精华区文章阅读

发信人: hbt (书生21), 信区: OS
标  题: Re: CIH 备忘录(烘干版) (转载)
发信站: 紫丁香 (Wed Oct 14 10:08:48 1998), 转信

寄信人: Wwashington (Jacky)
标  题: Re: CIH 备忘录(烘干版) (转载)
发信站: BBS 水木清华站 (Wed Sep 16 04:45:25 1998)
来  源: argo.zsu.edu.cn

【以下文字转载自 Wwashington 的信箱】
【原文由 Wwashington 所发表】
【在 bluesea (蓝海) 的大作中提到: 】
:  原文由 zhengwei (小车) 转贴，标题: “CIH-可怕的硬件破坏神”，转载自电
:  脑报电子版，整理中增加换行，去掉报纸上的水分。
:  ---------------------------------------------------------------------
:  　　3．打入Windows内核
:  　　无论是要攻击BIOS，还是设法驻留内存来为病毒传播创造条件，对CIH这类Windows
:  95／98病毒而言，关键是要打入Windows内核，取得核心级控制权。例如，只有在Ring0
:  （核心级）状态下运行，程序才有权调用PageAllocate，把病毒体驻留在内存中；也只
:  有在此时，才能调用IFSMgrμInstallFileSystemApiHook，来截获系统的IFSAPI，从
:  而当系统打开文件时，病毒能够通过调用IFSMgrμRing0μFileIO，感染其他Windows
:   95／98执行程序。
:  　　这说明，CIH病毒与Windows 95／98系统有紧密的相关性，正因如此，CIH病毒目前
:  在Windows NT平台上无法传播。

  其实也简单, NT 不外是在 Ring0 和用户权限上做限制罢了,
  嘿嘿, 只要 CIH 知道那个 Getadmin 里面的函数就猛乐 ...
  CIH 的作者 Email 是啥 ? 让咱们帮他写个 NT 版的, Joke ...
  BTW: 违反条例的事情干不得, 看报纸说好象广东新会的 Iceman
  被抓乐, 不知道青蛙的 Computer Fans 算不算高危人群 ?

--
        书中自有黄金屋，
                    网络更胜千本书 .


※ 来源:．紫丁香 bbs.hit.edu.cn．[FROM: hs8.hit.edu.cn]

Windows 版 (精华区)