#CIH病毒##数据恢复##BIOS#

所谓CIH第一个破坏硬件的病毒，其实是很多人不懂。这个可擦写的BIOS修改了，其实不是破坏了硬件。这个和硬盘的引导区被破坏电脑就启动不起来了一个性质，只是BIOS恢复没有那么方便罢了。

我在海信的时候是做单片机软件设计，有芯片写入的硬件设备，把BIOS插入设备的芯片位置，电脑里选取对应的BIOS程序，点写入就完成了，恢复BIOS非常简单。
我一直也在解释指正这个BIOS擦写不算硬件破坏。

还有CIH的WIN9x用户态直接进入CPU0级的内核态技巧，其实我在CIH病毒前早就有这个技术。《win9x不用VXD进入CPU0级》，还是我的唯一一篇投稿，获得了几百元稿费。
Win9x的GDT和IDT有一个专门的段指向，在用户态就可以读写这个段，这样就可以在用户态里自己写一个调用门或者中断门，直接进入CPU0级的内核态。

在海信集团的时候，CIH病毒爆发，病毒从0扇区开始挨着清0破坏硬盘数据。
我修复过财务部门的电脑和电视设计部门的电脑，修复后电脑操作系统启动都没有问题，系统和数据完全恢复。
免费修复了请吃饭什么的都没有。
要不修复财务部门电脑估计全集团发工资都有问题了。
当时修复办法告诉了江海客，就是现在安天的老板，他那时还认为修复靠运气。海客写了个自动修复工具，给很多人修复了系统。
后面江民公司出了一个工具，修复D盘后的数据。
其实能完全恢复是因为CIH的破坏方式，覆盖掉C盘fat分区的第一份fat表后win9x系统就会死机。硬盘的分区表等可以计算出来，FAT表是有两份的，第二份是正常的，拷贝出来就行，或者干脆直接用第二份。
//@写代码的吟游诗人:硬盘数据恢复不看损毁情况收费么？直接收费？俺不太懂//@一个动态类型的幽灵:好多年没修过了，按说不至于这么贵//@agentzh:我用的这家肯定是 No data, no charge 策略了。确实有的厂家按他自己的工作量收费，并不保证数据真能恢复出来。这种的我也遇到过，不会考虑了。//@万里G50:保“熟”吗？不熟是不是不收钱[笑cry]