Данный веб-сайт имеет опцию поиска, которой можно воспользоваться с тем, чтобы найти и другие версии исходного кода вируса CIH. Как и в случае с другими вирусами, код вируса CIH запутан и сложен. Из-за многочисленных инструкций перехода, в нем трудно разобраться. Прежде чем изучать работу отдельных фрагментов этого вируса, рассмотрим общие принципы его работы. Механизм исполнения вируса CIH 1.5 следующий: Инфицируются исполняемые файлы, в особенности файлы формата РЕ. В этом контексте, файлы формата РЕ — это файлы, исполняемые на компьютерах платформы Windows. Модифицируется таблица IDT. В нее вставляется вектор обработчика исключений, указывающий на специальный обработчик исключений в коде вируса. Генерируется исключение, задача которого — переключить исполнение в режим ядра. Коды режима ядра находятся в специальной процедуре обработки исключений вируса подразумевают, что код вируса должен быть способным модифицировать элементы таблицы IDT во время исполнения в пользовательском режиме. Это означает, что вирус CIH не может исполняться на версиях Windows, основанных на ядре Windows NT. К их числу относятся Windows NT, Windows 2000, Windows XP и более новые версии. В этих системах приложения пользовательского режима не имеют доступа к таблице ЮТ. Вирус CIH может исполняться только на системах типа Windows 9л В таких системах приложения пользовательского режима могут модифицировать таблицу ЮТ.
Рубрика: Женский интерес
