cih股票代碼_剛才有個問CIH的

A. "cih"是屬於w32家族的,"cih"是用什麼語言編寫的啊

1. 匯編語言
2. 網路一下「CIH源碼」就能找到一大堆

B. 剛才有個問CIH的,CIH是什麼呀

CIH病毒簡介
CIH病毒傳播的主要途徑是Internet和電子郵件，當然隨著時間的推移，它也會通過軟盤或光碟的交流傳播。據悉，權威病毒搜集網目前報道的CIH病毒，「原體」加「變種」一共有五種之多，相互之間主要區別在於「原體」會使受感染文件增長，但不具破壞力；而「變種」不但使受感染的文件增長，同時還有很強的破壞性，特別是有一種「變種」，每月26日都會發作。

CIH病毒只感染Windows 95/98操作系統，從目前分析來看，它對DOS操作系統似乎還沒有什麼影響，所以，對於僅使用DOS的用戶來說，這種病毒似乎並沒有什麼影響，但如果是Windows 95/98用戶就要特別注意了。正是因為CIH獨特地使用了VxD技術，使得這種病毒在Windows環境下傳播的實時性和隱蔽性都特別強，使用一般反病毒軟體很難發現這種病毒在系統中的傳播。

CIH病毒「變種」在每年4月26日（有一種變種是每月26日）都會發作。發作時硬碟一直轉個不停，所有數據都被破壞，硬碟分區信息也將丟失。CIH病毒發作後，就只有對硬碟進行重新分區了。再有就是CIH病毒發作時也可能會破壞某些類型主板的電壓，改寫只讀存儲器的BIOS，被破壞的主板只能送回原廠修理，重新燒入BIOS。

CIH病毒破壞哪一類BIOS？
當然，CIH對BIOS的破壞，也並非想像中的那麼可怕。

現在PC機基本上使用兩種只讀存儲器存放BIOS數據，一種是使用傳統的ROM或EPROM，另一種就是E2PROM。廠家事先將BIOS以特殊手段「燒」入（又稱「固化」）到這些存儲器中，然後將它們安裝在PC機里。當我們打開計算機電源時，BIOS中程序和數據首先被執行、載入，使得我們的系統能夠正確識別機器里安裝的各種硬體並調用相應的驅動程序，然後硬碟再開始引導操作系統。

固化在ROM或EPROM中的數據，只有施加以特殊的電壓或使用紫外線才有可能被清除，這就是為什麼我們打開有些計算機機箱時，可能會看到有塊晶元上貼著一小塊銀色或黑色紙塊的原因——防止紫外線清除BIOS數據。要清除存儲在這類只讀存儲器中的數據，僅靠計算系統內部的電壓是不夠的。所以，僅使用這種只讀存儲器存儲BIOS數據的用戶，就沒有必要擔心CIH病毒會破壞BIOS。

但最新出產的計算機，特別是Pentium以上的計算機基本上都使用了E2PROM存儲部分BIOS。E2PROM又名「電可改寫只讀存儲器」。一般情況下，這種存儲器中的數據並不會被用戶輕易改寫，但只要施加特殊的邏輯和電壓，就有可能將E2PROM中的數據改寫掉。使用PC機的CPU邏輯和計算機內部電壓就可輕易實現對E2PROM的改寫，這正是我們通過軟體升級BIOS的原理，也是CIH破壞BIOS的基本方法。

改寫E2PROM內的數據需要一定的邏輯條件，不同PC機系統對這種條件的要求可能並不相同，所以CIH並不會破壞所有使用E2PROM存儲BIOS的主板，目前報道的只有技嘉和微星等幾種5V主板，這並不是說這些主板的質量不好，只不過其E2PROM邏輯正好與CIH吻合，或者CIH的編制者也許就是要有目的地破壞某些品牌的主板。

所以，要判斷CIH對您的主板究竟有沒有危害，首先應該判別您的BIOS是僅僅燒在ROM/EPROM之中，還是有一部分使用了E2PROM。

需要注意的是，雖然CIH並不會破壞所有BIOS，但CIH在「黑色」的26日摧毀硬碟上所有數據遠比破壞BIOS要嚴重得多——這是每個感染CIH病毒的用戶不可避免的。
回答者：wudi8333 - 舉人五級 9-24 18:57

--------------------------------------------------------------------------------

CIH病毒屬文件型病毒，其別名有Win95.CIH、Spacefiller、Win32.CIH、PE_CIH，它主要感染Windows95/98下的可執行文件(PE格式，Portable Executable Format)，目前的版本不感染DOS以及WIN 3.X(NE格式，Windows and OS/2 Windows 3.1 execution File Format)下的可執行文件，並且在Win NT中無效。其發展過程經歷了v1.0，v1.1、v1.2、v1.3、v1.4總共5個版本，目前最流行的是v1.2版本，在此期間，據某些報導，同時產生了不下十個的變種，不過好象沒有流行起來的跡象，本人並未實際接觸到這些所謂的CIH變種病毒。
CIH病毒的各種不同版本的隨時間的發展不斷完善，其基本發展歷程為：
CIH病毒v1.0版本：
最初的 V1.0版本僅僅只有 656位元組，其雛形顯得比較簡單，與普通類型的病毒在結構上並無多大的改善，其最大的「賣點」是在於其是當時為數不多的、可感染Microsoft Windows PE類可執行文件的病毒之一，被其感染的程序文件長度增加，此版本的CIH不具有破壞性。
CIH病毒v1.1版本：
當其發展到v1.1版本時，病毒長度為796位元組，此版本的CIH病毒具有可判斷Win NT軟體的功能，一旦判斷用戶運行的是Win NT，則不發生作用，進行自我隱藏，以避免產生錯誤提示信息，同時使用了更加優化的代碼，以縮減其長度。此版本的CIH另外一個優秀點在於其可以利用WIN PE類可執行文件中的「空隙」，將自身根據需要分裂成幾個部分後，分別插入到PE類可執行文件中，這樣做的優點是在感染大部分WINPE類文件時，不會導致文件長度增加。
CIH病毒v1.2版本：
當其發展到v1.2版本時，除了改正了一些v1.1版本的缺陷之外，同時增加了破壞用戶硬碟以及用戶主機BIOS程序的代碼，這一改進，使其步入惡性病毒的行列，此版本的CIH病毒體長度為1003位元組。
CIH病毒v1.3版本：
原先v1.2版本的CIH病毒最大的缺陷在於當其感染ZIP自解壓包文件(ZIP self-extractors file)時，將導致此ZIP壓縮包在自解壓時出現如下的錯誤警告信息：
WinZip Self-Extractor header corrupt.
Possible cause: disk or file transfer error.
v1.3版本的CIH病毒顯得比較倉促，其改進點便是針對以上缺陷的，它的改進方法是：一旦判斷開啟的文件是WinZip類的自解壓程序，則不進行感染。同時，此版本的CIH病毒修改了發作時間。v1.3版本的CIH病毒長度為1010位元組。
CIH病毒v1.4版本：
此版本的CIH病毒改進上上幾個版本中的缺陷，不感染ZIP自解壓包文件，同時修改了發作日期及病毒中的版權信息(版本信息被更改為：「CIH v1.4 TATUNG」，在以前版本中的相關信息為「CIH v1.x TTIT」)，此版本的長度為1019位元組。
從上面的說明中，我們可以看出，實際上，在CIH的相關版本中，只有v1.2、v1.3、v1.4這3個版本的病毒具有實際的破壞性，其中v1.2版本的CIH病毒發作日期為每年的4月26日，這也就是當前最流行的病毒版本，v1.3版本的發作日期為每年的6月26日，而CIH v1.4版本的發作日期則被修改為每月的26日，這一改變大大縮短了發作期限，增加了其的破壞性。
CIH病毒發作時所產生的破壞性：
CIH屬惡性病毒，當其發作條件成熟時，其將破壞硬碟數據，同時有可能破壞BIOS程序，其發作特徵是：
1、以2048個扇區為單位，從硬碟主引導區開始依次往硬碟中寫入垃圾數據，直到硬碟數據被全部破壞為止。最壞的情況下硬碟所有數據(含全部邏輯盤數據)均被破壞，如果重要信息沒有備份，那就只有哭了！
2、某些主板上的Flash Rom中的BIOS信息將被清除。
感染CIH病毒的特徵：
由於流行的CIH病毒版本中，其標識版本號的信息使用的是明文，所以可以通過搜索可執行文件中的字元串來識別是否感染了CIH病毒，搜索的特徵串為「CIH v」或者是「CIH v1.」如果你想搜索更完全的特徵字元串，可嘗試「CIH v1.2 TTIT」、「CIH v1.3 TTIT」以及「CIH v1.4 TATUNG」，不要直接搜索「CIH」特徵串，因為此特徵串在很多的正常程序中也存在，例如程序中存在如下代碼行：
inc bx
dec cx
dec ax
則它們的特徵碼正好是「CIH(0x43;0x49;0x48)」，容易產生誤判。
具體的搜索方法為：首先開啟「資源管理器」，選擇其中的菜單功能「工具>查找>文件或文件夾」，在彈出的「查找文件」設置窗口的「名稱和位置」輸入中輸入查找路徑及文件名(如：*.EXE)，然後在「高級>包含文字」欄中輸入要查找的特徵字元串--「CIH v」，最後點勸查找鍵」即可開始查找工作。如果在查找過程中，顯示出一大堆符合查找特徵的可執行文件，則表明您老的計算機上已經感染了CIH病毒。
實際上，在以上的方法中存在著一個致命的缺點，那就是：如果用戶剛剛感染CIH病毒，那麼這樣一個大面積的搜索過程實際上也是在擴大病毒的感染面。一般情況下，推薦的方法是先運行一下「寫字板」軟體，然後使用上面的方法在「寫字板」軟體的可執行程序Notepade.exe中搜索特徵串，以判斷是否感染了CIH病毒。
另外一個判斷方法是在Windows PE文件中搜索IMAGE_NT_SIGNATURE欄位，也就是0x00004550，其代表的識別字元為「PE00」，然後查看其前一個位元組是否為0x00，如果是，則表示程序未受感染，如果為其他數值，則表示很可能已經感染了CIH病毒。
最後一個判斷方法是先搜索IMAGE_NT_SIGNATURE欄位--「PE00」，接著搜索其偏移0x28位置處的值是否為55 8D 44 24 F8 33 DB 64，如果是，則表示此程序已被感染。
還聽說凡是感染了CIH病毒的機器，如果玩NEED FOR SPEED II游戲時，會在讀取游戲光碟時出現死機現象，本人沒有嘗試過，不知道實際上是不是有這一情況存在。
適合高級用戶使用的一個方法是直接搜索特徵代碼，並將其修改掉，方法是：先處理掉兩個轉跳點，即搜索：5E CC 56 8B F0 特徵串以及5E CC FB 33 DB特徵串，將這兩個特徵串中的CC改90(nop)，接著搜索 CD 20 53 00 01 00 83 C4 20 與 CD 20 67 00 40 00特徵字串，將其全部修改為90，即可（以上數值全部為16進制）。
另外一種方法是將原先的PE程序的正確入口點找回來，填入當前入口點即可（此處以一個被感染的CALC.EXE程序為例），具體方法為：先搜IMAGE_NT_SIGNATURE欄位--「PE00」，接著將距此點偏移0x28處的4個位元組值，例如「A0 02 00 00」(0x000002A0)，再由此偏移所指的位置（即0x02A0）找到數據「55 8D 44 24 F8 33 DB 64」，並由0X02A0加上0X005E得到0x02FE偏移，此偏移處的數據例如為「CB 21 40 00」（OXOO4021CB），將此值減去OX40000，將得數--「CB 21 00 00」（OXOO0021CB）值放回到距「PE00」點偏移0x28的位置即可（此處為Windows PE格式程序的入口點，術語稱為Program Entry Point）。最後將「55 8D 44 24 F8 33 DB 64」全部填成「00」，使得我們容易判斷病毒是否已經被殺除過。
按照上面手工殺毒的方法一般適合於某些單獨的軟體（例如某些軟體包含在軟盤中，卻被感染了CIH不讀，可現在就要用，呵呵！）。使用上述方法的缺點在於病毒體還將保留在可執行文件中，雖然不會起作用，但是想起來可能會有點不舒服（記得「WPS2000測試版殘留CIH病毒屍體」的事件么？）。所以，想徹底殺滅，推薦使用某些反病毒軟體進行或是CIH專用殺毒工具（以上操作以及使用反病毒軟體進行殺毒，必須使用干凈的系統盤啟動計算機）。
回答者：砸扁的饅頭 - 秀才二級 9-24 19:58

--------------------------------------------------------------------------------

CIH病毒是一位名叫陳盈豪的台灣大學生所編寫的，從台灣傳人大陸地區的。CIH的載體是一個名為「ICQ中文Ch_at模塊」的工具，並以熱門盜版光碟游戲如「古墓奇兵」或Windows95/98為媒介，經互聯網各網站互相轉載，使其迅速傳播。目前傳播的主要途徑主要通過Internet和電子郵件，當然隨著時間的推移，其傳播主要仍將通過軟盤或光碟途徑。CIH病毒屬文件型病毒，其別名有Win95.CIH、Spacefiller、Win32.CIH、PE_CIH，它主要感染Windows95/98下的可執行文件(PE格式，Portable Executable Format)，目前的版本不感染DOS以及WIN 3.X(NE格式，Windows and OS/2 Windows 3.1 execution File Format)下的可執行文件，並且在Win NT中無效。其發展過程經歷了v1.0，v1.1、v1.2、v1.3、v1.4總共5個版本，目前最流行的是v1.2版本，在此期間，據某些報導，同時產生了不下十個的變種，不過好象沒有流行起來的跡象，本人並未實際接觸到這些所謂的CIH變種病毒。
CIH病毒的各種不同版本的隨時間的發展不斷完善，其基本發展歷程為：

CIH病毒v1.0版本：

最初的 V1.0版本僅僅只有 656位元組，其雛形顯得比較簡單，與普通類型的病毒在結構上並無多大的改善，其最大的「賣點」是在於其是當時為數不多的、可感染Microsoft Windows PE類可執行文件的病毒之一，被其感染的程序文件長度增加，此版本的CIH不具有破壞性。

CIH病毒v1.1版本：

當其發展到v1.1版本時，病毒長度為796位元組，此版本的CIH病毒具有可判斷Win NT軟體的功能，一旦判斷用戶運行的是Win NT，則不發生作用，進行自我隱藏，以避免產生錯誤提示信息，同時使用了更加優化的代碼，以縮減其長度。此版本的CIH另外一個優秀點在於其可以利用WIN PE類可執行文件中的「空隙」，將自身根據需要分裂成幾個部分後，分別插入到PE類可執行文件中，這樣做的優點是在感染大部分WINPE類文件時，不會導致文件長度增加。

CIH病毒v1.2版本：
當其發展到v1.2版本時，除了改正了一些v1.1版本的缺陷之外，同時增加了破壞用戶硬碟以及用戶主機BIOS程序的代碼，這一改進，使其步入惡性病毒的行列，此版本的CIH病毒體長度為1003位元組。
CIH病毒v1.3版本：
原先v1.2版本的CIH病毒最大的缺陷在於當其感染ZIP自解壓包文件(ZIP self-extractors file)時，將導致此ZIP壓縮包在自解壓時出現：

WinZip Self-Extractor header corrupt.
Possible cause: disk or file transfer error.

的錯誤警告信息。v1.3版本的CIH病毒顯得比較倉促，其改進點便是針對以上缺陷的，它的改進方法是：一旦判斷開啟的文件是WinZip類的自解壓程序，則不進行感染。同時，此版本的CIH病毒修改了發作時間。v1.3版本的CIH病毒長度為1010位元組。
CIH病毒v1.4版本：

此版本的CIH病毒改進上上幾個版本中的缺陷，不感染ZIP自解壓包文件，同時修改了發作日期及病毒中的版權信息(版本信息被更改為：「CIH v1.4 TATUNG」，在以前版本中的相關信息為「CIH v1.x TTIT」)，此版本的長度為1019位元組。

從上面的說明中，我們可以看出，實際上，在CIH的相關版本中，只有v1.2、v1.3、v1.4這3個版本的病毒具有實際的破壞性，其中v1.2版本的CIH病毒發作日期為每年的4月26日，這也就是當前最流行的病毒版本，v1.3版本的發作日期為每年的6月26日，而CIH v1.4版本的發作日期則被修改為每月的26日，這一改變大大縮短了發作期限，增加了其的破壞性。

CIH病毒發作時所產生的破壞性：

CIH屬惡性病毒，當其發作條件成熟時，其將破壞硬碟數據，同時有可能破壞BIOS程序，其發作特徵是：

1、以2048個扇區為單位，從硬碟主引導區開始依次往硬碟中寫入垃圾數據，直到硬碟數據被全部破壞為止。最壞的情況下硬碟所有數據(含全部邏輯盤數據)均被破壞，如果重要信息沒有備份，那就只有哭了！

2、某些主板上的Flash Rom中的BIOS信息將被清除。

C. cih病毒的介紹

類型：駐留型計算機病毒

特徵：該計算機病毒屬於W32家族，感染Windows 95/98中以EXE為後綴的可行性文件。它具有極大的破壞性，可以重寫BIOS使之無用(只要計算機的微處理器是Pentium Intel 430TX)，其後果是使用戶的計算機無法啟動，唯一的解決方法是替換系統原有的晶元(chip)，該計算機病毒於4月26日發作，它還會破壞計算機硬碟中的所以信息。該計算機病毒不會影響MS/DOS、Windows 3.x和Windows NT操作系統。

傳播途徑： CIH可利用所有可能的途徑進行傳播：軟盤、CD-ROM、Internet、FTP下載、電子郵件等。只有當執行受感染的文件時計算機病毒才會發作，否則計算機病毒將永遠處於潛伏狀態。症狀：計算機病毒可能隱藏在任何以EXE為擴展名的可執行文件中，但是，只有執行這些文件，計算機病毒才會發作。一旦計算機病毒被激活(執行了帶毒文件)，計算機病毒就是進行破壞活動，有些是可見的，而另外一些則可能不被注意。

以下就是計算機病毒可能產生的影響：

1.它會駐留內存，這意味著Windows 95/98系統調用任何(打開、關閉、重命名、復制或運行)以EXE為擴

展名的文件時都會感染計算機病毒。

2.覆蓋和重寫BIOS信息使之無法工作。

3.破壞硬碟中的所有信息(格式化硬碟) 遭到計算機病毒破壞的計算機啟動時有如下提示："DISK BOOT

FAILURE， INSERT SYSTEM DISK AND PRESS ENTER"。而且，如果用戶從軟盤引導並試圖訪問硬碟，就會出現如下信息"INVALID DRIVE SPECIFICATION"。該計算機病毒在其代碼中包含以下字元串"CIH v1.2 TT IT"。

該計算機病毒的第一個變種稱為CIH v1.3或CIH.1010，這個變種會在6月26日發作，它在其代碼中包含以下

字元串："CIH v1.3 TT IT"。第二個變種稱為 CIH v1.4或CIH.1019，它會在每個月的26日發作，具有極大的

破壞性。它將刪除Flash-BIOS 中的所有信息，因此會使計算機連系統盤都找不到，因為BIOS中已經沒有執行該

功能的程序。

但是，即使啟動了計算機，硬碟也找不到，因為硬碟信息也已丟失CHI.1019 破壞硬碟信息的方式是重寫其中的內容。這個變種在其代碼中包含以下字元串："CIH v1.4 TATUNG"。

感染方式： CIH將自己的代碼放在硬碟受感染文件的可用扇區內，因此這些文件的長度不會增加，達到了

隱藏的目的。事實上，計算機病毒感染以EXE為擴展名的Windows可執行文件的原因是這些文件內有大量的可用扇區來隱藏計算機病毒代碼。CIH隻影響32位文件，因此只限於Windows 95/98系統。當CIH計算機病毒進入內存後，它會截取Installable File System (IFS)以便感染所有擴展名為EXE的可執行文件。

D. 介紹一下CIH計算機病毒。。。。

看看下面的資料就明白了.

CIH病毒簡介
CIH病毒傳播的主要途徑是Internet和電子郵件，當然隨著時間的推移，它也會通過軟盤或光碟的交流傳播。據悉，權威病毒搜集網目前報道的CIH病毒，「原體」加「變種」一共有五種之多，相互之間主要區別在於「原體」會使受感染文件增長，但不具破壞力；而「變種」不但使受感染的文件增長，同時還有很強的破壞性，特別是有一種「變種」，每月26日都會發作。

CIH病毒只感染Windows 95/98操作系統，從目前分析來看，它對DOS操作系統似乎還沒有什麼影響，所以，對於僅使用DOS的用戶來說，這種病毒似乎並沒有什麼影響，但如果是Windows 95/98用戶就要特別注意了。正是因為CIH獨特地使用了VxD技術，使得這種病毒在Windows環境下傳播的實時性和隱蔽性都特別強，使用一般反病毒軟體很難發現這種病毒在系統中的傳播。

CIH病毒「變種」在每年4月26日（有一種變種是每月26日）都會發作。發作時硬碟一直轉個不停，所有數據都被破壞，硬碟分區信息也將丟失。CIH病毒發作後，就只有對硬碟進行重新分區了。再有就是CIH病毒發作時也可能會破壞某些類型主板的電壓，改寫只讀存儲器的BIOS，被破壞的主板只能送回原廠修理，重新燒入BIOS。

CIH病毒破壞哪一類BIOS？
當然，CIH對BIOS的破壞，也並非想像中的那麼可怕。

現在PC機基本上使用兩種只讀存儲器存放BIOS數據，一種是使用傳統的ROM或EPROM，另一種就是E2PROM。廠家事先將BIOS以特殊手段「燒」入（又稱「固化」）到這些存儲器中，然後將它們安裝在PC機里。當我們打開計算機電源時，BIOS中程序和數據首先被執行、載入，使得我們的系統能夠正確識別機器里安裝的各種硬體並調用相應的驅動程序，然後硬碟再開始引導操作系統。

固化在ROM或EPROM中的數據，只有施加以特殊的電壓或使用紫外線才有可能被清除，這就是為什麼我們打開有些計算機機箱時，可能會看到有塊晶元上貼著一小塊銀色或黑色紙塊的原因——防止紫外線清除BIOS數據。要清除存儲在這類只讀存儲器中的數據，僅靠計算系統內部的電壓是不夠的。所以，僅使用這種只讀存儲器存儲BIOS數據的用戶，就沒有必要擔心CIH病毒會破壞BIOS。

但最新出產的計算機，特別是Pentium以上的計算機基本上都使用了E2PROM存儲部分BIOS。E2PROM又名「電可改寫只讀存儲器」。一般情況下，這種存儲器中的數據並不會被用戶輕易改寫，但只要施加特殊的邏輯和電壓，就有可能將E2PROM中的數據改寫掉。使用PC機的CPU邏輯和計算機內部電壓就可輕易實現對E2PROM的改寫，這正是我們通過軟體升級BIOS的原理，也是CIH破壞BIOS的基本方法。

改寫E2PROM內的數據需要一定的邏輯條件，不同PC機系統對這種條件的要求可能並不相同，所以CIH並不會破壞所有使用E2PROM存儲BIOS的主板，目前報道的只有技嘉和微星等幾種5V主板，這並不是說這些主板的質量不好，只不過其E2PROM邏輯正好與CIH吻合，或者CIH的編制者也許就是要有目的地破壞某些品牌的主板。

所以，要判斷CIH對您的主板究竟有沒有危害，首先應該判別您的BIOS是僅僅燒在ROM/EPROM之中，還是有一部分使用了E2PROM。

需要注意的是，雖然CIH並不會破壞所有BIOS，但CIH在「黑色」的26日摧毀硬碟上所有數據遠比破壞BIOS要嚴重得多——這是每個感染CIH病毒的用戶不可避免的。
回答者：wudi8333 - 舉人五級 9-24 18:57

CIH病毒屬文件型病毒，其別名有Win95.CIH、Spacefiller、Win32.CIH、PE_CIH，它主要感染Windows95/98下的可執行文件(PE格式，Portable Executable Format)，目前的版本不感染DOS以及WIN 3.X(NE格式，Windows and OS/2 Windows 3.1 execution File Format)下的可執行文件，並且在Win NT中無效。其發展過程經歷了v1.0，v1.1、v1.2、v1.3、v1.4總共5個版本，目前最流行的是v1.2版本，在此期間，據某些報導，同時產生了不下十個的變種，不過好象沒有流行起來的跡象，本人並未實際接觸到這些所謂的CIH變種病毒。
CIH病毒的各種不同版本的隨時間的發展不斷完善，其基本發展歷程為：
CIH病毒v1.0版本：
最初的 V1.0版本僅僅只有 656位元組，其雛形顯得比較簡單，與普通類型的病毒在結構上並無多大的改善，其最大的「賣點」是在於其是當時為數不多的、可感染Microsoft Windows PE類可執行文件的病毒之一，被其感染的程序文件長度增加，此版本的CIH不具有破壞性。
CIH病毒v1.1版本：
當其發展到v1.1版本時，病毒長度為796位元組，此版本的CIH病毒具有可判斷Win NT軟體的功能，一旦判斷用戶運行的是Win NT，則不發生作用，進行自我隱藏，以避免產生錯誤提示信息，同時使用了更加優化的代碼，以縮減其長度。此版本的CIH另外一個優秀點在於其可以利用WIN PE類可執行文件中的「空隙」，將自身根據需要分裂成幾個部分後，分別插入到PE類可執行文件中，這樣做的優點是在感染大部分WINPE類文件時，不會導致文件長度增加。
CIH病毒v1.2版本：
當其發展到v1.2版本時，除了改正了一些v1.1版本的缺陷之外，同時增加了破壞用戶硬碟以及用戶主機BIOS程序的代碼，這一改進，使其步入惡性病毒的行列，此版本的CIH病毒體長度為1003位元組。
CIH病毒v1.3版本：
原先v1.2版本的CIH病毒最大的缺陷在於當其感染ZIP自解壓包文件(ZIP self-extractors file)時，將導致此ZIP壓縮包在自解壓時出現如下的錯誤警告信息：
WinZip Self-Extractor header corrupt.
Possible cause: disk or file transfer error.
v1.3版本的CIH病毒顯得比較倉促，其改進點便是針對以上缺陷的，它的改進方法是：一旦判斷開啟的文件是WinZip類的自解壓程序，則不進行感染。同時，此版本的CIH病毒修改了發作時間。v1.3版本的CIH病毒長度為1010位元組。
CIH病毒v1.4版本：
此版本的CIH病毒改進上上幾個版本中的缺陷，不感染ZIP自解壓包文件，同時修改了發作日期及病毒中的版權信息(版本信息被更改為：「CIH v1.4 TATUNG」，在以前版本中的相關信息為「CIH v1.x TTIT」)，此版本的長度為1019位元組。
從上面的說明中，我們可以看出，實際上，在CIH的相關版本中，只有v1.2、v1.3、v1.4這3個版本的病毒具有實際的破壞性，其中v1.2版本的CIH病毒發作日期為每年的4月26日，這也就是當前最流行的病毒版本，v1.3版本的發作日期為每年的6月26日，而CIH v1.4版本的發作日期則被修改為每月的26日，這一改變大大縮短了發作期限，增加了其的破壞性。
CIH病毒發作時所產生的破壞性：
CIH屬惡性病毒，當其發作條件成熟時，其將破壞硬碟數據，同時有可能破壞BIOS程序，其發作特徵是：
1、以2048個扇區為單位，從硬碟主引導區開始依次往硬碟中寫入垃圾數據，直到硬碟數據被全部破壞為止。最壞的情況下硬碟所有數據(含全部邏輯盤數據)均被破壞，如果重要信息沒有備份，那就只有哭了！
2、某些主板上的Flash Rom中的BIOS信息將被清除。
感染CIH病毒的特徵：
由於流行的CIH病毒版本中，其標識版本號的信息使用的是明文，所以可以通過搜索可執行文件中的字元串來識別是否感染了CIH病毒，搜索的特徵串為「CIH v」或者是「CIH v1.」如果你想搜索更完全的特徵字元串，可嘗試「CIH v1.2 TTIT」、「CIH v1.3 TTIT」以及「CIH v1.4 TATUNG」，不要直接搜索「CIH」特徵串，因為此特徵串在很多的正常程序中也存在，例如程序中存在如下代碼行：
inc bx
dec cx
dec ax
則它們的特徵碼正好是「CIH(0x43;0x49;0x48)」，容易產生誤判。
具體的搜索方法為：首先開啟「資源管理器」，選擇其中的菜單功能「工具>查找>文件或文件夾」，在彈出的「查找文件」設置窗口的「名稱和位置」輸入中輸入查找路徑及文件名(如：*.EXE)，然後在「高級>包含文字」欄中輸入要查找的特徵字元串--「CIH v」，最後點勸查找鍵」即可開始查找工作。如果在查找過程中，顯示出一大堆符合查找特徵的可執行文件，則表明您老的計算機上已經感染了CIH病毒。
實際上，在以上的方法中存在著一個致命的缺點，那就是：如果用戶剛剛感染CIH病毒，那麼這樣一個大面積的搜索過程實際上也是在擴大病毒的感染面。一般情況下，推薦的方法是先運行一下「寫字板」軟體，然後使用上面的方法在「寫字板」軟體的可執行程序Notepade.exe中搜索特徵串，以判斷是否感染了CIH病毒。
另外一個判斷方法是在Windows PE文件中搜索IMAGE_NT_SIGNATURE欄位，也就是0x00004550，其代表的識別字元為「PE00」，然後查看其前一個位元組是否為0x00，如果是，則表示程序未受感染，如果為其他數值，則表示很可能已經感染了CIH病毒。
最後一個判斷方法是先搜索IMAGE_NT_SIGNATURE欄位--「PE00」，接著搜索其偏移0x28位置處的值是否為55 8D 44 24 F8 33 DB 64，如果是，則表示此程序已被感染。
還聽說凡是感染了CIH病毒的機器，如果玩NEED FOR SPEED II游戲時，會在讀取游戲光碟時出現死機現象，本人沒有嘗試過，不知道實際上是不是有這一情況存在。
適合高級用戶使用的一個方法是直接搜索特徵代碼，並將其修改掉，方法是：先處理掉兩個轉跳點，即搜索：5E CC 56 8B F0 特徵串以及5E CC FB 33 DB特徵串，將這兩個特徵串中的CC改90(nop)，接著搜索 CD 20 53 00 01 00 83 C4 20 與 CD 20 67 00 40 00特徵字串，將其全部修改為90，即可（以上數值全部為16進制）。
另外一種方法是將原先的PE程序的正確入口點找回來，填入當前入口點即可（此處以一個被感染的CALC.EXE程序為例），具體方法為：先搜IMAGE_NT_SIGNATURE欄位--「PE00」，接著將距此點偏移0x28處的4個位元組值，例如「A0 02 00 00」(0x000002A0)，再由此偏移所指的位置（即0x02A0）找到數據「55 8D 44 24 F8 33 DB 64」，並由0X02A0加上0X005E得到0x02FE偏移，此偏移處的數據例如為「CB 21 40 00」（OXOO4021CB），將此值減去OX40000，將得數--「CB 21 00 00」（OXOO0021CB）值放回到距「PE00」點偏移0x28的位置即可（此處為Windows PE格式程序的入口點，術語稱為Program Entry Point）。最後將「55 8D 44 24 F8 33 DB 64」全部填成「00」，使得我們容易判斷病毒是否已經被殺除過。
按照上面手工殺毒的方法一般適合於某些單獨的軟體（例如某些軟體包含在軟盤中，卻被感染了CIH不讀，可現在就要用，呵呵！）。使用上述方法的缺點在於病毒體還將保留在可執行文件中，雖然不會起作用，但是想起來可能會有點不舒服（記得「WPS2000測試版殘留CIH病毒屍體」的事件么？）。所以，想徹底殺滅，推薦使用某些反病毒軟體進行或是CIH專用殺毒工具（以上操作以及使用反病毒軟體進行殺毒，必須使用干凈的系統盤啟動計算機）。

E. 最厲害的病毒是什麼比如CIH等..

1. CIH (1998年)

該計算機病毒屬於W32家族，感染Windows 95/98中以EXE為後綴的可行性文件。它具有極大的破壞性，可以重寫BIOS使之無用(只要計算機的微處理器是Pentium Intel 430TX)，其後果是使用戶的計算機無法啟動，唯一的解決方法是替換系統原有的晶元（chip），該計算機病毒於4月26日發作，它還會破壞計算機硬碟中的所有信息。該計算機病毒不會影響MS/DOS、Windows 3.x和Windows NT操作系統。

CIH可利用所有可能的途徑進行傳播：軟盤、CD-ROM、Internet、FTP下載、電子郵件等。被公認為是有史以來最危險、破壞力最強的計算機病毒之一。1998年6月爆發於中國台灣，在全球范圍內造成了2000萬-8000萬美元的損失。

2.梅利莎（Melissa,1999年）

這個病毒專門針對微軟的電子郵件伺服器和電子郵件收發軟體，它隱藏在一個Word97格式的文件里，以附件的方式通過電子郵件傳播，善於侵襲裝有Word97或Word2000的計算機。它可以攻擊Word97的注冊器並修改其預防宏病毒的安全設置，使它感染的文件所具有的宏病毒預警功能喪失作用。

在發現Melissa病毒後短短的數小時內，該病毒即通過網際網路在全球傳染數百萬台計算機和數萬台伺服器，網際網路在許多地方癱瘓。1999年3月26日爆發，感染了15%-20%的商業PC，給全球帶來了3億-6億美元的損失。

3. I love you (2000年)

2000年5月3日爆發於中國香港，是一個用VBScript編寫，可通過E-Mail散布的病毒，而受感染的電腦平台以Win95/98/2000為主。給全球帶來100億-150億美元的損失。

4. 紅色代碼 (Code Red，2001年)

該病毒能夠迅速傳播，並造成大范圍的訪問速度下降甚至阻斷。這種病毒一般首先攻擊計算機網路的伺服器，遭到攻擊的伺服器會按照病毒的指令向政府網站發送大量數據，最終導致網站癱瘓。其造成的破壞主要是塗改網頁，有跡象表明，這種蠕蟲有修改文件的能力。2001年7月13日爆發，給全球帶來26億美元損失。

5. SQL Slammer (2003年)

該病毒利用SQL SERVER 2000的解析埠1434的緩沖區溢出漏洞對其服務進行攻擊。2003年1月25日爆發，全球共有50萬台伺服器被攻擊，但造成但經濟損失較小。

6. 沖擊波（Blaster，2003年)

該病毒運行時會不停地利用IP掃描技術尋找網路上系統為Win2K或XP的計算機，找到後就利用DCOM RPC緩沖區漏洞攻擊該系統，一旦攻擊成功，病毒體將會被傳送到對方計算機中進行感染，使系統操作異常、不停重啟、甚至導致系統崩潰。另外，該病毒還會對微軟的一個升級網站進行拒絕服務攻擊，導致該網站堵塞，使用戶無法通過該網站升級系統。2003年夏爆發，數十萬台計算機被感染，給全球造成20億-100億美元損失。

7. 大無極.F（Sobig.F，2003年)

Sobig.f是一個利用互聯網進行傳播的病毒，當其程序被執行時，它會將自己以電子郵件的形式發給它從被感染電腦中找到的所有郵件地址。在被執行後，Sobig.f病毒將自己以附件的方式通過電子郵件發給它從被感染電腦中找到的所有郵件地址，它使用自身的SMTP引擎來設置所發出的信息。此蠕蟲病毒在被感染系統中的目錄為C：＼WINNT＼WINPPR32.EXE。2003年8月19日爆發，為此前Sobig變種，給全球帶來50億-100億美元損失。

8. 貝革熱（Bagle，2004年)

該病毒通過電子郵件進行傳播，運行後，在系統目錄下生成自身的拷貝，修改注冊表鍵值。病毒同時具有後門能力。2004年1月18日爆發，給全球帶來數千萬美元損失。

9. MyDoom (2004年)

MyDoom是一種通過電子郵件附件和P2P網路Kazaa傳播的病毒,當用戶打開並運行附件內的病毒程序後，病毒就會以用戶信箱內的電子郵件地址為目標，偽造郵件的源地址，向外發送大量帶有病毒附件的電子郵件，同時在用戶主機上留下可以上載並執行任意代碼的後門（TCP 3127

到3198范圍內）。2004年1月26日爆發，在高峰時期，導致網路載入時間慢50%以上。

10. Sasser (2004年)

該病毒是一個利用微軟操作系統的Lsass緩沖區溢出漏洞（ MS04-011漏洞信息）進行傳播的蠕蟲。由於該蠕蟲在傳播過程中會發起大量的掃描，因此對個人用戶使用和網路運行都會造成很大的沖擊。2004年4月30日爆發，給全球帶來數千萬美元損失。

F. 有誰了解大中華地產是一個什麼樣的公司

大中華地產，股票代碼GCIH，該公司自1989年成立以來已有17年的歷史了，目前已經成為中國東北最大的私有房地產開發商之一，主要從事住宅及商業地產的開發與管理，早期開發項目包括羅馬花園、綺雲新村、孔雀花園、沈陽師范學院新教學樓、成龍花園等。現擁有並經營總統大廈。
總統大廈，2002年竣工，建築面積77000平方米，投資總額3.8億元人民幣，該項目坐落於索有「華爾街」之稱的沈陽市和平區，是沈陽金融商品區的地標性建築。大廈一直以高品位的商業寫字樓聞名，出租率始終在95%以上。駐廈客戶中有25家是世界500強企業，
其中包括通用電氣、強生、柯達、菲利普莫里斯、三星、LG電子、佳能等，近期又與星巴克簽訂了為期10年的租賃合同。現在總統大廈已經成為一個推動外商在沈投資的標准寫字樓樣板。
最新開發項目——沈陽西塔舊城區改造項目，總建築面積約64萬平方米，總投資額34.11億元人民幣。由於是舊區重建項目，政府支持力度較大，西塔市中心的優越位置不容置疑，預計該項目將在未來的3-5年帶來可觀利潤。公司的業績也會出現爆發性的增長。
該公司在美國的OTCBB板塊上市，股票代碼是GCIH，資產凈值每股約7美元，如果以6折的價格買進就不存在風險，而目前的股價遠遠低於這個風險值，如果等項目開始銷售再買進，股價就會一路高升，所以現在買進升值空間最大。從發展趨勢來看OTCBB只是該公司進入美國市場的預演，最終還是要到主板市場上市。目前已經有一些公司成功的從OTCBB過渡到主板市場。例如比克電池、飛鶴乳業等。
當然，股票就是投資，投資就會有風險，有時一些外在因素的不確定性可導致實際結果極大地不同於陳述中的敘述。政府的支持力度也會對房地產的發展有很大的影響，例如中國政府推出的重振東北的宏圖大計，讓東北成為帶動中國下一波發展的火車頭，北京目前已斥資將近人民幣600億元來整頓東北，這對於沈陽的民營企業來說是一次好的機遇。最近頒布的「國六條」法例，對房地產業也會有一定的負面影響，但目前還不會波及到沈陽。
於美國股市掛牌的公司很多還是處於開始階段，GCIH是比較有潛力的一隻好股票，我本人傾向選擇有一定歷史的公司，加上大中華地產有凈資產值保底，有穩定現金流，還有新項目的爆發性收入空間，大家可以觀察一下。
http://www.gcih.cn http;//www.greatchinaholdings.com

G. 請問CIH到底是何方神聖，為什麼有怎麼多人對他產生恐懼

CIH病毒屬於文件型病毒，其別名有Win95.CIH、Spacefiller、Win32.CIH、PE_CIH，它主要感染Windows95/98下的可執行文件（PE格式，Portable Executable Format），目前的版本不感染DOS以及WIN 3.X（NE格式，Windows and OS/2 Windows 3.1 execution File Format）下的可執行文件，並且在Win NT中無效。

CIH病毒的徹底清除：由於CIH病毒感染了一些系統啟動時的運行文件，所以在WINDOWS系統的情況下，是不能幹凈徹底清除的：殺病毒程序在前面殺病毒，而病毒又在後面反復感染；而且有些文件在WINDOWS系統啟動運行是處於保護狀態的，不能被改寫。因此徹底的清除步驟是：（a）使用KV3000的干凈的系統軟盤啟動計算機到DOS提示符下A：\>;(b)插入KV3000的A盤，執行KV3000.EXE，當出現KV3000的主界面後，按任意鍵可以出現KV3000的清除病毒的主界面，您必須將您的所有當前盤上的邏輯盤符全部掃描一遍，這樣才能全部清除所有的感染該文件上的計算機病毒;(c)對於包裹在壓縮文件中的CIH病毒、電子郵件附件中的病毒等，您可以使用的方法是：使用KV3000的B盤啟動計算機，直接執行光碟上的KVD3000或者是硬碟上已經安裝的KVW3000目錄下的KVD3000.EXE來查殺：命令行的格式：KVD3000 @: /Z /M 該命令可以掃描所有的當前的盤符；掃描所有的壓縮文件；掃描所有的已知的郵件格式中的病毒，比較徹底。

CIH病毒的破壞的修復方法：為了最大程度的保護計算機用戶不受CIH病毒的侵害，減少由於CIH病毒破壞所造成的損失，KV3000還精心設計了KV3000的硬碟修復工具箱功能，而且特別加入了CIH病毒破壞的恢復程序---系統恢復功能鍵F10，它可以自動恢復被該病毒破壞的硬碟數據。

H. cih是什麼病毒!!!!!!!

CIH病毒是一種能夠破壞計算機系統硬體的惡性病毒。這個病毒產自台灣，集嘉通訊公司（技嘉子公司）手機研發中心主任工程師陳盈豪在其於台灣大同工學院念書期間製作。[1] 最早隨國際兩大盜版集團販賣的盜版光碟在歐美等地廣泛傳播，隨後進一步通過Internet傳播到全世界各個角落。

1998年9月，雅馬哈公司為感染了該病毒的CD-R400驅動提供一個固件更新。1998年10月，用戶傳播的Activision公司游戲SiN的一個演示版因為在某一用戶的機器上接觸被感染文件而受到感染。這個公司的傳染源來自IBM1999年3月間發售的已感染CIH病毒的一組Aptiva品牌個人電腦。1999年4月26日，公眾開始關注CIH首次發作時，這些電腦已經運行一個月了。這是一宗大災難，全球不計其數的電腦硬碟被垃圾數據覆蓋，甚至破壞BIOS，無法啟動。至2000年4月26日，亞洲報稱發生多宗損壞，但病毒沒有傳播開來。2001年3月發現Anjulie蠕蟲病毒，它將CIH v1.2植入感染的系統。
這個病毒的死灰復燃是在2001年。一個用珍妮佛洛佩茲的裸照偽裝的VBScript文檔里的愛蟲病毒的一個變種包含CIH病毒的掛鉤常式，從而使該病毒在互聯網上傳播開來。
一個修改版本是CIH.1106，發現於2002年12月，但是沒有嚴重的破壞性。
只有CIH感染大量發信的電腦蠕蟲（如求職信病毒）所使用的程序，或有Anjulie蠕蟲病毒參與時，CIH才會被看成是一個威脅。但是CIH病毒只在windows 95，98和windows Me系統上發作，影響有限。現在由於人們對它的威脅有了認知，且它只能運行於舊的Windows 9X操作系統，CIH不再像它剛出現時分布那麼廣泛傳播。

病毒破壞：

當然，CIH對BIOS的破壞，也並非想像中的那麼可怕。現在PC機基本上使用兩種只讀存儲器存放BIOS數據，一種是使用傳統的ROM或EPROM，另一種就是E2PROM。廠家事先將BIOS以特殊手段「燒」入（又稱「固化」）到這些存儲器中，然後將它們安裝在PC機里。當我們打開計算機電源時，BIOS中程序和數據首先被執行、載入，使得我們的系統能夠正確識別機器里安裝的各種硬體並調用相應的驅動程序，然後硬碟再開始引導操作系統。固化在ROM或EPROM中的數據，只有施加以特殊的電壓或使用紫外線才有可能被清除，這就是為什麼我們打開有些計算機機箱時，可能會看到有塊晶元上貼著一小塊銀色或黑色紙塊的原因——防止紫外線清除BIOS數據。要清除存儲在這類只讀存儲器中的數據，僅靠計算系統內部的電壓是不夠的。所以，僅使用這種只讀存儲器存儲BIOS數據的用戶，就沒有必要擔心CIH病毒會破壞BIOS。但最新出產的計算機，特別是Pentium以上的計算機基本上都使用了E2PROM存儲部分BIOS。E2PROM又名「電可改寫只讀存儲器」。一般情況下，這種存儲器中的數據並不會被用戶輕易改寫，但只要施加特殊的邏輯和電壓，就有可能將E2PROM中的數據改寫掉。使用PC機的CPU邏輯和計算機內部電壓就可輕易實現對E2PROM的改寫，這正是我們通過軟體升級BIOS的原理，也是CIH破壞BIOS的基本方法。改寫E2PROM內的數據需要一定的邏輯條件，不同PC機系統對這種條件的要求可能並不相同，所以CIH並不會破壞所有使用E2PROM存儲BIOS的主板，目前報道的只有技嘉和微星等幾種5V主板，這並不是說這些主板的質量不好，只不過其E2PROM邏輯正好與CIH吻合，或者CIH的編制者也許就是要有目的地破壞某些品牌的主板。所以，要判斷CIH對您的主板究竟有沒有危害，首先應該判別您的BIOS是僅僅燒在ROM/EPROM之中，還是有一部分使用了E2PROM。需要注意的是，雖然CIH並不會破壞所有BIOS，但CIH在「黑色」的26日摧毀硬碟上所有數據遠比破壞BIOS要嚴重得多——這是每個感染CIH病毒的用戶不可避免的。
病毒版本：
CIH病毒屬文件型病毒，殺傷力極強，其別名有Win95.CIH、Spacefiller、Win32.CIH、PE_CIH，它主
CIH病毒
要感染Windows95/98下的可執行文件(PE格式，Portable Executable Format)，目前的版本不感染DOS以及WIN 3.X(NE格式，Windows and OS/2 Windows 3.1 execution File Format)下的可執行文件，並且在Win NT中無效。其發展過程經歷了v1.0，v1.1、v1.2、v1.3、v1.4總共5個版本，目前最流行的是v1.2版本，在此期間，據某些報導，同時產生了不下十個的變種，不過好像沒有流行起來的跡象，本人並未實際接觸到這些所謂的CIH變種病毒。
CIH病毒的各種不同版本的隨時間的發展不斷完善，其基本發展歷程為：
v1.0版本
最初的V1.0版本僅僅只有656位元組，其雛形顯得比較簡單，與普通類型的病毒在結構上並無多大的改善，其最大的「賣點」是在於其是當時為數不多的、可感染Microsoft Windows PE類可執行文件的病毒之一，被其感染的程序文件長度增加，此版本的CIH不具有破壞性。

CIH病毒v1.1版本
當其發展到v1.1版本時，病毒長度為796位元組，此版本的CIH病毒具有可判斷WinNT軟體的功能，一旦判斷用戶運行的是WinNT，則不發生作用，進行自我隱藏，以避免產生錯誤提示信息，同時使用了更加優化的代碼，以縮減其長度。此版本的CIH另外一個優秀點在於其可以利用WIN PE類可執行文件中的「空隙」，將自身根據需要分裂成幾個部分後，分別插入到PE類可執行文件中，這樣做的優點是在感染大部分WINPE類文件時，不會導致文件長度增加。

v1.2版本
當其發展到v1.2版本時，除了改正了一些v1.1版本的缺陷之外，同時增加了破壞用戶硬碟以及用戶主機 BIOS程序的代碼，這一改進，使其步入惡性病毒的行列，此版本的CIH病毒體長度為1003位元組。

v1.3版本
原先v1.2版本的CIH病毒最大的缺陷在於當其感染ZIP自解壓包文件(ZIP self-extractors file)時，將導致此ZIP
壓縮包在自解壓時出現：
WinZip Self-Extractor header corrupt.
Possible cause: disk or file transfer error.
的錯誤警告信息。v1.3版本的CIH病毒顯得比較倉促，其改進點便是針對以上缺陷的，它的改進方法是：一旦判斷開啟的文件是WinZip類的自解壓程序，則不進行感染。同時，此版本的CIH病毒修改了發作時間。v1.3 版本的CIH病毒長度為1010位元組。

v1.4版本
此版本的CIH病毒改進上上幾個版本中的缺陷，不感染ZIP 自解壓包文件，同時修改了發作日期及病毒中的版權信息(版本信息被更改為：「CIH v1.4 TATUNG」，在以前版本中的相關信息為「CIH v1.x TTIT」)，此版本的長度為1019位元組。從上面的說明中，我們可以看出，實際上，在CIH的相關版本中，只有v1.2、v1.3、v1.4這3 個版本的病毒具有實際的破壞性，其中v1.2版本的CIH病毒發作日期為每年的4月26日，這也就是2002年最流行的病毒版本，v1.3 版本的發作日期為每年的6月26日，而CIH v1.4版本的發作日期則被修改為每月的26日，這一改變大大縮短了發作期限，增加了其的破壞性。

發作特種：

CIH屬惡性病毒，當其發作條件成熟時，其將破壞硬碟數據，同時有可能破壞BIOS程序，其發作特徵
CIH病毒
是：
1、以2048個扇區為單位，從硬碟主引導區開始依次往硬碟中寫入垃圾數據，直到硬碟數據被全部破壞為止。最壞的情況下硬碟所有數據(含全部邏輯盤數據)均被破壞，如果重要信息沒有備份，那就只有哭了！
2、某些主板上的Flash Rom中的BIOS信息將被清除。
3、v1.4版本每月26號發作，v1.3版本每年6月26號發作，以下版本4月26號發作。

大事記：
（1998-2004年）
1998年6月2日：台灣傳出首例CIH病毒報告
1998年6月6日：發現CIH V1.2版本
1998年6月12日：發現CIH V1.3版本
1998年6月26日：CIH V1.3版本造成一定程度的破壞
1998年6月30日：發現CIH V1.4版本
1998年7月：在INTERNET 環境中發現一個基於WIN98系統的分布感染實例
1998年7月26日：CIH病毒開始在美國大面積傳播
1998年8月：在Wing Commander 游戲站點發現DEMO被感染
1998年8月：兩家歐洲的PC游戲雜志光碟被發現感染CIH
1998年8月26日：CIH 1.4 版本爆發, 首次在全球蔓延
1998年8月31日：公安部發出緊急通知，新華社、中央台新聞聯播全文播發
1998年9月：Yamaha為某個類型的CD-R驅動編寫的軟體被感染CIH
1998年10月：一個在全球發行的游戲SiN的DEMO版被發現感染CIH
1999年3月：CIH 1.2 版本被發現在IBM 的Aptiva 機器中預裝
1999年4月26：CIH 1.2 版本首次大范圍爆發全球超過六千萬台電腦被不同程度破壞
2000年4月26：CIH 1.2 版本第二次大范圍爆發，全球損失超過十億美元
2001年4月26：CIH 第三次大范圍爆發。僅北京就有超過六千台電腦遭CIH破壞
2002年4月26日：CIH病毒再次爆發，數千台電腦遭破壞
2003年4月26日：仍然有100多個CIH病毒的受害者

感染特徵：
由於流行的CIH病毒版本中，其標識版本號的信息使用的是明文，所以可以通過搜索可執行文件中的字元串來識別是否感染了CIH病毒，搜索的特徵串為「CIH v」或者是「CIH v1.」如果你想搜索更完全的特徵字元串，可嘗試「CIH v1.2 TTIT」、「CIH v1.3 TTIT」以及「CIH v1.4 TATUNG」，不要直接搜索「CIH」特徵串，因為此特徵串在很多的正常程序中也存在，例如程序中存在如下代碼行： inc bx dec cx dec ax 則它們的特徵碼正好是「CIH(0x43;0x49;0x48)」，容易產生誤判。
具體的搜索方法為：首先開啟「資源管理器」，選擇其中的菜單功能「工具>查找>文件或文件夾」，在彈出的「查找文件」設置窗口的「名稱和位置」輸入中輸入查找路徑及文件名(如：*.EXE)，然後在「高級>包含文字」欄中輸入要查找的特徵字元串--「CIH v」，最後點勸查找鍵」即可開始查找工作。如果在查找過程中，顯示出一大堆符合查找特徵的可執行文件，則表明您老的計算機上已經感染了CIH病毒。
實際上，在以上的方法中存在著一個致命的缺點，那就是：如果用戶剛剛感染CIH病毒，那麼這樣一個大面積的搜索過程實際上也是在擴大病毒的感染面。
一般情況下，推薦的方法是先運行一下「寫字板」軟體，然後使用上面的方法在「寫字板」軟體的可執行程序Notepad.exe中搜索特徵串，以判斷是否感染了CIH病毒。另外一個判斷方法是在Windows PE文件中搜索IMAGE_NT_SIGNATURE欄位，也就是0x00004550，其代表的識別字元為「PE00」，然後查看其前一個位元組是否為0x00，如果是，則表示程序未受感染，如果為其他數值，則表示很可能已經感染了CIH病毒。
最後一個判斷方法是先搜索IMAGE_NT_SIGNATURE欄位--「PE00」，接著搜索其偏移0x28位置處的值是否為55 8D 44 24 F8 33 DB 64，如果是，則表示此程序已被感染。
還聽說凡是感染了CIH病毒的機器，如果玩NEED FOR SPEED II(極品飛車2)游戲時，會在讀取游戲光盤時出現死機現象，本人沒有嘗試過，不知道實際上是不是有這一情況存在。
適合高級用戶使用的一個方法是直接搜索特徵代碼，並將其修改掉，方法是：先處理掉兩個轉跳點，即搜索：5E CC 56 8B F0 特徵串以及5E CC FB 33 DB特徵串，將這兩個特徵串中的CC改90(nop)，接著搜索 CD 2C4 20 與 CD 20 67 00 40 00特徵字串，將其全部修改為90，即可（以上數值全部為16進制）。
另外一種方法是將原先的PE程序的正確入口點找回來，填入當前入口點即可（此處以一個被感染的CALC.EXE程序為例），具體方法為：先搜IMAGE_NT_SIGNATURE欄位--「PE00」，接著將距此點偏移0x28處的4個位元組值，例如「A0 02 00 00」(0x000002A0)，再由此偏移所指的位置（即0x02A0）找到數據「55 8D 44 24 F8 33 DB 64」，並由0X02A0加上0X005E得到0x02FE偏移，此偏移處的數據例如為「CB 21 40 00」（OXOO4021CB），將此值減去OX40000，將得數--「CB 21 00 00」（OXOO0021CB）值放回到距「PE00」點偏移0x28的位置即可（此處為Windows PE格式程序的入口點，術語稱為Program Entry Point）。最後將「55 8D 44 24 F8 33 DB 64」全部填成「00」，使得我們容易判斷病毒是否已經被殺除過。按照上面手工殺毒的方法一般適合於某些單獨的軟體（例如某些軟體包含在軟盤中，卻被感染了CIH病毒，可馬上就急需要用）。使用上述方法的缺點在於病毒體還將保留在可執行文件中，雖然不會起作用，但是想起來可能會有點不舒服（記得「WPS2000測試版殘留CIH病毒屍體」的事件么？）。所以，想徹底殺滅，推薦使用某些反病毒軟體進行或是CIH專用殺毒工具（以上操作以及使用反病毒軟體進行殺毒，必須使用干凈的系統盤啟動計算機）。

來源：
CIH病毒是一位名叫陳盈豪的台灣大學生所編寫的，從台灣傳入大陸地區的。CIH的載體是一個名為「ICQ中文Chat模塊」的工具，並以熱門盜版光碟游戲如「古墓奇兵」或Windows95/98為媒介，經互聯網各網站互相轉載，使其迅速傳播。目前傳播的主要途徑主要通過Internet和電子郵件，當然隨著時間的推移，其傳播主要仍將通過軟盤或光碟途徑。

破壞性：
CIH病毒是一種能夠破壞計算機系統硬體的惡性病毒。這個病毒產自台灣，集嘉通訊公司（技嘉子公司）手機研發中心主任工程師陳盈豪在其於台灣大同工學院念書期間製作。[1] 最早隨國際兩大盜版集團販賣的盜版光碟在歐美等地廣泛傳播，隨後進一步通過Internet傳播到全世界各個角落。目前傳播的途徑主要通過Internet和電子郵件。計算機病毒的傳播已擺脫了傳統存儲介質的束縛，Internet和光碟現已成為加速計算機病毒傳播最有效的催化劑。CIH病毒只感染Windows95/98操作系統，從目前分析來看它對DOS操作系統似乎還沒有什麼影響，這可能是因為它使用了Windows下的VxD（虛擬設備驅動程序）技術造成的。所以，對於僅使用DOS的用戶來說，這種病毒似乎並沒有什麼影響，但如果是Windows95/98用戶就要特別注意了。正是因為CIH獨特地使用了VxD技術，使得這種病毒在Windows環境下傳播，其實時性和隱蔽性都特別強，使用一般反病毒軟體很難發現這種病毒在系統中的傳播。 CIH病毒每月26日都會爆發（有一種版本是每年4月26日爆發）。CIH病毒發作時，一方面全面破壞計算機系統硬碟上的數據，另一方面對某些計算機主板的BIOS進行改寫。BIOS被改寫後，系統無法啟動，只有將計算機送回廠家修理，更換BIOS晶元。由於CIH病毒對數據和硬體的破壞作用都是不可逆的，所以一旦CIH病毒爆發，用戶只能眼睜睜地看著價值萬元的計算機和積累多年的重要數據毀於一旦。CIH病毒現已被認定是首例能夠破壞計算機系統硬體的病毒，同時也是最具殺傷力的惡性病毒。從技術角度來看，CIH病毒實現了與操作系統的完美結合。該病毒使用了Windows95/98最核心的VxD技術編制，被認為是牢固地連接到了操作系統底層，所以CIH病毒既不會向DOS操作系統傳播，也不會向WindowsNT操作系統擴散。CIH病毒的這一技術特點給使用傳統反病毒技術防治計算機病毒的人提出了巨大的挑戰，這是因為傳統反病毒工具基本上都是純DOS或工作在Windows95之下的模擬DOS應用程序，它們無法深入到Windows95/98操作系統的底層去徹底清除CIH病毒；另一方面，由於能夠與操作系統底層緊密結合，CIH病毒的傳播就更為迅速、隱蔽。防治類似CIH這種能夠與操作系統緊密結合的病毒最好的方法是使用本身能夠與各種操作系統緊密結合的反病毒軟體。 CIH 病毒是一種運用最新技術，會 Format 硬碟的最新病毒，通常都利用網路族上網時，進行傳播感染。目前最新的變種病毒為CIH 會在每月26 日發病，並會展現最強大的破壞力-Format 硬碟. CIH病毒平常並沒有作什麼破壞性的動作，也沒有顯示任何畫面，只是佔用部份記憶體而已。但是有些 32-bit的程式被感染之後，運作會不正常，甚至會造成當機。但是，CIH病毒長駐在主記憶體之後，每次執行時，會檢查電的日期是否為﹝4月26日﹞，如果是，它會透過你的電腦I/O部：CF8，CFD，CFE修改你的電腦的某些設定，並且把你電腦所有硬碟的資料都毀了，甚至連硬碟數據區及引導區的資料都不在了，並且讓電腦當機。當你重新開機，屏幕會出現"DISK BOOT FAILURE, INSERT SYSTEM DISK AND PRESS ENTER"(硬碟引導失敗，請插入系統盤後敲擊回車)。若是用軟盤引導開機再執行C:指令，則出現"Invalid drive specification"(不可用的驅動器編號)。即使曾經有備份引導區資料，但是磁碟中的資料已全毀，可不可以開機已經沒有意義了。

檢測預防：
系統中感染了CIH病毒時，由於病毒時刻在監視系統中的文件使用情況，造成系統效率降低，而且有些自解壓文件在病毒感染後被破壞，清除病毒後也不能使用，尤其是病毒發作時造成的破壞，後果更為嚴重。目前，防止CIH病毒的傳染和破壞主要有兩種方法：一是實時監測，不讓病毒進入系統，如KILL98就採用了這種方法，其優點是比較安全，但影響系統的速度，有可能誤報，而且對使用染有病毒的文件不方便。二是定期對系統進行病毒檢查，清除文件中的病毒，這種方法比較簡單，系統效率影響不大，但安全性不高。
實際上，CIH病毒第一次進入機器內存時，系統中感染病毒的文件是很少的，只是由於未能及時發現，才使病毒得以傳播和蔓延。許多殺毒軟體在檢查文件中的病毒特徵時，由於病毒代碼先於殺毒軟體獲得文件的操作權，從而將病毒代碼寫進文件中，這就造成了系統中幾乎所有的32位可執行文件都感染了CIH病毒的現象。
文件中的CIH病毒的檢測比較簡單，只要從32位可執行文件的PE文件頭的偏移28H處獲得程序的入口地址，對入口程序段進行掃描即可。
根據CIH病毒在感染文件前對病毒特徵的判別，我們可以人為地在PE格式的EXE文件頭的前一個位元組的位置處寫上55H或一個非零值，以騙過病毒對文件是否染毒的判別。而大多數殺毒軟體在殺毒後，保留了文件頭中的病毒特徵，相當於對這些文件進行了免疫。
由於病毒主要來源於網際網路和光碟，光碟文件上的病毒無法清除，始終是系統的隱患，而使用第一種方法則有可能使用戶從網上下載文件失敗，造成不必要的損失。根據對病毒代碼的分析，我們介紹一種方法，它既不影響系統效率，也能使用戶放心地使用網上下載的文件和光碟上的文件。
本文提供的方法主要有下列兩個步驟：
1、檢測內存中的病毒。如果在內存中發現病毒，則清除之，釋放其佔用的內存，並提示用戶對文件進行檢測。
2、對CIH病毒進行免疫。設置兩重防線，使CIH病毒代碼不能再進入內存，從根本上杜絕CIH病毒的傳播和破壞。
具體過程是：
通過調用VXD函數IFSMgr_InstallFileSystemApiHook，獲得系統當前的文件系統鉤子函數的地址和函數IFSMgr_InstallFileSystemApiHook的入口地址，根據獲得的地址，掃描相應的內存區，判斷內存中是否有CIH病毒。
如果發現內存中有CIH病毒，調用VXD函數IFSMgr_RemoveFileSystemApiHook 先撤消其設置的文件系統鉤子函數，然後利用函數_PageFree將其佔用的內存釋放。
由於病毒代碼在調試寄存器dr0中保存了一個指向系統中原有的文件系統掛鉤函數的地址的指針，病毒代碼通過該指針轉到系統原來的文件鉤子函數中，病毒在駐留內存之前，先要檢查該寄存器的值是否為零，以判斷病毒代碼是否已在內存中。因此，我們可以將該寄存器的值設置為非零值，讓病毒以為內存中已有病毒代碼存在，從而不駐留內存，這是第一道防線。
考慮到寄存器dr0的值可能被其它程序修改，讓病毒代碼獲得進入內存的機會，我們再設置第二道防線。在內存高端申請一頁內存空間，駐留一段代碼在這一內存空間中，修改系統中IFSMgr_InstallFileSystemA piHook函數的入口地址，使其指向我們自己設置的代碼，該代碼負責監視文件系統鉤子函數的安裝過程，如果是病毒代碼要進入內存，則拒絕讓其進入，並釋放其申請的內存。
有了這兩道防線，就能較好地防止CIH病毒進入內存，即便是運行染有病毒的程序，也不會對系統造成不利的影響。

解決方法：
首先用戶應該確定自己計算機主板的BIOS是哪種類型的，如果是不可升級型的，用戶只需對改回去的CMOS的參數進行重新設置即可。如果用戶的計算機BIOS是可升級型的。如果出現 CIH病毒發作的症狀，不要重新啟動計算機從C盤引導系統，而應該及時進入CMOS設置程序，將系統引導盤設置為a盤然後A 盤引導系統，之後用殺毒軟體對系統軟體造成破壞後該怎樣辦呢？首先使用殺毒軟體對硬碟進行徹底殺毒，之後再對系統軟體和應用軟體進行重新安裝。可以在被 CIH病毒破壞的基礎上直接安裝，這種方法較簡單，但會造成硬碟空間的浪費，因為這將帶來一些垃圾文件；另一種方法是將用戶的重要數據進行備份，之後對硬碟進行格式化，重新安裝系統程序和應用程序，這樣能節省硬碟空間。

I. 什麼是cih病毒

固化在ROM或EPROM中的數據，只有施加以特殊的電壓或使用紫外線才有可能被清除，這就是為什麼我們打開有些計算機機箱時，可能會看到有塊晶元上貼著一小塊銀色或黑色紙塊的原因——防止紫外線清除BIOS數據。要清除存儲在這類只讀存儲器中的數據，僅靠計算系統內部的電壓是不夠的。所以，僅使用這種只讀存儲器存儲BIOS數據的用戶，就沒有必要擔心CIH病毒會破壞BIOS。
但最新出產的計算機，特別是Pentium以上的計算機基本上都使用了E2PROM存儲部分BIOS。E2PROM又名「電可改寫只讀存儲器」。一般情況下，這種存儲器中的數據並不會被用戶輕易改寫，但只要施加特殊的邏輯和電壓，就有可能將E2PROM中的數據改寫掉。使用PC機的CPU邏輯和計算機內部電壓就可輕易實現對E2PROM的改寫，這正是我們通過軟體升級BIOS的原理，也是CIH破壞BIOS的基本方法。
改寫E2PROM內的數據需要一定的邏輯條件，不同PC機系統對這種條件的要求可能並不相同，所以CIH並不會破壞所有使用E2PROM存儲BIOS的主板，目前報道的只有技嘉和微星等幾種5V主板，這並不是說這些主板的質量不好，只不過其E2PROM邏輯正好與CIH吻合，或者CIH的編制者也許就是要有目的地破壞某些品牌的主板。
所以，要判斷CIH對您的主板究竟有沒有危害，首先應該判別您的BIOS是僅僅燒在ROM/EPROM之中，還是有一部分使用了E2PROM。
需要注意的是，雖然CIH並不會破壞所有BIOS，但CIH在「黑色」的26日摧毀硬碟上所有數據遠比破壞BIOS要嚴重得多——這是每個感染CIH病毒的用戶不可避免的。
CIH病毒屬於文件型病毒，其別名有Win95.CIH、Spacefiller、Win32.CIH、PE_CIH，它主要感染Windows95/98下的可執行文件（PE格式，Portable
Executable
Format），目前的版本不感染DOS以及WIN
3.X（NE格式，Windows
and
OS/2
Windows
3.1
execution
File
Format）下的可執行文件，並且在Win
NT中無效。

J. 什麼是CIH病毒.

cih股票代碼

與cih股票代碼相關的內容