发信人: dayu()
整理人: emil(1999-08-16 15:12:24), 站内信件
|
我买的大众软件 红日巨星版,搞的我公司所以机器CIH 横行
我用sfscan 和rav 9.0杀后(多次),CIH V 字样仍有.是否杀掉?我怕耶
我还故意将一台染了CIH的机器,日期设到4.26,结果,果然bios烧了:-(
--
☆ 来源:.广州网易BBS站 bbs.nease.net.[FROM: 202.98.117.235]
发信人: ahui (zhui), 信区: Virus
标 题: Re: 杀了CIH ,文件中的CIH V字样还有!!
发信站: 广州网易BBS站 (Sat Sep 26 10:00:49 1998), 转信
【 在 dayu (yu) 的大作中提到: 】
: 我买的大众软件 红日巨星版,搞的我公司所以机器CIH 横行
: 我用sfscan 和rav 9.0杀后(多次),CIH V 字样仍有.是否杀掉?我怕耶
: 我还故意将一台染了CIH的机器,日期设到4.26,结果,果然bios烧了:-(
:
首先请确定在干净的纯DOS下杀毒,部分文件中还有CIH字样,可能是病毒尸体,用干净
文件覆盖之。
--
☆ 来源:.广州网易BBS站 bbs.nease.net.[FROM: 202.102.200.147]
※ 修改:.emil 于 May 19 15:56:20 修改本文.[FROM: 202.96.144.222]
发信人: Vic (Vic), 信区: Virus
标 题: 浅谈CIH
发信站: 广州网易 BBS (Tue Sep 29 12:13:33 1998), 转信
个人观点,不保证正确性。
Dos/Windows下可执行文件分四种格式:最老的是DOS下的COM和EXE,后来
Windows3.x下的EXE(但叫NE, New Executable), 现在Win95/NT下的EXE
(叫PE, Portable Executable).NE和PE格式的文件扩展名可以是EXE,也
可以是DLL,VXD,386(你在windows目录下可以找到)MS Visual Basic里有
VBX,OCX.它们都属于NE/PE. NE是16bit保护模式代码,PE是32bit保护模式
代码.DOS的EXE,NE和PE文件的开头2个自己都是MZ,你看看PBL文件开头,
如果也是MZ,那它就应该是NE或PE格式.NE/PE实际上是对DOS EXE格式的
扩展,它们包含了一小块实模式代码(称为stub),一般就是显示:本程序
需要在Microsoft Windows下运行.你在纯DOS环境下执行notepad.exe就
能看到(不过有的NE/PE的stub代码会自动启动windows).stub代码只给DOS
运行的,Windows下执行NE/PE时会找NE/PE的扩展部分,去执行Windows代码.
以往的病毒全部是针对DOS环境的,它们只感染DOS COM/EXE文件.如果在
Windows下运行,它会对NE/PE文件的stub部分进行感染,根本不知道在
Windows下根本不执行stub.并且病毒只能依附于DOS感染(在启动windows
前和DOS窗口里).CIH之所以是划时代的,就是因为它知道PE格式,它把自己
的代码插入到PE文件的代码里而非stub里,并且它通过Windows API把自己
驻留在Windows的文件系统代码里,任何Windows对文件系统的访问都会被
它截取并伺机感染PE文件(老的DOS病毒是驻留在DOS文件系统代码里并截
取DOS对文件系统的访问).所以说CIH是第一个Win32病毒.至于它毁BIOS
什么的并不是什么特别的地方,只是利用了某些主板商的疏漏而已.
NT下CIH不活跃是因为NT下安全级别比较高,除非你总用admin登录,否则很
多文件都无法访问的.Win95/98是非常不安全的,因为任何文件都可以被
访问/改写,CIH当然活力十足.
看看PBL为什么会被感染: CIH进驻Windows后截获文件访问调用,Windows
下运行EXE文件时CIH发现EXE文件是PE格式,感染之.EXE文件又加载DLL/PBL
,CIH发现又是PE格式,再感染.(我猜PBL是子程序/共享代码一类的东西).
从DOS开始,在系统内核里就从来不根据文件扩展名判断文件类型,全部按
文件内容来判.所以你的PBL就被感染了.CIH还有一个特性就是它不改变文
件长度:它会在PE文件中找空白区域,把自己拆开填进去.PE格式文件都是
编译器生成的,一般都会有大块的全0字节,如堆栈,数据段等,它们不会被
执行到,等真正的程序开始用到这些区域的时候,CIH早就把自己驻留到
系统里了.但CIH对空白区的理解并非永远正确,winzip自解压文件被感染
后会报错就是这个原因.
NT下虽然CIH不太发作,不过还是不要掉以轻心的好.
--
道可道非常道名可名非常名
※ 来源:.广州网易 BBS bbs.nease.net.[FROM: 202.102.13.164]
发信人: vkiller (杀手), 信区: Virus
标 题: Re: 浅谈CIH
发信站: 广州网易BBS站 (Tue Sep 29 12:26:30 1998), 转信
【 在 Vic (Vic) 的大作中提到: 】
: 个人观点,不保证正确性。
CIH is not the first virus infecting the 32 bits PE format and is not the first virus using the VxD.
:
: Dos/Windows下可执行文件分四种格式:最老的是DOS下的COM和EXE,后来
: Windows3.x下的EXE(但叫NE, New Executable), 现在Win95/NT下的EXE
: (叫PE, Portable Executable).NE和PE格式的文件扩展名可以是EXE,也
: 可以是DLL,VXD,386(你在windows目录下可以找到)MS Visual Basic里有
: VBX,OCX.它们都属于NE/PE. NE是16bit保护模式代码,PE是32bit保护模式
: 代码.DOS的EXE,NE和PE文件的开头2个自己都是MZ,你看看PBL文件开头,
: 如果也是MZ,那它就应该是NE或PE格式.NE/PE实际上是对DOS EXE格式的
: 扩展,它们包含了一小块实模式代码(称为stub),一般就是显示:本程序
: 需要在Microsoft Windows下运行.你在纯DOS环境下执行notepad.exe就
: 能看到(不过有的NE/PE的stub代码会自动启动windows).stub代码只给DOS
: 运行的,Windows下执行NE/PE时会找NE/PE的扩展部分,去执行Windows代码.
:
: 以往的病毒全部是针对DOS环境的,它们只感染DOS COM/EXE文件.如果在
: Windows下运行,它会对NE/PE文件的stub部分进行感染,根本不知道在
: Windows下根本不执行stub.并且病毒只能依附于DOS感染(在启动windows
: 前和DOS窗口里).CIH之所以是划时代的,就是因为它知道PE格式,它把自己
: 的代码插入到PE文件的代码里而非stub里,并且它通过Windows API把自己
: 驻留在Windows的文件系统代码里,任何Windows对文件系统的访问都会被
: 它截取并伺机感染PE文件(老的DOS病毒是驻留在DOS文件系统代码里并截
: 取DOS对文件系统的访问).所以说CIH是第一个Win32病毒.至于它毁BIOS
: 什么的并不是什么特别的地方,只是利用了某些主板商的疏漏而已.
:
: NT下CIH不活跃是因为NT下安全级别比较高,除非你总用admin登录,否则很
: 多文件都无法访问的.Win95/98是非常不安全的,因为任何文件都可以被
: 访问/改写,CIH当然活力十足.
:
: 看看PBL为什么会被感染: CIH进驻Windows后截获文件访问调用,Windows
: 下运行EXE文件时CIH发现EXE文件是PE格式,感染之.EXE文件又加载DLL/PBL
: ,CIH发现又是PE格式,再感染.(我猜PBL是子程序/共享代码一类的东西).
: 从DOS开始,在系统内核里就从来不根据文件扩展名判断文件类型,全部按
: 文件内容来判.所以你的PBL就被感染了.CIH还有一个特性就是它不改变文
: 件长度:它会在PE文件中找空白区域,把自己拆开填进去.PE格式文件都是
: 编译器生成的,一般都会有大块的全0字节,如堆栈,数据段等,它们不会被
: 执行到,等真正的程序开始用到这些区域的时候,CIH早就把自己驻留到
: 系统里了.但CIH对空白区的理解并非永远正确,winzip自解压文件被感染
: 后会报错就是这个原因.
:
: NT下虽然CIH不太发作,不过还是不要掉以轻心的好.
:
--
☆ 来源:.广州网易BBS站 bbs.nease.net.[FROM: 202.103.137.47]
发信人: haitong (华籍华人), 信区: Virus
标 题: Re: 浅谈CIH
发信站: 广州网易 BBS (Wed Sep 30 15:53:22 1998), 转信
: NT下虽然CIH不太发作,不过还是不要掉以轻心的好.
virus 如果要在NT 中进行传染, 要在 NT 的 task manager/tlist/pview 等隐藏
痕迹的话, NT 下的virus 估计只能用 device/service 来编程.
要在 NT 下发作, 即使有administrator 权限, 要破坏 bios, 都必须写一个
deivce driver, 利用 NT 没有公布的东西, 取得要用的绝对地址描述符. CIH
目前只是用了 VxD 而已, 在NT 下没用的.
在NT 下, 要破坏 FAT 等东西, 必须可以 lock disk, 这样, 有文件打开的
的分区就不能lock, 除非登记 register, 下次开机执行. 但是, 想破坏文件
内容就简单的多了.
--
※ 来源:.广州网易 BBS bbs.nease.net.[FROM: max2-186.guangz]
|
|