缘起又是一年双十一,又到一年剁手时。听说今年固态硬盘比较便宜,我就想着在双十一的时候给自己添一块固态硬盘。但是我的主板比较老,不知道能不能支持NVME协议的固态硬盘,就在网上搜索了一下.这一搜索不要紧,搜索后我发现,我的老主板本身并不支持NVME协议的固态硬盘,但想要使用,也不是没有解决方案。解决方案就是:下载官方的BIOS固件修改官方BIOS固件,将支持nvme的模块加入到官方的BIOS固件中。将修改后的BIOS固件烧录到BIOS。what?官方的BIOS固件修改后居然还能烧录进去,居然没有自校验吗?BIOS作为计算机启动的之一道入口,能让用户随意修改,虽然方便了用户,但是也带来了巨大的安全隐患。我忽然想起很久以前有一款很出名,据说能破坏BIOS的上古病毒-CIH,忽然起了好奇心,想要看看CIH具体是怎么实现的。于是就有了这篇文章,与大家一起回顾那段历史,分享下我分析CIH源码的过程与心得。 源码CIH的故事已经消逝很久了,它的源码却还能在互联网上找到。源码可以在github上找到,网址如下:https://github.com/onx/CIH这是1.4版本的CIH源码,据说还有1.5版本的,但是我没有找到。我们的分析就从这份源码开始吧!先大概扫一眼代码,作者的编码习惯很好,各部分都也有注释,开头部分是版本记录,将版本变化的具体时间和具体功能都记录了下来。我们先把时间线理一下。1.0版的完成时间是1998年4月26日, 完成基本功能,此时病毒的大小是656个字节。1.1版的完成时间是1998年5月15日, 增加操作系统判断,如果是WinNT,则不运行病毒,此时病毒的大小是796个字节。1.2版的完成时间是1998年5月21日, 增加删除BIOS和破坏硬盘功能,此时病毒的大小是1003个字节。1.3版的完成时间是1998年5月24日, 修复感染winzip自解压文件的错误,此时病毒的大小是1010个字节。1.4版的完成时间是1998年5月31日, 彻底修复感染winzip自解压文件的错误,此时病毒的大小是1019个字节。1998年7月26日,CIH病毒在美国大面积传播;1998年8月26日,CIH病毒实现了全球蔓延,公安部发出紧急通知,新华社和新闻联播跟进报导;之后,CIH病毒作者陈盈豪公开道歉并积极提供解毒程式和防毒程式,CIH病毒逐渐得到有效控制。呵呵,不到1KB就能删除你的BIOS,破坏你的硬盘,就问你怕不怕?那么,现在就让我们看看CIH究竟是如何在二十年前造成如此巨大的影响和破坏的! 分析PE文件头源码之一部分是文件头:OriginalAppEXE SEGMENTFileHeader:db 04dh, 05ah, 090h, 000h, 003h, 000h, 000h, 000hdb 004h, 000h, 000h, 000h, 0ffh, 0ffh, 000h, 000hdb 0b8h, 000h, 000h, 000h, 000h, 000h, 000h, 000h.....db 000h, 000h, 000h, 000h, 000h, 000h, 000h, 000hdb 0c3h, 000h, 000h, 000h, 000h, 000h, 000h, 000hdd 00000000h, VirusSizeOriginalAppEXE ENDS就是PE文件的MZ文件头。这段文件头的主要目的是为了符合PE(Portable Execute, 可移植执行文件格式)文件格式.我们常见的EXE,DLL,OCX等文件都必须符合微软规定的PE格式,这样Windows操作系统才能识别并执行,这里我们跳过不做分析,感兴趣的读者可以对照PE文件头和源码自行分析。 *** 上也有很多关于PE格式分析的文章。另外,请各位读者注意,因为CIH的故事已经过去很久了,CIH所曾经使用的有些技术已经过时,但却能在今天找到借鉴,有些技术则没有过时,可谓生命力顽强,这一点我会在文章中一一指出,希望能供大家参考借鉴。VirusGame SEGMENTASSUME CS:VirusGame, DS:VirusGame, SS:VirusGameASSUME ES:VirusGame, FS:VirusGame, GS:VirusGame; *********************************************************; * Ring3 Virus Game Initial Program *; *********************************************************病毒真正开始运行是从VirusGame段开始的。VirusGame这个段名称很有意思!作者完成这个病毒时是23岁(如今已是43岁!),还是少年人的心性,开发一个病毒,对作者而言就好像完成一个游戏一般。可是时移事变,今天已经不是20年前!2018年,中华人民共和国 *** 安全法已经出台,开发病毒可能会造成严重的后果,不是一个道歉就能了事的,各位读者在这点上一定要树立一个正确的意识!一定要好好学习相关的法律,不要以身试法。修改SEH闲话少叙,接下来我们的分析从MyVirusStart开始。MyVirusStart:push ebp; *************************************; * Let's Modify Structured Exception *; * Handing, Prevent Exception Error *; * Occurrence, Especially in NT. *; *************************************lea eax, [esp-04h*2]xor ebx, ebxxchg eax, fs:[ebx]call @0@0:pop ebxlea ecx, StopToRunVirusCode-@0[ebx]push ecxpush eax程序的之一段是修改Windows的SEH(Structured Exception Handing)。首先,什么是SEH?为什么要修改SEH呢?SEH,Structured Exception Handing, 结构化异常处理,是Windows操作系统的异常和分发处理机制.该机制的实现方式是将FS[0]指向一个链表,该链表告诉操作系统当出现异常的时候应该找谁处理。类似于我们现实生活中的紧急联系人列表,如果应用程序出了什么问题,就交给链表中的一号紧急联系人处理,如果一号紧急联系人无法处理,就交给二号联系人。依次类推。当所有的异常处理函数都调用完成,而异常仍然没有处理掉,这时,操作系统
如今随着信息和科技的进步与发展,我们的隐私变得越来越不值钱。可能对我们来说像家庭住址手机号码这样的信息着实是很重要,但是信息被泄露后在中介手中这些信息可能也就值个几毛钱。 虽然现如今我们都很注重我们...
自2007年1月09日苹果发布第一代苹果智能手机,引爆智能手机市场,十多年来智能手机的发展已经改变了人们的生活,现在生活的方方面面都离不开手机,微信已经是人们日常聊天沟通的基本工具,微信也承...
长尾关键词优化 如何优化长尾关键词 据SEO相关统计,长尾关键词流量要占据全站流量的80%,长尾关键词优化主要注意长尾关键词挖掘、长尾关键词布局、长尾关键词页面内容编辑、长尾关键词推广和外链。 1...
黑客教你查询某人信息,并且不让别人知道,黑客组通常喜欢使用各种漏洞攻击目标企业,但基于软件的安全漏洞并不总是被有效利用。因此,通过社会工程进行攻击也是许多黑客群体的共同手段,虽然社会工作手段比较复杂,...
1,选择了自媒体推广模式的企业如何降低成本,增加效率? 答: ①,取个好名字!有些名字天生就自带流量,有个做app开发的公司,公众号名字直接就叫“app开发团队”。然后有人在微信上搜索app开发团队的...
源码下载http://down.chinaz.com/soft/19655.htm 官方网站http://www.melyysoft.com/ 漏洞等级:高 Google搜索:"0351-606189...