ホームページ  >  記事  >  バックエンド開発  >  ウイルスプログラムのソースコード例の解析 - CIH ウイルス[1]

ウイルスプログラムのソースコード例の解析 - CIH ウイルス[1]

黄舟
黄舟オリジナル
2017-01-17 11:12:313197ブラウズ

CIH ウイルスは主に Windows 95/98/Me の実行可能プログラムに感染し、攻撃するとコンピュータのフラッシュ BIOS チップのシステム プログラムを破壊し、マザーボードに損傷を与え、ハードディスク内のデータを破壊します。ウイルスが攻撃すると、ウイルス プログラムはハード ドライブのメイン ブート領域から始めて、すべてのハード ドライブ データが破壊されるまで、ジャンク データを 2048 セクター単位でハード ドライブに書き込み続けます。ハードディスク上のすべてのデータ (パーティション テーブルを含む) が破壊されるため、ハードディスクを保存するには再パーティション化する必要があります。同時に、Gigabyte や MSI などの一部のブランドのマザーボードは、フラッシュ BIOS のシステム プログラムを破壊し、起動後にシステムが応答しなくなります。
CIH ウイルスは 1998 年 8 月に台湾から国内に導入され、合計 5 つのバージョンがあり、時間の経過とともにさまざまなバージョンが開発され、その開発履歴は次のとおりです:

(1) CIH ウイルス バージョン 1.0。

初期のバージョン 1.0 はわずか 656 バイトで、プロトタイプは通常のウイルスと比べて構造的にはあまり改善されていませんでした。その最大の特徴は、Microsoft Windows PE の実行可能ファイルと感染したプログラム ファイルに感染できることです。長さが増加しているため、CIH ウイルスのバージョン 1.0 はまだ破壊的ではありません。

(2) CIH ウイルス バージョン 1.1

CIH ウイルスがバージョン 1.1 に開発されたとき、このバージョンの CIH ウイルスは、Windows NT ソフトウェアであると判断される機能を備えています。ユーザーが Windows NT を実行している場合は、効果がなく、エラー メッセージの生成を避けるために自身を非表示にします。同時に、コードの長さを減らすために、より最適化されたコードが使用されます。

バージョン 1.1 CIH ウイルスのもう 1 つの改善点は、Windows PE クラスの実行可能ファイルの「ギャップ」を利用し、必要に応じて自身を複数の部分に分割し、それぞれを PE クラスの実行可能ファイルに挿入できることです。利点は、ほとんどの Windows PE ファイルに感染しても、ファイル長が増加しないことです。

(3) CIH ウイルス バージョン 1.2

CIH ウイルスがバージョン 1.2 に開発されたとき、バージョン 1.1 の一部の欠陥が修正されたことに加えて、ユーザーのハードディスクとユーザーのマシンの BIOS プログラムを破壊するコードも追加されました。この改善により、バージョン 1.2 の CIH ウイルスの長さは 1003 バイトになりました。

(4) CIH ウイルス バージョン 1.3

バージョン 1.2 CIH ウイルスの最大の欠陥は、ZIP 自己解凍パッケージ ファイルに感染すると、ZIP 圧縮パッケージが圧縮されている場合に、次のエラー警告メッセージが表示されることです。自己解凍:

 
  WinZip Self-Extractor header corrupt.
  Possible cause: disk or file transfer error.

CIH ウイルスのバージョン 1.3 は急いでいるらしく、その改善点は上記の欠陥を対象としています。その改善方法は次のとおりです。 開かれたファイルが WinZip 風のファイルであると判断された場合。自己解凍プログラムでは感染は行われません。同時に、このバージョンの CIH ウイルスは、ウイルスの攻撃時間を 4 月 26 日から 6 月 26 日に変更しました。 CIH ウイルス バージョン 1.3 の長さは 1010 バイトです。

(4) CIH ウイルス バージョン 1.4

CIH ウイルスのバージョン 1.4 は、以前のバージョンの欠陥が改善され、ZIP 自己解凍パッケージ ファイルには感染しなくなり、攻撃日も 6 月 26 日から毎日に変更されました。今月 26 日、ウイルス攻撃の頻度が増加しました。ウイルス内の著作権情報も変更されました (著作権情報は「CIH v1.4 TATUNG」に変更されました。以前のバージョンの関連情報は「CIH v1.x TTIT」でした)。CIH ウイルス バージョン 1.4 の長さは変更されました。は 1019 バイトです。

前に述べたように、CIH ウイルスはウイルスの歴史の中でいくつかの初を生み出し、ウイルスの発生は世界に計り知れない損失をもたらしました。では、このような大きな「破壊力」を持つコードはどのように書かれているのでしょうか?以下では、CIH ウイルスのバージョン 1.4 を例として取り上げ、そのコア コードの一部を分析します。

上記は、ウイルス プログラムのソース コード例分析 - CIH ウイルス [1] の内容です。その他の関連コンテンツについては、PHP 中国語 Web サイト (www.php.cn) に注目してください。


声明:
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。