计算机病毒复习题
一、选择题:(红色字参考附件计算机病毒考试范围(修正版).doc)
1、为什么说蠕虫是独立式的?(C)二、2
A、蠕虫不进行复制
B、蠕虫不向其他计算机进行传播
C、蠕虫不需要宿主计算机来传播
D、蠕虫不携带有效负载
2、哪种恶意代码通过召集互联网上的服务器来通过发送大量的业务量攻击目标服务器?(D)
A、蠕虫
B、特洛伊木马
C、DOS攻击
D、DDOS攻击
3、哪一项不是特洛伊木马所窃取的信息?(D)
A、计算机名字
B、硬件信息
C、QQ用户密码
D、系统文件
4、哪一项不是特洛伊木马的常见名字?(C)二、4
A、TROJ_WIDGET.46
B、TROJ_FLOOD.BLDR
C、I-WORM.KLEZ.H
D、TROJ_DKIY.KI.58
5、哪一项不是蠕虫病毒的传播方式及特性?(B)二、2
A、通过电子邮件进行传播
B、通过光盘、软盘等介质进行传播
C、通过共享文件进行传播
D、不需要再用户的参与下进行传播
6、哪一项不是蠕虫病毒的常用命名规则?(D)二、4
A、W32/KLEZ-G
B、I-WORM.KLEZ.H
C、W32.KLEZ.H
D、TROJ_DKIY.KI.58
7、下面对后门特征和行为的描述正确的是?(A)一、14
A、为计算机系统秘密开启访问入口的程序
B、大量占用计算机的系统资源,造成计算机瘫痪
C、对互联网的目标主机进行攻击
D、寻找电子邮件的地址进行发送垃圾邮件
8、哪一项不是后门的传播方式?(B)一、14
A、电子邮件
B、光盘、软盘等介质
C、WEB下载
D、IRC
9、下面哪一种陈述最好的解释了引导扇区病毒不再是非常普遍的病
毒了?(C)二、8
A、计算机不在从软盘中引导
B、对此类型病毒采取了足够的防范
C、软盘不再是共享信息的主要途径
D、程序的编写者不在编写引导扇区病毒
10、文件感染病毒的常见症状有哪一项不是?(B)
A、文件大小增加
B、文件大小减少
C、减缓处理速度
D、内存降低
11、哪种病毒能够占据内存,然后感染引导扇区和系统中的所有可执行文件?(D)二、1
A、引导扇区病毒
B、宏病毒
C、Windows病毒
D、复合型病毒
12、引导扇区病毒感染计算机上的哪一项信息?(B)二、1
A、DATA
B、MBR
C、E-mail
D、WORD
13、关于引导扇区病毒的传播步骤错误的是?(B)二、8
A、病毒进入引导扇区
B、病毒破坏引导扇区信息
C、计算机将病毒加载到存储
D、病毒感染其它磁盘
14、引导扇区病毒特征和特性的描述错误的是?(C)二、1
A、会将原始的引导扇区以及部分病毒代码复制到磁盘的另一个地方
B、引导扇区病毒的设计缺陷可能会导致在读取软件时会产生偶尔的写保护错误
C、引导扇区病毒在特定的时间对硬盘进行格式化操作
D、引导扇区病毒不在像以前那样造成威胁
15、使用互联网下载进行传播的病毒是?(A)
A、JAVA病毒
B、DOS病毒
C、WINDOWS病毒
D、宏病毒
16、下列关于复合型病毒描述错误的是?(B)
A、采用多种技术来感染一个系统
B、会对互联网上的主机发起DOS攻击
C、复合型病毒会占据内存,然后感染引导扇区和所有可执行的文件
D、通过多种途径来传播
17、PE_CIHVI1.2病毒会感染哪一种操作系统?(C)二、4
A、DOS
B、UNIX
C、WINDOWS
D、LINUX
18、下列哪一项不是计算机病毒的种类?(B)二、1
A、启动型
B、硬件型
C、文件型
D、复合型
19、下列哪一项不是我们常见的网络病毒?(A)
A、DOS病毒
B、蠕虫病毒
C、多态病毒
D、伙伴病毒
20、下列哪一项不足够说明病毒是网络攻击的有效载体?(D)二、3
A、网络攻击程序可以通过病毒经由多种渠道传播
B、攻击程序可以利用病毒的隐蔽性来逃兵检测程序
C、病毒的潜伏性和可触发性使网络攻击防不胜防
D、黑客直接通过病毒对目标主机发起攻击
二、填空题:
1、计算机病毒按寄生方式和感染途径可分为引导型病毒、文件型病毒和混合型病毒。
2、引导型病毒感染软盘中的引导区,蔓延到用户硬盘,并能感染到用户盘中的主引导记录。
病毒。
4、文件型病毒分为源码型病毒、嵌入型病毒和外壳型病毒。
5、混合型病毒,也称综合型、复合型病毒,同时具备引导型和文件型病毒的特征,即这种病毒既可以感染磁盘引导扇区,又可以感染可执行文件。
6、计算机病毒按照链接方式分类可分为源码型病毒、嵌入型病毒、外壳型病毒、操作系统型病毒。
7、按计算机病毒的表现(破坏)情况分类可分为良性病毒和恶性病毒。
8、按计算机病毒的传播媒介分类可分为单机病毒和网络病毒。
9、与一般病毒不同,蠕虫不需要将其自身附着到宿主程序,它是一种独立智能程序。根据蠕虫的传播、运作方式,可以将蠕虫分为两类:主机蠕虫与网络蠕虫。
10、网络蠕虫利用电子邮件、远程执行、远程登录等进行传播。
11、计算机病毒的基本特征为非法性、传染性、隐藏性、潜伏性、可触发性、破坏性、衍生性不可预见性。其中,隐藏性是计算机病毒最基本的特征。
12、计算机病毒侵入系统后,一般不立即发作,而是有一定的潜伏期。
13、计算机病毒因某个事件或数值的出现,诱使病毒实施感染或进行攻击的特性,称为可触发性。
14、计算机病毒造成的最显著的后果是破坏计算机系统。
15、病毒的传染、破坏部分被其他掌握原理的人以其个人的企图进行任意改动,从而又衍生出一种不同于原版本的新的计算机病毒(也称为变种),这就是计算机病毒的衍生性。
16、通过有线网络系统进行传播的方式有电子邮件、WWW浏览、FTP文件传输、BBS 、网络聊天工具。
17、硬盘基本使用的寻址方式有6种,分别是寄存器寻址、寄存器间接寻址方式、变址寻址、基址加变址寻址方式、立即寻址、直接寻址。其中,最快的存取方式为立即寻址。
18、在寄存器间接寻址方式中,操作数放在存储器中,而操作数的EA在指令所指明的寄存器中,即寄存器的内容为操作数的EA。
采用线性寻址方式存取硬盘,所以突破了8G的限制,而且还加入了对可拆卸介质(如移动硬盘、优盘)的支持。
计算机病毒在传播中有两种状态:静态和动态。如果病毒处于辅助存储介质,如硬盘、DVD上时,称其为静态病毒;如果病毒位于内存中,则称之为动态病毒。其中,静态病毒是没有危害性的。
20、病毒从静态转变为动态的过程,就是病毒和操作系统监察机制相对抗的过程,称为病毒的启动。
21、能激活态是一种准备状态,是指存在于内存中的动态病毒可以被正常的运行机制执
行。激活态则是正在被执行的病毒。此时它拥有系统的控制权,时时刻刻监视系统的一举一动,一旦条件符合,就执行相应的传染、破坏等动作。处于失活态的病毒是没有任何活动能力的,不能传播也不能做出破坏性动作,因此是我们很愿意看见的。
22、主机蠕虫的所有部分均包含在其所运行的计算机中,它们利用网络连接仅仅是为了
将其自身拷贝到其他计算机中。网络蠕虫由许多部分(Segment,也称为段)组成,每一个部分运行在不同的计算机中(可能执行不同的动作),并且使用网络的目的是为了进行各部分之间的通信以及传播。
23、改进的扫描策略一般是:(1)在IP地址段的选择上,主要针对当前主机所在的网段
扫描,对外网段则随机选择几个小的IP地址段进行扫描;(2)对扫描次数进行限制,只进行有限次扫描;(3)把扫描分散在不同的时间段进行。
三、简述题:
1、简述PE文件的组成结构:
(1)DOS部分,包括DOS文件头和DOS块;(2)PE文件头,包括PE文件头标志,PE文件表头,PE文件头可选部分;(3)节表;(4)节数据;
2、狭义的计算机病毒与蠕虫病毒的区别:
3、计算机病毒有哪些传播途径?
答:(1)通过移动存储设备进行传播:磁带、软盘、光盘、U盘、移动硬盘等。
(2)通过不可移动的计算机硬件设备进行传播:通过计算机的专用ASIC芯片等传播。(3)通过有线网络系统进行传播:电子邮件,WWW浏览,FTP文件传输,BBS ,网络聊天工具等。
(4)通过无线通信系统进行传播:由于未来有更多手机通过无线通信系统和互联网连接,手机已成为病毒的新的攻击目标。
4、低级格式化、高级格式化的功能和作用是什么?高级格式化(FORMAT)能否清除任何计算机病毒?为什么?
答:回答一:低级格式化的主要目的是将盘面划分成磁道、扇区和柱面。高级格式化的目的是在分区内建立分区引导记录DBR(DOS Boot Record)、文件分配表FAT(File Allocation Table)、文件目录表FDT(File Directory Table)和数据区DATA。
回答二:如果主引导区感染了病毒,用格式化程序FORMAT不能清除该病毒。
5、文件型病毒有哪些感染方式?
(1)寄生感染:文件头部寄生、文件尾部寄生、插入感染、逆插入感染、利用空洞——零长度感染;
(2)无入口点感染:采用入口点模糊(Entry Point obscuring,EPO)技术,采用TSR病毒技术;
(3)滋生感染;
(4)链式感染;
(5)OBJ、LIB和源码的感染。
6、计算机病毒的感染过程是什么?
答:(1)档宿主程序运行时,截取控制权;
(2)寻找感染的突破口;
(3)将病毒代码放入宿主程序。
7、试述计算机病毒的逻辑结构。
8、简述蠕虫的工作方式
答:蠕虫的工作方式一般是“扫描→攻击→复制”
? 扫描
? 由蠕虫的扫描功能模块负责探测存在漏洞的主机。当程序向某个主
机发送探测漏洞的信息并收到成功的反馈信息后,就得到一个可传
播(攻击)的对象。
? 攻击
? 攻击模块按漏洞攻击步骤自动攻击步骤(1)中找到的对象,取得该
主机的权限(一般为管理员权限),获得一个shell ,对Windows 2000
来说就是cmd.exe ,得到这个shell 后就拥有了对整个系统的控制权。
? 复制
? 繁殖模块通过原主机和新主机的交互将蠕虫程序复制到新主机并启
动。
9、简述特洛伊木马的基本原理。
答:特洛伊木马包括客户端和服务器端两个部分,攻击者通常利用一种称为绑定程序(exe-binder)的工具将木马服务器绑定到某个合法软件上,诱使用户运行合法软件。只要用户运行该软件,特洛伊木马
的服务器就在用户毫无察觉的情况下完成了安装过程,攻击者要利用客户端远程监视、控制服务器,必需先建立木马连接;而建立木马连接,必需先知道网络中哪一台计算机中了木马,获取到木马服务器的信息之后,即可建立木马服务器和客户端程序之间的联系通道,攻击者就可以利用客户端程序向服务器程序发送命令,达到操控用户计算机的目的。
10、简述文件型病毒和引导型病毒的工作原理。
答:磁盘引导区传染的病毒主要是用病毒的全部或部分逻辑取代正常的引导记录,而将正常的引导记录隐藏在磁盘的其他地方。由于引导区是磁盘能正常使用的先决条件,因此,这种病毒在运行的一开始(如系统启动)就能获得控制权,其传染性较大。由于在磁盘的引导区计
算
机
病
毒
程
序感染标志
引导模块感染模块破坏表现模块
激活感染功能的判断部分传染功能的实施部分触发破坏表现功能的判断部分
破坏表现功能的实施部分
内存储着需要使用的重要信息,如果对磁盘上呗移走的正常引导记录不进行保护,则在运行过程中就会导致引导记录的破坏。
文件型病毒存在于文件中,被加载后执行。拦截文件操作或主动搜索磁盘文件。对于COM 文件和EXE文件的结构,病毒需要采取不同的策略感染。一般来说都要利用COM或EXE文件的文件头,从执行入口把病毒代码植入到宿主中。然后修改文件最开头的指令,使其指向病毒的入口。
11、试叙述引导型病毒的主要特点。
答:引导型病毒是一种在ROMBIOS之后,系统引导时出现的病毒,它先于操作系统,依托的环境是BIOS中断服务程序。引导型病毒是利用操作系统的引导模块放在某个固定的位置,并且控制权的转交方式是以物理位置为依据,而不是以操作系统引导区的内容为依据,因而病毒占据该物理位置即可获得控制权,二将真正的引导区内容搬家转移或替换,待病毒程序执行后,将控制权交给真正的引导区内容,使得这个带病毒的系统看似正常运转,而病毒已隐藏在系统中并伺机传染、发作。
12、试简述计算机病毒的生命周期
答:
(1)开发期:今天有一点计算机编程知识的人都可以制造一个病毒。
(2)传染期:在一个病毒制造出来后,病毒的编写者将其拷贝分发出去并确认其已被传播出去。
(3)潜伏期:一个设计良好的病毒可以在它活化前的很长时期里被复制。这就给了它充裕的传播时间。
(4)发作期:带有破坏机制的病毒会在满足某一特定条件时发作。
(5)发现期:通常情况下,一个病毒被检测到并被隔离出来后,它会被送到计算机安全协会或反病毒厂家,在那里病毒被通报和描述给反病毒研究工作者。
(6)消化期:在这一阶段,反病毒开发人员修改他们的软件以使其可以检测到新发现的病毒。
(7)消亡期:有一些病毒在消失之前有一个很长的消亡期。
13、什么是特洛伊木马?
答:特洛伊木马(也叫黑客程序或后门)是指隐藏在正常程序中的一段具有特殊功能的恶意代码,一旦侵入用户的计算机,就悄悄在宿主计算机上运行,在用户毫无觉察的情况下,让攻击者获得远程访问和控制系统的权限,进而在用户计算机中破坏或删除文件、修改注册表、记录键盘,或窃取用户信息,可能造成用户系统被破坏,甚至瘫痪。木马是一种基于远程控制的黑客工具,是一种恶意程序,具备计算机病毒的特征,我们常把它看作广义病毒的一个子类。目前很多木马程序为了在更大范围内传播,与计算机病毒相结合,因此,木马程序也可以看做一种伪装潜伏的网络病毒。
14、什么是病毒的多态?
答:所谓病毒的多态,就是指一个病毒的每个样本的代码都不相同,它表现为多种状态。采用多态技术的病毒由于病毒代码不固定,这样就很难提取出该病毒的特征码,所以只采用特征码查毒法的杀毒软件是很难对这种病毒进行查杀的。
多态病毒是改进了的加密病毒,由变化的解密头和加密的代码组成。多态病毒运行时,先执行的是解密代码,对加密代码解密,然后执行刚解密的代码,也就是实现传播的主体代码。
15、试述计算机病毒的寄生和链式感染
答:计算机病毒的寄生:是指病毒码附加在主程序上,一旦程序被执行,病毒也就被激活,编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。
计算机病毒的链式感染:病毒在感染时,完全不改动宿主程序本体,而是改动或利用与宿主程序相关的信息,将病毒程序与宿主程序链成一体。病毒必须与计算机系统内可能被执行的文件建立链接。这些被链接的文件可能是操作系统文件,可能是以各种程序设计语言编写的应用程序,也可能是应用程序所用到的数据文件(如Word文档)
16、试述一下文件型病毒的隐藏技巧
答:文件型病毒通过替换DOS或者基本输入输出系统(BIOS)的文件系统的相关调用,在打开文件的时候将文件的内容恢复成未被感染时的状态,在关闭文件的时候重新进行感染。
17、简述一下多态病毒的六个级别
答:根据病毒使用多态技术的复杂程度,多态病毒大致可以划分为6个级别:
(1)半多态:病毒拥有一组解密算法,感染的时候从其中随机选择一种算法进行加密和感染。
(2)具有不动点的多态:病毒有一条或几条语句是不变的(把这些不变的语句叫做不动点),其他病毒指令都是可变的。
(3)带有填充物的多态:解密代码中包含一些没有实际用途的代码来干扰分析者的视线。
(4)算法固定的多态:解密代码所使用的算法是固定的,但是实现这个算法的指令和指令的次序是可变的。
(5)算法可变的多态:
使用了上面所有的技术,同时解密的算法也是可以部分或者全部改变的。
(6)完全多态:算法多态,同时病毒体可以随机分布在感染文件的各个位置,但是在运行的时候能够进行拼装,并且可以正常工作。
四、计算题
病毒感染PE文件,须对该文件作哪些修改?(相关内容参考另一个附件,带补充)
(1)给PE文件增加一个新节,病毒在添加新节时,都会将新添加的节的属性设置为可读、可写、可执行
(2)在新节中添加可执行的代码
(3)修改文件头,使得入口地址指向刚添加的节
(4)将全部节未对齐大小设置为对齐后的大小,制造不存在空洞的假象
PE病毒的感染过程:
1.判断目标文件开始的两个字节是否为“MZ”。2.判断PE文件标记“PE”。3.判断感染标记,如果已被感染过则跳出继续执行HOST程序,否则继续。4.获得Directory(数据目录)的个数,(每个数据目录信息占8个字节)。5.得到节表起始位置。(Directory 的偏移地址+数据目录占用的字节数=节表起始位置) 6.得到目前最后节表的末尾偏移(紧接其后用于写入一个新的病毒节)节表起始位置+节的个数*(每个节表占用的字节数28H)=目前最后节表的末尾偏移。7.开始写入节表
PE病毒的基本原理。1.病毒的重定位2.获取API函数地址3.搜索文件4.内存映射文件5.病毒感染其他文件6.病毒返回到Host程序
关于计算机病毒,有两点需要注意:
一、最后计算题有关PE文件的,我觉得最有可能考的是地址。需要用到的知识点如下:(1)计算机病毒如何得知一个文件是不是PE文件?
答:最基本、简答的方法就是先看该文件的前两个字节是不是4D5A,如果不是,则已经说明不是PE文件,如果是,那么我们可以再DOS程序头中的偏移3CH处的四个字节找到PE字串的偏移位置(e_ifanew)。然后察看该偏移位置的四个字节是否是50\45\00\00,如果不是,说明不是PE文件,如果是,那么我们认为它是一个PE文件。当然为了准确还需要再加上其它一些判断条件。
(2)实际内存地址=基地址(即ImageBase值)+相对虚地址(RVA)。
(3)节表起始位置=Directory(数据目录)的偏移地址+数据目录占用的字节数;最后节表的末尾偏移(紧接其后用于写入一个新的病毒节)=节表起始位置+节的个数*(每个节表占用的字节数)。
他可能告诉你Directory(数据目录)的偏移地址、数据目录占用的字节数、节的个数以及每个节表占用的字节数,让你计算新插入的病毒节的位置。
对下面几点进行补充:
关于计算机病毒,有两点需要注意:
一、最后计算题有关PE文件的,我觉得最有可能考的是地址。需要用到的知识点如下:(1)计算机病毒如何得知一个文件是不是PE文件?
答:最基本、简答的方法就是先看该文件的前两个字节是不是4D5A,如果不是,则已经说明不是PE文件,如果是,那么我们可以再DOS程序头中的偏移3CH处的四个字节找到PE字串的偏移位置(e_ifanew)。然后察看该偏移位置的四个字节是否是50\45\00\00,如果不是,说明不是PE文件,如果是,那么我们认为它是一个PE文件。当然为了准确还需要再加上其它一些判断条件。
(2)实际内存地址=基地址(即ImageBase值)+相对虚地址(RVA)。
(3)节表起始位置=Directory(数据目录)的偏移地址+数据目录占用的字节数;最后节表的末尾偏移(紧接其后用于写入一个新的病毒节)=节表起始位置+节的个数*(每个节表占用的字节数)。
他可能告诉你Directory(数据目录)的偏移地址、数据目录占用的字节数、节的个数以及每个节表占用的字节数,让你计算新插入的病毒节的位置。
二、对下面几点进行补充:
(1)INT 13H调用可以完成磁盘(包括硬盘和软盘)的复位、读写、校验、定位、诊断、格式化等功能。
(2)简述一下嵌入文件的隐藏技术。(之前那道文件病毒的隐藏技巧答案是错的,给的答案是引导型病毒的隐藏技巧)
答:宏病毒的隐藏技术比引导型病毒要简单很多,只要在Word/Excel中禁止菜单:“文件”—>“模板”或者“工具”—>“宏”就可以隐藏病毒了,可以通过宏病毒代码删除菜单项,或者宏病毒用自己的File Templates和T oolsMacro宏替代体统缺省的宏。
当然,宏病毒还有其他一些隐藏技术,这在前面宏病毒一节已经有所介绍。还有一些高级的病毒隐藏技术,需要大家细细揣摩。
除了宏病毒,由于现在各种格式文件之间的交叉引用越来越多,例如在Word文档中插入恶意图片,或者将JavaScript恶意代码插入PDF文档,并在打开文档时运行中。利用这样的方式,就可以很好地隐藏恶意代码,并完成恶意行为,而不被用户感知。
(3)简述一下蠕虫的行为特征。
答:1、主动攻击;2、行踪隐藏;3、利用系统、网络应用服务漏洞;4、造成网络拥塞;
5、降低系统性能;
6、产生安全隐患;
7、反复性;
8、破坏性。