CIH病毒是一种能够破坏计算机系统硬件的恶性病毒。
这个病毒产自台湾，原集嘉通讯公司（技嘉子公司）手机研发中心主任工程师陈盈豪在其于台湾大同工学院念书期间制作。
最早随国际两大盗版集团贩卖的盗版光盘在欧美等地广泛传播，随后进一步通过网络传播到全世界各个角落。
CIH病毒是一位名叫陈盈豪的台湾大学生所编写的，从台湾传入大陆地区的。
CIH的载体是一个名为“ICQ中文Chat模块”的工具，并以热门盗版光盘游戏如“古墓奇兵”或Windows95/98为媒介，经互联网各网站互相转载，使其迅速传播。
目前传播的主要途径主要通过Internet和电子邮件，当然随着时间的推移，其传播主要仍将通过软盘或光盘途径。
1998年6月2日，首例CIH病毒在中国台湾被发现；1998年6月6日，发现CIH 病毒V1.2版本；1998年6月12日，发现CIH 病毒V1.3版本；1998年6月30日，发现CIH 病毒V1.4版本；1998年7月26日，CIH病毒在美国大面积传播；1998年8月26日，CIH病毒实现了全球蔓延，公安部发出紧急通知，新华社和新闻联播跟进报导；1999年4月26日，CIH病毒1.2版首次大规模爆发，全球超过六千万台电脑受到了不同程度的破坏。
此后，陈盈豪公开道歉并积极提供解毒程式和防毒程式，CIH病毒逐渐得到有效控制。
这个病毒的死灰复燃是在2001年。
一个用珍妮佛洛佩兹的裸照伪装的VBscript文档里的爱虫病毒的一个变种包含CIH病毒的挂钩例程，从而使该病毒在互联网上传播开来。
但由于CIH病毒只在windows 95、98和windows Me系统上发作，且人们对它的特性也有所了解，因此造成的损失有限。
一个修改版本是CIH.1106，发现于2002年12月，但是没有严重的破坏性。
CIH病毒属文件型病毒，杀伤力极强。
主要表现在于病毒发作后，硬盘数据全部丢失，甚至主板上BIOS中的原内容也会被彻底破坏，主机无法启动。
只有更换BIOS，或是向固定在主板上的BIOS中重新写入原来版本的程序，才能解决问题。
当然，CIH对BIOS的破坏，也并非想像中的那么可怕。
现在PC机基本上使用两种只读存储器存放BIOS数据，一种是使用传统的ROM或EPROM，另一种就是E2PROM。
厂家事先将BIOS以特殊手段“烧”入（又称“固化”）到这些存储器中，然后将它们安装在PC机里。
当我们打开计算机电源时，BIOS中程序和数据首先被执行、加载，使得我们的系统能够正确识别机器里安装的各种硬件并调用相应的驱动程序，然后硬盘再开始引导操作系统。
固化在ROM或EPROM中的数据，只有施加以特殊的电压或使用紫外线才有可能被清除，这就是我们打开有些计算机机箱时，可能会看到有块芯片上贴着一小块银色或黑色纸块的原因——防止紫外线清除BIOS数据。
要清除存储在这类只读存储器中的数据，仅靠计算机系统内部的电压是不够的。
所以，仅使用这种只读存储器存储BIOS数据的用户，就没有必要担心CIH病毒会破坏BIOS。
但最新出产的计算机，特别是Pentium以上的计算机基本上都使用了EEPROM存储部分BIOS。
EEPROM又名“电可改写只读存储器”。
一般情况下，这种存储器中的数据并不会被用户轻易改写，但只要施加特殊的逻辑和电压，就有可能将EEPROM中的数据改写掉。
使用PC机的CPU逻辑和计算机内部电压就可轻易实现对EEPROM的改写，这正是我们通过软件升级BIOS的原理，也是CIH破坏BIOS的基本方法。
改写EEPROM内的数据需要一定的逻辑条件，不同PC机系统对这种条件的要求可能并不相同，所以CIH并不会破坏所有使用EEPROM存储BIOS的主板，目前报道的只有技嘉和微星等几种5V主板，这并不是说这些主板的质量不好，只不过其EEPROM逻辑正好与CIH吻合，或者CIH的编制者也许就是要有目的地破坏某些品牌的主板。
所以，要判断CIH对您的主板究竟有没有危害，首先应该判别您的BIOS是仅仅烧在ROM/EPROM之中，还是有一部分使用了EEPROM。
需要注意的是，虽然CIH并不会破坏所有BIOS，但CIH在“黑色”的26日摧毁硬盘上所有数据远比破坏BIOS要严重得多——这是每个感染CIH病毒的用户不可避免的。
病毒版本编辑CIH病毒别名有Win95.CIH、Spacefiller、Win32.CIH、PE_CIH，它主CIH病毒要感染Windows95/98下的可执行文件(PE格式，Portable Executable Format)，不感染DOS以及WIN 3.X(NE格式，Windows and OS/2 Windows 3.1 execution File Format)下的可执行文件，并且在Win NT中无效。
其发展过程经历了v1.0，v1.1、v1.2、v1.3、v1.4总共5个版本，最流行的是v1.2版本.CIH病毒各种不同版本的随时间的发展不断完善，其基本发展历程为：v1.0版本最初的V1.0版本只有656字节，其显得比较简单，与普通类型的病毒在结构上并无多大的改善，其最大的“卖点”是在于其是当时为数不多的、可感染Microsoft Windows PE类可执行文件的病毒之一， 被其感染的程序文件长度增加，此版本的CIH不具有破坏性。
v1.1版本当其发展到v1.1版本时，病毒长度为796字节，此版本的CIH病毒具有可判断WinNT软件的功能，一旦判断用户运行的是WinNT，则不发生作用，进行自我隐藏，以避免产生错误提示信息，同时使用了更加优化的代码，以缩减其长度。
此版本的CIH另外一个优秀点在于其可以利用WIN PE类可执行文件中的“空隙”，将自身根据需要分裂成几个部分后，分别插入到PE类可执行文件中，这样做的优点是在感染大部分WINPE类文件时， 不会导致文件长度增加。
v1.2版本当其发展到v1.2版本时，除了改正了一些v1.1版本的缺陷之外，同时增加了破坏用户硬盘以及用户主机 BIOS程序的代码，这一改进，使其步入恶性病毒的行列，此版本的CIH病毒体长度为1003字节，病毒发作时间为每年的4月26日。
v1.3版本原先v1.2版本的CIH病毒最大的缺陷在于当其感染ZIP自解压包文件(ZIP self-extractors file)时，将导致此ZIP压缩包在自解压时出现：WinZip Self-Extractor header corrupt.Possible cause: disk or file transfer error.的错误警告信息。
v1.3版本的改进方法是：一旦判断开启的文件是WinZip类的自解压程序，则不进行感染。
同时，此版本的CIH病毒发作时间修改为每年的6月26日。
v1.3 版本的CIH病毒长度为1010字节。
v1.4版本此版本的CIH病毒改进上上几个版本中的缺陷，不感染ZIP 自解压包文件，同时修改了发作日期及病毒中的版权信息(版本信息被更改为：“CIH v1.4 TATUNG”，在以前版本中的相关信息为“CIH v1.x TTIT”)，此版本的长度为1019字节。
从上面的说明中，我们可以看出，实际上，在CIH的相关版本中，只有v1.2、v1.3、v1.4这3 个版本的病毒具有实际的破坏性.发作特征编辑CIH属恶性病毒，当其发作条件成熟时，其将破坏硬盘数据，同时有可能破坏BIOS程序，其发作特征CIH病毒是：1、以2048个扇区为单位，从硬盘主引导区开始依次往硬盘中写入垃圾数据，直到硬盘数据被全部破坏为止。
最坏的情况下硬盘所有数据(含全部逻辑盘数据)均被破坏，如果重要信息没有备份，那就只有哭了！2、某些主板上的Flash Rom中的BIOS信息将被清除。
大事记编辑（1998-2004年）1998年6月2日：台湾传出首例CIH病毒报告1998年6月6日：发现CIH V1.2版本1998年6月12日：发现CIH V1.3版本1998年6月26日：CIH V1.3版本造成一定程度的破坏1998年6月30日：发现CIH V1.4版本1998年7月：在INTERNET 环境中发现一个基于WIN98系统的分布感染实例1998年7月26日：CIH病毒开始在美国大面积传播1998年8月：在Wing Commander 游戏站点发现DEMO被感染1998年8月：两家欧洲的PC游戏杂志光盘被发现感染CIH1998年8月26日：CIH 1.4 版本爆发, 首次在全球蔓延1998年8月31日：公安部发出紧急通知，新华社、中央台新闻联播全文播发1998年9月：Yamaha为某个类型的CD-R驱动编写的软件被感染CIH1998年10月：一个在全球发行的游戏SiN的DEMO版被发现感染CIH1999年3月：CIH 1.2 版本被发现在IBM 的Aptiva 机器中预装1999年4月26：CIH 1.2 版本首次大范围爆发 全球超过六千万台电脑被不同程度破坏2000年4月26：CIH 1.2 版本第二次大范围爆发，全球损失超过十亿美元2001年4月26：CIH 第三次大范围爆发。
仅北京就有超过六千台电脑遭CIH破坏2002年4月26日：CIH病毒再次爆发，数千台电脑遭破坏2003年4月26日：仍然有100多个CIH病毒的受害者感染特征编辑由于流行的CIH病毒版本中，其标识版本号的信息使用的是明文，所以可以通过搜索可执行文件中的字符串来识别是否感染了CIH病毒，搜索的特征串为“CIH v”或者是“CIH v1.”如果你想搜索更完全的特征字符串，可尝试“CIH v1.2 TTIT”、“CIH v1.3 TTIT”以及“CIH v1.4 TATUNG”，不要直接搜索“CIH”特征串， 因为此特征串在很多的正常程序中也存在，例如程序中存在如下代码行： inc bx dec cx dec ax 则它们的特征码正好是“CIH(0x43;0x49;0x48)”，容易产生误判。
具体的搜索方法为：首先开启“资源管理器”，选择其中的菜单功能“工具>查找>文件或文件夹”，在弹出的“查找文件”设置窗口的“名称和位置”输入中输入查找路径及文件名(如：*.EXE)，然后在“高级>包含文字”栏中输入要查找的特征字符串--“CIH v”，最后点击“查找键”即可开始查找工作。
如果在查找过程中， 显示出一大堆符合查找特征的可执行文件，则表明您的计算机上已经感染了CIH病毒。
实际上，在以上的方法中存在着一个致命的缺点，那就是：如果用户刚刚感染CIH病毒，那么这样一个大面积的搜索过程实际上也是在扩大病毒的感染面。
一般情况下，推荐的方法是先运行一下“写字板”软件，然后使用上面的方法在“写字板”软件的可执行程序Notepad.exe中搜索特征串，以判断是否感染了CIH病毒。
另外一个判断方法是在Windows PE文件中搜索IMAGE_NT_SIGNATURE字段，也就是0x00004550，其代表的识别字符为“PE00”，然后查看其前一个字节是否为0x00，如果是，则表示程序未受感染，如果为其他数值，则表示很可能已经感染了CIH病毒。
最后一个判断方法是先搜索IMAGE_NT_SIGNATURE字段--“PE00”，接着搜索其偏移0x28位置处的值是否为55 8D 44 24 F8 33 DB 64，如果是，则表示此程序已被感染。
适合高级用户使用的一个方法是直接搜索特征代码，并将其修改掉，方法是：先处理掉两个转跳点，即搜索：5E CC 56 8B F0 特征串以及5E CC FB 33 DB特征串，将这两个特征串中的CC改90(nop)，接着搜索 CD 2C4 20 与 CD 20 67 00 40 00特征字串，将其全部修改为90，即可（以上数值全部为16进制）。
破坏性编辑CIH病毒是一种能够破坏计算机系统硬件的恶性病毒。
这个病毒产自台湾，集嘉通讯公司（技嘉子公司）手机研发中心主任工程师陈盈豪在其于台湾大同工学院念书期间制作。
最早随国际两大盗版集团贩卖的盗版光盘在欧美等地广泛传播，随后进一步通过Internet传播到全世界各个角落。
目前传播的途径主要通过Internet和电子邮件。
计算机病毒的传播已摆脱了传统存储介质的束缚，Internet和光盘现已成为加速计算机病毒传播最有效的催化剂。
CIH病毒只感染Windows95/98操作系统，从目前分析来看它对DOS操作系统似乎还没有什么影响，这可能是因为它使用了Windows下的VxD（虚拟设备驱动程序）技术造成的。
所以，对于仅使用DOS的用户来说，这种病毒似乎并没有什么影响，但如果是Windows95/98用户就要特别注意了。
正是因为CIH独特地使用了VxD技术，使得这种病毒在Windows环境下传播，其实时性和隐蔽性都特别强，使用一般反病毒软件很难发现这种病毒在系统中的传播。
CIH病毒每月26日都会爆发（有一种版本是每年4月26日爆发）。
CIH病毒发作时，一方面全面破坏计算机系统硬盘上的数据，另一方面对某些计算机主板的BIOS进行改写。
BIOS被改写后，系统无法启动，只有将计算机送回厂家修理，更换BIOS芯片。
由于CIH病毒对数据和硬件的破坏作用都是不可逆的，所以一旦CIH病毒爆发，用户只能眼睁睁地看着价值万元的计算机和积累多年的重要数据毁于一旦。
CIH病毒现已被认定是首例能够破坏计算机系统硬件的病毒，同时也是最具杀伤力的恶性病毒。
从技术角度来看，CIH病毒实现了与操作系统的完美结合。
该病毒使用了Windows95/98最核心的VxD技术编制，被认为是牢固地连接到了操作系统底层，所以CIH病毒既不会向DOS操作系统传播，也不会向WindowsNT操作系统扩散。
CIH病毒的这一技术特点给使用传统反病毒技术防治计算机病毒的人提出了巨大的挑战，这是因为传统反病毒工具基本上都是纯DOS或工作在Windows95之下的仿真DOS应用程序，它们无法深入到Windows95/98操作系统的底层去彻底清除CIH病毒；另一方面，由于能够与操作系统底层紧密结合，CIH病毒的传播就更为迅速、隐蔽。
防治类似CIH这种能够与操作系统紧密结合的病毒最好的方法是使用本身能够与各种操作系统紧密结合的反病毒软件。
CIH 病毒是一种运用最新技术，会 Format 硬碟的最新病毒，通常都利用网路族上网时，进行传播感染 。
目前最新的变种病毒为CIH 会在每月26 日发病，并会展现最强大的破坏力-Format 硬碟. CIH病毒平常并没有作什么破坏性的动作，也没有显示任何画面，只是占用部份记忆体而已。
但是有些 32-bit的程式被感染之后，运作会不正常，甚至会造成当机。
但是，CIH病毒长驻在主记忆体之后，每次 执行时，会检查电的日期是否为﹝4月26日﹞，如果是，它会透过你的电脑I/O部：CF8，CFD，CFE修改你 的电脑的某些设定，并且把你电脑所有硬盘的资料都毁了，甚至连硬盘数据区及引导区的资料都不在了 ，并且让电脑当机。
当你重新开机，屏幕会出现"DISK BOOT FAILURE, INSERT SYSTEM DISK AND PRESS ENTER"(硬盘引导失败，请插入系统盘后敲击回车)。
若是用软盘引导开机再执行C:指令，则出现"Invalid drive specification"(不可用的驱动器编号)。
即使曾经有备份引导区资料，但是磁盘中的资料已全毁，可不可以开机已经没有意义了 [1] 。
检测预防编辑系统中感染了CIH病毒时，由于病毒时刻在监视系统中的文件使用情况，造成系统效率降低，而且有些自解压文件在病毒感染后被破坏，清除病毒后也不能使用，尤其是病毒发作时造成的破坏，后果更为严重。
目前，防止CIH病毒的传染和破坏主要有两种方法：一是实时监测，不让病毒进入系统，如KILL98就采用了这种方法，其优点是比较安全，但影响系统的速度，有可能误报，而且对使用染有病毒的文件不方便。
二是定期对系统进行病毒检查，清除文件中的病毒，这种方法比较简单，系统效率影响不大，但安全性不高。
实际上，CIH病毒第一次进入机器内存时，系统中感染病毒的文件是很少的，只是由于未能及时发现，才使病毒得以传播和蔓延。
许多杀毒软件在检查文件中的病毒特征时，由于病毒代码先于杀毒软件获得文件的操作权，从而将病毒代码写进文件中，这就造成了系统中几乎所有的32位可执行文件都感染了CIH病毒的现象。
文件中的CIH病毒的检测比较简单，只要从32位可执行文件的PE文件头的偏移28H处获得程序的入口地址，对入口程序段进行扫描即可。
根据CIH病毒在感染文件前对病毒特征的判别，我们可以人为地在PE格式的EXE文件头的前一个字节的位置处写上55H或一个非零值，以骗过病毒对文件是否染毒的判别。
而大多数杀毒软件在杀毒后，保留了文件头中的病毒特征，相当于对这些文件进行了免疫。
由于病毒主要