论文部分内容阅读
1988年7月26 日,一种名叫ClH的恶性病毒在美国出现。该病毒同时攻击BlOS和硬盘,危害巨大。病毒是当年5月底一名台湾大学生陈盈豪所写,随后在世界范围内广泛传播,破坏了无数的电脑硬盘。对于网吧的网管来说ClH病毒大家还很陌生,因为目前绝大多数病毒最多只能破坏硬盘数据,而ClH却能侵入主板上的FlashBlOS,破坏其内容而使主板报废。虽然它只能在DOS系统中发作,但ClH的教训告诉我们不要轻视病毒对硬件的破坏。很多人现在已经开始担忧:ClH越来越凶猛,同时会不会有更多的破坏硬件的病毒出现。其实通过分析,病毒破坏硬件的“手段”,不外乎有以下几种:
1.破坏显示器
众所周知,每台显示器都有自己的带宽和最高分辨率、场频。早期生产的14英寸彩色显示器,带宽大约只有35-45MHz,对应的最高分辩率为1024×768@60Hz场频;目前的14英寸彩色显示器,带宽大都有60MHz,对应的最高分辨率为1024 x 768@75Hz场频;15英寸彩色显示器(高档的),带宽有110MHz,对应的最高分辨率为1280×1024@85Hz场频。大家可以查看一下显示器的说明书,上面都有场频与最高分辨率的配合。若其中有一项超过,就会出现花屏,严重了就会烧坏显示器。病毒可以通过篡改显示参数来破坏显示器(如把分辨率、场频改到显卡能支持的最高档等)。虽然新型显示器有DDC标准化与系统联络,但病毒想钻空子并不难。所以大家如果发现在使用过程中显示器出现了花屏,要立即关掉显示器的电源,重新启动后进入安全模式再找原因。
ClH病毒。1999年4月26日,CIH病毒大爆发;2000年4月26日,ClH再度爆发,全球损失超过10亿美元;2001年4月26日,仅北京就有超过6000台电脑遭CIH破坏;2002年4月26日,ClH病毒再次爆发,数千台电脑遭破坏;2003年4月26日,仍然有100多个CIH病毒的受害者向瑞星求助。
2.超外频、加电压破坏CPU、显卡、内存等
目前新型主板采用“软跳线”的越来越多,这正好给病毒以可乘之机。所谓“软跳线”是指在BlOS中就能改动CPU的电压、外频和倍频。病毒可以通过改BIOS参数,加高CPU电压使其过热而烧坏,或提高CPU的外频,使CPU和显卡、内存等外设超负荷工作而过热烧坏。这类事件的前兆就是死机。所以,如果发现机器经常死机,就要赶紧到CMOS中看看以上参数是否有改动。可喜的是,目前很多主板都有CPU温度监测功能,超温后立即降频报警,可以基本杜绝烧坏硬件的情况发生。
3.超“显频”破坏显卡
目前很多中高档显卡如Voodoo等都可以手动改变其芯片的频率,并且改的方法更简单:在wlndows 9x注册表里改。病毒改动了“显频”,显卡也就容易超负荷工作而烧坏。这种事件的前兆也是死机。所以,死机时也不要忽视对“显频”的检查。另外还有一种减少烧坏显卡的可能性的办法,那就是…… (什么?你已经安了两个风扇了!?)
4.破坏光驱
虽然网吧中不常装有光驱设备,但也要知道病毒是如何破坏光驱中的光头,光头在读不到信号时就会加大激光发射功率,这样长期下去对光驱的寿命极为不利。有人做实验,让正常的光驱不停地读取一张划痕很多,信号较弱的光盘,28小时以后光驱就完蛋了。ClH型病毒就可以让光头走到盘片边缘无信号区域不停地读盘,结果光头读不到信号,便加大发射功率不停地读,要不了几天,光驱就要“N0 Disc”了。所以要经常注意光驱灯的闪亮情况,判断光驱是否在正常工作。
5.破坏主板、显卡的FlashBlOS
这就是现在的CIH病毒破坏主板的方式。病毒用乱码中掉了BlOS中的内容,使机器不能启动。不过现在很多主板都有带有Flash BIOS写保护跳线,可以有效的防止CIH病毒破坏主板。但是不要忘了,很多显卡也有FlashBlOS,说不定哪一天就会冒出一种破坏显卡BIOS的病毒。所以还是小心一点为好,这可没有什么特效药啊!
6.破坏硬盘
大家都知道,分区、高级格式化对硬盘都没有什么损伤,惟独低级格式化对硬盘的寿命有较大的影响。据说硬盘做上10次低级格式化就会报废。如果出现一种病毒,不停的对硬盘的0磁道做低格式化(做10次最多只需用几秒钟!),0道坏了再做1道……你的硬盘容量就会一点一点(这一点也不小啊!)地被蚕食,而且O、1、2 …… 道坏了,要想再使用该硬盘,就得在BIOS中重新设定起始磁道,再低级格式化,非常麻烦。其实,该病毒有一个非常简单而有效的预防方法那就是将BlOS中的BootSectorVirus Protection(引导区病毒写保护)设为Enable(打开)。笔者做过实验,将上述开关打开的情况下,使用各种低级格式化软件(包括BIOS中自带的)对硬盘进行低格,BlOS都会报警(报告说有程序企图重写引导区,问是否继续),按N就可以防止。要知道BIOS程序掌管着系统的最高控制权,应该没有什么东西可以冲破其防线(你按Y是另外一回事)。若发现上述情况,赶紧Reset,然后进行杀毒不过,如果你是在装Win 98等操作系统或System Commander等软件时碰到该情况,就大可不必理会它,因为这些软件安装时都有要重写引导区。不过劝你安装这些软件时最好先把写保护关掉,否则容易出现死机现象!
7.浪费喷墨打印机的墨水
喷墨打印机的喷头特别容易堵塞,为此打印机公司特别发明了专门浪费墨水的“清洗喷头”功能,即让大量墨水冲出喷头,清除杂物。这项功能可以用软件控制实现,于是乎病毒便神不知鬼不觉地次次调用该功能,而你却对打印机的呻吟声却听而不见。当你发现时,大量的墨已经被浪费了。这种病毒唯一的预防办法就是……不用打印机时把打印机关了。其实,只要你常注意一下打印机上的模式灯就可以了,清洗喷头时它通常是一闪闪的。另外还要仔细倾听它的呻吟声,清洗喷头时打印头总是要来回走动几下的(为了加热)。
综上所述,ClH病毒之所以能够对硬件造成破坏,原因就是它能够改与主板BIOS里面的相关设置信息,要知道主板BlOS信息可是整个PC平台所有硬件连接在一起的一把钥匙,它是非常关键的一个部分。现在虽然针对ClH病毒各杀毒软件都已有足够防范措施,但作为网吧我们应该详细了解它的原理,这样在以后的工作中就能及时防范。目前已知的CIH病毒大部分都是按照系统日期爆发的,平时都是潜伏在系统中,所以作为网管我们也经常去各杀毒网站了解病毒信息,免得硬件被破坏后无法挽回损失,另外现在流行的双BlOS主板也是有效防范CIH病毒的方法。
ClH病毒大事记
1998年6月2日:首例CIH病毒在中国台湾被发现。1998年6月6日:首例CIH病毒样品抵达DP反病毒实验室。1998年6月6日:CIH1.2版本出笼并为FSAV反病毒机构跟踪。1998年6月12日:CIH病毒1.3版本出笼并为FSAV反病毒机构跟踪。1998年6月26日:CIH病毒1.3版本首次发作,但危害较小。1998年6月30日:CIH病毒1.4版本出笼并为FSAV反病毒机构跟踪。1998年7月:CIH病毒通过受感染的盗版软件在网上传播。1998年8月:“飞行大队长”游戏软件演示版受CIH病毒感染。1998年8月:欧洲两种游戏杂志发送受CIH病毒感染的CD-ROM。1998年8月26日:CIH病毒1.4版发作,媒体予以广泛关注。1998年9月:YAMAHA公司发进第一批受CIH病毒感染的CD-ROM软件。1998年10月:广为流传的SiN游戏软件演示版受CIH感染。1999年3月:CIH病毒1.2版侵入公司Aptiva型机算机。1999年4月26日:CIH病毒1.2版首次发作,计算机业损失巨大。
1.破坏显示器
众所周知,每台显示器都有自己的带宽和最高分辨率、场频。早期生产的14英寸彩色显示器,带宽大约只有35-45MHz,对应的最高分辩率为1024×768@60Hz场频;目前的14英寸彩色显示器,带宽大都有60MHz,对应的最高分辨率为1024 x 768@75Hz场频;15英寸彩色显示器(高档的),带宽有110MHz,对应的最高分辨率为1280×1024@85Hz场频。大家可以查看一下显示器的说明书,上面都有场频与最高分辨率的配合。若其中有一项超过,就会出现花屏,严重了就会烧坏显示器。病毒可以通过篡改显示参数来破坏显示器(如把分辨率、场频改到显卡能支持的最高档等)。虽然新型显示器有DDC标准化与系统联络,但病毒想钻空子并不难。所以大家如果发现在使用过程中显示器出现了花屏,要立即关掉显示器的电源,重新启动后进入安全模式再找原因。
ClH病毒。1999年4月26日,CIH病毒大爆发;2000年4月26日,ClH再度爆发,全球损失超过10亿美元;2001年4月26日,仅北京就有超过6000台电脑遭CIH破坏;2002年4月26日,ClH病毒再次爆发,数千台电脑遭破坏;2003年4月26日,仍然有100多个CIH病毒的受害者向瑞星求助。
2.超外频、加电压破坏CPU、显卡、内存等
目前新型主板采用“软跳线”的越来越多,这正好给病毒以可乘之机。所谓“软跳线”是指在BlOS中就能改动CPU的电压、外频和倍频。病毒可以通过改BIOS参数,加高CPU电压使其过热而烧坏,或提高CPU的外频,使CPU和显卡、内存等外设超负荷工作而过热烧坏。这类事件的前兆就是死机。所以,如果发现机器经常死机,就要赶紧到CMOS中看看以上参数是否有改动。可喜的是,目前很多主板都有CPU温度监测功能,超温后立即降频报警,可以基本杜绝烧坏硬件的情况发生。
3.超“显频”破坏显卡
目前很多中高档显卡如Voodoo等都可以手动改变其芯片的频率,并且改的方法更简单:在wlndows 9x注册表里改。病毒改动了“显频”,显卡也就容易超负荷工作而烧坏。这种事件的前兆也是死机。所以,死机时也不要忽视对“显频”的检查。另外还有一种减少烧坏显卡的可能性的办法,那就是…… (什么?你已经安了两个风扇了!?)
4.破坏光驱
虽然网吧中不常装有光驱设备,但也要知道病毒是如何破坏光驱中的光头,光头在读不到信号时就会加大激光发射功率,这样长期下去对光驱的寿命极为不利。有人做实验,让正常的光驱不停地读取一张划痕很多,信号较弱的光盘,28小时以后光驱就完蛋了。ClH型病毒就可以让光头走到盘片边缘无信号区域不停地读盘,结果光头读不到信号,便加大发射功率不停地读,要不了几天,光驱就要“N0 Disc”了。所以要经常注意光驱灯的闪亮情况,判断光驱是否在正常工作。
5.破坏主板、显卡的FlashBlOS
这就是现在的CIH病毒破坏主板的方式。病毒用乱码中掉了BlOS中的内容,使机器不能启动。不过现在很多主板都有带有Flash BIOS写保护跳线,可以有效的防止CIH病毒破坏主板。但是不要忘了,很多显卡也有FlashBlOS,说不定哪一天就会冒出一种破坏显卡BIOS的病毒。所以还是小心一点为好,这可没有什么特效药啊!
6.破坏硬盘
大家都知道,分区、高级格式化对硬盘都没有什么损伤,惟独低级格式化对硬盘的寿命有较大的影响。据说硬盘做上10次低级格式化就会报废。如果出现一种病毒,不停的对硬盘的0磁道做低格式化(做10次最多只需用几秒钟!),0道坏了再做1道……你的硬盘容量就会一点一点(这一点也不小啊!)地被蚕食,而且O、1、2 …… 道坏了,要想再使用该硬盘,就得在BIOS中重新设定起始磁道,再低级格式化,非常麻烦。其实,该病毒有一个非常简单而有效的预防方法那就是将BlOS中的BootSectorVirus Protection(引导区病毒写保护)设为Enable(打开)。笔者做过实验,将上述开关打开的情况下,使用各种低级格式化软件(包括BIOS中自带的)对硬盘进行低格,BlOS都会报警(报告说有程序企图重写引导区,问是否继续),按N就可以防止。要知道BIOS程序掌管着系统的最高控制权,应该没有什么东西可以冲破其防线(你按Y是另外一回事)。若发现上述情况,赶紧Reset,然后进行杀毒不过,如果你是在装Win 98等操作系统或System Commander等软件时碰到该情况,就大可不必理会它,因为这些软件安装时都有要重写引导区。不过劝你安装这些软件时最好先把写保护关掉,否则容易出现死机现象!
7.浪费喷墨打印机的墨水
喷墨打印机的喷头特别容易堵塞,为此打印机公司特别发明了专门浪费墨水的“清洗喷头”功能,即让大量墨水冲出喷头,清除杂物。这项功能可以用软件控制实现,于是乎病毒便神不知鬼不觉地次次调用该功能,而你却对打印机的呻吟声却听而不见。当你发现时,大量的墨已经被浪费了。这种病毒唯一的预防办法就是……不用打印机时把打印机关了。其实,只要你常注意一下打印机上的模式灯就可以了,清洗喷头时它通常是一闪闪的。另外还要仔细倾听它的呻吟声,清洗喷头时打印头总是要来回走动几下的(为了加热)。
综上所述,ClH病毒之所以能够对硬件造成破坏,原因就是它能够改与主板BIOS里面的相关设置信息,要知道主板BlOS信息可是整个PC平台所有硬件连接在一起的一把钥匙,它是非常关键的一个部分。现在虽然针对ClH病毒各杀毒软件都已有足够防范措施,但作为网吧我们应该详细了解它的原理,这样在以后的工作中就能及时防范。目前已知的CIH病毒大部分都是按照系统日期爆发的,平时都是潜伏在系统中,所以作为网管我们也经常去各杀毒网站了解病毒信息,免得硬件被破坏后无法挽回损失,另外现在流行的双BlOS主板也是有效防范CIH病毒的方法。
ClH病毒大事记
1998年6月2日:首例CIH病毒在中国台湾被发现。1998年6月6日:首例CIH病毒样品抵达DP反病毒实验室。1998年6月6日:CIH1.2版本出笼并为FSAV反病毒机构跟踪。1998年6月12日:CIH病毒1.3版本出笼并为FSAV反病毒机构跟踪。1998年6月26日:CIH病毒1.3版本首次发作,但危害较小。1998年6月30日:CIH病毒1.4版本出笼并为FSAV反病毒机构跟踪。1998年7月:CIH病毒通过受感染的盗版软件在网上传播。1998年8月:“飞行大队长”游戏软件演示版受CIH病毒感染。1998年8月:欧洲两种游戏杂志发送受CIH病毒感染的CD-ROM。1998年8月26日:CIH病毒1.4版发作,媒体予以广泛关注。1998年9月:YAMAHA公司发进第一批受CIH病毒感染的CD-ROM软件。1998年10月:广为流传的SiN游戏软件演示版受CIH感染。1999年3月:CIH病毒1.2版侵入公司Aptiva型机算机。1999年4月26日:CIH病毒1.2版首次发作,计算机业损失巨大。