从CIH病毒谈电脑的安全防护

林羽今

　　近来，各种新闻媒体都在谈论CIH病毒，它能够损坏BIOS和硬盘上的数据，是超级恶性病毒。虽然没有机会接触它，也不能够深入地分析它的源代码，但从媒体报道得知，CIH病毒的表现是CMOS病毒和磁盘病毒的合一。万变不离其宗，再强大的病毒也只是能够改变电脑允许改变的东西，如果安全防护得当，能够把这些改变恢复，那么病毒的发作只是让您麻烦一点，除了时间和精力，不会再有其他损失。

　　目前，板卡上能够被用户改变信息内容的硬件是Flash Memory。为了能够增强板卡的兼容性和技术升级的需要，各种主板包括一些高档显示卡都用它取代原有的ROM，以后还会有更多的硬件采用它。病毒都讲究攻击的广泛性，由于现在只有主板的BIOS广泛采用Flash Memory存储CMOS信息，病毒对硬件的攻击只能是针对BIOS。由于Flash Memory可擦写升级，病毒的破坏模块会借用类似Flash烧制的机制改变Flash Memory上的数据，用无序数据替换掉BIOS数据结构，引起主机不能使用。

　　如果备份有BIOS数据结构，只要软驱能够使用（很多Flash Memory升级失败的主板软驱都能够使用），利用Flash软件可以很容易重建BIOS结构。具体操作可参考Flash软件的自述文件或运行Flash.exe/？，这里不再赘述。只是可能要黑屏操作，因为显示输出很可能已被损坏。那也不要紧，只要按照步骤，每一步稍作等待，避免误按“取消”即可。Flash软件在买某些主板时会附送，在Internet软件下载区域和各大主板生产商的主页上都可以找到。如果事先没有备份BIOS数据，可以通过Internet到主板生产厂商的主页上找最新数据，或者通过Flash.exe马上制作备份。参照烧制BIOS的解决方法，如主板换插法，找一块同品牌同类型的好的主板，开机，把好的BIOS芯片热插拔下来，换上坏的，再用Flash软件进行操作等。如果离销售厂商较近，可要求其保修重烧，或要求他们给您换上一块好的BIOS芯片。有的名牌主板的BIOS芯片记载着DMI信息，利用主板附送的DMI管理程序可以备份、还原DMI信息，详情请看主板操作手册和自述文件。

　　以往发现的CMOS病毒仅是改变BIOS的I/O转向，使病毒先运行再加载完BIOS全部数据。如果您以前曾经用Norton Utilities（NU）制作过应急盘，Restore一下CMOS信息就可以了。或者利用相同配置电脑的应急盘还原CMOS信息。CIH病毒既然连BIOS数据结构都已破坏，CMOS信息也不能够保留，所以也需要应急盘对CMOS信息进行备份（NU8及以上版本）。

　　磁盘病毒可分为引导型病毒和文件型病毒。有的引导型病毒使电脑无法认识磁盘介质，或不能引导，或改变分区表信息。如果您事先已经做过NU的应急盘，便可以立即恢复。如果引导型病毒已经破坏了FAT表，那么问题就麻烦了点，虽然NU具有备份FAT表的功能，但它不能恢复更新过的文件，特别是不能够恢复重整碎片后的磁盘，而为了保证应急盘的干净安全，不可能随时升级备份文件，即使对同一台电脑有多个应急盘也不可能。必要的时候需要从损坏的FAT表中获取文件信息。从CIH病毒的表现来看，它应该是引导型病毒。

　　根据多年的经验，文件型病毒发作以后最难对付。也不排除CIH病毒被剪接成文件型病毒的可能。做得比较拙劣的病毒可能只是删除文件或格式化硬盘，只要没有覆盖，用一些反删除、反格式化软件，或Diskedit之类直接操作物理扇区的软件就可以恢复。如果病毒的破坏模块对磁盘数据采取填充机制，用残损数据覆盖掉文件，或用某一个特定字符，最常用的是0，替换掉每一个存储单元的数据，那真是没救了，没有备份的话只能自认倒霉。

　　本人强调系统区和数据区分离。为了保证代码短小精悍，没有一个病毒能够面面俱到。绝大多数磁盘病毒攻击的是系统分区，而且主要是C盘，所以硬盘最好能多分几个区，把系统软件、应用软件、数据文件分别存放在不同分区，一般情况下彼此互不干扰。数据文件指的是文书文件（如WPS文件、Word文档）、图形图像文件、影音文件、数据库、电子邮件、电子表格等。系统分区坏了可以格式化重装，与数据文件存放盘无关。比如用E盘做备份盘，F盘做数据文件存放盘，存放一些自己制作的文件。因为扩展分区相对安全，数据文件存放盘不包含EXE和COM文件（那往往是病毒的载体），数据文件的使用频率又没有系统文件和应用文件高，不易出现磨损和坏簇，专门划出一个分区是必要的，这样维护起来也层次分明。遗憾的是，原装机往往只把硬盘分为一个大C盘，一旦病毒破坏了FAT表，损失巨大。对于只有一个分区的硬盘，目前可用Pmagic和Partit等软件进行不丢失原有数据的无损分区。

　　现有的杀毒软件虽然不能令人满意，但留几套做交叉防护也极为可行。像KILL、KV300＋、AV95、VRV、瑞星、NAV、McAfee等杀毒软件都各有特色，对于已知病毒，它们一般也能够对付，至少这个不行还有那个，使用杀毒软件可以省事不少。瑞星9.0据说就能够查杀CIH病毒。但并不能因为拥有杀毒软件就放松安全防护意识，更不能忽视文件备份。