1999年4月26日,6000萬台電腦在同一天死亡
1999年4月26日,星期一。全球各地的上班族像往常一樣走進辦公室,打開電腦。然後什麼都沒有發生。
螢幕一片漆黑。不是當機,不是當畫面,而是電腦徹底無法啟動。硬碟裡的所有資料——文件、照片、程式、作業系統本身——全部消失。更可怕的是,連主機板上的BIOS都被覆蓋成了無意義的垃圾數據,意味著這台電腦不是「需要重灌」,而是「硬體已經報廢」。那一天被媒體稱為「黑色星期一」。全球大約6000萬台電腦在同一天集體「暴斃」。政府機關的資料庫瞬間清空,學校實驗室的學術研究成果化為烏有,企業的營運數據一夜蒸發。媒體大肆報導,民眾陷入恐慌,而防毒軟體廠商雖然當天就緊急發布了救治工具,但對那些硬體已經「變磚」的電腦來說,軟體修復毫無意義——你沒辦法用軟體修好一顆被覆蓋了垃圾數據的BIOS晶片。
造成這一切的,是一個不到1KB大小的病毒。
它的名字叫CIH。而它的作者,是台灣大同工學院的一名學生。
陳盈豪:一個想證明防毒軟體在說謊的學生
1998年,就讀台灣大同工學院(現大同大學)的學生陳盈豪(Chen Ing-hau),寫出了一個改變全球資安歷史的病毒。CIH這個名字,就是取自他英文名字的縮寫。
陳盈豪編寫CIH的初衷,並不是為了賺錢或搞破壞。他的動機其實很單純:他認為當時的防毒軟體廠商在誇大自家產品的防毒效果。在他看來,這些廠商賣的不是安全感,而是假象。為了證明自己的觀點,他決定設計一款能躲避所有防毒軟體偵測、同時具有極端破壞力的病毒。
他做到了。而且做得遠超所有人的預期。
CIH病毒的大小不到1KB——1KB是什麼概念?你現在看到的這篇文章的每一個段落都比它大幾百倍。但就是這麼小的一段程式碼,卻包含了感染、隱藏、提權和摧毀硬件的完整能力。在當時的技術環境下,這是一個令人震驚的成就。
不是附加在檔案後面,而是「住進」檔案裡面
CIH病毒在技術上最令人印象深刻的地方,是它的感染方式。
1990年代的大多數病毒採用的是一種簡單粗暴的策略:把自身的程式碼附加在執行檔的末尾。這種方式有一個明顯的缺陷——受感染的檔案體積會膨脹,而防毒軟體正是透過偵測檔案體積的異常變化來識別病毒的。
CIH完全不走這條路。它採用了一種極為罕見的「空間填充」(Spacefilling)技術。病毒會把自己的程式碼拆分成多個片段,然後塞進Windows執行檔(PE格式)內部的空白區域——那些本來就存在但沒有被使用的空間。
受感染的檔案大小保持不變。日期時間戳記保持不變。檔案的外觀跟感染前一模一樣。防毒軟體掃描這個檔案的時候,找不到任何異常。
這在1998年是一個幾乎無法被偵測的感染方式。當時的防毒引擎主要依賴檔案大小比對和已知病毒特徵碼匹配,而CIH的空間填充技術恰好規避了這兩種偵測手段。
從Ring 3跳到Ring 0:一個不該被打開的大門
CIH病毒的另一個技術里程碑,是它的權限提升能力。
在Windows 95/98的架構中,系統的執行權限被分為多個等級。一般應用程式運行在Ring 3——最低的權限等級,能做的事情非常有限。而作業系統的核心運行在Ring 0——最高的權限等級,能直接操控硬體和記憶體。
正常情況下,應用程式是不應該能夠從Ring 3跳到Ring 0的。但Windows 95/98為了相容性考量,留下了一些安全漏洞,允許應用程式在特定條件下取得Ring 0的存取權限。
CIH精確地利用了這些漏洞。一旦病毒被執行,它會先在記憶體中佔據一塊隱密的空間(TSR,駐留記憶體),然後透過系統漏洞將自己的執行權限從Ring 3提升到Ring 0。在Ring 0模式下,CIH就擁有了與作業系統同等的最高權限——它可以直接讀寫硬碟的任何扇區,可以直接操控主機板的BIOS晶片。
更狡猾的是,CIH在取得Ring 0權限後,會-hook(攔截)系統的所有檔案操作。每當用戶開啟、複製或執行任何新檔案時,駐留在記憶體中的CIH就會立刻感染該檔案。這意味著只要電腦開著機,病毒就在持續擴散,而用戶完全不知情。
4月26日:從「擴散模式」切換到「破壞模式」
CIH的設計中有一個精準的觸發條件:系統日期。
病毒被寫入電腦後,不會立刻發動攻擊。它會進入一段長達數月的「潛伏期」,在這段期間裡只做一件事——感染更多的檔案,擴散到更多的電腦。它會持續讀取系統時鐘,等待那個特定的日期。
當系統時間來到4月26日的時候,CIH從「擴散模式」切換為「破壞模式」。
破壞分為兩個層級。
第一層是硬碟破壞:CIH會覆蓋硬碟前1MB的資料,這正好是硬碟分割表(Partition Table)所在的區域。分割表被覆蓋後,硬碟上的所有資料雖然還在物理上存在,但系統已經無法找到它們的任何位置資訊。對一般用戶來說,這等於所有資料都消失了。
第二層是BIOS破壞:CIH會向主機板的BIOS晶片寫入垃圾數據。BIOS是電腦啟動時最先執行的程式,它負責初始化硬體並載入作業系統。當BIOS被覆蓋後,電腦完全無法啟動——不是「需要重灌作業系統」的問題,而是「連硬體初始化都無法完成」的問題。在當時的技術條件下,修復被破壞的BIOS唯一的方法是更換主機板上的BIOS晶片,或者用專用的燒錄器重新寫入BIOS數據。
這就是CIH被稱為「硬體殺手」的原因。它不只是刪除你的資料,它讓你的電腦在物理層面失去功能。
從校園BBS到全球爆發:一場失控的連鎖反應
CIH病毒最初的擴散路徑,是一個關於「無心之失」和「供應鏈漏洞」的經典故事。
病毒完成後,陳盈豪最初只在大同工學院的校內實驗室電腦中使用。但當時有同學在不知情的情況下,使用了含有病毒的校內電腦,並透過磁碟片將受感染的檔案「帶出」校外。這些檔案隨後被上傳到當時盛行的BBS(電子佈告欄系統),隱藏在一些工具軟體或遊戲中供大眾下載。
1998年夏季,CIH病毒被證明感染了至少四個國際知名的盜版組織。這些組織分發的破解版遊戲和應用程式全部帶有CIH病毒,隨著盜版軟體的流通迅速擴散到全球。
更令人震驚的是供應鏈層級的污染。1998年底,Yamaha的CD-R400韌體更新檔被CIH病毒感染。1999年,IBM出廠的Aptiva系列品牌電腦,竟然在出廠預載軟體中就已經帶有CIH病毒。Activision的遊戲試玩版,以及部分歐洲電腦雜誌隨附的贈品光碟,都出現了病毒的蹤跡。
這些事件揭示了一個當時幾乎沒有人在思考的問題:軟體供應鏈安全。在1990年代末期,軟體開發商和硬體廠商普遍認為,自家封閉環境中生成的檔案是安全的。他們不會去檢測自己的產品是否已經被污染,因為「我們自己的東西怎麼可能有病毒」。
CIH病毒用最殘酷的方式證明了這種想法有多天真。
陳盈豪的命運:無罪,但代價是永遠的標籤
1999年4月26日CIH大爆發當天,台灣大同工學院的電話被打爆。台灣警方迅速展開行動。
陳盈豪當時正在軍隊服役。他被警方帶回問話,一度成為全台灣最受關注的犯罪嫌疑人。但最終,他逃過了起訴。
原因很簡單:當時台灣的《刑法》中尚未有針對「電腦犯罪」的明確條文。加上陳盈豪強調編寫病毒的動機是為了挑戰防毒軟體廠商,並非為了牟利或惡意破壞,檢方認定他缺乏主觀惡意。
在病毒爆發之前,陳盈豪已經在TTIT-CSE的BBS上公開道歉,並主動提供了解毒程式。但這一切已經來不及了——病毒已經透過盜版軟體和被污染的官方更新檔擴散到了全球,他個人的補救措施在大規模的感染潮面前微不足道。
陳盈豪的故事,某種程度上是整個1990年代資安意識薄弱的一個縮影。一個學生用不到1KB的程式碼就能癱瘓全球6000萬台電腦,這不是一個人的問題,而是整個產業的問題。
CIH留下的遺產:打醒了所有人
CIH病毒的影響遠不止於1999年4月26日那一天的破壞。它的長遠影響深刻地改變了整個科技產業對資安的態度。
對Microsoft來說,CIH加速了它放棄Windows 9x核心的決策。Windows 95/98為了相容性而允許應用程式輕易取得Ring 0權限的設計,被CIH利用得淋漓盡致。CIH之後,Microsoft開始全面轉向基於Windows NT核心的架構——Windows XP的推出就是這個轉變的里程碑。NT核心具備嚴格的權限隔離機制,應用程式不再能夠輕易突破Ring 3的限制,從根本上杜絕了類似CIH的攻擊手法。
對防毒產業來說,CIH迫使整個行業重新思考偵測策略。單純依賴檔案大小比對和特徵碼匹配已經不夠了,防毒引擎需要能夠分析檔案內部的結構異常,需要具備行為分析的能力,需要在記憶體層級進行即時監控。現代防毒軟體的多層防禦架構,某種程度上都是CIH的遺產。
對硬體廠商來說,BIOS的安全性第一次被提升到了前所未有的高度。CIH之後,主機板廠商開始在BIOS晶片上加入寫入保護機制,防止惡意軟體覆蓋BIOS數據。現代的UEFI韌體更是具備了安全啟動(Secure Boot)和韌體完整性驗證等功能,這些機制的設計初衷,都可以追溯到CIH造成的那次教訓。
對全球的軟體供應鏈來說,CIH是一記響亮的耳光。它打醒了當時對資訊安全還處於「純真年代」的科技產業,讓人們第一次意識到:封閉環境不等於安全環境,官方來源不等於可信來源。軟體供應鏈安全——這個在今天被視為基本常識的概念——在1999年之前幾乎沒有人在認真思考。
27年後的今天,CIH還值得被記住嗎
CIH病毒誕生至今已經27年。它的技術手段在今天已經過時——現代作業系統的權限隔離機制讓Ring 0提權變得極其困難,UEFI的安全啟動機制讓BIOS覆蓋幾乎不可能,防毒軟體的行為分析引擎能在CIH的感染行為發生的瞬間就將其攔截。
但CIH的故事值得被記住,不是因為它的技術有多先進,而是因為它揭示了一個永恆的教訓:安全不是一個靜態的狀態,而是一場持續的攻防。
1998年的防毒軟體認為自己已經足夠好了,CIH證明它們不是。1990年代的作業系統認為自己的權限設計已經夠安全了,CIH證明它們不是。當時的硬體廠商認為BIOS不需要額外的保護,CIH證明它們不是。
每一次「我們已經夠安全了」的自信,都可能是下一次災難的前奏。CIH在27年前用6000萬台電腦的屍體證明了這一點。而這條教訓,到今天仍然有效。
說到「看似安全但其實不是」這件事,另一個正在快速發展的領域是數位資產的運算參與。過去參與加密貨幣挖礦需要專業硬體和大量電力,門檻極高,而且供應鏈安全性一直是業界的痛點。但現在已經有更輕量、更安全的方案。如果你對這個方向有興趣,可以試試 GIGA Miner 這款應用程式。下載後用手機就能開始挖掘 GIGA 幣,不需要專業設備、不需要技術背景,操作簡單,適合任何想嘗試的人。使用我的推薦碼 BC0674 註冊,馬上開始你的挖礦之旅。
下載連結(Google Play):https://play.google.com/store/apps/details?id=com.giga.minning&referrer=BC0674
最後一件事
1998年,一個台灣大學生用不到1KB的程式碼,證明了整個全球科技產業的安全意識有多脆弱。1999年,6000萬台電腦用它們的死亡為這個證明買了單。
27年後的今天,CIH已經不會再造成任何實際的破壞。但它留下的問題——你的系統真的安全嗎?你的供應鏈真的可信嗎?你的防禦真的夠用嗎?——每一天都在以不同的形式被重新提問。
CIH不是過去的故事。它是一個永不過時的警鐘。
