病毒檢測技術復習題含答案

一、填空程序性決定了計算機病毒的可防治性、可清除性，反病毒技術就是要提前取得計算機系統(tǒng)的控制權，識別出計算機病毒的代碼和行為，阻止其取得系統(tǒng)控制權，并及時將其清除。是否具有傳染性，是判別一個程序是否為計算機病毒的首要條件。計算機病毒因某個事件或數值的出現，誘使病毒實施感染或進行攻擊的特性稱為可觸發(fā)性病毒程序嵌入到宿主程序中，依賴于宿主程序的執(zhí)行而生存，這就是計算機病毒的寄生性、病毒的最大特點是其傳染性，而傳染性的原因是其自身程序不斷復制的結果，即程序本身復制到其他程序中或簡單地在某一系統(tǒng)中不斷地復制自己計算機病毒按寄生對象分為引導型病毒文件型病毒混合型病毒蠕蟲(Worm)是一種獨立的可執(zhí)行程序，主要由主程序和引導程序兩部分組成蠕蟲程序的工作流程可以分為漏洞掃描、攻擊、傳染、現場處理四個階段特洛伊木馬(Trojanhouse，簡稱木馬)是指表面上是有用的軟件、實際目的卻是危害計算機安全并導致嚴重破壞的計算機程序，是一種在遠程計算機之間建立連接，使遠程計算機能通過網絡控制本地計算機的非法程序一般的木馬都有客戶端和服務器端兩個程序客戶端是用于攻擊者遠程控制已植入木馬的計算機的程序服務器端程序就是在用戶計算機中的木馬程序計算機病毒英文命名規(guī)則也就是國際上對病毒命名的一般慣例為“前綴+病毒名+后綴”，即三元組命名規(guī)則計算機病毒的產生過程可分為：程序設計→傳播→潛伏→觸發(fā)、運行→實施攻擊計算機病毒是一類特殊的程序，也有生命周期開發(fā)期傳染期潛伏期發(fā)作期發(fā)現期消化期消亡期在學習、研究計算機病毒的過程中，在遵守相關法律法規(guī)的前提下，應嚴格遵守以下“八字原則”——自尊自愛、自強自律BIOSINT13H調用是BIOS提供的磁盤基本輸入輸出中斷調用，它可以完成磁盤(包括硬盤和軟盤)的復位、讀寫、校驗、定位、診斷、格式化等功能，完全不用考慮被操作硬盤安裝的是什么操作系統(tǒng)現代大容量硬盤一般采用LBA(LogicBlockAddress)線性地址來尋址，以替代CHS尋址。高級格式化的目的是在分區(qū)內建立分區(qū)引導記錄DBR(DOSBootRecord)、文件分配表FAT(FileAllocationTable)、文件目錄表FDT(FileDirectoryTable)和數據區(qū)DATA主引導記錄(MasterBootRecord，MBR)主分區(qū)表即磁盤分區(qū)表(DiskPartitionTable，DPT)引導扇區(qū)標記(BootRecordID/Signature)通過主引導記錄定義的硬盤分區(qū)表，最多只能描述4個分區(qū)FAT32最早是出于FAT16不支持大分區(qū)、單位簇容量大以至于空間急劇浪費等缺點設計的NTFS是一個比FAT更復雜的系統(tǒng)。在NTFS中，磁盤上的任何事物都為文件NTFS文件系統(tǒng)中，小文件和文件夾(典型的如1023字節(jié)或更少)將全部存儲在文件的MFT記錄里中斷(Interrupt)，就是CPU暫停當前程序的執(zhí)行，轉而執(zhí)行處理緊急事務的程序，并在該事務處理完成后能自動恢復執(zhí)行原先程序的過程中斷向量表(InterruptVectors)是一個特殊的線性表，它保存著系統(tǒng)所有中斷服務程序的入口地址(偏移量和段地址)設計擴展INT13H接口的目的是為了擴展BIOS的功能，使其支持多于1024柱面的硬盤，以及可移動介質的鎖定、解鎖及彈出等功能INT13H磁盤輸入輸出中斷，引導型病毒用于傳染病毒和格式化磁盤在保護模式下，所有的應用程序都具有權限級別(PrivilegeLevel，PL)。PL按優(yōu)先次序分為四等：0級、1級、2級、3級，其中0級權限最高，3級最低，目前只用到Ring0和Ring3兩個級別操作系統(tǒng)核心層運行在Ring0級，而Win32子系統(tǒng)運行在Ring3級，為運行在Ring3級的應用程序提供接口計算機病毒總是想方設法竊取Ring0的權限(如CIH病毒)，以實施更大范圍的破壞DOS可執(zhí)行文件以英文字母“MZ”開頭，通常稱之為MZ文件在Windows3.0/3.1的可執(zhí)行文件，在MZ文件頭之后又有一個以“NE”開始的文件頭，稱之為NE文件在Win32位平臺可執(zhí)行文件格式：可移植的可執(zhí)行文件(PortableExecutableFile)格式，即PE格式。MZ文件頭之后是一個以“PE”開始的文件頭PE的意思就是PortableExecutable(可移植、可執(zhí)行)，它是Win32可執(zhí)行文件的標準格式PE文件的真正內容劃分成塊，稱之為Section(節(jié))，緊跟在節(jié)表之后引入函數節(jié).idata引入函數節(jié)可能被病毒用來直接獲取API函數地址引出函數節(jié)是本文件向其他程序提供的可調用函數列表這個節(jié)一般用在DLL中，EXE文件中也可以有這個節(jié)，但通常很少使用計算機病毒在傳播過程中存在兩種狀態(tài)，即靜態(tài)和動態(tài)內存中的動態(tài)病毒又有兩種狀態(tài)：可激活態(tài)和激活態(tài)。計算機病毒要完成一次完整的傳播破壞過程，必須經過以下幾個環(huán)節(jié)：分發(fā)拷貝階段潛伏繁殖階段破壞表現階段殺毒軟件可以將感染標志作為病毒的特征碼之一可以利用病毒根據感染標志是否進行感染這一特性，人為地、主動在文件中添加感染標志，從而在某種程度上達到病毒免疫的目的無論是文件型病毒還是引導型病毒，其感染過程總的來說是相似的，分為三步：進駐內存、判斷感染條件、實施感染病毒攻擊的宿主程序是病毒的棲身地，宿主程序既是病毒傳播的目的地，又是下一次感染的出發(fā)點計算機病毒感染的過程一般有三步：(1)當宿主程序運行時，截取控制權；(2)尋找感染的突破口；(3)將病毒代碼放入宿主程序既感染引導扇區(qū)又感染文件是混合感染一個宿主程序上感染多種病毒，稱為交叉感染。無入口點病毒并不是真正沒有入口點，而是采用入口點模糊(EntryPointObscuring，EPO)技術，即病毒在不修改宿主原入口點的前提下，通過在宿主代碼體內某處插入跳轉指令來使病毒獲得控制權滋生感染式病毒又稱作伴侶病毒或伴隨型病毒滋生感染式病毒病毒不改變被感染的文件，而是為被感染的文件創(chuàng)建一個伴隨文件病毒在感染時，完全不改動宿主程序本體，而是改動或利用與宿主程序相關的信息，將病毒程序與宿主程序鏈成一體，這種感染方式稱作鏈式感染(LinkInfection).COM文件結構比較簡單，是一種單段執(zhí)行結構內存映射文件提供了一組獨立的函數，是應用程序能夠通過內存指針像訪問內存一樣對磁盤上的文件進行訪問WSH是WindowsScriptingHost(Windows腳本宿主)的縮略形式,是一個基于32位Windows平臺、并獨立于語言的腳本運行環(huán)境，是一種批次語言/自動執(zhí)行工具宏病毒是使用宏語言編寫的惡意程序，存在于字處理文檔、電子數據表格、數據庫、演示文檔等數據文件中，可以在一些數據處理系統(tǒng)(主要是微軟的Word、Excel、Access等Office軟件系統(tǒng))中運行，利用宏語言的功能將自己復制、繁殖到其他數據文檔中蠕蟲主要是利用計算機系統(tǒng)漏洞(Vulnerability)進行傳染，搜索到網絡中存在漏洞的計算機后主動進行攻擊，在傳染的過程中，與計算機操作者是否進行操作無關，從而與使用者的計算機知識水平無關根據蠕蟲的傳播、運作方式，可以將蠕蟲分為兩類主機蠕蟲網絡蠕蟲網絡蠕蟲最大特點是利用各種漏洞進行自動傳播蠕蟲的工作方式一般是“掃描→攻擊→復制”特洛伊木馬(TrojanHorse)，簡稱木馬，是一種惡意程序，是一種基于遠程控制的黑客工具，一旦侵入用戶的計算機，就悄悄地在宿主計算機上運行，在用戶毫無察覺的情況下，讓攻擊者獲得遠程訪問和控制系統(tǒng)的權限，進而在用戶的計算機中修改文件、修改注冊表、控制鼠標、監(jiān)視/控制鍵盤，或竊取用戶信息木馬與合法遠程控制軟件(如pcAnyWhere)的主要區(qū)別在于是否具有隱蔽性、是否具有非授權性木馬系統(tǒng)軟件一般由木馬配置程序、控制程序和木馬程序(服務器程序)三部分組成木馬獲得服務端的IP地址的方法主要有兩種：信息反饋和IP掃描當進程為真隱藏的時候，那么這個木馬服務器運行之后，就不應該具備一般進程的表現，也不應該具備服務的表現，也就是說，完全溶進了系統(tǒng)的內核動態(tài)嵌入技術是指木馬將自己的代碼嵌入正在運行的進程中的技術。WindowsXP的Netstat工具提供了一個新的-o選項，能夠顯示出正在使用端口的程序或服務的進程標識符(PID)。當進程為真隱藏的時候，那么這個木馬服務器運行之后，就不應該具備一般進程的表現，也不應該具備服務的表現，EPO是EntryPointObscuring技術的簡寫，意即入口模糊技術，該技術改變了傳統(tǒng)的修改PE頭部的入口點、使其指向病毒代碼入口而使病毒代碼得以執(zhí)行的典型方法對付多態(tài)病毒的最好辦法是某種形式的虛擬執(zhí)行技術，也就是仿真出一個80x86的CPU，讓解密代碼自己解密完成之后，再使用通常的特征碼識別法進行病毒檢測計算機病毒的防治技術分成四個方面病毒預防技術病毒檢測技術病毒消除技術病毒免疫技術計算機病毒的預防措施可概括為兩點勤備份嚴防守比較法是用原始的正常備份與被檢測的內容(引導扇區(qū)或被檢測的文件)進行比較長度比較法內容比較法內存比較法中斷比較法利用病毒的特有行為特性監(jiān)測病毒的方法，稱為行為監(jiān)測法，也稱為人工智能陷阱法軟件模擬(SoftwareEmulation)法(即后文中將詳細介紹的虛擬機對抗病毒技術)，是一種軟件分析器，用軟件方法來模擬和分析程序的運行：模擬CPU執(zhí)行，在其設計的虛擬機器(VirtualMachine)下假執(zhí)行病毒的變體引擎解碼程序，安全并確實地將多態(tài)病毒解開，使其顯露真實面目，再加以掃描設計虛擬機查毒的目的是為了對抗加密變形病毒二、選擇題:

1.計算機病毒會造成計算機怎樣的損壞(A

)

A.硬件,軟件和數據

B.硬件和軟件

C.軟件和數據

D.硬件和數據

2.某片軟盤上已染有病毒,為防止該病毒傳染計算機系統(tǒng),正確的措施是(D

)

A.刪除該軟盤上所有程序

B.給該軟盤加上寫保護

C.將該軟盤放一段時間后再用

D.將軟盤重新格式化

3.防止軟盤感染病毒的方法用(D

)

A.不要把軟盤和有毒的軟盤放在一起

B.在寫保護缺口貼上膠條

C.保持機房清潔

D.定期對軟盤格式化

4.發(fā)現計算機病毒后,比較徹底的清除方式是(

D)

A.用查毒軟件處理

B.刪除磁盤文件

C.用殺毒軟件處理

D.格式化磁盤

5.計算機病毒通常是(

A

)

A.一段程序

B.一個命令

C.一個文件

D.一個標記

6.文件型病毒傳染的對象主要是什么類文件(

C

)

A..DBF

B..WPS

C..COM和.EXE

D..EXE和.WPS

7.關于計算機病毒的傳播途徑,不正確的說法是(

C

)

A.通過軟盤的復制

B.通過共用軟盤

C.通過共同存放軟盤

D.通過借用他人的軟盤

8.目前最好的防病毒軟件的作用是(

D

)

A.檢查計算機是否染有病毒,消除已感染的任何病毒

B.杜絕病毒對計算機的侵害

C.查出計算機已感染的任何病毒,消除其中的一部分

D.檢查計算機是否染有病毒,消除已感染的部分病毒

9.公安部開發(fā)的SCAN軟件是用于計算的(

A

)

A.病毒檢查

B.病毒分析和統(tǒng)計

C.病毒防疫

D.病毒示范

10.防病毒卡能夠(

A

)

A.自動發(fā)現病毒入侵的跡象并提醒操作者或及時阻止病毒的入侵

B.杜絕病毒對計算的侵害

C.自動發(fā)現并阻止任何病毒的入侵

D.自動消除已感染的所有病毒

11.計算機病毒是可以造成機器故障的(

D

)

A.一種計算機設備

B.一塊計算機芯片

C.一種計算機部件

D.一種計算機程序

12.若一張軟盤封住了寫保護口,則(

D

)

A.既向處傳染病毒又會感染病毒

B.即不會向處傳染病毒,也不會感染病毒

C.不會傳染病毒,但會感染病毒

D.不會感染病毒,但會傳染病毒

13.防止計算機傳染病毒的方法是(

A)

A.不使用有病毒的盤片

B.不讓有傳染病的人操作

C.提高計算機電源穩(wěn)定性

D.聯機操作

14.計算機病毒的危害性表現在(B

)

A.能造成計算機器件永久性失效

B.影響程序的執(zhí)行破壞用戶數據與程序

C.不影響計算機的運行速度

D.不影響計算機的運算結果,不必采取措施

15.下面有關計算機病毒的說法正確的是(

C

)

A.計算機病毒是一個MIS程序

B.計算機病毒是對人體有害的傳染病

C.計算機病毒是一個能夠通過自身傳染,起破壞作用的計算機程序

D.計算機病毒是一段程序,但對計算機無害

16.計算機病毒(

D

)

A.不影響計算機的運行速度

B.能造成計算機器件的永久性失效

C.不影響計算機的運算結果

D.影響程序的執(zhí)行破壞用戶數據與程序

17.計算機病毒對于操作計算機的人(

C

)

A.只會感染,不會致病

B.會感染致病

C.不會感染

D.傳染性,隱蔽性和危害性

18.計算機病毒是一組計算機程序,它具有(

D

_)

A.傳染性

B.隱蔽性

C.危害性

D.傳染性,隱蔽性和危害性

19.計算機病毒造成的損壞主要是

(

C)

A.文字處理和數據庫管理軟件

B.操作系統(tǒng)和數據庫管理系統(tǒng)

C.程序和數據

D.系統(tǒng)軟件和應用軟件

20.以下措施不能防止計算機病毒的是(

A)

A.軟盤未貼寫保護

B.先用殺病毒軟件將從別人機器上拷來的文件清查病毒

C.不用來歷不明的磁盤

D.經常關注防病毒軟件的版本升級情況,并盡量取得最高版本的防毒軟件

21.計算機病毒具有(A

)

A.傳播性,潛伏性,破壞性

B.傳播性,破壞性,易讀性

C.潛伏性,破壞性,易讀性

D.傳播性,潛伏性,安全性

22.計算機病毒是一種(

D)

A.機器部件

B.計算機文件

C.微生物"病原體"

D.程序

23.計算機病毒通常分為引導型,復合型和(B

)

A.外殼型

B.文件型

C.內碼型

D.操作系統(tǒng)型

24.計算機病毒造成的損壞主要是(D

)

A.磁盤

B.磁盤驅動器

C.磁盤和其中的程序及數據

D.程序和數據

25.公安部開發(fā)的KILL軟件是用于計算機的(A

)

A.病毒檢查和消除

B.病毒分析和統(tǒng)計

C.病毒防疫

D.病毒防范

26.不易被感染上病毒的文件是(C)

A.COM

B.EXE

C.TXT

D.BOOT

27.文件被感染上病毒之后,其基本特征是(C)

A.文件不能被執(zhí)行

B.文件長度變短

C.文件長度加長

D.文件照常能執(zhí)行28.病毒程序按其侵害對象不同分為______C______。A、外殼型、入侵型、原碼型和外殼型B、原碼型、外殼型、復合型和網絡病毒C、引導型、文件型、復合型和網絡病毒D、良性型、惡性型、原碼型和外殼型

29.計算機機房安全等級分為A,B,C三級,其中C級的要求是(C)

A.計算機實體能運行

B.計算機設備能安放

C.有計算機操作人員

D.確保系統(tǒng)作一般運行時要求的最低限度安全性,可靠性所應實施的內容.

30.(C)是在計算機信息處理和輿過程中唯一切實可行的安全技術.

A.無線通信技術

B.專門的網絡輿技術

C.密碼技術

D.校驗技術

31.(A)是計算機病毒

A.一段程序

B.一批數據

C.若干條指令

D.能在計算機運行時實施傳染和侵害的功能程序

32.關于計算機病毒,正確的說法是(C)

A.計算機病毒可以燒毀計算機的電子器件

B.計算機病毒是一種傳染力極強的生物細菌

C.計算機病毒是一種人為特制的具有破壞性的程序

D.計算機病毒一旦產生,便無法清除

33.計算機病毒會造成(C)

A.CPU的燒毀

B.磁盤驅動器的損壞

C.程序和數據的破壞

D.磁盤的損壞

34.我國政府頒布的《計算機軟件保護條例》從何時開始實施?C

A.1986年10月

B.1990年6月

C.1991年10月

D.1993年10月

35.《計算機軟件保護條例》中所稱的計算機軟件(簡稱軟件)是指(D)

A.計算機程序

B.源程序和目標程序

C.源程序

D.計算機程序及其有關文檔

36.微機病毒系指(D)

A.生物病毒感染

B.細菌感染

C.被損壞的程序

D.特制的具有破壞性的小程序

37.在下列計算機安全防護措施中,(C)是最重要的

A.提高管理水平和技術水平

B.提高硬件設備運行的可靠性

C.預防計算機病毒的傳染和傳播

D.盡量防止自然因素的損害

38.計算機犯罪是一個(B)問題.

A.技術問題

B.法律范疇的問題

C.政治問題

D.經濟問題

39.計算機病毒的主要特征是(D)

A.只會感染不會致病

B.造成計算機器件永久失效

C.格式化磁盤

D.傳染性,隱蔽性,破壞性和潛伏性

40.防止軟盤感染病毒的有效方法是(C)

A.定期用藥物給機器消毒

B.加上寫保護

C.定期對軟盤進行格式化

D.把有毒盤銷毀

41.目前使用的防殺病毒軟件的作用是(C)

A.檢查計算機是否感染病毒,消除已感染的任何病毒

B.杜絕病毒對計算機的侵害

C.檢查計算機是否感染病毒,清除部分已感染的病毒

D.查出已感染的任何病毒,清除部分已感染的病毒

42.下面列出的計算機病毒傳播途徑,不正確的說法是(D)

A.使用來路不明的軟件

B.通過借用他人的軟盤

C.通過非法的軟件拷貝

D.通過把多張軟盤疊放在一起

43.計算機病毒具有隱蔽性,潛伏性,傳播性,激發(fā)性和(C)

A.惡作劇性

B.入侵性

C.破壞性和危害性

D.可擴散性44.不是微機之間病毒傳播的媒介的是____B________。A、硬盤B、鼠標C、軟盤D、光盤45.常見計算機病毒的特點有_____D_______。A.只讀性、趣味性、隱蔽性和傳染性B.良性、惡性、明顯性和周期性C.周期性、隱蔽性、復發(fā)性和良性D.隱蔽性、潛伏性、傳染性和破壞性46.對已感染病毒的磁盤_____B_______。A.用酒精消毒后可繼續(xù)使用;B.用殺毒軟件殺毒后可繼續(xù)使用,C.可直接使用，對系統(tǒng)無任何影響;D.不能使用只能丟掉47.發(fā)現計算機感染病毒后，如下操作可用來清除病毒____A________。A.使用殺毒軟件;B.掃描磁盤C.整理磁盤碎片;D.重新啟動計算機48.防止病毒入侵計算機系統(tǒng)的原則是____D________。A.對所有文件設置只讀屬性;B.定期對系統(tǒng)進行病毒檢查,C.安裝病毒免疫卡;D.堅持以預防為主，堵塞病毒的傳播渠道49.復合型病毒是______D______。A、即感染引導扇區(qū)，又感染WORD文件B、即感染可執(zhí)行文件，又感染WORD文件,C、只感染可執(zhí)行文件;D、既感染引導扇區(qū)，又感染可執(zhí)行文件50.計算機病毒的防治方針是______A______。A.堅持以預防為主;B.發(fā)現病毒后將其清除C.經常整理硬盤;D.經常清洗軟驅51.計算機病毒的最終目標在于______A______。A.干擾和破壞系統(tǒng)的軟、硬件資源;B.豐富原有系統(tǒng)的軟件資源,C.傳播計算機病毒;D.寄生在計算機中52.計算機病毒所沒有的特點是____D________。A.隱藏性;B.潛伏性;C.傳染性;D.廣泛性53.計算機病毒在發(fā)作前，它_____C_______。A、很容易發(fā)現;B、沒有現象;C、較難發(fā)現;D、不能發(fā)現54.若出現下列現象_____C_______時，應首先考慮計算機感染了病毒。A、不能讀取光盤;B、寫軟盤時，報告磁盤已滿C、程序運行速度明顯變慢;D、開機啟動Windows98時，先掃描硬盤。55.微機感染病毒后，可能造成______A______。A、引導扇區(qū)數據損壞;B、鼠標損壞;C、內存條物理損壞;D、顯示器損壞56.為了預防計算機病毒，對于外來磁盤應采取_____B_______。A、禁止使用;B、先查毒，后使用;C、使用后，就殺毒;D、隨便使用57.未格式化的新軟盤，_____A_______計算機病毒。A、可能會有;B、與帶毒軟盤放在一起會有C、一定沒有;D、拿過帶毒盤的手,再拿該盤后會有58.文件型病毒感染的主要對象是______B__________類文件。A、.TXT和.WPS;B、.COM和.EXE;C、.WPS和.EXE;D、.DBF和.COM59.下列操作中，_____B_____不可能清除文件型計算機病毒。A、刪除感染計算機病毒的文件;B、將感染計算機病毒的文件更名C、格式化感染計算機病毒的磁盤;D、用殺毒軟件進行清除60.下列關于計算機病毒的說法正確的是______B______。A.計算機病毒不能發(fā)現;B.計算機病毒能自我復制,C.計算機病毒會感染計算機用戶;D.計算機病毒是一種危害計算機的生物病毒61.下列設備中，能在微機之間傳播病毒的是_____C_______。A.掃描儀;B.鼠標;C.光盤;D.鍵盤62.下列現象中的_______C_________時，不應首先考慮計算機感染了病毒。A、磁盤卷標名發(fā)生變化;B、以前能正常運行的程序突然不能運行了C、鼠標操作不靈活;D、可用的內存空間無故變小了三、判斷（5,8錯誤其余全對）反病毒軟件預防措施和技術手段往往滯后于病毒的產生速度T對計算機病毒的分類研究，目的在于更好地描述、分析、理解計算機病毒的特性、危害、原理及其防治技術T病毒處于激活態(tài)時，不一定進行傳染和破壞；但進行傳染和破壞時，必然處于激活態(tài)T激活態(tài)的病毒一般不會自己轉變?yōu)槭Щ顟B(tài)，失活態(tài)的出現必定是有外在干預T在任何一個環(huán)節(jié)(階段)都可以抑制病毒的傳播、蔓延，或者清除病毒錯誤F我們應當盡可能地在病毒進行破壞性攻擊之前切斷病毒傳染源、抑制病毒的傳播蔓延T有的病毒有一個感染標志，又稱病毒簽名，但不是所有的病毒都有感染標志T不同病毒的感染標志的位置、內容都不同錯誤F.COM文件結構比較簡單，是一種單段執(zhí)行結構T.EXE文件采用多段結構T“Melissa網絡蠕蟲宏病毒”(Macro.Word97.Melissa)、T“LoverLetter網絡蠕蟲病毒”(VBS.LoveLetter)等等，都是病毒，而不是蠕蟲。T以病毒命名的“沖擊波病毒”(Worm.MSBlast)，卻是典型的蠕蟲T四、名詞解釋PE文件防火墻特洛伊木馬宏病毒低級格式化蠕蟲腳本病毒五、簡答1、病毒采用的觸發(fā)條件主要有以下幾種？2、病毒為什么需要重定位？3、引導型病毒的判斷與清除？4、為什么要獲取API函數地址5、如何獲取API函數地址6、病毒感染PE文件的基本方法7、文件操作相關API函數8、VBS腳本病毒的特點9、VBS腳本病毒的弱點9、VBS腳本病毒如何防范？10、宏病毒的傳播方式11、宏病毒采用哪些傳播方式？12、如何防治和清除宏病毒？13、簡要描述CIH病毒的觸發(fā)機制、感染機制。14、如何讓系統(tǒng)對CIH病毒具有免疫能力？15、試述蠕蟲與病毒的差別和聯系16、在你看來，Nimda是病毒還是蠕蟲？為什么？17、蠕蟲傳播過程中，如何優(yōu)化搜索目標主機的策略？18、蠕蟲的檢測與清除19、蠕蟲常用的掃描策略20、木馬的基本原理21、特洛伊木馬的傳播方式木馬常用的傳播方式，有幾種？22、木馬的危害木馬能實現的功能有哪些？23、木馬的啟動方式有哪些？24、病毒的共同行為？25、發(fā)現病毒后，清除病毒的一般步驟？26、簡述計算機病毒的定義和特點？27、簡述PE病毒的感染過程是怎樣的？28、說明宏病毒的傳播方式（word為例）？29、說明文件型病毒的感染機理？30、請說明蠕蟲的行為特征。31、請簡要說明引導型病毒的啟動過程（可畫流程圖）？32、請說明VBS腳本病毒的特點。33、計算機病毒有哪些傳播途徑？34、為什么同一個病毒會有多個不同的名稱？35、如何理解木馬與病毒的關系？36、蠕蟲與病毒之間的區(qū)別及聯系。37、計算機病毒一般采用哪些條件作為觸發(fā)條件？……六．綜合問答題1、檢測計算機病毒的主要方法有哪些？并詳細說明。2.寫出并分析說明文件操作相關API函數。3、腳本病毒有哪些弱點？有哪些防范措施？4、說明感染PE文件的基本步驟。5、分析解釋并說明木馬的基本原理。6．說明啟發(fā)式掃描技術的基本思想?！瓍⒖紡土曨},基本覆蓋了教材和課件中的重要知識點，請認真復習教材和課件，也可以借助于百度等搜索工具復習。一一、填空(30分)程序性決定了計算機病毒的可防治性、可清除性，反病毒技術就是要提前取得計算機系統(tǒng)的控制權，識別出計算機病毒的代碼和行為，阻止其取得系統(tǒng)控制權，并及時將其清除。特洛伊木馬是指表面上是有用的軟件、實際目的卻是危害計算機安全并導致嚴重破壞的計算機程序，是一種在遠程計算機之間建立連接，使遠程計算機能通過網絡控制本地計算機的非法程序?？蛻舳耸怯糜诠粽哌h程控制已植入木馬的計算機的程序。計算機病毒英文命名規(guī)則也就是國際上對病毒命名的一般慣例為“前綴+病毒名+后綴”，即三元組命名規(guī)則在學習、研究計算機病毒的過程中，在遵守相關法律法規(guī)的前提下，應嚴格遵守以下“八字原則”——自尊自愛、自強自律中斷向量表(InterruptVectors)是一個特殊的線性表，它保存著系統(tǒng)所有中斷服務程序的入口地址(偏移量和段地址)引出函數節(jié)是本文件向其他程序提供的可調用函數列表這個節(jié)一般用在DLL中，EXE文件中也可以有這個節(jié)，但通常很少使用殺毒軟件可以將感染標志作為病毒的特征碼之一無論是文件型病毒還是引導型病毒，其感染過程總的來說是相似的，分為三步：進駐內存、判斷感染條件、實施感染無入口點病毒并不是真正沒有入口點，而是采用入口點模糊(EntryPointObscuring，EPO)技術，即病毒在不修改宿主原入口點的前提下，通過在宿主代碼體內某處插入跳轉指令來使病毒獲得控制權滋生感染式病毒又稱作伴侶病毒或伴隨型病毒內存映射文件提供了一組獨立的函數，是應用程序能夠通過內存指針像訪問內存一樣對磁盤上的文件進行訪問WSH是Windows腳本宿主的縮略形式,是一個基于32位Windows平臺、并獨立于語言的腳本運行環(huán)境，是一種批次語言/自動執(zhí)行工具動態(tài)嵌入技術是指木馬將自己的代碼嵌入正在運行的進程中的技術。計算機病毒的預防措施可概括為兩點勤備份嚴防守比較法是用原始的正常備份與被檢測的內容(引導扇區(qū)或被檢測的文件)進行比較長度比較法內容比較法內存比較法中斷比較法利用病毒的特有行為特性監(jiān)測病毒的方法，稱為行為監(jiān)測法，也稱為人工智能陷阱法二、選擇題(10)

1.計算機病毒會造成計算機怎樣的損壞(

A)

A.硬件,軟件和數據

B.硬件和軟件

C.軟件和數據

D.硬件和數據

2.某片軟盤上已染有病毒,為防止該病毒傳染計算機系統(tǒng),正確的措施是(

D)

A.刪除該軟盤上所有程序

B.給該軟盤加上寫保護

C.將該軟盤放一段時間后再用

D.將軟盤重新格式化

3.防止軟盤感染病毒的方法用(

B)

A.不要把軟盤和有毒的軟盤放在一起

B.在寫保護缺口貼上膠條

C.保持機房清潔

D.定期對軟盤格式化

4.發(fā)現計算機病毒后,比較徹底的清除方式是(

D)A.用查毒軟件處理

B.刪除磁盤文件

C.用殺毒軟件處理

D.格式化磁盤

5.計算機病毒通常是(

A

)

A.一段程序

B.一個命令

C.一個文件

D.一個標記

6.文件型病毒傳染的對象主要是什么類文件(C

)

A..DBF

B..WPS

C..COM和.EXE

D..EXE和.WPS

7.關于計算機病毒的傳播途徑,不正確的說法是(

C)

A.通過軟盤的復制

B.通過共用軟盤

C.通過共同存放軟盤

D.通過借用他人的軟盤

8.目前最好的防病毒軟件的作用是(

A

)

A.檢查計算機是否染有病毒,消除已感染的任何病毒

B.杜絕病毒對計算機的侵害

C.查出計算機已感染的任何病毒,消除其中的一部分

D.檢查計算機是否染有病毒,消除已感染的部分病毒

9.計算機病毒是可以造成機器故障的(

D

)

A.一種計算機設備

B.一塊計算機芯片

C.一種計算機部件

D.一種計算機程序

10.若一張軟盤封住了寫保護口,則(

D)

A.既向外傳染病毒又會感染病毒 B.即不會向外傳染病毒,也不會感染病毒

C.不會傳染病毒,但會感染病毒

D.不會感染病毒,但會傳染病毒

三、判斷(10分)反病毒軟件預防措施和技術手段往往滯后于病毒的產生速度T對計算機病毒的分類研究，目的在于更好地描述、分析、理解計算機病毒的特性、危害、原理及其防治技術T病毒處于激活態(tài)時，不一定進行傳染和破壞；但進行傳染和破壞時，必然處于激活態(tài)T激活態(tài)的病毒一般不會自己轉變?yōu)槭Щ顟B(tài)，失活態(tài)的出現必定是有外在干預T在任何一個環(huán)節(jié)(階段)都可以抑制病毒的傳播、蔓延，或者清除病毒T我們應當盡可能地在病毒進行破壞性攻擊之前切斷病毒傳染源、抑制病毒的傳播蔓延T在任何一個環(huán)節(jié)(階段)都可以抑制病毒的傳播、蔓延，或者清除病毒T不同病毒的感染標志的位置、內容都不同T.COM文件結構比較簡單，是一種單段執(zhí)行結構T.EXE文件采用多段結構T四、名詞解釋(15分)PE文件---PE的意思就是PortableExecutable(可移植、可執(zhí)行),它是Win32可執(zhí)行文件的標準格式防火墻---它是一種位于內部網絡與外部網絡之間的網絡安全系統(tǒng)。一項信息安全的防護系統(tǒng)，依照特定的規(guī)則，允許或是限制傳輸的數據通過。特洛伊木馬----特洛伊木馬(TrojanHorse)，簡稱木馬，是一種惡意程序，是一種基于遠程控制的黑客工具，一旦侵入用戶的計算機，就悄悄地在宿主計算機上運行，在用戶毫無察覺的情況下，讓攻擊者獲得遠程訪問和控制系統(tǒng)的權限，進而在用戶的計算機中修改文件、修改注冊表、控制鼠標、監(jiān)視/控制鍵盤，或竊取用戶信息蠕蟲-----蠕蟲主要是利用計算機系統(tǒng)漏洞(Vulnerability)進行傳染，搜索到網絡中存在漏洞的計算機后主動進行攻擊，在傳染的過程中，與計算機操作者是否進行操作無關，從而與使用者的計算機知識水平無關宏病毒---宏病毒是使用宏語言編寫的惡意程序，存在于字處理文檔、電子數據表格、數據庫、演示文檔等數據文件中，可以在一些數據處理系統(tǒng)(主要是微軟的Word、Excel、Access等Office軟件系統(tǒng))中運行，利用宏語言的功能將自己復制、繁殖到其他數據文檔中五、簡答(25分)1、病毒采用的觸發(fā)條件主要有幾種？至少說出五種。2、病毒為什么需要重定位？病毒不可避免也要用到變量(常量)，當病毒感染HOST程序后，由于其依附到不同HOST程序中的位置各有不同，病毒隨著HOST載入內存后，病毒中的各個變量(常量)在內存中的位置自然也會隨著發(fā)生變化3、說明引導型病毒的判斷與清除。（1）由于引導程序本身完成的功能比較簡單，所以我們可以判斷該引導程序的合法性(看JMP指令的合法性)（2）病毒駐留在內存，時刻監(jiān)視系統(tǒng)的運行，伺機感染?？s小內存大小值，影響讀寫文件速度。檢查引導扇區(qū)、檢查內存容量可以發(fā)現病毒4、為什么要獲取API函數地址？（1）Win32程序一般運行在Ring3級，處于保護模式（2）Win32下的系統(tǒng)功能調用，不是通過中斷實現，而是通過調用動態(tài)連接庫中的API函數實現（3）Win32PE病毒和普通Win32PE程序一樣需要調用API函數實現某些功能，但是對于Win32PE病毒來說，它只有代碼節(jié)，并不存在引入函數節(jié)病毒就無法象普通PE程序那樣直接調用相關API函數，而應該先找出這些API函數在相應DLL中的地址5、說明文件操作相關API函數有哪些？六．綜合題(10分)結合自己的理解說明啟發(fā)式掃描技術的基本思想。啟發(fā)式掃描技術，實際上就是把這種經驗和知識移植到一個查病毒軟件中的具體程序體現。因此，在這里，啟發(fā)式指的“自我發(fā)現的能力”或“運用某種方式或方法去判定事物的知識和技能?！倍弧⑻羁帐欠窬哂袀魅拘?，是判別一個程序是否為計算機病毒的首要條件。計算機病毒因某個事件或數值的出現，誘使病毒實施感染或進行攻擊的特性稱為可觸發(fā)性病毒程序嵌入到宿主程序中，依賴于宿主程序的執(zhí)行而生存，這就是計算機病毒的寄生性。病毒的最大特點是其傳染性，原因是其自身程序不斷復制的結果，即程序本身復制到其他程序中或簡單地在某一系統(tǒng)中不斷地復制自己。計算機病毒按寄生對象分為引導型病毒、文件型病毒、混合型病毒。蠕蟲(Worm)是一種獨立的可執(zhí)行程序，主要由主程序和引導程序兩部分組成蠕蟲程序的工作流程可以分為漏洞掃描、攻擊、傳染、現場處理四個階段一般的木馬都有客戶端和服務器端兩個程序計算機病毒的產生過程可分為：程序設計→傳播→潛伏→觸發(fā)、運行→實施攻擊INT13H調用是BIOS提供的磁盤基本輸入輸出中斷調用，它可以完成磁盤(包括硬盤和軟盤)的復位、讀寫、校驗、定位、診斷、格式化等功能，完全不用考慮被操作硬盤安裝的是什么操作系統(tǒng)通過主引導記錄定義的硬盤分區(qū)表，最多只能描述4個分區(qū)NTFS是一個比FAT更復雜的系統(tǒng)。在NTFS中，磁盤上的任何事物都為文件中斷(Interrupt)，就是CPU暫停當前程序的執(zhí)行，轉而執(zhí)行處理緊急事務的程序，并在該事務處理完成后能自動恢復執(zhí)行原先程序的過程在保護模式下，所有的應用程序都具有權限級別(PrivilegeLevel，PL)。PL按優(yōu)先次序分為四等，其中0級權限最高，3級最低。在Win32位平臺可執(zhí)行文件格式：可移植的可執(zhí)行文件格式，即PE格式。引出函數節(jié)是本文件向其他程序提供的可調用函數列表這個節(jié)一般用在DLL中，EXE文件中也可以有這個節(jié)，但通常很少使用計算機病毒在傳播過程中存在兩種狀態(tài)，即靜態(tài)和動態(tài)計算機病毒要完成一次完整的傳播破壞過程，必須經過以下幾個環(huán)節(jié)：分發(fā)拷貝階段、潛伏繁殖階段、破壞表現階段可以利用病毒根據感染標志是否進行感染這一特性，人為地、主動在文件中添加，從而在某種程度上達到病毒免疫的目的選擇題:

1.計算機病毒是可以造成機器故障的(

D

)

A.一種計算機設備

B.一塊計算機芯片

C一種計算機部件

D.一種計算機程序2防止計算機傳染病毒的方法是(

A)A.不使用有病毒的盤片

B.不讓有傳染病的人操作

C.提高計算機電源穩(wěn)定性

D.聯機操作

3.計算機病毒的危害性表現在(B

)

A.不能造成計算機器件永久性失效

B.影響程序的執(zhí)行破壞用戶數據與程序C.不影響計算機的運行速度

D.不影響計算機的運算結果,不必采取措施

4.下面有關計算機病毒的說法正確的是(

C)

A.計算機病毒是一個MIS程序

B.計算機病毒是對人體有害的傳染病

C.計算機病毒是能夠傳染,起破壞作用的計算機程序

D.計算機病毒是一段程序,但對計算機無害

5.計算機病毒(

D

)

A.不影響計算機的運行速度

B.能造成計算機器件的永久性失效

C.不影響計算機的運算結果

D.影響程序的執(zhí)行破壞用戶數據與程序

6.計算機病毒對于操作計算機的人(

C

)

A.只會感染,不會致病

B.會感染致病

C.不會感染

D.傳染性,隱蔽性和危害性

7.計算機病毒是一組計算機程序,它具有(

D)A.傳染性

B.隱蔽性

C.危害性

D.傳染性,隱蔽性和危害性

8.計算機病毒造成的損壞主要是

(

C)

A.文字處理和數據庫管理軟件

B.操作系統(tǒng)和數據庫管理系統(tǒng)C.程序和數據系統(tǒng)軟件和應用軟件

9.以下措施不能防止計算機病毒的是(A

)A.軟盤未貼寫保護

B.先用殺病毒軟件將從別人機器上拷來的文件清查病毒

C.不用來歷不明的磁盤

D.經常關注防病毒軟件的版本升級情況,并盡量取得最高版本的防毒軟件

10.計算機病毒具有(

A)A.傳播性,潛伏性,破壞性

B.傳播性,破壞性,易讀性

C.潛伏性,破壞性,易讀性

D.傳播性,潛伏性,安全性三、判斷反病毒軟件預防措施和技術手段往往滯后于病毒的產生速度T對計算機病毒的分類研究，目的在于更好地描述、分析、理解計算機病毒的特性、危害、原理及其防治技術T病毒處于激活態(tài)時，不一定進行傳染和破壞；但進行傳染和破壞時，必然處于激活態(tài)T激活態(tài)的病毒一般不會自己轉變?yōu)槭Щ顟B(tài)，失活態(tài)的出現必定是有外在干預T在任何一個環(huán)節(jié)(階段)都可以抑制病毒的傳播、蔓延，或者清除病毒T我們應當盡可能地在病毒進行破壞性攻擊之前切斷病毒傳染源、抑制病毒的傳播蔓延T有的病毒有一個感染標志，又稱病毒簽名，但不是所有的病毒都有感染標志t不同病毒的感染標志的位置、內容都不同.COM文件結構比較簡單，是一種單段執(zhí)行結構T.EXE文件采用多段結構t四、名詞解釋PE文件PE文件被稱為可移植的執(zhí)行體是PortableExecute的全稱，常見的EXE、DLL、OCX、SYS、COM都是PE文件，PE文件是微軟Windows操作系統(tǒng)上的程序文件腳本病毒腳本病毒通常是JavaScript代碼編寫的惡意代碼，一般帶有廣告性質，會修改您的IE首頁、修改注冊表等信息，造成用戶使用計算機不方便特洛伊木馬特洛伊木馬(TrojanHorse)，簡稱木馬，是一種惡意程序，是一種基于遠程控制的黑客工具，一旦侵入用戶的計算機，就悄悄地在宿主計算機上運行，在用戶毫無察覺的情況下，讓攻擊者獲得遠程訪問和控制系統(tǒng)的權限，進而在用戶的計算機中修改文件、修改注冊表、控制鼠標、監(jiān)視/控制鍵盤，或竊取用戶信息。蠕蟲蠕蟲(Worm)是一種獨立的可執(zhí)行程序，主要由主程序和引導程序兩部分組成宏病毒宏病毒是使用宏語言編寫的惡意程序，存在于字處理文檔、電子數據表格、數據庫、演示文檔等數據文件中，可以在一些數據處理系統(tǒng)(主要是微軟的Word、Excel、Access等Office軟件系統(tǒng))中運行，利用宏語言的功能將自己復制、繁殖到其他數據文檔中五、簡答1、文件操作相關API函數2、VBS腳本病毒具有如下幾個特點：1編寫簡單2破壞力大3感染力強4傳播范圍廣5病毒源碼容易被獲取6欺騙性強7使病毒生產機實現起來非常容易宏病毒的傳播方式 ：1．軟盤交流染毒文檔文件；2．硬盤染毒，處理的文檔文件必將染毒；3．光盤攜帶宏病毒；4．Internet上下載染毒文檔文件；5．BBS交流染毒文檔文件；6．電子郵件的附件夾帶病毒。簡要說明蠕蟲的手工清除方法。木馬的基本原理一個完整的木馬系統(tǒng)由硬件部分，軟件部分和具體連接部分組成。

(1)硬件部分：建立木馬連接所必須的硬件實體?？刂贫耍簩Ψ斩诉M行遠程控制的一方。服務端：被控制端遠程控制的一方。INTERNET：控制端對服務端進行遠程控制，數據傳輸的網絡載體。

(2)軟件部分：實現遠程控制所必須的軟件程序。控制端程序：控制端用以遠程控制服務端的程序。木馬程序：潛入服務端內部，獲取其操作權限的程序。木馬配置程序：設置木馬程序的端口號，觸發(fā)條件，木馬名稱等，使其在服務端藏得更隱蔽的程序。

(3)具體連接部分：通過INTERNET在服務端和控制端之間建立一條木馬通道所必須的元素?？刂贫薎P，服務端IP：即控制端，服務端的網絡地址，也是木馬進行數據傳輸的目的地。控制端端口，木馬端口：即控制端，服務端的數據入口，通過這個入口，數據可直達控制端程序或木馬程序。

六．綜合問答題說明感染PE文件的基本步驟。1判斷目標文件是否是“MZ”開頭2判斷PE文件標記“PE”3判斷是否感染標記4獲得Directory的個數，每個數據目錄信息占8字節(jié)5得到節(jié)表的起始位置，Directory的偏移位置+數據目錄占用的字節(jié)數=節(jié)表起始位置；找到要添加的新節(jié)的文件偏移量6得到目前最后節(jié)表的末尾偏移7寫入節(jié)表三一、填空計算機病毒因某個事件或數值的出現，誘使病毒實施感染或進行攻擊的特性稱為可觸發(fā)性蠕蟲(Worm)是一種獨立的可執(zhí)行程序，主要由主程序和引導程序兩部分組成服務器端程序就是在用戶計算機種的木馬程序計算機病毒英文命名規(guī)則也就是國際上對病毒命名的一般慣例為“前綴+病毒名+后綴”，即三元組命名規(guī)則計算機病毒是一類特殊的程序，也有生命周期，分為開發(fā)期、傳染期、潛伏期、發(fā)作期、發(fā)現期、消化期、消亡期在學習、研究計算機病毒的過程中，在遵守相關法律法規(guī)的前提下，應嚴格遵守以下“八字原則”——自尊自愛、自強自律現代大容量硬盤一般采用LBA線性地址來尋址，以替代CHS尋址。高級格式化的目的是在分區(qū)內建立分區(qū)引導記錄DBR(DOSBootRecord)、文件分配表FAT(FileAllocationTable)、文件目錄表FDT(FileDirectoryTable)和數據區(qū)DATANTFS文件系統(tǒng)中，小文件和文件夾(典型的如1023字節(jié)或更少)將全部存儲在文件的MFT記錄里操作系統(tǒng)核心層運行在Ring0級，而Win32子系統(tǒng)運行在Ring3級，為運行的應用程序提供接口DOS可執(zhí)行文件，通常稱之為MZ文件內存中的動態(tài)病毒又有兩種狀態(tài)：可激活態(tài)和激活態(tài)。殺毒軟件可以將感染標志作為病毒的特征碼之一既感染引導扇區(qū)又感染文件是混合感染網絡蠕蟲最大特點是利用各種漏洞進行自動傳播木馬與合法遠程控制軟件(如pcAnyWhere)的主要區(qū)別在于是否具有隱蔽性、是否具有非授權性EPO即入口模糊技術，該技術改變了傳統(tǒng)的修改PE頭部的入口點、使其指向病毒代碼入口而使病毒代碼得以執(zhí)行的典型方法計算機病毒的防治技術分成四個方面病毒預防技術、病毒檢測技術、病毒消除技術、病毒免疫技術計算機病毒的預防措施可概括為兩點勤備份嚴防守利用病毒的特有行為特性監(jiān)測病毒的方法，稱為行為監(jiān)測法，也稱為人工智能陷阱法二、選擇題:

1.計算機病毒通常分為引導型,復合型和(B

)

A.外殼型

B.文件型

C.內碼型

D.操作系統(tǒng)型

2.不易被感染上病毒的文件是(C)

A.COM

B.EXE

C.TXT

D.BOOT

3.文件被感染上病毒之后,其基本特征是(C)

A.文件不能被執(zhí)行

B.文件長度變短

C.文件長度加長

D.文件照常能執(zhí)行4.病毒程序按其侵害對象不同分為______C______。A、外殼型、入侵型、原碼型和外殼型B、原碼型、外殼型、復合型和網絡病毒C、引導型、文件型、復合型D、良性型、惡性型、原碼型和外殼型5.(D)是計算機病毒

A.一段程序

B.一批數據

C.若干條指令

D.能在計算機運行時實施傳染和侵害的功能程序

6.關于計算機病毒,正確的說法是(C)

A.計算機病毒可以燒毀計算機的電子器件

B.計算機病毒是一種傳染力極強的生物細菌

C.計算機病毒是一種人為特制的具有破壞性的程序

D.計算機病毒一旦產生,便無法清除

7.計算機病毒具有隱蔽性,潛伏性,傳播性,激發(fā)性和(C)

A.惡作劇性

B.入侵性

C.破壞性和危害性

D.可擴散性8.我國政府頒布的《計算機信息系統(tǒng)安全保護條例》從何時開始實施?B

A.1986年10月

B.1994年2月18日

C.1991年10月

D.2000年5月23日

9.《計算機病毒防治管理辦法》頒布時間是()A

A.2000年5月23日

B.1994年2月18日C.

1986年10月

D.1993年10月10.文件型病毒感染的主要對象是____B____類文件。A、.TXT和.WPS;B、.COM和.EXE;C、.WPS和.EXE;D、.DBF和.COM三、判斷反病毒軟件預防措施和技術手段往往滯后于病毒的產生速度T對計算機病毒的分類研究，目的在于更好地描述、分析、理解計算機病毒的特性、危害、原理及其防治技術T病毒處于激活態(tài)時，不一定進行傳染和破壞；但進行傳染和破壞時，必然處于激活態(tài)T激活態(tài)的病毒一般不會自己轉變?yōu)槭Щ顟B(tài)，失活態(tài)的出現必定是有外在干預T在任何一個環(huán)節(jié)(階段)都可以抑制病毒的傳播、蔓延，或者清除病毒T我們應當盡可能地在病毒進行破壞性攻擊之前切斷病毒傳染源、抑制病毒的傳播蔓延T有的病毒有一個感染標志，又稱病毒簽名，但不是所有的病毒都有感染標志T不同病毒的感染標志的位置、內容都不同T.COM文件結構比較簡單，是一種單段執(zhí)行結構T.EXE文件采用多段結構T“Melissa網絡蠕蟲宏病毒”(Macro.Word97.Melissa)、“LoverLetter網絡蠕蟲病毒”(VBS.LoveLetter)等等，都是病毒，而不是蠕蟲。T以病毒命名的“沖擊波病毒”(Worm.MSBlast)，卻是典型的蠕蟲T四、名詞解釋PE文件PE的意思就是PortableExecutable(可移植、可執(zhí)行)，它是Win32可執(zhí)行文件的標準格式由于大量的EXE文件被執(zhí)行，且傳播的可能性最大，因此，Win32病毒感染文件時，基本上都會將EXE文件作為目標特洛伊木馬特洛伊木馬(TrojanHorse)，簡稱木馬，是一種惡意程序，是一種基于遠程控制的黑客工具，一旦侵入用戶的計算機，就悄悄地在宿主計算機上運行，在用戶毫無察覺的情況下，讓攻擊者獲得遠程訪問和控制系統(tǒng)的權限，進而在用戶的計算機中修改文件、修改注冊表、控制鼠標、監(jiān)視/控制鍵盤，或竊取用戶信息蠕蟲蠕蟲病毒是一種常見的計算機病毒。它是利用網絡進行復制和傳播，傳染途徑是通過網絡和電子郵件。最初的蠕蟲病毒定義是因為在DOS環(huán)境下，病毒發(fā)作時會在屏幕上出現一條類似蟲子的東西，胡亂吞吃屏幕上的字母并將其改形。蠕蟲病毒是自包含的程序（或是一套程序），它能傳播自身功能的拷貝或自身的某些部分到其他的計算機系統(tǒng)中（通常是經過網絡連接）。宏病毒 宏病毒是使用宏語言編寫的惡意程序，存在于字處理文檔、電子數據表格、數據庫、演示文檔等數據文件中，可以在一些數據處理系統(tǒng)(主要是微軟的Word、Excel、Access等Office軟件系統(tǒng))中運行，利用宏語言的功能將自己復制、繁殖到其他數據文檔中腳本病毒腳本病毒通常是JavaScript代碼編寫的惡意代碼，一般帶有廣告性質，會修改您的IE首頁、修改注冊表等信息，造成用戶使用計算機不方便。五、簡答1、病毒為什么要獲取API函數地址（1）Win32程序一般運行在Ring3級，處于保護模式（2）Win32下的系統(tǒng)功能調用，不是通過中斷實現，而是通過調用動態(tài)連接庫中的API函數實現（3）Win32PE病毒和普通Win32PE程序一樣需要調用API函數實現某些功能，但是對于Win32PE病毒來說，它只有代碼節(jié)，并不存在引入函數節(jié)，病毒就無法象普通PE程序那樣直接調用相關API函數，而應該先找出這些API函數在相應DLL中的地址2、文件操作相關API函數3、VBS腳本病毒具有如下弱點：1）絕大部分VBS腳本病毒運行的時候需要用到一個對象：FileSystemObject2）VBScript代碼是通過WindowsScriptHost來解釋執(zhí)行的。3）VBS腳本病毒的運行需要其關聯程序Wscript.exe的支持。4）通過網頁傳播的病毒需要ActiveX的支持5）通過Email傳播的病毒需要OE的自動發(fā)送郵件功能支持，但是絕大部分病毒都是以Email為主要傳播方式的。蠕蟲常用的掃描策略 現在流行的蠕蟲采用的傳播技術目標，一般是盡快地傳播到盡量多的計算機中掃描模塊采用的掃描策略是：隨機選取某一段IP地址，然后對這一地址段上的主機進行掃描沒有優(yōu)化的掃描程序可能會不斷重復上面這一過程，大量蠕蟲程序的掃描引起嚴重的網絡擁塞木馬的危害即木馬能實現的功能竊取數據接受非授權操作者的指令遠程管理服務端進程篡改文件和數據刪除文件和數據操縱注冊表監(jiān)視服務器的一切動作釋放病毒使系統(tǒng)自毀六．綜合問答題說明感染PE文件的基本步驟。(1)判斷目標文件開始的兩個字節(jié)是否為“MZ”；(2)判斷PE文件標記“PE”；(3)判斷感染標記，如果已被感染過則跳出繼續(xù)執(zhí)行HOST程序，否則繼續(xù)；(4)獲得Directory(數據目錄)的個數，每個數據目錄信息占8個字節(jié)；(5)得到節(jié)表起始位置：Directory的偏移地址+數據目錄占用的字節(jié)數=節(jié)表起始位置；(6)得到目前最后節(jié)表的末尾偏移(緊接其后用于寫入一個新的病毒節(jié))：(7)開始寫入節(jié)表四一、填空是否具有傳染性，是判別一個程序是否為計算機病毒的首要條件。計算機病毒因某個事件或數值的出現，誘使病毒實施感染或進行攻擊的特性稱為可觸發(fā)性蠕蟲(Worm)是一種獨立的可執(zhí)行程序，主要由主程序和引導程序兩部分組成一般的木馬都有客戶端和服務器端兩個程序計算機病毒英文命名規(guī)則也就是國際上對病毒命名的一般慣例為“前綴+病毒名+后綴”，即三元組命名規(guī)則計算機病毒總是想方設法竊取Ring0級的權限(如CIH病毒)，以實施更大范圍的破壞在Windows3.0/3.1的可執(zhí)行文件，在MZ文件頭之后又有一個以“NE”開始的文件頭，稱之為NE文件PE文件的真正內容劃分成塊，稱之為Section(節(jié))，緊跟在節(jié)表之后無論是文件型病毒還是引導型病毒，其感染過程總的來說是相似的，分為三步：進駐內存、判斷感染條件、實施感染宿主程序是病毒的棲身地，既是病毒傳播的目的地，又是下一次感染的出發(fā)點一個宿主程序上感染多種病毒，稱為交叉感染。滋生感染式病毒不改變被感染的文件，而是為被感染的文件創(chuàng)建一個伴隨文件.COM文件結構比較簡單，是一種單段執(zhí)行結構宏病毒存在于字處理文檔、電子數據表格、數據庫、演示文檔等數據文件中，可以在一些數據處理系統(tǒng)(主要是微軟的Word、Excel、Access等Office軟件系統(tǒng))中運行，利用宏語言的功能將自己復制、繁殖到其他數據文檔中蠕蟲的工作方式一般是“掃描→攻擊→復制”木馬獲得服務端的IP地址的方法主要有兩種：信息反饋和IP掃描當進程為真隱藏的時候，那么這個木馬服務器運行之后，就不應該具備一般進程的表現，也不應該具備服務的表現，也就是說，完全溶進了系統(tǒng)的內核。動態(tài)嵌入技術是指木馬將自己的代碼嵌入正在運行的進程中的技術。WindowsXP的Netstat工具提供了一個新的-o選項，能夠顯示出正在使用端口的程序或服務的進程標識符(PID)。對付多態(tài)病毒的最好辦法是某種形式的虛擬執(zhí)行技術，也就是仿真出一個80x86的CPU，讓解密代碼自己解密完成之后，再使用通常的特征碼識別法進行病毒檢測計算機病毒的防治技術分成四個方面病毒預防技術病毒檢測技術病毒消除技術病毒免疫技術利用病毒的特有行為特性監(jiān)測病毒的方法，稱為行為監(jiān)測法，也稱為人工智能陷阱法二、選擇題:

1.計算機病毒會造成計算機怎樣的損壞(A

)

A.硬件,軟件和數據

B.硬件和軟件

C.軟件和數據

D.硬件和數據

2.文件型病毒傳染的對象主要是什么類文件(

C

)

A..DBF

B..WPS

C..COM和.EXE

D..EXE和.WPS

3.關于計算機病毒的傳播途徑,不正確的說法是(

C

)

A.通過軟盤的復制

B.通過共用軟盤

C.通過共同存放軟盤

D.通過借用他人的軟盤

4.目前最好的防病毒軟件的作用是(

B

)

A.檢查計算機是否染有病毒,消除已感染的任何病毒

B.杜絕病毒對計算機的侵害

C.查出計算機已感染的任何病毒,消除其中的一部分

D.檢查計算機是否染有病毒,消除已感染的部分病毒

5.下面有關計算機病毒的說法正確的是(

A

)

A.計算機病毒是一個MIS程序

B.計算機病毒是對人體有害的傳染病

C.計算機病毒是通過自身傳染,起破壞作用的計算機程序

D.計算機病毒是一段程序,但對計算機無害

6.不易被感染上病毒的文件是(C)

A.COM

B.EXE

C.TXT

D.BOOT

7.文件被感染上病毒之后,其基本特征是(A)

A.文件不能被執(zhí)行

B.文件長度變短

C.文件長度加長

D.文件照常能執(zhí)行8.發(fā)現計算機感染病毒后，如下操作可用來清除病毒______A______。A.使用殺毒軟件;B.掃描磁盤C.整理磁盤碎片;D.重新啟動計算機9.復合型病毒是_______D_____。A、即感染引導扇區(qū)，又感染WORD文件B、即感染可執(zhí)行文件，又感染WORD文件,C、只感染可執(zhí)行文件;D、既感染引導扇區(qū)，又感染可執(zhí)行文件10.計算機病毒所沒有的特點是______D______。A.隱藏性;B.潛伏性;C.傳染性;D.廣泛性三、判斷“LoverLetter網絡蠕蟲病毒”(VBS.LoveLetter)等等，都是病毒，而不是蠕蟲。T反病毒軟件預防措施和技術手段往往滯后于病毒的產生速度T以病毒命名的“沖擊波病毒”(Worm.MSBlast)，卻是典型的蠕蟲T病毒處于激活態(tài)時，不一定進行傳染和破壞；但進行傳染和破壞時，必然處于激活態(tài)T在任何一個環(huán)節(jié)(階段)都可以抑制病毒的傳播、蔓延，或者清除病毒T我們應當盡可能地在病毒進行破壞性攻擊之前切斷病毒傳染源、抑制病毒的傳播蔓延T有的病毒有一個感染標志，又稱病毒簽名，但不是所有的病毒都有感染標志T不同病毒的感染標志的位置、內容都不同T.COM文件結構比較簡單，是一種單段執(zhí)行結構T.EXE文件采用多段結構T四、名詞解釋低級格式化低級格式化就是將空白的磁盤劃分出柱面和磁道，再將磁道劃分為若干個扇區(qū)，每個扇區(qū)又劃分出標識部分id、間隔區(qū)gap和數據區(qū)data等。可見，低級格式化是高級格式化之前的一件工作，而且低級格式化只能針對一塊硬盤而不能支持單獨的某一個分區(qū)。每塊硬盤在出廠時，已由硬盤生產商進行低級格式化，因此通常使用者無需再進行低級格式化操作。低級格式化是一種損耗性操作，其對硬盤壽命有一定的負面影響。PE文件特洛伊木馬特洛伊木馬在計算機領域中指的是一種后門程序是黑客用來盜取其他用戶的個人信息甚至是遠程控制對方的計算機而加殼制作然后通過各種手段傳播或者騙取目標用戶執(zhí)行該程序以達到盜取密碼等各種數據資料等目的與病毒相似木馬程序有很強的隱秘性隨操作系統(tǒng)啟動而啟動26.蠕蟲:蠕蟲病毒是一種常見的計算機病毒。它是利用網絡進行復制和傳播，傳染途徑是通過網絡和電子郵件.最初的蠕蟲病毒定義是因為在DOS環(huán)境下，病毒發(fā)作時會在屏幕上出現一條類似蟲子的東西，胡亂吞吃屏幕上的字母并將其改形。蠕蟲病毒是自包含的程序（或是一套程序），它能傳播自身功能的拷貝或自身的某些部分到其他的計算機系統(tǒng)中（通常是經過網絡連接）。宏病毒簡答1、簡要說明VBS腳本病毒的防范措施。1）禁用文件系統(tǒng)對象FileSystemObject方法：用regsvr32scrrun.dll/u這條命令就可以禁止文件系統(tǒng)對象。其中regsvr32是Windows\System下的可執(zhí)行文件?；蛘咧苯硬檎襰crrun.dll文件刪除或者改名。還有一種方法就是在注冊表中HKEY_CLASSES_ROOT\CLSID\下找到一個主鍵{0D43FE01-F093-11CF-8940-00A0C9054228}的項，咔嚓即可。2）卸載WindowsScriptingHost在Windows98中（NT4.0以上同理），打開［控制面板］→［添加/刪除程序］→［Windows安裝程序］→［附件］，取消“WindowsScriptingHost”一項。和上面的方法一樣，在注冊表中HKEY_CLASSES_ROOT\CLSID\下找到一個主鍵{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}的項，咔嚓。3）刪除VBS、VBE、JS、JSE文件后綴名與應用程序的映射點擊［我的電腦］→［查看］→［文件夾選項］→［文件類型］，然后刪除VBS、VBE、JS、JSE文件后綴名與應用程序的映射。4）在Windows目錄中，找到WScript.exe，更改名稱或者刪除，如果你覺得以后有機會用到的話，最好更改名稱好了，當然以后也可以重新裝上。5）要徹底防治VBS網絡蠕蟲病毒，還需設置一下你的瀏覽器。我們首先打開瀏覽器，單擊菜單欄里“Intern