ＣＩＨ能使屏幕裂成两半吗？

幼虫按：本文系河南经纬公司的《AV95核心技术与防、查、杀CIH病毒》一文的节选，大标题及副标题均系幼虫自拟，在此谨向河南经纬公司致谢！欲看全文的朋友请前往河南经纬公司网站www.keenvim.com。

ＣＩＨ能使屏幕裂成两半吗？
　　　　－－反毒厂商眼里的ＣＩＨ
　　CIH病毒是最近流行的破坏力最强的病毒。从破坏能力讲，它是有史以来破坏性最强的病毒了。--尽管至今它未造成当年蠕虫病毒那样大的损失。
　　CIH病毒的作者是台湾的一个在读大学生。作为一个经典的笑话，国内一个经常上网、并喜欢在网上发布共享软件的网友曾被认为是该病毒的作者，因而在短时间内遭到大量网虫的邮件炸弹的袭击，做了一次真正的替死鬼。
　　CIH被炒得沸沸扬扬的一个重要原因是因为连公安部也认定它会"破坏硬件"。关于这个问题，AV95的作者周辉有过一段精彩的评述："硬件破坏？这不可能！这样来说吧，如果你用机器，显示屏'哗'的一下裂成两半，那么这叫硬件破坏。但是CIH病毒发作后所有硬件都还是好好的，你说主板被破坏了，但它连条缝都没有，又怎么能算被破坏了呢？"
　　--这个评述，笑笑也就是了，毕竟这是一个比较专业的评述。对一般用户来说，它的主板的确是被"破坏"了，因为除了换主板就别无选择。
　　CIH病毒流行最广的是每月的26日发作的版本，而且，已经出现了不在26日发作的CIH病毒。CIH发作的两个主要破坏是主板上存有开机检测程序的Flash Memory和硬盘数据。具体的说CIH会强行向Flash Memory和硬盘中塞入垃圾数据，导致主板无法自检引导，硬盘数据全面被毁。
　　在主板Flash Memory破坏上CIH使用的是一个并不高明的技术。要做到这一点并不难，在华硕系列主板的配套程序盘上有一个主板升级程序，它可将华硕公司在网络中发布的新的主板引导程序填入主板的Flash Memory中。只要用反汇编这个升级程序，取出写Flash Memory的程序，则破坏Flash 　　Memory的原始码就有了。所以说CIH的破坏虽然强烈，但并不是太高明的技术。
　　从技术分析的角度来讲CIH的最成功之处在于它利用了WIN95的VxD驱动程序技术躲过了所有防、查、杀病毒工具的检测。更为奇妙的是，你找不到这样一个.VxD的文件来证明CIH病毒是使用VxD技术的。原来，CIH动态搜索WIN95系统的VxD链，并将病毒码以一个VxD调入的方法插入到这个VxD链中，由于VxD在WIN95中是最优先级的，所以CIH病毒总是能最先控制系统。
　　由于这个缘故，防、杀CIH病毒成为一个极大的技术难题。也正因此，AV95在今年9月份作了重大的技术更新，从VER2.5x版升级到VER2.6x版。其实，CIH有一个明显的技术漏洞，那就是它只感染WIN95文件。在DOS下这个病毒并不会被激活，这使得以"软盘引导"的方法，就能得到一个安全的环境来清除病毒。所有的工作跟传统的清除方法没有不同。
　　但WIN95中要杀CIH病毒的可能性几乎为零。因为WIN95是多任务的，一个被打开的文件如果感染了CIH病毒，而CIH是最优先级的，所以根本无法操作带毒文件并杀除CIH病毒！
　　对于CIH最后剩下的一个问题是"防毒"。对于这个问题，目前并没有极好的解决方案。

　　所幸的是，我们提交了一份全新思路的CIH防、杀方案，这套方案完整的解决了这些问题。这个方案的最终产物就是现在大家见到的"CIH终结者"，这份完全免费共享的产品也正式拉开了AV95建筑WINDOWS防火墙的华幕。
　　"CIH终结者"事实上分为三个部分：DOS杀毒，WINDIOWS防毒。其中WINDOWS防、杀被结合在一起，与DOS杀毒并成两个可执行模块。它们之间有机合作：首先WINDOWS启动时载入"CIH终结者"的防杀系统，此时如果"终结者"监测到内存中没有病毒，就会将自己驻留在系统中，此时，它具有跟传统的防火墙一样的功能：检测病毒，并动态杀毒。然而，如果"终结者"在系统启动时发现内存已经有CIH病毒，就会自动重新启动机器，并调用DOS杀毒模块，这样就成功彻底地清除了CIH病毒。
　　CIH终结者另一个令人意想不到的优点是，它除了可防杀以知的CIH病毒外，还可以防查CIH的变种。这其实也就是我们刚才提到的虚拟机侦测技术，在WIN95反病毒防火墙上的真实体现。
　　让我们共同拥有一份"CIH终结者"，真正地终结这一个恶性病毒在计算机中的流行，就象终结掉当年的蠕虫病毒在网络中的流行一样吧！