CIH病毒

病毒破壞

當然，CIH對BIOS的破壞，也並非想像中的那么可怕。 現在PC機基本上使用兩種唯讀存儲器存放BIOS數據，一種是使用傳統的ROM或EPROM，另一種就是E2PROM。廠家事先將BIOS以特殊手段“燒”入（又稱“固化”）到這些存儲器中，然後將它們安裝在PC機里。當我們打開計算機電源時，BIOS中程式和數據首先被執行、載入，使得我們的系統能夠正確識別機器里安裝的各種硬體並調用相應的驅動程式，然後硬碟再開始引導作業系統。 固化在ROM或EPROM中的數據，只有施加以特殊的電壓或使用紫外線才有可能被清除，這就是為什麼我們打開有些計算機機箱時，可能會看到有塊晶片上貼著一小塊銀色或黑色紙塊的原因——防止紫外線清除BIOS數據。要清除存儲在這類唯讀存儲器中的數據，僅靠計算系統內部的電壓是不夠的。所以，僅使用這種唯讀存儲器存儲BIOS數據的用戶，就沒有必要擔心CIH病毒會破壞BIOS。 但最新出產的計算機，特別是Pentium以上的計算機基本上都使用了E2PROM存儲部分BIOS。E2PROM又名“電可改寫唯讀存儲器”。一般情況下，這種存儲器中的數據並不會被用戶輕易改寫，但只要施加特殊的邏輯和電壓，就有可能將E2PROM中的數據改寫掉。使用PC機的CPU邏輯和計算機內部電壓就可輕易實現對E2PROM的改寫，這正是我們通過軟體升級BIOS的原理，也是CIH破壞BIOS的基本方法。 改寫E2PROM內的數據需要一定的邏輯條件，不同PC機系統對這種條件的要求可能並不相同，所以CIH並不會破壞所有使用E2PROM存儲BIOS的主機板，目前報導的只有技嘉和微星等幾種5V主機板，這並不是說這些主機板的質量不好，只不過其E2PROM邏輯正好與CIH吻合，或者CIH的編制者也許就是要有目的地破壞某些品牌的主機板。 所以，要判斷CIH對您的主機板究竟有沒有危害，首先應該判別您的BIOS是僅僅燒在ROM/EPROM之中，還是有一部分使用了E2PROM。 需要注意的是，雖然CIH並不會破壞所有BIOS，但CIH在“黑色”的26日摧毀硬碟上所有數據遠比破壞BIOS要嚴重得多——這是每個感染CIH病毒的用戶不可避免的。

病毒版本

CIH病毒

CIH病毒屬檔案型病毒，殺傷力極強，其別名有Win95.CIH、Spacefiller、Win32.CIH、PE_CIH，它主

要感染Windows95/98下的執行檔(PE格式，Portable Executable Format)，目前的版本不感染DOS以及WIN 3.X(NE格式，Windows and OS/2 Windows 3.1 execution File Format)下的執行檔，並且在Win NT中無效。其發展過程經歷了v1.0，v1.1、v1.2、v1.3、v1.4總共5個版本，目前最流行的是v1.2版本，在此期間，據某些報導，同時產生了不下十個的變種，不過好像沒有流行起來的跡象，本人並未實際接觸到這些所謂的CIH變種病毒。

CIH病毒的各種不同版本的隨時間的發展不斷完善，其基本發展歷程為：

v1.0版本

最初的V1.0版本僅僅只有656位元組，其雛形顯得比較簡單，與普通類型的病毒在結構上並無多大的改善，其最大的“賣點”是在於其是當時為數不多的、可感染Microsoft Windows PE類執行檔的病毒之一， 被其感染的程式檔案長度增加，此版本的CIH不具有破壞性。

CIH病毒v1.1版本

當其發展到v1.1版本時，病毒長度為796位元組，此版本的CIH病毒具有可判斷WinNT軟體的功能，一旦判斷用戶運行的是WinNT，則不發生作用，進行自我隱藏，以避免產生錯誤提示信息，同時使用了更加最佳化的代碼，以縮減其長度。此版本的CIH另外一個優秀點在於其可以利用WIN PE類執行檔中的“空隙”，將自身根據需要分裂成幾個部分後，分別插入到PE類執行檔中，這樣做的優點是在感染大部分WINPE類檔案時， 不會導致檔案長度增加。

v1.2版本

當其發展到v1.2版本時，除了改正了一些v1.1版本的缺陷之外，同時增加了破壞用戶硬碟以及用戶主機 BIOS程式的代碼，這一改進，使其步入惡性病毒的行列，此版本的CIH病毒體長度為1003位元組。

v1.3版本

原先v1.2版本的CIH病毒最大的缺陷在於當其感染ZIP自解壓包檔案(ZIP self-extractors file)時，將導致此ZIP

壓縮檔在自解壓時出現：

WinZip Self-Extractor header corrupt.

Possible cause: disk or file transfer error.

的錯誤警告信息。v1.3版本的CIH病毒顯得比較倉促，其改進點便是針對以上缺陷的，它的改進方法是：一旦判斷開啟的檔案是WinZip類的自解壓程式，則不進行感染。同時，此版本的CIH病毒修改了發作時間。v1.3 版本的CIH病毒長度為1010位元組。

v1.4版本

此版本的CIH病毒改進上上幾個版本中的缺陷，不感染ZIP 自解壓包檔案，同時修改了發作日期及病毒中的版權資訊(版本信息被更改為：“CIH v1.4 TATUNG”，在以前版本中的相關信息為“CIH v1.x TTIT”)，此版本的長度為1019位元組。 從上面的說明中，我們可以看出，實際上，在CIH的相關版本中，只有v1.2、v1.3、v1.4這3 個版本的病毒具有實際的破壞性，其中v1.2版本的CIH病毒發作日期為每年的4月26日，這也就是2002年最流行的病毒版本，v1.3 版本的發作日期為每年的6月26日，而CIH v1.4版本的發作日期則被修改為每月的26日，這一改變大大縮短了發作期限，增加了其的破壞性。

發作特徵

CIH病毒

CIH屬惡性病毒，當其發作條件成熟時，其將破壞硬碟數據，同時有可能破壞BIOS程式，其發作特徵

是：

1、以2048個扇區為單位，從硬碟主引導區開始依次往硬碟中寫入垃圾數據，直到硬碟數據被全部破壞為止。最壞的情況下硬碟所有數據(含全部邏輯盤數據)均被破壞，如果重要信息沒有備份，那就只有哭了！

2、某些主機板上的Flash Rom中的BIOS信息將被清除。

3、v1.4版本每月26號發作，v1.3版本每年6月26號發作，以下版本4月26號發作。

感染特徵

由於流行的CIH病毒版本中，其標識版本號的信息使用的是明文，所以可以通過搜尋執行檔中的字元串來識別是否感染了CIH病毒，搜尋的特徵串為“CIH v”或者是“CIH v1.”如果你想搜尋更完全的特徵字元串，可嘗試“CIH v1.2 TTIT”、“CIH v1.3 TTIT”以及“CIH v1.4 TATUNG”，不要直接搜尋“CIH”特徵串， 因為此特徵串在很多的正常程式中也存在，例如程式中存在如下代碼行： inc bx dec cx dec ax 則它們的特徵碼正好是“CIH(0x43;0x49;0x48)”，容易產生誤判。

具體的搜尋方法為：首先開啟“資源管理器”，選擇其中的選單功能“工具>查找>檔案或資料夾”，在彈出的“查找檔案”設定視窗的“名稱和位置”輸入中輸入查找路徑及檔案名稱(如：*.EXE)，然後在“高級>包含文字”欄中輸入要查找的特徵字元串--“CIH v”，最後點勸查找鍵”即可開始查找工作。如果在查找過程中， 顯示出一大堆符合查找特徵的執行檔，則表明您老的計算機上已經感染了CIH病毒。

實際上，在以上的方法中存在著一個致命的缺點，那就是：如果用戶剛剛感染CIH病毒，那么這樣一個大面積的搜尋過程實際上也是在擴大病毒的感染面。

一般情況下，推薦的方法是先運行一下“寫字板”軟體，然後使用上面的方法在“寫字板”軟體的可執行程式Notepad.exe中搜尋特徵串，以判斷是否感染了CIH病毒。 另外一個判斷方法是在Windows PE檔案中搜尋IMAGE_NT_SIGNATURE欄位，也就是0x00004550，其代表的識別字元為“PE00”，然後查看其前一個位元組是否為0x00，如果是，則表示程式未受感染，如果為其他數值，則表示很可能已經感染了CIH病毒。

最後一個判斷方法是先搜尋IMAGE_NT_SIGNATURE欄位--“PE00”，接著搜尋其偏移0x28位置處的值是否為55 8D 44 24 F8 33 DB 64，如果是，則表示此程式已被感染。

還聽說凡是感染了CIH病毒的機器，如果玩NEED FOR SPEED II(極品飛車2)遊戲時，會在讀取遊戲光 盤時出現當機現象， 本人沒有嘗試過，不知道實際上是不是有這一情況存在。

適合高級用戶使用的一個方法是直接搜尋特徵代碼，並將其修改掉，方法是：先處理掉兩個轉跳點，即搜尋：5E CC 56 8B F0 特徵串以及5E CC FB 33 DB特徵串，將這兩個特徵串中的CC改90(nop)，接著搜尋 CD 20 53 00 01 00 83 C4 20 與 CD 20 67 00 40 00特徵字串，將其全部修改為90，即可（以上數值全部為16進制）。

另外一種方法是將原先的PE程式的正確入口點找回來，填入當前入口點即可（此處以一個被感染的CALC.EXE程式為例），具體方法為：先搜IMAGE_NT_SIGNATURE欄位--“PE00”，接著將距此點偏移0x28處的4個位元組值，例如“A0 02 00 00”(0x000002A0)，再由此偏移所指的位置（即0x02A0）找到數據“55 8D 44 24 F8 33 DB 64”， 並由0X02A0加上0X005E得到0x02FE偏移，此偏移處的數據例如為“CB 21 40 00”（OXOO4021CB），將此值減去OX40000，將得數--“CB 21 00 00”（OXOO0021CB）值放回到距“PE00”點偏移0x28的位置即可（此處為Windows PE格式程式的入口點，術語稱為Program Entry Point）。最後將“55 8D 44 24 F8 33 DB 64”全部填成“00”，使得我們容易判斷病毒是否已經被殺除過。 按照上面手工防毒的方法一般適合於某些單獨的軟體（例如某些軟體包含在軟碟中，卻被感染了CIH病毒，可現在就要用，呵呵！）。使用上述方法的缺點在於病毒體還將保留在執行檔中，雖然不會起作用， 但是想起來可能會有點不舒服（記得“WPS2000測試版殘留CIH病毒屍體”的事件么？）。所以，想徹底殺滅，推薦使用某些反病毒軟體進行或是CIH專用防毒工具（以上操作以及使用反病毒軟體進行防毒，必須使用乾淨的系統盤啟動計算機）。

來源

CIH病毒是一位名叫陳盈豪的台灣大學生所編寫的，從台灣傳入大陸地區的。CIH的載體是一個名為“ICQ中文Chat模組”的工具，並以熱門盜版光碟遊戲如“古墓奇兵”或Windows95/98為媒介，經網際網路各網站互相轉載，使其迅速傳播。目前傳播的主要途徑主要通過Internet和電子郵件，當然隨著時間的推移，其傳播主要仍將通過軟碟或光碟途徑。

破壞性

電腦感染CIH病毒

CIH病毒是一種能夠破壞計算機系統硬體的惡性病毒。據目前掌握的材料來看，這個病毒產自台灣，最早隨國際兩大盜版集團販賣的盜版光碟在歐美等地廣泛傳播，隨後進一步通過Internet傳播到全世界各個角落。 目前傳播的途徑主要通過Internet和電子郵件。計算機病毒的傳播已擺脫了傳統存儲介質的束縛，Internet和光碟現已成為加速計算機病毒傳播最有效的催化劑。CIH病毒只感染Windows95/98作業系統，從目前分析來看它對DOS作業系統似乎還沒有什麼影響，這可能是因為它使用了Windows下的VxD（虛擬設備驅動程式）技術造成的。所以，對於僅使用DOS的用戶來說，這種病毒似乎並沒有什麼影響，但如果是Windows95/98用戶就要特別注意了。正是因為CIH獨特地使用了VxD技術，使得這種病毒在Windows環境下傳播，其實時性和隱蔽性都特彆強，使用一般反病毒軟體很難發現這種病毒在系統中的傳播。 CIH病毒每月26日都會爆發（有一種版本是每年4月26日爆發）。CIH病毒發作時，一方面全面破壞計算機系統硬碟上的數據，另一方面對某些計算機主機板的BIOS進行改寫。BIOS被改寫後，系統無法啟動，只有將計算機送回廠家修理，更換BIOS晶片。由於CIH病毒對數據和硬體的破壞作用都是不可逆的，所以一旦CIH病毒爆發，用戶只能眼睜睜地看著價值萬元的計算機和積累多年的重要數據毀於一旦。CIH病毒現已被認定是首例能夠破壞計算機系統硬體的病毒，同時也是最具殺傷力的惡性病毒。 從技術角度來看，CIH病毒實現了與作業系統的完美結合。該病毒使用了Windows95/98最核心的VxD技術編制，被認為是牢固地連線到了作業系統底層，所以CIH病毒既不會向DOS作業系統傳播，也不會向WindowsNT作業系統擴散。CIH病毒的這一技術特點給使用傳統反病毒技術防治計算機病毒的人提出了巨大的挑戰，這是因為傳統反病毒工具基本上都是純DOS或工作在Windows95之下的仿真DOS應用程式，它們無法深入到Windows95/98作業系統的底層去徹底清除CIH病毒；另一方面，由於能夠與作業系統底層緊密結合，CIH病毒的傳播就更為迅速、隱蔽。防治類似CIH這種能夠與作業系統緊密結合的病毒最好的方法是使用本身能夠與各種作業系統緊密結合的反病毒軟體。 CIH 病毒是一種運用最新技術，會 Format 硬碟的最新病毒，通常都利用網路族上網時，進行傳播感染 。目前最新的變種病毒為CIH 會在每月26 日發病，並會展現最強大的破壞力-Format 硬碟. CIH病毒平常並沒有作什麼破壞性的動作，也沒有顯示任何畫面，只是占用部份記憶體而已。但是有些 32-bit的程式被感染之後，運作會不正常，甚至會造成當機。但是，CIH病毒長駐在主記憶體之後，每次 執行時，會檢查電的日期是否為﹝4月26日﹞，如果是，它會透過你的電腦I/O部：CF8，CFD，CFE修改你 的電腦的某些設定，並且把你電腦所有硬碟的資料都毀了，甚至連硬碟數據區及引導區的資料都不在了 ，並且讓電腦當機。當你重新開機，螢幕會出現"DISK BOOT FAILURE, INSERT SYSTEM DISK AND PRESS ENTER"(硬碟引導失敗，請插入系統盤後敲擊回車)。若是用軟碟引導開機再執行C:指令，則出現"Invalid drive specification"(不可用的驅動器編號)。即使曾經有備份引導區資料，但是磁碟中的資料已全毀，可不可以開機已經沒有意義了。

檢測預防

系統中感染了CIH病毒時，由於病毒時刻在監視系統中的檔案使用情況，造成系統效率降低，而且有些自解壓檔案在病毒感染後被破壞，清除病毒後也不能使用，尤其是病毒發作時造成的破壞，後果更為嚴重。目前，防止CIH病毒的傳染和破壞主要有兩種方法：一是實時監測，不讓病毒進入系統，如KILL98就採用了這種方法，其優點是比較安全，但影響系統的速度，有可能誤報，而且對使用染有病毒的檔案不方便。二是定期對系統進行病毒檢查，清除檔案中的病毒，這種方法比較簡單，系統效率影響不大，但安全性不高。

實際上，CIH病毒第一次進入機器記憶體時，系統中感染病毒的檔案是很少的，只是由於未能及時發現，才使病毒得以傳播和蔓延。許多防毒軟體在檢查檔案中的病毒特徵時，由於病毒代碼先於防毒軟體獲得檔案的操作權，從而將病毒代碼寫進檔案中，這就造成了系統中幾乎所有的32位執行檔都感染了CIH病毒的現象。

檔案中的CIH病毒的檢測比較簡單，只要從32位執行檔的PE檔案頭的偏移28H處獲得程式的入口地址，對入口程式段進行掃描即可。

根據CIH病毒在感染檔案前對病毒特徵的判別，我們可以人為地在PE格式的EXE檔案頭的前一個位元組的位置處寫上55H或一個非零值，以騙過病毒對檔案是否染毒的判別。而大多數防毒軟體在防毒後，保留了檔案頭中的病毒特徵，相當於對這些檔案進行了免疫。

由於病毒主要來源於網際網路和光碟，光碟檔案上的病毒無法清除，始終是系統的隱患，而使用第一種方法則有可能使用戶從網上下載檔案失敗，造成不必要的損失。根據對病毒代碼的分析，我們介紹一種方法，它既不影響系統效率，也能使用戶放心地使用網上下載的檔案和光碟上的檔案。

本文提供的方法主要有下列兩個步驟：

1、檢測記憶體中的病毒。如果在記憶體中發現病毒，則清除之，釋放其占用的記憶體，並提示用戶對檔案進行檢測。

2、對CIH病毒進行免疫。設定兩重防線，使CIH病毒代碼不能再進入記憶體，從根本上杜絕CIH病毒的傳播和破壞。

具體過程是：

通過調用VXD函式IFSMgr_InstallFileSystemApiHook，獲得系統當前的檔案系統鉤子函式的地址和函式IFSMgr_InstallFileSystemApiHook的入口地址，根據獲得的地址，掃描相應的記憶體區，判斷記憶體中是否有CIH病毒。

如果發現記憶體中有CIH病毒，調用VXD函式IFSMgr_RemoveFileSystemApiHook 先撤消其設定的檔案系統鉤子函式，然後利用函式_PageFree將其占用的記憶體釋放。

由於病毒代碼在調試暫存器dr0中保存了一個指向系統中原有的檔案系統掛鈎函式的地址的指針，病毒代碼通過該指針轉到系統原來的檔案鉤子函式中，病毒在駐留記憶體之前，先要檢查該暫存器的值是否為零，以判斷病毒代碼是否已在記憶體中。因此，我們可以將該暫存器的值設定為非零值，讓病毒以為記憶體中已有病毒代碼存在，從而不駐留記憶體，這是第一道防線。

考慮到暫存器dr0的值可能被其它程式修改，讓病毒代碼獲得進入記憶體的機會，我們再設定第二道防線。在記憶體高端申請一頁記憶體空間，駐留一段代碼在這一記憶體空間中，修改系統中IFSMgr_InstallFileSystemA piHook函式的入口地址，使其指向我們自己設定的代碼，該代碼負責監視檔案系統鉤子函式的安裝過程，如果是病毒代碼要進入記憶體，則拒絕讓其進入，並釋放其申請的記憶體。

有了這兩道防線，就能較好地防止CIH病毒進入記憶體，即便是運行染有病毒的程式，也不會對系統造成不利的影響。

解決方法

首先用戶應該確定自己計算機主機板的BIOS是那種類型的，如果是不可升級型的，用戶只需對改回去的CMOS的參數進行重新設定即可。如果用戶的計算機BIOS是可升級型的。如果出現 CIH病毒發作的症狀，不要重新啟動計算機從C糟引導系統，而應該及時進入CMOS設定程式，將系統引導盤設定為a盤然後A 盤引導系統，之後用防毒軟體對系統軟體造成破壞後該怎樣辦呢？首先使用防毒軟體對硬碟進行徹底防毒，之後再對系統軟體和套用軟體進行重新安裝。可以在被 CIH病毒破壞的基礎上直接安裝，這種方法較簡單，但會造成硬碟空間的浪費，因為這將帶來一些垃圾檔案；另一種方法是將用戶的重要數據進行備分，之後對硬碟進行格式化，重新安裝系統程式和應用程式，這樣能節省硬碟空間。

硬碟修復

瑞星修復

電腦感染CIH病毒

首先使用瑞星防毒盤啟動機器，然後運行瑞星防毒軟體DOS版，選擇選單中的項，本程式將自動分析硬碟是否需要修復。

1）如果出現“The hard disk is ok, needn't recover! Enter = return to main menu”信息，則表示硬碟系統是好的，不需要修復。

2）如果出現紅色提示框，報告用戶硬碟的分區信息和檔案分配表（FAT）的類型，用戶首先應該確認該提示信息

是否正確。然後，再根據以下提示信息選擇是否進行恢復。

“Recovery Partition Table?(Y/N)”

若選擇“Y”，則瑞星防毒軟體將自動恢復硬碟的分區信息。

如果選擇“N”，則瑞星防毒軟體將返回主選單。

恢復硬碟分區結束後，瑞星防毒軟體將提示：“Recovery Drive C：(Y/N)”詢問用戶是否繼續恢復C糟的檔案。

如果選擇“Y”，則瑞星防毒軟體將自動恢復C糟中的檔案。

如果選擇“N”，則瑞星防毒軟體將返回主選單。

在恢復硬碟分區後，可以重新啟動機器，此時可以看到完全恢復的D、E等擴展邏輯分區；在恢復硬碟分區後，再進一步恢復C糟的檔案後，重新啟動機器，則不僅可以找到擴展的邏輯分區，而且可以看到C糟上恢復的檔案目錄，這些目錄名為“RISING.XXX”(XXX為0-999的數字編號)。這時擴展分區已恢復正常，將C糟中各個目錄中的重要檔案進行備份。 3）如果出現“The hard disk can't be recovered, Enter= return to main menu”信息， 則表示邏輯盤數據

使用此功能無法恢復。當本功能無法恢復硬碟數據時，可以與瑞星公司聯繫或由其他專業數據恢復人員進行分析，使用其他方法進行恢復，以確保重要數據不丟失。

江民修復

當用戶的硬碟數據一旦被CIH病毒破壞後，使用KV3000的F10功能，可修復的程度如下：

1．C糟容量為2.1G以上，原FAT表是32位的，C分區的修復率為98%，D，E，F等分區的修復率為99%，配合手工C，D，E，F等分區的修復率為100%。

2．硬碟容量為2.1G以下，原FAT表是16位的，C分區的修復率為0%，D，E，F等分區的修復率為99%，配合手工C，D，E，F等分區的修復率為100%。因為原C糟是16位的短FAT表，所以C糟的FAT表和根目錄下的檔案目錄都被CIH病毒亂碼復蓋了。KV3000可以把C糟找回來，雖然根目錄的檔案名稱字已被病毒亂碼復蓋看不見了，但檔案的內容影像還存儲在C糟內的某寫扇區上。推薦用KV3000找回C糟，再用檔案修復軟體TIRAMISU.EXE可將C糟內的部分檔案影象找回來（需要了解這個軟體的朋友可以訪問Ontrack公司的主頁 是不是在這個網站上找不到有關TIRAMISU的內容？呵呵，其實現在TIRAMISU已經被整合到Ontrack公司的旗艦產品—EasyRecovery中。相關的詳細介紹可以參照下文中的“分區表破壞”），如果原存放檔案影象的簇是相連的，找回的檔案就完整無損。

但對於FAT16的C糟是不是中了CIH就沒救呢？您還是可以嘗試一下FIXMBR，FIXMBR是一個DOS應用程式，完全遵守DOS的程式的操作規範。如果執行FIXMBR/？即可得到FIXMBR的幫助信息。如下： Usage : FIXMBR [DriveNo] [/A] [/D] [/P] [/Z] [/H] DriveNo Hard disk scope 0-3 , default is all drive （指硬碟號，0表示第一個硬碟） /A Active DOS partition（激活基本DOS分區） /P Display partition（顯示DOS分區的結構） /D Display MBR（顯示主引導記錄內容） /Z Zero MBR（將主引導記錄填零） 預設的情況下將檢查MBR結構，如果不正常將提示是否修復。回答“Y”後將搜尋分區。 如果搜尋到分區後將提示是否修改MBR，回答“Y”後就將修復完成。如果這時出現當機現象，請將BIOS中的防病毒功能禁止後再做。 預設的狀態下將搜尋所有已經存在的硬碟，並完成以上操作。如果完成的結果不對，可以用/Z參數將結果清空後重新啟動，就可以恢復到原來的狀態。但它不支持WinNT和Linux的分區，對FAT32分區表支持也有限。它可以通過全盤搜尋決定硬碟分區，並重新構造主引導扇區。由於軟體只修改主引導扇區記錄，對其他扇區不進行寫操作，故一般不會帶來不安全目錄（如果修復得不理想，請DiskEdit等工具進行手工修復）。注意：FIXMBR是一個比較老的程式。

由於病毒破壞硬碟的方式實在太多，而且大部分破壞都無法用一般軟體輕易修復（如果您喜歡使用DiskEdit等磁碟扇區編輯工具，對某些情況還有一線希望），所以我們最好的辦法就是安一個好的防毒軟體。下面我們來看看病毒在哪方面的破壞不能恢復呢？分區表破壞，可能是數據損壞中除了物理損壞最嚴重的一種災難性破壞。其原因主要有以下幾種：

1．個人無操作刪除分區，只要沒有進行其他的操作完全可以恢復。

2．安裝多系統引導軟體或採用第三方分區工具，有恢復的可能。

3．病毒破壞可以部分或者全部恢復。

4．利用Ghost克隆分區/硬碟破壞，只可以部分恢復或者不能恢復（用Ghost的朋友要小心了）。

據國外的一個主業數據恢復公司調查，數據損壞以後很大程度上是可以恢復的。之所以有很多不能恢復的實例存在，90%以上是由於用戶在後來的恢復過程中有無操作，從而造成了更大的破壞。所以希望朋友們牢記以下2點：

1．在硬碟數據出現後，請立即關機，不要再對硬碟進行任何寫操作，那樣會增大修復的難度，也影響到修復的成功率。

2．每一步操作都應該是可逆的（就像Norton Disk Doctor中的Undo功能）或者對故障硬碟是唯讀的（大名鼎鼎的EasyRecovery和Lost&Found都是這種工作原理）。

如果在遇到以上情況，可以用以上這個軟體，這個軟體包含在Norton Utility系列工具中，功能十分強大，可以恢復分區記錄，FAT表，需要注意的是它對硬碟的操作不是唯讀的，因此需要每一步都做好Undo檔案，這樣即使誤操作也可以恢復，Norton Disk Doctor配合DiskEdit在分區表不能恢復時也可以恢復部分檔案，可惜Norton Disk Doctor不支持NTFS分區，這不能不說好是它的一大遺憾之處。

關於作者

1999年4月30日上午，在軍方人員的護送下，正在台灣軍中服役的CIH電腦病毒作者陳盈豪被帶到了台北“刑事局”接受警方的偵訊。

讓辦案的警方人員大感意外的是，搞出震驚全球的電腦病毒的陳盈豪在記者們的閃光燈包圍中差一點當場癱倒在地。當陳盈豪踏入台北“刑事局”的大門後，面對早早就等在那裡的數十名記者的閃光燈一時間情緒失控，只見他渾身發抖，面無血色，兩腿發軟，幾乎無法自己走路！

頗有經驗的辦案人員沒有採取單刀直入的慣用方式對陳盈豪進行問訊，而是先跟他談他在大學裡過去的女朋友、他的家人、大學生活以及與電腦有關的知識，這才讓陳盈豪的情緒逐漸恢復了平靜。

為了進一步調解陳盈豪的情緒，辦案人員打開了偵訊室的電腦讓他上網。非常巧的是，他一上網就發現他的母校—台灣大同工學院的一位學妹非常崇拜這位製造了震驚全球“電腦大屠殺”的老大哥，並且希望有機會約他吃飯。陳盈豪看了這封電子郵件後頓時精神煥發，臉上露出了笑容，很快就恢復了常態。這時的陳盈豪已經不害怕警方對他拍照，表示願意配合警方的調查，跟幾分鐘前簡直判若兩人。

心情恢復平靜的陳盈豪開始向警方侃侃而談他製造病毒的“輝煌戰果”。陳盈豪說，他從大學一年級開始就痴迷上了電腦，每天都要上網，下載最熱門的軟體、遊戲，因此也經常遭遇電腦病毒。為了解決電腦屢屢“中毒”的煩惱，他看報紙，買了不少廣告做得天花亂墜的防病毒軟體，結果往往什麼用也沒有，於是覺得自己被欺騙了。而CIH 病毒完全是他一人設計的，目的是想出一家公司在廣告上吹噓“百分之百”防毒軟體的洋相。他一共設計了五個版本CIH病毒，其中V1．0、V1．1兩個版本沒有流出去，而這次危害世界各國的病毒是V1．2版。病毒發作的時間之所以定在4月26日， 因為那是他的高中座號，也是他的綽號。

“電腦天才”：談戀愛搞社交樣樣不行，玩電腦編程式絕不服輸

如果說陳盈豪在台灣警察們的眼裡只是“電腦鬼才”的話，那么他的母親、同學、老師和左鄰右舍倒覺得他是一個地道的“電腦天才”。

陳盈豪的母親十分擔心自己的兒子會被法院判重刑，再三強調她的兒子不是故意的，不然的話就不會把自己的姓名縮寫當成病毒的名稱。陳盈豪的母親說，她的兒子是在上中學的時候就喜歡玩電腦的，經常到家境比較寬裕的同學家中或者學校玩電腦，上高中後專心研究電腦軟體程式，有時候還會編一些遊戲軟體跟同學們一起玩。“一口流利的台語，夏天常是一件T恤、短褲，穿著涼鞋，一副沒有睡醒的樣子就來上課。”這是陳盈豪在大學同學眼中最典型的形象。 除了這身打扮有些“老土”不起眼外，陳盈豪只要一開口就是電腦，買的全是電腦方面的書。當別人自以為是電腦通的時候，他總會找機會在那人面前露一手，讓對手羞得無地自容。

陳盈豪有台灣南部人典型的好脾氣，在大同工學院學習時儘管不善交際，但人緣卻不差，並且有不少好朋友。他的同學們一致認為，陳盈豪在上大學前就有相當的電腦基礎，進了大學後，他的電腦知識更是突飛猛進。陳盈豪對電腦課非常感興趣，大學一年級的“程式設計”的成績非常拔尖，就連平時的談話也多半在電腦里打轉。同學們談女生，談電影新片時，陳盈豪就顯得非常地無趣，偶然插一兩句話也讓同學們有一種“話接不下去”的感覺。

在老師們的眼裡，陳盈豪在學校的表現並不十分突出，只是在電腦軟體方面有更深的興趣，也有小聰明，但人很老實。要不是這次捅了個天大漏子的話，他肯定算不上“校園風雲人物”。大同工學院多年來的表現也十分平常名氣不大不小。有的老師認為，經過這么一折騰，大同工學院的“知名度”頓時大增，這讓學校覺得啼笑皆非。

在陳盈豪一家居住的高雄市三民區，左鄰右舍不但對身邊竟然出了個如此一號人物表示吃驚，似乎對陳盈豪和他的家人沒有什麼了解。鄰居們說：“只知道陳盈豪大概去年（1998年）從大學畢業，在家待了一陣子，很少看到他。陳盈豪和媽媽還有兩個妹妹住在一起，很少看見他的父親，平常他們家和鄰居也很少打招呼，更不知道他會玩電腦，而且還製造出讓人驚慌的電腦病毒。”而這一切現在已成為鄰居們最新的話題。

“電腦瘋子”：家有精神病史，“軍情局”嚇得退避三舍

陳盈豪在接受“刑事局”的偵訊後由於情緒還不穩定，因此當天被馬上送回花蓮營區，由軍方把他送到花蓮總醫院住院觀察。經過醫生的初步診斷，陳盈豪有煩躁不安、憂鬱的傾向。醫生表示，陳盈豪主動說他覺得自己的情緒不穩定，而根據院方的資料顯示，陳盈豪三月份還曾經看過精神科醫生。此外，陳盈豪的家族竟然有精神病病史。

此外，台灣媒體還曝光一個驚人的秘密：陳盈豪在部隊服役的時候曾經向軍方自誇說，他可以設計出一種導致軍用電腦癱瘓的程式。台灣“軍情局”對此萬分感興趣，準備把他收歸麾下，充當電子戰的專家。然而，在他們調查了陳盈豪的家史後，他們發現陳的精神狀態不穩定，並且有家族精神病史。因此，台“軍情局”不但沒有將他收編，還要求他立即退役！

其後陳盈豪在花蓮總醫院精神科接受就診觀察。花蓮總醫院精神科主治醫師陸承賢表示，陳盈豪曾有兩次精神科門診記錄，但在診斷過程中並無明顯的躁鬱症症狀，只是出現焦慮不安的情形，而此可能與陳盈豪在部隊生活適應不良有關。

常見計算機病毒