多，且重編程時間比較長，同時其有效重編程次數也比較低。　　Flash memory指的是“閃存”，所謂“閃存”，它也是一種非易失性的內存，屬于EEPROM的改進產品。它的最大特點是必須按塊(Block)擦除(每個區塊的大小不定，不同廠家的產品有不同的規格)，而EEPROM則可以一次只擦除一個字節(Byte)。目前“閃存 ”被廣泛用在PC機的主板上，用來保存BIOS程序，便于進行程序的升級。其另外一大應用領域是用來作為硬盤的替代品，具有抗震、速度快、無噪聲、耗電低的優點，但是將其用來取代RAM就顯得不合適，因為RAM需要能夠按字節改寫，而Flash ROM做不到。　　Q︰主板Flash ROM中的BIOS程序怎會被破壞的？　　A︰PC機上常用來保存PC BIOS程序的Flash ROM包含兩個電壓接口，其中+12V一般用Boot Block的改寫，Boot Block為一特殊的區塊，它主要用于保存一個最小的BIOS，用以啟動最基本的系統之用，當Flash ROM中的其它區塊內的數據被破壞時，只要Boot Block內的程序還處于可用狀態，則可以利用這一基本的PC BIOS程序來啟動一個最小化的系統，一般情況下，起碼應當支持軟盤的讀寫以及鍵盤的輸入，這樣我們就有機會使用軟盤來重新構建整個Flash ROM中的數據。一般的主板上均包含有一個專門的跳線，用來確定是否給此Flash ROM芯片提供+12V電壓，只有我們需要修改Flash ROM中的Boot B lock區域內的數據時，才需要短接此跳線，以提供+12V電壓。　　另外一路電壓為+5V電壓，它可以用于維持芯片工作，同時為更新Flasm ROM中非 Boot Block區域提供寫入電壓。　　就以上的理論，可以得出︰主板上的+12V跳線是為了防止更新Flash ROM中的Boo t Block區域而設置的，如果想升級BIOS，同時此升級程序只需要更新Boot Block區域以外的BIOS程序，則主板上的跳線根本沒必要去跳，因為更新Boot Block區域以外的數據並不需要+12V電壓，這樣，即使升級失敗，我們也還存在著一個Boot Block中的最基本 BIOS可以使用，這樣就可以使用軟盤來恢復原先的BIOS數據(一般在升級的時候後，都提示用戶保存當前的BIOS數據)。　　以上的理論是非常美好的，可為什麼還是有擁護的BIOS程序在CIH病毒的魔爪下被徹底摧毀了呢？　　第一種情況是主板上的跳線處于短接狀態，即Flash ROM芯片已經有+12V電壓了，這一情況是由于用戶不小心造成的，或者干脆是根本不知道。這就得怪你自己了。　　第二種情況不是由用戶造成的，而是由廠家造成的，這里涉及到一個比較復雜的問題，由于上面美好的Boot Block概念是建立在Intel的基礎之上的，也就是說，Intel 公司擁有此項專利，這就導致使用此類技術的一般都是Intel公司出的Flash ROM芯片，如常見的 Intel 28F0 芯片，當然，世界上並不是只有InteL一家公司會生產Flash ROM ，象Atmel、MXIC、SST、Winbond等公司也能生產，而且可以保證管腳兼容，但是某些芯片在+5V的電壓下就可以進行改寫，這些單5V的芯片便是造成BIOS數據被徹底破壞的原應。就本人所知，SST、Winboard、Atmel公司出的這些芯片都是具有單5V可改特性的。以下是一些參考信息︰寫入電壓 5 Volt 12 Volt Atmel AT29LC010 -- Intel -- 28F001BX-T MXIC -- MX28F1000 SST 29EE010 -- Winbond W29EE011 -- 　　(主板廠家為什麼不使用如Intel公司的帶“Boot Block”保護的芯片呢？道理很簡單，其他公司的產品更便宜！) 　　技巧︰對于這些單5V可寫芯片的保護措施是將其WE (Write Enable)管腳設為無效，例如Atmel AT29C10A芯片的31腳為WE引腳，屬性為低電平有效，則只要將此引腳與VC C(+5V)相連，將其電平拉高即可。一般情況下如果使用插座的Flash ROM芯片，則可考慮不將此腳插入，另外焊條線與VCC連接即可。　　Q︰CIH病毒是破壞硬件的病毒麼？　　A︰不是，前面已經講的很明白了，在最壞的情況下，此病毒破壞的也只是Flasm ROM中的BIOS程序，而BIOS程序在Flasm ROM中只是一堆電流的表現，實際上，即使出現最壞的情況，也沒有任何硬件會出現物理損壞，那塊Flasm ROM中也只是信息丟失，並不代表此Flasm ROM就出現物理損壞了，如果擁有寫入器，還是可以在原先的Flasm ROM中寫入BIOS程序的。　　如果說“CIH病毒是破壞硬件的病毒”，則整個概念觀就會被顛倒，象重新寫入了一下Flash ROM信息(僅僅只是電流變化而已)，就被引申為“破壞硬件”，那麼硬盤上的信息是以N與S的磁級進行區分的，那麼我刪除了硬盤上的一個文件，造成了某些扇區數據的變換，是不是也可以引申為硬盤的這些扇區發生“物理損壞”了呢？哈哈哈！　　的確，CIH病毒給我們造成了很大的麻煩，可能造成你的機器不能夠啟動，但它並沒有出現什麼破壞硬件的情況，這是很明顯的。 -- 華文網民：TW:300萬/CN:700萬/HK:120萬/SG:75:萬 (CNet:1999年底) *** 華人聯合國Unite China(台北、北京、香港、新加坡) *** ***台灣法治化 * 香港人性化 * 中國民主化 * 新加坡自由化*** -- * Origin: ★ 交通大學資訊科學系 BBS ★ <bbs.cis.nctu.edu.tw: 140.113.23.3> -- ※ 發信站: 批踢踢實業坊(ptt.twbbs.org) ◆ From: neon.nchu.edu.t