CIH病毒事件

4.26事件-CIH病毒剖析
　　1999年4月26日，星期一，还是在4月26日，还是CIH，导致了大量的PC计算机
停止工作，同时导致用户的数据遭到严重破坏。 
　　早在1998年7月26日，CIH的恶性病毒就已经在美国开始大面积肆虐。 
　　1998年8月26日，该病毒入侵中国。 
　　1998年8月31日，我国公安部发出防范CIH病毒的紧急通知。 
　　1998年9月1日，中国中央电视台在新闻联播中播发了此通知。 
　　接着，全国各大报刊纷纷不惜版面、不遗余力地在显著版面刊发大量的相关
报道。 
　　反病毒厂商一时打破以久沉寂，大大红火了一把。 
　　刹那间，全世界防、查、杀CIH病毒的呼声昏天黑地...... 
　　可时至今日，CIH病毒还在大面积继续传播......，在昨天，我们又看到了悲
惨的一幕，大量的PC机在CIH的肆虐中一批批倒下，SINA电脑论坛中“哭”声响彻
天际......。 

　　CIH病毒到底是什么病毒？ 
　　CIH病毒属文件型病毒，其别名有Win95.CIH、Spacefiller、Win32.CIH、PE
_CIH，它主要感染Windows95/98下的可执行文件(PE格式，Portable 
Executable Format)，目前的版本不感染DOS以及WIN 3.X(NE格式，Windows and
 OS/2 
Windows 3.1 execution File Format)下的可执行文件，并且在Win 
NT中无效。其发展过程经历了v1.0，v1.1、v1.2、v1.3、v1.4总共5个版本，目前
最流行的是v1.2版本，在此期间，据某些报导，同时产生了不下十个的变种，不
过好象没有流行起来的迹象，本人并未实际接触到这些所谓的CIH变种病毒。 

　　CIH病毒的各种不同版本的随时间的发展不断完善，其基本发展历程为： 
　　CIH病毒v1.0版本： 
　　最初的V1.0版本仅仅只有656字节，其雏形显得比较简单，与普通类型的病毒
在结构上并无多大的改善，其最大的“卖点”是在于其是当时为数不多的、可感
染Microsoft 
Windows PE类可执行文件的病毒之一，被其感染的程序文件长度增加，此版本的
CIH不具有破坏性。 
　　CIH病毒v1.1版本： 
　　当其发展到v1.1版本时，病毒长度为796字节，此版本的CIH病毒具有可判断
Win NT软件的功能，一旦判断用户运行的是Win 
NT，则不发生作用，进行自我隐藏，以避免产生错误提示信息，同时使用了更加
优化的代码，以缩减其长度。此版本的CIH另外一个优秀点在于其可以利用WIN 

PE类可执行文件中的“空隙”，将自身根据需要分裂成几个部分后，分别插入到
PE类可执行文件中，这样做的优点是在感染大部分WINPE类文件时，不会导致文件
长度增加。 

　　CIH病毒v1.2版本： 
　　当其发展到v1.2版本时，除了改正了一些v1.1版本的缺陷之外，同时增加了
破坏用户硬盘以及用户主机BIOS程序的代码，这一改进，使其步入恶性病毒的行
列，此版本的CIH病毒体长度为1003字节。 

　　CIH病毒v1.3版本： 
　　原先v1.2版本的CIH病毒最大的缺陷在于当其感染ZIP自解压包文件(ZIP sel
f-extractors 
file)时，将导致此ZIP压缩包在自解压时出现： 
　　WinZip Self-Extractor header corrupt.
　　Possible cause: disk or file transfer error. 
　　的错误警告信息。v1.3版本的CIH病毒显得比较仓促，其改进点便是针对以上
缺陷的，它的改进方法是：一旦判断开启的文件是WinZip类的自解压程序，则不
进行感染。同时，此版本的CIH病毒修改了发作时间。v1.3版本的CIH病毒长度为
1010字节。 

　　CIH病毒v1.4版本： 
　　此版本的CIH病毒改进上上几个版本中的缺陷，不感染ZIP自解压包文件，同
时修改了发作日期及病毒中的版权信息(版本信息被更改为：“CIH 
v1.4 TATUNG”，在以前版本中的相关信息为“CIH v1.x TTIT”)，此版本的长度
为1019字节。 
　　从上面的说明中，我们可以看出，实际上，在CIH的相关版本中，只有v1.2、
v1.3、v1.4这3个版本的病毒具有实际的破坏性，其中v1.2版本的CIH病毒发作日
期为每年的4月26日，这也就是当前最流行的病毒版本，v1.3版本的发作日期为每
年的6月26日，而CIH 
v1.4版本的发作日期则被修改为每月的26日，这一改变大大缩短了发作期限，增
加了其的破坏性。 
　　CIH病毒发作时所产生的破坏性： 
　　CIH属恶性病毒，当其发作条件成熟时，其将破坏硬盘数据，同时有可能破坏
BIOS程序，其发作特征是： 
　　1、以2048个扇区为单位，从硬盘主引导区开始依次往硬盘中写入垃圾数据，
直到硬盘数据被全部破坏为止。最坏的情况下硬盘所有数据(含全部逻辑盘数据)
均被破坏，如果重要信息没有备份，那就只有哭了！ 

　　2、某些主板上的Flash Rom中的BIOS信息将被清除。 
　　感染CIH病毒的特征： 
　　由于流行的CIH病毒版本中，其标识版本号的信息使用的是明文，所以可以通
过搜索可执行文件中的字符串来识别是否感染了CIH病毒，搜索的特征串为“CIH
 
v”或者是“CIH v1.”如果你想搜索更完全的特征字符串，可尝试“CIH v1.2 T
TIT”、“CIH v1.3 
TTIT”以及“CIH v1.4 
TATUNG”，不要直接搜索“CIH”特征串，因为此特征串在很多的正常程序中也存
在，例如程序中存在如下代码行： 
　　inc bx
　　dec cx
　　dec ax 
　　则它们的特征码正好是“CIH(0x43;0x49;0x48)”，容易产生误判。 
　　具体的搜索方法为：首先开启“资源管理器”，选择其中的菜单功能“工具
>查找>文件或文件夹”，在弹出的“查找文件”设置窗口的“名称和位置”输入
中输入查找路径及文件名(如：*.EXE)，然后在“高级>包含文字”栏中输入要查
找的特征字符串----“CIH 
v”，最后点取“查找键”即可开始查找工作。如果在查找过程中，显示出一大堆
符合查找特征的可执行文件，则表明您老的计算机上已经感染了CIH病毒。 

　　实际上，在以上的方法中存在着一个致命的缺点，那就是：如果用户刚刚感
染CIH病毒，那么这样一个大面积的搜索过程实际上也是在扩大病毒的感染面。一
般情况下，推荐的方法是先运行一下“写字板”软件，然后使用上面的方法在“
写字板”软件的可执行程序Notepade.exe中搜索特征串，以判断是否感染了CIH病
毒。 

　　另外一个判断方法是在Windows 
PE文件中搜索IMAGE_NT_SIGNATURE字段，也就是0x00004550，其代表的识别字符
为“PE00”，然后查看其前一个字节是否为0x00，如果是，则表示程序未受感染
，如果为其他数值，则表示很可能已经感染了CIH病毒。 

　　最后一个判断方法是先搜索IMAGE_NT_SIGNATURE字段----“PE00”，接着搜
索其偏移0x28位置处的值是否为55 
8D 44 24 F8 33 DB 64，如果是，则表示此程序已被感染。 
　　还听说凡是感染了CIH 病毒的机器，如果玩NEED FOR SPEED 
II游戏时，会在读取游戏光盘时出现死机现象，本人没有尝试过，不知道实际上
是不是有这一情况存在。 
　　适合高级用户使用的一个方法是直接搜索特征代码，并将其修改掉，方法是
：先处理掉两个转跳点，即搜索：5E CC 56 8B F0 
特征串以及5E CC FB 33 DB特征串，将这两个特征串中的CC改为90(nop)，接着搜
索 CD 20 53 00 01 00 
83 C4 20 与 CD 20 67 00 40 00 特征字串，将其全部修改为90，即可(以上数值
全部为16进制)。 
　　另外一种方法是将原先的PE程序的正确入口点找回来，填入当前入口点即可
(此处以一个被感染的CALC.EXE程序为例)，具体方法为：先搜索IMAGE_NT_SIGNA
TURE字段----“PE00”，接着将距此点偏移0x28处的4个字节值，例如“A0 
02 00 00”(0x000002A0)，再由此偏移所指的位置(即0x02A0)找到数据“55 8D 
44 24 F8 33 DB 
64”，并由0X02A0加上0X005E得到0x02FE偏移，此偏移处的数据例如为“CB 21 
40 
00”(OXOO4021CB)，将此值减去OX40000，将得数----“CB 21 00 00” 
(OXOO0021CB)值放回到距“PE00”点偏移0x28的位置即可(此处为Windows 
PE格式程序的入口点，术语称为Program Entry Point)。最后将“55 8D 44 24 
F8 33 DB 
64”全部填成“00”，使得我们容易判断病毒是否已经被杀除过。 
　　按照上面手工杀毒的方法一般适合于某些单独的软件(例如某些软件包含在软
盘中，却被感染了CIH不读，可现在就要用，呵呵！)。使用上述方法的缺点在于
病毒体还将保留在可执行文件中，虽然不会起作用，但是想起来可能会有点不舒
服(记得“WPS2000测试版残留CIH病毒尸体”的事件么？)。所以，想彻底杀灭，
推荐使用某些反病毒软件进行(以上操作以及使用反病毒软件进行杀毒，必须使用
干净的系统盘启动计算机)。 

　　病毒已经发作了，该怎么办？ 
　　如果病毒已经发作，那就得看您老的运气了，一种情况是硬盘数据被破坏，
在这种情况下，可能出现计算机能够使用软盘启动，但是一旦试图访问硬盘，就
出现无法访问或者是访问出错或者是可以访问硬盘，但是列出一大堆无意义的信
息。 

　　实际上，就以上不同的情况，它们的区别在于硬盘信息的破坏程度不同，一
般推荐使用Norton软件进行尝试性恢复，同时就目前掌握的情况来看，除C：以外
的其他逻辑分区可以被完全修复(这得看它破坏到哪里了，一般发作的症状是硬盘
转个不停，总不会有人白痴到让它写完了主分区再写完逻辑分区后才关机吧，另
外备注一下：根据本人手头的程序显示，CIH标准版本在破坏上的确是进行顺序写
入垃圾数据，完全破坏硬盘信息的，可听说某些只写5M或者是类似的数据，是否
是CIH的派生版本不得而知)，而是否能修复C：则得看实际破坏程度了，总之一句
话，看你的运气啦！ 

　　以上情况对于重视数据的同志而言可谓是“伤心的痛”，呵呵，他宁可机器
爆掉，也不要数据丢失，所以推荐以后购买大容量的备份设备。 
　　另外一种情况是除了硬盘数据损坏之外，其主板上的Flash 
ROM中的BIOS程序也被破坏，这一情况又得分成两大类，得视你的损坏情况以及主
板的构造而定： 
　　一是全部损坏，那就惨了，机器变成了黑脸的哑巴，连叫都不会叫了，这一
故障只有重新写一遍BIOS，写入的方法一般是使用兼容Flash 
ROM的“烧录器”，这玩意实际上也不复杂，一个电子爱好者随便弄块8255之类的
便宜芯片就能捣起来(一般配合PC等计算机使用)。如果您机器主板上的Flash 
ROM是安装在插座上的，则推荐将其锹下来，然后找人帮忙给再写一块(一般情况
下你很有可能需要一块包含有相同或者近似版本BIOS的其他ROM芯片，可尝试找朋
友借)。 

　　如果你那边实在是找不到有“烧录器”的地方，则如果你手头有一些类似用
于主板BIOS升级的文件盘，同时你能借的到相同的BIOS芯片，也可以先将借来的
BIOS 
ROM芯片插在你的BIOS 
ROM插座上(记得先把带病毒的硬盘拔了)，然后尝试使用干净DOS盘启动(只需要启
动基本DOS系统即可，不要挂其他的驱动程序)，启动完成后，就要开始尝试危险
的热插拔工作，即：将借来的BIOS 
ROM拔掉，换上数据损坏的Flash 
Rom，然后启动主板BIOS升级的软件进行写入工作。(备注：此方法中所使用的热
插拔乃电子界的大忌，如果造成任何损失，本人概不负责)。 
　　二是基本启动部分未出现损坏，这一情况的特征为可能机器不能正常启动，
但是还有一些启动的感觉，例如它居然还能够出现检测软盘的动作(要保证能够由
软盘启动计算机)，这一情况比较幸福，在这种情况下，基本BIOS还能运行，但是
由于其一般只支持IDE接口的显示卡，则可能你的屏幕上不会有任何的显示信息。
在这一情况下，则必须使用“黑灯瞎火”法，它的原理也就是类似BIOS升级等的
操作，它要求我们手头必须有能用的一些BIOS升级程序软件，然后我们在他人的
机器上先制作一张DOS启动盘，并将升级操作所需要运行的命令行放在autoexec.
bat文件中，然后拿这张软盘到被CIH病毒破坏的机器上启动，接着的一些如“回
车”、按上下方向键等的操作就要“摸黑”进行了。如果幸运的话，按以上步骤
操作，您老的机器就被救活了。 

　　三是惨得一塌糊涂，以上方法都不适用，则推荐你们去问问销售商能不能帮
你们解决，这也没办法！ 
　　CIH及派生问题FAQ： 
　　Q：CIH是谁写的？ 
　　A：我不晓得，不过网上早有风言风语了，以下照抄： 
　　CIH病毒是台湾大同工学院一位名叫陈盈豪的学生搞的一个恶作剧，但无意中
，通过互联网流出，并通过互联网的传播， 
终造成大规模的病毒流行。当时， 这个病毒传播时所使用的载体为一个名叫"IC
Q中文Chat模块" 
的工具，此工具软件作者本人所维护的站台并没有CIH病毒， 
但由于互联网上各站台互相转载，在转载的过程中，感染上了CIH病毒。当时这个
工具下载并使用的人非常多，结果一传十，十传百......。 
　　当“ICQ中文Chat补丁”工具的作者知道此事后，联络了台湾非常著名的一个
免费杀毒软件作者，这个杀毒软件就是Super 
Scanner。Super Scanner首先推出了CIH病毒的查毒工具，当时并没有杀毒模块。
此时，CIH病毒作者与Super 
Scanner联系上，并提供了CIH免疫工具。 
　　CIH病毒作者在台湾各大Newsgroup与BBS上发布道歉信，公开道歉，道歉原文
如下： 
　　------------------------------------------------------------------
------------------------ 

　　这是一封公开道歉的信，这次的病毒事件，CIH V1.2，CIH V1.3，以及CIH 

V1.4，造成大家的伤害以及不便，为此深表歉意！事件是发生于五月底，病毒是
从宿舍内部迅速扩大到各大网站，因为网站的频繁使用，同时病毒的传染力甚强
，于是造成如此大的灾难，学校已经依学规对我个人适当的处分，并且郑重警告
，以后若有类似的事情发生，校方绝对会追究到底!? 

　　为了弥补个人的过失，这段时间，对外面中毒的热门软件，我也用archie搜
寻，花时间一一检查是否有病毒，有中毒的话，也附上此档案中CIH病毒类似的字
样，或是直接E-Mail给该站管理员，避免再次造成伤害。而在这段期间，感谢SS
CAN作者的帮忙，用最快的速度写出完整的解毒程序。同时我也及时写?出对CIH病
毒的免疫程序。同时藉此声，最近在网站上的流传CIH 
Version1.0 for 
word97巨集病毒，绝非个人行为，请各位详查。网站毕竟是公开的，全世界的病
毒到处流窜，新的病毒还是永远会继续产生，下载软件还是小心点，对大家造成
的伤害和不便，本人再一次深感抱歉，特写这封道歉信，以示负责! 

　　Super 
Scanner作者从CIH病毒作者提供的资料进行分析，并在1998年6月6日推出第一个
能完整杀除CIH全系列的版本，Super 
Scanner 2.20S版，文件名SS980606。EXE。 
　　Super Scanner最新版已经为2.50b(9月16日出品)，可通过http://sscan.ye
ah.net转到Super 
Scanner的主站去看看。
　　------------------------------------------------------------------
------------------------ 

　　Q：CIH是使用什么方法进行感染的？ 
　　A：就技巧而言，其原理主要是使用Windows的VxD(虚拟设备驱动程序)编程方
法，使用这一方法的目的是获取高的CPU权限，CIH病毒使用的方法是首先使用SI
DT取得IDT 
base address(中断描述符表基地址)，然后把IDT的INT 3 
的入口地址改为指向CIH自己的INT3程序入口部分，再利用自己产生一个INT 3指
令运行至此CIH自身的INT 
3入口程序出，这样CIH病毒就可以获得最高级别的权限(即权限0)，接着病毒将检
查DR0寄存器的值是否为0，用以判断先前是否有CIH病毒已经驻留。如DR0的值不
为0，则表示CIH病毒程式已驻留，则此CIH副本将恢复原先的INT 
3入口，然后正常退出(这一特点也可以被我们利用来欺骗CIH程序，以防止它驻留
在内存中，但是应当防止其可能的后继派生版本)。如果判断DR0值为0，则CIH病
毒将尝试进行驻留，其首先将当前EBX寄存器的值赋给DR0寄存器，以生成驻留标
记，然后调用INT 
20中断，使用VxD call Page Allocate系统调用，要求分配Windows系统内存(sy
stem 
memory)，Windows系统内存地址范围为C0000000h～FFFFFFFFh，它是用来存放所
有的虚拟驱动程序的内存区域，如果程序想长期驻留在内存中，则必须申请到此
区段内的内存，即申请到影射地址空间在C0000000h以上的内存。 

　　如果内存申请成功，则接着将从被感染文件中将原先分成多段的病毒代码收
集起来，并进行组合后放到申请到的内存空间中，完成组合、放置过程后，CIH病
毒将再次调用INT 
3中断进入CIH病毒体的INT 
3入口程序，接着调用INT20来完成调用一个IFSMgr_InstallFileSystemApiHook的
子程序，用来在文件系统处理函数中挂接钩子，以截取文件调用的操作，接着修
改IFSMgr_InstallFileSystemApiHook的入口，这样就完成了挂接钩子的工作，同
时Windows默认的IFSMgr_Ring0_FileIO(InstallableFileSystemManager，IFSMg
r)。服务程序的入口地址将被保留，以便于CIH病毒调用，这样，一旦出现要求开
启文件的调用，则CIH将在第一时间截获此文件，并判断此文件是否为PE格式的可
执行文件，如果是，则感染，如果不是，则放过去，将调用转接给正常的Window
s 
IFSMgr_IO服务程序。CIH不会重复多次地感染PE格式文件，同时可执行文件的只
读属性是否有效，不影响感染过程，感染文件后，文件的日期与时间信息将保持
不变。对于绝大多数的PE程序，其被感染后，程序的长度也将保持不变，CIH将会
把自身分成多段，插入到程序的空域中。完成驻留工作后的CIH病毒将把原先的I
DT中断表中的INT 
3入口恢复成原样。 
　　Q：ROM、PROM、EPROM、EEPROM、Flash ROM分别指什么？ 
　　A：ROM指的是“只读存储器”，即Read-Only 
Memory。这是一种线路最简单半导体电路，通过掩模工艺，一次性制造，其中的
代码与数据将永久保存(除非坏掉)，不能进行修改。这玩意一般在大批量生产时
才会被用的，优点是成本低、非常低，但是其风险比较大，在产品设计时，如果
调试不彻底，很容易造成几千片的费片，行内话叫“掩砸了”！ 

　　PROM指的是“可编程只读存储器”既Programmable Red-Only 
Memory。这样的产品只允许写入一次，所以也被称为“一次可编程只读存储器”
(One Time Progarmming 
ROM，OTP-ROM)。PROM在出厂时，存储的内容全为1，用户可以根据需要将其中的
某些单元写入数据0(部分的PROM在出厂时数据全为0，则用户可以将其中的部分单
元写入1)，以实现对其“编程”的目的。PROM的典型产品是“双极性熔丝结构”
，如果我们想改写某些单元，则可以给这些单元通以足够大的电流，并维持一定
的时间，原先的熔丝即可熔断，这样就达到了改写某些位的效果。另外一类经典
的PROM为使用“肖特基二极管”的PROM，出厂时，其中的二极管处于反向截止状
态，还是用大电流的方法将反相电压加在“肖特基二极管”，造成其永久性击穿
即可。 

　　EPROM指的是“可擦写可编程只读存储器”，即Erasable Programmable Rea
d-Only 
Memory。它的特点是具有可擦除功能，擦除后即可进行再编程，但是缺点是擦除
需要使用紫外线照射一定的时间。这一类芯片特别容易识别，其封装中包含有“
石英玻璃窗”，一个编程后的EPROM芯片的“石英玻璃窗”一般使用黑色不干胶纸
盖住，以防止遭到阳光直射。 

　　EEPROM指的是“电可擦除可编程只读存储器”，即Electrically Erasable 
Programmable 
Read-Only 
Memory。它的最大优点是可直接用电信号擦除，也可用电信号写入。EEPROM不能
取代RAM的原应是其工艺复杂，耗费的门电路过多，且重编程时间比较长，同时其
有效重编程次数也比较低。 

　　Flash 
memory指的是“闪存”，所谓“闪存”，它也是一种非易失性的内存，属于EEPR
OM的改进产品。它的最大特点是必须按块(Block)擦除(每个区块的大小不定，不
同厂家的产品有不同的规格)，而EEPROM则可以一次只擦除一个字节(Byte)。目前
“闪存”被广泛用在PC机的主板上，用来保存BIOS程序，便于进行程序的升级。
其另外一大应用领域是用来作为硬盘的替代品，具有抗震、速度快、无噪声、耗
电低的优点，但是将其用来取代RAM就显得不合适，因为RAM需要能够按字节改写
，而Flash 
ROM做不到。 
　　Q：主板Flash ROM中的BIOS程序怎会被破坏的？ 
　　A：PC机上常用来保存PC BIOS程序的Flash ROM包含两个电压接口，其中+12
V一般用Boot Block的改写，Boot 
Block为一特殊的区块，它主要用于保存一个最小的BIOS，用以启动最基本的系统
之用，当Flash 
ROM中的其它区块内的数据被破坏时，只要Boot Block内的程序还处于可用状态，
则可以利用这一基本的PC 
BIOS程序来启动一个最小化的系统，一般情况下，起码应当支持软盘的读写以及
键盘的输入，这样我们就有机会使用软盘来重新构建整个Flash 
ROM中的数据。一般的主板上均包含有一个专门的跳线，用来确定是否给此Flash
 ROM芯片提供+12V电压，只有我们需要修改Flash 
ROM中的Boot Block区域内的数据时，才需要短接此跳线，以提供+12V电压。 
　　另外一路电压为+5V电压，它可以用于维持芯片工作，同时为更新Flasm ROM
中非Boot Block区域提供写入电压。 
　　就以上的理论，可以得出：主板上的+12V跳线是为了防止更新Flash ROM中的
Boot 
Block区域而设置的，如果想升级BIOS，同时此升级程序只需要更新Boot 
Block区域以外的BIOS程序，则主板上的跳线根本没必要去跳，因为更新Boot 
Block区域以外的数据并不需要+12V电压，这样，即使升级失败，我们也还存在着
一个Boot 
Block中的最基本BIOS可以使用，这样就可以使用软盘来恢复原先的BIOS数据(一
般在升级的时候后，都提示用户保存当前的BIOS数据)。 

　　以上的理论是非常美好的，可为什么还是有拥护的BIOS程序在CIH病毒的魔爪
下被彻底摧毁了呢？ 
　　第一种情况是主板上的跳线处于短接状态，即Flash 
ROM芯片已经有+12V电压了，这一情况是由于用户不小心造成的，或者干脆是根本
不知道。这就得怪你自己了。 
　　第二种情况不是由用户造成的，而是由厂家造成的，这里涉及到一个比较复
杂的问题，由于上面美好的Boot 
Block概念是建立在Intel的基础之上的，也就是说，Intel公司拥有此项专利，这
就导致使用此类技术的一般都是Intel公司出的Flash 
ROM芯片，如常见的 Intel 28F0 芯片，当然，世界上并不是只有InteL一家公司
会生产Flash 
ROM，象Atmel、MXIC、SST、Winbond等公司也能生产，而且可以保证管脚兼容，
但是某些芯片在+5V的电压下就可以进行改写，这些单5V的芯片便是造成BIOS数据
被彻底破坏的原应。就本人所知，SST、Winboard、Atmel公司出的这些芯片都是
具有单5V可改特性的。以下是一些参考信息： 
写入电压5 Volt12 Volt
AtmelAT29LC010--
Intel--28F001BX-T
MXIC--MX28F1000
SST29EE010--
WinbondW29EE011--

　　(主板厂家为什么不使用如Intel公司的带“Boot Block”保护的芯片呢？道
理很简单，其他公司的产品更便宜！) 
　　技巧：对于这些单5V可写芯片的保护措施是将其WE (Write Enable)管脚设为
无效，例如Atmel 
AT29C10A芯片的31脚为WE引脚，属性为低电平有效，则只要将此引脚与VCC(+5V)
相连，将其电平拉高即可。一般情况下如果使用插座的Flash 
ROM芯片，则可考虑不将此脚插入，另外焊条线与VCC连接即可。 
　　Q：CIH病毒是破坏硬件的病毒么？ 
　　A：不是，前面已经讲的很明白了，在最坏的情况下，此病毒破坏的也只是F
lasm ROM中的BIOS程序，而BIOS程序在Flasm 
ROM中只是一堆电流的表现，实际上，即使出现最坏的情况，也没有任何硬件会出
现物理损坏，那块Flasm 
ROM中也只是信息丢失，并不代表此Flasm ROM就出现物理损坏了，如果拥有写入
器，还是可以在原先的Flasm 
ROM中写入BIOS程序的。 
　　如果说“CIH病毒是破坏硬件的病毒”，则整个概念观就会被颠倒，象重新写
入了一下Flash 
ROM信息(仅仅只是电流变化而已)，就被引申为“破坏硬件”，那么硬盘上的信息
是以N与S的磁级进行区分的，那么我删除了硬盘上的一个文件，造成了某些扇区
数据的变换，是不是也可以引申为硬盘的这些扇区发生“物理损坏”了呢？哈哈
哈！ 

　　的确，CIH病毒给我们造成了很大的麻烦，可能造成你的机器不能够启动，但
它并没有出现什么破坏硬件的情况，这是很明显的。