Analyse von Beispielen für Virenprogramm-Quellcodes – CIH-Virus[1]

Der CIH-Virus infiziert hauptsächlich ausführbare Programme von Windows 95/98/Me. Bei einem Angriff zerstört er das Systemprogramm im Flash-BIOS-Chip des Computers, was zu Schäden am Motherboard und zur Zerstörung von Daten auf der Festplatte führt. Wenn ein Virus angreift, dreht sich die Festplatte weiter in Einheiten von 2048 Sektoren, beginnend mit dem Hauptstartbereich der Festplatte, bis alle Festplattendaten zerstört sind. Alle Daten auf der Festplatte (einschließlich der Partitionstabelle) werden zerstört und müssen neu partitioniert werden, um die Festplatte möglicherweise zu retten. Gleichzeitig zerstören Motherboards einiger Marken wie Gigabyte und MSI das Systemprogramm im Flash-BIOS, was dazu führt, dass das System nach dem Booten nicht mehr reagiert.
Der CIH-Virus wurde im August 1998 aus Taiwan eingeschleppt. Es gibt insgesamt fünf Versionen, die im Laufe der Zeit entwickelt und kontinuierlich verbessert wurden:

(1) CIH-Virus Version 1.0

Die ursprüngliche Version 1.0 war nur 656 Bytes groß und der Prototyp schien relativ einfach zu sein. Es gab keine große Verbesserung gegenüber gewöhnlichen Viren. Das größte Merkmal ist, dass es möglich ist infizieren ausführbare Dateien von Microsoft Windows PE, die Länge der von ihnen infizierten Programmdateien erhöht sich und der CIH-Virus Version 1.0 ist noch nicht destruktiv.

(2) CIH-Virus Version 1.1

Als sich der CIH-Virus zur Version 1.1 entwickelte, betrug die Länge des Virus 796 Byte die Fähigkeit, Windows zu ermitteln. Sobald festgestellt wird, dass der Benutzer Windows NT ausführt, funktionieren die Funktionen der NT-Software nicht und werden ausgeblendet, um die Generierung von Fehlermeldungen zu vermeiden. Gleichzeitig wird optimierter Code verwendet, um die Länge zu reduzieren .

Ein weiterer Verbesserungspunkt des CIH-Virus der Version 1.1 besteht darin, dass er die „Lücken“ in ausführbaren Windows PE-Dateien ausnutzen, sich nach Bedarf in mehrere Teile aufteilen und diese jeweils in ausführbare PE-Dateien einfügen kann Der Grund dafür ist, dass sich die Dateilänge bei der Infektion der meisten Windows PE-Dateien nicht erhöht.

　 (3) CIH-Virus Version 1.2

Als sich der CIH-Virus zur Version 1.2 entwickelte, korrigierte er nicht nur einige der Mängel der Version 1.1, sondern fügte auch neue hinzu Funktionen, die den Benutzern die Festplatte und den Code des Computer-BIOS-Programms schädigen. Durch diese Verbesserung gelangt es in die Kategorie der bösartigen Viren. Die Körperlänge des CIH-Virus der Version 1.2 beträgt 1003 Byte.

　 (4) CIH-Virus Version 1.3

Der größte Fehler des CIH-Virus Version 1.2 besteht darin, dass er bei der Infektion einer selbstextrahierenden ZIP-Paketdatei das verursacht ZIP-komprimiertes Paket in Die folgende Fehlermeldung wird während der Selbstextrahierung angezeigt:
Es handelt sich um ein selbstextrahierendes Programm wie WinZip, daher wird es nicht infiziert. Gleichzeitig hat diese Version des CIH-Virus die Angriffszeit des Virus vom 26. April auf den 26. Juni geändert. Die CIH-Virusversion 1.3 ist 1010 Bytes lang.

　
　　WinZip Self-Extractor header corrupt.
　　Possible cause: disk or file transfer error.

(4) CIH-Virus Version 1.4

Der CIH-Virus der Version 1.4 hat die Mängel in früheren Versionen verbessert und infiziert keine selbstextrahierenden ZIP-Paketdateien und wurde auch geändert Das Angriffsdatum wurde vom 26. Juni auf den 26. eines jeden Monats verschoben, wodurch die Häufigkeit von Virenangriffen zunahm. Die Copyright-Informationen im Virus wurden ebenfalls geändert (die Copyright-Informationen wurden geändert in: „CIH v1.4 TATUNG“, die relevanten Informationen in der vorherigen Version waren „CIH v1.x TTIT“), die Länge des CIH-Virus der Version 1.4 ist 1019 Bytes.
Wie bereits erwähnt, hat das CIH-Virus mehrere Neuheiten in der Geschichte der Viren hervorgebracht und ist sehr zerstörerisch. Der Ausbruch des Virus hat der Welt unermessliche Verluste verursacht. Wie wird also der Code mit solch großer „zerstörerischer“ Kraft geschrieben? Im Folgenden nehmen wir Version 1.4 des CIH-Virus als Beispiel, um einen Teil seines Kerncodes zu analysieren.


Das Obige ist der Inhalt der Beispielanalyse des Virenprogramm-Quellcodes – CIH-Virus [1]. Weitere verwandte Inhalte finden Sie auf der chinesischen PHP-Website (www.php.cn)!