CIH病毒简介及修复办法

2024年3月26日发(作者：)

CIH病毒简介及修复办法

CIH病毒简介

CIH病毒是一种能够破坏计算机系统硬件的恶性病毒。它产自台湾，最早随盗版光盘在

欧美等地广泛传播，随后进一步通过Internet传播到全世界各个角落。目前传播的主要途径

是通过Internet和电子邮件。CIH病毒只感染Windows95/98操作系统，从目前分析来看它

对DOS操作系统似乎还没有什么影响，这可能是因为它使用了 Windows下的VxD(虚拟设

备驱动程序)技术造成的。但Windows95/98用户就要特别注意了。正是因为 CIH独特地使

用了VxD技术，使得这种病毒在Windows环境下传播，其实时性和隐蔽性都特别强，使用

一般反病毒软件很难发现这种病毒。

CIH病毒每月26日都会爆发(有一种版本是每年4月26日爆发)。CIH病毒发作时，一

方面全面破坏计算机系统硬盘上的数据，另一方面对某些计算机主板的BIOS进行改写。

BIOS被改写后，系统无法启动，只有将计算机送回厂家修理，更换BIOS芯片。CIH病毒

现已被认定是首例能够破坏计算机系统硬件的病毒，同时也是最具杀伤力的恶性病毒。

从技术角度来看，该病毒使用了Windows95/98最核心的VxD技术编制，被认为是牢固

地连接到了操作系统底层，所以CIH病毒既不会向DOS操作系统传播，也不会向Windows

NT操作系统扩散。CIH病毒的这一技术特点对我们使用传统反病毒技术防治计算机病毒提

出了巨大的挑战，这是因为我们所使用的传统反病毒工具基本上都是纯 DOS或工作在

Windows95之下的仿真DOS应用程序，它们无法深入到Windows95/98操作系统的底层去

彻底清除CIH病毒；另一方面，由于能够与操作系统底层紧密结合，CIH病毒的传播就更

为迅速、隐蔽。

发作现象

权威病毒搜集网目前报导的CIH病毒，“原体”加“变种”一共有5种之多，CIH病毒

“变种”不但不增长受感染文件，还有很强的破坏性，这个病毒有3个主要变种(CIHv1.2：

4月26日发作，CIHv1.3：6月26日发作，CIHv1.4：每月26日发作)，发作现象是：

1.攻击BIOS。CIH病毒最异乎寻常之处，是它对计算机BIOS的攻击。打开计算机时，

BIOS首先取得系统的控制权，它从CMOS中读取系统设置参数，初始化并协调有关系统设

备的数据流。CIH发作时，会试图向BIOS 中写入垃圾信息，BIOS中的内容会被彻底洗去，

造成计算机无法启动，只有更换主板或BIOS。据测试发现CIH能够破坏市面上常见的数十

种BIOS。从这个角度上看，CIH病毒是首例直接攻击和破坏计算机硬件系统的病毒，会给

众多的计算机用户带来摧毁性的结局。

2.覆盖硬盘。向硬盘写入垃圾内容也是CIH的破坏性之一。CIH发作时，调用BIOS

SendComma nd直接对硬盘进行存取，将垃圾代码以2048个扇区为单位循环写入硬盘，直

到所有硬盘(含逻辑盘)的数据均被破坏为止。

有一点需广大用户注意，千万不要因为自己的计算机主板上面有BIOS写入/防写入跳

线，就认为CIH病毒奈何不得自己的计算机，许多主板上的BIOS写入/防写入跳线即使设

置为防写入状态，BIOS依然会被改写，原因是部分B IOS芯片无需提高电压即可写入。

CIH病毒修复办法

1.冠群公司

对于已经被CIH破坏的硬盘,可以作以下处理：

1)第一个逻辑盘通常是C:盘，通常不可完全恢复，但是如果使用Kill98制作过应急盘，

可以用Kill9 8应急盘中保存的主引导区记录、分区表记录恢复硬盘，找回大部分文件。

2)其他逻辑盘只要不是FAT32，可以用NDD之类的磁盘工具或用Kill98应急盘恢复，

但需要使用者对硬盘的物理结构有足够的了解。

3)FAT32分区的逻辑盘的处理需要对FAT32结构具有深入了解的专业人员用Debug等

工具手工进行恢复。

对于被CIH破坏的主板,可以作以下处理：

1)如果是能够提供良好服务的厂家品牌的主板，请与厂家联系。

2)找一个相同型号的主板(要求BIOS的厂家和版本必须严格相同)，下载主板厂家提供

的升级文件，取出坏B IOS，用新的BIOS片启动您的电脑，并在带电的情况下换回坏的BIOS

片，从A盘写入。(此办法由于带电操作，有很大危险，有可能操作后造成硬件整体被破坏，

请用户慎重！！！)

3)有的主版升级程序在写入时会检测BIOS版本号，如无则无法改写，用此种方法写入

BIOS，则必须更换计算机的BIOS芯片,可以与您的硬件购买商或主板代理商联系。

2.瑞星公司

首先使用瑞星杀毒盘启动机器，然后运行瑞星杀毒软件DOS版，选择菜单中的项，本

程序将自动分析硬盘是否需要修复。

1)如果出现“The hard disk is ok, needn't recover! Enter= return to main menu”信息，则表

示你的硬盘系统是好的，不需要修复。

2)如果出现红色提示框，报告用户硬盘的分区信息和文件分配表(FAT)的类型，用户首

先应该确认该提示信息是否正确。然后，再根据以下提示信息选择是否进行恢复。

“Recovery Partition Table?(Y/N)”

若选择“Y”，则瑞星杀毒软件将自动恢复硬盘的分区信息。

如果选择“N”，则瑞星杀毒软件将返回主菜单。

恢复硬盘分区结束后，瑞星杀毒软件将提示：“Recovery Drive C：(Y/N)”询问用户是否

继续恢复C盘的文件。

如果选择“Y”，则瑞星杀毒软件将自动恢复C盘中的文件。

如果选择“N”，则瑞星杀毒软件将返回主菜单。

在恢复硬盘分区后，可以重新启动机器，此时可以看到完全恢复的D、E等扩展逻辑分

区；在恢复硬盘分区后，再进一步恢复C盘的文件后，重新启动机器，则不仅可以找到扩

展的逻辑分区，而且可以看到C盘上恢复的文件目录，这些目录名为“”(XXX

为0-999的数字编号)。这时扩展分区已恢复正常，将C盘中各个目录中的重要文件进行备

份。

3)如果出现“The hard disk can't be recovered, Enter= ret urn to main menu”信息，则表示

你的逻辑盘数据使用本功能无法恢复。当本功能无法恢复你的硬盘数据时，可以与本公司联

系或由其他专业数据恢复人员进行分析，使用其他方法进行恢复，以确保重要数据不丢失。

3.时代先锋公司

其“行天98”可以使电脑对CIH终身免疫。方法是在扫描之后确认系统无毒的情况下，

直接给出本应由CIH感染系统后才会有的病毒“感染标记”，CIH病毒侵染电脑的时候会首

先检测到这一标志而误认为这台电脑已经被CIH电脑感染过，就不会对其进行“重复感染”

了，这样CIH就被骗过去了，也就保证了用户的电脑安全。下面给出了这种方法的相关原

理。

既然计算机病毒要大面积传染，那么就不可避免地存在着对某台电脑文件进行重复感染

的可能，但计算机文件的重复感染可能会造成系统异常，会影响病毒的传播破坏计划，所以

一般意义上的病毒程序结构中都会有病毒“感染标记”(又名“ 病毒签名”)部分，病毒感

染宿主程序时，会把“感染标记”写入宿主程序，作为该程序已被感染的标记。病毒在感染

健康程序以前，先搜索感染标记，查看它是否带有感染标记。如果有，就认为它已被感染过

了；如果没发现感染标记，病毒就会感染该程序。 CIH病毒运用了VxD技术，感染系统时

会抢夺系统的控制权，如果重复地抢夺系统控制权会造成死机现象，这就破坏了病毒的潜伏

性，因此CIH病毒感染系统后会留下“感染标记”，而在每次感染之前都会首先检测“感染

标记”，如果发现“感染标记”就不会再进行感染。

“行天98”“克隆”了CIH病毒的“感染标记”。用户只要使用“行天98”(发行版的最新

版本才可以，请老用户尽快升级)反病毒软件查解病毒，就可以永久性地给电脑系统种植CIH

疫苗，使该系统永远不会再感染CIH病毒了( 对所有变种的CIH或传说中的CIH二代等都

有效)。(注：如对系统进行了格式化则应重新使用“行天98”对系统进行免疫处理)

4. NAI

美国网络联盟公司推出的McAfee VirusScan软件将会有效地对付CIH病毒，同时还提

供网上技术支持，用户可以进行实时在线的升级服务。在NAI的网页上()，

有许多关于CI H病毒特点和根治方法的建议和方案。

5.北京江民公司

本月4月26日，CIH病毒v1.2发作。具体的表现形式包括:硬盘不能正常启动、所有的

逻辑分区丢失；原来能正常显示的显示器不能正常显示(机器的BIOS被病毒改写)、软盘不

能正常启动计算机。

(1)对于第一种情况，可以采用KV300的F10功能键重建您的硬盘分区表。具体操作步

骤如下：

1)用干净的系统软盘引导计算机，KV300的主画面出现后，按F10功能键，KV300会

自动检测您的硬盘参数及分区情况，并对非正常的硬盘分区表进行重建。当然，在重建之前

会提示您备份一份原来已经损坏的分区表；

2)为了安全起见，必须备份原分区表。在操作过程中，按提示将敲击两次“y”。

(2)对于BIOS被病毒改写造成计算机不能显示或软盘不能启动的情况，必须更换计算机

的BIOS芯片。您可以与硬件购买商或主板代理商联系；

(3)在有些特殊的情况下，如果采用以上方法还不能正常修复您的逻辑D、E、F……(不

含C盘)请与江民公司直接联系。

(4)计算机能启动的情况不在被CIH病毒破坏的范围之内。

CIH病毒典型案例

1999年4月26日，XX公司由于使用感染了CIH病毒的软盘，使得两台计算机于当日

遭到此种病毒破坏。磁盘数据无法找到，造成损失。

具体破坏情况如下：

这两台计算机均是“586机型(兼容机)，可能是早期的“586”主板，BIOS芯片不是软件

可改写的。因此这两台计算机的主板未受到影响，可继续使用。

两台计算机的硬盘均是Quantum Fireball2.1G。两块硬盘出现同样的现象：硬盘无法启

动且无法识别，即使用软盘启动也找不到C驱动器。

技术人员用A盘从DOS启动，使用Debug程序将其中一块硬盘的主引导扇区读到内存

分析，发现：硬盘的分区表已被病毒清零。再将文件分配表所在的部分扇区内容读出，发现

已不是正常分区表的内容，被一些垃圾数据覆盖。

对此硬盘尝试使用“Nroton”磁盘医生进行修复：

第一步，“Norton”在硬盘的1头1扇区1FF柱找到了第一个分区的起始位置。(这是个

非常位置，一般第一个分区起始位置在1头1扇区0柱)以后Norton未找到第二个分区。(据

磁盘的用户讲此块硬盘在破坏前有两个分区，各1GB)

找到第一个分区后，重新启动计算机，发现此硬盘已可以识别，且C盘的某些文件也

还在。但文件名及目录结构已完全改变。原C盘上的Windows95系统文件和数据文件等均

已无法找到。原来的D分区位能恢复部分。看来完全恢复已无可能。

结论：此病毒的作者用心险恶。即使对于一些主板的BIOS无法破坏，也要对硬盘数据

进行无法恢复的破坏。只有选择一个带有实时反病毒功能的反病毒软件，才能彻底抵御CIH

恶性病毒对系统的攻击，做到没有后顾之忧。