2026-05-19⏱ 約 5 分鐘閱讀 · 1,532

CIH病毒技術解析:陳盈豪的程式碼為什麼能讓60萬台電腦同時壞掉

CIH病毒技術深度解析:陳盈豪如何設計這個1999年最具破壞力的病毒、BIOS覆寫機制、觸發日期設定、為什麼難以偵測,以及如何影響台灣資安法規。

CIH病毒 技術陳盈豪 CIHCIH病毒 原理CIH 如何運作陳盈豪 程式設計

CIH病毒技術解析:為什麼60萬台電腦同時崩潰

1999年4月26日,全球超過60萬台電腦在同一天被CIH病毒摧毀。

CIH(又名「Chernobyl病毒」)由台灣大學生陳盈豪在1998年開發,是當時迄今為止破壞力最強的電腦病毒之一。這篇文章從技術角度分析:CIH的程式碼為什麼這麼有效?

注意:本文僅作技術史記錄,不提供任何可執行程式碼或傷害性指南。

CIH的兩個核心破壞機制

破壞機制一:覆寫BIOS

CIH 最可怕的特點,是能夠直接覆寫電腦主機板的 Flash BIOS

什麼是BIOS?

BIOS(Basic Input/Output System)是電腦啟動時最先執行的程式碼,儲存在主機板的快閃記憶體(Flash ROM)晶片上。沒有BIOS,電腦無法啟動任何東西——包括重新安裝作業系統。

CIH如何覆寫BIOS?

  1. CIH執行後,先識別主機板上的Flash BIOS晶片型號
  2. 針對支持Flash更新的晶片(AWARD BIOS、AMI BIOS),發送晶片廠商的「解鎖指令」
  3. 用隨機垃圾資料覆寫BIOS記憶體

後果: 主機板變成廢鐵。電腦開機後只能看到黑屏,什麼指令都接受不了。

1999年,大多數消費級主機板使用可更新的Flash BIOS(方便廠商推送更新),這讓CIH得以利用此功能做為攻擊手段。

破壞機制二:覆寫硬碟前512MB

同時,CIH也覆寫硬碟前512個磁區(包括主開機記錄MBR),讓硬碟資料無法讀取。

即使BIOS沒被完全破壞,硬碟的主開機記錄損毀後,Windows也無法啟動。

兩種機制同時啟動:即使修復了其中一個,另一個也讓電腦無法正常運作。

CIH的感染機制:為什麼難以偵測

PE文件感染

CIH採用特殊的感染方式,讓它在早期的殺毒軟體面前幾乎隱形:

  1. PE文件格式利用:Windows的可執行文件(EXE/DLL)採用PE(Portable Executable)格式,格式中有許多「對齊用的空白區域」
  2. CIH把自己的程式碼切片,分散藏在每個PE文件的空白區域中
  3. 感染後,文件大小不變(這是當時病毒掃描的主要判斷依據)

傳統殺毒軟體如何判斷病毒?

  • 文件大小改變 → CIH不觸發
  • 特定病毒碼 → CIH初期版本無碼庫對應
  • 行為異常 → CIH在觸發日之前不做任何明顯操作

日期觸發:4月26日

CIH設定在特定日期才觸發,這是另一個狡猾設計:

  • 1.2版本:觸發日4月26日(契爾諾堡核災周年)
  • 1.3版本:觸發日6月26日
  • 1.4版本:觸發日任意月份的26日

平時感染的機器,使用者完全感覺不到異常。直到到了日期,所有已感染的機器同時發作——這就是為什麼60萬台電腦幾乎同時崩潰。

為什麼陳盈豪是能做到這件事的人

理解CIH的技術設計,就能明白為什麼陳盈豪後來被台灣科技業視為「具有真正底層技術能力」的程式設計師:

Windows PE格式的深度理解:覆寫BIOS需要精確知道Windows記憶體模型和系統呼叫機制,這是非常底層的技術

Flash BIOS晶片命令集:不同廠牌的主機板BIOS晶片有不同的解鎖/寫入指令,陳盈豪蒐集了主流晶片的指令集

反偵測技術:利用PE格式空白區域隱藏自身,是當時技術前沿的「隱形病毒」概念

這種底層系統編程能力,正是後來讓他得以加入網虎國際從事嵌入式Linux開發的技術基礎。

CIH事件後的影響

對台灣法律的影響

CIH事件直接推動了台灣《電腦處理個人資料保護法》的修訂,以及後來更明確的電腦犯罪相關法規。

1999年的法律空白:台灣當時沒有明確的「製造電腦病毒罪」,導致陳盈豪未被起訴。這個法律漏洞在事件後被填補。

對防毒軟體業的影響

CIH之後,所有主流防毒軟體都開始:

  • 監控Flash BIOS寫入行為
  • 不只看文件大小,改為完整掃描PE文件結構
  • 加入行為監控(即使病毒碼未知,異常行為也觸發警告)

主機板製造商的改進

事件後,主機板廠商開始:

  • 增加物理跳線保護BIOS(防止軟體覆寫)
  • 後來演變成UEFI安全開機(Secure Boot)的前身概念

陳盈豪的後續

CIH事件之後,陳盈豪:

  • 在台灣未被刑事追訴(因法律空白)
  • 公開道歉,表示從未預期病毒傳播到如此程度
  • 2000年加入網虎國際,從事合法的嵌入式Linux開發
  • 後來淡出媒體視野

→ 詳見:陳盈豪現在在哪? → 詳見:陳盈豪加入網虎國際後做了什麼?

CIH在資安史上的地位

CIH病毒在電腦歷史上的特殊地位:

特點 意義
BIOS覆寫 首個大規模成功覆寫BIOS的病毒
文件大小不變 讓當時防毒軟體失效的新型隱形技術
日期同步觸發 造成大規模同時崩潰的設計
60萬台電腦損毀 1999年前最大規模病毒破壞

作為技術史記錄,CIH是1990年代末期惡意程式設計技術的代表性案例,也是資安研究者至今仍引用的歷史節點。

延伸閱讀

本文為技術史記錄,截至2026年5月。不含任何可執行程式碼或惡意程式指南。龍雲數位科技(TransTEP)提供台灣智慧零售IoT管理平台。transtep.com

CIH病毒 技術陳盈豪 CIHCIH病毒 原理CIH 如何運作陳盈豪 程式設計CIH病毒 BIOS陳盈豪 技術分析CIH病毒 1999

相關文章

陳盈豪:CIH病毒作者的完整故事——從全球駭客到台灣Linux核心工程師

陳盈豪加入網虎國際後做了什麼?XLinux 技術角色完整記錄

CIH病毒1999年台灣災情完整記錄:30萬台電腦、那個4月26日發生了什麼