Win32平台下的PE文件病毒的研究及实现
摘要
在计算机病毒技术与反病毒技术激烈斗争的今天,病毒技术的复杂多变,发展迅速给计算机用户同时也给反病毒技术带了巨大的挑战]1[。本文详细剖析了时下较流行的Windows 32位操作系统平台下最为常见的PE病毒机制,配合以代码实现的方式,从一个病毒编写者的角度展示病毒基本原理,并以此为契机从而做到更好的防范病毒。第一部分分别介绍了Windows病毒的基本原理、分类,并着重介绍PE病毒基本原理,基本机制;第二部分则根据PE病毒原理用编写实际代码的方式实现一个感染正常EXE文件(如WinRAR.exe)、关机并通过U盘传播等功能的病毒程序;第三部分则通过功能测试(白盒测试)、杀毒软件测试,总结并展望病毒技术;最后通过此次课题的研究成果,结合当今主流反病毒技术,总结Windows PE病毒防范技术。
关键字:Windows病毒;PE病毒;反病毒技术;PE文件格式;PE病毒实现
The Research and Implementation of PE Documentary
Virus based on Win32 Platform
Abstract
Nowadays, computer virus technology is growing rapidly as fast as development speed of anti-virus technology. Computer virus technology is becoming complex and changing rapidly. It brings enormous challenges to anti-virus technology. This paper analyzes the most common PE virus mechanism base on Win32 platform that is explained by the way of code realization. The article also demonstrates the basic mechanism of virus from the perspective of the virus creator and gives the suggestion to achieve a better anti-virus result. At the beginning, the article introduces the basic knowledge of Windows virus and classification. This part highlights the basic tenets of PE virus and basic mechanism. The second part compiles the code realization according to the principles. It can infect an EXE program (e.g. WinRAR.exe) and spread by u disk. The third part shows the result of passing the test (white box testing) and makes the summary and forecast. The last part summarizes the Windows PE anti-virus technology through the research on this topic with mainstream anti-virus technology.
Key Words: Windows virus; PE virus; anti-virus technology; PE format; implementation of PE virus program
目录
论文总页数32页1引言 (1)
2计算机病毒概述 (1)
2.1计算机病毒的定义 (1)
2.2计算机病毒的基本性质与本质 (2)
3 Windows病毒 (4)
3.1Windows病毒分类 (4)
3.1.1PE病毒 (4)
3.1.2脚本病毒 (4)
3.1.3宏病毒 (4)
3.2 PE病毒原理 (4)
3.2.1 PE文件格式 (4)
3.2.2检验PE文件的有效性 (7)
3.2.3病毒重定位 (8)
3.2.4获取API函数地址 (9)
3.2.5文件操作 (12)
4 Windows PE文件病毒的研究及实现 (14)
4.1病毒程序实现 (14)
4.1.1病毒程序编写背景 (14)
4.1.2病毒程序基本功能介绍 (15)
4.1.3病毒程序编写环境 (15)
4.1.4病毒程序简要流程框图 (15)
4.1.5病毒程序主模块-JERRY.ASM (16)
4.1.6病毒程序搜索API函数模块-SearchAPI.ASM (16)
4.1.7病毒程序感染EXE文件模块-Modify_PE.ASM (17)
4.1.8病毒程序感染及U盘传播模块-EffectU.ASM (20)
4.1.9病毒程序发作模块-Burst.ASM (21)
4.2病毒程序测试 (22)
4.2.1病毒程序测试环境 (22)
4.2.2病毒程序测试过程 (23)
4.2.2病毒程序测试结果 (24)
4.3病毒程序总结分析 (28)
4.3.1病毒传播能力分析 (28)
4.3.2病毒潜伏能力分析 (28)
4.3.3病毒破坏能力分析 (28)
4.3.4病毒程序自我总结 (28)
4.3.5病毒程序完善方向 (29)
结论 (29)
参考文献 (29)
致谢.................................................. 错误!未定义书签。声明.................................................. 错误!未定义书签。
1引言
随着计算机和互联网技术的快速发展,计算机正走进社会的各个领域,走进千家万户,计算机系统已经能够实现生活、管理、办公的自动化,成为人类社会不可或缺的一部分。然而,计算机系统并不安全,其不安的因素有计算机系统自身的、自然不可抗拒的,也有人为的。计算机病毒就是最不安全因素之一]1[。
计算机病毒是计算机技术和以计算机为核心的社会信息化进程发展到一定阶段的必然产物,是计算机犯罪的一种的新的衍化形式。自从第一例计算机病毒]1[出现以来,随着计算机技术、网络技术的迅猛发展,计算机病毒也日益猖獗,成为了计算机网络安全、信息安全最大公害。各种计算机病毒的产生和蔓延,已经给计算机系统安全造成了巨大的威胁和损害,其造成的计算机资源的损失和破坏,不但会造成资源和财富的巨大浪费,而且有可能造成社会性的灾难,正因为如此,我们就应坚决地走到反病毒的行列中来。我们研究病毒,最终目的是为了消灭病毒。大多数计算机用户对病毒不了解才会造成病毒的横行,对于精通病毒原理的人来说,病毒是毫无攻击力的。我们要做到彻底地消灭病毒,那么就不能全依靠少数编写杀毒软件的人,而是要做到了解病毒基本原理,了解病毒只是为了认识病毒,消除对病毒的恐惧心理,最终达到能够防毒、清除病毒的目的。所以对于病毒基本原理的学习,对计算机病毒编写的学习是非常有意义的。
Windows PE病毒]1[是所有病毒中数量极多、破坏性极大的、技巧性最强的一类病毒。譬如CIH、FunLove、中国黑客等。本文就以此类病毒为突破口,从基本原理到病毒代码的编写测试,完成一个基本的Windows PE病毒模型,从而更加了解PE病毒,更好的防治病毒。
本文第一部分介绍计算机基本知识;第二部分着重介绍计算机病毒中的Windows病毒,从内核级学习PE文件格式,PE病毒原理;第三部分结合第二部分的准备知识,分别介绍每个代码模块功能及实现;第四部分则介绍了针对PE 病毒的一些解决方案;最后一部分对计算机的防治做了展望。
2计算机病毒概述
2.1计算机病毒的定义
计算机病毒(Computer Virus)是一种人为的制造的、能够进行自我复制的、具有对计算机资源破坏作用的一组程序或指令的集合]1[。这是计算机病毒的广义定义。类似生物病毒,它能把自身附着在各种类型的文件上或寄生在存储媒介中,能对付计算机系统和网络进行各种破坏,同时有独特的复制能力和传染性,能够自我复制——主动传染;另一方面,当文件被复制或在网络中从一个用户送到另一个用户时——被动传染,他们就随同文件一起蔓延开来。
在1994年2月18日公布的《中华人民共和国计算机信息系统安全保护条例》
中,计算机病毒被定义为:“计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够字我复制的一组计算机指令或者程序代码”]1[。这一定义具有一定的法律性和权威性。是对计算机病毒的狭义定义。
2.2计算机病毒的基本性质与本质
计算机病毒种类繁多,特征各异,其中主要的有:自我复制能力;很强的感染性;一定的潜伏性;特定的触发性;很大的破坏性]2][1[。
1.计算机病毒的可执行性(程序性)
程序性是计算机病毒的基本特征,也是计算机病毒最基本的一种表现形式。程序性也就决定了计算机病毒的可防治性、可清除性。计算机病毒程序与其他合法程序一样,是一段可执行的程序,但他不是一个完整的程序,而是寄生在其他可执行程序上的一段程序,因此他享有一切可执行程序所能得到的权力。计算机的控制权是关键问题。反病毒技术就是要提前取得计算机系统的控制权,识别出计算机病毒的代码和行为,阻止起取得系统控制权,并及时将其清除。
2.计算机病毒的传染性
病毒一次源于生物学,传染也相应成了计算机病毒最基本的特性。计算机病毒的传染性是指病毒具有把自身复制到其他程序的能力。
在生物界,病毒通过传染从一个生物体扩散到另一个生物体。在适当的条件下,他可得到大量的繁殖,并使被感染的生物体表现出病症甚至死亡。同样,计算机病毒也会通过各种渠道通过已被感染的计算机扩散到未被感染的计算机,在某些情况下造成被感染的计算机工作失常甚至瘫痪。
是否具有传染性,是判断一个程序是否为计算机病毒的首要条件。传染性也决定了计算机病毒的可判断性。
3.计算机病毒的非授权性
计算机病毒未经授权而执行。正常的程序是由用户调用,再由系统分配资源,完成用户交给的任务,其目的对用户是可见的、透明的。而病毒隐藏在正常程序中,窃取正常程序的系统控制权,其目的对用户是未知的,是未经用户允许的。
4.计算机病毒的隐蔽性
计算机病毒通常附在正常程序中或磁盘较隐蔽的地方,也有个别的以隐含文件的形式出现,目的是不让用户发现他的存在。如果不经过代码分析,病毒程序与正常程序是不容易区分开来的,而一旦病毒发作表现出来,往往已经给计算机系统造成了不同程度破坏。正是由于隐蔽性,计算机病毒得以在用户没有察觉的情况下扩散并游离与世界上的百万台计算机中。
计算机病毒的隐蔽性通常表现在以下两个方面:
①传染的隐蔽性。大多数病毒的代码设计得非常精巧而又短小,一般只有几百字节到几K,而PC对文件的存取速度非常快,所以病毒会在转瞬之间便可将这些病毒程序附着在正常文件之上,一般不具有外部表象,不易被人发现。
②病毒程序存在的隐蔽性。病毒程序通常以隐蔽的方式存在,且被病毒感染的计算机在多数情况下仍能维持起部分功能,不回因为感染上病毒而使整台计算机不能使用。计算机病毒设计的精巧之处也在这里。
5.计算机病毒的潜伏性
一个编制精巧的计算机病毒程序,进入系统之后一般不会马上发作。潜伏性越好,其在系统中的存在时间就会越长,病毒的传染范围就会越大。潜伏性通常表现以下两个方面:
①病毒程序不用专门的检测程序是检查不出来的,一旦得到运行机会就繁殖、扩散,继续为害。
②计算机病毒中往往有一种触发机制,不满足触发条件时,计算机病毒除了传染外不做其他的破坏,只有当触发条件满足时,才会激活病毒的发作模块而出现中毒的症状。
6.计算机病毒的可触发性
计算机病毒因某个事件或数值的出现,诱使病毒实施感染或进行攻击的特性,称为可触发性。为了隐蔽自己,病毒必须潜伏,少做动作。如果完全不做动作,病毒既不能感染也不能进行破坏,失去杀伤力。病毒既要隐蔽又要维持杀伤力,就必须具有可触发性。病毒的触发机制是用来控制感染和破坏动作的频率的。病毒的触发机制越多,则传染性越强。
7.计算机病毒的破坏性
所有的计算机病毒都是一种可执行的程序,而这一可执行程序又必然要运行,因此,所有的计算机病毒都对计算机系统造成不同程度的影响,轻这降低计算机系统工作效率、占用系统资源,重者导致数据丢失、系统崩溃。计算机病毒的破坏性,决定了病毒的危害性。
8.计算机病毒的寄生性
病毒程序嵌入到宿主程序中,依赖与宿主程序的执行而生存,这就是计算机病毒的寄生性。病毒程序在侵入到宿主程序中后,一般对宿主程序进行一定的修改,宿主程序一旦执行,病毒程序就被激活,从而可以进行自我复制和繁衍。
9、计算机病毒的诱惑欺骗性
某些病毒常以某种特殊的表现方式,引诱、欺骗用户不自觉的触发、激活病毒,从而实施起感染、破坏功能。如情书变种病毒之一VBS.LoveLetter.F,传播自身的电子邮件附件名为“Virus Warning.jpg.vbs”,主题为“Dangerous virus
warning”,其内容是“There is a dangerous virus circulating.Please click attached picture to view it and learn to avoid it”。
3 Windows病毒
3.1Windows病毒分类
3.1.1PE病毒
Win32可执行文件,如*.exe、*.dll、*.ocx等,都是PE格式文件]2[]8[。感染PE格式文件的Win32病毒,简称PE病毒]2][1[。在绝大多数病毒爱好者中,真正的病毒技术在PE病毒中才会得到真正的体现。PE病毒同时也是所有病毒中数量极多、破坏性极大、技巧性最强的一类病毒]6[。
3.1.2脚本病毒
脚本(Script)病毒是以脚本程序语言(如VB Script、JavaScript、PHP)编写而成的病毒]1[。脚本病毒编写比较简单,并且编写的病毒具有传播快、破坏力大等特点]1[。例如,爱虫病毒、新欢乐时光病毒]6[等。就都是用VBS(VB Script)编写的,被称做VBS脚本病毒。但脚本病毒必须透过Microsoft的WSH(Windows Scripting Host)才能够启动执行以及感染其他文件。
3.1.3宏病毒
宏病毒是单独的一类病毒]1[,因为它与传统的病毒有很大的不同,他不感染.EXE、.COM等可执行文件,而是将病毒代码以“宏”的形式潜伏在Microsoft Office文档中,当采用Office软件打开这些染毒文件时,这些代码就会被执行并产生破坏作用。由于“宏”是使用VBA(Visual Basic For Application)这样的高级代码写的,因此其编写过程相对来说比较简单,而功能又十分强大。宏病毒的产生标志着制造病毒不再是专业程序员的专利,任何人只要掌握一些基本的“宏”编写技巧即可编写出破坏力极大的宏病毒。随着微软Office软件在全世界的不断普及,宏病毒成为传播最广泛、危害最大的一类病毒。
3.2 PE病毒原理
3.2.1 PE文件格式]8][2[
目前主流的操作系统是Windows操作系统,病毒要在Windows操作系统上进行传播和破坏,其病毒文件也必须遵循PE文件的格式结构,。目前流行的计算机病毒以蠕虫、木马等类型病毒为住,这一类的病毒文件也大都是PE格式的文件,因此,我们在这一节会详细介绍PE格式文件,这是分析病毒程序的基础。
3.2.1.1什么是PE文件格式
PE即Portable Executable,可移植、可执行,他是Win32可执行文件的标准格式。他的一些特性继承自UNIX的Coff(Common object file format)文件格式。Portable Executable就意味着此文件是跨Win32平台的,即使Windows运行在非
Intel的CPU上,任何Win32平台的PE装载器都能识别和使用该文件格式。因而,研究学习PE文件格式,除了有助于了解病毒的传染原理之外,还给我们提供了洞悉Windows结构的良机。
3.2.1.2PE文件格式详细剖析
PE文件的构成]2][1[如下:
表1 PE文件格式
DOS MZ Header
DOS Stub
PE Header
Section Table
Section 1
Section 2
…
Section n
1.DOS小程序
PE文件以一个简单的DOS MZ header开始。有了它,一旦程序在DOS下执行时,就能被DOS识别出这是否是有效的执行体,然后紧随MZ Header之后的是DOS Stub(DOS 插桩程序)实际上就是一个在DOS环境下简单调用21h中断显示“This program can not be run in DOS mode”或者“This program must be run under Win32”之类信息的小程序。
2.NT映像头
紧接着DOS Stub的是PE Header。PE Header是PE相关结构IMAGE_NI_HEADERS(NT映像头)的简称,他存放了PE整个文件信息分布的重要字段。
NT映像头包含了许多PE装载器用到的重要域。NT映像头的结构定义如下:IMAGE_NT_HEADER STRUCT
Signature dd ?
FileHeader IMAGE_FILE_HEADER <>
OptionalHeader IMAGE_OPTIONAL_HEADER32 <>
IMAGE_NT_HEADER ENDS
而这三部分分别有着各自的数据结构(参见Windows.inc文件)。
⑴Signature dd ?
字串“50\45\00\00”标志着NT映像头的开始,也是PE文件中与Windows 有关内容的开始。他的位置是在DOS程序头中的偏移3CH处的4个字节给出的。
⑵FileHeader
IMAGE_FILE_HEADER STRUCT
00H Machine 机器类型
02H NumberOfSection 文件中节的个数
04H TimeDataStamp 生成该文件的时间
08H PointerToSymbolTable COFF符号表的偏移
0CH NumberOfSymbols 符号数目
10H SizeOfOptionalHeader 可选头的大小
12H Characteristics 标记(exe或dll)
IMAGE_FILE_HEADER ENDS
其中第2项NumberOfSection 和第6项SizeOfOptionalHeader对于学习病毒是需要重点关注的]2[。
⑶OptionalHeader
由于OptionalHeader数据定义较多,现只列出与学习病毒较重要的一些域。
IMAGE_OPTIONAL_HEADER32 STRUCT
04H SizeOfCode 代码段的总尺寸
10H AddressOfEntryPoint 程序开始执行位置
14H BaseOfCode 代码节开始的位置
1CH ImageBase 可执行文件的默认装入的内存地址
20H SectionAlignment 可执行文件装入内存时节的对齐数字
24H FileAlignment 文件中节的对齐数字,一般是一个扇区
38H SizeOfImage 装入内存后映像的总尺寸
3CH SizeOfHeaders NT映像头+节表的大小
40H CheckSum 校验和
44H Subsystem 可执行文件的子系统
5CH NumberRvaAndSize 数据目录的项数,一般是16
60H DataDirectory[] 数据目录
IMAGE_OPTIONAL_HEADER32 ENDS
3.节表
紧接着NT映像头之后的是节表。节表实际上是一个结构数组,其中每个结构包含了该节的具体信息(每个结构占用28H)。该成员的数目由映像文件头(IMAGE_FILE_HEADER)结构中NumberOfSection域决定的。
节表的结构定义如下:
IMAGE_SECTION_HEADER STRUCT
00H Name 节名
08H PhyscicalAddress OBJ文件用做表示本节的物理地址
VirtualSize EXE文件中表示节的实际字节数
0CH VirtualAddress 本节的相对虚拟地址
10H SizeOfRawData 本节的经过文件对齐后的尺寸
14H PointerToRawData 本节原始数据在文件中的位置
18H PointerToRelocation OBJ中表示该节重定位信息的偏移
1CH PointerToLinenumbers 行号偏移
20H NumberOfRelocations 本节要重定位的数目
22H NumberOfLinenumbers 本节在行号中的行号数目
24H Characteristics 节属性
IMAGE_SECTION_HEADER ENDS
其中第2项VirtualSize 、第3项VirtualAddress、第4项SizeOfRawData、第5项PointerToRawData、第10项Characteristics需要重点关注的]2[。
3.2.2检验PE文件的有效性
检验PE文件的有效性对于有效地感染文件起着非常大的作用,因为只有在清楚了需要被感染的病毒文件是有效的PE文件时,才可以感染并且达到效果。
如何才能校验指定文件是否为一有效PE文件呢? 这个问题很难回答,完全取决于想要的精准程度。可以检验PE文件格式里的各个数据结构,或者仅校验一些关键数据结构。大多数情况下,没有必要校验文件里的每一个数据结构,只要一些关键数据结构有效,我们就认为是有效的PE文件了。]9[
1.校验程序流程
①首先检验文件头部第一个字的值是否等于IMAGE_DOS_SIGNA TURE (5A4Dh,即‘MZ’),是则DOS MZ Header 有效。
②一旦证明文件的DOS MZ Header 有效后,就可用e_lfanew(3CH处来)来定位PE Header 了。
③比较PE header 的第一个字的值是否等于IMAGE_NT_HEADER (4550h,即‘PE’)。如果前后两个值都匹配,那我们就认为该文件是一个有效的PE文件。
2.校验程序核心部分代码的实现]9[如下:
①edi已经指向IMAGE_DOS_HEADER结构。然后比较DOS MZ Header 的首字是否等于字符串"MZ",这里利用了Windows.inc中定义的IMAGE_DOS_SIGNA TURE常量。若比较成功,则转到判断PE Header,否则设V alidPE 值为FALSE,意味着文件不是有效PE文件。
mov edi, pMapping
assume edi:ptr IMAGE_DOS_HEADER
.if [edi].e_magic==IMAGE_DOS_SIGNA TURE 。
②已定位到PE header,需要读取DOS MZ Header中的e_lfanew域值。该域含有PE Header在文件中相对文件首部的偏移量。edi加上该值正好定位到PE Header的首字节。比较它是否是字符串"PE"。这里在此用到了常量IMAGE_NT_SIGNATURE,相等则认为是有效的PE文件。
add edi, [edi].e_lfanew
assume edi:ptr IMAGE_NT_HEADERS
.if [edi].Signature==IMAGE_NT_SIGNA TURE
mov V alidPE, TRUE
.else
mov V alidPE, FALSE
.endif
3.2.3病毒重定位
3.2.3.1为什么要重定位
病毒首先第一步就需要重定位,那到底为什么要重定位呢]2[?我们在写正常程序的时候根本不用去关心变量(常量)的位置,因为源程序在编译的时候它的内存中的位置都被计算好了。程序装入内存时,系统不会为它重定位。编程时我们需要用到变量(常量)的时候直接用变量名访问(编译后就是通过偏移地址访问)就行了。同时,病毒不可避免也要用到变量(常量),当病毒感染HOST程序后,由于其依附到HOST程序中的位置各有不同,病毒随着HOST载入内存后,病毒中的各个变量(常量)在内存中的位置自然也会随着发生变化。
假如病毒在编译后,其中一变量V ar的地址(004010xxh)就已经以二进制代码的形式固定了,当病毒感染HOST程序以后(即病毒相关代码已经直接依附到HOST程序中),由于病毒体对变量V ar的引用还是对内存地址004010xxh的引用(病毒的这段二进制代码并不会发生改变),而在HOST上的004010xxh的位置实际上已经不再存放变量V ar了,如果这个时候再用004010xxh的位置来调用V ar 那么肯定是无法成功的。这样就造成了病毒对变量的引用不准确,势必导致病毒无法正常运行。
既然如此,病毒就非常有必要对所有病毒代码中的变量进行重新定位。
3.2.3.2如何重定位
既然重定位是基本且非常重要的东西,那么重定位的具体方法就显得尤其重要了。本设计采用的是现在最普遍也是最有效的方法]4][2[。
我们先学习下call指令。call指令一般用来调用一个子程序或用来进行转跳,当这个语句执行的时候,它会先将返回地址(即紧接着call语句之后的那条语句在内存中的真正地址)压入堆栈,然后将IP置为call语句所指向的地址。当子程序碰到ret命令后,就会将堆栈顶端的地址弹出来,并将该地址存放在IP中。根据以上的描述,我们就可以采取一种调用call命令的方式来获得当前的重定位值。
重定位核心代码实现如下:
call relocate………………①
relocate:
pop ebp…………………..②
……
lea eax,[ebp+(offset V ar-offset relocate)]………③
①这条语句执行之后,堆栈顶端为relocate在内存中的真正地址。
②这条语句将relocate在内存中的真正地址存放在ebp寄存器中。
③这时eax中存放着V ar在内存中的真实地址。
当pop语句执行完之后,ebp中放的是什么值呢?很明显是病毒程序中标号relocate在内存中的真正地址。如果病毒程序中有一个变量V ar,那么该变量实际在内存中的地址应该是ebp+(offset V ar-offset relocate),即参考量relocate在内存中的地址+其它变量与参考量之间的距离=其它变量在内存中的真正地址。有时候我们也采用(ebp-offset relocate)+offset V ar的形式进行变量V ar的重定位。
还有一些其它重定位的方法,但是它们的基本原理都是一样的。
3.2.4获取API函数地址
3.2.
4.1为什么要获取API函数地址
Win32 PE病毒和普通Win32 PE程序一样需要调用API函数,但是普通的Win32 PE程序里面有一个引入函数表,该函数表对应了代码段中所用到的API 函数在动态连接库(如Kernel32.dll,User32.dll)中的真实地址。这样,调用API 函数时就可以通过该引入函数表找到相应API函数的真正执行地址。
但是,对于Win32 PE病毒来说,他一般只有一个代码段,他并不存在引入函数段。既然如此,病毒就无法像普通PE程序那样直接调用相关API函数,而应该先找出这些API函数在相应动态链接库中的地址。
3.2.
4.2如何获取API函数地址
1.获得Kernel32基地址]9][6[
如何获取API函数地址一直是病毒技术的一个非常重要的话题。要获得API 函数地址,我们首先需要获得Kernel32.dll的基地址。为什么我们需要先获得它呢?因为一旦我们获得了Kernel32.dll的基地址,那么获得从Kernel32引出的函数就成为了可能,即使用户用到了其他的API(如从User32.dll中引出的)函数。则可以使用从Kernel32中得到的LoadLibrary函数和GetProcAddress函数相结合得到其他API函数的地址。
下面介绍一种获得Kernel32基地址的方法:
利用HOST程序的返回地址,在其附近搜索Kernel32模块基地址。
当系统打开一个可执行文件的时候,它会调用Kernel32.dll中的CreateProcess 函数;CreateProcess函数在完成装载应用程序后,会先将一个返回地址压入到堆栈顶端,然后转向执行刚才装载的应用程序。当该应用程序结束后,会将堆栈顶端数据弹出放到IP中,继续执行。刚才堆栈顶端保存的数据其实就是在Kernal32.dll中的返回地址。其实这个过程跟同我们的应用程序用call指令调用子程序类似。
可以看出,这个返回地址是在Kernal32.dll模块中。另外PE文件被装入内存时是按内存页对齐的,只要我们从返回地址按照页对齐的边界一页一页地往低地址搜索,就必然可以找到Kernel32.dll的文件头地址,即Kernel32模块的基地址。
搜索Kernel32基地址的核心代码实现如下:
mov ecx,[esp] ………………①
xor edx,edx
getK32Base:
dec ecx ……………...………②
mov dx,word ptr [ecx+IMAGE_DOS_HEADER.e_lfanew]……③
test dx,0f000h ………………④
jnz getK32Base
cmp ecx,dword ptr
[ecx+edx+IMAGE_NT_HEADERS.OptionalHeader.ImageBase]
jnz getK32Base……………. ⑤
mov [ebp+offset k32Base],ecx….. ⑥
……
①将堆栈顶端的数据赋给ecx。
②逐字节比较验证,也可以一页一页地搜。
③就是ecx+3ch(比较方式类似判断PE文件的有效性第一步思想一致)。
④Dos Header+stub值不会太大,不可能超过4096byte。
⑤看Image_Base值是否等于ecx即模块起始值。
⑥如果是,就认为找到kernel32的Base值。
2.利用Kerner32基地址来获取API函数地址
在参照了引出表结构]2[之后,那么获得API函数地址的方法就不理解了。
⑴引出表的结构定义如下:
00H Characteristics
04H TimeDateStamp 文件生成时间
08H MajorV esion 主版本号
0AH MinerV esion 次版本号
0CH Name 指向DLL的名字
10H Base 开始的序号
14H NumberOfFunction AddressOfFunctions的项数
18H NumberOfNames AddressOfNames的项数
1CH AddressOfFunctions 指向函数地址的数组
20H AddressOfNames 指向函数名称的地址的数组
24H AddressOfNameOrdinals 指向输入序列号的数组
只要理解好最后5项的具体含义,那么搜索API地址的方法就显而易见了。AddressOfFunctions指向一个数组,这个数组的每个成员就指向了一个API函数
的地址,也就是说我们只要从这个数组里获得了一个API函数的地址,那么我们就可以使用相应的API函数了,但里面的API函数地址是按数组存放的,那么我们要使用一个指定的API函数,就必须知道该API函数在数组中的具体的位置,也就是一个索引号。
上面说的这个索引号则需要表中的最后2项来获得,AddressOfNames 与AddressOfNameOrdinals指向2个数组,一个是函数名字的数组,一个是函数名称的数组,一个是函数名字所对应的索引号的数组,这2个数组是一一对应的,也就是说,如果第一个数组中的第M项是我们要查找的函数的名字,那么第二个数组中的第M项就是该函数的索引号。这样我们就可以通过在第一个数组中查找我们需要查找的函数的名字,如果查到,便记住该项目在数组中的位置,然后再到第二个数组中相同位置就可以获得该函数在AddressOfFunctions中的索引号了。
解决以上问题后,我们就知道了如何利用引出表的结构来查找我们需要的函数地址了。但我们还得需要获得引出表的结构的地址,其实方法也比较简单,PE 文件中可选映像头中60H有一个数据目录表DataDirectory[],该目录表的第一个数据目录就存放了导出表结构的地址。
⑵已知API函数名称利用Kernel32 Base来获取函数地址的方法]6][2[
①定位到PE文件头。
②从PE文件头中的可选文件头中取出数据目录表的第一个数据目录,得到导出表的地址。
③从导出表的NumberOfNames字段得到以命名函数的总数,并以这个数字做微循环的次数来构造一个循环。
④从AddressOfNames字段指向的函数名称地址表的第一项开始,在循环中将每一项定义的函数名与要查找的函数名比较,如果没有任何一个函数名符合,说明文件中没有指定名称的函数。
⑤如果某一项定义的函数名与要查找的函数名符合,那么记住这个函数名在字符串地址表中的索引值(如x),然后在AddressOfNameOrdinals指向的数组中以同样的索引值x去找数组项中的值,假如该值为m。
⑥以m值作为索引值,在AddressOfFunctions字段指向的函数入口地址表中获取的RV A就是函数的入口地址,当函数被装入内存后,这个RV A值加上模块实际装入的基址(ImageBase),就得到了函数真正的入口地址。对于病毒来说,通常是通过API函数名称来查找API函数地址。
3.2.5文件操作
3.2.5.1关于文件搜索
1.文件搜索函数
搜索文件是病毒寻找目标文件的非常重要的功能。在Win32汇编中,通常采用三个API函数进行文件搜索。
①FindFirstFile 该函数根据文件名查找文件。
②FindNextFile 该函数根据调用FindFirstFile函数时指定的一个文件名查找下一个文件。
③FindClose 该函数用来关闭由FindFirstFile函数创建的一个搜索句柄。
2.文件搜索算法]2][1[
文件搜索一般采用递归算法进行搜索,也可以采用非递归搜索方法,这里我们仅介绍递归的算法
FindFile Proc
①指定找到的目录为当前工作目录。
②开始搜索文件(*.*)。
③该目录搜索完毕?是则返回,否则继续。
④找到文件还是目录?是目录则调用自身函数FindFile,否则继续。
⑤是文件,如符合感染条件,则调用感染模块,否则继续。
⑥搜索下一个文件(FindNextFile),转到③继续。
FindFile Endp
3.2.5.2内存映射文件
内存映射文件提供了一组独立的函数,是应用程序能够通过内存指针像访问内存一样对磁盘上的文件进行访问。这组内存映射文件函数将磁盘上的文件的全部或者部分映射到进程虚拟地址空间的某个位置,以后对文件内容的访问就如同在该地址区域内直接对内存访问一样简单。这样,对文件中数据的操作便是直接对内存进行操作,大大地提高了访问的速度,这对于计算机病毒来说,对减少资源占有是非常重要的。
1.内存映射文件函数
①CreateFileMapping该函数用来创建一个新的文件映射对象。
②MapViewOfFile 该函数将一个文件映射对象映射到当前应用程序的地址空间。
③UnMapViewOfFile 该函数在当前应用程序的内存地址空间解除对一个文件映射对象的映射。
④CloseHandle 该函数用来关闭一个内核对象,其中包括文件、文件映射、
进程、线程、安全和同步对象等。
2.内存映射文件方法]4][2[
在计算机病毒中,通常采用如下几个步骤:
①调用CreateFile函数打开想要映射的HOST程序,返回文件句柄hFile。
②调用CreateFileMapping函数生成一个建立基于HOST文件句柄hFile的内存映射对象,返回内存映射对象句柄hMap。
③调用MapViewOfFile函数将整个文件(一般还要加上病毒体的大小)映射到内存中。得到指向映射到内存的第一个字节的指针(pMem)。
④用刚才得到的指针pMem对整个HOST文件进行操作,对HOST程序进行病毒感染。
⑤调用UnmapViewFile函数解除文件映射,传入参数是pMem。
⑥调用CloseHandle来关闭内存映射文件,传入参数是hMap。
⑦调用CloseHandle来关闭HOST文件,传入参数是hFile。
3.2.5.3感染PE文件
1.文件感染操作相关函数
①CreateFile 该函数可打开和创建文件、管道、邮槽、通信服务、设备以及控制台。
②CloseHandle 该函数用来关闭一个内核对象,其中包括文件、文件映射、进。
③SetFilePointer 该函数在一个文件中设置当前的读写位置。
④ReadFile 该函数用来从文件中读取数据。
⑤WriteFile 该函数用来将数据写入文件。
⑥SetEndOfFile 该函数针对一个打开的文件,将当前文件位置设为文件末尾。
⑦GetFileSize 该函数得到指定文件的大小。
⑧FlushFileBuffers 该函数针对指定的文件句柄,刷新内部文件缓冲区。
2.文件感染的基本步骤]6[(添加病毒新节的方式)
①判断目标文件开始的两个字节是否为“MZ”。
②判断PE文件标记“PE”。
③判断感染标记,如果已被感染过则跳出继续执行HOST程序,否则继续。
④获得Directory(数据目录)的个数,(每个数据目录信息占8个字节)。
⑤得到节表起始位置。(Directory的偏移地址+数据目录占用的字节数=节表起始位置)。
⑥得到目前最后节表的末尾偏移(紧接其后用于写入一个新的病毒节)节表
起始位置+节的个数*(每个节表占用的字节数28H)=目前最后节表的末尾偏移。
⑦开始写入节表。
a) 写入节名(8字节)。
b) 写入节的实际字节数(4字节)。
c) 写入新节在内存中的开始偏移地址(4字节),同时可以计算出病毒入口位置上节在内存中的开始偏移地址+(上节大小/节对齐+1)×节对齐=本节在内存中的开始偏移地址。
d) 写入本节(即病毒节)在文件中对齐后的大小。
e) 写入本节在文件中的开始位置。
上节在文件中的开始位置+上节对齐后的大小=本节(即病毒)在文件中的开始位置。
f) 修改映像文件头中的节表数目。
g) 修改AddressOfEntryPoint(即程序入口点指向病毒入口位置),同时保存旧的AddressOfEntryPoint,以便返回HOST继续执行。
h) 更新SizeOfImage(内存中整个PE映像尺寸=原SizeOfImage+病毒节经过内存节对齐后的大小)。
i) 写入感染标记(后面例子中是放在PE头中)。
j) 写入病毒代码到新添加的节中。
k) 将当前文件位置设为文件末尾。
PE病毒感染其他文件的方法还有很多,譬如PE病毒还可以将自己分散插入到每个节的空隙中,他的好处就是病毒不增长,但难度较大。
3.文件感染需要注意的细节]2[
为了提高自己的生存能力,病毒是不应该破坏HOST程序的,既然如此,病毒应该在病毒执行完毕后,立刻将控制权交给HOST程序。
返回HOST程序相对来说比较简单,病毒在修改被感染文件代码开始执行位置(AddressOfEntryPoint)时,应该保存原来的值,这样,病毒在执行完病毒代码之后用一个跳转语句跳到这段代码处继续执行即可。注意,在这里,病毒先会做出一个“现在执行程序是否为病毒启动程序”的判断,如果不是启动程序,病毒才会返回HOST程序,否则继续执行程序其它部分。
4 Windows PE文件病毒的研究及实现
4.1病毒程序实现
4.1.1病毒程序编写背景
21世纪是信息的时代,信息成为一种重要的战略资源,信息科学成为最活跃学科领域之一,信息技术改变着人们的生活和工作方式,信息产业成为新的经
济增长点。信息的安全保障能力成为一个国家综合国力的重要组成部分。
随着计算机和互联网技术的快速发展和广泛应用,计算机网络系统的安全受到严重的挑战,来自计算机病毒和黑客的攻击及其其他方面的威胁越来越大。其中,计算机病毒更是计算机安全中很难根治的主要威胁之一。
通过对计算机病毒的认识,研究以达到更加深刻地了解病毒,只有了解计算机病毒的原理,掌握计算机病毒的防治技术,正确认识计算机病毒,才可更加有效地对抗计算机病毒和减少计算机病毒带来的损失。
4.1.2病毒程序基本功能介绍
1.传播性
①实现对本机指定EXE文件的感染,本机被病毒感染的EXE程序在正常运行时会激活病毒并继续感染下一个需要感染的EXE程序,且在不满足发作条件的情况下可以正常运行,并无异样。
②主机间的传播通过U盘来传播,在本机已经感染的情况下,如果有U盘已经插入,则会感染U盘,如果用户下次在另一台主机上使用U盘若警惕行不高,则极容易被感染病毒。
2.潜伏性
①病毒在固定的一个时间段内发作,病毒文件也为系统文件并且隐藏,有一定的隐蔽性,病毒会寄生在HOST中,和系统目录下,只有在满足发作条件时才会影响用户使用。其他时候,程序都能正常使用。
3.破坏性
①在主机感染了病毒程序后,任务管理器会被禁用、注册表无法打开。
②记事本程序无法运行,每直接运行一次NOTEPAD.EXE都会激活一次病毒程序。
③WinRAR被感染,每使用WinRAR都可能激活一次病毒。
④病毒发作时会出现中病毒的提示框,并显示病毒的长度。
⑤病毒发作时会自动关机。
4.1.3病毒程序编写环境
Windows XP 操作系统
VMware Workstation虚拟机
UltraEdit-32文本编辑器
masm32v8编译器
OllyDbg动态跟踪调试器
4.1.4病毒程序简要流程框图
框图将程序的5个模块的功能流程做了粗略的表达。如图1。
4.1.5病毒程序主模块-JERRY.ASM
主模块实现病毒的重定位,查找Kernel32基地址,调用SearchAPI搜索相应的API函数地址,文件操作,调用Modify_PE感染HOST文件,调用EffectU感染主机和U盘,调用Burst发作。流程参照图1。
4.1.6病毒程序搜索API函数模块-SearchAPI.ASM
1.基本流程图
通过已知函数名称和Kerner32引出表来查找所需API函数地址并存放,方便以后使用。相关理论知识参照2.2.4获取API函数地址。基本搜索流程如图2。
2.核心代码
lea edi,[ebp+aGetModuleHandle] ;EDI指向API函数地址存放位置
lea esi,[ebp+lpApiAddrs] ;ESI指向API函数名字串偏移地址Loop_Get_API:
lodsd ;EAX,DS:ESI
cmp eax,0
jz End_Get_API
add eax,ebp
push eax ;第一次EAX中放着GetModuleHandleA
计算机病毒简答题 一、名词解释 1、计算机病毒:编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。 2、特洛伊木马:是一种与远程计算机之间建立起连接,使远程计算机能够通过网络控制用户计算机系统并且可能造成用户的信息损失、系统损坏甚至瘫痪的程序。 3、Word宏病毒:是一些制作病毒的专业人员利用Microsoft Word的开放性专门制作的一个或多个具有病毒特点的宏的集合,这种病毒宏的集合影响到计算机的使用,并能通过DOC 文档及DOT模板进行自我复制及传播。 4、手机病毒:以手机为感染对象,以手机网络和计算机网络为平台,通过病毒短信等形式,对手机进行攻击,从而造成手机异常的一种新型病毒。 5、蠕虫:是一种通过网络传播的恶性病毒,它具有病毒的一些共性,如传播性、隐蔽性和破坏性等,同时蠕虫还具有自己特有的一些特征,如不利用文件寄生(有的只存在于内存中),对网络造成拒绝服务,以及和黑客技术相结合等。 6、流氓软件:是介于病毒和正规软件之间,同时具备正常功能(下载、媒体播放等)和恶意行为(弹广告、开后门)的软件,给用户带来实质危害。 7、僵尸网络:是指控制者采用一种或多种传播手段,将Bot程序(僵尸程序)传播给大批计算机,从而在控制者和被感染计算机之间所形成的一个可一对多控制的网络。 8、计算机病毒的预防技术:是指通过一定的技术手段防止计算机病毒对系统进行传染和破坏,实际上它是一种预先的特征判定技术。 9、网络钓鱼:利用欺骗性的电子邮件和伪造的Web站点进行诈骗活动,受骗者往往会泄露自己的重要数据,如信用卡号、账户用户名、口令和社保编号等内容。 10、计算机病毒抗分析技术:是针对病毒的分析技术提出的,目的是使病毒分析者难以分析清楚病毒原理,主要有加密技术、反跟踪技术等。 二、简答题 1、根据计算机病毒的发展趋势和最新动向,你认为现有哪些病毒代表了这些趋势? 答:计算机病毒的发展趋与计算机技术的发展相关。根据近期病毒的特征,可以看出新世纪纪电脑病毒具有以下新特点:网络化、专业化、智能化、人性化、隐蔽化、多样化和自动化。一些蠕虫病毒、木马病毒、恶意程序等代表了这些趋势。 2、计算机病毒包含四大功能模块,并且在系统中病毒表现为静态和动态两个状态,请叙述四大功能模块之间的关系,以及状态的转换过程。 答:计算机病毒一般由感染模块、触发模块、破坏模块(表现模块)和引导模块(主控模块)四大部分组成。根据是否被加载到内存,计算机病毒又分为静态和动态。处于静态的病毒存于存储介质中,一般不能执行感染和破坏功能,其传播只能借助第三方活动(例如:复制、下载和邮件传输等)实现。当病毒经过引导功能开始进入内存后,便处于活动状态(动态),满足一定触发条件后就开始进行传染和破坏,从而构成对计算机系统和资源的威胁和毁坏。 3、请简述木马和远程控制程序之间的关系。 答:木马和远程控制软件都是通过远程控制功能控制目标计算机。实际上它们两者的最大区别就在于是否隐蔽起来。远程控制软件在服务器端运行时,客户端与服务器端连接成功后客户端机上会出现很醒目的提示标志,而木马类软件的服务器端在运行的时候应用各种手段隐藏自己,根本不可能有现什么提示。 4、木马和普通的计算机病毒有什么区别? 答:从计算机病毒的定义和特征可以看出,木马程序与病毒有十分明显的区别。最基本的区别就在于病毒有很强的传染性,而木马程序却没有。木马不能自行传播,而是依靠宿主以其
一、计算机病毒的概念 定义:计算机病毒是一段附着在其他程序上的可以实现自我繁殖的程序代码。(国外) 定义:计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码,就像生物病毒一样,计算机病毒有独特的复制能力。计算机病毒可以很快地蔓延,又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时,它们就随同文件一起蔓延开来。 (国内) 病毒产生的原因: 计算机病毒是高技术犯罪,具有瞬时性、动态性和随机性。不易取证,风险小破坏大。 1)寻求刺激:自我表现;恶作剧; 2)出于报复心理。 病毒的特征: 传染性;寄生性;衍生性; 隐蔽性;潜伏性; 可触发性;夺取控制权; 破坏性与危害性; 病毒的分类: 按破坏性分为:良性;恶性。按激活时间分为:定时;随机 按传染方式分为: 引导型:当系统引导时进入内存,控制系统; 文件型:病毒一般附着在可执行文件上; 混合型:既可感染引导区,又可感染文件。 按连接方式分为: OS型:替换OS的部分功能,危害较大; 源码型:要在源程序编译之前插入病毒代码;较少; 外壳型:附在正常程序的开头或末尾;最常见; 入侵型:病毒取代特定程序的某些模块;难发现。 按照病毒特有的算法分为: 伴随型病毒:产生EXE文件的伴随体COM,病毒把自身写入COM文件并不改变EXE文件,当DOS加载文件时,伴随体优先被执行到,再由伴随体加载执行原来的EXE文件。 “蠕虫”型病毒:只占用内存,不改变文件,通过网络搜索传播病毒。 寄生型病毒:除了伴随和“蠕虫”型以外的病毒,它们依附在系统的引导扇区或文件中。 变型病毒(幽灵病毒):使用复杂算法,每传播一次都具有不同内容和长度。一般的作法是一段混有无关指令的解码算法和被变化过的病毒体组成。 引导型病毒种类大麻病毒香港病毒米氏病毒Pakistani Brain(巴基斯坦大脑) Stoned(石头)ExeBug Monkey 病毒的组成: 安装模块:提供潜伏机制; 传播模块:提供传染机制; 触发模块:提供触发机制; 其中,传染机制是病毒的本质特征,防治、检测及 杀毒都是从分析病毒传染机制入手的。 计算机病毒的传播过程可简略示意如下: 病毒的症状 启动或运行速度明显变慢;文件大小、日期变化;死机增多;莫名其妙地丢失文件;磁盘空间不应有的减少;有规律地出现异常信息;自动生成一些特殊文件;无缘无故地出现打印故障。 计算机病毒的传播途径
《计算机应用基础》课后习题简答题答案 习题一 1、计算机的应用领域主要有哪些? 答:1、科学计算;2、事务处理;3、过程控制;4、辅助工程;5、网络应用 2、何谓指令?指令中的操作码、操作数何作用? 答:指令是规定计算机执行一种操作的一组用二进制数表示的符号;操作码表示基本操作;操作数表示操作的对象。 3、高级语言与机器语言的主要区别是什么? 答:1、用高级语言编写程序,程序简洁、易修改,且具有通用性,编程效率高;但高级语言需要翻译或解释才能执行; 2、用机器语言编写程序,难学、难记,且容易出错和难于修改还依赖于机器,但机器语言可直接在机器上执行。 4、计算机系统主要有哪些特点? 答:1、计算机系统通常由硬件系统和软件系统两大部分组成。其中,硬件系统是指实际的物理设备,是计算机工作的基础;软件系统是指计算机中各种程序和数据,是计算机的灵魂。 2、计算机的硬件和软件是相辅相成的,二者缺一不可。只有硬件和软件协调配合,才能发挥出计算机的强大功能,为人们服务。 5、计算机系统中,为什么要使用二进制数? 答:二进制数具有以下优越性:1、技术可行性;2、运算简单性;3、吻合逻辑性。 6、简要说明内存储器中RAM和ROM的主要区别。 答:RAM是允许用户随时进行读写数据的存储器。开机后,计算机系统需要的程序和数据调入RAM中,再由CPU取出执行,用户输入的数据和计算的结果也存储在RAM中。
关机断电后,RAM中数据就全部丢失。 ROM是只允许用户读取数据,不能定稿数据的存储器。ROM常用来存放系统核心程序和服务程序。开机后ROM中就有数据,断电后ROM中的数据也不丢失。 7、简要说明计算机中内存储器和外存储器的主要作用。 答:内存储器主要用来存放CPU工作时用到的程序和数据以及计算后得到的结果;外存储器主要用来存放CPU暂时不用的、需要长期保存的程序和数据。 8、按照资源管理的观点,操作系统主要有哪些功能? 答:按照资源管理的观点,操作系统的功能可分为:1、处理器管理;2、存储器管理;3、设备管理;4、文件管理;5、作业管理 9、计算机的硬件系统主要由哪些部分组成?分别说明各部分的主要作用。 答:计算机硬件系统主要由控制器、运算器、存储器、输入设备和输出设备5部分组成。其中: 1、控制器是计算机的指挥控制中心,它根据用户程序中的指令控制机器各部分协调工作; 2、运算器是专门负责处理数据的部件,是对各种信息进行加工的工具; 3、存储器是专门用来存放程序和数据的部件; 4、输入设备是人们向计算机输入程序和数据的一类设备; 5、输出设备是计算机向人们输出结果的一类设备。 10、什么是多媒体计算机?多媒体计算机主要有哪些基本特性? 答:多媒体计算机是指能够处理文字、声音、图形、图像、动画等多种媒体信息的计算机系统。它运用多媒体技术,通过计算机以交互的方式,自主地获取、处理、传播、展示丰富多彩的信息。多媒体计算机有三个基本特性: 1、处理信息形式的多样性; 2、多媒体技术的集成性; 3、人与多媒体计算机的交互
1.简述计算机病毒的基本特征,列出几种你所知道的计算机病毒 (1)传染性:计算机病毒通过各种渠道从已被感染的文件扩散到其他文件,从已被感染的计算机扩散到其他计算机,达到自我繁殖的目的没这就是计算机病毒的传染性。(2)潜伏性:计算机病毒感染一台计算机后会潜伏下来,伺机向外传播。(3)隐蔽性:系统被感染病毒后通常附在正常程序中或磁盘较隐蔽的位置。一般情况下用户感觉不到它的存在,只有在其发作时用户才知道。(4)破坏性:大多病毒含有明确的破坏性目的,如破坏数据、删除文件、格式化磁盘等。 常见病毒有:冲击波、小邮差、红色代码、欢乐时光、MSN射手、格式化C盘、杀手命令、熊猫烧香 1)系统病毒,如CIH病毒2)蠕虫病毒,如冲击波,小邮差等3)木马病毒、黑客病毒,如QQ消息尾巴木马,网络枭雄4)脚本病毒,如红色代码,欢乐时光等5)宏病毒,如美丽莎6)后门病毒7)病毒种植程序,如冰河播种者、MSN射手等8)破坏性程序病毒,如格式化C盘、杀手命令等9)玩笑病毒,如女鬼病毒10)捆绑机病毒,如捆绑QQ、系统杀手等 2.什么是计算机病毒?列出几种病毒的防御方法 计算机病毒指“编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。 常用的计算机病毒防御方法有:1) 提高计算机用户的病毒防范意识2) 安装防火墙以及病毒监控软件,并且经常更新和升级这些软件3) 经常查找操作系统及其他系统软件的漏洞,并且经常更新和升级这些软件4) 经常用杀毒软件全面扫描计算机的所有硬盘分区,查找潜伏的病毒,特别是对移动存储设备,在连接到计算机后首先就是进行病毒扫描。5) 反病毒软件必须经常更新6) 不要浏览不健康的网站并且从上面下载内容7) 不要打开那些来历不明的电子邮件8) 拒绝盗版软件9) 定期备份数据 3.请简述数的定点表示与浮点表示的异同点 相同点:定点和浮点表示都是数值的表示方法 不同点:数的定点表示是指数据中小数点的位置固定不变,一般用来表示一个纯小数或者整数。熟知的取值范围有限。表示一个纯小数时,小数点固定在符号位之后;表示一个整数时,小数点固定在数据最后一位之后。数的浮点表示法是指表示一个数时,其小数点的位置是浮动的。他实际上是数的指数计数法在计算机中的具体体现,解决了定点表示中取值范围过窄的问题。浮点表示中,数由两部分构成,一是阶码部分,二是尾数部分。 4.简述外存储器光盘和U盘各自的优缺点 光盘的优点:(1)存储容量大。(2)可靠性高,易于保存。由于是通过激光束对光盘记录的信息进行识别,没有磨损,光盘也没有受潮及发霉的问题,可靠性高,信息保存时间可达50年左右。(3)可随时读取,查询方便。(4)信息存储密度高,单位成本低。 光盘的缺点:(1)光盘需要额外的驱动器,且存储数据比较困难。(2)携带不方便,不密封,容易沾染灰尘和划伤。(3)除了可擦写盘外,不能重复使用。 U盘的优点:(1)U盘不需要额外的驱动器,存取数据极为方便,且可以重复读取。(2)U 盘体积很小携带方便。 U盘的缺点:(1)价格相应较高。(2)不能猛烈碰撞,相比光盘,容易损坏。 5.什么是剪贴板,并且说明剪贴板的主要操作和对应的快捷键
(1)课堂知识点: 项目七计算机病毒知识与防范 主要知识点 一、计算机病毒概述 计算机病毒是指“编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。 一般地,计算机病毒都具有以下特性: 1.寄生性2.传染性3.潜伏性 4.可触发性5.针对性6.隐蔽性 二、计算机病毒的防范、检测 用防病毒软件来防范病毒需要定期自动更新或者下载最新的病毒定义、病毒特征。但是防病毒软件的问题在于它只能为防止已知的病毒提供保护。因此,防病毒软件只是在检测已知的特定模式的病毒和蠕虫方面发挥作用。 三、计算机木马及其防护 全称“特洛伊木马(Trojan Horse)”,古希腊士兵藏在木马内进入敌城,占领敌城的故事 计算机木马指:黑客在可供网络上传下载的应用程序或游戏中,添加可以控制用户计算机系统的程序,可能造成用户的系统被破坏甚至瘫痪。 四、与计算机病毒相关的一些知识 漏洞:系统上的软件再编写的时候总有疏漏的地方这些疏漏会引起软件的不兼容(死机)还有就是容易被黑客利用破环电脑。 (2)上机任务(可以先做习题再阅读材料) 一、阅读资料里的材料:(100分钟) 1、CHI病毒; 2、病毒演示; 3、灰鸽子; 4、计算机病毒; 5、熊猫烧香; 6、梅丽莎病毒; 7、手机病毒;8、九大流氓软件 二、完成以下习题:(50分钟) 1、病毒的传染性是指它可以通过自我复制进行传播并感染其它文件。(A)
A:对B:错 2、通常所说的“计算机病毒”是指(D) A:细菌感染B:生物病毒感染C:被损坏的程序D:特制的具有破坏性的程序 3、下列四个选项中不属于计算机病毒特征的有:( D ) A:文件大B:可触发性C:破坏性D:欺骗性 4、对于已感染了病毒的U盘,最彻底的清除病毒的方法是(D ) A.用酒精将U盘消毒 B.放在高压锅里煮 C.将感染病毒的程序删除 D.对U盘进行格式化 5、以下措施不能防止计算机病毒的是(A) A.保持计算机清洁 B.先用杀病毒软件将从别人机器上拷来的文件清查病毒 C.不用来历不明的U盘 D.经常关注防病毒软件的版本升级情况,并尽量取得最高版本的防毒软件 6、下列4项中,不属于计算机病毒特征的是_(D) A.潜伏性 B.传染性 C.激发性 D.免疫性 多选 1、在日常使用电脑时我们应该怎样预防计算机病毒(ABCD )。 A:在交换使用软盘或光盘时一定要用反病毒软件进行扫描查毒工作。 B:管理好自己的电脑,最好不要让别人随便乱动。 C:要时常关心病毒的活动动向,定期定时升级你的反病毒软件。 D:不访问不合法和反动的网站。 2、常用的杀毒软件有(ABCD)。 A:瑞星2008 B:江民2007 C:360安全卫士 D:卡巴斯基 3、计算机病毒是指具有自我复制能力的程序或脚本语言,常见的计算机病毒有(ABCD )。 A:引导型病毒。 B:文件型病毒。 C:混合型病毒。 D:电子邮件病毒。 4、计算机病毒的特点有:(ABCD ) A:程序短小 B:寄生 C:感染 D:传播 简答题: 1、谈谈你对网络道德的认识,你认为社会责任应该包括哪些? 所谓网络道德,是指以善恶为标准,通过社会舆论、内心信念和传统习惯来评价人们的上网行为,调节网络时空中人与人之间以及个人与社会之间关系的行为规范。 社会责任包括企业环境保护、社会道德以及公共利益等方面,由经济责任、持续发展责任、
2. 从层次上,网络安全可以分成哪几层?每层有什么特点? 答:从层次体系上,可以将网络安全分为4个层次上的安全: (1)物理安全特点:防火,防盗,防静电,防雷击和防电磁泄露。 (2)逻辑安全特点:计算机的逻辑安全需要用口令、文件许可等方法实现。 (3)操作系统特点:操作系统是计算机中最基本、最重要的软件。操作系统的安全是网络安全的基础。 (4)联网安全特点:联网的安全性通过访问控制和通信安全两方面的服务来保证。 第二章 1、简述OSI参考模型的结构。 答:(1)物理层:物理层是最底层,这一层负责传送比特流,它从第二层数据链路层接收数据帧,并将帧的结构和内容串行发送,即每次发送一个比特。 (2)数据链路层:它肩负两个责任:发送和接收数据,还要提供数据有效传输的端到端连接。(3)网络层:主要功能是完成网络中主机间的报文传输。 (4)传输层:主要功能是完成网络中不同主机上的用户进程之间可靠的数据通信。(5)会话层:允许不同机器上的用户之间建立会话关系。会话层允许进行类似传输层的普通数据的传送,在某些场合还提供了一些有用的增强型服务。允许用户利用一次会话在远端的分时系统上登录,或者在两台机器间传递文件。会话层提供的服务之一是管理对话控制。(6)表示层:表示层完成某些特定的功能,这些功能不必由每个用户自己来实现。表示层服务的一个典型例子是用一种一致选定的标准方法对数据进行编码。(7)应用层:包含大量人们普遍需要的协议。 第四章 2. 黑客在进攻的过程中需要经过哪些步骤?目的是什么? 答:(1)隐藏IP:实现IP的隐藏使网络攻击难以被侦破。 (2)踩点扫描:踩点是通过各种途径对所要攻击的目标进行多方面的了解,确定攻击的时间和地点,扫描的目的是利用各种工具在攻击目标的IP地址或地址段上的主机上寻找漏洞。(3)获得系统或管理员权限:得到管理员权限的目的是连接到远程计算机,对其控制,达到自己攻击的目的。 (4)种植后门:为了保持长期对胜利胜利果实的访问权,在已经攻破的计算机上种植一些供自己访问的后门。 (5)在网络中隐身:清除登陆日志及其他相关的日志,防止管理员发现。 5.扫描分成哪两类?每类有什么特点?可以使用哪些工具进行扫描、各有什么特点? 答:(1)网络扫描一般分为两种策略:一种是主动式策略;另外一种是被动式策略。 (2)被动式策略特点:基于主机之上的,对系统中不合适的设置、脆弱的口令及其他同安全规则相抵触的对象进行检查,被动式扫描不会对系统造成破坏。工具及特点:GetNTUser:系统用户扫描;PortScan:开放端口扫描;Shed:共享目录扫描。 (3)主动式策略特点:基于网络的,它通过执行一些脚本文件模拟对系统进行攻击的行为并记录系统的反应,从而发现其中的漏洞。主动式扫描对系统进行模拟攻击可能会对系统造成破坏。工具及特点:X-Scan-v2.3 :对指定IP地址段(单机)进行安全漏洞检测。 第五章 4、简述缓冲区溢出攻击的原理 答:当目标操作系统收到了超过了它的能接收的最大信息量时,将发生缓冲区溢出。这些多余的数据使程序的缓冲区溢出,然后覆盖实际的程序数据。缓冲区溢出使目标系统的程序被修改,经过这种修改的结果将在系统上产生一个后门。
信息技术简答题 信息技术基础知识 1、信息的概念及其主要特征 答:信息是客观世界中各种食物的运动状态和变化的反映,是客观事物之间相互联系和相互作用的表征,表现的是客观事物运动状态和变化的实质内容。 其主要特点: (1)社会性(2)传载性(3)不灭性(4)共享性(5)时效性(6)能动性 2、信息技术的概念和特点 答:信息技术就是能够提高和扩展人类信息能力的方法和手段的总称。这些方法和手段主要指完成信息产生、获取、检索、识别、变换、处理、控制、分析、显示及利用的技术。 特点主要有以下方面: (1)数字化(2)网络化(3)高速化(4)智能化(5)个人化 3、信息安全的基本特征和基本内容 答:信息安全的基本特征 (1)完整性:信息在存储或传输过程中保持不被修改、不被破坏和不丢失。 (2)可用性:信息可被合法用户访问并按其要求的特性使用。 (3)保密性:不泄露给非授权的个体或实体。 (4)可控性:对信息的传播及内容具有控制能力。 信息安全的基本内容 (1)实体安全。 (2)运行安全。 (3)信息资产安全。 (4)人员安全 4、什么是计算机病毒?计算机病毒有什么特点? 答:计算机病毒是一种人为制造的隐藏在计算机系统内部的能够自我复制进行传播的破坏计算机功能或者破坏数据,影响计算机使用的程序或指令代码。计算机病毒的特点有传染性、破坏性、隐蔽性、潜伏性、触发性和非法性。 5、计算机病毒有哪些传播途径?如何预防计算机病毒? 计算机病毒传播途径有移动存储设备包括软磁盘、优盘、移动硬盘等和计算机网络。计算机病毒防治应采用“主动预防为主,被动处理结合”的方法。 (1)不使用来历不明和无法确定是否带有病毒的磁盘和优盘等。 (2)慎用公用软件和共享软件。 (3) 不做非法复制。 (4) 尽量做到专机专用,专盘专用。 (5) 软盘应写保护,系统盘中不要装入用户程序或数据。 (6) 定期更新病毒库,及时升级杀毒软件。 (7)对来历不明的邮件要进行处理后方可阅读。 (8)经常对系统进行查毒杀毒。 多媒体知识 1、媒体的分类有哪些?什么是多媒体? 答:根据国际电话电报咨询委员会CCITT的分类可以分成以下五类: (1)感觉媒体,(2)表示媒体(3)表现媒体(4)存储媒体(5)传输媒体。 多媒体是指把文字、图形、图像、声音、动画等多种媒体有机结合成一种人机交互式信息媒
计算机应用基础知识疑难解答:计算机基础知识第一章简述计算 机的发展情况。1、至 ENIAC1946答:年2月,美国的宾夕法尼亚大学研制成功了世界上第一台计算机——今,按计算机所采用的电子元件的变化来划分计算机的发展阶段,大致可分为四代:(电子管)计算机,主要应用科学计算和军事计算第一代 1946-1957 (晶体管)计算机,主要应用于数据处理领域第二代 1958-1964 (中小规模集成电路)计算机,主要应用于可科学计算,数据处理,第三代 1964-1971 工业控制等领域家庭和个人开始使第四代 1971年以来深入到各行各业,(大 规模超大规模集成电路),用计算机。计算机性能指标有哪些?2、答:计算 机的性能指标有:字长、主频、运行速度和内存储容量。字节是存储器可容纳的二进制信息量称为存储容量,存储容量的基本单位3.,GBMB、bit(比特),常用的存储容量单位还有KB、(Byte),最小单位是它们之间的关系为: 2 B) 1Byte=8bit(二进制位) 1KB=1024(即)(即2 B2 B) 1GB=1024MB 1MB=1024KB (即 简述计算机的应用领域。4.答:计算机的应用领域有:科学计算、数据处理、过程控制、计算机辅助系统、人工智能和网络应用。简述计算机的设计原理。 5.程序控制”诺依曼提出了?“程序存储、答:计算机的 设计原理是根据美籍匈牙利科学家冯的设计思想,同时指出计算机的构成包括以下三个方面:)由运算器、存储器、控制器、输入、输出设备五大基本部件组成计算机系统,并规(1定了五大部件的基本功能。)计算机内部应采用二进制表示数据和指令。(2 )程序存储、程序控制。(3 6.简述 微型计算机系统的组成。 答:一个完整的计算机系统由硬件系统和软件系统两大部分组成。计算机硬件主要由五大部分组成:运算器、控制器、存储器、输入设备和输出设备;硬件提供计算机系统的物质介质。计算机软件包括系统软件和应用软件两大类。软件主要是指让计算机完成各种任务所需的程序。 硬件系统主要由运算器、控制器、存储器、输入设备和输出设备五大部分构成。即:硬件包括主机、键盘、鼠标和显示器。他们之间的逻辑关系如下图所示:
第一章 一.简述计算机病毒的定义: 编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。 二.简述计算机病毒的主要特征: 1.程序性;2. 隐蔽性;3. 潜伏性;4. 可触发性;5. 表现性;6. 破坏性;7. 传染性;8.针对性;9.寄生性;11. 变异性; 三.按寄生方式分类,计算机病毒主要分哪几类? 1.覆盖型病毒(512病毒); 2.代替型病毒(打印病毒); 3.链接型病毒(黑色星期五); 4.填充型病毒(勒海病毒); 5.转储型病毒(小球病毒); 四.计算机病毒产生的主要技术原因有哪些? 1.计算机的体系结构上的缺点; 2.缺乏整体安全性和完整性的设计和检测; 3.安全性和开放性的矛盾; 五.简述计算机发展的主要阶段。 1.DOS引导阶段; 2.DOS可执行阶段; 3.伴随、批次型阶段; 4.幽灵、多形阶段; 5.生成器、变体机阶段; 6.网络、蠕虫阶段; 7.视窗阶段; 8.宏病毒阶段; 9.互联网阶段; 10.Java、邮件炸弹阶段; 六.计算机发展的主要技术。 1.抗分析病毒技术; 2.隐蔽性病毒技术; 3.多态性病毒技术; 4.插入性病毒技术; 5.超级病毒技术; 6.病毒自动生成技术; 7.跨平台病毒技术; 8.Internet病毒技术; 第二章 一.计算机逻辑结构由哪些部分组成? (1)感染标志,(2)引导模块,(3)传染条件判断模块、实施传染模块,(4)表现或破坏条件判断模块、实施表现后破坏模块。 二.系统型病毒和文件型病毒在存储结构上有哪些不同? 系统型病毒是专门感染操作系统的启动扇区,主要指感染主引导扇区和DOS引导扇区的病毒。分两部分,第一部分存放在磁盘引导扇区中,第二部分存放在磁盘的其他扇区中。 文件型病毒是指专门感染系统中的可执行文件,即扩展名为COM、EXE的文件或依赖于文件而发作的病毒。绝大多数文件型病毒属于所谓的外壳病毒。 计算机病毒一般不存在与数据文件中。 三.计算机病毒的生命周期分为那几个阶段? —开发期—传染期—潜伏期—发作期—发现期—消化期—消亡期— 四.计算机病毒是如何传播的? 1 被动传播:用户在复制磁盘文件时,把一个病毒由一个载体复制到另一个载体上。或者是通过网络上的信息传递,把一个病毒程序从一方传递到另一方。 2 主动传播:以计算机系统的运行以及病毒程序处于激活状态为先决条件。在病毒处于激活的状态下,只要传染条件满足,病毒程序能主动地吧病毒自身传染给另一个载体或另一个系统。 五.计算机病毒在什么情况下会发作? 满足触发条件则发作。 触发条件:1. 日期触发;2. 时间触发;3.键盘触发;4.感染触发;5. 启动触发;6. 访问磁盘次数触发;7. 调用终端功能触发;8. CPU型号/主板型号触发 六.计算机病毒通常会有哪些破坏作用?
第一章计算机基础知识(一) 1、简述计算机的发展情况? 答:1946年2月,美国的宾夕法尼亚大学研制成功了世界上第一台计算机——ENIAC至今,按计算机所采用的电子元件的变化来划分计算机的发展阶段,大致辞可分为四代: 第一代为电子管计算机(1946——1958)计算机所采用的主要电子元件是电子管。 第二代为晶体管计算机(1959——1964)计算机所采用的主要电子元件是晶体管,这一时期了出现了管理程序及某些高级语言。 第三代为集成电路计算机(1965——1970)计算机所采用的主要电子元件是中小规模集成电路,出现操作系统,出现了分时操作系统和实时操作系统等。 第四代为大规模、超大规模集成电路计算机(1971至今)计算机所采用的主要电子元件是大规模、超大规模集成电路,出现了微型计算机及巨型计算机等多种类型的计算机,并向微型化、巨型化、智能化和多媒体化方向发展。 2、计算机的特点包括哪些? 答:计算机的特点有:(1)运算速度快;(2)精确度高;(3)具 有“记忆”功能和逻辑判断功能;(4)具有自动运行能力。 3、计算机性能指标有哪些? 答:计算机的性能指标有:字长、主频、运行速度和内存储容量。MIPs 4、简述计算机的应用领域。 答:计算机的应用领域有:科学计算、数据处理、过程控制、计算机辅助系统、人工智能和网络应用。 5、简述微型计算机系统的组成。 答:一个完整的计算机系统由硬件系统和软件系统两大部分组成。计 算机硬件主要由五大部分组成:运算器、控制器、存储器、输入设备 和输出设备;硬件提供计算机系统的物质介质。计算机软件包括系统 软件和应用软件两大类。软件主要是指让计算机完成各种任务所需的程序。
第一章 1.计算机病毒的定义:计算机病毒是一种人为制造、能够进行自我复制的,具有对计算机资源的破坏作用的一组程序或指令的集合。 2.计算机病毒的特征与本质:(大概了解) 特性:自我复制能力,很强的感染性,一定的潜伏性,特定的触发性,很大的破坏性。首先其本质是程序,而且是具有传染性的程序,也即可以反复执行或复制的程序 3.计算机病毒的分类:按寄生对象分为引导型病毒,文件型病毒和混合型病毒。 4根据计算机病毒的命名: (1)给出病毒的名字,说明根据什么命名(通用命名规则) a 按病毒的发作时间命名如:“黑色星期五”(某月的13号且周五);米开朗基罗病 毒(3.6 米开朗基罗生日) b 按病毒发作症状命名如:“小球”病毒,“火炬”病毒,“浏阳河”病毒(9.9 浏阳河,12.26 东方红)等: c 按病毒的传染方式命名如:黑色星期五病毒又名为疯狂拷贝病毒(感染.exe时 对文件标记做了错误判断而反复感染) d 按病毒自身宣布的名称或包含的标志命名 CIH病毒的命名源于其含有“CIH”字符(陈盈豪) e 按病毒的发现地命名 如“黑色星期五”又称为Jerusalem(耶路撒冷)病毒 f 按病毒的字节长度命名 如黑色星期五病毒又称作1813病毒 (2)估计标准命名方法(三元组命名法则) 计算机病毒英文命名规则也就是国际上对病毒民命的一般惯例为“前缀+病毒名+后缀”,即三元组命名规则。 三元组中“病毒名”的命名优先级为:病毒的发现者(或制造者)→病毒的发作症状→病毒的发源地→病毒代码中的特征字符串 5.描述几种计算机病毒的危害 6.描述几种计算机病毒的症状(表现) 7.描述几种计算机病毒的传播方式 (1)通过不可移动的计算机硬件设备进行传播 (2)通过移动存储设备来传播 (3)通过网络传播的方式 (4)通过无线通讯系统传播 8.描述计算机病毒的生命周期 (1)计算机病毒的产生过程可分为: 程序设计→传播→潜伏→触发、运行→实施攻击 (2)计算机病毒是一类特殊的程序,也有生命周期 开发期、传染期、潜伏期、发作期、发现期、消化期、消亡期 第二章 1.硬盘结构:对磁介质的处理分为3个过程 低级格式化(物理格式化,低格):可以寻址,即将盘面划分成磁道、柱面和扇区 分区:是管理系统指导硬盘有哪些域可以使用。 高级格式化(逻辑格式化,高格):建立存储系统。在分区内建立分区引导记录DBR、文
一、计算机安全技术期末考试试卷 1.数据安全的3个独立特性是:保密性C、完整性I、可用性A.以及不可否认性等. 2.SSL协议是由Netscape公司开发的一种网络安全协议,能够为基于TCP/IP的应用提供数据加密、数 据完整性和数据认证等安全服务. 3.数字证书是标志一个用户身份的一系列特征数据.ISO定义了一种认证框架X.509.在X.509证书格式中, 最重要的两项内容是主体名称和主体公钥信息. 4.常见的应用层的安全协议有安全Shell(SSH)、SET 、S-HTTP、PGP、S/MIME . 5.防火墙在逻辑上是分离器/限制器,而且是分析器和隔离器. 6.病毒的特点有可执行性、传染性、潜伏性、隐蔽性、破坏性. 7.常见的病毒的分类有文件型病毒、引导型病毒、宏病毒、网络病毒等. 8.SSL协议是一个分层协议,由两层组成:SSL握手协议和SSL记录协议 . 9.按照加密和解密密钥是否相同,密码体制可以分为两类:对称加密体制和公钥加密体制 . 10.按VPN的应用对象可以分为内部网VPN 、外部网VPN和远程访问VPN三类. 11.IPSec是应用于网络层的安全协议,又可分为ESP和AH两种协议,它们各有两种工作模式:传输模式 和隧道模式(也叫IPinIP).其中ESP提供的安全服务有数据加密、完整性认证 . 12.网络安全的PDRR模型指的是以安全策略为中心,以防护(P)、检测(D)、响应(R)和恢复(R) 为技术手段的动态安全循环模型. 13.英译中:DDoS 分布式拒绝服务攻击,SYN flood SYN洪水,IDS 入侵检测系统,Integrity_完整 性_. 14.木马是恶意的客户端-服务端程序,说出三种植入木马的方法:利用E-MAIL、软件下载、利用共 享和Autorun文件. 二、选择题 1.下列攻击手段中,(D)不属于DOS攻击. a、 Smurf攻击 b、 UDP广播攻击 c、 SYN湮没攻击 d、网络监听 2.公钥体制和私钥体制的主要区别是(C). a、加密和解密算法是否相同. b、加密和解密密钥是否相同. c、加密和解密密钥是否相同,加密和解密算法是否相同. d、加密和解密算法是否相同,是否容易相互推导. 3.数字签名不能够保证(C). A.接收者能够核实发送者对报文的签名. B.发送者事后不能抵赖对报文的签名. C.攻击者截获签名后的数据并解密. D.接收者不能伪造对报文的签名. 4.CIH病毒发作时不仅破坏硬盘而且破坏(B). a、可擦写BIOS b、ROMBIOS c、Disk boot d、FAT table 5.在个人计算机系统中,以下哪种方法不能有效防范病毒(B). A对杀毒软件经常升级; B打开BIOS软件升级功能; C经常升级操作系统; D将Word中Normal.dot文件设置为只读. 6.对防火墙描述中,不正确的是(C). a、强化安全策略 b、限制用户点暴露 c、防范内部发起的攻击 d、纪录网络活动 7.代理服务器作为防火墙技术主要在OSI的( D )层实现. A数据链路层 B网络层 C传输层 D应用层 8.以下加密算法中,不属于单向散列函数加密的算法是(B). a、MD5 b、RC5 c、SHA d、MAC 9.一个数据包过滤系统被设计成允许你要求服务的数据包进入,而过滤掉不必要的服务.这属于(B)基本 原则.
第二章 一、填空: 1、UltraEdit可以实现文字、Hex、ASCII的编辑; 2、Doc文件的文件头信息是D0CF11E0,PowerPoint文件的文件头信息是 D0CF11E0,Excel文件的文件头信息是D0CF11E0; 3、单一影子模式仅为操作系统所在分区创建影像; 4、影子系统分为单一影子模式和完全影子模式; 5、对注册表修改前后进行对比可使用RegSnap工具软件; 第三章典型计算机病毒剖析 一、填空 1、注册表一般Default、SAM、Security、Software、System5个文件组成。 2、注册表结构一般键、子键、分支、值项、默认值5个大类组成。 3、是否允许修改IE的主页设置的注册表表项是 HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel。 4、注册表中IE的主页设置项是“Home Page”=dword 00000001 5、打开注册表编辑器的命令是regedit。 6、网页脚本病毒的特点有病毒变种多、破坏力较大、感染能力强。 7、Word的模版文件是Normal.dot。 8、Office中宏使用的编程语言是VBA(Visual Basic for Application)。 9、宏可保存在当前工作表、word通用模版中。 10、蠕虫的两个特征是传染性和复制功能。 11、蠕虫病毒的攻击方式有随机探测方式、基于列表的随机探测方式、基于DNS 探测方式、基于路由的探测方式、蠕虫攻击模块。 12、windows32/Baby.worm病毒主要攻击服务器。 13、木马分为远程访问型木马、密码发送型木马、键盘记录型木马、毁坏型木马、FTP型木马。 14、木马程序自动启动的方式利用INI文件、注册表的先关程序启动,加入系统启动组,利用系统启动配置文件和与其他程序捆绑执行。 二、选择 1、寄存在Office文档中,用VB语言编写的病毒程序属于( D ) A、引导区型病毒 B文件型病毒 C、混合型病毒 D、宏病毒 2、注册表备份文件的扩展名是( C )。 A、com B、exe C、reg D、txe 3、设置注册表键值的API函数是( C )。 A、RegCreateKeyEx() B、RegQueryValue() C、RegSetValueEX() D、RegEnumValue() 4、Windows中VBScript和Javescript的执行环境是( A )。 A、WSH B、IE C、HTML D、DOS 5、Word文件在关闭时自动执行的宏命令是( D )。 A、FileOpen B、AutoOpen C、FileClose D、AutoClose
信息产业目前计算机技术和网络技术的快速发展,使人们工作、学习中都离不开计算机这一重要的工具支持,但技术的发展,也使计算机病毒开始了进行大规模的传播,目前对计算机运行影响最大的即为病毒的威胁,特别是网络病毒所给计算机带来的损害更为严重,所以加强计算机系统和信息的安全保护至关重要,我们针对计算机病毒的特点进行分析,从而加强防范,确保计算机使用的安全。 1计算机病毒的概念 计算机病毒是一种特殊功能的程序,可以导致计算机的数据程序受到破坏,引发计算机故障的发生,而且计算机病毒种类繁多。计算机病毒最早开始于1982年,通过病毒程序来破坏计算机的功能,使计算机内的数据受到损坏,而且这种病毒程序代码还可以实现自我复杂,严重破坏了计算机的使用功能,威胁着计算机的信息安全。计算机病毒在刚开始出现时,由于人们对其缺乏足够的认识,而且也没有相应的防范意识,而当人们刚开始认识到病毒的危害性时,计算机病毒已开始进行大规模的爆发。最初的计算机病毒还仅仅局限在单机中进行传播,但随着网络的盛行,计算机病毒借助着互联网开始进行了迅速的传播和繁殖,其危害已远远超出了人们对其的认识程度,其已成为一种有效的网络攻击手段,由于病毒所带来的巨大危害性,人们开始对其越来越重视。 2计算机病毒的特点 2.1传染性。任何一种计算机病毒传染性都是其最为基本的特征之一,这已成为当前对一个程序判定其是否为计算机病毒的一个重要条件之一。由于计算机病毒具有较强的传染性,所以其才会通过多种渠道从感染的计算机来向未感染的计算机进行扩散,从而达到快速传播的目的。 2.2隐蔽性。计算机病毒是以程序代码存在的于其他程序当中,或是较为隐蔽的地方,有时也会以隐含文件的形式存在,这样就很难将其与正常程序区分开来,而作为独立程序体的病毒源程序,其在扩散过程中会有再生病毒出现,而这些再生病毒则会采用附加或是插入的方式在可执行程序和数据文件中存在,一旦这些程序被调用时,病毒程序也会合法的进入,从而再将分散的程序部分再在非法占用的空间内进行重新分配,形成一个完整的病毒体投入运行。 2.3潜伏性。很大一部分病毒并不是计算机感染后就立即进行破坏,很多时候其会隐藏在系统当中,其扩散和繁殖通常都不会被人所察觉到,而这些病毒只有在满足特定条件后,才会将破坏模块进行启动,从而导致计算机无法正常运行。 2.4破坏性(表现性)。病毒只在在系统中存在,就会对系统和程序带来不同程度的影响,破坏性是病毒的又一大特点,但从破坏性的角度来看,病毒还可分为良性和恶性两种,对于良性病毒其破坏性行为并不明显,或者说基本没有什么破坏性,但其会占有系统资源。但恶性病毒则具有明确的破坏性,不仅会对计算机数据、文件等进行破坏,还可能将磁盘进行格式化,从而给计算机使用者带来极大的损失。 2.5不可预见性。从病毒的监测方面看,病毒还有不可预见性。计算机病毒常常被人们修改,致使许多病毒都生出不少变种、变体,而且病毒的制作技术也在不断地深入性提高,病毒对反病毒软件常常都是超前的,无法预测。 2.6触发性。病毒因某个事件或数值的出现,诱使病毒实施感染或进行进攻的特性称为可触发性。病毒既要隐蔽又要维持攻击力,就必须有可触发性。 病毒的触发机制用于控制感染和破坏动作的频率。计算机病毒 一般都有一个触发条件,它可以按照设计者的要求在某个点上激活 并对系统发起攻击。如时间、计数器、特定字符及组合触发条件等。 2.7针对性。有一定的环境要求,并不一定对任何系统都能感染。 2.8寄生性(依附性)。计算机病毒程序嵌入到宿主程序中,依赖于宿主程序的执行而生存,这就是计算机病毒的寄生性。病毒程序在浸入到宿主程序后,一般会对宿主程序进行一定的修改,宿主程序一旦执行,病毒程序就被激活,从而进行自我复制。 3计算机病毒防治 3.1计算机病毒的预防。对计算机病毒进行预防主要方法:一是不使用盗版软件,有些盗版软件中含有病毒。 二是第一次运行新软件前应使用病毒查杀软件检查它是否有毒,对不能确定来源的文件一定要进行扫描查毒。 三是备份硬盘引导区和主引导扇区数据,系统盘一般只安装系统,各种软件和文档不要安装在系统盘,对重要的数据还要经常进行备份也就是说要定期备份硬盘的重要参数,如主引导记录、文件分配表等以减少因病毒而造成的损失。 四是使用杀毒软件,定期扫描检查整个系统。五是上网的计算机应安装病毒防火墙、邮件监控系统和上网助手等软件,不打开来历不明的邮件及其附件,预防网上病毒。 六是及时升级软件。每一个软件都有许多的缺陷,都在不断的完善,新版本要比旧版本的缺陷少得多,性能更稳定,可靠性更高,所以我们要使用新版本对旧版本不断进行升级。操作系统也会不断发布补丁,及时打上补丁,堵塞安全漏洞。 七是对新插入计算机的优盘、移动硬盘、光盘等其他可插拔介质,要先进行病毒扫描,确保无感染病毒后再打开其中的文档或程序。 八是从互联网上下载各种软件、文档后,不要先行打开,应该先进行病毒扫描,确保安全后再打开。九是文件共享后及时取消共享,防止受到其他电脑上病毒的攻击。 3.2查杀计算机病毒。计算机都需要安装查杀病毒软件,经常上网的计算机还需要安装网络防火墙等,当发现计算机可能感染病毒时,需要及时运行查杀病毒程序查杀病毒,若有文件受到感染,还需要隔离受感染文件。常用查杀病毒软件有金山毒霸、瑞星杀毒软件等。 结束语 目前计算机的普及,使其成为人们工作和生活中不可或缺的重要组成部分,为了保证计算机系统和信息的安全性,需要我们在对计算机使用过程中做好日常的管理和维护工作,加强对计算机安全的重视,做好各项防病毒措施,避免进行非法的操作,不浏览一些非法的页面,从而减少或是避免计算机感染病毒的机率,平时注意对计算机防病毒知识和维修知识的积累,从而确保计算机系统和信息的安全,不给病毒的入侵提供机会,使计算机更好的为我们的工作和生活提供高质量的服务。 参考文献 [1]冯栋.基于ASP 技术开发的网站安全防范[J].电脑知识与技术,2010(6). [2]赵政宇.浅析计算机维护中的常见故障及其处理方式[J].计算机光盘软件与应用,2012(5). [3]张洁.浅谈计算机病毒及其防治对策[J].华章,2011(31). 计算机病毒的特点及预防措施 徐 (黑河市爱辉区城市经济调查队,黑龙江黑河164300) 摘要:由于计算机应用的越来越广泛,一旦计算机出现故障,则会导致人们的正常生产和生活都会不同程度的受到影响。目前计算 机出现故障最为常见的原因即是计算机感染病毒所导致的,不仅会造成用户信息数据的丢失,而且操作上也会受到却持,给用户带来较大的损失。所以作为一名计算机使用者,需要具有一些日常维护和维修的常识,对病毒有一个正确的认识,从而做好各项病毒防治措施。 关键词:计算机病毒;特点;病毒防治129··