Analyse d'exemples de codes sources de programmes antivirus-virus CIH[1]

Le virus CIH infecte principalement les programmes exécutables de Windows 95/98/Me Lorsqu'il attaque, il détruit le programme système dans la puce Flash BIOS de l'ordinateur, endommageant la carte mère et détruisant les données du disque dur. Lorsqu'un virus attaque, le disque dur continue de tourner. Le programme antivirus écrit des données indésirables sur le disque dur par unités de 2048 secteurs, en commençant par la zone de démarrage principale du disque dur jusqu'à ce que toutes les données du disque dur soient détruites. Toutes les données du disque dur (y compris la table de partition) sont détruites et doivent être repartitionnées pour éventuellement sauvegarder le disque dur. Dans le même temps, les cartes mères de certaines marques, telles que Gigabyte et MSI, détruiront le programme système dans le BIOS Flash, empêchant le système de répondre après le démarrage.
Le virus CIH a été introduit en Chine depuis Taïwan en août 1998. Il existe cinq versions au total. Différentes versions ont été développées au fil du temps et ont été continuellement améliorées :

. (1 ) Virus CIH version 1.0

La version initiale 1.0 ne faisait que 656 octets et le prototype était relativement simple. Il n'y avait pas beaucoup d'amélioration de la structure par rapport aux virus ordinaires. Sa plus grande caractéristique est qu'il peut. infectent les fichiers exécutables de Microsoft Windows PE, la longueur des fichiers programme infectés par ceux-ci augmente et la version 1.0 du virus CIH n'est pas encore destructrice.

(2) Virus CIH version 1.1

Lorsque le virus CIH s'est développé vers la version 1.1, la longueur du virus était de 796 octets. Cette version du virus CIH a. la possibilité de déterminer Windows Une fois qu'il est déterminé que l'utilisateur exécute Windows NT, les fonctions du logiciel NT ne prendront pas effet et se cacheront pour éviter de générer des messages d'erreur. En même temps, un code plus optimisé est utilisé pour réduire son utilisation. longueur.

Un autre point d'amélioration du virus CIH version 1.1 est qu'il peut profiter des "lacunes" dans les fichiers exécutables de la classe Windows PE, se diviser en plusieurs parties selon les besoins et les insérer respectivement dans les fichiers exécutables de la classe PE. L’avantage est que cela n’augmentera pas la longueur du fichier lors de l’infection de la plupart des fichiers Windows PE.

　 (3) Virus CIH version 1.2

Lorsque le virus CIH s'est développé vers la version 1.2, en plus de corriger certains des défauts de la version 1.1, il a également ajouté de nouveaux fonctionnalités pour endommager les utilisateurs Le disque dur et le code du programme BIOS de la machine de l'utilisateur. Cette amélioration le fait entrer dans les rangs des virus malins. La longueur du corps du virus CIH de la version 1.2 est de 1003 octets.

　 (4) Virus CIH version 1.3

Le plus gros défaut du virus CIH version 1.2 est que lorsqu'il infecte un fichier de package auto-extractible ZIP, il provoquera le Package compressé ZIP vers Le message d'avertissement d'erreur suivant apparaît lors de l'auto-extraction :

　
　　WinZip Self-Extractor header corrupt.
　　Possible cause: disk or file transfer error.

La version 1.3 du virus CIH semble être pressée, et ses points d'amélioration visent les défauts ci-dessus . Sa méthode d'amélioration est la suivante : Une fois le fichier ouvert déterminé. Il s'agit d'un programme auto-extractible de type WinZip, il ne sera donc pas infecté. Dans le même temps, cette version du virus CIH a modifié la période d'attaque du virus du 26 avril au 26 juin. La version 1.3 du virus CIH fait 1 010 octets.

(4) Virus CIH version 1.4

Le virus CIH version 1.4 a amélioré les défauts des versions précédentes et n'infecte pas les fichiers de packages auto-extractibles ZIP, et a également modifié La date de l'attaque a été modifiée du 26 juin au 26 de chaque mois, augmentant ainsi la fréquence des attaques virales. Les informations de copyright dans le virus ont également été modifiées (les informations de copyright ont été remplacées par : "CIH v1.4 TATUNG", les informations pertinentes dans la version précédente étaient "CIH v1.x TTIT"), la longueur du virus CIH version 1.4 est de 1019 octets.

Comme mentionné ci-dessus, le virus CIH a créé plusieurs premières dans l'histoire des virus et est très destructeur. L'épidémie du virus a causé des pertes incommensurables dans le monde. Alors, comment est écrit ce code doté d’un si grand pouvoir « destructeur » ? Ci-dessous, nous prenons comme exemple la version 1.4 du virus CIH pour analyser une partie de son code principal.

Ce qui précède est le contenu de l'exemple de code source d'un programme antivirus-virus CIH [1]. Pour plus de contenu connexe, veuillez faire attention au site Web chinois PHP (www.php.cn) !