病毒檢測技術(shù)復(fù)習(xí)題含答案

一、填空程序性決定了計(jì)算機(jī)病毒的可防治性、可清除性，反病毒技術(shù)就是要提前取得計(jì)算機(jī)系統(tǒng)的控制權(quán)，識(shí)別出計(jì)算機(jī)病毒的代碼和行為，阻止其取得系統(tǒng)控制權(quán)，并及時(shí)將其清除。是否具有傳染性，是判別一個(gè)程序是否為計(jì)算機(jī)病毒的首要條件。計(jì)算機(jī)病毒因某個(gè)事件或數(shù)值的出現(xiàn)，誘使病毒實(shí)施感染或進(jìn)行攻擊的特性稱為可觸發(fā)性病毒程序嵌入到宿主程序中，依賴于宿主程序的執(zhí)行而生存，這就是計(jì)算機(jī)病毒的寄生性、病毒的最大特點(diǎn)是其傳染性，而傳染性的原因是其自身程序不斷復(fù)制的結(jié)果，即程序本身復(fù)制到其他程序中或簡單地在某一系統(tǒng)中不斷地復(fù)制自己計(jì)算機(jī)病毒按寄生對(duì)象分為引導(dǎo)型病毒文件型病毒混合型病毒蠕蟲(Worm)是一種獨(dú)立的可執(zhí)行程序，主要由主程序和引導(dǎo)程序兩部分組成蠕蟲程序的工作流程可以分為漏洞掃描、攻擊、傳染、現(xiàn)場處理四個(gè)階段特洛伊木馬(Trojanhouse,簡稱木馬)是指表面上是有用的軟件、實(shí)際目的卻是危害計(jì)算機(jī)安全并導(dǎo)致嚴(yán)重破壞的計(jì)算機(jī)程序，是一種在遠(yuǎn)程計(jì)算機(jī)之間建立連接，使遠(yuǎn)程計(jì)算機(jī)能通過網(wǎng)絡(luò)控制本地計(jì)算機(jī)的非法程序一般的木馬都有客戶端和服務(wù)器端兩個(gè)程序客戶端是用于攻擊者遠(yuǎn)程控制已植入木馬的計(jì)算機(jī)的程序服務(wù)器端程序就是在用戶計(jì)算機(jī)中的木馬程序計(jì)算機(jī)病毒英文命名規(guī)則也就是國際上對(duì)病毒命名的一般慣例為 “前綴+病毒名+后綴”，即三元組命名規(guī)則計(jì)算機(jī)病毒的產(chǎn)生過程可分為：程序設(shè)計(jì)→傳播→潛伏→觸發(fā)、運(yùn)行→實(shí)施攻擊計(jì)算機(jī)病毒是一類特殊的程序，也有生命周期開發(fā)期傳染期潛伏期發(fā)作期發(fā)現(xiàn)期消化期消亡期在學(xué)習(xí)、研究計(jì)算機(jī)病毒的過程中，在遵守相關(guān)法律法規(guī)的前提下，應(yīng)嚴(yán)格遵守以下“八字原則”——自尊自愛、自強(qiáng)自律BIOSINT13H調(diào)用是BIOS提供的磁盤基本輸入輸出中斷調(diào)用，它可以完成磁盤(包括硬盤和軟盤)的復(fù)位、讀寫、校驗(yàn)、定位、診斷、格式化等功能，完全不用考慮被操作硬盤安裝的是什么操作系統(tǒng)現(xiàn)代大容量硬盤一般采用 LBA(LogicBlockAddress)線性地址來尋址，以替代CHS尋址。高級(jí)格式化的目的是在分區(qū)內(nèi)建立分區(qū)引導(dǎo)記錄 DBR(DoSBootReCord)、文件分配表FAT(FileAllocationTable)、文件目錄表FDT(FileDirectoryTable)和數(shù)據(jù)區(qū)DATA主引導(dǎo)記錄(MasterBootReCord，MBR)主分區(qū)表即磁盤分區(qū)表(DiskPartitionTable，DPT)引導(dǎo)扇區(qū)標(biāo)記(BootReCordID/Signature)通過主引導(dǎo)記錄定義的硬盤分區(qū)表，最多只能描述4個(gè)分區(qū)FAT32最早是出于FAT16不支持大分區(qū)、單位簇容量大以至于空間急劇浪費(fèi)等缺點(diǎn)設(shè)計(jì)的NTFS是一個(gè)比FAT更復(fù)雜的系統(tǒng)。在NTFS中，磁盤上的任何事物都為文件NTFS文件系統(tǒng)中，小文件和文件夾(典型的如1023字節(jié)或更少)將全部存儲(chǔ)在文件的MFT記錄里中斷(Interrupt)，就是CPU暫停當(dāng)前程序的執(zhí)行，轉(zhuǎn)而執(zhí)行處理緊急事務(wù)的程序， 并在該事務(wù)處理完成后能自動(dòng)恢復(fù)執(zhí)行原先程序的過程中斷向量表(InterruptVeCtOrS)是一個(gè)特殊的線性表，它保存著系統(tǒng)所有中斷服務(wù)程序的入口地址(偏移量和段地址)設(shè)計(jì)擴(kuò)展INT13H接口的目的是為了擴(kuò)展BIoS的功能，使其支持多于1024柱面的硬盤，以及可移動(dòng)介質(zhì)的鎖定、解鎖及彈出等功能INT13H磁盤輸入輸出中斷，引導(dǎo)型病毒用于傳染病毒和格式化磁盤在保護(hù)模式下，所有的應(yīng)用程序都具有權(quán)限級(jí)別(PrivilegeLevel，PL)。PL按優(yōu)先次序分為四等：0級(jí)、1級(jí)、2級(jí)、3級(jí)，其中0級(jí)權(quán)限最高，3級(jí)最低，目前只用到Ring0和Ring3兩個(gè)級(jí)別31.操作系統(tǒng)核心層運(yùn)行在Ring0級(jí)，而Win32子系統(tǒng)運(yùn)行在Ring3級(jí)，為運(yùn)行在Ring3級(jí)的應(yīng)用程序提供接口32.計(jì)算機(jī)病毒總是想方設(shè)法竊取Ring0的權(quán)限(如CIH病毒)，以實(shí)施更大范圍的破壞DoS可執(zhí)行文件以英文字母 “MZ開頭，通常稱之為MZ文件在Windows3.0/3.1的可執(zhí)行文件，在MZ文件頭之后又有一個(gè)以 “NE開始的文件頭，稱之為NE文件在Win32位平臺(tái)可執(zhí)行文件格式：可移植的可執(zhí)行文件(PortableExecutableFile)格式，即PE格式。MZ文件頭之后是一個(gè)以 “PE開始的文件頭PE的意思就是PortableEXeCUtable(可移植、可執(zhí)行)，它是Win32可執(zhí)行文件的標(biāo)準(zhǔn)格式PE文件的真正內(nèi)容劃分成塊，稱之為SeCtiOn(節(jié))，緊跟在節(jié)表之后引入函數(shù)節(jié).idata引入函數(shù)節(jié)可能被病毒用來直接獲取API函數(shù)地址引出函數(shù)節(jié)是本文件向其他程序提供的可調(diào)用函數(shù)列表這個(gè)節(jié)一般用在 DLL中，EXE文件中也可以有這個(gè)節(jié)，但通常很少使用計(jì)算機(jī)病毒在傳播過程中存在兩種狀態(tài)，即靜態(tài)和動(dòng)態(tài)內(nèi)存中的動(dòng)態(tài)病毒又有兩種狀態(tài)：可激活態(tài)和激活態(tài)。計(jì)算機(jī)病毒要完成一次完整的傳播破壞過程，必須經(jīng)過以下幾個(gè)環(huán)節(jié)：分發(fā)拷貝階段潛伏繁殖階段破壞表現(xiàn)階段殺毒軟件可以將感染標(biāo)志作為病毒的特征碼之一可以利用病毒根據(jù)感染標(biāo)志是否進(jìn)行感染這一特性，人為地、主動(dòng)在文件中添加感染標(biāo)志，從而在某種程度上達(dá)到病毒免疫的目的無論是文件型病毒還是引導(dǎo)型病毒，其感染過程總的來說是相似的，分為三步：進(jìn)駐內(nèi)存、判斷感染條件、實(shí)施感染病毒攻擊的宿主程序是病毒的棲身地，宿主程序既是病毒傳播的目的地，又是下一次感染的出發(fā)點(diǎn)計(jì)算機(jī)病毒感染的過程一般有三步： (1)當(dāng)宿主程序運(yùn)行時(shí)，截取控制權(quán)； (2)尋找感染的突破口；(3)將病毒代碼放入宿主程序既感染引導(dǎo)扇區(qū)又感染文件是混合感染一個(gè)宿主程序上感染多種病毒，稱為交叉感染。無入口點(diǎn)病毒并不是真正沒有入口點(diǎn)， 而是采用入口點(diǎn)模糊(EntryPointObscuring,EPO)技術(shù)，即病毒在不修改宿主原入口點(diǎn)的前提下，通過在宿主代碼體內(nèi)某處插入跳轉(zhuǎn)指令來使病毒獲得控制權(quán)滋生感染式病毒又稱作伴侶病毒或伴隨型病毒滋生感染式病毒病毒不改變被感染的文件,而是為被感染的文件創(chuàng)建一個(gè)伴隨文件病毒在感染時(shí),完全不改動(dòng)宿主程序本體,而是改動(dòng)或利用與宿主程序相關(guān)的信息,將病毒程序與宿主程序鏈成一體,這種感染方式稱作鏈?zhǔn)礁腥?LinkInfeCtion).COM文件結(jié)構(gòu)比較簡單,是一種單段執(zhí)行結(jié)構(gòu)內(nèi)存映射文件提供了一組獨(dú)立的函數(shù),是應(yīng)用程序能夠通過內(nèi)存指針像訪問內(nèi)存一樣對(duì)磁盤上的文件進(jìn)行訪問WSH是WindowsSCriptingHost(Windows腳本宿主)的縮略形式,是一個(gè)基于32位Windows平臺(tái)、并獨(dú)立于語言的腳本運(yùn)行環(huán)境,是一種批次語言 /自動(dòng)執(zhí)行工具宏病毒是使用宏語言編寫的惡意程序,存在于字處理文檔、電子數(shù)據(jù)表格、數(shù)據(jù)庫、演示文檔等數(shù)據(jù)文件中，可以在一些數(shù)據(jù)處理系統(tǒng) (主要是微軟的Word、Excel、ACCeSS等OffiCe軟件系統(tǒng))中運(yùn)行,利用宏語言的功能將自己復(fù)制、繁殖到其他數(shù)據(jù)文檔中蠕蟲主要是利用計(jì)算機(jī)系統(tǒng)漏洞(Vulnerability)進(jìn)行傳染,搜索到網(wǎng)絡(luò)中存在漏洞的計(jì)算機(jī)后

主動(dòng)進(jìn)行攻擊，在傳染的過程中，與計(jì)算機(jī)操作者是否進(jìn)行操作無關(guān)，從而與使用者的計(jì)算機(jī)知識(shí)水平無關(guān)根據(jù)蠕蟲的傳播、運(yùn)作方式，可以將蠕蟲分為兩類主機(jī)蠕蟲網(wǎng)絡(luò)蠕蟲網(wǎng)絡(luò)蠕蟲最大特點(diǎn)是利用各種漏洞進(jìn)行自動(dòng)傳播61?蠕蟲的工作方式一般是 掃描→攻擊→復(fù)制”特洛伊木馬(TrojanHorSe),簡稱木馬，是一種惡意程序，是一種基于遠(yuǎn)程控制的黑客工具，一旦侵入用戶的計(jì)算機(jī)，就悄悄地在宿主計(jì)算機(jī)上運(yùn)行，在用戶毫無察覺的情況下，讓攻擊者獲得遠(yuǎn)程訪問和控制系統(tǒng)的權(quán)限，進(jìn)而在用戶的計(jì)算機(jī)中修改文件、修改注冊(cè)表、控制鼠標(biāo)、監(jiān)視/控制鍵盤，或竊取用戶信息木馬與合法遠(yuǎn)程控制軟件(如PCAnyWhere)的主要區(qū)別在于是否具有隱蔽性、 是否具有非授權(quán)性木馬系統(tǒng)軟件一般由木馬配置程序、控制程序和木馬程序 (服務(wù)器程序)三部分組成木馬獲得服務(wù)端的IP地址的方法主要有兩種：信息反饋和IP掃描當(dāng)進(jìn)程為真隱藏的時(shí)候，那么這個(gè)木馬服務(wù)器運(yùn)行之后，就不應(yīng)該具備一般進(jìn)程的表現(xiàn)，也不應(yīng)該具備服務(wù)的表現(xiàn)，也就是說，完全溶進(jìn)了系統(tǒng)的內(nèi)核動(dòng)態(tài)嵌入技術(shù)是指木馬將自己的代碼嵌入正在運(yùn)行的進(jìn)程中的技術(shù)。WindowSXP的NetStat工具提供了一個(gè)新的-o選項(xiàng)，能夠顯示出正在使用端口的程序或服務(wù)的進(jìn)程標(biāo)識(shí)符(PID)。當(dāng)進(jìn)程為真隱藏的時(shí)候，那么這個(gè)木馬服務(wù)器運(yùn)行之后，就不應(yīng)該具備一般進(jìn)程的表現(xiàn)，也不應(yīng)該具備服務(wù)的表現(xiàn)，EPO是EntryPointObSCuring技術(shù)的簡寫，意即入口模糊技術(shù)，該技術(shù)改變了傳統(tǒng)的修改PE頭部的入口點(diǎn)、使其指向病毒代碼入口而使病毒代碼得以執(zhí)行的典型方法對(duì)付多態(tài)病毒的最好辦法是某種形式的虛擬執(zhí)行技術(shù)，也就是仿真出一個(gè) 80x86的CPU,讓解密代碼自己解密完成之后，再使用通常的特征碼識(shí)別法進(jìn)行病毒檢測計(jì)算機(jī)病毒的防治技術(shù)分成四個(gè)方面病毒預(yù)防技術(shù)病毒檢測技術(shù)病毒消除技術(shù)病毒免疫技術(shù)計(jì)算機(jī)病毒的預(yù)防措施可概括為兩點(diǎn)勤備份嚴(yán)防守比較法是用原始的正常備份與被檢測的內(nèi)容(引導(dǎo)扇區(qū)或被檢測的文件 )進(jìn)行比較長度比較法內(nèi)容比較法內(nèi)存比較法中斷比較法利用病毒的特有行為特性監(jiān)測病毒的方法,稱為行為監(jiān)測法,也稱為人工智能陷阱法軟件模擬(SoftwareEmulation)法(即后文中將詳細(xì)介紹的虛擬機(jī)對(duì)抗病毒技術(shù) ),是一種軟件分析器,用軟件方法來模擬和分析程序的運(yùn)行：模擬CPU執(zhí)行,在其設(shè)計(jì)的虛擬機(jī)器(VirtualMaChine)下假執(zhí)行病毒的變體引擎解碼程序,安全并確實(shí)地將多態(tài)病毒解開,使其顯露真實(shí)面目,再加以掃描設(shè)計(jì)虛擬機(jī)查毒的目的是為了對(duì)抗加密變形病毒二、選擇題:1.計(jì)算機(jī)病毒會(huì)造成計(jì)算機(jī)怎樣的損壞 (A)A.硬件A.硬件,軟件和數(shù)據(jù)B.硬件和軟件C.軟件和數(shù)據(jù)C.軟件和數(shù)據(jù)D.硬件和數(shù)據(jù)2.某片軟盤上已染有病毒,2.某片軟盤上已染有病毒,為防止該病毒傳染計(jì)算機(jī)系統(tǒng),正確的措施是(D)B.B.給該軟盤加上寫保護(hù)D.將軟盤重新格式化B.在寫保護(hù)缺口貼上膠條刪除該軟盤上所有程序C.將該軟盤放一段時(shí)間后再用3.防止軟盤感染病毒的方法用 (D)不要把軟盤和有毒的軟盤放在一起C.保持機(jī)房清潔 D.定期對(duì)軟盤格式化發(fā)現(xiàn)計(jì)算機(jī)病毒后,比較徹底的清除方式是(D)用查毒軟件處理 B.刪除磁盤文件C.用殺毒軟件處理 D.格式化磁盤計(jì)算機(jī)病毒通常是(A)A.—段程序 B.一個(gè)命令 C.一個(gè)文件 D.一個(gè)標(biāo)記文件型病毒傳染的對(duì)象主要是什么類文件 (C).DBFB..WPSC..COM和.EXED..EXE和.WPS關(guān)于計(jì)算機(jī)病毒的傳播途徑,不正確的說法是(C)通過軟盤的復(fù)制 B.通過共用軟盤C.通過共同存放軟盤 D.通過借用他人的軟盤目前最好的防病毒軟件的作用是(D)檢查計(jì)算機(jī)是否染有病毒,消除已感染的任何病毒B.杜絕病毒對(duì)計(jì)算機(jī)的侵害查出計(jì)算機(jī)已感染的任何病毒，消除其中的一部分檢查計(jì)算機(jī)是否染有病毒，消除已感染的部分病毒公安部開發(fā)的SCAN軟件是用于計(jì)算的(A)病毒檢查 B.病毒分析和統(tǒng)計(jì)C.病毒防疫 D.病毒示范防病毒卡能夠(A)自動(dòng)發(fā)現(xiàn)病毒入侵的跡象并提醒操作者或及時(shí)阻止病毒的入侵杜絕病毒對(duì)計(jì)算的侵害自動(dòng)發(fā)現(xiàn)并阻止任何病毒的入侵自動(dòng)消除已感染的所有病毒計(jì)算機(jī)病毒是可以造成機(jī)器故障的(D)—種計(jì)算機(jī)設(shè)備 B.一塊計(jì)算機(jī)芯片C.一種計(jì)算機(jī)部件 D.一種計(jì)算機(jī)程序若一張軟盤封住了寫保護(hù)口，則(D)既向處傳染病毒又會(huì)感染病毒即不會(huì)向處傳染病毒，也不會(huì)感染病毒不會(huì)傳染病毒，但會(huì)感染病毒不會(huì)感染病毒，但會(huì)傳染病毒防止計(jì)算機(jī)傳染病毒的方法是(A)不使用有病毒的盤片 B.不讓有傳染病的人操作C.提高計(jì)算機(jī)電源穩(wěn)定性 D.聯(lián)機(jī)操作計(jì)算機(jī)病毒的危害性表現(xiàn)在(B)能造成計(jì)算機(jī)器件永久性失效影響程序的執(zhí)行破壞用戶數(shù)據(jù)與程序不影響計(jì)算機(jī)的運(yùn)行速度不影響計(jì)算機(jī)的運(yùn)算結(jié)果，不必采取措施15.下面有關(guān)計(jì)算機(jī)病毒的說法正確的是(C)計(jì)算機(jī)病毒是一個(gè)MIS程序計(jì)算機(jī)病毒是對(duì)人體有害的傳染病計(jì)算機(jī)病毒是一個(gè)能夠通過自身傳染 ，起破壞作用的計(jì)算機(jī)程序計(jì)算機(jī)病毒是一段程序，但對(duì)計(jì)算機(jī)無害計(jì)算機(jī)病毒(D)不影響計(jì)算機(jī)的運(yùn)行速度C.不影響計(jì)算機(jī)的運(yùn)算結(jié)果計(jì)算機(jī)病毒對(duì)于操作計(jì)算機(jī)的人能造成計(jì)算機(jī)器件的永久性失效影響程序的執(zhí)行破壞用戶數(shù)據(jù)與程序(C)A.只會(huì)感染，不會(huì)致病 B.會(huì)感染致病不會(huì)感染 D.傳染性，隱蔽性和危害性計(jì)算機(jī)病毒是一組計(jì)算機(jī)程序，它具有(D_)A.傳染性 B.隱蔽性 C.危害性D.傳染性,隱蔽性和危害性計(jì)算機(jī)病毒造成的損壞主要是(C)A.文字處理和數(shù)據(jù)庫管理軟件 B.操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)C.程序和數(shù)據(jù) D.系統(tǒng)軟件和應(yīng)用軟件以下措施不能防止計(jì)算機(jī)病毒的是(A)軟盤未貼寫保護(hù)先用殺病毒軟件將從別人機(jī)器上拷來的文件清查病毒不用來歷不明的磁盤經(jīng)常關(guān)注防病毒軟件的版本升級(jí)情況，并盡量取得最高版本的防毒軟件計(jì)算機(jī)病毒具有(A)傳播性，潛伏性,破壞性傳播性,破壞性,易讀性潛伏性,破壞性,易讀性傳播性，潛伏性，安全性計(jì)算機(jī)病毒是一種(D)A.機(jī)器部件 B.計(jì)算機(jī)文件C.微生物"病原體" D.程序計(jì)算機(jī)病毒通常分為引導(dǎo)型,復(fù)合型和(B)A.外殼型B.文件型C.內(nèi)碼型 D.操作系統(tǒng)型計(jì)算機(jī)病毒造成的損壞主要是(D)A.磁盤B.磁盤驅(qū)動(dòng)器C.磁盤和其中的程序及數(shù)據(jù)D.程序和數(shù)據(jù)公安部開發(fā)的KILL軟件是用于計(jì)算機(jī)的(A)A.病毒檢查和消除 B.病毒分析和統(tǒng)計(jì)C.病毒防疫 D.病毒防范不易被感染上病毒的文件是(C)A.COMB.EXEC.TXTD.BOOT文件被感染上病毒之后,其基本特征是(C)A.文件不能被執(zhí)行 B.文件長度變短文件長度加長 D.文件照常能執(zhí)行28.病毒程序按其侵害對(duì)象不同分為 C 。A、 外殼型、入侵型、原碼型和外殼型B、 原碼型、外殼型、復(fù)合型和網(wǎng)絡(luò)病毒C、 引導(dǎo)型、文件型、復(fù)合型和網(wǎng)絡(luò)病毒D、 良性型、惡性型、原碼型和外殼型計(jì)算機(jī)機(jī)房安全等級(jí)分為A,B,C三級(jí),其中C級(jí)的要求是(C)A.計(jì)算機(jī)實(shí)體能運(yùn)行 B.計(jì)算機(jī)設(shè)備能安放 C.有計(jì)算機(jī)操作人員確保系統(tǒng)作一般運(yùn)行時(shí)要求的最低限度安全性 ，可靠性所應(yīng)實(shí)施的內(nèi)容(C)是在計(jì)算機(jī)信息處理和輿過程中唯一切實(shí)可行的安全技術(shù)A.無線通信技術(shù) B.專門的網(wǎng)絡(luò)輿技術(shù)密碼技術(shù) D.校驗(yàn)技術(shù)(A)是計(jì)算機(jī)病毒A.—段程序B.一批數(shù)據(jù)C.若干條指令能在計(jì)算機(jī)運(yùn)行時(shí)實(shí)施傳染和侵害的功能程序

32.關(guān)于計(jì)算機(jī)病毒,正確的說法是(C)A.計(jì)算機(jī)病毒可以燒毀計(jì)算機(jī)的電子器件計(jì)算機(jī)病毒是一種傳染力極強(qiáng)的生物細(xì)菌計(jì)算機(jī)病毒是一種人為特制的具有破壞性的程序計(jì)算機(jī)病毒一旦產(chǎn)生,便無法清除33.計(jì)算機(jī)病毒會(huì)造成(C)A.CPU的燒毀B.磁盤驅(qū)動(dòng)器的損壞C.程序和數(shù)據(jù)的破壞 D.磁盤的損壞我國政府頒布的《計(jì)算機(jī)軟件保護(hù)條例》從何時(shí)開始實(shí)施 ?CA.1986年10月B.1990年6月C.1991年10月D.1993年10月《計(jì)算機(jī)軟件保護(hù)條例》中所稱的計(jì)算機(jī)軟件 (簡稱軟件)是指(D)A.計(jì)算機(jī)程序B.源程序和目標(biāo)程序C.源程序36.微機(jī)病毒系指(D)A.生物病毒感染D.計(jì)算機(jī)程序及其有關(guān)文檔B.細(xì)菌感染C.被損壞的程序D.特制的具有破壞性的小程序在下列計(jì)算機(jī)安全防護(hù)措施中 ，(C)是最重要的提高管理水平和技術(shù)水平提高硬件設(shè)備運(yùn)行的可靠性預(yù)防計(jì)算機(jī)病毒的傳染和傳播D.盡量防止自然因素的損害計(jì)算機(jī)犯罪是一個(gè)(B)問題.A.技術(shù)問題 B.法律范疇的問題C.政治問題 D.經(jīng)濟(jì)問題TOC\o"1-5"\h\z計(jì)算機(jī)病毒的主要特征是 (D)A.只會(huì)感染不會(huì)致病 B.造成計(jì)算機(jī)器件永久失效C.格式化磁盤 D.傳染性，隱蔽性,破壞性和潛伏性防止軟盤感染病毒的有效方法是 (C)A.定期用藥物給機(jī)器消毒 B.加上寫保護(hù)C.定期對(duì)軟盤進(jìn)行格式化 D.把有毒盤銷毀目前使用的防殺病毒軟件的作用是 (C)檢查計(jì)算機(jī)是否感染病毒，消除已感染的任何病毒杜絕病毒對(duì)計(jì)算機(jī)的侵害檢查計(jì)算機(jī)是否感染病毒，清除部分已感染的病毒查出已感染的任何病毒,清除部分已感染的病毒下面列出的計(jì)算機(jī)病毒傳播途徑 ，不正確的說法是(D)A.使用來路不明的軟件 B.通過借用他人的軟盤C.通過非法的軟件拷貝 D.通過把多張軟盤疊放在一起計(jì)算機(jī)病毒具有隱蔽性，潛伏性，傳播性，激發(fā)性和(C)A.惡作劇性 B.入侵性C.破壞性和危害性 D.可擴(kuò)散性不是微機(jī)之間病毒傳播的媒介的是 B A、硬盤B、鼠標(biāo)C、軟盤D、光盤常見計(jì)算機(jī)病毒的特點(diǎn)有 D 。A.只讀性、趣味性、隱蔽性和傳染性良性、惡性、明顯性和周期性周期性、隱蔽性、復(fù)發(fā)性和良性隱蔽性、潛伏性、傳染性和破壞性對(duì)已感染病毒的磁盤 B 。A.用酒精消毒后可繼續(xù)使用;用殺毒軟件殺毒后可繼續(xù)使用,C.可直接使用，對(duì)系統(tǒng)無任何影響;不能使用只能丟掉發(fā)現(xiàn)計(jì)算機(jī)感染病毒后，如下操作可用來清除病毒 A 。A.使用殺毒軟件；B.掃描磁盤C.整理磁盤碎片；D.重新啟動(dòng)計(jì)算機(jī)防止病毒入侵計(jì)算機(jī)系統(tǒng)的原則是D 。A.對(duì)所有文件設(shè)置只讀屬性；B.定期對(duì)系統(tǒng)進(jìn)行病毒檢查,安裝病毒免疫卡；堅(jiān)持以預(yù)防為主，堵塞病毒的傳播渠道TOC\o"1-5"\h\z復(fù)合型病毒是 D 。A、即感染引導(dǎo)扇區(qū)，又感染W(wǎng)oRD文件B、即感染可執(zhí)行文件，又感染W(wǎng)oRD文件,C、只感染可執(zhí)行文件； D、既感染引導(dǎo)扇區(qū)，又感染可執(zhí)行文件計(jì)算機(jī)病毒的防治方針是 A 。A.堅(jiān)持以預(yù)防為主；B.發(fā)現(xiàn)病毒后將其清除C.經(jīng)常整理硬盤；D.經(jīng)常清洗軟驅(qū)計(jì)算機(jī)病毒的最終目標(biāo)在于 A 。A.干擾和破壞系統(tǒng)的軟、硬件資源； B.豐富原有系統(tǒng)的軟件資源，C.傳播計(jì)算機(jī)病毒； D.寄生在計(jì)算機(jī)中計(jì)算機(jī)病毒所沒有的特點(diǎn)是 D 。A.隱藏性；B.潛伏性；C.傳染性；D.廣泛性計(jì)算機(jī)病毒在發(fā)作前，它 C 。A、很容易發(fā)現(xiàn)；B、沒有現(xiàn)象；C、較難發(fā)現(xiàn)；D、不能發(fā)現(xiàn)若出現(xiàn)下列現(xiàn)象 C 時(shí)，應(yīng)首先考慮計(jì)算機(jī)感染了病毒。A、不能讀取光盤； B、寫軟盤時(shí)，報(bào)告磁盤已滿C、程序運(yùn)行速度明顯變慢； D、開機(jī)啟動(dòng)Windows98時(shí)，先掃描硬盤。微機(jī)感染病毒后，可能造成 A 。A、引導(dǎo)扇區(qū)數(shù)據(jù)損壞；B、鼠標(biāo)損壞；C、內(nèi)存條物理損壞；D、顯示器損壞為了預(yù)防計(jì)算機(jī)病毒，對(duì)于外來磁盤應(yīng)采取 B 。A、禁止使用；B、先查毒，后使用；C、使用后，就殺毒；D、隨便使用未格式化的新軟盤， A 計(jì)算機(jī)病毒。A、可能會(huì)有；B、與帶毒軟盤放在一起會(huì)有C、一定沒有；D、拿過帶毒盤的手，再拿該盤后會(huì)有文件型病毒感染的主要對(duì)象是 B 類文件。A、.TXT和.WPS；B、.COM和.EXE；C、.WPS和.EXE；D、.DBF和.COM下列操作中， B 不可能清除文件型計(jì)算機(jī)病毒。A、 刪除感染計(jì)算機(jī)病毒的文件；B、 將感染計(jì)算機(jī)病毒的文件更名C、 格式化感染計(jì)算機(jī)病毒的磁盤;D、 用殺毒軟件進(jìn)行清除下列關(guān)于計(jì)算機(jī)病毒的說法正確的是 B 。A.計(jì)算機(jī)病毒不能發(fā)現(xiàn)； B.計(jì)算機(jī)病毒能自我復(fù)制，C.計(jì)算機(jī)病毒會(huì)感染計(jì)算機(jī)用戶； D.計(jì)算機(jī)病毒是一種危害計(jì)算機(jī)的生物病毒下列設(shè)備中，能在微機(jī)之間傳播病毒的是 C 。A.掃描儀；B.鼠標(biāo)；C.光盤；D.鍵盤下列現(xiàn)象中的 C 時(shí)，不應(yīng)首先考慮計(jì)算機(jī)感染了病毒。A、磁盤卷標(biāo)名發(fā)生變化； B、以前能正常運(yùn)行的程序突然不能運(yùn)行了C、鼠標(biāo)操作不靈活； D、可用的內(nèi)存空間無故變小了三、判斷(5,8錯(cuò)誤其余全對(duì))TOC\o"1-5"\h\z反病毒軟件預(yù)防措施和技術(shù)手段往往滯后于病毒的產(chǎn)生速度 T對(duì)計(jì)算機(jī)病毒的分類研究，目的在于更好地描述、分析、理解計(jì)算機(jī)病毒的特性、危害、原理及其防治技術(shù)T病毒處于激活態(tài)時(shí)，不一定進(jìn)行傳染和破壞；但進(jìn)行傳染和破壞時(shí)，必然處于激活態(tài) T激活態(tài)的病毒一般不會(huì)自己轉(zhuǎn)變?yōu)槭Щ顟B(tài)，失活態(tài)的出現(xiàn)必定是有外在干預(yù) T在任何一個(gè)環(huán)節(jié)(階段)都可以抑制病毒的傳播、蔓延，或者清除病毒 錯(cuò)誤F我們應(yīng)當(dāng)盡可能地在病毒進(jìn)行破壞性攻擊之前切斷病毒傳染源、抑制病毒的傳播蔓延 T有的病毒有一個(gè)感染標(biāo)志，又稱病毒簽名，但不是所有的病毒都有感染標(biāo)志 T不同病毒的感染標(biāo)志的位置、內(nèi)容都不同錯(cuò)誤F.COM文件結(jié)構(gòu)比較簡單，是一種單段執(zhí)行結(jié)構(gòu)T.EXE文件采用多段結(jié)構(gòu)T“MeIiSSC網(wǎng)絡(luò)蠕蟲宏病毒”(MaCro.Word97.Melissa)T“LoverLettel網(wǎng)絡(luò)蠕蟲病毒”(VBS.LoveLetter等等，都是病毒，而不是蠕蟲。 T以病毒命名的沖擊波病毒”(WormNSBIast),卻是典型的蠕蟲T四、 名詞解釋1.PE文件防火墻特洛伊木馬宏病毒低級(jí)格式化蠕蟲腳本病毒五、 簡答1、 病毒采用的觸發(fā)條件主要有以下幾種？2、 病毒為什么需要重定位？3、 引導(dǎo)型病毒的判斷與清除？4、 為什么要獲取API函數(shù)地址5、 如何獲取API函數(shù)地址6、 病毒感染PE文件的基本方法7、 文件操作相關(guān)API函數(shù)8、 VBS腳本病毒的特點(diǎn)9、 VBS腳本病毒的弱點(diǎn)9、 VBS腳本病毒如何防范？10、 宏病毒的傳播方式11、 宏病毒采用哪些傳播方式？12、 如何防治和清除宏病毒？13、 簡要描述CIH病毒的觸發(fā)機(jī)制、感染機(jī)制。14、 如何讓系統(tǒng)對(duì)CIH病毒具有免疫能力？15、 試述蠕蟲與病毒的差別和聯(lián)系16、 在你看來，Nimda是病毒還是蠕蟲？為什么？17、 蠕蟲傳播過程中，如何優(yōu)化搜索目標(biāo)主機(jī)的策略？18、 蠕蟲的檢測與清除19、 蠕蟲常用的掃描策略20、 木馬的基本原理21、 特洛伊木馬的傳播方式木馬常用的傳播方式，有幾種？22、 木馬的危害木馬能實(shí)現(xiàn)的功能有哪些？23、 木馬的啟動(dòng)方式有哪些？24、 病毒的共同行為？25、 發(fā)現(xiàn)病毒后，清除病毒的一般步驟？26、 簡述計(jì)算機(jī)病毒的定義和特點(diǎn)？27、 簡述PE病毒的感染過程是怎樣的？28、 說明宏病毒的傳播方式（Word為例）？29、 說明文件型病毒的感染機(jī)理？30、 請(qǐng)說明蠕蟲的行為特征。31、 請(qǐng)簡要說明引導(dǎo)型病毒的啟動(dòng)過程（可畫流程圖）？32、 請(qǐng)說明VBS腳本病毒的特點(diǎn)。33、 計(jì)算機(jī)病毒有哪些傳播途徑？34、 為什么同一個(gè)病毒會(huì)有多個(gè)不同的名稱？35、 如何理解木馬與病毒的關(guān)系？36、 蠕蟲與病毒之間的區(qū)別及聯(lián)系。37、 計(jì)算機(jī)病毒一般采用哪些條件作為觸發(fā)條件？六?綜合問答題1、 檢測計(jì)算機(jī)病毒的主要方法有哪些？并詳細(xì)說明。2、 寫出并分析說明文件操作相關(guān) APl函數(shù)。3、 腳本病毒有哪些弱點(diǎn)？有哪些防范措施？4、 說明感染PE文件的基本步驟。5、 分析解釋并說明木馬的基本原理。6、 說明啟發(fā)式掃描技術(shù)的基本思想。參考復(fù)習(xí)題，基本覆蓋了教材和課件中的重要知識(shí)點(diǎn)， 請(qǐng)認(rèn)真復(fù)習(xí)教材和課件，也可以借助于百度等搜索工具復(fù)習(xí)。、填空（30分）程序性決定了計(jì)算機(jī)病毒的可防治性、可清除性， 反病毒技術(shù)就是要提前取得計(jì)算機(jī)系統(tǒng)的控制權(quán)，識(shí)別出計(jì)算機(jī)病毒的代碼和行為，阻止其取得系統(tǒng)控制權(quán)，并及時(shí)將其清除。特洛伊木馬是指表面上是有用的軟件、實(shí)際目的卻是危害計(jì)算機(jī)安全并導(dǎo)致嚴(yán)重破壞的計(jì)算機(jī)程序，是一種在遠(yuǎn)程計(jì)算機(jī)之間建立連接，使遠(yuǎn)程計(jì)算機(jī)能通過網(wǎng)絡(luò)控制本地計(jì)算機(jī)的非法程序?？蛻舳耸怯糜诠粽哌h(yuǎn)程控制已植入木馬的計(jì)算機(jī)的程序。計(jì)算機(jī)病毒英文命名規(guī)則也就是國際上對(duì)病毒命名的一般慣例為 前綴+病毒名+后綴”即三元組命名規(guī)則在學(xué)習(xí)、研究計(jì)算機(jī)病毒的過程中， 在遵守相關(guān)法律法規(guī)的前提下，應(yīng)嚴(yán)格遵守以下 八字原貝『一一尊自愛、自強(qiáng)自律中斷向量表（InterruptVectors）是一個(gè)特殊的線性表，它保存著系統(tǒng)所有中斷服務(wù)程序的入口地址(偏移量和段地址)引出函數(shù)節(jié)是本文件向其他程序提供的可調(diào)用函數(shù)列表這個(gè)節(jié)一般用在DLL中，EXE文件中也可以有這個(gè)節(jié)，但通常很少使用殺毒軟件可以將感染標(biāo)志作為病毒的特征碼之一無論是文件型病毒還是引導(dǎo)型病毒，其感染過程總的來說是相似的，分為三步：進(jìn)駐內(nèi)存、判斷感染條件、實(shí)施感染87.無入口點(diǎn)病毒并不是真正沒有入口點(diǎn)，而是采用入口點(diǎn)模糊(EntryPointObscuring，EPO)技術(shù)，即病毒在不修改宿主原入口點(diǎn)的前提下，通過在宿主代碼體內(nèi)某處插入跳轉(zhuǎn)指令來使病毒獲得控制權(quán)滋生感染式病毒又稱作伴侶病毒或伴隨型病毒內(nèi)存映射文件提供了一組獨(dú)立的函數(shù)，是應(yīng)用程序能夠通過內(nèi)存指針像訪問內(nèi)存一樣對(duì)磁盤上的文件進(jìn)行訪問90.WSH是Windows腳本宿主的縮略形式,是一個(gè)基于32位Windows平臺(tái)、并獨(dú)立于語言的腳本運(yùn)行環(huán)境，是一種批次語言/自動(dòng)執(zhí)行工具動(dòng)態(tài)嵌入技術(shù)是指木馬將自己的代碼嵌入正在運(yùn)行的進(jìn)程中的技術(shù)。計(jì)算機(jī)病毒的預(yù)防措施可概括為兩點(diǎn)勤備份嚴(yán)防守比較法是用原始的正常備份與被檢測的內(nèi)容 (引導(dǎo)扇區(qū)或被檢測的文件)進(jìn)行比較長度比較法內(nèi)容比較法內(nèi)存比較法中斷比較法利用病毒的特有行為特性監(jiān)測病毒的方法，稱為行為監(jiān)測法，也稱為人工智能陷阱法二、選擇題(10)計(jì)算機(jī)病毒會(huì)造成計(jì)算機(jī)怎樣的損壞(A)A.硬件,軟件和數(shù)據(jù)B.硬件和軟件C.軟件和數(shù)據(jù)D.硬件和數(shù)據(jù)某片軟盤上已染有病毒,為防止該病毒傳染計(jì)算機(jī)系統(tǒng),正確的措施是(D)A.刪除該軟盤上所有程序 B.給該軟盤加上寫保護(hù)C.將該軟盤放一段時(shí)間后再用D.將軟盤重新格式化防止軟盤感染病毒的方法用(B)A.不要把軟盤和有毒的軟盤放在一起 B.在寫保護(hù)缺口貼上膠條C.保持機(jī)房清潔D.定期對(duì)軟盤格式化4.發(fā)現(xiàn)計(jì)算機(jī)病毒后，比較徹底的清除方式是(D)A.用查毒軟件處理B.刪除磁盤文件C.用殺毒軟件處理 D.格式化磁盤5.計(jì)算機(jī)病毒通常是(A)A.一段程序 B.一個(gè)命令C.一個(gè)文件D.一個(gè)標(biāo)記6.文件型病毒傳染的對(duì)象主要是什么類文件(C)A..DBFB..WPSC..COM和.EXED..EXE和.WPS關(guān)于計(jì)算機(jī)病毒的傳播途徑 ,不正確的說法是(C)A.通過軟盤的復(fù)制 B.通過共用軟盤 C.通過共同存放軟盤 D.通過借用他人的軟盤目前最好的防病毒軟件的作用是 (A)A.檢查計(jì)算機(jī)是否染有病毒，消除已感染的任何病毒 B.杜絕病毒對(duì)計(jì)算機(jī)的侵害C.查出計(jì)算機(jī)已感染的任何病毒 ，消除其中的一部分 D.檢查計(jì)算機(jī)是否染有病毒，消除已感染的部分病毒計(jì)算機(jī)病毒是可以造成機(jī)器故障的 (D)A.—種計(jì)算機(jī)設(shè)備 B.一塊計(jì)算機(jī)芯片 C.一種計(jì)算機(jī)部件 D.一種計(jì)算機(jī)程序若一張軟盤封住了寫保護(hù)口 ，則(D)A.既向外傳染病毒又會(huì)感染病毒 B.即不會(huì)向外傳染病毒，也不會(huì)感染病毒C.不會(huì)傳染病毒，但會(huì)感染病毒 D.不會(huì)感染病毒，但會(huì)傳染病毒三、判斷(10分)TOC\o"1-5"\h\z反病毒軟件預(yù)防措施和技術(shù)手段往往滯后于病毒的產(chǎn)生速度 T對(duì)計(jì)算機(jī)病毒的分類研究，目的在于更好地描述、分析、理解計(jì)算機(jī)病毒的特性、危害、原理及其防治技術(shù)T病毒處于激活態(tài)時(shí)，不一定進(jìn)行傳染和破壞；但進(jìn)行傳染和破壞時(shí)，必然處于激活態(tài) T激活態(tài)的病毒一般不會(huì)自己轉(zhuǎn)變?yōu)槭Щ顟B(tài)，失活態(tài)的出現(xiàn)必定是有外在干預(yù) T在任何一個(gè)環(huán)節(jié)（階段）都可以抑制病毒的傳播、蔓延，或者清除病毒 T我們應(yīng)當(dāng)盡可能地在病毒進(jìn)行破壞性攻擊之前切斷病毒傳染源、抑制病毒的傳播蔓延 T在任何一個(gè)環(huán)節(jié)（階段）都可以抑制病毒的傳播、蔓延，或者清除病毒 T不同病毒的感染標(biāo)志的位置、內(nèi)容都不同 T.COM文件結(jié)構(gòu)比較簡單，是一種單段執(zhí)行結(jié)構(gòu) T.EXE文件采用多段結(jié)構(gòu)T四、名詞解釋（15分）PE文件---PE的意思就是PortabIeEXeCUtable（可移植、可執(zhí)行）,它是Win32可執(zhí)行文件的標(biāo)準(zhǔn)格式防火墻---它是一種位于內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)安全系統(tǒng)。一項(xiàng) 信息安全的防護(hù)系統(tǒng)，依照特定的規(guī)則，允許或是限制傳輸?shù)臄?shù)據(jù)通過。特洛伊木馬----特洛伊木馬（TrOjanHOrSe）,簡稱木馬，是一種惡意程序，是一種基于遠(yuǎn)程控制的黑客工具，一旦侵入用戶的計(jì)算機(jī)，就悄悄地在宿主計(jì)算機(jī)上運(yùn)行，在用戶毫無察覺的情況下，讓攻擊者獲得遠(yuǎn)程訪問和控制系統(tǒng)的權(quán)限，進(jìn)而在用戶的計(jì)算機(jī)中修改文件、修改注冊(cè)表、控制鼠標(biāo)、監(jiān)視 /控制鍵盤，或竊取用戶信息蠕蟲-----蠕蟲主要是利用計(jì)算機(jī)系統(tǒng)漏洞 （VUInerability）進(jìn)行傳染，搜索到網(wǎng)絡(luò)中存在漏洞的計(jì)算機(jī)后主動(dòng)進(jìn)行攻擊，在傳染的過程中，與計(jì)算機(jī)操作者是否進(jìn)行操作無關(guān)，從而與使用者的計(jì)算機(jī)知識(shí)水平無關(guān)宏病毒---宏病毒是使用宏語言編寫的惡意程序，存在于字處理文檔、電子數(shù)據(jù)表格、數(shù)據(jù)庫、演示文檔等數(shù)據(jù)文件中，可以在一些數(shù)據(jù)處理系統(tǒng) （主要是微軟的Word、Excel、ACCeSS等OfiCe軟件系統(tǒng)）中運(yùn)行，禾U用宏語言的功能將自己復(fù)制、繁殖到其他數(shù)據(jù)文檔中五、簡答（25分）1、病毒采用的觸發(fā)條件主要有幾種？至少說出五種。2、病毒為什么需要重定位？病毒不可避免也要用到變量（常量）,當(dāng)病毒感染HOST程序后，由于其依附到不冋HoST程序中的位置各有不冋，病毒隨著HOST載入內(nèi)存后，病毒中的各個(gè)變量（常量）在內(nèi)存中的位置自然也會(huì)隨著發(fā)生變化3、說明引導(dǎo)型病毒的判斷與清除。 （1）由于引導(dǎo)程序本身完成的功能比較簡單，所以我們可以判斷該引導(dǎo)程序的合法性（看JMP指令的合法性）（2）病毒駐留在內(nèi)存，時(shí)刻監(jiān)視系統(tǒng)的運(yùn)行，伺機(jī)感染。縮小內(nèi)存大小值，影響讀寫文件速度。檢查引導(dǎo)扇區(qū)、檢查內(nèi)存容量可以發(fā)現(xiàn)病毒4、為什么要獲取APl函數(shù)地址？（1）Win32程序一般運(yùn)行在Ring3級(jí)，處于保護(hù)模式（2） Win32下的系統(tǒng)功能調(diào)用，不是通過中斷實(shí)現(xiàn)，而是通過調(diào)用動(dòng)態(tài)連接庫中的API函數(shù)實(shí)現(xiàn)（3） Win32PE病毒和普通Win32PE程序一樣需要調(diào)用API函數(shù)實(shí)現(xiàn)某些功能，但是對(duì)于 Win32PE病毒來說，它只有代碼節(jié)，并不存在引入函數(shù)節(jié)病毒就無法象普通PE程序那樣直接調(diào)用相關(guān)API函數(shù)，而應(yīng)該先找出這些API函數(shù)在相應(yīng)DLL中的地址5、 說明文件操作相關(guān)API函數(shù)有哪些？綜合題（10分）結(jié)合自己的理解說明啟發(fā)式掃描技術(shù)的基本思想。啟發(fā)式掃描技術(shù)，實(shí)際上就是把這種經(jīng)驗(yàn)和知識(shí)移植到一個(gè)查 病毒軟件中的具體程序體現(xiàn)。因此，在這里,啟發(fā)式指的自我發(fā)現(xiàn)的能力”或運(yùn)用某種方式或方法去判定事物的知識(shí)和技能。 ”、填空是否具有傳染性，是判別一個(gè)程序是否為計(jì)算機(jī)病毒的首要條件。計(jì)算機(jī)病毒因某個(gè)事件或數(shù)值的出現(xiàn)，誘使病毒實(shí)施感染或進(jìn)行攻擊的特性稱為 可觸發(fā)性病毒程序嵌入到宿主程序中，依賴于宿主程序的執(zhí)行而生存，這就是計(jì)算機(jī)病毒的寄生性。病毒的最大特點(diǎn)是其傳染性，原因是其自身程序不斷復(fù)制的結(jié)果，即程序本身復(fù)制到其他程序中或簡單地在某一系統(tǒng)中不斷地復(fù)制自己。計(jì)算機(jī)病毒按寄生對(duì)象分為引導(dǎo)型病毒、文件型病毒、混合型病毒。蠕蟲(Worm)是一種獨(dú)立的可執(zhí)行程序，主要由主程序和引導(dǎo)程序兩部分組成蠕蟲程序的工作流程可以分為漏洞掃描、攻擊、傳染、現(xiàn)場處理四個(gè)階段一般的木馬都有客戶端和服務(wù)器端兩個(gè)程序計(jì)算機(jī)病毒的產(chǎn)生過程可分為：程序設(shè)計(jì)→傳播→ 潛伏→觸發(fā)、運(yùn)行→實(shí)施攻擊INT13H調(diào)用是BIOS提供的磁盤基本輸入輸出中斷調(diào)用，它可以完成磁盤(包括硬盤和軟盤)的復(fù)位、讀寫、校驗(yàn)、定位、診斷、格式化等功能，完全不用考慮被操作硬盤安裝的是什么操作系統(tǒng)通過主引導(dǎo)記錄定義的硬盤分區(qū)表，最多只能描述4個(gè)分區(qū)NTFS是一個(gè)比FAT更復(fù)雜的系統(tǒng)。在NTFS中，磁盤上的任何事物都為文件中斷(Interrupt)，就是CPU暫停當(dāng)前程序的執(zhí)行，轉(zhuǎn)而執(zhí)行處理緊急事務(wù)的程序，并在該事務(wù)處理完成后能自動(dòng)恢復(fù)執(zhí)行原先程序的過程在保護(hù)模式下，所有的應(yīng)用程序都具有權(quán)限級(jí)別 (PriVilegeLevel，PL)。PL按優(yōu)先次序分為四等，其中0級(jí)權(quán)限最高，3級(jí)最低。在Win32位平臺(tái)可執(zhí)行文件格式：可移植的可執(zhí)行文件格式，即PE格式。引出函數(shù)節(jié)是本文件向其他程序提供的可調(diào)用函數(shù)列表這個(gè)節(jié)一般用在 DLL中，EXE文件中也可以有這個(gè)節(jié)，但通常很少使用計(jì)算機(jī)病毒在傳播過程中存在兩種狀態(tài)，即靜態(tài)和動(dòng)態(tài)計(jì)算機(jī)病毒要完成一次完整的傳播破壞過程，必須經(jīng)過以下幾個(gè)環(huán)節(jié)： 分發(fā)拷貝階段、潛伏繁殖階段、破壞表現(xiàn)階段可以利用病毒根據(jù)感染標(biāo)志是否進(jìn)行感染這一特性，人為地、主動(dòng)在文件中添加，從而在某種程度上達(dá)到病毒免疫的目的二、選擇題：1.計(jì)算機(jī)病毒是可以造成機(jī)器故障的 (D)A.一種計(jì)算機(jī)設(shè)備 B.一塊計(jì)算機(jī)芯片C一種計(jì)算機(jī)部件 D.一種計(jì)算機(jī)程序2防止計(jì)算機(jī)傳染病毒的方法是 (A)A.不使用有病毒的盤片 B.不讓有傳染病的人操 作C.提高計(jì)算機(jī)電源穩(wěn)定性 D.聯(lián)機(jī)操作計(jì)算機(jī)病毒的危害性表現(xiàn)在 (B)A.不能造成計(jì)算機(jī)器件永久性失效 B.影響程序的執(zhí)行破壞用戶數(shù)據(jù)與程序C.不影響計(jì)算機(jī)的運(yùn)行速度 D.不影響計(jì)算機(jī)的運(yùn)算結(jié)果，不必采取措施下面有關(guān)計(jì)算機(jī)病毒的說法正確的是 (C)A.計(jì)算機(jī)病毒是一個(gè)MIS程序B.計(jì)算機(jī)病毒是對(duì)人體有害的傳染病 C.計(jì)算機(jī)病毒是能夠傳染，起破壞作用的計(jì)算機(jī)程序 D.計(jì)算機(jī)病毒是一段程序，但對(duì)計(jì)算機(jī)無害計(jì)算機(jī)病毒(D)A.不影響計(jì)算機(jī)的運(yùn)行速度 B.能造成計(jì)算機(jī)器件的永久性失效C.不影響計(jì)算機(jī)的運(yùn)算結(jié)果 D.影響程序的執(zhí)行破壞用戶數(shù)據(jù)與程序計(jì)算機(jī)病毒對(duì)于操作計(jì)算機(jī)的人 (C)A.只會(huì)感染，不會(huì)致病 B.會(huì)感染致病 C.不會(huì)感染 D.傳染性，隱蔽性和危害性計(jì)算機(jī)病毒是一組計(jì)算機(jī)程序 ，它具有(D)A.傳染性 B.隱蔽性 C.危害性 D.傳染性，隱蔽性和危害性(1)硬件部分：建立木馬連接所必須的硬件實(shí)體。 控制端：對(duì)服務(wù)端進(jìn)行遠(yuǎn)程控制的一方。 服務(wù)端：被控(1)硬件部分：建立木馬連接所必須的硬件實(shí)體。 控制端：對(duì)服務(wù)端進(jìn)行遠(yuǎn)程控制的一方。 服務(wù)端：被控8?計(jì)算機(jī)病毒造成的損壞主要是 (C)A.文字處理和數(shù)據(jù)庫管理軟件 B.操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)C.程序和數(shù)據(jù)系統(tǒng)軟件和應(yīng)用軟件以下措施不能防止計(jì)算機(jī)病毒的是 (A)A.軟盤未貼寫保護(hù) B.先用殺病毒軟件將從別人機(jī)器上拷來的文件清查病毒C.不用來歷不明的磁盤 D.經(jīng)常關(guān)注防病毒軟件的版本升級(jí)情況 ，并盡量取得最高版本的防毒軟件計(jì)算機(jī)病毒具有(A)A.傳播性，潛伏性，破壞性 B.傳播性,破壞性,易讀性 C.潛伏性,破壞性,易讀性 D.傳播性，潛伏性,安全性三、判斷TOC\o"1-5"\h\z反病毒軟件預(yù)防措施和技術(shù)手段往往滯后于病毒的產(chǎn)生速度 T對(duì)計(jì)算機(jī)病毒的分類研究，目的在于更好地描述、分析、理解計(jì)算機(jī)病毒的特性、危害、原理及其防治技術(shù)T病毒處于激活態(tài)時(shí)，不一定進(jìn)行傳染和破壞；但進(jìn)行傳染和破壞時(shí)，必然處于激活態(tài) T激活態(tài)的病毒一般不會(huì)自己轉(zhuǎn)變?yōu)槭Щ顟B(tài)，失活態(tài)的出現(xiàn)必定是有外在干預(yù) T在任何一個(gè)環(huán)節(jié)(階段)都可以抑制病毒的傳播、蔓延，或者清除病毒 T我們應(yīng)當(dāng)盡可能地在病毒進(jìn)行破壞性攻擊之前切斷病毒傳染源、抑制病毒的傳播蔓延 T有的病毒有一個(gè)感染標(biāo)志，又稱病毒簽名，但不是所有的病毒都有感染標(biāo)志 t不同病毒的感染標(biāo)志的位置、內(nèi)容都不同.COM文件結(jié)構(gòu)比較簡單，是一種單段執(zhí)行結(jié)構(gòu) T.EXE文件采用多段結(jié)構(gòu)t四、名詞解釋PE文件PE文件被稱為可移植的執(zhí)行體是 PortabIeEXeCUte的全稱，常見的EXE、DLL、OCX、SYS、CoM都是PE文件，PE文件是微軟Windows操作系統(tǒng)上的程序文件腳本病毒 腳本病毒通常是JaVaSCriPt代碼編寫的惡意代碼，一般帶有廣告性質(zhì)，會(huì)修改您的IE首頁、修改注冊(cè)表等信息，造成用戶使用計(jì)算機(jī)不方便特洛伊木馬 特洛伊木馬(TrOjanHorSe),簡稱木馬，是一種惡意程序，是一種基于遠(yuǎn)程控制的黑客工具，一旦侵入用戶的計(jì)算機(jī)， 就悄悄地在宿主計(jì)算機(jī)上運(yùn)行， 在用戶毫無察覺的情況下，讓攻擊者獲得遠(yuǎn)程訪問和控制系統(tǒng)的權(quán)限，進(jìn)而在用戶的計(jì)算機(jī)中修改文件、修改注冊(cè)表、控制鼠標(biāo)、監(jiān)視/控制鍵盤，或竊取用戶信息。蠕蟲蠕蟲(WOrm)是一種獨(dú)立的可執(zhí)行程序，主要由 主程序和引導(dǎo)程序兩部分組成宏病毒 宏病毒是使用宏語言編寫的惡意程序，存在于字處理文檔、電子數(shù)據(jù)表格、數(shù)據(jù)庫、演示文檔等數(shù)據(jù)文件中，可以在一些數(shù)據(jù)處理系統(tǒng) (主要是微軟的Word、Excel、ACCeSS等OffiCe軟件系統(tǒng))中運(yùn)行，利用宏語言的功能將自己復(fù)制、繁殖到其他數(shù)據(jù)文檔中16.五、簡答1、 文件操作相關(guān)API函數(shù)2、 VBS腳本病毒具有如下幾個(gè)特點(diǎn)：1編寫簡單2破壞力大3感染力強(qiáng)4傳播范圍廣5病毒源碼容易被獲取 6欺騙性強(qiáng)7使病毒生產(chǎn)機(jī)實(shí)現(xiàn)起來非常容易3、宏病毒的傳播方式:1.軟盤交流染毒文檔文件；2.硬盤染毒，處理的文檔文件必將染毒；o 、I/,-J?--H?τ÷f+<3.光盤攜帶宏病毒；4.Internet上下載染毒文檔文件；5.BBS交流染毒文檔文件； 6.電子郵件的附件夾帶病毒。4、 簡要說明蠕蟲的手工清除方法。5、 木馬的基本原理一個(gè)完整的木馬系統(tǒng)由硬件部分，軟件部分和具體連接部分組成。制端遠(yuǎn)程控制的一方。 INTERNET制端遠(yuǎn)程控制的一方。 INTERNET:控制端對(duì)服務(wù)端進(jìn)行遠(yuǎn)程控制，數(shù)據(jù)傳輸?shù)木W(wǎng)絡(luò)載體。(2)軟件部分：實(shí)現(xiàn)遠(yuǎn)程控制所必須的軟件程序。 控制端程序：控制端用以遠(yuǎn)程控制服務(wù)端的程序。 木馬程序：潛入服務(wù)端內(nèi)部，獲取其操作權(quán)限的程序。 木馬配置程序：設(shè)置木馬程序的端口號(hào)，觸發(fā)條件，木馬名稱等，使其在服務(wù)端藏得更隱蔽的程序。⑶具體連接部分：通過INTERNET在服務(wù)端和控制端之間建立一條木馬通道所必須的元素。 控制端IP，服務(wù)端IP:即控制端，服務(wù)端的網(wǎng)絡(luò)地址，也是木馬進(jìn)行數(shù)據(jù)傳輸?shù)哪康牡亍?控制端端口，木馬端口：即控制端，服務(wù)端的數(shù)據(jù)入口，通過這個(gè)入口，數(shù)據(jù)可直達(dá)控制端程序或木馬 程序。六?綜合問答題說明感染PE文件的基本步驟。1判斷目標(biāo)文件是否是“MZ”開頭2判斷PE文件標(biāo)記“PE”3判斷是否感染標(biāo)記4獲得DireCtory的個(gè)數(shù)，每個(gè)數(shù)據(jù)目錄信息占 8字節(jié)5得到節(jié)表的起始位置， DireCtOry的偏移位置+數(shù)據(jù)目錄占用的字節(jié)數(shù)=節(jié)表起始位置；找到要添加的新節(jié)的文件偏移量6得到目前最后節(jié)表的末尾偏移7寫入節(jié)表一、填空計(jì)算機(jī)病毒因某個(gè)事件或數(shù)值的出現(xiàn)，誘使病毒實(shí)施感染或進(jìn)行攻擊的特性稱為 可觸發(fā)性蠕蟲(WOrm)是一種獨(dú)立的可執(zhí)行程序，主要由 主程序和引導(dǎo)程序兩部分組成服務(wù)器端程序就是在用戶計(jì)算機(jī)種的木馬程序計(jì)算機(jī)病毒英文命名規(guī)則也就是國際上對(duì)病毒命名的一般慣例為 前綴+病毒名+后綴”，即三元組命名規(guī)則計(jì)算機(jī)病毒是一類特殊的程序，也有生命周期，分為開發(fā)期、傳染期、 潛伏期、發(fā)作期、發(fā)現(xiàn)期、消化期、消亡期在學(xué)習(xí)、研究計(jì)算機(jī)病毒的過程中， 在遵守相關(guān)法律法規(guī)的前提下，應(yīng)嚴(yán)格遵守以下 八字原則”一一自尊自愛、自強(qiáng)自律現(xiàn)代大容量硬盤一般采用 LBA線性地址來尋址，以替代CHS尋址。高級(jí)格式化的目的是在分區(qū)內(nèi)建立分區(qū)引導(dǎo)記錄 DBR(DOSBootReCOrd)、文件分配表FAT(FiIeAllocatiOnTabIe)、文件目錄表FDT(FileDireCtOryTabIe)和數(shù)據(jù)區(qū)DATANTFS文件系統(tǒng)中，小文件和文件夾 (典型的如1023字節(jié)或更少)將全部存儲(chǔ)在文件的MFT記錄里操作系統(tǒng)核心層運(yùn)行在 Ring0級(jí)，而Win32子系統(tǒng)運(yùn)行在Ring3級(jí)，為運(yùn)行的應(yīng)用程序提供接口DOS可執(zhí)行文件，通常稱之為MZ文件內(nèi)存中的動(dòng)態(tài)病毒又有兩種狀態(tài)： 可激活態(tài)和激活態(tài)。殺毒軟件可以將感染標(biāo)志作為病毒的特征碼之一既感染引導(dǎo)扇區(qū)又感染文件是混合感染網(wǎng)絡(luò)蠕蟲最大特點(diǎn)是利用 各種漏洞進(jìn)行自動(dòng)傳播木馬與合法遠(yuǎn)程控制軟件(如PCAnyWhere)的主要區(qū)別在于是否具有隱蔽性、是否具有非授權(quán)性EPO即入口模糊技術(shù)，該技術(shù)改變了傳統(tǒng)的修改 PE頭部的入口點(diǎn)、使其指向病毒代碼入口而使病毒代碼得以執(zhí)行的典型方法計(jì)算機(jī)病毒的防治技術(shù)分成四個(gè)方面病毒 預(yù)防技術(shù)、病毒檢測技術(shù)、病毒消除技術(shù)、病毒免疫技術(shù)計(jì)算機(jī)病毒的預(yù)防措施可概括為兩點(diǎn)勤備份嚴(yán)防守利用病毒的特有行為特性監(jiān)測病毒的方法，稱為行為監(jiān)測法，也稱為人工智能陷阱法二、選擇題:1.計(jì)算機(jī)病毒通常分為引導(dǎo)型,復(fù)合型和(B)A.外殼型B.文件型 C.內(nèi)碼型 D.操作系統(tǒng)型不易被感染上病毒的文件是(C)A.COMB.EXEC.TXTD.BOOT文件被感染上病毒之后,其基本特征是(C)A.文件不能被執(zhí)行 B.文件長度變短 C.文件長度加長 D.文件照常能執(zhí)行病毒程序按其侵害對(duì)象不同分為 C 。A、外殼型、入侵型、原碼型和外殼型 B、原碼型、外殼型、復(fù)合型和網(wǎng)絡(luò)病毒C、引導(dǎo)型、文件型、復(fù)合型 D、良性型、惡性型、原碼型和外殼型(D)是計(jì)算機(jī)病毒A.—段程序B.一批數(shù)據(jù)C.若干條指令D.能在計(jì)算機(jī)運(yùn)行時(shí)實(shí)施傳染和侵害的功能程序關(guān)于計(jì)算機(jī)病毒,正確的說法是(C)A.計(jì)算機(jī)病毒可以燒毀計(jì)算機(jī)的電子器件 B.計(jì)算機(jī)病毒是一種傳染力極強(qiáng)的生物細(xì)菌C.計(jì)算機(jī)病毒是一種人為特制的具有破壞性的程序 D.計(jì)算機(jī)病毒一旦產(chǎn)生，便無法清除計(jì)算機(jī)病毒具有隱蔽性,潛伏性,傳播性,激發(fā)性和(C)A.惡作劇性 B.入侵性 C.破壞性和危害性 D.可擴(kuò)散性我國政府頒布的《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》從何時(shí)開始實(shí)施 ?BA.1986年10月B.1994年2月18日C.1991年10月D.2000年5月23日《計(jì)算機(jī)病毒防治管理辦法》頒布時(shí)間是 ()AA.2000年5月23日B.1994年2月18日C.1986年10月D.1993年10月文件型病毒感染的主要對(duì)象是 B 類文件。A、.TXT和.WPS;B、.COM和.EXE;C、.WPS和.EXE;D、.DBF和.COM三、判斷TOC\o"1-5"\h\z反病毒軟件預(yù)防措施和技術(shù)手段往往滯后于病毒的產(chǎn)生速度 T對(duì)計(jì)算機(jī)病毒的分類研究，目的在于更好地描述、分析、理解計(jì)算機(jī)病毒的特性、危害、原理及其防治技術(shù)T病毒處于激活態(tài)時(shí)，不一定進(jìn)行傳染和破壞；但進(jìn)行傳染和破壞時(shí)，必然處于激活態(tài) T激活態(tài)的病毒一般不會(huì)自己轉(zhuǎn)變?yōu)槭Щ顟B(tài)，失活態(tài)的出現(xiàn)必定是有外在干預(yù) T在任何一個(gè)環(huán)節(jié)(階段)都可以抑制病毒的傳播、蔓延，或者清除病毒 T我們應(yīng)當(dāng)盡可能地在病毒進(jìn)行破壞性攻擊之前切斷病毒傳染源、抑制病毒的傳播蔓延 T有的病毒有一個(gè)感染標(biāo)志，又稱病毒簽名，但不是所有的病毒都有感染標(biāo)志 T不同病毒的感染標(biāo)志的位置、內(nèi)容都不同T.COM文件結(jié)構(gòu)比較簡單，是一種單段執(zhí)行結(jié)構(gòu)T.EXE文件采用多段結(jié)構(gòu)T“MeIiSSC網(wǎng)絡(luò)蠕蟲宏病毒”(MaCro.Word97.Melissa)“LoverLettel網(wǎng)絡(luò)蠕蟲病毒”(VBS.LoveLetter等等，都是病毒，而不是蠕蟲。 T以病毒命名的沖擊波病毒”(Worm.MSBIast，卻是典型的蠕蟲T四、名詞解釋PE文件PE的意思就是POrtabIeEXeCUtable(可移植、可執(zhí)行)，它是Win32可執(zhí)行文件的標(biāo)準(zhǔn)格式由于大量的EXE文件被執(zhí)行，且傳播的可能性最大，因此，Win32病毒感染文件時(shí)，基本上都會(huì)將EXE文件作為目標(biāo)特洛伊木馬特洛伊木馬（TrojanHorSe）,簡稱木馬，是一種惡意程序，是一種基于遠(yuǎn)程控制的黑客工具，一旦侵入用戶的計(jì)算機(jī)，就悄悄地在宿主計(jì)算機(jī)上運(yùn)行，在用戶毫無察覺的情況下，讓攻擊者獲得遠(yuǎn)程訪問和控制系統(tǒng)的權(quán)限，進(jìn)而在用戶的計(jì)算機(jī)中修改文件、修改注冊(cè)表、控制鼠標(biāo)、監(jiān)視/控制鍵盤，或竊取用戶信息19?蠕蟲蠕蟲病毒是一種常見的計(jì)算機(jī)病毒。它是利用網(wǎng)絡(luò)進(jìn)行復(fù)制和 傳播，傳染途徑是通過網(wǎng)絡(luò)和電子郵件。最初的蠕蟲病毒定義是因?yàn)樵贒oS環(huán)境下，病毒發(fā)作時(shí)會(huì)在 屏幕上出現(xiàn)一條類似蟲子的東西，胡亂吞吃屏幕上的字母并將其改形。 蠕蟲病毒是自包含的程序（或是一套程序），它能傳播自身功能的拷貝或自身的某些部分到其他的 計(jì)算機(jī)系統(tǒng)中（通常是經(jīng)過網(wǎng)絡(luò)連接）。宏病毒 病毒是使用宏語言編寫的惡意程序，存在于字處理文檔、電子數(shù)據(jù)表格、數(shù)據(jù)庫、演示文檔等數(shù)據(jù)文件中，可以在一些數(shù)據(jù)處理系統(tǒng) （主要是微軟的Word、Excel、ACCeSS等OfiCe軟件系統(tǒng)）中運(yùn)行，利用宏語言的功能將自己復(fù)制、繁殖到其他數(shù)據(jù)文檔中 ]腳本病毒腳本病毒通常是JaVaSCriPt代碼編寫的惡意代碼，一般帶有廣告性質(zhì)，會(huì)修改您的IE首頁、修改注冊(cè)表等信息，造成用戶使用計(jì)算機(jī)不方便。五、簡答1、 病毒為什么要獲取API函數(shù)地址（1）Win32程序一般運(yùn)行在Ring3級(jí)，處于保護(hù)模式（2）Win32下的系統(tǒng)功能調(diào)用， 不是通過中斷實(shí)現(xiàn)， 而是通過調(diào)用動(dòng)態(tài)連接庫中的 API函數(shù)實(shí)現(xiàn)（3）Win32PE病毒和普通Win32PE程序一樣需要調(diào)用API函數(shù)實(shí)現(xiàn)某些功能，但是對(duì)于Win32PE病毒來說，它只有代碼節(jié)，并不存在引入函數(shù)節(jié)，病毒就無法象普通 PE程序那樣直接調(diào)用相關(guān)API函數(shù)，而應(yīng)該先找出這些API函數(shù)在相應(yīng)DLL中的地址2、 文件操作相關(guān)API函數(shù)3、 VBS腳本病毒具有如下弱點(diǎn)：1）絕大部分VBS腳本病毒運(yùn)行的時(shí)候需要用到一個(gè)對(duì)象： FileSyStemObjeCt2） VBSCriPt代碼是通過WindowsSCriPtHost來解釋執(zhí)行的。3）VBS腳本病毒的運(yùn)行需要其關(guān)聯(lián)程序 WSCriPt.exe的支持。4）通過網(wǎng)頁傳播的病毒需要 ACtiVeX的支持5）通過Email傳播的病毒需要OE的自動(dòng)發(fā)送郵件功能支持，但是絕大部分病毒都是以 Email為主要傳播方式的。4、 蠕蟲常用的掃描策略現(xiàn)在流行的蠕蟲采用的傳播技術(shù)目標(biāo)，一般是盡快地傳播到盡量多的計(jì)算機(jī)中掃描模塊采用的掃描策略是：隨機(jī)選取某一段 IP地址，然后對(duì)這一地址段上的主機(jī)進(jìn)行掃描沒有優(yōu)化的掃描程序可能會(huì)不斷重復(fù)上面這一過程， 大量蠕蟲程序的掃描引起嚴(yán)重的網(wǎng)絡(luò)擁塞5、 木馬的危害即木馬能實(shí)現(xiàn)的功能竊取數(shù)據(jù)接受非授權(quán)操作者的指令遠(yuǎn)程管理服務(wù)端進(jìn)程篡改文件和數(shù)據(jù)刪除文件和數(shù)據(jù)操縱注冊(cè)表監(jiān)視服務(wù)器的一切動(dòng)作釋放病毒使系統(tǒng)自毀六．綜合問答題說明感染PE文件的基本步驟。(1)判斷目標(biāo)文件開始的兩個(gè)字節(jié)是否為“ MZ”；(2)判斷PE文件標(biāo)記“PE”；(3)判斷感染標(biāo)記，如果已被感染過則跳出繼續(xù)執(zhí)行 HOST程序，否則繼續(xù)；(4)獲得Directory(數(shù)據(jù)目錄)的個(gè)數(shù)，每個(gè)數(shù)據(jù)目錄信息占 8個(gè)字節(jié)；得到節(jié)表起始位置：Directory的偏移地址+數(shù)據(jù)目錄占用的字節(jié)數(shù)=節(jié)表起始位置；得到目前最后節(jié)表的末尾偏移(緊接其后用于寫入一個(gè)新的病毒節(jié) )：開始寫入節(jié)表四一、填空是否具有傳染性，是判別一個(gè)程序是否為計(jì)算機(jī)病毒的首要條件。計(jì)算機(jī)病毒因某個(gè)事件或數(shù)值的出現(xiàn)，誘使病毒實(shí)施感染或進(jìn)行攻擊的特性稱為可觸發(fā)性蠕蟲(Worm)是一種獨(dú)立的可執(zhí)行程序，主要由主程序和引導(dǎo)程序兩部分組成一般的木馬都有客戶端和服務(wù)器端兩個(gè)程序計(jì)算機(jī)病毒英文命名規(guī)則也就是國際上對(duì)病毒命名的一般慣例為“前綴+病毒名+后綴”，即三元組命名規(guī)則141. 計(jì)算機(jī)病毒總是想方設(shè)法竊取Ring0級(jí)的權(quán)限(如CIH病毒)，以實(shí)施更大范圍的破壞在Windows3.0/3.1的可執(zhí)行文件，在MZ文件頭之后又有一個(gè)以“NE開始的文件頭，稱之為NE文件PE文件的真正內(nèi)容劃分成塊，稱之為 SeCtiOn(節(jié))，緊跟在節(jié)表之后無論是文件型病毒還是引導(dǎo)型病毒，其感染過程總的來說是相似的，分為三步： 進(jìn)駐內(nèi)存、判斷感染條件、實(shí)施感染宿主程序是病毒的棲身地，既是病毒傳播的目的地，又是下一次感染的出發(fā)點(diǎn)一個(gè)宿主程序上感染多種病毒，稱為交叉感染。滋生感染式病毒不改變被感染的文件，而是為被感染的文件創(chuàng)建一個(gè)伴隨文件.COM文件結(jié)構(gòu)比較簡單，是一種單段執(zhí)行結(jié)構(gòu)宏病毒存在于字處理文檔、電子數(shù)據(jù)表格、數(shù)據(jù)庫、演示文檔等數(shù)據(jù)文件中，可以在一些數(shù)據(jù)處理系統(tǒng)(主要是微軟的Word、Excel、Access等Office軟件系統(tǒng))中運(yùn)行，利用宏語言的功能將自己復(fù)制、繁殖到其他數(shù)據(jù)文檔中蠕蟲的工作方式一般是 掃描→攻擊→復(fù)制”木馬獲得服務(wù)端的IP地址的方法主要有兩種：信息反饋和IP掃描當(dāng)進(jìn)程為真隱藏的時(shí)候，那么這個(gè)木馬服務(wù)器運(yùn)行之后，就不應(yīng)該具備一般進(jìn)程的表現(xiàn)，也不應(yīng)該具備服務(wù)的表現(xiàn)，也就是說，完全溶進(jìn)了系統(tǒng)的內(nèi)核。動(dòng)態(tài)嵌入技術(shù)是指木馬將自己的代碼嵌入正在運(yùn)行的進(jìn)程中的技術(shù)。WindowsXP的Netstat工具提供了一個(gè)新的-o選項(xiàng)，能夠顯示出正在使用端口的程序或服務(wù)的進(jìn)程標(biāo)識(shí)符(PID)。對(duì)付多態(tài)病毒的最好辦法是某種形式的虛擬執(zhí)行技術(shù)，也就是仿真出一個(gè)80x86的CPU，讓解密代碼自己解密完成之后，再使用通常的特征碼識(shí)別法進(jìn)行病毒檢測計(jì)算機(jī)病毒的防治技術(shù)分成四個(gè)方面病毒預(yù)防技術(shù)病毒檢測技術(shù)病毒消除技術(shù)病毒免疫技術(shù)利用病毒的特有行為特性監(jiān)測病毒的方法，稱為行為監(jiān)測法，也稱為 人工智能陷阱法二、選擇題:計(jì)算機(jī)病毒會(huì)造成計(jì)算機(jī)怎樣的損壞 (A)A.硬件,軟件和數(shù)據(jù) B.硬件和軟件C.軟件和數(shù)據(jù) D.硬件和數(shù)據(jù)文件型病毒傳染的對(duì)象主要是什么類文件(C)A..DBFB..WPSC..COM和.EXED..EXE和WPS關(guān)于計(jì)算機(jī)病毒的傳播途徑,不正確的說法是(C)A.通過軟盤的復(fù)制 B.通過共用軟盤 C.通過共同存放軟盤 D.通過借用他人的軟盤目前最好的防病毒軟件的作用是(B)A.檢查計(jì)算機(jī)是否染有病毒，消除已感染的任何病毒 B.杜絕病毒對(duì)計(jì)算機(jī)的侵害C.查出計(jì)算機(jī)已感染的任何病毒，消除其中的一部分D.檢查計(jì)算機(jī)是否染有病毒，消除已感染的部分病毒下面有關(guān)計(jì)算機(jī)病毒的說法正確的是 (A)A.計(jì)算機(jī)病毒是一個(gè)MIS程序B.計(jì)算機(jī)病毒是對(duì)人體有害的傳染病C.計(jì)算機(jī)病毒是通過自身傳染，起破壞作用的計(jì)算機(jī)程序 D.計(jì)算機(jī)病毒是一段程序，但對(duì)計(jì)算機(jī)無害不易被感染上病毒的文件是(C)A.COMB.EXEC.TXTD.BOOT文件被感染上病毒之后，其基本特征是(A)A.文件不能被執(zhí)行 B.文件長度變短C.文件長度加長 D.文件照常能執(zhí)行TOC\o"1-5"\h\z發(fā)現(xiàn)計(jì)算機(jī)感染病毒后，如下操作可用來清除病毒 A 。A.使用殺毒軟件；B.掃描磁盤C.整理磁盤碎片；D.重新啟動(dòng)計(jì)算機(jī)復(fù)合型病毒是 D 。A、即感染引導(dǎo)扇區(qū)，又感染 WORD文件B、即感染可執(zhí)行文件，又感染 WORD文件，C、只感染可執(zhí)行文件； D、既感染引導(dǎo)扇區(qū)，又感染可執(zhí)行文件計(jì)算機(jī)病毒所沒有的特點(diǎn)是 D 。A.隱藏性；B.潛伏性；C.傳染性；D.廣泛性三、判斷“LoVerLette網(wǎng)絡(luò)蠕蟲病毒”(VBS.LoveLetter等等，都是病毒，而不是蠕蟲。T反病毒軟件預(yù)防措施和技術(shù)手段往往滯后于病毒的產(chǎn)生速度T以病毒命名的沖擊波病毒”(WormNSBIast),卻是典型的蠕蟲TTOC\o"1-5"\h\z病毒處于激活態(tài)時(shí)，不一定進(jìn)行傳染和破壞；但進(jìn)行傳染和破壞時(shí)，必然處于激活態(tài) T在任何一個(gè)環(huán)節(jié)(階段)都可以抑制病毒的傳播、蔓延，或者清除病毒 T我們應(yīng)當(dāng)盡可能地在病毒進(jìn)行破壞性攻擊之前切斷病毒傳染源、抑制病毒的傳播蔓延 T有的病毒有一個(gè)感染標(biāo)志，又稱病毒簽名，但不是所有的病毒都有感染標(biāo)志 T不同病毒的感染標(biāo)志的位置、內(nèi)容都不同T.COM文件結(jié)構(gòu)比較簡單，是一種單段執(zhí)行結(jié)構(gòu)T.EXE文件采用多段結(jié)構(gòu)T四、名詞解釋22.低級(jí)格式化低級(jí)格式化就是將空白的磁盤劃分出柱面和磁道，再將磁道劃分為若干個(gè)扇區(qū)，每個(gè)扇區(qū)又劃分出標(biāo)識(shí)部分id、間隔區(qū)gap和數(shù)據(jù)區(qū)data等?？梢?，低級(jí)格式化是高級(jí)格式化之前的一件工作，而且低級(jí)格式化只能針對(duì)一塊硬盤而不能支持單獨(dú)的某一個(gè)分區(qū)。每塊硬盤在出廠時(shí)，已由硬盤生產(chǎn)商進(jìn)行低級(jí)格式化，因此通常使用者無需再進(jìn)行低級(jí)格式化操作。低級(jí)格式化是一種

損耗性操作，其對(duì)硬盤壽命有一定的負(fù)面影響。PE文件24.特洛伊木馬特洛伊木馬在計(jì)算機(jī)領(lǐng)域中指的是一種后門程序黑八、、甚至是遠(yuǎn)程控制對(duì)方的計(jì)黑八、、甚至是遠(yuǎn)程控制對(duì)方的計(jì)算機(jī)而加殼制作算機(jī)而加殼制作然后通過各種手段傳播或者騙取目標(biāo)用戶執(zhí)行該程序以達(dá)到盜取密碼等各種數(shù)據(jù)資料等目的與 病 毒 相 似木馬程序有很強(qiáng)的隱秘性隨操作系統(tǒng)啟動(dòng)而啟動(dòng)26.蠕蟲：蠕蟲病毒是一種常見的計(jì)算機(jī)病毒。它是利用網(wǎng)絡(luò)進(jìn)行復(fù)制和傳播，傳染途徑是通過網(wǎng)絡(luò)和電子郵件.最初的蠕蟲病毒定義是因?yàn)樵贒oS環(huán)境下，病毒發(fā)作時(shí)會(huì)在屏幕上出現(xiàn)一條類似蟲子的東西，胡亂吞吃屏幕上的字母并將其改形。蠕蟲病毒是自包含的程序（或是一套程序），它能傳播自身功能的拷貝或自身的某些部分到其他的計(jì)算機(jī)系統(tǒng)中（通常是經(jīng)過網(wǎng)絡(luò)連接）。宏病毒五、簡答1簡要說明VBS腳本病毒的防范措施。1）禁用文件系統(tǒng)對(duì)象 FiIeSyStemObjeCt方法：用regsvr32SCrrUn.dll/u這條命令就可以禁止文件系統(tǒng)對(duì)象。 其中regsvr32是Windows?System下的可執(zhí)行文件?；蛘咧苯硬檎?SCrrUn.dll文件刪除或者改名。還有一種方法就是在注冊(cè)表中 下找到一個(gè)主鍵{0D43FE01-F093-11CF-8940-00A0C9054228}的項(xiàng)，咔嚓即可。2）卸載WindowsSCriPtingHost在Windows98中（NT4.0以上同理），打開［控制面板］→［添加/刪除程序］→:Windows安裝程序］→［附件］,取消“WindowsSCriPtingHost一項(xiàng)?！焙蜕厦娴姆椒ㄒ粯?，在注冊(cè)表中 下找到一個(gè)主鍵{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}的項(xiàng)，咔嚓。3）刪除VBS、VBE、JS、JSE文件后綴名與應(yīng)用程序的映射點(diǎn)擊［我的電腦］ →［查看］→［文件夾選項(xiàng)］→［文件類型］,然后刪除VBS、VBE、JSJSE文件后綴名與應(yīng)用程序的映射。4） 在Windows目錄中，找到WSCriPt.exe,更改名稱或者刪除，如果你覺得以后有機(jī)會(huì)用到的話，最好更改名稱好了，當(dāng)然以后也可以重新裝上。5） 要徹底防治VBS網(wǎng)絡(luò)蠕蟲病毒，還需設(shè)置一下你的瀏覽器。我們首先打開瀏覽器，單擊菜單欄里"Internet選項(xiàng)"安全選項(xiàng)卡里的［自定義級(jí)別］按鈕。把 “ACtiVeX控件及插件"的一切設(shè)為禁用，這樣就不怕了。6）禁止OE的自動(dòng)收發(fā)郵件功能7） 由于蠕蟲病毒大多利用文件擴(kuò)展名作文章，Windows默認(rèn)的是隱藏已知文件類型的擴(kuò)展名稱7） 由于蠕蟲病毒大多利用文件擴(kuò)展名作文章，Windows默認(rèn)的是隱藏已知文件類型的擴(kuò)展名稱8） 將系統(tǒng)的網(wǎng)絡(luò)連接的安全級(jí)別設(shè)置至少為或者某些ACtiVeX組件對(duì)計(jì)算機(jī)的侵害。所以要防范它就不要隱藏系統(tǒng)中已知文件類型的擴(kuò)展名。,將其修改為顯示所有文件類型的擴(kuò)展名稱。中等”它可以在一定程度上預(yù)防某些有害的JaVa程序2、 宏病毒的傳播方式3、 在你看來，Nimda是病毒還是蠕蟲？為什么？是蠕蟲。由于IE瀏覽器的漏洞（IFRAMEEXECCOMMAND得感染了“尼姆亞”病毒的郵件在不去手工打開附件的情況下病毒就能激活。而且它會(huì)搜尋以前的 IIS蠕蟲留下的后門，實(shí)現(xiàn)從客戶端到WEB服務(wù)端的傳播。即使清楚了它在文件系統(tǒng)中留下的任何痕跡，如果沒有修補(bǔ)計(jì)算機(jī)系統(tǒng)漏洞，重新接入到網(wǎng)絡(luò)的計(jì)算機(jī)還是會(huì)重新受到蠕蟲攻擊4、 木馬的基本原理5、 木馬的啟動(dòng)方式①通過修改注冊(cè)表中的RUN鍵值來實(shí)現(xiàn)自啟動(dòng)②添加系統(tǒng)服務(wù)的工具很多，最典型的就是NetService,也可以手工添加系統(tǒng)服務(wù)。六?綜合問答題寫出并分析說明文件操作相關(guān) APl函數(shù)。五一、填空程序性決定了計(jì)算機(jī)病毒的可防治性、可清除性，反病毒技術(shù)就是要提前取得計(jì)算機(jī)系統(tǒng)的控制權(quán)，識(shí)別出計(jì)算機(jī)病毒的代碼和行為，阻止其取得系統(tǒng)控制權(quán)，并及時(shí)將其清除。是否具有傳染性，是判別一個(gè)程序是否為計(jì)算機(jī)病毒的首要條件。計(jì)算機(jī)病毒因某個(gè)事件或數(shù)值的出現(xiàn)，誘使病毒實(shí)施感染或進(jìn)行攻擊的特性稱為 可觸發(fā)性病毒程序嵌入到宿主程序中，依賴于宿主程序的執(zhí)行而生存，這就是計(jì)算機(jī)病毒的 寄生性病毒的最大特點(diǎn)是其傳染性，而傳染性的原因是其自身程序不斷復(fù)制的結(jié)果，即程序本身復(fù)制到其他程序中或簡單地在某一系統(tǒng)中不斷地復(fù)制自己高級(jí)格式化的目的是在分區(qū)內(nèi)建立 分區(qū)引導(dǎo)記錄DBR(DOSBootReCOrd)、文件分配表FAT(FiIeAllocatiOnTabIe)、文件目錄表FDT(FileDireCtOryTabIe)和數(shù)據(jù)區(qū)DATA通過主引導(dǎo)記錄定義的硬盤分區(qū)表，最多只能描述 4個(gè)分區(qū)NTFS文件系統(tǒng)中，小文件和文件夾(典型的如1023字節(jié)或更少)將全部存儲(chǔ)在文件的MFT記錄里中斷向量表(InterruptVeCtOrS)是一個(gè)特殊的線性表，它保存著系統(tǒng)所有中斷服務(wù)程序的入口地址(偏移量和段地址)PE文件的真正內(nèi)容劃分成塊，稱之為 SeCtiOn(節(jié))，緊跟在節(jié)表之后引入函數(shù)節(jié).idata可能被病毒用來直接獲取 API函數(shù)地址內(nèi)存中的動(dòng)態(tài)病毒又有兩種狀態(tài)： 可激活態(tài)和激活態(tài)。人為地、主動(dòng)在文件中添加 感染標(biāo)志，從而在某種程度上達(dá)到病毒免疫的目的病毒在感染時(shí)，完全不改動(dòng)宿主程序本體，而是改動(dòng)或利用與宿主程序相關(guān)的信息，將病毒程序與宿主程序鏈成一體，這種感染方式稱作 鏈?zhǔn)礁腥?LinklnfectiOn)網(wǎng)絡(luò)蠕蟲最大特點(diǎn)是利用各種漏洞進(jìn)行自動(dòng)傳播蠕蟲的工作方式一般是 掃描→攻擊→復(fù)制”木馬系統(tǒng)軟件一般由木馬 配置程序、控制程序和服務(wù)器程序三部分組成動(dòng)態(tài)嵌入技術(shù)是指木馬將自己的代碼嵌入正在運(yùn)行的進(jìn)程中的技術(shù)。EPO,意即入口模糊技術(shù)，該技術(shù)改變了傳統(tǒng)的修改 PE頭部的入口點(diǎn)、使其指向病毒代碼入口而使病毒代碼得以執(zhí)行的典型方法對(duì)付多態(tài)病毒的最好辦法是某種形式的虛擬執(zhí)行技術(shù)， 也就是仿真出一個(gè)80x86的CPU，讓解密代碼自己解密完成之后，再使用通常的特征碼識(shí)別法進(jìn)行病毒檢測比較法是用原始的正常備份與被檢測的內(nèi)容 (引導(dǎo)扇區(qū)或被檢測的文件)進(jìn)行比較主要有長度比較法內(nèi)容比較法、內(nèi)存比較法、 中斷比較法。設(shè)計(jì)虛擬機(jī)查毒的目的是為了對(duì)抗加密變形病毒二、選擇題：不易被感染上病毒的文件是 (C)A.COMB.EXEC.TXTD.BOOT2?關(guān)于計(jì)算機(jī)病毒，正確的說法是（C）A.計(jì)算機(jī)病毒可以燒毀計(jì)算機(jī)的電子器件 B.計(jì)算機(jī)病毒是一種傳染力極強(qiáng)的生物細(xì)菌C.計(jì)算機(jī)病毒是一種人為特制的具有破壞性的程序 D.計(jì)算機(jī)病毒一旦產(chǎn)生，便無法清除3?計(jì)算機(jī)病毒具有隱蔽性，潛伏性，傳播性,激發(fā)性和（C）A.惡作劇性 B.入侵性 C.破壞性和危害性 D.可擴(kuò)散性TOC\o"1-5"\h\z不是微機(jī)之間病毒傳播的媒介的是 B 。A、硬盤B、鼠標(biāo)C、軟盤D、光盤常見計(jì)算機(jī)病毒的特點(diǎn)有 D 。A.只讀性、趣味性、隱蔽性和傳染性 B.良性、惡性、明顯性和周期性C.周期性、隱蔽性、復(fù)發(fā)性和良性 D.隱蔽性、潛伏性、傳染性和破壞性復(fù)合型病毒是 D 。A、即感染引導(dǎo)扇區(qū)，又感染W(wǎng)ORD文件B、即感染可執(zhí)行文件，又感染 WORD文件，C、只感染可執(zhí)行文件； D、既感染引導(dǎo)扇區(qū)，又感染可執(zhí)行文件計(jì)算機(jī)病毒所沒有的特點(diǎn)是 D 。A.隱藏性；B.潛伏性；C.傳染性；D.廣泛性文件型病毒感染的主要對(duì)象是 B 類文件。A、.TXT和.WPS;B、.COM和.EXE;C、.WPS和.EXE;D、.DBF和.COM下列操作中， B 不可能清除文件型計(jì)算機(jī)病毒。A、刪除感染計(jì)算機(jī)病毒的文件； B、將感染計(jì)算機(jī)病毒的文件更名C、格式化感染計(jì)算機(jī)病毒的磁盤 ;D、用殺毒軟件進(jìn)行清除TOC\o"1-5"\h\z下列關(guān)于計(jì)算機(jī)病毒的說法正確的是 B 。A.計(jì)算機(jī)病毒不能發(fā)現(xiàn)； B.計(jì)算機(jī)病毒能自我復(fù)制，C.計(jì)算機(jī)病毒會(huì)感染計(jì)算機(jī)用戶 ； D.計(jì)算機(jī)病毒是一種危害計(jì)算機(jī)的生物病毒三、 判斷反病毒軟件預(yù)防措施和技術(shù)手段往往滯后于病毒的產(chǎn)生速度 T“LoVerLette網(wǎng)絡(luò)蠕蟲病毒”（VBS.LoveLetter等等，都是病毒，而不是蠕蟲。T病毒處于激活態(tài)時(shí)，不一定進(jìn)行傳染和破壞；但進(jìn)行傳染和破壞時(shí)，必然處于激活態(tài) T以病毒命名的沖擊波病毒”（Worm.MSBIast，卻是典型的蠕蟲T激活態(tài)的病毒一般不會(huì)自己轉(zhuǎn)變?yōu)槭Щ顟B(tài)，失活態(tài)的出現(xiàn)必定是有外在干預(yù) T“MeIiSSa網(wǎng)絡(luò)蠕蟲宏病毒”（MaCro.Word97.Melissa）T在任何一個(gè)環(huán)節(jié)（階段）都可以抑制病毒的傳播、蔓延，或者清除病毒 F有的病毒有一個(gè)感染標(biāo)志，又稱病毒簽名，但不是所有的病毒都有感染標(biāo)志 T不同病毒的感染標(biāo)志的位置、內(nèi)容都不同 F.EXE文件采用多段結(jié)構(gòu)T四、 名詞解釋腳本病毒：腳本病毒的公有特性是使用腳本語言編寫，通過網(wǎng)頁進(jìn)行的傳播的病毒 腳本病毒通常是JaVaSCriPt代碼編寫的惡意代碼， 一般帶有廣告性質(zhì)，會(huì)修改您的 IE首頁、修改注冊(cè)表等信息，造成用戶使用計(jì)算機(jī)不方便。VB腳本病毒特點(diǎn)編寫簡單 破壞力大感染性強(qiáng)傳播范圍大病毒源碼容易被獲取變種多PE文件:PE文件被稱為可移植的執(zhí)行體是 POrtabIeEXeCUte 的全稱，常見的EXE、DLL、OCX、SYS、COM都是PE文件，PE文件是微軟Windows操作系統(tǒng)上的程序文件（可能是間接被執(zhí)行，如DLL）特洛伊木馬：特洛伊木馬在計(jì)算機(jī)領(lǐng)域中指的是一種后門程序， 是黑客用來盜取其他用戶的個(gè)人信息，甚至是遠(yuǎn)程控制對(duì)方的計(jì)算機(jī)而加殼制作， 然后通過各種手段傳播或者騙取目標(biāo)用戶執(zhí)行該程序，以達(dá)到盜取密碼等各種數(shù)據(jù)資料等目的。與病毒相似，木馬程序有很強(qiáng)的隱秘性，隨操作系統(tǒng)啟動(dòng)而啟動(dòng)。網(wǎng)絡(luò)蠕蟲網(wǎng)絡(luò)蠕蟲是一種智能化、自動(dòng)化，綜合 網(wǎng)絡(luò)攻擊、密碼學(xué)和計(jì)算機(jī)病毒技術(shù)，無須計(jì)算機(jī)使用者干預(yù)即可運(yùn)行的攻擊程序或代碼,它會(huì)掃描和攻擊網(wǎng)絡(luò)上存在系統(tǒng)漏洞的節(jié)點(diǎn)主機(jī)，通過局域網(wǎng)或者國際互聯(lián)網(wǎng)從一個(gè)節(jié)點(diǎn)傳播到另外一個(gè)節(jié)點(diǎn) ”。宏病毒宏病毒是一種使得應(yīng)用軟件的相關(guān)應(yīng)用文檔內(nèi)含有被稱為宏的可執(zhí)行代碼的病毒。一個(gè)電子表格程式可能允許用戶在一個(gè)文檔中嵌入 宏命令”，使得某種操作得以自動(dòng)運(yùn)行；同樣的操作也就可以將病毒嵌入電子表格來對(duì)用戶的使用造成破壞。五、簡答1、病毒采用的觸發(fā)條件主要有下幾種？日期觸發(fā)時(shí)間觸發(fā)鍵盤觸發(fā)感染觸發(fā)啟動(dòng)觸發(fā)訪問磁盤次數(shù)觸發(fā)調(diào)用終端功能出發(fā) CPU型號(hào)/主板型號(hào)觸發(fā)2、 病毒為什么需要重定位？病毒的生存空間就是宿主程序，而因?yàn)樗拗鞒绦虻牟煌?。所以病毒每次插入到宿主程序中的位置也不同。那么病毒需要用到的變量的位置就無法確定。所以這就是病毒首先要重定位的原因。3、 如何獲取APl函數(shù)地址？要想獲得api的地址，得首先獲得諸如kernel32.dll,user32.dll的基址,然后再找到真正的函數(shù)地址 .1）搜尋宿主的引入表獲得 GetMOdUIeHandleA 函數(shù)和GetPrOCAddreSS的地址，然后通過他返回系統(tǒng)dll的基址.2） 直接獲得kernel32.dll的基址，然后再搜尋EXPOrt表獲得GetPrOCAddreSS和LOadLibraryA的地址.3） 硬編碼調(diào)用函數(shù)4、 簡要說明VBS腳本病毒的防范措施。安裝殺毒軟件隨機(jī)自啟動(dòng)病毒防火墻 斷開局域網(wǎng)在IE中禁用ACtiVe控件及插件，使得網(wǎng)頁內(nèi)包含的VBS腳本病毒不能被執(zhí)行最后，取