Derek's Blog

在Cnbata上看到了这篇文章，感觉这在的病毒真是越来越猛了，很好很强大！在我上初中时候，了解到CIH是世界上最牛的病毒，达到了破坏硬件的地步，让我不得不感叹台湾的大学生陈盈豪的厉害。啥？你不知道CIH，不知道陈盈豪为何许人也？（那点击下面的两条链接看看吧）看完之后很感兴趣，想详细了解下病毒的发作原理，于是到Slashdot下载了PDF文档仔细看了看！现在我把原理大概讲一下，有错误的地方，多多海涵，纠正一下！

CIH病毒之父 维基百科

启动电脑后，开机自检后，cpu发出第一条大小为16字节的指令，这是一条可执行的操作码 ，位置为FOOO：FFFO（啥是指令：指令(Instructions)是CPU执行的操作，通常指令也称作操作码(Opcode)：运算元(Operand)是指令操作的对像：而位址(Address)是指定资料在记忆体中的位置。）

加电自检初始化(也就是POST（Power On Self Test，检查RAM、驱动器等)

例行常规解压，计算机各组件运行（应该是这么翻译）

初始化PCI.COMS

从硬盘主分区引导加载程序

但是这个文档并没有说病毒从哪个步骤被激活（所以我很郁闷，看了半天居然没有讲  :cry:  :cry:  :cry: ），估计是不想让黑客造出更厉害的病毒吧，要知道现在的杀毒软根本没有杀BIOS中病毒的功能，不是没有能力，而是不敢加入这个功能，而是怕把用户主板弄坏了！下载该文档

下面是BIOS的启动顺序图，你说病毒是从第几步开始运行的呢？？顺便看看cnbata上网友的留言，非常强大，很有意思 :D :D  :D

原文引用：
两位阿根廷的研究人员找到了进行BIOS级恶意软件攻击的途径，即使在硬盘上进行删除它依然可以存活下来。来自 Core Security Technologies的Alfredo Ortega 和 Anibal Sacco 在上周举行的CanSecWest安全大会上演示了通过持续不断的代码来感染BIOS的方法。

这些代码即使在计算机重启或者对硬盘进行格式化的情况下都依然能保留下来。该技术通过将小部分代码注入BIOS中，从而获得机器的完整控制权。该演示显示了此攻击完美运行在Windows机器，运行OpenBSD的PC，和运行VMware Player的机器上。

cnBeta编译自Slashdot

suraj.sun writes “A pair of Argentinian researchers have found a way to perform a BIOS level malware attack capable of surviving even a hard-disk wipe. Alfredo Ortega and Anibal Sacco from Core Security Technologies — used the stage at last week’s CanSecWest conference to demonstrate methods (PDF) for infecting the BIOS with persistent code that will survive reboots and re-flashing attempts. The technique includes patching the BIOS with a small bit of code that gave them complete control of the machine. The demo ran smoothly on a Windows machine, a PC running OpenBSD and another running VMware Player.”