一个病毒问题(100分)

  • 主题发起人 主题发起人 SeaSky
  • 开始时间 开始时间
S

SeaSky

Unregistered / Unconfirmed
GUEST, unregistred user!
我的机器被CIH传染了一下, 已经有几十个EXE文件
被感染, 但我发现用Delphi 编写的EXE文件就幸免遇难,
没有被传上, 如Foxmail之类.
CIH这样的病毒也男女有别吗?
 
想来Object Pascal的编译方式与VC等的编译方式是不一样的,CIH可能只对
盖茨这样的有钱人感兴趣。
 
只是一个偶然现象
 
是吗?有趣!这又是我们选择Delphi的又一妙处!
 
能否问一下,你的Delphi是Dos下的Exe文件吧!?
病毒分Dos版和Windows版、Dos和Windows等几种,而Windows版又可分为PE格式和
非PE格式(我认为)这几种,用VC/VB(台湾多用此编程)编写的EXE多为PE格式,Cih当
然对其感兴趣!"女子"当然与男子不同,你多间见女子商品用于男子了?CIH对“女
子”是否另有隐情就不好说了。
 
我刚刚在我的试验机上传了一次CIH V1.2 , 发现Windows95
的系统目录和Program Files目录下的执行文件大多受到
传染, Foxmail.exe 却没有传染.
注: Foxmail是 张小龙用Delphi编写的Email软件.
 
>能否问一下,你的Delphi是Dos下的Exe文件吧!?
高!
 
1.可能是DOS下程序;
2.仅仅编译,没有运行过。
 
拜托, 我运行过许多遍了, 我做的Delphi Windows程序和Foxmail程序
都是Win32 PE 的程序. 没有执行过的程序都被感染了, 我又运行
了UtralEdit ,和Foxmail 和我用Delphi编写的一个FTP程序,
结果Utral Edit被感染, FTP, Foxmail没事.
 
delphi编译出来的程序肯定是PE格式的。
我猜你用程序是不是压缩过,cih是不感染压缩的exe文件的。
顺便发表一下我对防止病毒的一些看法:
如果我们每个程序员写程序的时候都加入一些代码,可以对自己
执行文件进行完整性检查,如果发现程序有变就报警或删除自己。
这样病毒就很难传染开。因为我们每个人的写法都不一样,病毒
是不可能去破解每一个程序的。如果病毒要破解,那它就不能做
得很小了。
我平时一直在计算机里运行一个这样的程序,虽不能主动查出病毒,
但可以主动吸引病毒来感染,一旦感染就可以起到预警的作用。这样
总比运行一堆查病毒软件简单多了吧。而且可以真正预防未知病毒,
只要它感染文件的话。
一点想法,我对病毒没有什么研究,也不只可行否。
 
urus言之差异!倘若都为PE格式为什么某些文件不感染,难道是讨好“女人”吗?
现在有Pe格式,还有一种好像是XE格式,也是Windows下的执行文件!
我的CIH样本还为解剖,但关键就在于此!
 
嘿嘿!
说得好悬乎哦!
可是事实是上次我从网上下载了一份foxmail2.1上面就有病毒的说。
再说了,如果你买了那张骗人的4.05红D碟的话就明白喽!!
上面有好多Delphi编译的DEMO,个个都有CIH,共137个文件感染了
其中除了Delphi的系统元件就是Delphi编译的EXE-DEMO
害我不浅呀,现在想起来还后怕。
 
“要知道里子的滋味,则要亲口品尝!”,病毒和食物不一样,感染了那么多病毒
你也不怕得“后遗症”!对了,你的机器是姓“公”吧,要不然就不会那么大胆!
人类还有象哎伯拉病毒等解决不了的呢,何况是计算机呢?光靠几个Kv300是不能
解决问题的!
 
对于被cih感染的文件,我一向都不再
使用这种文件,宁肯重新下载。
因为该程序中会有病毒尸体。
 
1. DELPHI 1.0生成的EXE是NE格式.NE格式是OS/2和Win3.1使用的
16位执行文件的格式.这种文件CIH肯定不能感染.
2. DELPHI 1.0以上版生成的都是真正的32位程序,是标准的PE格式.
3. 没有什么XE格式,理论上说CIH不应该对VC或M$有所偏爱.但是要
做这样的程序却也是可能的,而且难度不大.
4. 如果CIH确实不感染某些执行文件,可能是:(1)这些文件已经被感
染,只是你在这种环境下不能发现;(2)这些文件中恰好包含CIH自
己的识别串,导致其认为这个文件已经被感染;(3)这些文件中段间
的空隙太小,不够CIH使用.
这里要特别说明(3):
由于CIH感染后的文件大小不变,所以它必须找到执行文件中足够的空
隙来安放自己才能进行感染.PE文件中,每个段都要对齐到一个指定的
边界.于是,在段的末尾就可能存在一定的空间让CIH安放自己.M$建议
段的边界对齐到512字节,于是,平均段间空隙有256字节.对于只有数
百字节的CIH,只要有3~4个段就很容易把自己插入这个执行文件中.
而用VC/DELPHI等编译的程序,都会超过4个段(至少要有:代码段,数据
段,资源段,引入段,一般都有重定位段和引出段,还可能有其他段).
VC应该忠实地执行了M$的建议,将段对齐到512边界,所以很容易感染病
毒.而DELPHI可能缺省将对齐边界定得比较小,这样的执行文件就不容
易感染病毒.
 
对是NE格式!
 
FOXMAIL会感染CIH病毒!我曾经中过。
你的DELPHI是啥版本?
 
我又试验了一遍, Foxmail 2.1c就是不传染,
我用Delphi 4编译了一个最最简单的Form, 放
入代毒机器,Windows和program files目录下的Exe文件
普遍感染,我反复运行Foxmail和project1(Delphi form)后,
再次用SScan 查毒,Foxmail和project1就是没有被感染。
试验完毕
我后来用CIH-KILL将CIH剿灭。
毒源: 98年某D版盘上的“cuteftp2” 。
Sscan 查毒为 CIH 1.2[Win32 PE] ;
CIH-kill 查毒为 windows.CIH.1095 ;
我怀疑是否Cih的版本太低?
BTW Foxmailc 的安装程序依然会被传染。

To Jams,
我使用的试验机是我自己的机器。 486, 无法写EPROM.
对付病毒,我有我自己的一套办法。
To all:
谁要不相信, 可以问我要带毒样本。
 
to SeaSky
本论坛多见你的身影,想必你的历史也不短了吧!怎能这样冒然行事呢?让外人一看
你的言论就觉与你的身份不相称!譬如我们此处有位教授,大言不惭地说,(计算机)
病毒不会传染给人吧!
SeaKey君,你可能与版主是近邻吧!给他/她说一下,开辟一病毒讨论区,纠正一些
错误的作法和思想。
援引你的话“我使用的试验机是我自己的机器。 486, 无法写EPROM.”.最早的计
算机病毒与开发环境有关,某种病毒只能它的环境才能发展,该结论已在中国计算机
报上报道过。现在流行的主板、系统,只能管理当前的功能如PCI结构、图象加速等,
现在的病毒只能在这种环境下才能滋生,你把它拿到别的系统结构上(如VISA/PCI总
线或UNIX系统)都不能起动/触发病毒体,这一点想必你也知道?
此外,你把病毒样本传染给自己,但你忘了,病毒的触发是有条件的,如有的病毒
将计数器设到FFH,你运行多少遍才能触发病毒呢?更何况病毒的水平也越来越高,
它能轻易显露自己吗?若果真如此,那还叫病毒吗?
 
To Jams :
首先, 谢谢你的提醒, 一个不了解其危害的病毒, 我是绝对不赶做此试验.
其次, 我只是就事论事, 只是CIH ,而且是98年的版本.
第三, 我的486是PCI总线的 AMD5X86/133, 我主要工作机器是P/200MMX.
第四, 我并不惧怕病毒, 我对CIH病毒造成的损害, 早有预料. 我曾经完整
地帮别人恢复了4/26因病毒毁坏的硬盘数据, 无论是C盘还是D...,
C盘恢复原理很简单, FAT2没有损坏, 复制FAT2到FAT1 , 修复ROOT
区, 修复硬盘分区表..
第五, 杀CIH病毒的程序很多.
第六, 提这个问题, 只是我觉得奇怪.(有点好奇的说). 我并不是一定需要
知道答案.
第七. 对你所说的, 十分佩服.
To All :
如果你不了解病毒原理, 并且只会依靠杀毒软件来杀毒,防毒. 就不必试了.
 
您必须登录或注册才可回复。

Similar threads

Y
不小心,电脑被被病毒感染了! 求救!(50分)
回复
5
查看
163
naughtboy
N
H
知道这是什么病毒吗?(100分)
回复
6
查看
154
hnw777
H
我中病毒了,好惨呀555555555555!!!!!(0分)
回复
4
查看
137
leezero
L
D
为什么金山毒霸老是报httpodbc.dll感染蠕虫病毒?(10分)
回复
5
查看
148
datoncg
D
M
引导区病毒?(100分)
回复
9
查看
210
maomicn
M
后退
顶部