CIH病毒

✍ dations ◷ 2025-06-11 11:52:12 #计算机病毒

CIH（英语又称为Chernobyl或Spacefiller）是一种电脑病毒，其名称源自它的作者，当时仍然是台湾大同工学院（现大同大学）学生陈盈豪的名字拼音或注音（Chen Ing-hau）缩写。它被认为是最有害的广泛传播的病毒之一，会破坏用户系统上的全部信息，在某些情况下，会重写系统的BIOS。因为CIH病毒的1.2和1.3版发作日期为4月26日（第一版病毒创造出来的时间），正好是前苏联（位于今日乌克兰）核电厂灾害“切尔诺贝利核事故”的纪念日，故曾被认为病毒作者撰写动机和切尔诺贝利事件有关，因此CIH病毒也被称作切尔诺贝利（Chernobyl）病毒。

1998年9月，山叶公司为感染了该病毒的CD-R400驱动提供一个固件更新。1998年10月，用户传播的Activision公司游戏SiN的一个演示版本因为在某一用户的主机上接触被感染档而受到感染。这个公司的传染源来自IBM1999年3月间发售的已感染CIH病毒的一组Aptiva品牌个人电脑。1999年4月26日，公众开始关注CIH首次发作时，这些电脑已经运行一个月了。这是一宗大灾难，全球不计其数的电脑硬盘被垃圾数据覆盖，甚至破坏BIOS，无法引导。至2000年4月26日，亚洲报称发生多宗损坏，但病毒没有传播开来。2001年3月发现Anjulie蠕虫病毒，它将CIH v1.2植入感染的系统。

针对CIH病毒可能篡改主版BIOS的特性，2000年以后生产的很多主板配备了所谓的“反CIH系统”，其原理就是通过一个硬件跳线使得BIOS芯片（EEPROM或Flash）不能获得写入数据所需的电压，功能类似于磁带的“消磁防止挡舌”和软盘的“写保护”系统。该系统置于“打开”则有效的从硬件上阻止CIH对BIOS的篡改，反之需要升级主板固件时，则必须将该跳线置于“关闭”。

这个病毒在2001年死灰复燃。一个VBS文件里的ILOVEYOU蠕虫病毒变种包含了CIH病毒的挂钩例程，并用用珍妮佛罗培兹的裸照伪装，从而使该病毒在互联网上传播开来。

一个修改版本是CIH.1106，发现于2002年12月，但是没有严重的破坏性。

只有CIH感染大量发信的电脑蠕虫（如求职信病毒）所使用的程序，或有Anjulie蠕虫病毒参与时，CIH才会被看成是一个威胁。但是CIH病毒只在Windows 95，98和Windows Me系统上发作，影响有限。现在由于人们对它的威胁有了认知，且它只能运行于旧的Windows 9X操作系统，CIH不再像他刚出现时分布那么广泛传播。

CIH以可移植可执行文件格式在Windows 95、Windows 98和Windows ME上传播。CIH不会在Windows NT内核的操作系统上运行或传播。如Windows 2000、Windows XP、Windows 7等。

由于CIH会感染可执行文件，它会占据一般的可执行文件剩余的位置。因此，CIH又有一个绰号叫“空间填充者（）”。这个病毒大小不到1KiB，但是文件不会增大。它使用从处理器Ring3到Ring0跳转的方法触发系统调用。

CIH会感染Windows的PE（Portable Executable）执行文件，并且把它不到1KiB（1024 bytes）的程序代码分割成几个部分，分别写入PE执行文件中各个段所尚未填满的地方。因此被感染的执行文件大小并不会增加。因为Windows 95、Windows 98、Windows ME等等这些非Windows NT的核心，存在有处理结构化异常处理（SEH, Structured Exception Handling）的问题，以及Windows 95/98/ME没有保护中断描述表（IDT, Interrupt Description Table）的机制（正确保护模式下的应用程序无权改动。Windows NT系列则有保护，因此病毒无法顺利运行），CPU会用最高的权限Ring 0直接去运行这个SEH所指向的程序代码。因此一开始病毒被运行后，他会置换掉原本程序或Windows默认的SEH地址，透过触发代码异常中断而让CPU切换回Ring 0模式去运行这部分CIH所设计的程序顺利获取Ring 0权限。由于CPU处在Ring 0模式下，CIH可以任意地访问Windows内核部分和系统API的挂钩，进而继续感染其他文件，或是发作时候对硬件做些直接I/O动作。

当它发作时，是非常危险的。首先病毒会在硬件和软件中从第0扇区开始写入零数据。这样经常删除了分区表的内容，将有可能死机。

第二个，它也会尝试将垃圾信息写入Flash BIOS。如果保护跳线是关闭的，这一过程会在基于Intel 430TX芯片组的机器上起作用，上述芯片组将允许电脑程序刷写Flash BIOS。

对于第一个，如果数据很重要，可以将硬盘交给一些专业恢复数据的公司，这将有可能使数据恢复；或者在某些情况下，可以使用Fix CIH，一个由史蒂夫·吉布森编写的免费软件。否则，必须运行FDISK重新划分分区。不过，当第二种情况发生时，电脑将无法启动。需要请技术人员重写或更换Flash BIOS芯片。

这是最常见的版本，他的发作时间为4月26日。它包含这个字符串：CIH v1.2 TTIT。

这个版本的CIH也是在4月26日发作。它包含这个字符串：CIH v1.3 TTIT。

它在每月26日发作。它仍然存在，虽然它并不常见。它包含这个字符串：CIH v1.4 TATUNG。

它还是个变化很小的一个变种，出现在2002年12月。

相关

病程人体解剖学 - 人体生理学组织学 - 胚胎学人体寄生虫学 - 免疫学病理学 - 病理生理学细胞学 - 营养学流行病学 - 药理学 - 毒理学病程，是指一个疾病或者其治疗的持续时
卡帕多细亚卡帕多细亚（/kæpəˈdoʊʃə/; also Capadocia; 土耳其语：Kapadokya, 希腊语：Καππαδοκία Kappadokía，辞源：古波斯语：Katpatuka），又称为卡帕达奇亚，亚洲历史上的一个地
阿昔替尼阿昔替尼（Axitinib，研发代号AG013736，商品名Inlyta，中文商品名英立达）是一种小分子酪氨酸激酶抑制剂，由辉瑞研发。在动物（异种移植）模型中，它能显著抑制乳腺癌的生长；在肾细胞癌（RCC）和
南卡罗来纳南卡罗来纳州（英语：State of South Carolina），简称南卡州，是美国东南方州份中的一州，曾是美国早期13州联盟里的南卡罗来纳省（Province of South Carolina），在反抗英制高税的美国独立
明溪客家话邵将语，又称邵将话、闽赣语，是汉语族闽语支的一种语言，流通区域包括中国福建省的邵武、光泽、顺昌、将乐、明溪、泰宁等县、市。邵将语通行地区处于福建、江西和客家三个文化圈
奥古斯丁岛奥古斯丁火山是美国的火山，位于库克湾，由阿拉斯加州负责管辖，长12公里、宽10公里，海拔高度1,260米，山体在40,000年前形成，最近一次火山喷发在2006年发生。坐标：59°21′48″N 153°
原亚砷酸钠原亚砷酸钠是一种无机化合物，化学式为Na3AsO3。将三氧化二砷和碳酸钠溶液共煮，可以得到原亚砷酸钠。原亚砷酸钠在酸性溶液中可以被活泼金属还原，放出剧毒的AsH3气体。
尾崎行雄尾崎行雄（1858年12月24日－1954年10月6日），号咢堂，日本政治家，有“宪政之神”、“议会政治之父”之称。他自1890年起担任众议院议员，至1953年止，历时共63年。1898年曾短暂担任文部大
劳尔·穆斯特劳尔·穆斯特（爱沙尼亚语：Raul Must，1987年11月9日－），爱沙尼亚男子羽毛球运动员。劳尔·穆斯特起初在出生地塔林跟随教练Aigar Tonus进行训练，其后转往德国接受训练，目前主要以丹麦
言灵言灵，一词最早出自日文。信者认为在言语中，有着一股不可轻视的力量，誓言或诅咒为其行使的例子。不信者则认为，不过是“自我应验预言”，或是不自觉的驱使信徒去实行而已。在英文中