### CIH 1.5病毒源代码分析
#### 背景介绍
CIH病毒,全称为Chernobyl Virus,是由台湾程序员陈盈豪在1998年编写的一种破坏性极强的计算机病毒。该病毒以破坏计算机硬件而闻名,尤其是其能够重写BIOS,导致计算机无法启动。CIH病毒的首次公开版本是在1998年4月26日,随后经历了多次迭代升级。本文将基于CIH 1.5版本的源代码进行深入分析。
#### CIH 1.5主要功能与特点
1. **修改中断描述表(IDT)获取Ring 0权限**:
- CIH 1.5通过修改系统中的中断描述表(IDT)来获取Ring 0级别的权限,这使得病毒可以在操作系统最底层运行,从而可以执行更高级别的操作,如直接访问硬件等。
2. **文件感染机制**:
- 当系统打开一个已存在的PE(可执行)文件时,CIH会对其进行感染处理。值得注意的是,即使文件被设置为只读属性,CIH也能成功感染。感染后的文件不会被重复感染,并且文件的修改日期和时间不会发生改变。
- 为了实现文件感染,CIH使用了`IFSMgr_InstallFileSystemApiHook`函数来挂钩文件系统的API,从而在文件操作时插入自己的代码。
3. **结构化异常处理机制的利用**:
- CIH 1.5对结构化异常处理进行了改进,当系统中出现异常错误时,病毒会跳转到原始应用程序继续执行,避免了因异常处理而导致的程序崩溃或行为异常。
4. **磁盘和BIOS破坏能力**:
- CIH 1.5具有“超级杀手”级别的破坏能力,不仅能够破坏硬盘数据,还能重写BIOS,导致计算机彻底瘫痪。这种能力使得CIH成为历史上最具破坏性的病毒之一。
5. **优化算法减少代码大小**:
- 在CIH 1.1版本中,通过对算法的优化,病毒的基础代码大小降低到了796字节。而在1.2版本中,虽然增加了新功能,但代码大小依然控制在合理的范围内,为1003字节。
6. **感染文件不增加大小**:
- CIH 1.1版本的一个重要特点是感染后的文件不会增加大小,这一点对于隐藏病毒的存在非常重要,也使得检测和清除病毒变得更加困难。
#### 技术细节分析
1. **源代码结构**:
- CIH 1.5的源代码使用Turbo Assembler 5.0编译,并使用Turbo Link 5.01进行链接。这表明CIH使用了当时非常流行的开发工具。
2. **版本历史**:
- CIH 1.0版本创建了病毒程序的基本框架。
- CIH 1.1版本增加了针对结构化异常处理的改进,优化了算法并减小了病毒代码的大小。
- CIH 1.2版本加入了硬盘和BIOS的破坏能力,修正了之前版本的一些错误,并进一步优化了代码大小。
3. **感染流程**:
- CIH通过挂钩`IFSMgr_InstallFileSystemApiHook`函数实现在文件打开时插入病毒代码。当系统调用文件系统API进行文件操作时,CIH的代码会被触发执行,从而完成对文件的感染。
4. **破坏机制**:
- CIH 1.5能够通过直接访问BIOS芯片来重写BIOS数据,这是其最致命的特点之一。此外,它还可以通过特定的操作破坏硬盘数据,导致计算机无法正常启动。
CIH 1.5作为CIH系列病毒的一个重要版本,不仅具备强大的文件感染能力,还拥有高度的隐蔽性和破坏性。通过对CIH 1.5的源代码分析,我们可以更深入地了解这种病毒的工作原理和技术特点,这对于提高网络安全防范意识以及研究反病毒技术都具有重要的意义。
