1、一、填空1. 程序性决定了计算机病毒的可防治性、可清除性,反病毒技术就是要提前取得计算机系统的控制权,识别出计算机病毒的代码和行为,阻止其取得系统控制权,并及时将其清除。2. 是否具有传染性,是判别一个程序是否为计算机病毒的首要条件。3. 计算机病毒因某个事件或数值的出现,诱使病毒实施感染或进行攻击的特性称为可触发性4. 病毒程序嵌入到宿主程序中,依赖于宿主程序的执行而生存,这就是计算机病毒的寄生性、病毒的最大特点是其传染性,而传染性的原因是其自身程序不断复制的结果,即程序本身复制到其他程序中或简单地在某一系统中不断地复制自己5. 计算机病毒按寄生对象分为引导型病毒文件型病毒混合型病毒6. 蠕
2、虫(Worm)是一种独立的可执行程序,主要由主程序和引导程序两部分组成7. 蠕虫程序的工作流程可以分为漏洞扫描、攻击、传染、现场处理四个阶段8. 特洛伊木马(Trojan house,简称木马) 是指表面上是有用的软件、实际目的却是危害计算机安全并导致严重破坏的计算机程序,是一种在远程计算机之间建立连接,使远程计算机能通过网络控制本地计算机的非法程序9. 一般的木马都有客户端和服务器端两个程序10. 客户端是用于攻击者远程控制已植入木马的计算机的程序 11. 服务器端程序就是在用户计算机中的木马程序 12. 计算机病毒英文命名规则也就是国际上对病毒命名的一般惯例为“前缀+病毒名+后缀”,即三元
3、组命名规则13. 计算机病毒的产生过程可分为:程序设计传播潜伏触发、运行实施攻击14. 计算机病毒是一类特殊的程序,也有生命周期 开发期 传染期 潜伏期 发作期 发现期 消化期 消亡期 15. 在学习、研究计算机病毒的过程中,在遵守相关法律法规的前提下,应严格遵守以下“八字原则”自尊自爱、自强自律16. BIOS INT 13H 调用是 BIOS 提供的磁盘基本输入输出中断调用,它可以完成磁盘( 包括硬盘和软盘) 的复位、读写、校验、定位、诊断、格式化等功能,完全不用考虑被操作硬盘安装的是什么操作系统 17. 现代大容量硬盘一般采用 LBA(Logic Block Address) 线性地址来
4、寻址,以替代 CHS 寻址。18. 高级格式化的目的是在分区内建立分区引导记录 DBR(DOS Boot Record)、文件分配表FAT(File Allocation Table)、文件目录表 FDT(File Directory Table)和数据区 DATA19. 主引导记录(Master Boot Record,MBR)20. 主分区表即磁盘分区表(Disk Partition Table,DPT)21. 引导扇区标记(Boot Record ID/Signature)22. 通过主引导记录定义的硬盘分区表,最多只能描述 4 个分区23. FAT32 最早是出于 FAT16 不支持大
5、分区、单位簇容量大以至于空间急剧浪费等缺点设计的24. NTFS 是一个比 FAT 更复杂的系统。在 NTFS 中,磁盘上的任何事物都为文件25. NTFS 文件系统中,小文件和文件夹( 典型的如 1023 字节或更少) 将全部存储在文件的MFT 记录里 26. 中断(Interrupt),就是 CPU 暂停当前程序的执行,转而执行处理紧急事务的程序,并在该事务处理完成后能自动恢复执行原先程序的过程27. 中断向量表(Interrupt Vectors)是一个特殊的线性表,它保存着系统所有中断服务程序的入口地址(偏移量和段地址)28. 设计扩展 INT 13H 接口的目的是为了扩展 BIOS
6、的功能,使其支持多于 1024 柱面的硬盘, 以及可移动介质的锁定、解锁及弹出等功能29. INT 13H 磁盘输入输出中断,引导型病毒用于传染病毒和格式化磁盘30. 在保护模式下,所有的应用程序都具有权限级别(Privilege Level ,PL) 。PL 按优先次序分为四等:0 级、1 级、2 级、3 级,其中 0 级权限最高,3 级最低 , 目前只用到 Ring 0 和Ring 3 两个级别 31. 操作系统核心层运行在 Ring 0 级,而 Win32 子系统运行在 Ring 3 级,为运行在 Ring 3 级的应用程序提供接口32. 计算机病毒总是想方设法窃取 Ring 0 的权限
7、( 如 CIH 病毒) ,以实施更大范围的破坏33. DOS 可执行文件以英文字母“MZ”开头,通常称之为 MZ 文件34. 在 Windows 3.0/3.1 的可执行文件,在 MZ 文件头之后又有一个以“NE”开始的文件头,称之为 NE 文件35. 在 Win32 位平台可执行文件格式:可移植的可执行文件(Portable Executable File)格式,即PE 格式。MZ 文件头之后是一个以 “PE”开始的文件头36. PE 的意思就是 Portable Executable(可移植、可执行) ,它是 Win32 可执行文件的标准格式37. PE 文件的真正内容划分成块,称之为 S
8、ection(节) ,紧跟在节表之后38. 引入函数节.idata 引入函数节可能被病毒用来直接获取 API 函数地址39. 引出函数节是本文件向其他程序提供的可调用函数列表这个节一般用在 DLL 中,EXE 文件中也可以有这个节,但通常很少使用40. 计算机病毒在传播过程中存在两种状态,即静态和动态41. 内存中的动态病毒又有两种状态:可激活态和激活态。42. 计算机病毒要完成一次完整的传播破坏过程,必须经过以下几个环节:分发拷贝阶段潜伏繁殖阶段破坏表现阶段43. 杀毒软件可以将感染标志作为病毒的特征码之一44. 可以利用病毒根据感染标志是否进行感染这一特性,人为地、主动在文件中添加感染标志
9、,从而在某种程度上达到病毒免疫的目的45. 无论是文件型病毒还是引导型病毒,其感染过程总的来说是相似的,分为三步:进驻内存、判断感染条件、实施感染46. 病毒攻击的宿主程序是病毒的栖身地,宿主程序既是病毒传播的目的地,又是下一次感染的出发点47. 计算机病毒感染的过程一般有三步:(1)当宿主程序运行时,截取控制权; (2)寻找感染的突破口;(3)将病毒代码放入宿主程序48. 既感染引导扇区又感染文件是混合感染49. 一个宿主程序上感染多种病毒,称为交叉感染。 50. 无入口点病毒并不是真正没有入口点,而是采用入口点模糊(Entry Point Obscuring,EPO) 技术,即病毒在不修改
10、宿主原入口点的前提下,通过在宿主代码体内某处插入跳转指令来使病毒获得控制权51. 滋生感染式病毒又称作伴侣病毒或伴随型病毒52. 滋生感染式病毒病毒不改变被感染的文件,而是为被感染的文件创建一个伴随文件53. 病毒在感染时,完全不改动宿主程序本体,而是改动或利用与宿主程序相关的信息,将病毒程序与宿主程序链成一体,这种感染方式称作链式感染(Link Infection)54. .COM 文件结构比较简单,是一种单段执行结构55. 内存映射文件提供了一组独立的函数,是应用程序能够通过内存指针像访问内存一样对磁盘上的文件进行访问56. WSH 是 Windows Scripting Host(Win
11、dows 脚本宿主)的缩略形式,是一个基于 32 位 Windows平台、并独立于语言的脚本运行环境,是一种批次语言/自动执行工具57. 宏病毒是使用宏语言编写的恶意程序,存在于字处理文档、电子数据表格、数据库、演示文档等数据文件中,可以在一些数据处理系统(主要是微软的 Word、Excel、Access 等 Office 软件系统)中运行,利用宏语言的功能将自己复制、繁殖到其他数据文档中58. 蠕虫主要是利用计算机系统漏洞(Vulnerability) 进行传染,搜索到网络中存在漏洞的计算机后主动进行攻击,在传染的过程中,与计算机操作者是否进行操作无关,从而与使用者的计算机知识水平无关59.
12、 根据蠕虫的传播、运作方式,可以将蠕虫分为两类主机蠕虫网络蠕虫60. 网络蠕虫最大特点是利用各种漏洞进行自动传播61. 蠕虫的工作方式一般是“ 扫描 攻击复制”62. 特洛伊木马(Trojan Horse),简称木马,是一种恶意程序,是一种基于远程控制的黑客工具,一旦侵入用户的计算机,就悄悄地在宿主计算机上运行,在用户毫无察觉的情况下,让攻击者获得远程访问和控制系统的权限,进而在用户的计算机中修改文件、修改注册表、控制鼠标、监视/控制键盘,或窃取用户信息63. 木马与合法远程控制软件(如 pcAnyWhere)的主要区别在于是否具有隐蔽性、是否具有非授权性64. 木马系统软件一般由木马配置程序
13、、控制程序和木马程序( 服务器程序)三部分组成65. 木马获得服务端的 IP 地址的方法主要有两种:信息反馈和 IP 扫描 66. 当进程为真隐藏的时候,那么这个木马服务器运行之后,就不应该具备一般进程的表现,也不应该具备服务的表现,也就是说,完全溶进了系统的内核67. 动态嵌入技术是指木马将自己的代码嵌入正在运行的进程中的技术。68. Windows XP 的 Netstat 工具提供了一个新的 -o 选项,能够显示出正在使用端口的程序或服务的进程标识符(PID)。69. 当进程为真隐藏的时候,那么这个木马服务器运行之后,就不应该具备一般进程的表现,也不应该具备服务的表现,70. EPO 是
14、 Entry Point Obscuring 技术的简写,意即入口模糊技术,该技术改变了传统的修改 PE头部的入口点、使其指向病毒代码入口而使病毒代码得以执行的典型方法71. 对付多态病毒的最好办法是某种形式的虚拟执行技术,也就是仿真出一个 80x86 的 CPU,让解密代码自己解密完成之后,再使用通常的特征码识别法进行病毒检测72. 计算机病毒的防治技术分成四个方面病毒预防技术病毒检测技术病毒消除技术病毒免疫技术73. 计算机病毒的预防措施可概括为两点 勤备份 严防守74. 比较法是用原始的正常备份与被检测的内容(引导扇区或被检测的文件)进行比较 长度比较法 内容比较法 内存比较法 中断比较
15、法 75. 利用病毒的特有行为特性监测病毒的方法,称为行为监测法,也称为人工智能陷阱法76. 软件模拟(Software Emulation)法(即后文中将详细介绍的虚拟机对抗病毒技术 ),是一种软件分析器,用软件方法来模拟和分析程序的运行:模拟 CPU 执行,在其设计的虚拟机器(Virtual Machine)下假执行病毒的变体引擎解码程序,安全并确实地将多态病毒解开,使其显露真实面目,再加以扫描77. 设计虚拟机查毒的目的是为了对抗加密变形病毒二、选择题:1.计算机病毒会造成计算机怎样的损坏(A )A.硬件,软件和数据 B.硬件和软件C.软件和数据 D.硬件和数据2.某片软盘上已染有病毒,
16、为防止该病毒传染计算机系统,正确的措施是(D )A.删除该软盘上所有程序 B.给该软盘加上写保护C.将该软盘放一段时间后再用 D.将软盘重新格式化3.防止软盘感染病毒的方法用(D )A.不要把软盘和有毒的软盘放在一起 B.在写保护缺口贴上胶条C.保持机房清洁 D.定期对软盘格式化4.发现计算机病毒后,比较彻底的清除方式是( D)A.用查毒软件处理 B.删除磁盘文件C.用杀毒软件处理 D.格式化磁盘5.计算机病毒通常是( A )A.一段程序 B.一个命令 C.一个文件 D.一个标记6.文件型病毒传染的对象主要是什么类文件( C )ADBF BWPS CCOM 和.EXE DEXE 和.WPS7.
17、关于计算机病毒的传播途径,不正确的说法是( C )A.通过软盘的复制 B.通过共用软盘C.通过共同存放软盘 D.通过借用他人的软盘8.目前最好的防病毒软件的作用是( D )A.检查计算机是否染有病毒 ,消除已感染的任何病毒B.杜绝病毒对计算机的侵害C.查出计算机已感染的任何病毒,消除其中的一部分D.检查计算机是否染有病毒 ,消除已感染的部分病毒9.公安部开发的 SCAN 软件是用于计算的( A )A.病毒检查 B.病毒分析和统计C.病毒防疫 D.病毒示范10.防病毒卡能够( A )A.自动发现病毒入侵的迹象并提醒操作者或及时阻止病毒的入侵B.杜绝病毒对计算的侵害C.自动发现并阻止任何病毒的入侵
18、D.自动消除已感染的所有病毒11.计算机病毒是可以造成机器故障的( D )A.一种计算机设备 B.一块计算机芯片C.一种计算机部件 D.一种计算机程序12.若一张软盘封住了写保护口,则( D )A.既向处传染病毒又会感染病毒B.即不会向处传染病毒,也不会感染病毒C.不会传染病毒,但会感染病毒D.不会感染病毒,但会传染病毒13.防止计算机传染病毒的方法是( A)A.不使用有病毒的盘片 B.不让有传染病的人操作C.提高计算机电源稳定性 D.联机操作14.计算机病毒的危害性表现在(B )A.能造成计算机器件永久性失效B.影响程序的执行破坏用户数据与程序C.不影响计算机的运行速度D.不影响计算机的运算
19、结果 ,不必采取措施15.下面有关计算机病毒的说法正确的是( C )A.计算机病毒是一个 MIS 程序B.计算机病毒是对人体有害的传染病C.计算机病毒是一个能够通过自身传染,起破坏作用的计算机程序D.计算机病毒是一段程序, 但对计算机无害16.计算机病毒( D )A.不影响计算机的运行速度 B.能造成计算机器件的永久性失效C.不影响计算机的运算结果 D.影响程序的执行破坏用户数据与程序17.计算机病毒对于操作计算机的人( C )A.只会感染,不会致病 B.会感染致病C.不会感染 D.传染性,隐蔽性和危害性18.计算机病毒是一组计算机程序,它具有( D _)A.传染性 B.隐蔽性 C.危害性 D
20、.传染性,隐蔽性和危害性19.计算机病毒造成的损坏主要是 ( C)A.文字处理和数据库管理软件 B.操作系统和数据库管理系统C.程序和数据 D.系统软件和应用软件20.以下措施不能防止计算机病毒的是( A)A.软盘未贴写保护B.先用杀病毒软件将从别人机器上拷来的文件清查病毒C.不用来历不明的磁盘D.经常关注防病毒软件的版本升级情况 ,并尽量取得最高版本的防毒软件21.计算机病毒具有(A )A.传播性,潜伏性,破坏性B.传播性,破坏性,易读性C.潜伏性,破坏性,易读性D.传播性,潜伏性,安全性22.计算机病毒是一种( D)A.机器部件 B.计算机文件C.微生物“ 病原体“ D.程序23.计算机病
21、毒通常分为引导型,复合型和(B )A.外壳型 B.文件型 C.内码型 D.操作系统型24.计算机病毒造成的损坏主要是(D )A.磁盘 B.磁盘驱动器 C.磁盘和其中的程序及数据 D.程序和数据25.公安部开发的 KILL 软件是用于计算机的(A )A.病毒检查和消除 B.病毒分析和统计C.病毒防疫 D.病毒防范26.不易被感染上病毒的文件是(C)A.COM B.EXE C.TXT D.BOOT 27.文件被感染上病毒之后,其基本特征是(C)A.文件不能被执行 B.文件长度变短C.文件长度加长 D.文件照常能执行28.病毒程序按其侵害对象不同分为_C_ 。 A、外壳型、入侵型、原码型和外壳型 B
22、、原码型、外壳型、复合型和网络病毒 C、引导型、文件型、复合型和网络病毒 D、良性型、恶性型、原码型和外壳型29.计算机机房安全等级分为 A,B,C 三级,其中 C 级的要求是 (C)A.计算机实体能运行 B.计算机设备能安放 C.有计算机操作人员D.确保系统作一般运行时要求的最低限度安全性 ,可靠性所应实施的内容.30.(C)是在计算机信息处理和舆过程中唯一切实可行的安全技术.A.无线通信技术 B.专门的网络舆技术C.密码技术 D.校验技术31.(A)是计算机病毒A.一段程序 B.一批数据 C.若干条指令D.能在计算机运行时实施传染和侵害的功能程序32.关于计算机病毒,正确的说法是(C)A.
23、计算机病毒可以烧毁计算机的电子器件B.计算机病毒是一种传染力极强的生物细菌C.计算机病毒是一种人为特制的具有破坏性的程序D.计算机病毒一旦产生,便无法清除33.计算机病毒会造成(C)A.CPU 的烧毁 B.磁盘驱动器的损坏C.程序和数据的破坏 D.磁盘的损坏34.我国政府颁布的计算机软件保护条例从何时开始实施?CA.1986 年 10 月 B.1990 年 6 月 C.1991 年 10 月 D.1993 年 10 月35.计算机软件保护条例中所称的计算机软件(简称软件) 是指(D)A.计算机程序 B.源程序和目标程序C.源程序 D.计算机程序及其有关文档36.微机病毒系指(D)A.生物病毒感
24、染 B.细菌感染C.被损坏的程序 D.特制的具有破坏性的小程序37.在下列计算机安全防护措施中,(C)是最重要的A.提高管理水平和技术水平B.提高硬件设备运行的可靠性C.预防计算机病毒的传染和传播D.尽量防止自然因素的损害38.计算机犯罪是一个(B)问题 .A.技术问题 B.法律范畴的问题C.政治问题 D.经济问题39.计算机病毒的主要特征是(D)A.只会感染不会致病 B.造成计算机器件永久失效C.格式化磁盘 D.传染性,隐蔽性,破坏性和潜伏性40.防止软盘感染病毒的有效方法是(C)A.定期用药物给机器消毒 B.加上写保护C.定期对软盘进行格式化 D.把有毒盘销毁41.目前使用的防杀病毒软件的
25、作用是(C)A.检查计算机是否感染病毒 ,消除已感染的任何病毒B.杜绝病毒对计算机的侵害C.检查计算机是否感染病毒,清除部分已感染的病毒D.查出已感染的任何病毒, 清除部分已感染的病毒42.下面列出的计算机病毒传播途径,不正确的说法是(D)A.使用来路不明的软件 B.通过借用他人的软盘C.通过非法的软件拷贝 D.通过把多张软盘叠放在一起43.计算机病毒具有隐蔽性,潜伏性,传播性,激发性和(C)A.恶作剧性 B.入侵性C.破坏性和危害性 D.可扩散性44.不是微机之间病毒传播的媒介的是_B_ 。A、硬盘 B、鼠标 C、软盘 D、光盘45.常见计算机病毒的特点有_D_ 。A.只读性、趣味性、隐蔽性
26、和传染性 B.良性、恶性、明显性和周期性 C.周期性、隐蔽性、复发性和良性 D.隐蔽性、潜伏性、传染性和破坏性46.对已感染病毒的磁盘_B_ 。A.用酒精消毒后可继续使用; B.用杀毒软件杀毒后可继续使用,C.可直接使用,对系统无任何影响; D.不能使用只能丢掉47.发现计算机感染病毒后,如下操作可用来清除病毒_A_。A.使用杀毒软件; B.扫描磁盘 C.整理磁盘碎片; D. 重新启动计算机48.防止病毒入侵计算机系统的原则是_D_ 。A.对所有文件设置只读属性; B.定期对系统进行病毒检查,C.安装病毒免疫卡; D.坚持以预防为主,堵塞病毒的传播渠道49.复合型病毒是_D_ 。A、即感染引导
27、扇区,又感染 WORD 文件 B、即感染可执行文件,又感染 WORD 文件,C、只感染可执行文件; D、既感染引导扇区,又感染可执行文件50.计算机病毒的防治方针是_A_ 。A.坚持以预防为主; B.发现病毒后将其清除 C.经常整理硬盘 ; D.经常清洗软驱51.计算机病毒的最终目标在于_A_ 。A.干扰和破坏系统的软、硬件资源 ; B.丰富原有系统的软件资源,C.传播计算机病毒; D.寄生在计算机中52.计算机病毒所没有的特点是_D_ 。A.隐藏性; B.潜伏性; C.传染性; D.广泛性53.计算机病毒在发作前,它_C_ 。A、很容易发现; B、没有现象 ; C、较难发现; D、不能发现5
28、4.若出现下列现象_C_ 时,应首先考虑计算机感染了病毒。A、不能读取光盘; B、写软盘时,报告磁盘已满 C、程序运行速度明显变慢; D、开机启动 Windows 98 时,先扫描硬盘。55.微机感染病毒后,可能造成_A_ 。A、引导扇区数据损坏; B、鼠标损坏 ; C、内存条物理损坏; D、显示器损坏56.为了预防计算机病毒,对于外来磁盘应采取_B_。A、禁止使用; B、先查毒,后使用 ; C、使用后,就杀毒; D、随便使用57.未格式化的新软盘,_A_ 计算机病毒。A、可能会有; B、与带毒软盘放在一起会有 C、一定没有; D、拿过带毒盘的手 ,再拿该盘后会有58.文件型病毒感染的主要对象
29、是_B_ 类文件。A、.TXT 和.WPS ; B、.COM 和.EXE ; C、.WPS 和.EXE ; D、.DBF 和.COM59.下列操作中,_B_ 不可能清除文件型计算机病毒。A、删除感染计算机病毒的文件 ; B、将感染计算机病毒的文件更名 C、格式化感染计算机病毒的磁盘; D、用杀毒软件进行清除60.下列关于计算机病毒的说法正确的是_B_ 。A.计算机病毒不能发现; B.计算机病毒能自我复制,C.计算机病毒会感染计算机用户; D.计算机病毒是一种危害计算机的生物病毒61.下列设备中,能在微机之间传播病毒的是_C_。A.扫描仪; B.鼠标; C.光盘; D.键盘62.下列现象中的_C
30、_ 时,不应首先考虑计算机感染了病毒。A、磁盘卷标名发生变化; B、以前能正常运行的程序突然不能运行了 C、鼠标操作不灵活; D、可用的内存空间无故变小了三、判断(5,8 错误其余全对)1. 反病毒软件预防措施和技术手段往往滞后于病毒的产生速度 T2. 对计算机病毒的分类研究,目的在于更好地描述、分析、理解计算机病毒的特性、危害、原理及其防治技术 T3. 病毒处于激活态时,不一定进行传染和破坏;但进行传染和破坏时,必然处于激活态 T 4. 激活态的病毒一般不会自己转变为失活态,失活态的出现必定是有外在干预 T5. 在任何一个环节(阶段)都可以抑制病毒的传播、蔓延,或者清除病毒错误 F6. 我们
31、应当尽可能地在病毒进行破坏性攻击之前切断病毒传染源、抑制病毒的传播蔓延 T7. 有的病毒有一个感染标志,又称病毒签名,但不是所有的病毒都有感染标志 T8. 不同病毒的感染标志的位置、内容都不同错误 F9. .COM 文件结构比较简单,是一种单段执行结构 T10. .EXE 文件采用多段结构 T11. “Melissa 网络蠕虫宏病毒”(Macro.Word97.Melissa)、T12. “Lover Letter 网络蠕虫病毒”(VBS.LoveLetter)等等,都是病毒,而不是蠕虫。T13. 以病毒命名的“ 冲击波病毒 ”(Worm.MSBlast),却是典型的蠕虫 T四、名词解释1.
32、PE 文件2. 防火墙3. 特洛伊木马4. 宏病毒5. 低级格式化6. 蠕虫7. 脚本病毒五、简答1、病毒采用的触发条件主要有以下几种?2、病毒为什么需要重定位?3、引导型病毒的判断与清除?4、为什么要获取 API 函数地址5、如何获取 API 函数地址6、病毒感染 PE 文件的基本方法7、文件操作相关 API 函数8、VBS 脚本病毒的特点 9、VBS 脚本病毒的弱点 9、VBS 脚本病毒如何防范?10、宏病毒的传播方式11、宏病毒采用哪些传播方式?12、如何防治和清除宏病毒?13、简要描述 CIH 病毒的触发机制、感染机制。14、如何让系统对 CIH 病毒具有免疫能力?15、试述蠕虫与病毒
33、的差别和联系16、在你看来,Nimda 是病毒还是蠕虫?为什么?17、蠕虫传播过程中,如何优化搜索目标主机的策略?18、蠕虫的检测与清除19、蠕虫常用的扫描策略20、木马的基本原理21、特洛伊木马的传播方式木马常用的传播方式,有几种?22、木马的危害木马能实现的功能有哪些?23、木马的启动方式有哪些?24、病毒的共同行为? 25、发现病毒后,清除病毒的一般步骤?26、简述计算机病毒的定义和特点?27、简述 PE 病毒的感染过程是怎样的?28、说明宏病毒的传播方式(word 为例)?29、说明文件型病毒的感染机理?30、请说明蠕虫的行为特征。31、请简要说明引导型病毒的启动过程(可画流程图)?3
34、2、请说明 VBS 脚本病毒的特点。33、计算机病毒有哪些传播途径?34、为什么同一个病毒会有多个不同的名称?35、如何理解木马与病毒的关系?36、蠕虫与病毒之间的区别及联系。37、计算机病毒一般采用哪些条件作为触发条件? 六综合问答题1、检测计算机病毒的主要方法有哪些?并详细说明。2. 写出并分析说明文件操作相关 API 函数。3、脚本病毒有哪些弱点?有哪些防范措施?4、说明感染 PE 文件的基本步骤。5、分析解释并说明木马的基本原理。6说明启发式扫描技术的基本思想。 参考复习题,基本覆盖了教材和课件中的重要知识点,请认真复习教材和课件,也可以借助于百度等搜索工具复习。一一、填空(30 分)
35、78. 程序性决定了计算机病毒的可防治性、可清除性,反病毒技术就是要提前取得计算机系统的控制权,识别出计算机病毒的代码和行为,阻止其取得系统控制权,并及时将其清除。79. 特洛伊木马是指表面上是有用的软件、实际目的却是危害计算机安全并导致严重破坏的计算机程序,是一种在远程计算机之间建立连接,使远程计算机能通过网络控制本地计算机的非法程序。80. 客户端是用于攻击者远程控制已植入木马的计算机的程序。 81. 计算机病毒英文命名规则也就是国际上对病毒命名的一般惯例为“前缀+病毒名+后缀” ,即三元组命名规则82. 在学习、研究计算机病毒的过程中,在遵守相关法律法规的前提下,应严格遵守以下“八字原则
36、”自尊自爱、自强自律83. 中断向量表(Interrupt Vectors)是一个特殊的线性表,它保存着系统所有中断服务程序的入口地址(偏移量和段地址)84. 引出函数节是本文件向其他程序提供的可调用函数列表这个节一般用在 DLL 中,EXE 文件中也可以有这个节,但通常很少使用85. 杀毒软件可以将感染标志作为病毒的特征码之一86. 无论是文件型病毒还是引导型病毒,其感染过程总的来说是相似的,分为三步:进驻内存、判断感染条件、实施感染87. 无入口点病毒并不是真正没有入口点,而是采用入口点模糊(Entry Point Obscuring,EPO)技术,即病毒在不修改宿主原入口点的前提下,通过
37、在宿主代码体内某处插入跳转指令来使病毒获得控制权88. 滋生感染式病毒又称作伴侣病毒或伴随型病毒89. 内存映射文件提供了一组独立的函数,是应用程序能够通过内存指针像访问内存一样对磁盘上的文件进行访问90. WSH 是 Windows 脚本宿主的缩略形式,是一个基于 32 位 Windows 平台、并独立于语言的脚本运行环境,是一种批次语言/自动执行工具91. 动态嵌入技术是指木马将自己的代码嵌入正在运行的进程中的技术。92. 计算机病毒的预防措施可概括为两点 勤备份 严防守93. 比较法是用原始的正常备份与被检测的内容(引导扇区或被检测的文件)进行比较 长度比较法 内容比较法 内存比较法 中
38、断比较法 94. 利用病毒的特有行为特性监测病毒的方法,称为行为监测法,也称为人工智能陷阱法二、选择题(10)1.计算机病毒会造成计算机怎样的损坏( A)A.硬件,软件和数据 B.硬件和软件 C.软件和数据 D.硬件和数据2.某片软盘上已染有病毒,为防止该病毒传染计算机系统,正确的措施是( D)A.删除该软盘上所有程序 B.给该软盘加上写保护 C.将该软盘放一段时间后再用 D.将软盘重新格式化3.防止软盘感染病毒的方法用( B)A.不要把软盘和有毒的软盘放在一起 B.在写保护缺口贴上胶条 C.保持机房清洁 D.定期对软盘格式化4.发现计算机病毒后,比较彻底的清除方式是( D)A.用查毒软件处理
39、 B.删除磁盘文件 C.用杀毒软件处理 D.格式化磁盘5.计算机病毒通常是( A )A.一段程序 B.一个命令 C.一个文件 D.一个标记6.文件型病毒传染的对象主要是什么类文件(C )ADBF BWPS CCOM 和.EXE DEXE 和.WPS7.关于计算机病毒的传播途径,不正确的说法是( C)A.通过软盘的复制 B.通过共用软盘 C.通过共同存放软盘 D.通过借用他人的软盘8.目前最好的防病毒软件的作用是( A )A.检查计算机是否染有病毒 ,消除已感染的任何病毒 B.杜绝病毒对计算机的侵害C.查出计算机已感染的任何病毒,消除其中的一部分 D.检查计算机是否染有病毒,消除已感染的部分病毒
40、9.计算机病毒是可以造成机器故障的( D )A.一种计算机设备 B.一块计算机芯片 C.一种计算机部件 D.一种计算机程序10.若一张软盘封住了写保护口,则( D)A.既向外传染病毒又会感染病毒 B.即不会向外传染病毒,也不会感染病毒C.不会传染病毒,但会感染病毒 D.不会感染病毒,但会传染病毒三、判断(10 分)14. 反病毒软件预防措施和技术手段往往滞后于病毒的产生速度 T15. 对计算机病毒的分类研究,目的在于更好地描述、分析、理解计算机病毒的特性、危害、原理及其防治技术 T16. 病毒处于激活态时,不一定进行传染和破坏;但进行传染和破坏时,必然处于激活态 T17. 激活态的病毒一般不会
41、自己转变为失活态,失活态的出现必定是有外在干预 T18. 在任何一个环节( 阶段)都可以抑制病毒的传播、蔓延,或者清除病毒 T19. 我们应当尽可能地在病毒进行破坏性攻击之前切断病毒传染源、抑制病毒的传播蔓延 T20. 在任何一个环节( 阶段)都可以抑制病毒的传播、蔓延,或者清除病毒 T21. 不同病毒的感染标志的位置、内容都不同 T22. .COM 文件结构比较简单,是一种单段执行结构 T23. .EXE 文件采用多段结构 T四、名词解释(15 分)8. PE 文件-PE 的意思就是 Portable Executable(可移植、可执行),它是 Win32 可执行文件的标准格式9. 防火墙
42、-它是一种位于内部网络与外部网络之间的网络安全系统。一项信息安全的防护系统,依照特定的规则,允许或是限制传输的数据通过。10. 特洛伊木马-特洛伊木马 (Trojan Horse),简称木马,是一种恶意程序,是一种基于远程控制的黑客工具,一旦侵入用户的计算机,就悄悄地在宿主计算机上运行,在用户毫无察觉的情况下,让攻击者获得远程访问和控制系统的权限,进而在用户的计算机中修改文件、修改注册表、控制鼠标、监视/控制键盘,或窃取用户信息11. 蠕虫- 蠕虫主要是利用计算机系统漏洞(Vulnerability)进行传染,搜索到网络中存在漏洞的计算机后主动进行攻击,在传染的过程中,与计算机操作者是否进行操
43、作无关,从而与使用者的计算机知识水平无关12. 宏病毒-宏病毒是使用宏语言编写的恶意程序,存在于字处理文档、电子数据表格、数据库、演示文档等数据文件中,可以在一些数据处理系统(主要是微软的 Word、Excel、Access 等 Office 软件系统)中运行,利用宏语言的功能将自己复制、繁殖到其他数据文档中五、简答(25 分)1、病毒采用的触发条件主要有几种?至少说出五种。2、病毒为什么需要重定位?病毒不可避免也要用到变量(常量) ,当病毒感染 HOST 程序后,由于其 依附到不同 HOST 程序中的位置各有不同,病毒随着 HOST 载入内存后,病毒中的各个变量( 常量)在内存中的位置自然也
44、会随着发生变化3、说明引导型病毒的判断与清除。 (1)由于引导程序本身完成的功能比较简单,所以我们可以判断该引导程序的合法性(看 JMP 指令的合法性)(2)病毒驻留在内存,时刻监视系统的运行,伺机感染。缩小内存大小值,影响读写文件速度。检查引导扇区、检查内存容量可以发现病毒4、为什么要获取 API 函数地址?(1)Win32 程序一般运行在 Ring 3 级,处于保护模式(2)Win32 下的系统功能调用,不是通过中断实现,而是通过调用动态连接库中的 API 函数实现(3)Win32 PE 病毒和普通 Win32 PE 程序一样需要调用 API 函数实现某些功能,但是对于 Win32 PE
45、病毒来说,它只有代码节,并不存在引入函数节病毒就无法象普通 PE 程序那样直接调用相关 API 函数,而应该先找出这些 API 函数在相应 DLL 中的地址5、说明文件操作相关 API 函数有哪些?六综合题(10 分)结合自己的理解说明启发式扫描技术的基本思想。启发式扫描技术,实际上就是把这种经验和知识移植到一个查病毒软件中的具体程序体现。因此,在这里,启发式指的“自我发现的能力 ”或“运用某种方式或方法去判定事物的知识和技能。 ”二 一、填空95. 是否具有传染性,是判别一个程序是否为计算机病毒的首要条件。96. 计算机病毒因某个事件或数值的出现,诱使病毒实施感染或进行攻击的特性称为可触发性
46、97. 病毒程序嵌入到宿主程序中,依赖于宿主程序的执行而生存,这就是计算机病毒的寄生性。98. 病毒的最大特点是其传染性,原因是其自身程序不断复制的结果,即程序本身复制到其他程序中或简单地在某一系统中不断地复制自己。99. 计算机病毒按寄生对象分为引导型病毒、文件型病毒、混合型病毒。100. 蠕虫(Worm)是一种独立的可执行程序,主要由主程序和引导程序两部分组成101. 蠕虫程序的工作流程可以分为漏洞扫描、攻击、传染、现场处理四个阶段102. 一般的木马都有客户端和服务器端两个程序103. 计算机病毒的产生过程可分为:程序设计传播潜伏触发、运行实施攻击104. INT 13H 调用是 BIO
47、S 提供的磁盘基本输入输出中断调用,它可以完成磁盘 ( 包括硬盘和软盘) 的复位、读写、校验、定位、诊断、格式化等功能,完全不用考虑被操作硬盘安装的是什么操作系统 105. 通过主引导记录定义的硬盘分区表,最多只能描述 4 个分区106. NTFS 是一个比 FAT 更复杂的系统。在 NTFS 中,磁盘上的任何事物都为文件107. 中断(Interrupt) ,就是 CPU 暂停当前程序的执行,转而执行处理紧急事务的程序,并在该事务处理完成后能自动恢复执行原先程序的过程108. 在保护模式下,所有的应用程序都具有权限级别(Privilege Level ,PL) 。PL 按优先次序分为四等,其中 0 级权限最高,3 级最低 。109. 在 Win32 位平台可执行文件格式:可移植的可执行文件格式,即 PE 格式。110. 引出函数节是本文件向其他程序提供的可调用函数列表这个节一般用在 DLL 中,EXE文件中也可以有这个节,但通常很少使用111. 计算机病毒在传播过程中存在两种状态,即静态和动态112. 计算机病毒要完成一次完整的传播破坏过程,必须经过以下几个环节:
