病毒檢測技術(shù)復(fù)習(xí)題含答案

一、填空程序性決定了計算機病毒的可防治性、可清除性，反病毒技術(shù)就是要提前取得計算機系統(tǒng)的控制權(quán)，識別出計算機病毒的代碼和行為，阻止其取得系統(tǒng)控制權(quán)，并及時將其清除。是否具有傳染性，是判別一個程序是否為計算機病毒的首要條件。計算機病毒因某個事件或數(shù)值的出現(xiàn)，誘使病毒實施感染或進行攻擊的特性稱為可觸發(fā)性病毒程序嵌入到宿主程序中，依賴于宿主程序的執(zhí)行而生存，這就是計算機病毒的寄生性、病毒的最大特點是其傳染性，而傳染性的原因是其自身程序不斷復(fù)制的結(jié)果，即程序本身復(fù)制到其他程序中或簡單地在某一系統(tǒng)中不斷地復(fù)制自己計算機病毒按寄生對象分為引導(dǎo)型病毒文件型病毒混合型病毒蠕蟲(Worm)是一種獨立的可執(zhí)行程序，主要由主程序和引導(dǎo)程序兩部分組成蠕蟲程序的工作流程可以分為漏洞掃描、攻擊、傳染、現(xiàn)場處理四個階段特洛伊木馬(Trojanhouse,簡稱木馬)是指表面上是有用的軟件、實際目的卻是危害計算機安全并導(dǎo)致嚴重破壞的計算機程序，是一種在遠程計算機之間建立連接，使遠程計算機能通過網(wǎng)絡(luò)控制本地計算機的非法程序一般的木馬都有客戶端和服務(wù)器端兩個程序客戶端是用于攻擊者遠程控制已植入木馬的計算機的程序服務(wù)器端程序就是在用戶計算機中的木馬程序計算機病毒英文命名規(guī)則也就是國際上對病毒命名的一般慣例為 “前綴+病毒名+后綴”，即三元組命名規(guī)則計算機病毒的產(chǎn)生過程可分為：程序設(shè)計→傳播→潛伏→觸發(fā)、運行→實施攻擊計算機病毒是一類特殊的程序，也有生命周期開發(fā)期傳染期潛伏期發(fā)作期發(fā)現(xiàn)期消化期消亡期在學(xué)習(xí)、研究計算機病毒的過程中，在遵守相關(guān)法律法規(guī)的前提下，應(yīng)嚴格遵守以下“八字原則”——自尊自愛、自強自律BIOSINT13H調(diào)用是BIOS提供的磁盤基本輸入輸出中斷調(diào)用，它可以完成磁盤(包括硬盤和軟盤)的復(fù)位、讀寫、校驗、定位、診斷、格式化等功能，完全不用考慮被操作硬盤安裝的是什么操作系統(tǒng)現(xiàn)代大容量硬盤一般采用 LBA(LogicBlockAddress)線性地址來尋址，以替代CHS尋址。高級格式化的目的是在分區(qū)內(nèi)建立分區(qū)引導(dǎo)記錄 DBR(DoSBootReCord)、文件分配表FAT(FileAllocationTable)、文件目錄表FDT(FileDirectoryTable)和數(shù)據(jù)區(qū)DATA主引導(dǎo)記錄(MasterBootReCord，MBR)主分區(qū)表即磁盤分區(qū)表(DiskPartitionTable，DPT)引導(dǎo)扇區(qū)標記(BootReCordID/Signature)通過主引導(dǎo)記錄定義的硬盤分區(qū)表，最多只能描述4個分區(qū)FAT32最早是出于FAT16不支持大分區(qū)、單位簇容量大以至于空間急劇浪費等缺點設(shè)計的NTFS是一個比FAT更復(fù)雜的系統(tǒng)。在NTFS中，磁盤上的任何事物都為文件NTFS文件系統(tǒng)中，小文件和文件夾(典型的如1023字節(jié)或更少)將全部存儲在文件的MFT記錄里中斷(Interrupt)，就是CPU暫停當前程序的執(zhí)行，轉(zhuǎn)而執(zhí)行處理緊急事務(wù)的程序， 并在該事務(wù)處理完成后能自動恢復(fù)執(zhí)行原先程序的過程中斷向量表(InterruptVeCtOrS)是一個特殊的線性表，它保存著系統(tǒng)所有中斷服務(wù)程序的入口地址(偏移量和段地址)設(shè)計擴展INT13H接口的目的是為了擴展BIoS的功能，使其支持多于1024柱面的硬盤，以及可移動介質(zhì)的鎖定、解鎖及彈出等功能INT13H磁盤輸入輸出中斷，引導(dǎo)型病毒用于傳染病毒和格式化磁盤在保護模式下，所有的應(yīng)用程序都具有權(quán)限級別(PrivilegeLevel，PL)。PL按優(yōu)先次序分為四等：0級、1級、2級、3級，其中0級權(quán)限最高，3級最低，目前只用到Ring0和Ring3兩個級別31.操作系統(tǒng)核心層運行在Ring0級，而Win32子系統(tǒng)運行在Ring3級，為運行在Ring3級的應(yīng)用程序提供接口32.計算機病毒總是想方設(shè)法竊取Ring0的權(quán)限(如CIH病毒)，以實施更大范圍的破壞DoS可執(zhí)行文件以英文字母 “MZ開頭，通常稱之為MZ文件在Windows3.0/3.1的可執(zhí)行文件，在MZ文件頭之后又有一個以 “NE開始的文件頭，稱之為NE文件在Win32位平臺可執(zhí)行文件格式：可移植的可執(zhí)行文件(PortableExecutableFile)格式，即PE格式。MZ文件頭之后是一個以 “PE開始的文件頭PE的意思就是PortableEXeCUtable(可移植、可執(zhí)行)，它是Win32可執(zhí)行文件的標準格式PE文件的真正內(nèi)容劃分成塊，稱之為SeCtiOn(節(jié))，緊跟在節(jié)表之后引入函數(shù)節(jié).idata引入函數(shù)節(jié)可能被病毒用來直接獲取API函數(shù)地址引出函數(shù)節(jié)是本文件向其他程序提供的可調(diào)用函數(shù)列表這個節(jié)一般用在 DLL中，EXE文件中也可以有這個節(jié)，但通常很少使用計算機病毒在傳播過程中存在兩種狀態(tài)，即靜態(tài)和動態(tài)內(nèi)存中的動態(tài)病毒又有兩種狀態(tài)：可激活態(tài)和激活態(tài)。計算機病毒要完成一次完整的傳播破壞過程，必須經(jīng)過以下幾個環(huán)節(jié)：分發(fā)拷貝階段潛伏繁殖階段破壞表現(xiàn)階段殺毒軟件可以將感染標志作為病毒的特征碼之一可以利用病毒根據(jù)感染標志是否進行感染這一特性，人為地、主動在文件中添加感染標志，從而在某種程度上達到病毒免疫的目的無論是文件型病毒還是引導(dǎo)型病毒，其感染過程總的來說是相似的，分為三步：進駐內(nèi)存、判斷感染條件、實施感染病毒攻擊的宿主程序是病毒的棲身地，宿主程序既是病毒傳播的目的地，又是下一次感染的出發(fā)點計算機病毒感染的過程一般有三步： (1)當宿主程序運行時，截取控制權(quán)； (2)尋找感染的突破口；(3)將病毒代碼放入宿主程序既感染引導(dǎo)扇區(qū)又感染文件是混合感染一個宿主程序上感染多種病毒，稱為交叉感染。無入口點病毒并不是真正沒有入口點， 而是采用入口點模糊(EntryPointObscuring,EPO)技術(shù)，即病毒在不修改宿主原入口點的前提下，通過在宿主代碼體內(nèi)某處插入跳轉(zhuǎn)指令來使病毒獲得控制權(quán)滋生感染式病毒又稱作伴侶病毒或伴隨型病毒滋生感染式病毒病毒不改變被感染的文件,而是為被感染的文件創(chuàng)建一個伴隨文件病毒在感染時,完全不改動宿主程序本體,而是改動或利用與宿主程序相關(guān)的信息,將病毒程序與宿主程序鏈成一體,這種感染方式稱作鏈式感染(LinkInfeCtion).COM文件結(jié)構(gòu)比較簡單,是一種單段執(zhí)行結(jié)構(gòu)內(nèi)存映射文件提供了一組獨立的函數(shù),是應(yīng)用程序能夠通過內(nèi)存指針像訪問內(nèi)存一樣對磁盤上的文件進行訪問WSH是WindowsSCriptingHost(Windows腳本宿主)的縮略形式,是一個基于32位Windows平臺、并獨立于語言的腳本運行環(huán)境,是一種批次語言 /自動執(zhí)行工具宏病毒是使用宏語言編寫的惡意程序,存在于字處理文檔、電子數(shù)據(jù)表格、數(shù)據(jù)庫、演示文檔等數(shù)據(jù)文件中，可以在一些數(shù)據(jù)處理系統(tǒng) (主要是微軟的Word、Excel、ACCeSS等OffiCe軟件系統(tǒng))中運行,利用宏語言的功能將自己復(fù)制、繁殖到其他數(shù)據(jù)文檔中蠕蟲主要是利用計算機系統(tǒng)漏洞(Vulnerability)進行傳染,搜索到網(wǎng)絡(luò)中存在漏洞的計算機后

主動進行攻擊，在傳染的過程中，與計算機操作者是否進行操作無關(guān)，從而與使用者的計算機知識水平無關(guān)根據(jù)蠕蟲的傳播、運作方式，可以將蠕蟲分為兩類主機蠕蟲網(wǎng)絡(luò)蠕蟲網(wǎng)絡(luò)蠕蟲最大特點是利用各種漏洞進行自動傳播61?蠕蟲的工作方式一般是 掃描→攻擊→復(fù)制”特洛伊木馬(TrojanHorSe),簡稱木馬，是一種惡意程序，是一種基于遠程控制的黑客工具，一旦侵入用戶的計算機，就悄悄地在宿主計算機上運行，在用戶毫無察覺的情況下，讓攻擊者獲得遠程訪問和控制系統(tǒng)的權(quán)限，進而在用戶的計算機中修改文件、修改注冊表、控制鼠標、監(jiān)視/控制鍵盤，或竊取用戶信息木馬與合法遠程控制軟件(如PCAnyWhere)的主要區(qū)別在于是否具有隱蔽性、 是否具有非授權(quán)性木馬系統(tǒng)軟件一般由木馬配置程序、控制程序和木馬程序 (服務(wù)器程序)三部分組成木馬獲得服務(wù)端的IP地址的方法主要有兩種：信息反饋和IP掃描當進程為真隱藏的時候，那么這個木馬服務(wù)器運行之后，就不應(yīng)該具備一般進程的表現(xiàn)，也不應(yīng)該具備服務(wù)的表現(xiàn)，也就是說，完全溶進了系統(tǒng)的內(nèi)核動態(tài)嵌入技術(shù)是指木馬將自己的代碼嵌入正在運行的進程中的技術(shù)。WindowSXP的NetStat工具提供了一個新的-o選項，能夠顯示出正在使用端口的程序或服務(wù)的進程標識符(PID)。當進程為真隱藏的時候，那么這個木馬服務(wù)器運行之后，就不應(yīng)該具備一般進程的表現(xiàn)，也不應(yīng)該具備服務(wù)的表現(xiàn)，EPO是EntryPointObSCuring技術(shù)的簡寫，意即入口模糊技術(shù)，該技術(shù)改變了傳統(tǒng)的修改PE頭部的入口點、使其指向病毒代碼入口而使病毒代碼得以執(zhí)行的典型方法對付多態(tài)病毒的最好辦法是某種形式的虛擬執(zhí)行技術(shù)，也就是仿真出一個 80x86的CPU,讓解密代碼自己解密完成之后，再使用通常的特征碼識別法進行病毒檢測計算機病毒的防治技術(shù)分成四個方面病毒預(yù)防技術(shù)病毒檢測技術(shù)病毒消除技術(shù)病毒免疫技術(shù)計算機病毒的預(yù)防措施可概括為兩點勤備份嚴防守比較法是用原始的正常備份與被檢測的內(nèi)容(引導(dǎo)扇區(qū)或被檢測的文件 )進行比較長度比較法內(nèi)容比較法內(nèi)存比較法中斷比較法利用病毒的特有行為特性監(jiān)測病毒的方法,稱為行為監(jiān)測法,也稱為人工智能陷阱法軟件模擬(SoftwareEmulation)法(即后文中將詳細介紹的虛擬機對抗病毒技術(shù) ),是一種軟件分析器,用軟件方法來模擬和分析程序的運行：模擬CPU執(zhí)行,在其設(shè)計的虛擬機器(VirtualMaChine)下假執(zhí)行病毒的變體引擎解碼程序,安全并確實地將多態(tài)病毒解開,使其顯露真實面目,再加以掃描設(shè)計虛擬機查毒的目的是為了對抗加密變形病毒二、選擇題:1.計算機病毒會造成計算機怎樣的損壞 (A)A.硬件A.硬件,軟件和數(shù)據(jù)B.硬件和軟件C.軟件和數(shù)據(jù)C.軟件和數(shù)據(jù)D.硬件和數(shù)據(jù)2.某片軟盤上已染有病毒,2.某片軟盤上已染有病毒,為防止該病毒傳染計算機系統(tǒng),正確的措施是(D)B.B.給該軟盤加上寫保護D.將軟盤重新格式化B.在寫保護缺口貼上膠條刪除該軟盤上所有程序C.將該軟盤放一段時間后再用3.防止軟盤感染病毒的方法用 (D)不要把軟盤和有毒的軟盤放在一起C.保持機房清潔 D.定期對軟盤格式化發(fā)現(xiàn)計算機病毒后,比較徹底的清除方式是(D)用查毒軟件處理 B.刪除磁盤文件C.用殺毒軟件處理 D.格式化磁盤計算機病毒通常是(A)A.—段程序 B.一個命令 C.一個文件 D.一個標記文件型病毒傳染的對象主要是什么類文件 (C).DBFB..WPSC..COM和.EXED..EXE和.WPS關(guān)于計算機病毒的傳播途徑,不正確的說法是(C)通過軟盤的復(fù)制 B.通過共用軟盤C.通過共同存放軟盤 D.通過借用他人的軟盤目前最好的防病毒軟件的作用是(D)檢查計算機是否染有病毒,消除已感染的任何病毒B.杜絕病毒對計算機的侵害查出計算機已感染的任何病毒，消除其中的一部分檢查計算機是否染有病毒，消除已感染的部分病毒公安部開發(fā)的SCAN軟件是用于計算的(A)病毒檢查 B.病毒分析和統(tǒng)計C.病毒防疫 D.病毒示范防病毒卡能夠(A)自動發(fā)現(xiàn)病毒入侵的跡象并提醒操作者或及時阻止病毒的入侵杜絕病毒對計算的侵害自動發(fā)現(xiàn)并阻止任何病毒的入侵自動消除已感染的所有病毒計算機病毒是可以造成機器故障的(D)—種計算機設(shè)備 B.一塊計算機芯片C.一種計算機部件 D.一種計算機程序若一張軟盤封住了寫保護口，則(D)既向處傳染病毒又會感染病毒即不會向處傳染病毒，也不會感染病毒不會傳染病毒，但會感染病毒不會感染病毒，但會傳染病毒防止計算機傳染病毒的方法是(A)不使用有病毒的盤片 B.不讓有傳染病的人操作C.提高計算機電源穩(wěn)定性 D.聯(lián)機操作計算機病毒的危害性表現(xiàn)在(B)能造成計算機器件永久性失效影響程序的執(zhí)行破壞用戶數(shù)據(jù)與程序不影響計算機的運行速度不影響計算機的運算結(jié)果，不必采取措施15.下面有關(guān)計算機病毒的說法正確的是(C)計算機病毒是一個MIS程序計算機病毒是對人體有害的傳染病計算機病毒是一個能夠通過自身傳染 ，起破壞作用的計算機程序計算機病毒是一段程序，但對計算機無害計算機病毒(D)不影響計算機的運行速度C.不影響計算機的運算結(jié)果計算機病毒對于操作計算機的人能造成計算機器件的永久性失效影響程序的執(zhí)行破壞用戶數(shù)據(jù)與程序(C)A.只會感染，不會致病 B.會感染致病不會感染 D.傳染性，隱蔽性和危害性計算機病毒是一組計算機程序，它具有(D_)A.傳染性 B.隱蔽性 C.危害性D.傳染性,隱蔽性和危害性計算機病毒造成的損壞主要是(C)A.文字處理和數(shù)據(jù)庫管理軟件 B.操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)C.程序和數(shù)據(jù) D.系統(tǒng)軟件和應(yīng)用軟件以下措施不能防止計算機病毒的是(A)軟盤未貼寫保護先用殺病毒軟件將從別人機器上拷來的文件清查病毒不用來歷不明的磁盤經(jīng)常關(guān)注防病毒軟件的版本升級情況，并盡量取得最高版本的防毒軟件計算機病毒具有(A)傳播性，潛伏性,破壞性傳播性,破壞性,易讀性潛伏性,破壞性,易讀性傳播性，潛伏性，安全性計算機病毒是一種(D)A.機器部件 B.計算機文件C.微生物"病原體" D.程序計算機病毒通常分為引導(dǎo)型,復(fù)合型和(B)A.外殼型B.文件型C.內(nèi)碼型 D.操作系統(tǒng)型計算機病毒造成的損壞主要是(D)A.磁盤B.磁盤驅(qū)動器C.磁盤和其中的程序及數(shù)據(jù)D.程序和數(shù)據(jù)公安部開發(fā)的KILL軟件是用于計算機的(A)A.病毒檢查和消除 B.病毒分析和統(tǒng)計C.病毒防疫 D.病毒防范不易被感染上病毒的文件是(C)A.COMB.EXEC.TXTD.BOOT文件被感染上病毒之后,其基本特征是(C)A.文件不能被執(zhí)行 B.文件長度變短文件長度加長 D.文件照常能執(zhí)行28.病毒程序按其侵害對象不同分為 C 。A、 外殼型、入侵型、原碼型和外殼型B、 原碼型、外殼型、復(fù)合型和網(wǎng)絡(luò)病毒C、 引導(dǎo)型、文件型、復(fù)合型和網(wǎng)絡(luò)病毒D、 良性型、惡性型、原碼型和外殼型計算機機房安全等級分為A,B,C三級,其中C級的要求是(C)A.計算機實體能運行 B.計算機設(shè)備能安放 C.有計算機操作人員確保系統(tǒng)作一般運行時要求的最低限度安全性 ，可靠性所應(yīng)實施的內(nèi)容(C)是在計算機信息處理和輿過程中唯一切實可行的安全技術(shù)A.無線通信技術(shù) B.專門的網(wǎng)絡(luò)輿技術(shù)密碼技術(shù) D.校驗技術(shù)(A)是計算機病毒A.—段程序B.一批數(shù)據(jù)C.若干條指令能在計算機運行時實施傳染和侵害的功能程序

32.關(guān)于計算機病毒,正確的說法是(C)A.計算機病毒可以燒毀計算機的電子器件計算機病毒是一種傳染力極強的生物細菌計算機病毒是一種人為特制的具有破壞性的程序計算機病毒一旦產(chǎn)生,便無法清除33.計算機病毒會造成(C)A.CPU的燒毀B.磁盤驅(qū)動器的損壞C.程序和數(shù)據(jù)的破壞 D.磁盤的損壞我國政府頒布的《計算機軟件保護條例》從何時開始實施 ?CA.1986年10月B.1990年6月C.1991年10月D.1993年10月《計算機軟件保護條例》中所稱的計算機軟件 (簡稱軟件)是指(D)A.計算機程序B.源程序和目標程序C.源程序36.微機病毒系指(D)A.生物病毒感染D.計算機程序及其有關(guān)文檔B.細菌感染C.被損壞的程序D.特制的具有破壞性的小程序在下列計算機安全防護措施中 ，(C)是最重要的提高管理水平和技術(shù)水平提高硬件設(shè)備運行的可靠性預(yù)防計算機病毒的傳染和傳播D.盡量防止自然因素的損害計算機犯罪是一個(B)問題.A.技術(shù)問題 B.法律范疇的問題C.政治問題 D.經(jīng)濟問題TOC\o"1-5"\h\z計算機病毒的主要特征是 (D)A.只會感染不會致病 B.造成計算機器件永久失效C.格式化磁盤 D.傳染性，隱蔽性,破壞性和潛伏性防止軟盤感染病毒的有效方法是 (C)A.定期用藥物給機器消毒 B.加上寫保護C.定期對軟盤進行格式化 D.把有毒盤銷毀目前使用的防殺病毒軟件的作用是 (C)檢查計算機是否感染病毒，消除已感染的任何病毒杜絕病毒對計算機的侵害檢查計算機是否感染病毒，清除部分已感染的病毒查出已感染的任何病毒,清除部分已感染的病毒下面列出的計算機病毒傳播途徑 ，不正確的說法是(D)A.使用來路不明的軟件 B.通過借用他人的軟盤C.通過非法的軟件拷貝 D.通過把多張軟盤疊放在一起計算機病毒具有隱蔽性，潛伏性，傳播性，激發(fā)性和(C)A.惡作劇性 B.入侵性C.破壞性和危害性 D.可擴散性不是微機之間病毒傳播的媒介的是 B A、硬盤B、鼠標C、軟盤D、光盤常見計算機病毒的特點有 D 。A.只讀性、趣味性、隱蔽性和傳染性良性、惡性、明顯性和周期性周期性、隱蔽性、復(fù)發(fā)性和良性隱蔽性、潛伏性、傳染性和破壞性對已感染病毒的磁盤 B 。A.用酒精消毒后可繼續(xù)使用;用殺毒軟件殺毒后可繼續(xù)使用,C.可直接使用，對系統(tǒng)無任何影響;不能使用只能丟掉發(fā)現(xiàn)計算機感染病毒后，如下操作可用來清除病毒 A 。A.使用殺毒軟件；B.掃描磁盤C.整理磁盤碎片；D.重新啟動計算機防止病毒入侵計算機系統(tǒng)的原則是D 。A.對所有文件設(shè)置只讀屬性；B.定期對系統(tǒng)進行病毒檢查,安裝病毒免疫卡；堅持以預(yù)防為主，堵塞病毒的傳播渠道TOC\o"1-5"\h\z復(fù)合型病毒是 D 。A、即感染引導(dǎo)扇區(qū)，又感染W(wǎng)oRD文件B、即感染可執(zhí)行文件，又感染W(wǎng)oRD文件,C、只感染可執(zhí)行文件； D、既感染引導(dǎo)扇區(qū)，又感染可執(zhí)行文件計算機病毒的防治方針是 A 。A.堅持以預(yù)防為主；B.發(fā)現(xiàn)病毒后將其清除C.經(jīng)常整理硬盤；D.經(jīng)常清洗軟驅(qū)計算機病毒的最終目標在于 A 。A.干擾和破壞系統(tǒng)的軟、硬件資源； B.豐富原有系統(tǒng)的軟件資源，C.傳播計算機病毒； D.寄生在計算機中計算機病毒所沒有的特點是 D 。A.隱藏性；B.潛伏性；C.傳染性；D.廣泛性計算機病毒在發(fā)作前，它 C 。A、很容易發(fā)現(xiàn)；B、沒有現(xiàn)象；C、較難發(fā)現(xiàn)；D、不能發(fā)現(xiàn)若出現(xiàn)下列現(xiàn)象 C 時，應(yīng)首先考慮計算機感染了病毒。A、不能讀取光盤； B、寫軟盤時，報告磁盤已滿C、程序運行速度明顯變慢； D、開機啟動Windows98時，先掃描硬盤。微機感染病毒后，可能造成 A 。A、引導(dǎo)扇區(qū)數(shù)據(jù)損壞；B、鼠標損壞；C、內(nèi)存條物理損壞；D、顯示器損壞為了預(yù)防計算機病毒，對于外來磁盤應(yīng)采取 B 。A、禁止使用；B、先查毒，后使用；C、使用后，就殺毒；D、隨便使用未格式化的新軟盤， A 計算機病毒。A、可能會有；B、與帶毒軟盤放在一起會有C、一定沒有；D、拿過帶毒盤的手，再拿該盤后會有文件型病毒感染的主要對象是 B 類文件。A、.TXT和.WPS；B、.COM和.EXE；C、.WPS和.EXE；D、.DBF和.COM下列操作中， B 不可能清除文件型計算機病毒。A、 刪除感染計算機病毒的文件；B、 將感染計算機病毒的文件更名C、 格式化感染計算機病毒的磁盤;D、 用殺毒軟件進行清除下列關(guān)于計算機病毒的說法正確的是 B 。A.計算機病毒不能發(fā)現(xiàn)； B.計算機病毒能自我復(fù)制，C.計算機病毒會感染計算機用戶； D.計算機病毒是一種危害計算機的生物病毒下列設(shè)備中，能在微機之間傳播病毒的是 C 。A.掃描儀；B.鼠標；C.光盤；D.鍵盤下列現(xiàn)象中的 C 時，不應(yīng)首先考慮計算機感染了病毒。A、磁盤卷標名發(fā)生變化； B、以前能正常運行的程序突然不能運行了C、鼠標操作不靈活； D、可用的內(nèi)存空間無故變小了三、判斷(5,8錯誤其余全對)TOC\o"1-5"\h\z反病毒軟件預(yù)防措施和技術(shù)手段往往滯后于病毒的產(chǎn)生速度 T對計算機病毒的分類研究，目的在于更好地描述、分析、理解計算機病毒的特性、危害、原理及其防治技術(shù)T病毒處于激活態(tài)時，不一定進行傳染和破壞；但進行傳染和破壞時，必然處于激活態(tài) T激活態(tài)的病毒一般不會自己轉(zhuǎn)變?yōu)槭Щ顟B(tài)，失活態(tài)的出現(xiàn)必定是有外在干預(yù) T在任何一個環(huán)節(jié)(階段)都可以抑制病毒的傳播、蔓延，或者清除病毒 錯誤F我們應(yīng)當盡可能地在病毒進行破壞性攻擊之前切斷病毒傳染源、抑制病毒的傳播蔓延 T有的病毒有一個感染標志，又稱病毒簽名，但不是所有的病毒都有感染標志 T不同病毒的感染標志的位置、內(nèi)容都不同錯誤F.COM文件結(jié)構(gòu)比較簡單，是一種單段執(zhí)行結(jié)構(gòu)T.EXE文件采用多段結(jié)構(gòu)T“MeIiSSC網(wǎng)絡(luò)蠕蟲宏病毒”(MaCro.Word97.Melissa)T“LoverLettel網(wǎng)絡(luò)蠕蟲病毒”(VBS.LoveLetter等等，都是病毒，而不是蠕蟲。 T以病毒命名的沖擊波病毒”(WormNSBIast),卻是典型的蠕蟲T四、 名詞解釋1.PE文件防火墻特洛伊木馬宏病毒低級格式化蠕蟲腳本病毒五、 簡答1、 病毒采用的觸發(fā)條件主要有以下幾種？2、 病毒為什么需要重定位？3、 引導(dǎo)型病毒的判斷與清除？4、 為什么要獲取API函數(shù)地址5、 如何獲取API函數(shù)地址6、 病毒感染PE文件的基本方法7、 文件操作相關(guān)API函數(shù)8、 VBS腳本病毒的特點9、 VBS腳本病毒的弱點9、 VBS腳本病毒如何防范？10、 宏病毒的傳播方式11、 宏病毒采用哪些傳播方式？12、 如何防治和清除宏病毒？13、 簡要描述CIH病毒的觸發(fā)機制、感染機制。14、 如何讓系統(tǒng)對CIH病毒具有免疫能力？15、 試述蠕蟲與病毒的差別和聯(lián)系16、 在你看來，Nimda是病毒還是蠕蟲？為什么？17、 蠕蟲傳播過程中，如何優(yōu)化搜索目標主機的策略？18、 蠕蟲的檢測與清除19、 蠕蟲常用的掃描策略20、 木馬的基本原理21、 特洛伊木馬的傳播方式木馬常用的傳播方式，有幾種？22、 木馬的危害木馬能實現(xiàn)的功能有哪些？23、 木馬的啟動方式有哪些？24、 病毒的共同行為？25、 發(fā)現(xiàn)病毒后，清除病毒的一般步驟？26、 簡述計算機病毒的定義和特點？27、 簡述PE病毒的感染過程是怎樣的？28、 說明宏病毒的傳播方式（Word為例）？29、 說明文件型病毒的感染機理？30、 請說明蠕蟲的行為特征。31、 請簡要說明引導(dǎo)型病毒的啟動過程（可畫流程圖）？32、 請說明VBS腳本病毒的特點。33、 計算機病毒有哪些傳播途徑？34、 為什么同一個病毒會有多個不同的名稱？35、 如何理解木馬與病毒的關(guān)系？36、 蠕蟲與病毒之間的區(qū)別及聯(lián)系。37、 計算機病毒一般采用哪些條件作為觸發(fā)條件？六?綜合問答題1、 檢測計算機病毒的主要方法有哪些？并詳細說明。2、 寫出并分析說明文件操作相關(guān) APl函數(shù)。3、 腳本病毒有哪些弱點？有哪些防范措施？4、 說明感染PE文件的基本步驟。5、 分析解釋并說明木馬的基本原理。6、 說明啟發(fā)式掃描技術(shù)的基本思想。參考復(fù)習(xí)題，基本覆蓋了教材和課件中的重要知識點， 請認真復(fù)習(xí)教材和課件，也可以借助于百度等搜索工具復(fù)習(xí)。、填空（30分）程序性決定了計算機病毒的可防治性、可清除性， 反病毒技術(shù)就是要提前取得計算機系統(tǒng)的控制權(quán)，識別出計算機病毒的代碼和行為，阻止其取得系統(tǒng)控制權(quán)，并及時將其清除。特洛伊木馬是指表面上是有用的軟件、實際目的卻是危害計算機安全并導(dǎo)致嚴重破壞的計算機程序，是一種在遠程計算機之間建立連接，使遠程計算機能通過網(wǎng)絡(luò)控制本地計算機的非法程序?？蛻舳耸怯糜诠粽哌h程控制已植入木馬的計算機的程序。計算機病毒英文命名規(guī)則也就是國際上對病毒命名的一般慣例為 前綴+病毒名+后綴”即三元組命名規(guī)則在學(xué)習(xí)、研究計算機病毒的過程中， 在遵守相關(guān)法律法規(guī)的前提下，應(yīng)嚴格遵守以下 八字原貝『一一尊自愛、自強自律中斷向量表（InterruptVectors）是一個特殊的線性表，它保存著系統(tǒng)所有中斷服務(wù)程序的入口地址(偏移量和段地址)引出函數(shù)節(jié)是本文件向其他程序提供的可調(diào)用函數(shù)列表這個節(jié)一般用在DLL中，EXE文件中也可以有這個節(jié)，但通常很少使用殺毒軟件可以將感染標志作為病毒的特征碼之一無論是文件型病毒還是引導(dǎo)型病毒，其感染過程總的來說是相似的，分為三步：進駐內(nèi)存、判斷感染條件、實施感染87.無入口點病毒并不是真正沒有入口點，而是采用入口點模糊(EntryPointObscuring，EPO)技術(shù)，即病毒在不修改宿主原入口點的前提下，通過在宿主代碼體內(nèi)某處插入跳轉(zhuǎn)指令來使病毒獲得控制權(quán)滋生感染式病毒又稱作伴侶病毒或伴隨型病毒內(nèi)存映射文件提供了一組獨立的函數(shù)，是應(yīng)用程序能夠通過內(nèi)存指針像訪問內(nèi)存一樣對磁盤上的文件進行訪問90.WSH是Windows腳本宿主的縮略形式,是一個基于32位Windows平臺、并獨立于語言的腳本運行環(huán)境，是一種批次語言/自動執(zhí)行工具動態(tài)嵌入技術(shù)是指木馬將自己的代碼嵌入正在運行的進程中的技術(shù)。計算機病毒的預(yù)防措施可概括為兩點勤備份嚴防守比較法是用原始的正常備份與被檢測的內(nèi)容 (引導(dǎo)扇區(qū)或被檢測的文件)進行比較長度比較法內(nèi)容比較法內(nèi)存比較法中斷比較法利用病毒的特有行為特性監(jiān)測病毒的方法，稱為行為監(jiān)測法，也稱為人工智能陷阱法二、選擇題(10)計算機病毒會造成計算機怎樣的損壞(A)A.硬件,軟件和數(shù)據(jù)B.硬件和軟件C.軟件和數(shù)據(jù)D.硬件和數(shù)據(jù)某片軟盤上已染有病毒,為防止該病毒傳染計算機系統(tǒng),正確的措施是(D)A.刪除該軟盤上所有程序 B.給該軟盤加上寫保護C.將該軟盤放一段時間后再用D.將軟盤重新格式化防止軟盤感染病毒的方法用(B)A.不要把軟盤和有毒的軟盤放在一起 B.在寫保護缺口貼上膠條C.保持機房清潔D.定期對軟盤格式化4.發(fā)現(xiàn)計算機病毒后，比較徹底的清除方式是(D)A.用查毒軟件處理B.刪除磁盤文件C.用殺毒軟件處理 D.格式化磁盤5.計算機病毒通常是(A)A.一段程序 B.一個命令C.一個文件D.一個標記6.文件型病毒傳染的對象主要是什么類文件(C)A..DBFB..WPSC..COM和.EXED..EXE和.WPS關(guān)于計算機病毒的傳播途徑 ,不正確的說法是(C)A.通過軟盤的復(fù)制 B.通過共用軟盤 C.通過共同存放軟盤 D.通過借用他人的軟盤目前最好的防病毒軟件的作用是 (A)A.檢查計算機是否染有病毒，消除已感染的任何病毒 B.杜絕病毒對計算機的侵害C.查出計算機已感染的任何病毒 ，消除其中的一部分 D.檢查計算機是否染有病毒，消除已感染的部分病毒計算機病毒是可以造成機器故障的 (D)A.—種計算機設(shè)備 B.一塊計算機芯片 C.一種計算機部件 D.一種計算機程序若一張軟盤封住了寫保護口 ，則(D)A.既向外傳染病毒又會感染病毒 B.即不會向外傳染病毒，也不會感染病毒C.不會傳染病毒，但會感染病毒 D.不會感染病毒，但會傳染病毒三、判斷(10分)TOC\o"1-5"\h\z反病毒軟件預(yù)防措施和技術(shù)手段往往滯后于病毒的產(chǎn)生速度 T對計算機病毒的分類研究，目的在于更好地描述、分析、理解計算機病毒的特性、危害、原理及其防治技術(shù)T病毒處于激活態(tài)時，不一定進行傳染和破壞；但進行傳染和破壞時，必然處于激活態(tài) T激活態(tài)的病毒一般不會自己轉(zhuǎn)變?yōu)槭Щ顟B(tài)，失活態(tài)的出現(xiàn)必定是有外在干預(yù) T在任何一個環(huán)節(jié)（階段）都可以抑制病毒的傳播、蔓延，或者清除病毒 T我們應(yīng)當盡可能地在病毒進行破壞性攻擊之前切斷病毒傳染源、抑制病毒的傳播蔓延 T在任何一個環(huán)節(jié)（階段）都可以抑制病毒的傳播、蔓延，或者清除病毒 T不同病毒的感染標志的位置、內(nèi)容都不同 T.COM文件結(jié)構(gòu)比較簡單，是一種單段執(zhí)行結(jié)構(gòu) T.EXE文件采用多段結(jié)構(gòu)T四、名詞解釋（15分）PE文件---PE的意思就是PortabIeEXeCUtable（可移植、可執(zhí)行）,它是Win32可執(zhí)行文件的標準格式防火墻---它是一種位于內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)安全系統(tǒng)。一項 信息安全的防護系統(tǒng)，依照特定的規(guī)則，允許或是限制傳輸?shù)臄?shù)據(jù)通過。特洛伊木馬----特洛伊木馬（TrOjanHOrSe）,簡稱木馬，是一種惡意程序，是一種基于遠程控制的黑客工具，一旦侵入用戶的計算機，就悄悄地在宿主計算機上運行，在用戶毫無察覺的情況下，讓攻擊者獲得遠程訪問和控制系統(tǒng)的權(quán)限，進而在用戶的計算機中修改文件、修改注冊表、控制鼠標、監(jiān)視 /控制鍵盤，或竊取用戶信息蠕蟲-----蠕蟲主要是利用計算機系統(tǒng)漏洞 （VUInerability）進行傳染，搜索到網(wǎng)絡(luò)中存在漏洞的計算機后主動進行攻擊，在傳染的過程中，與計算機操作者是否進行操作無關(guān)，從而與使用者的計算機知識水平無關(guān)宏病毒---宏病毒是使用宏語言編寫的惡意程序，存在于字處理文檔、電子數(shù)據(jù)表格、數(shù)據(jù)庫、演示文檔等數(shù)據(jù)文件中，可以在一些數(shù)據(jù)處理系統(tǒng) （主要是微軟的Word、Excel、ACCeSS等OfiCe軟件系統(tǒng)）中運行，禾U用宏語言的功能將自己復(fù)制、繁殖到其他數(shù)據(jù)文檔中五、簡答（25分）1、病毒采用的觸發(fā)條件主要有幾種？至少說出五種。2、病毒為什么需要重定位？病毒不可避免也要用到變量（常量）,當病毒感染HOST程序后，由于其依附到不冋HoST程序中的位置各有不冋，病毒隨著HOST載入內(nèi)存后，病毒中的各個變量（常量）在內(nèi)存中的位置自然也會隨著發(fā)生變化3、說明引導(dǎo)型病毒的判斷與清除。 （1）由于引導(dǎo)程序本身完成的功能比較簡單，所以我們可以判斷該引導(dǎo)程序的合法性（看JMP指令的合法性）（2）病毒駐留在內(nèi)存，時刻監(jiān)視系統(tǒng)的運行，伺機感染?？s小內(nèi)存大小值，影響讀寫文件速度。檢查引導(dǎo)扇區(qū)、檢查內(nèi)存容量可以發(fā)現(xiàn)病毒4、為什么要獲取APl函數(shù)地址？（1）Win32程序一般運行在Ring3級，處于保護模式（2） Win32下的系統(tǒng)功能調(diào)用，不是通過中斷實現(xiàn)，而是通過調(diào)用動態(tài)連接庫中的API函數(shù)實現(xiàn)（3） Win32PE病毒和普通Win32PE程序一樣需要調(diào)用API函數(shù)實現(xiàn)某些功能，但是對于 Win32PE病毒來說，它只有代碼節(jié)，并不存在引入函數(shù)節(jié)病毒就無法象普通PE程序那樣直接調(diào)用相關(guān)API函數(shù)，而應(yīng)該先找出這些API函數(shù)在相應(yīng)DLL中的地址5、 說明文件操作相關(guān)API函數(shù)有哪些？綜合題（10分）結(jié)合自己的理解說明啟發(fā)式掃描技術(shù)的基本思想。啟發(fā)式掃描技術(shù)，實際上就是把這種經(jīng)驗和知識移植到一個查 病毒軟件中的具體程序體現(xiàn)。因此，在這里,啟發(fā)式指的自我發(fā)現(xiàn)的能力”或運用某種方式或方法去判定事物的知識和技能。 ”、填空是否具有傳染性，是判別一個程序是否為計算機病毒的首要條件。計算機病毒因某個事件或數(shù)值的出現(xiàn)，誘使病毒實施感染或進行攻擊的特性稱為 可觸發(fā)性病毒程序嵌入到宿主程序中，依賴于宿主程序的執(zhí)行而生存，這就是計算機病毒的寄生性。病毒的最大特點是其傳染性，原因是其自身程序不斷復(fù)制的結(jié)果，即程序本身復(fù)制到其他程序中或簡單地在某一系統(tǒng)中不斷地復(fù)制自己。計算機病毒按寄生對象分為引導(dǎo)型病毒、文件型病毒、混合型病毒。蠕蟲(Worm)是一種獨立的可執(zhí)行程序，主要由主程序和引導(dǎo)程序兩部分組成蠕蟲程序的工作流程可以分為漏洞掃描、攻擊、傳染、現(xiàn)場處理四個階段一般的木馬都有客戶端和服務(wù)器端兩個程序計算機病毒的產(chǎn)生過程可分為：程序設(shè)計→傳播→ 潛伏→觸發(fā)、運行→實施攻擊INT13H調(diào)用是BIOS提供的磁盤基本輸入輸出中斷調(diào)用，它可以完成磁盤(包括硬盤和軟盤)的復(fù)位、讀寫、校驗、定位、診斷、格式化等功能，完全不用考慮被操作硬盤安裝的是什么操作系統(tǒng)通過主引導(dǎo)記錄定義的硬盤分區(qū)表，最多只能描述4個分區(qū)NTFS是一個比FAT更復(fù)雜的系統(tǒng)。在NTFS中，磁盤上的任何事物都為文件中斷(Interrupt)，就是CPU暫停當前程序的執(zhí)行，轉(zhuǎn)而執(zhí)行處理緊急事務(wù)的程序，并在該事務(wù)處理完成后能自動恢復(fù)執(zhí)行原先程序的過程在保護模式下，所有的應(yīng)用程序都具有權(quán)限級別 (PriVilegeLevel，PL)。PL按優(yōu)先次序分為四等，其中0級權(quán)限最高，3級最低。在Win32位平臺可執(zhí)行文件格式：可移植的可執(zhí)行文件格式，即PE格式。引出函數(shù)節(jié)是本文件向其他程序提供的可調(diào)用函數(shù)列表這個節(jié)一般用在 DLL中，EXE文件中也可以有這個節(jié)，但通常很少使用計算機病毒在傳播過程中存在兩種狀態(tài)，即靜態(tài)和動態(tài)計算機病毒要完成一次完整的傳播破壞過程，必須經(jīng)過以下幾個環(huán)節(jié)： 分發(fā)拷貝階段、潛伏繁殖階段、破壞表現(xiàn)階段可以利用病毒根據(jù)感染標志是否進行感染這一特性，人為地、主動在文件中添加，從而在某種程度上達到病毒免疫的目的二、選擇題：1.計算機病毒是可以造成機器故障的 (D)A.一種計算機設(shè)備 B.一塊計算機芯片C一種計算機部件 D.一種計算機程序2防止計算機傳染病毒的方法是 (A)A.不使用有病毒的盤片 B.不讓有傳染病的人操 作C.提高計算機電源穩(wěn)定性 D.聯(lián)機操作計算機病毒的危害性表現(xiàn)在 (B)A.不能造成計算機器件永久性失效 B.影響程序的執(zhí)行破壞用戶數(shù)據(jù)與程序C.不影響計算機的運行速度 D.不影響計算機的運算結(jié)果，不必采取措施下面有關(guān)計算機病毒的說法正確的是 (C)A.計算機病毒是一個MIS程序B.計算機病毒是對人體有害的傳染病 C.計算機病毒是能夠傳染，起破壞作用的計算機程序 D.計算機病毒是一段程序，但對計算機無害計算機病毒(D)A.不影響計算機的運行速度 B.能造成計算機器件的永久性失效C.不影響計算機的運算結(jié)果 D.影響程序的執(zhí)行破壞用戶數(shù)據(jù)與程序計算機病毒對于操作計算機的人 (C)A.只會感染，不會致病 B.會感染致病 C.不會感染 D.傳染性，隱蔽性和危害性計算機病毒是一組計算機程序 ，它具有(D)A.傳染性 B.隱蔽性 C.危害性 D.傳染性，隱蔽性和危害性(1)硬件部分：建立木馬連接所必須的硬件實體。 控制端：對服務(wù)端進行遠程控制的一方。 服務(wù)端：被控(1)硬件部分：建立木馬連接所必須的硬件實體。 控制端：對服務(wù)端進行遠程控制的一方。 服務(wù)端：被控8?計算機病毒造成的損壞主要是 (C)A.文字處理和數(shù)據(jù)庫管理軟件 B.操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)C.程序和數(shù)據(jù)系統(tǒng)軟件和應(yīng)用軟件以下措施不能防止計算機病毒的是 (A)A.軟盤未貼寫保護 B.先用殺病毒軟件將從別人機器上拷來的文件清查病毒C.不用來歷不明的磁盤 D.經(jīng)常關(guān)注防病毒軟件的版本升級情況 ，并盡量取得最高版本的防毒軟件計算機病毒具有(A)A.傳播性，潛伏性，破壞性 B.傳播性,破壞性,易讀性 C.潛伏性,破壞性,易讀性 D.傳播性，潛伏性,安全性三、判斷TOC\o"1-5"\h\z反病毒軟件預(yù)防措施和技術(shù)手段往往滯后于病毒的產(chǎn)生速度 T對計算機病毒的分類研究，目的在于更好地描述、分析、理解計算機病毒的特性、危害、原理及其防治技術(shù)T病毒處于激活態(tài)時，不一定進行傳染和破壞；但進行傳染和破壞時，必然處于激活態(tài) T激活態(tài)的病毒一般不會自己轉(zhuǎn)變?yōu)槭Щ顟B(tài)，失活態(tài)的出現(xiàn)必定是有外在干預(yù) T在任何一個環(huán)節(jié)(階段)都可以抑制病毒的傳播、蔓延，或者清除病毒 T我們應(yīng)當盡可能地在病毒進行破壞性攻擊之前切斷病毒傳染源、抑制病毒的傳播蔓延 T有的病毒有一個感染標志，又稱病毒簽名，但不是所有的病毒都有感染標志 t不同病毒的感染標志的位置、內(nèi)容都不同.COM文件結(jié)構(gòu)比較簡單，是一種單段執(zhí)行結(jié)構(gòu) T.EXE文件采用多段結(jié)構(gòu)t四、名詞解釋PE文件PE文件被稱為可移植的執(zhí)行體是 PortabIeEXeCUte的全稱，常見的EXE、DLL、OCX、SYS、CoM都是PE文件，PE文件是微軟Windows操作系統(tǒng)上的程序文件腳本病毒 腳本病毒通常是JaVaSCriPt代碼編寫的惡意代碼，一般帶有廣告性質(zhì)，會修改您的IE首頁、修改注冊表等信息，造成用戶使用計算機不方便特洛伊木馬 特洛伊木馬(TrOjanHorSe),簡稱木馬，是一種惡意程序，是一種基于遠程控制的黑客工具，一旦侵入用戶的計算機， 就悄悄地在宿主計算機上運行， 在用戶毫無察覺的情況下，讓攻擊者獲得遠程訪問和控制系統(tǒng)的權(quán)限，進而在用戶的計算機中修改文件、修改注冊表、控制鼠標、監(jiān)視/控制鍵盤，或竊取用戶信息。蠕蟲蠕蟲(WOrm)是一種獨立的可執(zhí)行程序，主要由 主程序和引導(dǎo)程序兩部分組成宏病毒 宏病毒是使用宏語言編寫的惡意程序，存在于字處理文檔、電子數(shù)據(jù)表格、數(shù)據(jù)庫、演示文檔等數(shù)據(jù)文件中，可以在一些數(shù)據(jù)處理系統(tǒng) (主要是微軟的Word、Excel、ACCeSS等OffiCe軟件系統(tǒng))中運行，利用宏語言的功能將自己復(fù)制、繁殖到其他數(shù)據(jù)文檔中16.五、簡答1、 文件操作相關(guān)API函數(shù)2、 VBS腳本病毒具有如下幾個特點：1編寫簡單2破壞力大3感染力強4傳播范圍廣5病毒源碼容易被獲取 6欺騙性強7使病毒生產(chǎn)機實現(xiàn)起來非常容易3、宏病毒的傳播方式:1.軟盤交流染毒文檔文件；2.硬盤染毒，處理的文檔文件必將染毒；o 、I/,-J?--H?τ÷f+<3.光盤攜帶宏病毒；4.Internet上下載染毒文檔文件；5.BBS交流染毒文檔文件； 6.電子郵件的附件夾帶病毒。4、 簡要說明蠕蟲的手工清除方法。5、 木馬的基本原理一個完整的木馬系統(tǒng)由硬件部分，軟件部分和具體連接部分組成。制端遠程控制的一方。 INTERNET制端遠程控制的一方。 INTERNET:控制端對服務(wù)端進行遠程控制，數(shù)據(jù)傳輸?shù)木W(wǎng)絡(luò)載體。(2)軟件部分：實現(xiàn)遠程控制所必須的軟件程序。 控制端程序：控制端用以遠程控制服務(wù)端的程序。 木馬程序：潛入服務(wù)端內(nèi)部，獲取其操作權(quán)限的程序。 木馬配置程序：設(shè)置木馬程序的端口號，觸發(fā)條件，木馬名稱等，使其在服務(wù)端藏得更隱蔽的程序。⑶具體連接部分：通過INTERNET在服務(wù)端和控制端之間建立一條木馬通道所必須的元素。 控制端IP，服務(wù)端IP:即控制端，服務(wù)端的網(wǎng)絡(luò)地址，也是木馬進行數(shù)據(jù)傳輸?shù)哪康牡亍?控制端端口，木馬端口：即控制端，服務(wù)端的數(shù)據(jù)入口，通過這個入口，數(shù)據(jù)可直達控制端程序或木馬 程序。六?綜合問答題說明感染PE文件的基本步驟。1判斷目標文件是否是“MZ”開頭2判斷PE文件標記“PE”3判斷是否感染標記4獲得DireCtory的個數(shù)，每個數(shù)據(jù)目錄信息占 8字節(jié)5得到節(jié)表的起始位置， DireCtOry的偏移位置+數(shù)據(jù)目錄占用的字節(jié)數(shù)=節(jié)表起始位置；找到要添加的新節(jié)的文件偏移量6得到目前最后節(jié)表的末尾偏移7寫入節(jié)表一、填空計算機病毒因某個事件或數(shù)值的出現(xiàn)，誘使病毒實施感染或進行攻擊的特性稱為 可觸發(fā)性蠕蟲(WOrm)是一種獨立的可執(zhí)行程序，主要由 主程序和引導(dǎo)程序兩部分組成服務(wù)器端程序就是在用戶計算機種的木馬程序計算機病毒英文命名規(guī)則也就是國際上對病毒命名的一般慣例為 前綴+病毒名+后綴”，即三元組命名規(guī)則計算機病毒是一類特殊的程序，也有生命周期，分為開發(fā)期、傳染期、 潛伏期、發(fā)作期、發(fā)現(xiàn)期、消化期、消亡期在學(xué)習(xí)、研究計算機病毒的過程中， 在遵守相關(guān)法律法規(guī)的前提下，應(yīng)嚴格遵守以下 八字原則”一一自尊自愛、自強自律現(xiàn)代大容量硬盤一般采用 LBA線性地址來尋址，以替代CHS尋址。高級格式化的目的是在分區(qū)內(nèi)建立分區(qū)引導(dǎo)記錄 DBR(DOSBootReCOrd)、文件分配表FAT(FiIeAllocatiOnTabIe)、文件目錄表FDT(FileDireCtOryTabIe)和數(shù)據(jù)區(qū)DATANTFS文件系統(tǒng)中，小文件和文件夾 (典型的如1023字節(jié)或更少)將全部存儲在文件的MFT記錄里操作系統(tǒng)核心層運行在 Ring0級，而Win32子系統(tǒng)運行在Ring3級，為運行的應(yīng)用程序提供接口DOS可執(zhí)行文件，通常稱之為MZ文件內(nèi)存中的動態(tài)病毒又有兩種狀態(tài)： 可激活態(tài)和激活態(tài)。殺毒軟件可以將感染標志作為病毒的特征碼之一既感染引導(dǎo)扇區(qū)又感染文件是混合感染網(wǎng)絡(luò)蠕蟲最大特點是利用 各種漏洞進行自動傳播木馬與合法遠程控制軟件(如PCAnyWhere)的主要區(qū)別在于是否具有隱蔽性、是否具有非授權(quán)性EPO即入口模糊技術(shù)，該技術(shù)改變了傳統(tǒng)的修改 PE頭部的入口點、使其指向病毒代碼入口而使病毒代碼得以執(zhí)行的典型方法計算機病毒的防治技術(shù)分成四個方面病毒 預(yù)防技術(shù)、病毒檢測技術(shù)、病毒消除技術(shù)、病毒免疫技術(shù)計算機病毒的預(yù)防措施可概括為兩點勤備份嚴防守利用病毒的特有行為特性監(jiān)測病毒的方法，稱為行為監(jiān)測法，也稱為人工智能陷阱法二、選擇題:1.計算機病毒通常分為引導(dǎo)型,復(fù)合型和(B)A.外殼型B.文件型 C.內(nèi)碼型 D.操作系統(tǒng)型不易被感染上病毒的文件是(C)A.COMB.EXEC.TXTD.BOOT文件被感染上病毒之后,其基本特征是(C)A.文件不能被執(zhí)行 B.文件長度變短 C.文件長度加長 D.文件照常能執(zhí)行病毒程序按其侵害對象不同分為 C 。A、外殼型、入侵型、原碼型和外殼型 B、原碼型、外殼型、復(fù)合型和網(wǎng)絡(luò)病毒C、引導(dǎo)型、文件型、復(fù)合型 D、良性型、惡性型、原碼型和外殼型(D)是計算機病毒A.—段程序B.一批數(shù)據(jù)C.若干條指令D.能在計算機運行時實施傳染和侵害的功能程序關(guān)于計算機病毒,正確的說法是(C)A.計算機病毒可以燒毀計算機的電子器件 B.計算機病毒是一種傳染力極強的生物細菌C.計算機病毒是一種人為特制的具有破壞性的程序 D.計算機病毒一旦產(chǎn)生，便無法清除計算機病毒具有隱蔽性,潛伏性,傳播性,激發(fā)性和(C)A.惡作劇性 B.入侵性 C.破壞性和危害性 D.可擴散性我國政府頒布的《計算機信息系統(tǒng)安全保護條例》從何時開始實施 ?BA.1986年10月B.1994年2月18日C.1991年10月D.2000年5月23日《計算機病毒防治管理辦法》頒布時間是 ()AA.2000年5月23日B.1994年2月18日C.1986年10月D.1993年10月文件型病毒感染的主要對象是 B 類文件。A、.TXT和.WPS;B、.COM和.EXE;C、.WPS和.EXE;D、.DBF和.COM三、判斷TOC\o"1-5"\h\z反病毒軟件預(yù)防措施和技術(shù)手段往往滯后于病毒的產(chǎn)生速度 T對計算機病毒的分類研究，目的在于更好地描述、分析、理解計算機病毒的特性、危害、原理及其防治技術(shù)T病毒處于激活態(tài)時，不一定進行傳染和破壞；但進行傳染和破壞時，必然處于激活態(tài) T激活態(tài)的病毒一般不會自己轉(zhuǎn)變?yōu)槭Щ顟B(tài)，失活態(tài)的出現(xiàn)必定是有外在干預(yù) T在任何一個環(huán)節(jié)(階段)都可以抑制病毒的傳播、蔓延，或者清除病毒 T我們應(yīng)當盡可能地在病毒進行破壞性攻擊之前切斷病毒傳染源、抑制病毒的傳播蔓延 T有的病毒有一個感染標志，又稱病毒簽名，但不是所有的病毒都有感染標志 T不同病毒的感染標志的位置、內(nèi)容都不同T.COM文件結(jié)構(gòu)比較簡單，是一種單段執(zhí)行結(jié)構(gòu)T.EXE文件采用多段結(jié)構(gòu)T“MeIiSSC網(wǎng)絡(luò)蠕蟲宏病毒”(MaCro.Word97.Melissa)“LoverLettel網(wǎng)絡(luò)蠕蟲病毒”(VBS.LoveLetter等等，都是病毒，而不是蠕蟲。 T以病毒命名的沖擊波病毒”(Worm.MSBIast，卻是典型的蠕蟲T四、名詞解釋PE文件PE的意思就是POrtabIeEXeCUtable(可移植、可執(zhí)行)，它是Win32可執(zhí)行文件的標準格式由于大量的EXE文件被執(zhí)行，且傳播的可能性最大，因此，Win32病毒感染文件時，基本上都會將EXE文件作為目標特洛伊木馬特洛伊木馬（TrojanHorSe）,簡稱木馬，是一種惡意程序，是一種基于遠程控制的黑客工具，一旦侵入用戶的計算機，就悄悄地在宿主計算機上運行，在用戶毫無察覺的情況下，讓攻擊者獲得遠程訪問和控制系統(tǒng)的權(quán)限，進而在用戶的計算機中修改文件、修改注冊表、控制鼠標、監(jiān)視/控制鍵盤，或竊取用戶信息19?蠕蟲蠕蟲病毒是一種常見的計算機病毒。它是利用網(wǎng)絡(luò)進行復(fù)制和 傳播，傳染途徑是通過網(wǎng)絡(luò)和電子郵件。最初的蠕蟲病毒定義是因為在DoS環(huán)境下，病毒發(fā)作時會在 屏幕上出現(xiàn)一條類似蟲子的東西，胡亂吞吃屏幕上的字母并將其改形。 蠕蟲病毒是自包含的程序（或是一套程序），它能傳播自身功能的拷貝或自身的某些部分到其他的 計算機系統(tǒng)中（通常是經(jīng)過網(wǎng)絡(luò)連接）。宏病毒 病毒是使用宏語言編寫的惡意程序，存在于字處理文檔、電子數(shù)據(jù)表格、數(shù)據(jù)庫、演示文檔等數(shù)據(jù)文件中，可以在一些數(shù)據(jù)處理系統(tǒng) （主要是微軟的Word、Excel、ACCeSS等OfiCe軟件系統(tǒng)）中運行，利用宏語言的功能將自己復(fù)制、繁殖到其他數(shù)據(jù)文檔中 ]腳本病毒腳本病毒通常是JaVaSCriPt代碼編寫的惡意代碼，一般帶有廣告性質(zhì)，會修改您的IE首頁、修改注冊表等信息，造成用戶使用計算機不方便。五、簡答1、 病毒為什么要獲取API函數(shù)地址（1）Win32程序一般運行在Ring3級，處于保護模式（2）Win32下的系統(tǒng)功能調(diào)用， 不是通過中斷實現(xiàn)， 而是通過調(diào)用動態(tài)連接庫中的 API函數(shù)實現(xiàn)（3）Win32PE病毒和普通Win32PE程序一樣需要調(diào)用API函數(shù)實現(xiàn)某些功能，但是對于Win32PE病毒來說，它只有代碼節(jié)，并不存在引入函數(shù)節(jié)，病毒就無法象普通 PE程序那樣直接調(diào)用相關(guān)API函數(shù)，而應(yīng)該先找出這些API函數(shù)在相應(yīng)DLL中的地址2、 文件操作相關(guān)API函數(shù)3、 VBS腳本病毒具有如下弱點：1）絕大部分VBS腳本病毒運行的時候需要用到一個對象： FileSyStemObjeCt2） VBSCriPt代碼是通過WindowsSCriPtHost來解釋執(zhí)行的。3）VBS腳本病毒的運行需要其關(guān)聯(lián)程序 WSCriPt.exe的支持。4）通過網(wǎng)頁傳播的病毒需要 ACtiVeX的支持5）通過Email傳播的病毒需要OE的自動發(fā)送郵件功能支持，但是絕大部分病毒都是以 Email為主要傳播方式的。4、 蠕蟲常用的掃描策略現(xiàn)在流行的蠕蟲采用的傳播技術(shù)目標，一般是盡快地傳播到盡量多的計算機中掃描模塊采用的掃描策略是：隨機選取某一段 IP地址，然后對這一地址段上的主機進行掃描沒有優(yōu)化的掃描程序可能會不斷重復(fù)上面這一過程， 大量蠕蟲程序的掃描引起嚴重的網(wǎng)絡(luò)擁塞5、 木馬的危害即木馬能實現(xiàn)的功能竊取數(shù)據(jù)接受非授權(quán)操作者的指令遠程管理服務(wù)端進程篡改文件和數(shù)據(jù)刪除文件和數(shù)據(jù)操縱注冊表監(jiān)視服務(wù)器的一切動作釋放病毒使系統(tǒng)自毀六．綜合問答題說明感染PE文件的基本步驟。(1)判斷目標文件開始的兩個字節(jié)是否為“ MZ”；(2)判斷PE文件標記“PE”；(3)判斷感染標記，如果已被感染過則跳出繼續(xù)執(zhí)行 HOST程序，否則繼續(xù)；(4)獲得Directory(數(shù)據(jù)目錄)的個數(shù)，每個數(shù)據(jù)目錄信息占 8個字節(jié)；得到節(jié)表起始位置：Directory的偏移地址+數(shù)據(jù)目錄占用的字節(jié)數(shù)=節(jié)表起始位置；得到目前最后節(jié)表的末尾偏移(緊接其后用于寫入一個新的病毒節(jié) )：開始寫入節(jié)表四一、填空是否具有傳染性，是判別一個程序是否為計算機病毒的首要條件。計算機病毒因某個事件或數(shù)值的出現(xiàn)，誘使病毒實施感染或進行攻擊的特性稱為可觸發(fā)性蠕蟲(Worm)是一種獨立的可執(zhí)行程序，主要由主程序和引導(dǎo)程序兩部分組成一般的木馬都有客戶端和服務(wù)器端兩個程序計算機病毒英文命名規(guī)則也就是國際上對病毒命名的一般慣例為“前綴+病毒名+后綴”，即三元組命名規(guī)則141. 計算機病毒總是想方設(shè)法竊取Ring0級的權(quán)限(如CIH病毒)，以實施更大范圍的破壞在Windows3.0/3.1的可執(zhí)行文件，在MZ文件頭之后又有一個以“NE開始的文件頭，稱之為NE文件PE文件的真正內(nèi)容劃分成塊，稱之為 SeCtiOn(節(jié))，緊跟在節(jié)表之后無論是文件型病毒還是引導(dǎo)型病毒，其感染過程總的來說是相似的，分為三步： 進駐內(nèi)存、判斷感染條件、實施感染宿主程序是病毒的棲身地，既是病毒傳播的目的地，又是下一次感染的出發(fā)點一個宿主程序上感染多種病毒，稱為交叉感染。滋生感染式病毒不改變被感染的文件，而是為被感染的文件創(chuàng)建一個伴隨文件.COM文件結(jié)構(gòu)比較簡單，是一種單段執(zhí)行結(jié)構(gòu)宏病毒存在于字處理文檔、電子數(shù)據(jù)表格、數(shù)據(jù)庫、演示文檔等數(shù)據(jù)文件中，可以在一些數(shù)據(jù)處理系統(tǒng)(主要是微軟的Word、Excel、Access等Office軟件系統(tǒng))中運行，利用宏語言的功能將自己復(fù)制、繁殖到其他數(shù)據(jù)文檔中蠕蟲的工作方式一般是 掃描→攻擊→復(fù)制”木馬獲得服務(wù)端的IP地址的方法主要有兩種：信息反饋和IP掃描當進程為真隱藏的時候，那么這個木馬服務(wù)器運行之后，就不應(yīng)該具備一般進程的表現(xiàn)，也不應(yīng)該具備服務(wù)的表現(xiàn)，也就是說，完全溶進了系統(tǒng)的內(nèi)核。動態(tài)嵌入技術(shù)是指木馬將自己的代碼嵌入正在運行的進程中的技術(shù)。WindowsXP的Netstat工具提供了一個新的-o選項，能夠顯示出正在使用端口的程序或服務(wù)的進程標識符(PID)。對付多態(tài)病毒的最好辦法是某種形式的虛擬執(zhí)行技術(shù)，也就是仿真出一個80x86的CPU，讓解密代碼自己解密完成之后，再使用通常的特征碼識別法進行病毒檢測計算機病毒的防治技術(shù)分成四個方面病毒預(yù)防技術(shù)病毒檢測技術(shù)病毒消除技術(shù)病毒免疫技術(shù)利用病毒的特有行為特性監(jiān)測病毒的方法，稱為行為監(jiān)測法，也稱為 人工智能陷阱法二、選擇題:計算機病毒會造成計算機怎樣的損壞 (A)A.硬件,軟件和數(shù)據(jù) B.硬件和軟件C.軟件和數(shù)據(jù) D.硬件和數(shù)據(jù)文件型病毒傳染的對象主要是什么類文件(C)A..DBFB..WPSC..COM和.EXED..EXE和WPS關(guān)于計算機病毒的傳播途徑,不正確的說法是(C)A.通過軟盤的復(fù)制 B.通過共用軟盤 C.通過共同存放軟盤 D.通過借用他人的軟盤目前最好的防病毒軟件的作用是(B)A.檢查計算機是否染有病毒，消除已感染的任何病毒 B.杜絕病毒對計算機的侵害C.查出計算機已感染的任何病毒，消除其中的一部分D.檢查計算機是否染有病毒，消除已感染的部分病毒下面有關(guān)計算機病毒的說法正確的是 (A)A.計算機病毒是一個MIS程序B.計算機病毒是對人體有害的傳染病C.計算機病毒是通過自身傳染，起破壞作用的計算機程序 D.計算機病毒是一段程序，但對計算機無害不易被感染上病毒的文件是(C)A.COMB.EXEC.TXTD.BOOT文件被感染上病毒之后，其基本特征是(A)A.文件不能被執(zhí)行 B.文件長度變短C.文件長度加長 D.文件照常能執(zhí)行TOC\o"1-5"\h\z發(fā)現(xiàn)計算機感染病毒后，如下操作可用來清除病毒 A 。A.使用殺毒軟件；B.掃描磁盤C.整理磁盤碎片；D.重新啟動計算機復(fù)合型病毒是 D 。A、即感染引導(dǎo)扇區(qū)，又感染 WORD文件B、即感染可執(zhí)行文件，又感染 WORD文件，C、只感染可執(zhí)行文件； D、既感染引導(dǎo)扇區(qū)，又感染可執(zhí)行文件計算機病毒所沒有的特點是 D 。A.隱藏性；B.潛伏性；C.傳染性；D.廣泛性三、判斷“LoVerLette網(wǎng)絡(luò)蠕蟲病毒”(VBS.LoveLetter等等，都是病毒，而不是蠕蟲。T反病毒軟件預(yù)防措施和技術(shù)手段往往滯后于病毒的產(chǎn)生速度T以病毒命名的沖擊波病毒”(WormNSBIast),卻是典型的蠕蟲TTOC\o"1-5"\h\z病毒處于激活態(tài)時，不一定進行傳染和破壞；但進行傳染和破壞時，必然處于激活態(tài) T在任何一個環(huán)節(jié)(階段)都可以抑制病毒的傳播、蔓延，或者清除病毒 T我們應(yīng)當盡可能地在病毒進行破壞性攻擊之前切斷病毒傳染源、抑制病毒的傳播蔓延 T有的病毒有一個感染標志，又稱病毒簽名，但不是所有的病毒都有感染標志 T不同病毒的感染標志的位置、內(nèi)容都不同T.COM文件結(jié)構(gòu)比較簡單，是一種單段執(zhí)行結(jié)構(gòu)T.EXE文件采用多段結(jié)構(gòu)T四、名詞解釋22.低級格式化低級格式化就是將空白的磁盤劃分出柱面和磁道，再將磁道劃分為若干個扇區(qū)，每個扇區(qū)又劃分出標識部分id、間隔區(qū)gap和數(shù)據(jù)區(qū)data等?？梢?，低級格式化是高級格式化之前的一件工作，而且低級格式化只能針對一塊硬盤而不能支持單獨的某一個分區(qū)。每塊硬盤在出廠時，已由硬盤生產(chǎn)商進行低級格式化，因此通常使用者無需再進行低級格式化操作。低級格式化是一種

損耗性操作，其對硬盤壽命有一定的負面影響。PE文件24.特洛伊木馬特洛伊木馬在計算機領(lǐng)域中指的是一種后門程序黑八、、甚至是遠程控制對方的計黑八、、甚至是遠程控制對方的計算機而加殼制作算機而加殼制作然后通過各種手段傳播或者騙取目標用戶執(zhí)行該程序以達到盜取密碼等各種數(shù)據(jù)資料等目的與 病 毒 相 似木馬程序有很強的隱秘性隨操作系統(tǒng)啟動而啟動26.蠕蟲：蠕蟲病毒是一種常見的計算機病毒。它是利用網(wǎng)絡(luò)進行復(fù)制和傳播，傳染途徑是通過網(wǎng)絡(luò)和電子郵件.最初的蠕蟲病毒定義是因為在DoS環(huán)境下，病毒發(fā)作時會在屏幕上出現(xiàn)一條類似蟲子的東西，胡亂吞吃屏幕上的字母并將其改形。蠕蟲病毒是自包含的程序（或是一套程序），它能傳播自身功能的拷貝或自身的某些部分到其他的計算機系統(tǒng)中（通常是經(jīng)過網(wǎng)絡(luò)連接）。宏病毒五、簡答1簡要說明VBS腳本病毒的防范措施。1）禁用文件系統(tǒng)對象 FiIeSyStemObjeCt方法：用regsvr32SCrrUn.dll/u這條命令就可以禁止文件系統(tǒng)對象。 其中regsvr32是Windows?System下的可執(zhí)行文件?；蛘咧苯硬檎?SCrrUn.dll文件刪除或者改名。還有一種方法就是在注冊表中 下找到一個主鍵{0D43FE01-F093-11CF-8940-00A0C9054228}的項，咔嚓即可。2）卸載WindowsSCriPtingHost在Windows98中（NT4.0以上同理），打開［控制面板］→［添加/刪除程序］→:Windows安裝程序］→［附件］,取消“WindowsSCriPtingHost一項。”和上面的方法一樣，在注冊表中 下找到一個主鍵{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}的項，咔嚓。3）刪除VBS、VBE、JS、JSE文件后綴名與應(yīng)用程序的映射點擊［我的電腦］ →［查看］→［文件夾選項］→［文件類型］,然后刪除VBS、VBE、JSJSE文件后綴名與應(yīng)用程序的映射。4） 在Windows目錄中，找到WSCriPt.exe,更改名稱或者刪除，如果你覺得以后有機會用到的話，最好更改名稱好了，當然以后也可以重新裝上。5） 要徹底防治VBS網(wǎng)絡(luò)蠕蟲病毒，還需設(shè)置一下你的瀏覽器。我們首先打開瀏覽器，單擊菜單欄里"Internet選項"安全選項卡里的［自定義級別］按鈕。把 “ACtiVeX控件及插件"的一切設(shè)為禁用，這樣就不怕了。6）禁止OE的自動收發(fā)郵件功能7） 由于蠕蟲病毒大多利用文件擴展名作文章，Windows默認的是隱藏已知文件類型的擴展名稱7） 由于蠕蟲病毒大多利用文件擴展名作文章，Windows默認的是隱藏已知文件類型的擴展名稱8） 將系統(tǒng)的網(wǎng)絡(luò)連接的安全級別設(shè)置至少為或者某些ACtiVeX組件對計算機的侵害。所以要防范它就不要隱藏系統(tǒng)中已知文件類型的擴展名。,將其修改為顯示所有文件類型的擴展名稱。中等”它可以在一定程度上預(yù)防某些有害的JaVa程序2、 宏病毒的傳播方式3、 在你看來，Nimda是病毒還是蠕蟲？為什么？是蠕蟲。由于IE瀏覽器的漏洞（IFRAMEEXECCOMMAND得感染了“尼姆亞”病毒的郵件在不去手工打開附件的情況下病毒就能激活。而且它會搜尋以前的 IIS蠕蟲留下的后門，實現(xiàn)從客戶端到WEB服務(wù)端的傳播。即使清楚了它在文件系統(tǒng)中留下的任何痕跡，如果沒有修補計算機系統(tǒng)漏洞，重新接入到網(wǎng)絡(luò)的計算機還是會重新受到蠕蟲攻擊4、 木馬的基本原理5、 木馬的啟動方式①通過修改注冊表中的RUN鍵值來實現(xiàn)自啟動②添加系統(tǒng)服務(wù)的工具很多，最典型的就是NetService,也可以手工添加系統(tǒng)服務(wù)。六?綜合問答題寫出并分析說明文件操作相關(guān) APl函數(shù)。五一、填空程序性決定了計算機病毒的可防治性、可清除性，反病毒技術(shù)就是要提前取得計算機系統(tǒng)的控制權(quán)，識別出計算機病毒的代碼和行為，阻止其取得系統(tǒng)控制權(quán)，并及時將其清除。是否具有傳染性，是判別一個程序是否為計算機病毒的首要條件。計算機病毒因某個事件或數(shù)值的出現(xiàn)，誘使病毒實施感染或進行攻擊的特性稱為 可觸發(fā)性病毒程序嵌入到宿主程序中，依賴于宿主程序的執(zhí)行而生存，這就是計算機病毒的 寄生性病毒的最大特點是其傳染性，而傳染性的原因是其自身程序不斷復(fù)制的結(jié)果，即程序本身復(fù)制到其他程序中或簡單地在某一系統(tǒng)中不斷地復(fù)制自己高級格式化的目的是在分區(qū)內(nèi)建立 分區(qū)引導(dǎo)記錄DBR(DOSBootReCOrd)、文件分配表FAT(FiIeAllocatiOnTabIe)、文件目錄表FDT(FileDireCtOryTabIe)和數(shù)據(jù)區(qū)DATA通過主引導(dǎo)記錄定義的硬盤分區(qū)表，最多只能描述 4個分區(qū)NTFS文件系統(tǒng)中，小文件和文件夾(典型的如1023字節(jié)或更少)將全部存儲在文件的MFT記錄里中斷向量表(InterruptVeCtOrS)是一個特殊的線性表，它保存著系統(tǒng)所有中斷服務(wù)程序的入口地址(偏移量和段地址)PE文件的真正內(nèi)容劃分成塊，稱之為 SeCtiOn(節(jié))，緊跟在節(jié)表之后引入函數(shù)節(jié).idata可能被病毒用來直接獲取 API函數(shù)地址內(nèi)存中的動態(tài)病毒又有兩種狀態(tài)： 可激活態(tài)和激活態(tài)。人為地、主動在文件中添加 感染標志，從而在某種程度上達到病毒免疫的目的病毒在感染時，完全不改動宿主程序本體，而是改動或利用與宿主程序相關(guān)的信息，將病毒程序與宿主程序鏈成一體，這種感染方式稱作 鏈式感染(LinklnfectiOn)網(wǎng)絡(luò)蠕蟲最大特點是利用各種漏洞進行自動傳播蠕蟲的工作方式一般是 掃描→攻擊→復(fù)制”木馬系統(tǒng)軟件一般由木馬 配置程序、控制程序和服務(wù)器程序三部分組成動態(tài)嵌入技術(shù)是指木馬將自己的代碼嵌入正在運行的進程中的技術(shù)。EPO,意即入口模糊技術(shù)，該技術(shù)改變了傳統(tǒng)的修改 PE頭部的入口點、使其指向病毒代碼入口而使病毒代碼得以執(zhí)行的典型方法對付多態(tài)病毒的最好辦法是某種形式的虛擬執(zhí)行技術(shù)， 也就是仿真出一個80x86的CPU，讓解密代碼自己解密完成之后，再使用通常的特征碼識別法進行病毒檢測比較法是用原始的正常備份與被檢測的內(nèi)容 (引導(dǎo)扇區(qū)或被檢測的文件)進行比較主要有長度比較法內(nèi)容比較法、內(nèi)存比較法、 中斷比較法。設(shè)計虛擬機查毒的目的是為了對抗加密變形病毒二、選擇題：不易被感染上病毒的文件是 (C)A.COMB.EXEC.TXTD.BOOT2?關(guān)于計算機病毒，正確的說法是（C）A.計算機病毒可以燒毀計算機的電子器件 B.計算機病毒是一種傳染力極強的生物細菌C.計算機病毒是一種人為特制的具有破壞性的程序 D.計算機病毒一旦產(chǎn)生，便無法清除3?計算機病毒具有隱蔽性，潛伏性，傳播性,激發(fā)性和（C）A.惡作劇性 B.入侵性 C.破壞性和危害性 D.可擴散性TOC\o"1-5"\h\z不是微機之間病毒傳播的媒介的是 B 。A、硬盤B、鼠標C、軟盤D、光盤常見計算機病毒的特點有 D 。A.只讀性、趣味性、隱蔽性和傳染性 B.良性、惡性、明顯性和周期性C.周期性、隱蔽性、復(fù)發(fā)性和良性 D.隱蔽性、潛伏性、傳染性和破壞性復(fù)合型病毒是 D 。A、即感染引導(dǎo)扇區(qū)，又感染W(wǎng)ORD文件B、即感染可執(zhí)行文件，又感染 WORD文件，C、只感染可執(zhí)行文件； D、既感染引導(dǎo)扇區(qū)，又感染可執(zhí)行文件計算機病毒所沒有的特點是 D 。A.隱藏性；B.潛伏性；C.傳染性；D.廣泛性文件型病毒感染的主要對象是 B 類文件。A、.TXT和.WPS;B、.COM和.EXE;C、.WPS和.EXE;D、.DBF和.COM下列操作中， B 不可能清除文件型計算機病毒。A、刪除感染計算機病毒的文件； B、將感染計算機病毒的文件更名C、格式化感染計算機病毒的磁盤 ;D、用殺毒軟件進行清除TOC\o"1-5"\h\z下列關(guān)于計算機病毒的說法正確的是 B 。A.計算機病毒不能發(fā)現(xiàn)； B.計算機病毒能自我復(fù)制，C.計算機病毒會感染計算機用戶 ； D.計算機病毒是一種危害計算機的生物病毒三、 判斷反病毒軟件預(yù)防措施和技術(shù)手段往往滯后于病毒的產(chǎn)生速度 T“LoVerLette網(wǎng)絡(luò)蠕蟲病毒”（VBS.LoveLetter等等，都是病毒，而不是蠕蟲。T病毒處于激活態(tài)時，不一定進行傳染和破壞；但進行傳染和破壞時，必然處于激活態(tài) T以病毒命名的沖擊波病毒”（Worm.MSBIast，卻是典型的蠕蟲T激活態(tài)的病毒一般不會自己轉(zhuǎn)變?yōu)槭Щ顟B(tài)，失活態(tài)的出現(xiàn)必定是有外在干預(yù) T“MeIiSSa網(wǎng)絡(luò)蠕蟲宏病毒”（MaCro.Word97.Melissa）T在任何一個環(huán)節(jié)（階段）都可以抑制病毒的傳播、蔓延，或者清除病毒 F有的病毒有一個感染標志，又稱病毒簽名，但不是所有的病毒都有感染標志 T不同病毒的感染標志的位置、內(nèi)容都不同 F.EXE文件采用多段結(jié)構(gòu)T四、 名詞解釋腳本病毒：腳本病毒的公有特性是使用腳本語言編寫，通過網(wǎng)頁進行的傳播的病毒 腳本病毒通常是JaVaSCriPt代碼編寫的惡意代碼， 一般帶有廣告性質(zhì)，會修改您的 IE首頁、修改注冊表等信息，造成用戶使用計算機不方便。VB腳本病毒特點編寫簡單 破壞力大感染性強傳播范圍大病毒源碼容易被獲取變種多PE文件:PE文件被稱為可移植的執(zhí)行體是 POrtabIeEXeCUte 的全稱，常見的EXE、DLL、OCX、SYS、COM都是PE文件，PE文件是微軟Windows操作系統(tǒng)上的程序文件（可能是間接被執(zhí)行，如DLL）特洛伊木馬：特洛伊木馬在計算機領(lǐng)域中指的是一種后門程序， 是黑客用來盜取其他用戶的個人信息，甚至是遠程控制對方的計算機而加殼制作， 然后通過各種手段傳播或者騙取目標用戶執(zhí)行該程序，以達到盜取密碼等各種數(shù)據(jù)資料等目的。與病毒相似，木馬程序有很強的隱秘性，隨操作系統(tǒng)啟動而啟動。網(wǎng)絡(luò)蠕蟲網(wǎng)絡(luò)蠕蟲是一種智能化、自動化，綜合 網(wǎng)絡(luò)攻擊、密碼學(xué)和計算機病毒技術(shù)，無須計算機使用者干預(yù)即可運行的攻擊程序或代碼,它會掃描和攻擊網(wǎng)絡(luò)上存在系統(tǒng)漏洞的節(jié)點主機，通過局域網(wǎng)或者國際互聯(lián)網(wǎng)從一個節(jié)點傳播到另外一個節(jié)點 ”。宏病毒宏病毒是一種使得應(yīng)用軟件的相關(guān)應(yīng)用文檔內(nèi)含有被稱為宏的可執(zhí)行代碼的病毒。一個電子表格程式可能允許用戶在一個文檔中嵌入 宏命令”，使得某種操作得以自動運行；同樣的操作也就可以將病毒嵌入電子表格來對用戶的使用造成破壞。五、簡答1、病毒采用的觸發(fā)條件主要有下幾種？日期觸發(fā)時間觸發(fā)鍵盤觸發(fā)感染觸發(fā)啟動觸發(fā)訪問磁盤次數(shù)觸發(fā)調(diào)用終端功能出發(fā) CPU型號/主板型號觸發(fā)2、 病毒為什么需要重定位？病毒的生存空間就是宿主程序，而因為宿主程序的不同。所以病毒每次插入到宿主程序中的位置也不同。那么病毒需要用到的變量的位置就無法確定。所以這就是病毒首先要重定位的原因。3、 如何獲取APl函數(shù)地址？要想獲得api的地址，得首先獲得諸如kernel32.dll,user32.dll的基址,然后再找到真正的函數(shù)地址 .1）搜尋宿主的引入表獲得 GetMOdUIeHandleA 函數(shù)和GetPrOCAddreSS的地址，然后通過他返回系統(tǒng)dll的基址.2） 直接獲得kernel32.dll的基址，然后再搜尋EXPOrt表獲得GetPrOCAddreSS和LOadLibraryA的地址.3） 硬編碼調(diào)用函數(shù)4、 簡要說明VBS腳本病毒的防范措施。安裝殺毒軟件隨機自啟動病毒防火墻 斷開局域網(wǎng)在IE中禁用ACtiVe控件及插件，使得網(wǎng)頁內(nèi)包含的VBS腳本病毒不能被執(zhí)行最后，取