喜讯:西数科技获批CMA资质扩项认定,能力涵盖司法鉴定物证领域电子数据、声纹、图像视频检验检测

中国数据恢复协会 数据恢复与存储安全研发中心 [ 咨询免费 检测免费 ] 24小时电话: 13813824669 技术部:025-83608636(白天)  RAID专家:13813824669

站内搜索

联系我们

  • 276570401
  • 025-83608636
  • 18651607829
当前位置:首页 > 用户帮助 > 安全常识 安全常识
CIH病毒资料大全(二)

CIH病毒资料大全(二)T2u南京西数科技:提供硬盘/手机/U盘/服务器数据恢复. 025-83608636

T2u南京西数科技:提供硬盘/手机/U盘/服务器数据恢复. 025-83608636
T2u南京西数科技:提供硬盘/手机/U盘/服务器数据恢复. 025-83608636
二、CIH病毒发作时所产生的破坏性:   
T2u南京西数科技:提供硬盘/手机/U盘/服务器数据恢复. 025-83608636

CIH属恶性病毒,当其发作条件成熟时,其将破坏硬盘数据,同时有可能破坏BIOS程序,其发作特征是:   T2u南京西数科技:提供硬盘/手机/U盘/服务器数据恢复. 025-83608636

1、以2048个扇区为单位,从硬盘主引导区开始依次往硬盘中写入垃圾数据,直到硬盘数据被全部破坏为止。较坏的情况下硬盘所有数据(含全部逻辑盘数据)均被破坏,如果重要信息没有备份,那就只有哭了!  T2u南京西数科技:提供硬盘/手机/U盘/服务器数据恢复. 025-83608636

2、某些主板上的Flash ROM中的BIOS信息将被清除。   T2u南京西数科技:提供硬盘/手机/U盘/服务器数据恢复. 025-83608636

三、感染CIH病毒的特征:   T2u南京西数科技:提供硬盘/手机/U盘/服务器数据恢复. 025-83608636

由于流行的CIH病毒版本中,其标识版本号的信息使用的是明文,所以可以通过搜索可执行文件中的字符串来识别是否感染了CIH病毒,搜索的特征串为“CIH v”或者是“CIH v1.”如果你想搜索更完全的特征字符串,可尝试“CIH v1.2 TTIT”、“CIH v1.3 TTIT”以及“CIH v1.4 TATUNG”,不要直接搜索“CIH”特征串,因为此特征串在很多的正常程序中也存在,例如程序中存在如下代码行:T2u南京西数科技:提供硬盘/手机/U盘/服务器数据恢复. 025-83608636

  inc bxT2u南京西数科技:提供硬盘/手机/U盘/服务器数据恢复. 025-83608636

  dec cxT2u南京西数科技:提供硬盘/手机/U盘/服务器数据恢复. 025-83608636

  dec axT2u南京西数科技:提供硬盘/手机/U盘/服务器数据恢复. 025-83608636

  则它们的特征码正好是“CIH(0x430x490x48)”,容易产生误判。T2u南京西数科技:提供硬盘/手机/U盘/服务器数据恢复. 025-83608636

  具体的搜索方法为:首先开启“资源管理器”,选择其中的菜单功能“工具→查找→文件或文件夹”,在弹出的“查找文件”设置窗口的“名称和位置”输入中输入查找路径及文件名(如:*.EXE),然后在“高级→包含文字”栏中输入要查找的特征字符串——“CIH v”,较后点取“查找键”即可开始查找工作。如果在查找过程中,显示出一大堆符合查找特征的可执行文件,则表明您老的计算机上已经感染了CIH病毒。T2u南京西数科技:提供硬盘/手机/U盘/服务器数据恢复. 025-83608636

  实际上,在以上的方法中存在着一个致命的缺点,那就是:如果用户刚刚感染CIH病毒,那么这样一个大面积的搜索过程实际上也是在扩大病毒的感染面。一般情况下,推荐的方法是先运行一下“写字板”软件,然后使用上面的方法在“写字板”软件的可执行程序Notepade.exe中搜索特征串,以判断是否感染了CIH病毒。T2u南京西数科技:提供硬盘/手机/U盘/服务器数据恢复. 025-83608636

  另外一个判断方法是在Windows PE文件中搜索IMAGE_NT_SIGNATURE字段,也就是0x00004550,其代表的识别字符为“PE00”,然后查看其前一个字节是否为0x00,如果是,则表示程序未受感染,如果为其他数值,则表示很可能已经感染了CIH病毒。T2u南京西数科技:提供硬盘/手机/U盘/服务器数据恢复. 025-83608636

  较后一个判断方法是先搜索IMAGE_NT_SIGNATURE字段——“PE00”,接着搜索其偏移0x28位置处的值是否为55 8D 44 24 F8 33 DB 64,如果是,则表示此程序已被感染。T2u南京西数科技:提供硬盘/手机/U盘/服务器数据恢复. 025-83608636

  还听说凡是感染了CIH病毒的机器,如果玩NEED FOR SPEED II游戏时,会在读取游戏光盘时出现死机现象,本人没有尝试过,不知道实际上是不是有这一情况存在。T2u南京西数科技:提供硬盘/手机/U盘/服务器数据恢复. 025-83608636

  适合高级用户使用的一个方法是直接搜索特征代码,并将其修改掉,方法是:先处理掉两个转跳点,即搜索:5E CC 56 8B F0 特征串以及5E CC FB 33 DB特征串,将这两个特征串中的CC改为90(nop),接着搜索 CD 20 53 00 01 00 83 C4 20 与 CD 20 67 00 40 00 特征字串,将其全部修改为90,即可(以上数值全部为16进制)。T2u南京西数科技:提供硬盘/手机/U盘/服务器数据恢复. 025-83608636

  另外一种方法是将原先的PE程序的正确入口点找回来,填入当前入口点即可(此处以一个被感染的CALC.EXE程序为例),具体方法为:先搜索IMAGE_NT_SIGNATURE字段——“PE00”,接着将距此点偏移0x28处的4个字节值,例如“A0 02 00 00”(0x000002A0),再由此偏移所指的位置(即0x02A0)找到数据“55 8D 44 24 F8 33 DB 64”,并由0X02A0加上0X005E得到0x02FE偏移,此偏移处的数据例如为“CB 21 40 00”(OXOO4021CB),将此值减去OX40000,将得数——“CB 21 00 00”(OXOO0021CB)值放回到距“PE00”点偏移0x28的位置即可(此处为Windows PE格式程序的入口点,术语称为Program Entry Point)。较后将“55 8D 44 24 F8 33 DB 64”全部填成“00”,使得我们容易判断病毒是否已经被杀除过。T2u南京西数科技:提供硬盘/手机/U盘/服务器数据恢复. 025-83608636

  按照上面手工杀毒的方法一般适合于某些单独的软件(例如某些软件包含在软盘中,却被感染了CIH不读,可现在就要用,呵呵!)。使用上述方法的缺点在于病毒体还将保留在可执行文件中,虽然不会起作用,但是想起来可能会有点不舒服(记得“WPS2000测试版残留CIH病毒尸体”的事件么?)。所以,想彻底杀灭,推荐使用某些反病毒软件进行(以上操作以及使用反病毒软件进行杀毒,必须使用干净的系统盘启动计算机)。  T2u南京西数科技:提供硬盘/手机/U盘/服务器数据恢复. 025-83608636

四、病毒已经发作了,该怎么办?T2u南京西数科技:提供硬盘/手机/U盘/服务器数据恢复. 025-83608636

如果病毒已经发作,那就得看您老的运气了,一种情况是硬盘数据被破坏,在这种情况下,可能出现计算机能够使用软盘启动,但是一旦试图访问硬盘,就出现无法访问或者是访问出错或者是可以访问硬盘,但是列出一大堆无意义的信息。T2u南京西数科技:提供硬盘/手机/U盘/服务器数据恢复. 025-83608636

  修复硬盘T2u南京西数科技:提供硬盘/手机/U盘/服务器数据恢复. 025-83608636

  就目前掌握的情况来看,除C:以外的其他逻辑分区可以被完全修复(这得看它破坏到哪里了,一般发作的症状是硬盘转个不停,总不会有人白痴到让它写完了主分区再写完逻辑分区后才关机吧,另外备注一下:根据本人手头的程序显示,CIH标准版本在破坏上的确是进行顺序写入垃圾数据,完全破坏硬盘信息的,可听说某些只写5M或者是类似的数据,是否是CIH的派生版本不得而知),而是否能修复C:则得看实际破坏程度了,总之一句话,看你的运气啦!T2u南京西数科技:提供硬盘/手机/U盘/服务器数据恢复. 025-83608636

  CIH病毒破坏了主引导扇区和硬盘分区表,使得硬盘上的数据无法访问。只要重建主引导扇区、重新恢复分区表,就用恢复数据的可能。但是CIH病毒对C盘的破坏要比以往的引导型病毒严重,C盘的文件分配表基本不可能恢复。对于其它逻辑盘,可以用一些工具进行恢复。一些反病毒软件公司推出了修复工具,但也不是百分之百的有效。如果你的硬盘上有重要数据,较好不要轻易动手,请专业人员修复。T2u南京西数科技:提供硬盘/手机/U盘/服务器数据恢复. 025-83608636

  修复主板T2u南京西数科技:提供硬盘/手机/U盘/服务器数据恢复. 025-83608636

  另外一种情况是除了硬盘数据损坏之外,其主板上的Flash ROM中的BIOS程序也被破坏,这一情况又得分成两大类,得视你的损坏情况以及主板的构造而定:T2u南京西数科技:提供硬盘/手机/U盘/服务器数据恢复. 025-83608636

  一是全部损坏,那就惨了,机器变成了黑脸的哑巴,连叫都不会叫了,这一故障只有重新写一遍BIOS,写入的方法一般是使用兼容Flash ROM的“烧录器”,这玩意实际上也不复杂,一个电子爱好者随便弄块8255之类的便宜芯片就能捣起来(一般配合PC等计算机使用)。如果您机器主板上的Flash ROM是安装在插座上的,则推荐将其锹下来,然后找人帮忙给再写一块(一般情况下你很有可能需要一块包含有相同或者近似版本BIOS的其他ROM芯片,可尝试找朋友借)。T2u南京西数科技:提供硬盘/手机/U盘/服务器数据恢复. 025-83608636

  如果你那边实在是找不到有“烧录器”的地方,则如果你手头有一些类似用于主板BIOS升级的文件盘,同时你能借的到相同的BIOS芯片,也可以先将借来的BIOS ROM芯片插在你的BIOS ROM插座上(记得先把带病毒的硬盘拔了),然后尝试使用干净DOS盘启动(只需要启动基本DOS系统即可,不要挂其他的驱动程序),启动完成后,就要开始尝试危险的热插拔工作,即:将借来的BIOS ROM拔掉,换上数据损坏的Flash Rom,然后启动主板BIOS升级的软件进行写入工作。(备注:此方法中所使用的热插拔乃电子界的大忌,如果造成任何损失,本人概不负责)。T2u南京西数科技:提供硬盘/手机/U盘/服务器数据恢复. 025-83608636

  二是基本启动部分未出现损坏,这一情况的特征为可能机器不能正常启动,但是还有一些启动的感觉,例如它居然还能够出现检测软盘的动作(要保证能够由软盘启动计算机),这一情况比较幸福,在这种情况下,基本BIOS还能运行,但是由于其一般只支持IDE接口的显示卡,则可能你的屏幕上不会有任何的显示信息。在这一情况下,则必须使用“黑灯瞎火”法,它的原理也就是类似BIOS升级等的操作,它要求我们手头必须有能用的一些BIOS升级程序软件,然后我们在他人的机器上先制作一张DOS启动盘,并将升级操作所需要运行的命令行放在autoexec.bat文件中,然后拿这张软盘到被CIH病毒破坏的机器上启动,接着的一些如“回车”、按上下方向键等的操作就要“摸黑”进行了。如果幸运的话,按以上步骤操作,您的机器就被救活了。T2u南京西数科技:提供硬盘/手机/U盘/服务器数据恢复. 025-83608636

  三是惨得一塌糊涂,以上方法都不适用,则推荐你们去问问销售商能不能帮你们解决,这也没办法! T2u南京西数科技:提供硬盘/手机/U盘/服务器数据恢复. 025-83608636

上一篇:根据我们多年的数据恢复工作经验,注意以下的问题有利于防止数据丢失。
下一篇:CIH病毒资料大全
Copyright(C)2014 西数科技(江苏)有限公司 wdsos.com 备案号:苏ICP备09074223号 苏公网安备:32010202010982号
地址:江苏省南京市玄武区珠江路435号华海大厦6楼601室(麦当劳同庆楼右侧上电梯) 
地址:江苏省淮安市清江浦区枚皋路中兴软件园研发楼503室 
数据恢复:025-86883952  司法鉴定:13813824669 
|公众号|微博|论坛|百家号|