应该是真正的CIH病毒，VMware改日期后可以蓝屏

lovelive10010

Avira
                 
警告
已在该网站上发现一个 可疑文件/形式 。 已阻止对该网站的访问。
请求的 URL：                 https://att.kafan.cn/forum.php?mo ... DU5NzM4NXwyMTQ5ODY4
信息：                 包含 W95/CIH.A Windows 病毒的代码

kaba666

关闭卡巴网页防护!下载下来,卡巴成功清除,感染文件!剩下两个尸体

wowocock

很老的毒了，想起了20多年前调试这个病毒的情况。由于当年的WIN9X系列下，内核内存可以R3直接访问，导致当时该病毒修改了IDT 表，通过中断门杀入内核。也算是挺有意义的，记得当年为了学习这个把整个INTEL指令手册的保护模式流程全看了一遍。也算是打了个好基础。这病毒当时也是把代码嵌入到PE节空间导致，感染前后大小不变，打了不少杀软的脸。而破坏BIOS其实只是在内核中直接操作IO端口来破坏BIOS数据，不过由于兼容性差，记得当初只支持INTEL 430TX系列的主板。现在进R0不比当初难多少，只不过现在大家都不以破坏为炫耀了。

haikoulsw

skilly 发表于 2019-5-20 00:02
Possible cause: bad disk or file transfer error？？？

这个病毒只能在win95、98下运行，而且只有keygen.exe是真正能激活病毒的，另一个是winzip自解压包，cih设定上是感染不了的，会出现文件头错误

ATP_synthase

星星#星星 发表于 2019-5-20 00:20
问一下为什么会网页拦截？还没下载这怎么扫描出来的啊

流量扫描啊，你浏览器看到的页面其实已经下载到你电脑上了

心痛的伤不起

wowocock 发表于 2019-5-20 10:13
很老的毒了，想起了20多年前调试这个病毒的情况。由于当年的WIN9X系列下，内核内存可以R3直接访问，导致当 ...

https://bbs.kafan.cn/thread-2148238-1-1.html，此问题修复没有，没有装小a了，现在来问一下。100%问题应该找得到原因吧

135123

skilly 发表于 2019-5-20 00:02
Possible cause: bad disk or file transfer error？？？

可能是系统/CIH感染时没破效验的关系

klinxun

蜘蛛

日期：2019/5/21 23:10
组件：扫描仪
代码：700
事件：侦测到威胁
详细信息：
对象： cih.zip
威胁： Win95.CIH.1003
操作： 已隔离
路径： F:\cih.zip

心心相印

gdata kill

zhaosiyu

wowocock 发表于 2019-5-20 10:13
很老的毒了，想起了20多年前调试这个病毒的情况。由于当年的WIN9X系列下，内核内存可以R3直接访问，导致当 ...

膜拜大神