cih病毒属于什么类型（什么是CIH病毒）

今天凡太百科给各位分享cih病毒的知识，其中也会对cih病毒属于什么类型进行解释，如果能碰巧解决你现在面临的问题，别忘了关注本站，现在开始吧！

什么是CIH病毒

CIH病毒属于文件型病毒，CIH病毒发作时硬盘数据、硬盘主引导记录、系统引导扇区、文件分配表被覆盖，造成硬盘数据特别是C盘数据丢失，并破坏部分类型的主板上的Flash

BIOS导致计算机无法使用，是一种既破坏软件又破坏硬件的恶性病毒。

电子计算机中了CIH病毒，应该如果解决，CIH病毒有什么弱点？

该病毒感染Windows 95和Windows 98的EXE文件。一旦被感染的文件执行，病毒常驻内存，并在目标文件中寻找未被利用的空间，并把自身添加到其中，被感染文件的长度增长几乎是不可见的。

病毒具有严重的破坏性，一旦感染发生，病毒覆盖计算机硬盘上的大部分数据。病毒也挂起IFS（可安装文件系统），这是它能够感染任意的可执行文件（如.EXE），它一对破坏性的有效载荷用以在某月的26日。在触发日期，病毒尝试用随机的数据重写系统硬盘，进行数据恢复是十分困难的。它也是同通过破坏Flash BIOS的数据存储对系统进行永久性的破坏。

但该病毒在Windows NT下不工作。

CIH病毒到底是什么病毒

CIH病毒

是迄今为止发现的最阴险的病毒之一。 它发作时不仅破坏硬盘的引导区和分区表，而且破坏计算机系统flashBIOS芯片中的系统程序，导致主板损坏。CIH病毒是发现的首例直接破坏计算机系统硬件的病毒。

该病毒每月25日发作，发作时破坏计算机硬盘存储器中的数据和计算机中的BIOS程序，造成开机一片黑暗。

一、CIH到底是什么病毒

CIH病毒属于文件型病毒，其别名有Win95.CIH、Spacefiller、Win32.CIH、PE_CIH，它主要感染 Windows95/98下的可执行文件（PE格式，Portable Executable Format），目前的版本不感染DOS以及WIN 3.X（NE格式，Windows and OS/2 Windows 3.1 execution File Format）下的可执行文件，并且在Win NT中无效。其发展过程经历了v1.0，v1.1、v1.2、v1.3、v1.4总共5个版本，目前最流行的是v1.2版本，在此期间，据某些报导，同时产生了不下十个的变种，不过好象没有流行起来的迹象，本人并未实际接触到这些所谓的CIH变种病毒。在v1.0、v1.1、v1.2、v1.3、v1.4五个版本，只有v1.2、v1.3、v1.4这三个版本的CIH病毒有实际的破坏性。其中v1.2版本只在每年的4月26日发作，又称为切尔诺贝利病毒（前苏联核事故纪念日）；v1.3的发作日期是每年的6月26日；v1.4版本的发作日期是每月的 26。CIH病毒只在Windows 95/98环境下感染发作，当运行了带毒的程序后，CIH病毒驻留内存，再运行其它.exe文件时，首先在文件中搜索“caves”字符，如果没有发现就立即传染。CIH病毒发作时硬盘数据、硬盘主引导记录、系统引导扇区、文件分配表被覆盖，造成硬盘数据特别是C盘数据丢失，并破坏部分类型的主板上的 Flash BIOS导致计算机无法使用，是一种既破坏软件又破坏硬件的恶性病毒。

cih病毒的类型为

CIH病毒属文件型病毒，杀伤力极强，其别名有Win95.CIH、Spacefiller、Win32.CIH、PE_CIH，它主要感染Windows95/98下的可执行文件(PE格式，Portable Executable Format)，目前的版本不感染DOS以及WIN 3.X(NE格式，Windows and OS/2 Windows 3.1 execution File Format)下的可执行文件，并且在Win NT中无效.

cih病毒是一种能够破坏计算机系统硬件的恶性病毒。据目前掌握的材料来看，这个病毒产自台湾，最早随国际两大盗版集团贩卖的盗版光盘在欧美等地广泛传播，随后进一步通过internet传播到全世界各个角落。

电脑中了CIH病毒怎么办

1. 电脑中了CIH病毒了,怎么办

首先用户应该确定自己计算机主板的BIOS是那种类型的，如果是不可升级型的，用户只需对改回去的CMOS的参数进行重新设置即可。如果用户的计算机BIOS是可升级型的。如果出现 CIH病毒发作的症状，不要重新启动计算机从C盘引导系统，而应该及时进入CMOS设置程序，将系统引导盘设置为a盘然后A 盘引导系统，之后用杀毒软件对系统软件造成破坏后该怎样办呢？首先使用杀毒软件对硬盘进行彻底杀毒，之后再对系统软件和应用软件进行重新安装。可以在被 CIH病毒破坏的基础上直接安装，这种方法较简单，但会造成硬盘空间的浪费，因为这将带来一些垃圾文件；另一种方法是将用户的重要数据进行备分，之后对硬盘进行格式化，重新安装系统程序和应用程序，这样能节省硬盘空间。

电脑中了CIH病毒了，怎么办？

2. 电脑中了CIH病毒该怎么办

首先用户应该确定自己计算机主板的BIOS是那种类型的，如果是不可升级型的，用户只需对改回去的CMOS的参数进行重新设置即可。

如果用户的计算机BIOS是可升级型的。如果出现 CIH病毒发作的症状，不要重新启动计算机从C盘引导系统，而应该及时进入CMOS设置程序，将系统引导盘设置为a盘然后A 盘引导系统，之后用杀毒软件对系统软件造成破坏后该怎样办呢？首先使用杀毒软件对硬盘进行彻底杀毒，之后再对系统软件和应用软件进行重新安装。

可以在被 CIH病毒破坏的基础上直接安装，这种方法较简单，但会造成硬盘空间的浪费，因为这将带来一些垃圾文件；另一种方法是将用户的重要数据进行备分，之后对硬盘进行格式化，重新安装系统程序和应用程序，这样能节省硬盘空间。

3. 电脑中了CIH,怎么办好

CIH 病毒发作时通常表现为：打开电脑就黑屏，甚至有些朋友丢失了硬盘中的数据，硬盘也遭到破坏。

遭遇CIH之后，丢失的数据和损坏的硬盘很难恢复和修理，虽然有一些病毒厂家也提供了修复硬盘的业务，但是相当多DIYer还是囊中羞涩，这个时候，大家可以尝试使用下面的一些方法。 1.VRVFIX（下载地址： ftp:/pub/111/bd/vrvfix.z i p ）被CIH 病毒破坏的硬盘，其分区表已被改写，用A 盘启动也无法找到硬盘。

所以，要恢复C 分区的数据，首先要恢复硬盘分区表，VRVFIX 这款免费软件或许能助您一臂之力。使用方法如下：准备一张没有病毒的启动盘，确保还有足够剩余空间，打开写保护，把下载的文件解压缩，把VRVFIX.EXE 拷入该引导盘。

然后用这张引导盘引导感染了C I H 的电脑，并运行VRVFIX.EXE，按回车键开始计算分区信息并自动恢复。当出现提示时，按回车键，直到出现“MakePartition Table ok”。

2.Tiramisu（下载地址： /revive31.zip）试试。

使用也非常简单，解压缩安装完毕，双击Revival.exe 运行，老鹰头过后出现注册画面， 点击“ 取消”， 出现如图画面。点击“File/Open Drive”，选择要恢复的盘，按“S E L E C T ”之后开始扫描，分析磁盘目录结构，最后窗口中出现磁盘上所有的文件夹目录。

其中，被删除的文件夹用99310 之类的数字表示。如要恢复某一文件夹中的某一文件，首先双击该文件夹，进入该文件夹之后选定要恢复的文件，然后选择File/Save，出现Save 窗口，如果要将恢复的文件放在软盘上，则需在该窗口的Drive 中选A。

建议先用Tiramisu 恢复，然后再用Revival 重新扫荡硬盘。 3.KV300设法找到与你的硬盘完全相同的另一个硬盘， 然后使用KV300 的“KV300/B”命令，将这个硬盘的主引导扇区备份出来。

用DOS 启动盘引导系统，再用KV300 的“KV300/K”命令，将前面备份的主引导扇区恢复至你的硬盘。恢复后可以试着向硬盘传系统。

如果传送成功，且硬盘能够引导，说明故障排除。使用KV300的F10 功能可以重建硬盘分区表，该功能能够自动查找硬盘的扩展分区表，并把它链回到主引导扇区中，从而恢复D 、E 等分区。

不过，该方法在某些时候可能无效，恢复出来的分区并不一定正确。 4.瑞星的硬盘修复程序此程序包含两个文件：ANTICIH.EXE（下载地址： /register/upgrade/Anticih.exe）和RAV.REC（下载地址： /register/upgrade/Rav.rec），专门用于对CIH 破坏的硬盘进行修复。

使用方法：将两个文件拷到软盘的同一路径下，然后用无毒的软盘启动机器，运行ANTICIH.EXE，该程序将对硬盘进行扫描。扫描完成后，程序将给出提示，包括硬盘的大小（SIZE，单位为MB）、柱面数（CYLS）、磁头数（HEAD）、每道扇区数（SECTOR）、找到的分区（Partition）和C 盘的格式（FAT16 或FAT32）等。

这时会要求你确认是否修复主引导记录， 修复按“Y ”， 否则按“N ”。如果您按了“ Y ”， 程序将为您修复主引导记录。

接着程序进一步提示：“Recover drive C:(Y/N ) ？ ”，如果要修复C 盘，按“Y ”即可。在修复过程中，如果您的C 盘是FAT16，而且破坏非常严重，则修复过程可能很长，可要耐心等待哟。

修复完成后，重启系统即可。本程序只能修复第一硬盘，如果有多块硬盘，需要将其他硬盘摘下，一块一块地修。

5.金山毒霸的硬盘修复工具金山毒霸的硬盘修复程序KAVFIX是用来修复被CIH 病毒破坏的硬盘的专用工具，支持FAT16 和FAT32 格式的硬盘分区。修复步骤：（1 ）在正常电脑上制作一张D O S 系统启动盘， 将KAVFIX.EXE 复制到该软盘上，然后用该系统盘启动被病毒破坏的计算机。

（2）运行KAVFIX，会出现一步步的。

4. 我的电脑中了CIH病毒怎么办

找专杀

找到注册表 删除

安全模式杀毒 清理 优化 试试

我还建议你下一个NOD32杀软 这个 世界排名第五免费升级 去 下载就好

然后在开启360安全卫士和防火墙（ *** 们不要复制我的答案！鹏鹏留）

最后再定时清理系统垃圾 用超级兔子就好

CPU很小 基本不影响速度（鹏鹏经过试验，专供 *** 抄袭！）

如有雷同 请楼主去我的回答中 自己看

希望对你有帮助

祝你开心 幸福

5. 电脑被CIH病毒破坏,无法开机

“CIH”这个魔鬼已经被我们认识，现在，几乎所有的杀毒软件都可以清杀它。

但是，万一它已经发作，破坏了主板上的BIOS芯片，怎么办呢？我有过的一次经历，成功的修复了被CIH病毒破坏的主板，供大家参考： KV300交给朋友帮忙去升级，近期又经常上网，10月25日（星期天）晚上去学校前，对老爸千叮咛万嘱咐：“明天千万别开机！”谁知一星期后回家（10月30日），习惯性地打开电脑，内存检测到4万左右（我的内存是65536KB）时停了下来…… “坏了！”我心里一颤，“准是老爸不听话，CIH发了。”正想拆下主板直奔中关村，忽然想起平时听说的CIH的工作原理，知道毛病出自BIOS芯片，顶多换一个就成。

而且BIOS芯片在启动后就不再起作用，于是想出了一种“狸猫换太子”的办法。 说干就干，抓起电话，找到一个好朋友，他的机器是我装的，配置与我的基本一样，在我的指导下，不久他就揣着那片宝贵的BIOS芯片跳到我家。

换下BIOS芯片，开机，启动正常，看到Windows/" target="_blank"Windows 98友好的界面后，塞入KV300（已经拿回来了 ）大杀特杀一遍，不愧是W++版，能够清除CIH，在几乎所有的.EXE文件中都抓出了CIH，“该死的制毒者！”我心里使劲骂。 按计划实施，主板所附的光盘上有一个BIOS升级程序的样例，做到珍藏多年的Dos6.22启动盘上，原来设想只要复写一下BIOS就应该好了。

次发作时间 关机，重新启动。麻烦了，一时疏忽，设想到因BIOS被破坏，使主板的系统日期停在了10月 26日，CIH又发作了一次，两个BIOS，需近300元啊！ “拼了！”打电话找到另一个朋友，拿来第三个BIOS芯片，插在主板上，狂按“DEL”进入BIOS设定，将日期改为10月27日——离下 最长，先用KV300启动，杀毒，系统很干净，然后再用做好的BIOS升级程序盘启动，摘下主板上的BIOS芯片，换上一个坏的，按主板说明进行升级程序，按提示进行……完成，再换上另一个坏的，重新运行升级程序……完成。

后续工作就好办了，依次利用三个BIOS芯片启动，按DEL进入初始化，调整好各项设置，记着小心日期，保存，Windows/" target="_blank"Windows 98启动成功，一切运行基本正常。一个星期过去了，三台机器（主要是BIOS芯片被破坏的两个）都运行正常，没有出现任何问题。

回想起来，整个过程中，第一次换下BIOS芯片时，没有更改日期是一大失误，致使第二片 BIOS芯片被破坏；根据CIH的特点，当时不应该启动Windows/" target="_blank"Windows 98，应启动DOS（因为CIH只攻击 Windows 95/98的系统，在DOS系统下不会发生作用），杀毒后再启动Windows/" target="_blank"Windows 98，取BIOS芯片的驱动程序，第二片BIOS芯片就不至于被破坏；改写BIOS程序时采用的是DOS系统，CIH不会发作，插上第三片BIOS时，是否更改日期已经没有影响。 另外，早期制作的DOS 6.22启动盘这次立下大功，据我所知，大多数主板的BIOS升级程序都要求在DOS系统下运行，如果有条件，建议大家做好准备。

从这次经历可以看出CIH对BIOS芯片的破坏仅限于将其中数据改写，并不是烧毁BIOS芯片，一些报道中有些言过其实之处，如果有条件更换BIOS芯片，大可不必“谈CIH色变”。

CIH是什么病毒？

CIH病毒属文件型病毒，其别名有Win95.CIH、Spacefiller、Win32.CIH、PE_CIH，它主要感染Windows95/98下的可执行文件(PE格式，Portable Executable Format)，目前的版本不感染DOS以及WIN 3.X(NE格式，Windows and OS/2 Windows 3.1 execution File Format)下的可执行文件，并且在Win NT中无效。其发展过程经历了v1.0，v1.1、v1.2、v1.3、v1.4总共5个版本，目前最流行的是v1.2版本，在此期间，据某些报导，同时产生了不下十个的变种，不过好象没有流行起来的迹象，本人并未实际接触到这些所谓的CIH变种病毒。

CIH病毒的各种不同版本的随时间的发展不断完善，其基本发展历程为：

CIH病毒v1.0版本：

最初的 V1.0版本仅仅只有 656字节，其雏形显得比较简单，与普通类型的病毒在结构上并无多大的改善，其最大的“卖点”是在于其是当时为数不多的、可感染Microsoft Windows PE类可执行文件的病毒之一，被其感染的程序文件长度增加，此版本的CIH不具有破坏性。

CIH病毒v1.1版本：

当其发展到v1.1版本时，病毒长度为796字节，此版本的CIH病毒具有可判断Win NT软件的功能，一旦判断用户运行的是Win NT，则不发生作用，进行自我隐藏，以避免产生错误提示信息，同时使用了更加优化的代码，以缩减其长度。此版本的CIH另外一个优秀点在于其可以利用WIN PE类可执行文件中的“空隙”，将自身根据需要分裂成几个部分后，分别插入到PE类可执行文件中，这样做的优点是在感染大部分WINPE类文件时，不会导致文件长度增加。

CIH病毒v1.2版本：

当其发展到v1.2版本时，除了改正了一些v1.1版本的缺陷之外，同时增加了破坏用户硬盘以及用户主机BIOS程序的代码，这一改进，使其步入恶性病毒的行列，此版本的CIH病毒体长度为1003字节。

CIH病毒v1.3版本：

原先v1.2版本的CIH病毒最大的缺陷在于当其感染ZIP自解压包文件(ZIP self-extractors file)时，将导致此ZIP压缩包在自解压时出现如下的错误警告信息：

WinZip Self-Extractor header corrupt.

Possible cause: disk or file transfer error.

v1.3版本的CIH病毒显得比较仓促，其改进点便是针对以上缺陷的，它的改进方法是：一旦判断开启的文件是WinZip类的自解压程序，则不进行感染。同时，此版本的CIH病毒修改了发作时间。v1.3版本的CIH病毒长度为1010字节。

CIH病毒v1.4版本：

此版本的CIH病毒改进上上几个版本中的缺陷，不感染ZIP自解压包文件，同时修改了发作日期及病毒中的版权信息(版本信息被更改为：“CIH v1.4 TATUNG”，在以前版本中的相关信息为“CIH v1.x TTIT”)，此版本的长度为1019字节。

从上面的说明中，我们可以看出，实际上，在CIH的相关版本中，只有v1.2、v1.3、v1.4这3个版本的病毒具有实际的破坏性，其中v1.2版本的CIH病毒发作日期为每年的4月26日，这也就是当前最流行的病毒版本，v1.3版本的发作日期为每年的6月26日，而CIH v1.4版本的发作日期则被修改为每月的26日，这一改变大大缩短了发作期限，增加了其的破坏性。

CIH病毒发作时所产生的破坏性：

CIH属恶性病毒，当其发作条件成熟时，其将破坏硬盘数据，同时有可能破坏BIOS程序，其发作特征是：

1、以2048个扇区为单位，从硬盘主引导区开始依次往硬盘中写入垃圾数据，直到硬盘数据被全部破坏为止。 最坏的情况下硬盘所有数据(含全部逻辑盘数据)均被破坏，如果重要信息没有备份，那就只有哭了！

2、某些主板上的Flash Rom中的BIOS信息将被清除。

感染CIH病毒的特征：

由于流行的CIH病毒版本中，其标识版本号的信息使用的是明文，所以可以通过搜索可执行文件中的字符串来识别是否感染了CIH病毒，搜索的特征串为“CIH v”或者是“CIH v1.”如果你想搜索更完全的特征字符串，可尝试“CIH v1.2 TTIT”、“CIH v1.3 TTIT”以及“CIH v1.4 TATUNG”，不要直接搜索“CIH”特征串， 因为此特征串在很多的正常程序中也存在，例如程序中存在如下代码行：

inc bx

dec cx

dec ax

则它们的特征码正好是“CIH(0x43;0x49;0x48)”，容易产生误判。

具体的搜索方法为：首先开启“资源管理器”，选择其中的菜单功能“工具查找文件或文件夹”，在弹出的“查找文件”设置窗口的“名称和位置”输入中输入查找路径及文件名(如：*.EXE)，然后在“高级包含文字”栏中输入要查找的特征字符串--“CIH v”，最后点劝查找键”即可开始查找工作。如果在查找过程中， 显示出一大堆符合查找特征的可执行文件，则表明您老的计算机上已经感染了CIH病毒。

实际上，在以上的方法中存在着一个致命的缺点，那就是：如果用户刚刚感染CIH病毒，那么这样一个大面积的搜索过程实际上也是在扩大病毒的感染面。一般情况下，推荐的方法是先运行一下“写字板”软件，然后使用上面的方法在“写字板”软件的可执行程序Notepade.exe中搜索特征串，以判断是否感染了CIH病毒。

另外一个判断方法是在Windows PE文件中搜索IMAGE_NT_SIGNATURE字段，也就是0x00004550，其代表的识别字符为“PE00”，然后查看其前一个字节是否为0x00，如果是，则表示程序未受感染，如果为其他数值，则表示很可能已经感染了CIH病毒。

最后一个判断方法是先搜索IMAGE_NT_SIGNATURE字段--“PE00”，接着搜索其偏移0x28位置处的值是否为55 8D 44 24 F8 33 DB 64，如果是，则表示此程序已被感染。

还听说凡是感染了CIH病毒的机器，如果玩NEED FOR SPEED II游戏时，会在读取游戏光盘时出现死机现象， 本人没有尝试过，不知道实际上是不是有这一情况存在。

适合高级用户使用的一个方法是直接搜索特征代码，并将其修改掉，方法是：先处理掉两个转跳点，即搜索：5E CC 56 8B F0 特征串以及5E CC FB 33 DB特征串，将这两个特征串中的CC改90(nop)，接着搜索 CD 20 53 00 01 00 83 C4 20 与 CD 20 67 00 40 00特征字串，将其全部修改为90，即可（以上数值全部为16进制）。

另外一种方法是将原先的PE程序的正确入口点找回来，填入当前入口点即可（此处以一个被感染的CALC.EXE程序为例），具体方法为：先搜IMAGE_NT_SIGNATURE字段--“PE00”，接着将距此点偏移0x28处的4个字节值，例如“A0 02 00 00”(0x000002A0)，再由此偏移所指的位置（即0x02A0）找到数据“55 8D 44 24 F8 33 DB 64”， 并由0X02A0加上0X005E得到0x02FE偏移，此偏移处的数据例如为“CB 21 40 00”（OXOO4021CB），将此值减去OX40000，将得数--“CB 21 00 00”（OXOO0021CB）值放回到距“PE00”点偏移0x28的位置即可（此处为Windows PE格式程序的入口点，术语称为Program Entry Point）。最后将“55 8D 44 24 F8 33 DB 64”全部填成“00”，使得我们容易判断病毒是否已经被杀除过。

按照上面手工杀毒的方法一般适合于某些单独的软件（例如某些软件包含在软盘中，却被感染了CIH不读，可现在就要用，呵呵！）。使用上述方法的缺点在于病毒体还将保留在可执行文件中，虽然不会起作用， 但是想起来可能会有点不舒服（记得“WPS2000测试版残留CIH病毒尸体”的事件么？）。所以，想彻底杀灭，推荐使用某些反病毒软件进行或是CIH专用杀毒工具（以上操作以及使用反病毒软件进行杀毒，必须使用干净的系统盘启动计算机）。