Q：CIH是谁写的？

　　A：我不晓得，不过网上早有风言风语了，以下照抄：

　　CIH病毒是台湾大同工学院一位名叫陈盈豪的学生搞的一个恶作剧，但无意中，通过互联网流出，并通过互联网的传播， 终造成大规模的病毒流行。当时， 这个病毒传播时所使用的载体为一个名叫"ICQ中文Chat模块" 的工具，此工具软件作者本人所维护的站台并没有CIH病毒， 但由于互联网上各站台互相转载，在转载的过程中，感染上了 CIH病毒。当时这个工具下载并使用的人非常多，结果一传十，十传百......。

　　当“ICQ中文Chat补丁”工具的作者知道此事后，联络了台湾非常著名的一个免费杀毒软件作者，这个杀毒软件就是Super Scanner。Super Scanner首先推出了CIH病毒的查毒工具，当时并没有杀毒模块。此时，CIH病毒作者与Super Scanner联系上，并提供了CIH免疫工具。

　　CIH病毒作者在台湾各大Newsgroup与BBS上发布道歉信，公开道歉，道歉原文如下：

　　------------------------------------------------- -----------------------------------------

　　这是一封公开道歉的信，这次的病毒事件，CIH V1.2，CIH V1.3，以及CIH V1.4，造成大家的伤害以及不便，为此深表歉意！事件是发生于五月底，病毒是从宿舍内部迅速扩大到各大网站，因为网站的频繁使用，同时病毒的传染力甚强，于是造成如此大的灾难，学校已经依学规对我个人适当的处 分，并且郑重警告，以后若有类似的事情发生，校方绝对会追究到底!?

　　为了弥补个人的过失，这段时间，对外面中毒的热门软件，我也用archie搜寻，花时间一一检查是否有病毒，有中毒的话，也附上此档案中CIH病毒类似的字样，或是直接E-Mail给该站管理员，避免再次造成伤害。而在这段期间，感谢SSCAN作者的帮忙，用最快的速度写出完整的解毒程序。同时我也及时写?出对CIH病毒的免疫程序。同时藉此声，最近在网站上的流传CIH Version1.0 for word97巨集病毒，绝非个人行为，请各位详查。网站毕竟是公开的，全世界的病毒到处流窜，新的病毒还是永远会继续产生，下载软件还是小心点，对大家造成的伤害和不便，本人再一次深感抱歉，特写这封道歉信，以示负责!

　　Super Scanner作者从CIH病毒作者提供的资料进行分析，并在1998年6月6日推出第一个能完整杀除CIH全系列的版本，Super Scanner 2.20S版，文件名SS980606。EXE。

　　Super Scanner最新版已经为2.50b(9月16日出品)，可通过http://sscan .yeah.net转到Super Scanner的主站去看看。

　　------------------------------------------------- -----------------------------------------

　　Q：CIH是使用什么方法进行感染的？

　　A：就技巧而言，其原理主要是使用Windows的VxD(虚拟设备驱动程序)编程方法，使用这一方法的目的是获取高的CPU权限，CIH病毒使用的方法是首先使用SIDT取得IDT base address(中断描述符表基地址)，然后把IDT的INT 3 的入口地址改为指向CIH自己的INT3程序入口部分，再利用自己产生一个 INT 3指令运行至此CIH自身的INT 3入口程序出，这样CIH病毒就可以获得最高级别的权限(即权限0)，接着病毒将检查DR0寄存器的值是否为0，用以判断先前是否有CIH病毒已经驻留。

　　如DR0的值不为0，则表示CIH病毒程式已驻留，则此CIH副本将恢复原先的INT 3入口，然后正常退出(这一特点也可以被我们利用来欺骗CIH程序，以防止它驻留在内存中，但是应当防止其可能的后继派生版本)。如果判断DR0值为0，则CIH病毒将尝试进行驻留，其首先将当前EBX寄存器的值赋给DR0寄存器，以生成驻留标记，然后调用INT 20中断，使用VxD call Page Allocate系统调用，要求分配Windows系统内存(system memory)，Window s系统内存地址范围为C0000000h～FFFFFFFFh，它是用来存放所有的虚拟驱动程序的内存区域，如果程序想长期驻留在内存中，则必须申请到此区段内的内存，即申请到影射地址空间在C0000000h以上的 内存。

　　如果内存申请成功，则接着将从被感染文件中将原先分成多段的病毒代码收集起来，并进行组合后放到申请到的内存空间中，完成组合、放置过程后，CIH病毒将再次调用INT 3中断进入CIH病毒体的INT 3入口程序，接着调用INT20来完成调用一个IFSMgr_InstallFileSystemApiHook的子程序，用来在文件系统处理函数中挂接钩子，以截取文件调用的操作，接着修改IFSMgr_InstallFileSystemApiH ook的入口，这样就完成了挂接钩子的工作，同时Windows默认的IFSMgr_Ring0_FileIO(In stallableFileSystemManager，IFSMgr)。

　　[iduba_page]

　　服务程序的入口地址将被保留，以便于CIH 病毒调用，这样，一旦出现要求开启文件的调用，则CIH将在第一时间截获此文件，并判断此文件是否为PE格式的可执行文件，如果是，则感染，如果不是，则放过去，将调用转接给正常的Windows IFSMgr_IO服务程序。CIH 不会重复多次地感染PE格式文件，同时可执行文件的只读属性是否有效，不影响感染过程，感染文件后，文件的日期与时间信息将保持不变。

　　对于绝大多数的PE程序，其被感染后，程序的长度也将保持不变，CIH将会把自身分成多段，插入到程序的空域中。完成驻