注:12.19更新第三章第2题、第5题的感染机制答案
《计算机病毒》复习思考题
第一章计算机病毒概述
1. 简述计算机病毒的定义和特征。
计算机病毒(Computer V irus),是一种人为制造的、能够进行自我复制的、具有对计算机资源进行破坏作用的一组程序或指令集合。
计算机病毒的可执行性(程序性)、传染性、非授权性、隐蔽性、潜伏性、可触发性、破坏性、攻击的主动性、针对性、衍生性、寄生性(依附性)、不可预见性、诱惑欺骗性、持久性。
2. 计算机病毒有哪些分类方法?根据每种分类方法,试举出一到两个病毒。
3. 为什么同一个病毒会有多个不同的名称?如何通过病毒的名称识别病毒的类型?
国际上对病毒命名的一般惯例为“前缀+病毒名+后缀”,即三元组命名规则。
1、系统病毒
系统病毒的前缀为:Win32、PE、Win95、W32、W95等。
2、蠕虫病毒
蠕虫病毒的前缀是:Worm。
3、木马病毒、黑客病毒
木马病毒其前缀是:Trojan,黑客病毒前缀名一般为Hack 。
4、脚本病毒
脚本病毒的前缀是:Script。
5、宏病毒
其实宏病毒是也是脚本病毒的一种,由于它的特殊性,因此在这里单独算成一类。宏病毒的前缀是:Macro。
6、后门病毒
后门病毒的前缀是:Backdoor。
7、病毒种植程序病毒
后门病毒的前缀是:Dropper。这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下,由释放出来的新病毒产生破坏。
8.破坏性程序病毒
破坏性程序病毒的前缀是:Harm。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒便会直接对用户计算机产生破坏。
9.玩笑病毒
玩笑病毒的前缀是:Joke。
10.捆绑机病毒
捆绑机病毒的前缀是:Binder。
4. 简述计算机病毒产生的背景。
5. 计算机病毒有哪些传播途径?
传播途径有两种,一种是通过网络传播,一种是通过硬件设备传播(软盘、U盘、光盘、硬盘、存储卡等)。
网络传播,又分为因特网传播和局域网传播两种。
硬件设备传播:通过不可移动的计算机硬件设备传播、通过移动存储设备传播、通过无线设
备传播。
6. 试比较与计算机病毒症状相似的软件故障。
7. 试比较与计算机病毒症状相似的硬件故障。
8. 计算机病毒为什么是可以防治、可以清除的?
9. 分析“新欢乐时光”病毒的源代码及其特性,结合三元组中病毒名命名优先级,分析各杀毒软件商对该病毒存在不同命名的原因。
●查找相关资料,试述计算机病毒发展趋势与特点。
◆基于Windows的计算机病毒越来越多
◆计算机病毒向多元化发展
◆新计算机病毒种类不断涌现,数量急剧增加
◆计算机病毒传播方式多样化,传播速度更快
◆计算机病毒造成的破坏日益严重
◆病毒技术与黑客技术日益融合
◆更多依赖网络、系统漏洞传播,攻击方式多种多样
●研究计算机病毒有哪些基本原则?搭建病毒分析的环境有哪些方法?
回答一:“八字原则”——自尊自爱、自强自律
自尊
尊重自己的人格,不做违法、违纪的事
自爱
爱惜自己的“知识储备”,不随便“发挥自己的聪明才智”,自己对自己负责
自强
刻苦钻研,努力提高防毒、杀毒水平
自律
严以律己、宽以待人,不以任何理由为借口而“放毒”
回答二:可在虚拟环境下进行,比如在VirtualBox 、VMware环境下安装操作系统作为测试研究病毒的环境。
可使用影子系统,在全模式下进行试验。
可在使用硬盘保护卡的环境下进行试验。
可以使用RAMOS(内存操作系统)作为测试研究病毒的环境。
第2章预备知识
1. 硬盘主引导扇区由哪几部分构成?一个硬盘最多可分几个主分区?为什么?
Fdisk/mbr命令是否会重写整个主引导扇区?
主引导扇区(Boot Sector)由主引导记录(Master Boot Record,MBR)、主分区表即磁盘分区表(Disk Partition Table,DPT)、引导扇区标记(Boot Record ID/Signature)三部分组成。
一个硬盘最多可分为4个主分区,因为主分区表占用64个字节,记录了磁盘的基本分区信息,其被分为4个分区选项,每项16个字节,分别记录了每个主分区的信息。
2.低级格式化、高级格式化的功能与作用是什么?高级格式化(FORMAT)能否清除任何计算机病毒?为什么?
回答一:低级格式化的主要目的是将盘面划分成磁道、扇区和柱面。
高级格式化的目的是在分区内建立分区引导记录DBR(DOS Boot Record)、文件分配表FA T(File Allocation Table)、文件目录表FDT(File Directory Table)和数据区DA TA。
回答二:如果主引导区感染了病毒,用格式化程序FORMA T不能清除该病毒(BR病毒可以用FORMA T清除)。
3. DOS下的EXE文件病毒是如何获取控制权的?感染EXE文件,需对宿主作哪些修改?
一般来说,病毒往往先于HOST程序获得控制权。运行Win32病毒的一般流程示意如下:
①用户点击或系统自动运行HOST程序;
②装载HOST程序到内存;
③通过PE文件中的AddressOfEntryPoint加ImageBase之和,定位第一条语句的位置(程序入口);
④从第一条语句开始执行(这时执行的其实是病毒代码);
⑤病毒主体代码执行完毕,将控制权交给HOST程序原来的入口代码;
⑥HOST程序继续执行。
4. 针对PE文件格式,请思考:Win32病毒感染PE文件,须对该文件作哪些修改?
5.简介有哪些常用的磁盘编辑软件、分区软件。
FDISK、DiskGenius、PartitionMagic、Acronis Disk Director
6.简述Windows XP的启动过程。
在基于Intel的计算机上,Windows 2000/XP的启动过程大致可分为8个步骤:
1.预启动
计算机加电自检,读取硬盘的MBR、执行NTLDR(操作系统加载器)文件
2.进行初始化
NTLDR将处理器从实模式转换为32位保护模式
3.读取BOOT.INI文件
BOOT.INI文件其作用是使系统在启动过程中出现选择菜单,由用户选择希望启动的操作系统,若只有一个操作系统则不显示
4.加载https://www.doczj.com/doc/f91693972.html,文件
由https://www.doczj.com/doc/f91693972.html,来检测计算机硬件,如并行端口、显示适配器等,并将收集到的硬件列表返回NTLDR用于以后在注册表中注册保存
5.选择硬件配置文件
如果Windows 2000/XP有多个硬件配置文件,此时会出现选择菜单,等待用户确定要使用的硬件配置文件,否则直接跳过此步,启用默认配置
6.装载内核
引导过程装载Windows 2000/XP内核NtOsKrnl.EXE。随后,硬件抽象层(HAL)被引导进程加载,完成本步骤
7.初始化内核
内核完成初始化,NTLDR将控制权转交Windows 2000/XP内核,后者开始装载并初始化设备驱动程序,并启动Win32子系统和Windows 2000/XP服务
8.用户登录
由Win32子系统启动WinLogon.EXE,并由它启动Local Security Authority (LSASS.EXE)显示登录对话框。用户登录后,Windows 2000/XP会继续配置网络设备、用户环境,并进行个性化设置。最后,伴随着微软之声和我们熟悉的个性化桌面,Windows 2000/XP 启动过程完成
7、简述Windows 7的启动过程。
1、开启电源——
计算机系统将进行加电自检(POST)。如果通过,之后BIOS会读取主引导记录(MBR)——被标记为启动设备的硬盘的首扇区,并传送被Windows 7建立的控制编码给MBR。
——这时,Windows接管启动过程。接下来:
MBR读取引导扇区-活动分区的第一扇区。此扇区包含用以启动Windows启动管理器(Windows Boot Manager)程序Bootmgr exe的代码。
2、启动菜单生成——
Windows启动管理器读取“启动配置数据存储(Boot Confi guration Data store)中的信息。
此信息包含已被安装在计算机上的所有操作系统的配置信息。并且用以生成启动菜单。
3、当您在启动菜单中选择下列动作时:
<1> 如果您选择的是Windows 7(或Windows V ista),Windows 启动管理器(Windows
Boot Manager)运行%SystemRoot%\System32文件夹中的OS loader——Winload.exe。
<2> 如果您选择的是自休眠状态恢复Windows 7 或V ista,那么启动管理器将装载
Winresume.exe并恢复您先前的使用环境。
<3> 如果您在启动菜单中选择的是早期的Windows版本,启动管理器将定位系统安装
所在的卷,并且加载Windows NT风格的早期OS loader(Ntldr.exe)——生成一个由boot.ini内容决定的启动菜单。
4、核心文件加载及登录
Windows7启动时,加载其核心文件Ntoskrnl.exe和hal.dll——从注册表中读取设置并加载驱动程序。接下来将运行Windows会话管理器(smss.exe)并且启动Windows启动程序(Wininit exe),本地安全验证(Lsass.exe)与服务(services.exe)进程,完成后,您就可以登录您的系统了。
5、登陆后的开机加载项目
第3章计算机病毒的逻辑结构与基本机制
1. 计算机病毒在任何情况下都具有感染力或破坏力吗?为什么?
不是,因为计算机病毒在传播过程中存在两种状态,即静态和动态。
a.静态病毒,是指存在于辅助存储介质中的计算机病毒,一般不能执行病毒的破坏或表现功能,其传播只能通过文件下载(拷贝)实现。
b.病毒完成初始引导,进入内存后,便处于动态。动态病毒本身处于运行状态,通过截流盗用系统中断等方式监视系统运行状态或窃取系统控制权。病毒的主动传染和破坏作用,都是动态病毒的“杰作”
c.内存中的病毒还有一种较为特殊的状态——失活态,它的出现一般是由于用户对病毒的干预(用杀毒软件或手工方法),用户把中断向量表恢复成正确值,处于失活态的病毒不可能进行传染或破坏
综上所述,计算机病毒只有处于动态才具有感染力或破坏力。故计算机病毒不是在任何情况下都具有感染力或破坏力
2. 文件型病毒有哪些感染方式?
a寄生感染: 文件头部寄生文件尾部寄生插入感染逆插入感染利用空洞——零长度感染
b无入口点感染: 采用入口点模糊(Entry Point Obscuring,EPO)技术采用TSR病毒技术c 滋生感染
d链式感染
e OBJ、LIB和源码的感染
3.计算机病毒的感染过程是什么?
计算机病毒感染的过程一般有三步:
(1)当宿主程序运行时,截取控制权;
(2)寻找感染的突破口;
(3)将病毒代码放入宿主程序
4.结合病毒的不同感染方式,思考该病毒相应的引导机制。(老师给的)
(1)驻留内存
病毒若要发挥其破坏作用,一般要驻留内存。为此就必须开辟所用内存空间或覆盖系统占用的部分内存空间。有的病毒不驻留内存。
(2)窃取系统控制权
在病毒程序驻留内存后,必须使有关部分取代或扩充系统的原有功能,并窃取系统的控制权。此后病毒程序依据其设计思想,隐蔽自己,等待时机,在条件成熟时,再进行传染和破坏。
(3)恢复系统功能
病毒为隐蔽自己,驻留内存后还要恢复系统,使系统不会死机,只有这样才能等待时机成熟后,进行感染和破坏的目的。有的病毒在加载之前进行动态反跟踪和病毒体解密。4.计算机病毒一般采用哪些条件作为触发条件?
病毒采用的触发条件主要有以下几种:
日期触发
时间触发
键盘触发
感染触发
启动触发
访问磁盘次数/调用中断功能触发
CPU型号/主板型号触发
打开或预览Email附件触发
随机触发
5.一个病毒,试分析其感染机制、触发机制和破坏机制。
感染机制:
A计算机病毒实施感染的过程基本可分为两大类
a.立即传染
病毒在被执行到的瞬间,抢在宿主程序开始执行前,立即感染磁盘上的其他程序,然后再执行宿主程序
b.驻留内存并伺机传染
内存中的病毒检查当前系统环境,在执行一个程序或DIR等操作时感染磁盘上的程序,驻留在系统内存中的病毒程序在宿主程序运行结束后,仍可活动,直至关闭计算机
总之,计算机病毒感染的过程一般有三步:
(1)当宿主程序运行时,截取控制权;
(2)寻找感染的突破口;
(3)将病毒代码放入宿主程序
病毒攻击的宿主程序是病毒的栖身地,宿主程序既是病毒传播的目的地,又是下一次感染的出发点
触发机制:病毒在感染或破坏前,往往要检查某些特定条件是否满足,满足则进行感染或破坏,否则不进行感染或破坏,病毒采用的触发条件主要有以下几种:
日期触发
时间触发
键盘触发
感染触发
启动触发
访问磁盘次数/调用中断功能触发
CPU型号/主板型号触发
打开或预览Email附件触发
随机触发
破坏机制:计算机病毒的破坏机制,在设计原则、工作原理上与传染机制相似,也是通过修改某一中断向量人口地址(一般为时钟中断INT 8H或与时钟中断有关的其他中断,如INT 1CH),使该中断向量指向病毒程序的破坏模块。这样,当被加载的程序或系统访问该中断向量时,病毒破坏模块被激活,在判断设定条件满足的情况下,对系统或磁盘上的文件进行破坏
6. 绘出Funlove的流程图,并说明其引导部分的作用。
(计算机难画,根据下面过程就能画出来)
a.病毒程序第一次运行时,按照一定的时间间隔,周期性地检测每一个驱动器以及网络资源中的.EXE、.SCR、.OCX文件,验证后进行感染,被感染文件长度通常会增加4099字节或者更多
b.检测到以下文件名时不感染它们:ALER*、AMON*、_A VP*、A VP3*、A VPM*、F-PR*、NAVW*、SCAN*、SMSS*、DDHE*、DPLA*和MPLA*
c.当染毒程序运行后,该病毒将创建一个名为“FLCSS.EXE”的文件(长度4608字节),放在当前Windows系统的System目录下(NT系统中为System32),并同时开启一个线程进行自身的传染
d.如果是在NT的许可权限下运行,FLCSS.EXE会将自身像一个服务程序一样安装到NT 计算机上。它会以“FLC”显示在标准的NT服务列表中,并且被设置为在每次启动时自动运行此服务。在Windows 9x下,它像一个隐含程序一样运行,在任务列表中是不可见的
e.尽管Funlove病毒对数据没有直接的破坏性,但是在NT下,该病毒还是对NtOsKrnl.exe 文件做了一个小的修改(Patch),使得文件的许可请求总是返回允许访问(Access Allowed),所有的用户都拥有对每一个文件的完全控制访问权
其引导部分的作用:(这是我总结的)
染毒程序运行时,首先运行的是funlove病毒的引导模块
a.检查运行的环境,如确定操作系统类型、内存容量、现行区段、磁盘设置、显示器类型等参数
b.将funlove病毒引入内存,使funlove病毒处于动态,并保护内存中的funlove病毒代码不
被覆盖
c.设置funlove病毒的激活条件和触发条件,使funlove病毒处于可激活态,以便funlove病毒被激活后根据满足的条件调用感染模块或破坏表现模块
试述计算机病毒的逻辑结构。
第4章 DOS病毒的基本原理与DOS病毒分析
1.什么是病毒的重定位?病毒一般采用什么方法进行重定位?
回答一:重定位就是把程序的逻辑地址空间变换成内存中的实际物理地址空间的过程。
病毒不可避免也要用到变量(常量),当病毒感染HOST程序后,由于其依附到不同HOST 程序中的位置各有不同,病毒随着HOST载入内存后,病毒中的各个变量(常量)在内存中的位置自然也会随着发生变化。故而获取病毒变量的地址偏移值和利用该值得到病毒变量在内存中的实际地址的过程,就是病毒的重定位。
回答二:
call delta ;这条语句执行之后,堆栈顶端为delta在内存中的真正地址
delta:pop ebp ;这条语句将delta在内存中的真正地址存放在ebp寄存器中……
lea eax,[ebp+(offset var1-offset delta)] ;这时eax中存放着var1在内存中的真实地址
如果病毒程序中有一个变量var1,那么该变量实际在内存中的地址应该是ebp+(offset var1-offset delta),即参考量delta在内存中的地址+其它变量与参考量之间的距离=其
它变量在内存中的真正地址。
有时候我们也采用(ebp-offset delta)+offset var1的形式进行变量var1的重定位。
2. 试述引导型病毒的启动过程。
引导型病毒的触发:
用染毒盘启动计算机时,引导型病毒先于操作系统获取系统控制权(被首次激活),处于动态因首次激活时修改INT 13H入口地址使其指向病毒中断服务程序,从而处于可激活态
当系统/用户进行磁盘读写时调用INT 13H,调用的实际上是病毒的中断服务程序,从而激活病毒,使病毒处于激活态
病毒被激活之后,即可根据感染条件实施暗地感染、根据爆发破坏条件破坏系统并表现自己3.编写程序,利用INT 13H实现引导区的备份与恢复。
备份:
DEBUG(回车)
-A 100
XXXX:0100 MOV AX,201
XXXX:0103 MOV BX,200
XXXX:0106 MOV CX,1
XXXX:0109 MOV DX,80
XXXX:010C INT 13
XXXX:010E INT 3
XXXX:010F
-G=100
-R BX
BX 0200:0
-R CX ;-D 200 3FF显示Hex,注意标志55AA
CX 0001:200
-N BOOT.ZYD
-W
-Q
恢复:
DEBUG(回车)
-N BOOT.ZYD
-L 200
-A 100
XXXX:0100 MOV AX,0301
XXXX:0103 MOV BX,0200
XXXX:0106 MOV CX,0001
XXXX:0109 MOV DX,0080
XXXX:010C INT 13
XXXX:010E INT 3
XXXX:010F
-G=100
4. 编写程序,利用该程序修复被COM_https://www.doczj.com/doc/f91693972.html,感染的host_https://www.doczj.com/doc/f91693972.html,。
5. 试绘出感染EXE文件的示例病毒exe_v的流程图。
6.编写程序,利用该程序修复被exe_https://www.doczj.com/doc/f91693972.html, 感染的文件。
7.试绘出混合型病毒Natas 病毒的加密变形流程图。 ● 如何清除引导型病毒?
在恢复引导区之前,应清除内存中的病毒或使内存中的病毒处于灭活状态。 用干净软盘引导启动系统,可以清除内存中的病毒,也可采用如下方法将内存中的病毒灭活: 1.在无毒环境下(例如用无毒的同版本系统盘启动),用无毒的Debug 将中断向量表取出存在一个文件中。
2.当内存中有病毒时用上述文件覆盖中断向量表。中断向量表恢复正常,内存中通过修改向量表截流盗取中断向量的病毒将无法再激活。
病毒的清除方法比较简单,将病毒备份的扇区内容或感染前我们主动备份的引导扇区/主引导扇区内容,写入软盘引导扇区/硬盘主引导扇区即可。
● 试述文件型病毒的基本原理。
第4章 DOS 病毒的基本原理与DOS 病毒分析
1. 什么是病毒的重定位?病毒一般采用什么方法进行重定位?P158
*2. 试述引导型病毒的启动过程。
答:带毒硬盘引导------>BIOS将硬盘主引导区读到内存0:7C00处控制权转到主引导程序(这是千古不变的)(病毒)-------->将0:413单元的值减少1K或nK------->计算可用内存高段地址将病毒移到高段继续执行-------->修改INT13地址,指向病毒传染段,将原INT13地址保存在某一单元------>病毒任务完成,将原引导区调入0:7C00执行------>机器正常引导
*3.编写程序,利用INT 13H实现引导区的备份与恢复。
答:从U盘或光盘启动,进入纯DOS
DEBUG
-A 100
mov ax,0201
mov bx,0200
mov cx,0001
mov dx,0080
int 13
mov ax,0301
mov bx,0200
mov cx,0002
mov dx,0080
int 13
int 3
-g=100
4. 编写程序,利用该程序修复被COM_https://www.doczj.com/doc/f91693972.html,感染的host_https://www.doczj.com/doc/f91693972.html,。
5. 试绘出感染EXE文件的示例病毒exe_v的流程图。P181
6.编写程序,利用该程序修复被exe_https://www.doczj.com/doc/f91693972.html,感染的文件。
7.试绘出混合型病毒Natas病毒的加密变形流程图。P181
*8. 如何清除引导型病毒
答:以KV3000为例,只要硬盘本身染上引导区病毒,那么用硬盘本身启动必然是系统本身就带毒,因此调用KVw3000杀毒时不能完全清除,关键就是系统本身带病。可以使用干净的软盘启动电脑进入系统DOS。清除引导区病毒KV3000有一个命令KV3000/K。在执行KV3000/K时可用KV3000/B备份一个硬盘主引导信息,若不KV3000/B那么执行KV3000/K时也会让你备份一主引导信息即HDPT.VIR的文件。同样软盘上的引导区病毒也用KV3000/K。
*9.试述文件型病毒的基本原理。P168
答:无论是.COM文件还是.EXE文件,还是操作系统的可执行文件(包括.SYS、.OVL、.PRG、.DLL文件),当启动已感染文件型病毒的程序(HOST程序)时,暂时中断该程序,病毒完成陷阱(激活条件)的布置、感染工作后,再继续执行HOST程序,使计算机使用者初期觉得可正常执行,而实际上,在执行期间,病毒已暗做传染的工作,时机成熟时,病毒发作。
第5章 Windows病毒分析
1.PE病毒的感染过程是怎样的?如何判断一个文件是否感染了PE病毒(如Immunity)?针
对你的判断依据,采用何种手段可以更好地隐藏PE病毒?编程修复被Immunity感染的host_pe.exe文件。
PE病毒的感染过程
1.判断目标文件开始的两个字节是否为“MZ”。
2.判断PE文件标记“PE”。
3.判断感染标记,如果已被感染过则跳出继续执行HOST程序,否则继续。
4.获得Directory(数据目录)的个数,(每个数据目录信息占8个字节)。
5.得到节表起始位置。(Directory的偏移地址+数据目录占用的字节数=节表起始位置)
6.得到目前最后节表的末尾偏移(紧接其后用于写入一个新的病毒节)
节表起始位置+节的个数*(每个节表占用的字节数28H)=目前最后节表的末尾偏移。
7.开始写入节表
2. 查阅MSDN或其他资料,熟悉本章所涉及的API函数的用法。
3. 简要描述CIH病毒的触发机制、感染机制。如何让系统对CIH病毒具有免疫能力?
触发机制:
CIH病毒的驻留(初始化)
当运行感染了CIH病毒的PE文件时,由于该病毒修改了该程序的入口地址,从而首先调入内存执行,其驻留主要过程:
?①用SIDT指令取得IDT base address(中断描述符表基地址),然后把IDT的INT
3H 的入口地址改为指向CIH自己的INT 3H程序入口部分;
?②执行INT 3H指令,进入CIH自身的INT 3H入口程序,这样,CIH病毒就可
以获得Windows最高级别的权限Ring 0。病毒在这段程序中首先检查调试寄存
器DR0的值是否为0,用以判断先前是否有CIH病毒已经驻留;
?③如果DR0的值不为0,则表示CIH病毒程式已驻留,病毒程序恢复原先的INT
3H入口,然后正常退出INT 3H,跳到过程⑨;
④如果DR0值为0,则CIH病毒将尝试进行驻留;
?⑤如果内存申请成功,则从被感染文件中将原先分成多块的病毒代码收集起来,
并进行组合后放到申请到的内存空间中
?⑥再次调用INT 3H中断进入CIH病毒体的INT 3H入口程序,调用INT 20H来
完成调用一个IFSMgr_InstallFileSystemApiHook的子程序,在Windows内核中
文件系统处理函数中挂接钩子,以截取文件调用的操作,这样一旦系统出现要
求开启文件的调用,则CIH病毒的传染部分程序就会在第一时间截获此文件;
?⑦将同时获取的Windows操作系统默认的IFSMgr_Ring0_FileIO(核心文件输入/
输出)服务程序的入口地址保留在DR0寄存器中,以便于CIH病毒调用;
?⑧恢复原先的IDT中断表中的INT 3H入口,退出INT 3H;
?⑨根据病毒程序内隐藏的原文件的正常入口地址,跳到原文件正常入口,执行
正常程序
感染机制:
CIH病毒的传染部分实际上是病毒在驻留内存过程中调用Windows 内核底层函数IFSMgr_InstallFileSystemApiHook函数挂接钩子时指针指示的那段程序,其感染过程如
下:
①文件的截获。
②EXE文件的判断。
如何让系统对CIH病毒具有免疫能力:
1、如果没有杀病毒软件,务必请修改系统时间,跳过每个月的
26日。
2、有些电脑系统主板具备BIOS写保护开关,但一般设置均为开,
对系统硬件较为熟悉的用户,可将其拨至关的位置,这样可以防范病
毒改写BIOS信息。
3、配备有效的杀毒软件,定时对系统进行检查。清除CIH病毒最
好的方法是使用DOS版杀毒软件。瑞星杀毒软件9.0具有定时自动查杀
功能,可彻底查杀CIH系统毁灭者病毒。第一次杀毒时,请用瑞星杀毒
软件9.0DOS版,清除病毒后再装入WIN95版。这是因为在WIN95/98启
动后,有几个文件被系统使用,处于禁写状态。如果这些文件被感染,
将无法彻底消除病毒。
4、如果尚未得到杀病毒软件,可采用压缩并解压缩文件的方式加
以检查,但用该方法不能判断是否有CIHv1.4病毒。
5、由于病毒对所有硬盘数据彻底破坏,单纯恢复硬盘分区表不可
能恢复文件系统,所以请务必将重要数据进行备份。
4. 脚本病毒有哪些弱点?如何防治和清除脚本病毒?
VBS脚本病毒具有如下几个特点:
编写简单
破坏力大
感染力强
传播范围大
病毒源码容易被获取,变种多
欺骗性强
使得病毒生产机实现起来非常容易
◆针对以上提到的VBS脚本病毒的弱点,可以采用如下集中防范措施:
禁用文件系统对象FileSystemObject
卸载WSH
删除VBS、VBE、JS、JSE文件后缀名与应用程序的映射
将WScript.exe更改名称或者删除
自定义安全级别,把与“ActiveX控件及插件”有关的一切设为禁用
禁止OutlookExpress的自动收发邮件功能
显示扩展名,避免病毒利用文件扩展名作文章
将系统的网络连接的安全级别设置至少为“中等”
安装、使用杀毒软件
5.如果脚本病毒对其代码进行了加密,我们能否看到其解密后的源代码?怎样获取解密后的源代码?
vbs脚本病毒,看上去是乱码,一点也看不懂,其实还是有迹可循的。其思路就是寻找"execute"关键词。病毒最终,还是要换成机器可以看懂的内容,也就是说,最后一层的execute里面的内容,就是病毒的源代码。按照这个思路,那么可以知道,解密方法也一定就在这个execute里面。
也就是说:无需明白他是如何加密的,只需要知道,execute出来的是什么。
按照这个思路,可以得到程序的最后一次迭代加密过程前的代码,也就是第一次迭代解密的代码,看上去还是乱码,不过还是同样的道理,总可以找到execute这个关键词。病毒可能经过多次迭代,不过最终还是可以看懂的。
需要注意的是,execute后面的内容解密出来如果真的用execute执行了,那就中招了,所以这里要注意不能把execute也放进去一起执行。
6. 爱虫病毒对系统有哪些危害?编制一个爱虫病毒的解毒程序。
新“爱虫”(Vbs.Newlove)病毒,同爱虫(Vbs.lovelett er)病毒一样,也通过out look传播,会向地址簿中所有的联系人发送病毒邮件。如果打开病毒邮件的附件,还会造成更严重的后果。您会观察到计算机的硬盘灯狂闪,系统速度显著变慢,计算机中出现大量的扩展名为vbs的文件。所有快捷方式被改变为与系统目录下wscript.exe建立关联,意味着启动所有的文件wscript.exe都会首先运行,会进一步消耗系统资源,造成系统崩溃。清除病毒后还需要手工恢复文件关联,一般用户很难操作。
7. 宏病毒采用哪些传播方式?如何防治和清除宏病毒?
◆宏病毒的传播方式
在W ord或其他Office程序中,宏分成两种
?在某个文档中包含的内嵌宏,如FileOpen宏
?属于W ord应用程序,所有打开的文档公用的宏,如AutoOpen宏 W ord宏病毒一般都首先隐藏在一个指定的W ord文档中,一旦打开了这个W ord文档,宏病毒就被执行,宏病毒要做的第一件事情就是将自己拷贝到全局宏的区域,使得所有
打开的文档都可使用这个宏
当W ord退出的时候,全局宏将被存储在某个全局的模板文档(.dot文件)中,这个文件的名字通常是“normal.dot”,即normal模板
如果全局宏模板被感染,则W ord再启动的时候将自动载入宏病毒并且自动执行
◆宏病毒的防御
禁止运行不安全的宏
W ord被宏病毒感染之后(实际上是W ord使用的模板文档被感染),可以将其恢复正常?退出W ord,然后先到C盘根目录下查看是否存在Autoexec.dot文件,如果存
在,而你又不知道它是什么时侯出现的,删除之
?找到Normal.dot文件,用先前的干净备份替换之或干脆删除之
?查看Normal.dot所在目录是否还存在其他模板文件,如果存在且不是你自己拷
贝进去的,删除之
?重新启动W ord,已经恢复正常
8.如何查看宏病毒的源代码?如果代码被加密呢?
为了了解宏病毒,就必须读它的原代码,可是有时候宏是加密的,(Execute-only Macro),
1。重命名Normal.dot。起动word。
// 防止word启动时就带上了宏病毒
2。新建一个宏,专门用于读带毒文件中的宏代码(只是原理)
Sub Main
DisableAutoMacros //很关键,防止引入宏病毒
Dim D As FileOpen
GetCurValue D
Diolog D
FileOpen D //这一段用于打开带毒文件
MacroCopy https://www.doczj.com/doc/f91693972.html,+":"+"CAP", "sourceCAP",0
MacroCopy https://www.doczj.com/doc/f91693972.html,+":"+"AutoOpen", "notAuotOpen",0
...
//以CAP宏病毒为例,将宏代码拷贝到normal.dot
//其中参数0表示可编辑,非0表示加密
FileClose 2
Sub End
3。运行上面的宏,将宏代码拷贝到normal.dot
//注意要改变宏的名字
4。阅读宏代码
5。关闭word,恢复原来的 normal.dot
9. 在MSDN中查阅有关FileSystemObject的信息,了解其各种方法及属性。FileSystemObject
DriveExists(divespec)
GetDrive(divespec)
GetDriveName(divespec)
BuildPath(path,name) 向现有路径后添加名称
CopyFile source, destination[, overwrite] 将一个或多个文件从某位置自制到另一位置
CopyFolder source, destination[, overwrite] 将文件夹从某位置递归复制到另一位置
CreateFolder(foldername) 创建文件夹
OpenTextFile(filename[, iomode[, create[, format]]]) 打开指定的文件并返回一个TextStream对象,可以读取、写入此对象或将其追加到文件
CreateTextFile 创建指定文件并返回TextStream对象,该对象可用于读或定创建的文件
DeleteFile filespec[, force] 删除指定的文件
DeleteFolde 删除指定的文件夹
FileExists(filespec) 如果指定的文件存在返回True,否则返回False
FolderExits(folderspec) 如果指定的文件夹存在返回True,否则返回False
GetAbsolutePathName(pathspec) 从提供的指定路径中返回完整含义明确的路径
GetBaseName(path) 返回字符串,包含文件的基本名,或者路径说明的文件夹GetExtensionName(path) 返回字符串,包含路径最后一个组成部分的扩展名
GetFile(filespec) 返回与指定路径中某文件相应的File对象
GetFolder(folderspec) 返回与指定的路径中某文件夹相应的Folder对象
GetFileName(pathspec) 返回指定路径(不是指定路径驱动器路径部分)的最后一个文件或文件夹GetTempName 返回随机生成的临时文件或文件夹的名称,用于执行要求临时文件夹或文件的操GetSpecialFolder(folderspec) 返回指定的特殊文件夹
GetParentFolderName 返回指定的路径中最后一个文件或才文件夹的父文件夹
MoveFile source, destination 将一个或多个文件从某位置移动到另一位置
Drives集合只读所有可用驱动器的集合
filesystemobject.Drives
Folders集合包含在一个Folder对象的所有Folder对象集合
filesystemobject.SubFolders
Files集合文件夹中所有File对象的集合
filesystemobject.Files
Drive
AvailableSpace 可用空间的大小
DriveLetter 返回驱动器号
DriveType 描述驱动器类型的值
FileSystem 文件系统的类型
FreeSpace 对用户的可用空间大小
IdReady 指定的驱动器就绪与否,返回True/False
Path 返回指定文件、文件夹或驱动器的路径
RootFolder 返回一个Folder对象,表示指定驱动器的根文件夹.
SerialNumber 返回十进制序列号,用于唯一标识一个磁盘卷
TotalSize 返回驱动器或网络共享的总字节数
VolumeName 设置或返回指定驱动器的卷标(盘符说明)
ShareName 返回指定的驱动器的网络共享名
Folder(File)
Attributes 设置或返回文件或文件夹的属性
DateCreated 返回指定的文件或文件夹的创建日期和时间。只读
DateLastAccessed 返回指定的文件或文件夹的上次访问日期(和时间)。只读
DateLastModified 返回指定的文件或文件夹的上次修改日期和时间。只读
Drive 返回指定的文件夹或文件夹所在的驱动器的驱动器号。只读
Files 返回指定文件夹中所有File对象(系统或隐藏)组成的Files集合
IsRootFolder 如果指定的文件夹是根文件夹,返回True;否则返回False
Name 设置或返回指定的文件或文件夹的名称。可读写
ParentFolder 返回指定文件或文件夹的父文件夹。只读
ShortName 返回按照早期8.3文件命名约定转换的短文件名
ShortPath 返回按照早期8.3命名约定转换的短路径名
Size 对于文件返回指定文件的字节数;对于文件夹,返回文件夹所有的文件夹和子文件夹的字节数SubFolders 返回由指定文件夹中所有子文件夹组成的Folders集合
Type 返回文件或文件夹的类型信息。
Path 返回指定文件、文件夹或驱动器的路径
10.查阅相关资料,了解Windows各版本设备驱动程序的编写方法
●WSH中,Windows和DOS下的文件名分别是什么?如何禁止文件系统对象。
文件名为WScript.exe(若是在DOS命令提示符下,则为CScript.exe,命令格式:CScript FileName.vbs)
用regsvr32 scrrun.dll /u禁止了文件系统对象,在执行包含脚本的则提示失败
●用VB Script脚本编写解除注册表和任务管理器禁用的脚本文件。试写出其相应的REG、
BA T、INF文件。
Reg:那就通过批处理或vbs脚本,或组策略或者专门的软件来解决!
发一个vbs脚本来处理这个问题吧,你可以参考一下:
Dim unlock
Set unlock = Wscrīpt.CreateObject("Wscript.Shell")
unlock.Popup "你的注册表已成功解除,谢谢使用!"
unlock.RegWrite
"HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools",0,"REG_D WORD"
将以上内容用记事本另存为 .vbs文件,双击即可!
Dim unlock
Set unlock = Wscrīpt.CreateObject("Wscrīpt.Shell")
unlock.Popup "你的任务管理器已经可以使用!"
unlock.RegWrite"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\syste
m\DisableTaskMgr",0,"REG_DWORD"
将以上内容用记事本另存为 .vbs文件,双击即可
Bat:
可以在桌面建立个"新文本文件.txt", 把下面的代码复制到"新文本文件.txt",保存, 然后把"新文本文件.t xt"改名为"新文本文件.bat", 双击 "新文本文件.bat" 便可以了
reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentV ersion\Image File Execution O ptions\taskmgr.exe" /f
@echo off
title regedit
:start
color f1
mode con: cols=30 lines=18
echo 请选择
echo 『1.锁定注册表』
echo 『2.解锁注册表』
echo 『3.退出』
set /p a=请选择输入(1,2,3)回车:
if /i "%a%"=="1" goto 1
if /i "%a%"=="2" goto 2
if /i "%a%"=="3" goto 3
:1
@reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v DisableRegistryTools /t reg_dword /d 00000001 /f
cls
set /p a==start
if %a%==1 call :Menu&goto start
echo ERRORINPUT
pause
goto :start
exit
:2
@reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v DisableRegistryTools /t reg_dword /d 00000000 /f
start regedit
cls
goto :start
:3
exit
INF:
将“=”号以内的代码复制到记事本,保存为TaskMgr_Unlock.inf,然后点击右键选安装即可。=======================================
[V ersion]
Signature="$CHICAGO$"[DefaultInstall]
AddReg=1_AddReg[1_AddReg]
hkcu,"Software\Microsoft\Windows\CurrentV ersion\Policies\System","DisableTaskMgr",0x00010 001,0
=======================================恢复被禁用的注册表编辑器
将“=”号以内的代码复制到记事本,保存为Reg_Unlock.inf,然后点击右键选安装即可。
=======================================[V ersion]
Signature="$CHICAGO$"[DefaultInstall]
AddReg=1_AddReg[1_AddReg]
hkcu,"Software\Microsoft\Windows\CurrentV ersion\Policies\System","DisableRegistryTools",0x0 0010001,0
●预防恶意网站可采取哪些措施?
1、禁止修改注册表。
2、及时打系统补丁,尤其是及时把IE升级到最新版本,可以在很大程度上避免IE漏洞带来的安全隐患。
3、用360浏览器或Firefox 浏览网页。
4、下载安装微软最新的Microsoft Windows Script,可以很大程度上预防恶意修改。
5、相当多的恶意网页是含有有害代码的ActiveX网页文件,因此在IE设置中将ActiveX插件和控件、Java 脚本等禁止,或者把WSH(Windows Scripting Host)删除就在很大程度上避免中标。
1)禁止脚本运行
2)删除WSH
6、安装杀毒软件并打开网页监控、文件监控和内存监控。
7、把fdisk.exe、deltree.exe、https://www.doczj.com/doc/f91693972.html,等危险的命令文件改名,以免被恶意代码利用,造成不必要的损失。
8、不要轻易访问浏览一些自己不了解的站点,特别是那些看上去美丽诱人的网址,否则吃亏的往往是我们。
9、为WINDOWS系统文件夹里的HOSTS文件设置只读属性。
10、禁止访问已知的恶意网页/站点。
●如何手工修复IE?需要用到哪些辅助工具?需要注意哪些问题?
如何手工修复IE?
1、IE默认连接首页被修改
IE浏览器上方的标题栏被改成“欢迎访问******网站”的样式,这是最常见的篡改手段,受害者众多。
受到更改的注册表项目为:
HKEY_LOCA L_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page
通过修改“Start Page”的键值,来达到修改浏览者IE默认连接首页的目的,如浏览“*****”就会将你的IE默认连接首页修改为http://ppw.****.com ”,即便是出于给自己的主页做广告的目的,也显得太霸道了一些,这也是这类网页惹人厌恶的原因。
解决办法:
A. 注册表法
①在Windows启动后,点击“开始”→“运行”菜单项,在“打开”栏中键入regedit,然后按“确定”键;
②展开注册表到
HKEY_LOCA L_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main下,在右半部分窗口中找到串值“Start Page”双击,将Start Page的键值改为“about:blank”即可;
③同理,展开注册表到HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
在右半部分窗口中找到串值“Start Page”,然后按②中所述方法处理。
④退出注册表编辑器,重新启动计算机,一切OK了!
特殊例子:当IE的起始页变成了某些网址后,就算你通过选项设置修改好了,重启以后又会变成他们的网址啦,十分的难缠。其实他们是在你机器里加了一个自运行程序,它会在系统启动时将你的IE起始页设成他们的网站。
解决办法:
运行注册表编辑器regedit.exe,然后依次展开
HKEY_LOCA L_MACHINE\Software\Microsoft\Windows\Current V ersion\Run主键,然后将其下的registry.exe子键删除,然后删除自运行程序c:\Program Files\registry.exe,最后从IE选项中重新设置起始页就好了。
2、篡改IE的默认页
有些IE被改了起始页后,即使设置了“使用默认页”仍然无效,这是因为IE起始页的默认页也被篡改啦。具体说来就是以下注册表项被修改:
HKEY_LOCA L_MACHINE\Software\Microsoft\Internet Explorer\
Main\Default_Page_URL“Default_Page_URL”这个子键的键值即起始页的默认页。
解决办法:
A.运行注册表编辑器,然后展开上述子键,将“Default_Page_UR”子键的键值中的那
些篡改网站的网址改掉就好了,或者设置为IE的默认值。
B.msconfig 有的还是将程序写入硬盘中,重启计算机后首页设置又被改了回去,这时可使用“系统配置实用程序”来解决。开始-运行,键入msconfig点击“确定”,在弹出的窗口中切换到“启动”选项卡,禁用可疑程序启动项。
3、修改IE浏览器缺省主页,并且锁定设置项,禁止用户更改回来。
主要是修改了注册表中IE设置的下面这些键值(DW ORD值为1时为不可选):
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control
Panel]"Settings"=dword:1
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel]"Links"=dword:1
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Pan
el]"SecAddSites"=dword:1
解决办法:
将上面这些DW ORD值改为“0”即可恢复功能。
需要用到哪些辅助工具?
可选用360安全卫士、IE修复工具、黄山IE修复专家
需要注意哪些问题
a.当IE的起始页变成了某些网址后,就算你通过选项设置修改好了,重启以后又会变成他们的网址啦,十分的难缠。其实他们是在你机器里加了一个自运行程序,它会在系统启动时将你的IE起始页设成他们的网站。
b.重启计算机后首页设置又被改了回去
●简述PE病毒的基本原理。
1.病毒的重定位
2.获取API函数地址
3.搜索文件
4.内存映射文件
5.病毒感染其他文件
6.病毒返回到Host程序
●PE病毒修改PE文件有哪几种方法,写出实现要点。
1 插入节方式修改PE (尾部)
2 加长某一节修改PE
第6章网络蠕虫及防治
*1.
第一章 2、完成下列数制之间的转换。 (1)01011100B=92D (3)135D=10000111B (5)10110010B=262Q=B2H 3、组合型BCD码和非组合型BCD码有什么区别?写出十进制数254的组合型BCD数和非组合型数。 答:组合型BCD码用高四位和低四位分别对应十进制数的个位和十位,其表示范围是0~99;非组合型BCD码用一个字节的低四位表示十进制数,高四位则任意取值,表示范围为0~9。 组合型:254=(001001010100)BCD 非组合型:254=(00000010 00000101 00000100)BCD 7、计算机为什么采用补码形式存储数据?当计算机的字长n=16,补码的数据表示范围是多少? 答:在补码运算过程中,符号位参加运算,简化了加减法规则,且能使减法运算转化为加法运算,可以简化机器的运算器电路。+32767~ -32768。 9、设计算机字长n=8,求下列各式的[X+Y]补和[X-Y]补,并验证计算结果是否正确。 (1)X=18,Y=89 [X+Y]补=00010010+01011001=01101011B=107D 正确 [X-Y]补=10111001B=00010010+10100111=(-71D)补正确 (2)X=-23,Y=-11 [X+Y]补=11101001+11110101=11011110B=(-34D)补正确[X-Y]补=11101001+00001011=11110100B=(-12D)补正确 (3)X=18,Y=-15 [X+Y]补=00010010+11110001=00000011B=(3D)补正确 [X-Y]补=00010010+00001111=00100001B=(33D)补正确 (4)X=-18,Y=120 [X+Y]补=11101110+01111000=01100110B=(102D)补正确[X-Y]补=11101110+10001000=01110110B=(123D)补由于X-Y=-138 超出了机器数范围,因此出错了。 13、微型计算机的主要性能指标有哪些? 答:CPU字长、存储器容量、运算速度、CPU内核和IO工作电压、制造工艺、扩展能力、软件配置。 第二章 2、8086标志寄存器包含哪些标志位?试说明各标志位的作用。 答:进位标志:CF;奇偶校验:PF;辅助进位:AF;零标志:ZF;符号标志:SF;溢出标志:OF。 5、逻辑地址与物理地址有什么区别?如何将逻辑地址转换为物理地址? 答:物理地址是访问存储器的实际地址,一个存储单元对应唯一的一个物理地址。逻辑地址是对应逻辑段内的一种地址表示形式,它由段基址和段内偏移地址两部分组成,通常表示为段基址:偏移地址。 物理地址=段基址*10H+偏移地址。 6、写出下列逻辑地址的段基址、偏移地址和物理地址。 (1)2314H:0035H (2)1FD0H:000AH 答:(1)段基址:2314H;偏移地址:0035H;物理地址:23175H。 (2)段基址:1FD0H;偏移地址:000AH;物理地址:1FD0AH。 8、设(CS)=2025H,(IP)=0100H,则当前将要执行指令的物理地址是多少? 答:物理地址=(CS)*10H+(IP)=20350H 9、设一个16字的数据区,它的起始地址为70A0H:DDF6H(段基址:偏移地址),求这个数据区的首字单元和末字单元的物理地址。
第9部分计算机安全与职业道德判断题 (1) .[T]宏病毒可感染PowerPoint或Excel文件。 (2) .[T]计算机病毒在某些条件下被激活之后,才开始起干扰破坏作用。 (3) .[T]对重要程序或数据要经常备份,以便感染上病毒后能够得到恢复。 (4) .[T]当发现病毒时,它们往往已经对计算机系统造成了不同程度的破坏,即使清除了病毒,受到破坏的内容有时也很难恢复。因此,对计算机病毒必须以预防为主。 (5) .[F]计算机病毒只会破坏软盘上的数据和文件。 (6) .[T]计算机病毒也是一种程序,它能在某些条件下激活并起干扰破坏作用。 (7) .[F]计算机只要安装了防毒、杀毒软件,上网浏览就不会感染病毒。 (8) .[F]若一台微机感染了病毒,只要删除所有带毒文件,就能消除所有病毒.。 (9) .[F]若一张软盘上没有可执行文件,则不会感染病毒。 (10) .[F]CIH病毒能够破坏任何计算机主板上的BIOS系统程序。 (11) .[T]开机时应先开显示器后开主机电源,关机时应先关主机后关显示器电源。 (12) .[T]冷启动和热启动的区别是主机是否重新启动电源以及是否对系统进行自检。 (13) .[T]1991年我国首次颁布了《计算机软件保护条例》。 (14) .[T]由于盗版软件的泛滥,使我国的软件产业受到很大的损害。 (15) .[T]计算机职业道德包括不应该复制或利用没有购买的软件,不应该在未经他人许可的情况下使用他人的计算机资源。 (16) .[T]远程医疗、远程教育、虚拟现实技术、电子商务、计算机协同工作等是信息应用的新趋势。 (17) .[T]IT行业有一条法则恰如其分的表达了“计算机功能、性能提高”的发展趋势。这就是美国Intel公司的创始人摩尔提出的“摩尔法则”。 (18) .[T]根据计算机领域十分著名的摩尔法则,芯片上能够集成的晶体管数量每18~月将增加1倍。 第9部分计算机安全与职业道德单选
第1章作业答案 1.1 微处理器、微型计算机和微型计算机系统三者之间有什么不同? 解: 把CPU(运算器和控制器)用大规模集成电路技术做在一个芯片上,即为微 处理器。微处理器加上一定数量的存储器和外部设备(或外部设备的接口)构成了 微型计算机。微型计算机与管理、维护计算机硬件以及支持应用的软件相结合就形 成了微型计算机系统。 1.2 CPU在内部结构上由哪几部分组成?CPU应该具备哪些主要功能? 解: CPU主要由起运算器作用的算术逻辑单元、起控制器作用的指令寄存器、指 令译码器、可编程逻辑阵列和标志寄存器等一些寄存器组成。其主要功能是进行算 术和逻辑运算以及控制计算机按照程序的规定自动运行。 1.3 微型计算机采用总线结构有什么优点? 解: 采用总线结构,扩大了数据传送的灵活性、减少了连线。而且总线可以标准 化,易于兼容和工业化生产。 1.4 数据总线和地址总线在结构上有什么不同之处?如果一个系统的数据和地址合用 一套总线或者合用部分总线,那么要靠什么来区分地址和数据? 解: 数据总线是双向的(数据既可以读也可以写),而地址总线是单 向的。 8086CPU为了减少芯片的引脚数量,采用数据与地址线复用,既作数据总线也作为 地址总线。它们主要靠信号的时序来区分。通常在读写数据时,总是先输出地址 (指定要读或写数据的单元),过一段时间再读或写数据。
1.8在给定的模型中,写出用累加器的办法实现15×15的程序。 解: LD A, 0 LD H, 15 LOOP:ADD A, 15 DEC H JP NZ, LOOP HALT 第 2 章作业答案 2.1 IA-32结构微处理器直至Pentillm4,有哪几种? 解: 80386、30486、Pentium、Pentium Pro、Peruium II 、PentiumIII、Pentium4。 2.6 IA-32结构微处理器有哪几种操作模式? 解: IA一32结构支持3种操作模式:保护模式、实地址模式和系统管理模式。操 作模式确定哪些指令和结构特性是可以访问的。 2.8 IA-32结构微处理器的地址空间如何形成? 解: 由段寄存器确定的段基地址与各种寻址方式确定的有效地址相加形成了线性地址。若末启用分页机制,线性地址即为物理地址;若启用分页机制,则它把线性地址转为物理地址。 2.15 8086微处理器的总线接口部件由哪几部分组成? 解: 8086微处理器中的总线接口单元(BIU)负责CPU与存储器之间的信息传 送。具体地说,BIU既负责从内存的指定部分取出指令,送至指令队列
李伯成《微机原理》习题第一章 本章作业参考书目: ①薛钧义主编《微型计算机原理与应用——Intel 80X86系列》 机械工业出版社2002年2月第一版 ②陆一倩编《微型计算机原理及其应用(十六位微型机)》 哈尔滨工业大学出版社1994年8月第四版 ③王永山等编《微型计算机原理与应用》 西安电子科技大学出版社2000年9月 1.1将下列二进制数转换成十进制数: X=10010110B= 1*27+0*26+0*25+1*24+0*23+1*22+1*21 +0*21 =128D+0D+0D+16D+0D+0D+4D+2D=150D X=101101100B =1*28+0*27+1*26+1*25+0*24+1*23+1*22+0*21+0*20 =256D+0D+64D+32D+0D+16D+4D+0D=364D X=1101101B= 1*26+1*25+0*24+1*23+1*22+0*21 +1*20 =64D+32D+0D+8D+4D+0D+1D=109D 1.2 将下列二进制小数转换成十进制数: (1)X=0.00111B= 0*2-1+0*2-2+1*2-3+1*2-4+1*2-5= 0D+0D+0.125D+0.0625D+0.03125D=0.21875D (2) X=0.11011B= 1*2-1+1*2-2+0*2-3+1*2-4+1*2-5= 0.5D+0.25D+0D+0.0625D+0.03125D=0.84375D (3) X=0.101101B= 1*2-1+0*2-2+1*2-3+1*2-4+0*2-5+1*2-6= 0.5D+0D+0.125D+0.0625D+0D+0.015625D=0.703125D 1.3 将下列十进制整数转换成二进制数: (1)X=254D=11111110B (2)X=1039D=10000001111B (3)X=141D=10001101B 1.4 将下列十进制小数转换成二进制数: (1)X=0.75D=0.11B (2) X=0.102 D=0.0001101B (3) X=0.6667D=0.101010101B 1.5 将下列十进制数转换成二进制数 (1) 100.25D= 0110 0100.01H (2) 680.75D= 0010 1010 1000.11B 1.6 将下列二进制数转换成十进制数 (1) X=1001101.1011B =77.6875D
计算机病毒选择题 一、单选题 1、下面是关于计算机病毒的两种论断,经判断______ (1)计算机病毒也是一种程序,它在某些条件上激活,起干扰破坏作用,并能传染到其他程序中去; (2)计算机病毒只会破坏磁盘上的数据. A)只有(1)正确 B)只有(2)正确 C)(1)和(2)都正确 D)(1)和(2)都不正确 2、通常所说的“计算机病毒”是指______ A)细菌感染 B)生物病毒感染 C)被损坏的程序 D)特制的具有破坏性的程序 3、对于已感染了病毒的 U 盘,最彻底的清除病毒的方法是_____ A)用酒精将 U 盘消毒 B)放在高压锅里煮 C)将感染病毒的程序删除 D)对 U 盘进行格式化 4、计算机病毒造成的危害是_____ A)使磁盘发霉 B)破坏计算机系统 C)使计算机存芯片损坏 D)使计算机系统突然掉电 5、计算机病毒的危害性表现在______ A)能造成计算机器件永久性失效 B)影响程序的执行,破坏用户数据与程序
C)不影响计算机的运行速度 D)不影响计算机的运算结果,不必采取措施 6、计算机病毒对于操作计算机的人, ______ A)只会感染,不会致病 B)会感染致病 C)不会感染 D)会有厄运 7、以下措施不能防止计算机病毒的是_____ A)保持计算机清洁 B)先用杀病毒软件将从别人机器上拷来的文件清查病毒 C)不用来历不明的 U 盘 D)经常关注防病毒软件的版本升级情况,并尽量取得最高版本的防毒软件 8、下列 4 项中,不属于计算机病毒特征的是______ A)潜伏性 B)传染性 C)激发性 D)免疫性 9、下列关于计算机病毒的叙述中,正确的一条是______ A)反病毒软件可以查、杀任何种类的病毒 B)计算机病毒是一种被破坏了的程序 C)反病毒软件必须随着新病毒的出现而升级,提高查、杀病毒的功能 D)感染过计算机病毒的计算机具有对该病毒的免疫性 10、确保单位局域网的信息安全,防止来自省局网的黑客入侵,采用______以实现一定的防作用。 A)网管软件 B)列表 C)防火墙软件 D)杀毒软件 11、宏病毒可感染下列的______文件
第一章 1.微型计算机控制系统的硬件由哪几部分组成各部分作用 由四部分组成 (1)主机:这是微型计算机控制系统的核心,通过接口它可以向系统的各个部分发出各种命令,同时对被控对象的被控参数进行实时检测及处理。主机的主要功能是控制整个生产过程,按控制规律进行各种控制运算(如调节规律运算、最优化计算等)和操作,根据运算结果作出控制决策;对生产过程进行监督,使之处于最优工作状态;对事故进行预测和报警;编制生产技术报告,打印制表等等。 (2)输入输出通道:这是微机和生产对象之间进行信息交换的桥梁和纽带。过程输入通道把生产对象的被控参数转换成微机可以接收的数字代码。过程输出通道把微机输出的控制命令和数据,转换成可以对生产对象进行控制的信号。过程输入输出通道包括模拟量输入输出通道和数字量输入输出通道。 (3)外部设备:这是实现微机和外界进行信息交换的设备,简称外设,包括人机联系设备(操作台)、输入输出设备(磁盘驱动器、键盘、打印机、显示终端等)和外存贮器(磁盘)。其中作台应具备显示功能,即根据操作人员的要求,能立即显示所要求的内容;还应有按钮,完成系统的启、停等功能;操作台还要保证即使操作错误也不会造成恶劣后果,即应有保护功能.
(4)检测与执行机构:a.测量变送单元:在微机控制系统中,为了收集和测量各种参数,采用了各种检测元件及变送器,其主要功能是将被检测参数的非电量转换成电量.b. 执行机构:要控制生产过程,必须有执行机构,它是微机控制系统中的重要部件,其功能是根据微机输出的控制信号,改变输出的角位移或直线位移,并通过调节机构改变被调介质的流量或能量,使生产过程符合预定的要求。 2、微型计算机控制系统的软件有什么作用说出各部分软件的作用。 软件是指能够完成各种功能的计算机程序的总和。整个计算机系统的动作,都是在软件的指挥下协调进行的,因此说软件是微机系统的中枢神经。就功能来分,软件可分为系统软件、应用软件及数据库。 (1)系统软件:它是由计算机设计者提供的专门用来使用和管理计算机的程序。对用户来说,系统软件只是作为开发应用软件的工具,是不需要自己设计的。 系统软件包括:a.操作系统:即为管理程序、磁盘操作系统程序、监控程序等; b.诊断系统:指的是调节程序及故障诊断程序; c.开发系统:包括各种程序设计语言、语言处理程序(编译程序)、服务程序(装配程序和编辑程序)、模拟主系统(系统模拟、仿真、移植软件)、数据管理系统等; d.信息处理:指文字翻译、企业管理等。
6、[+42]原=00101010B=[+42]反=[+42]补 [-42]原=B [-42]反=B [-42]补=B [+85]原=01010101B=[+85]反=[+85]补 [-85]原=B [-85]反=B [-85]补=B 10、微型计算机基本结构框图 微处理器通过一组总线(Bus)与存储器和I/O接口相连,根据指令的控制,选中并控制它们。微处理器的工作:控制它与存储器或I/O设备间的数据交换;进行算术和逻辑运算等操作;判定和控制程序流向。 存储器用来存放数据和指令,其内容以二进制表示。每个单元可存8位(1字节)二进制信息。 输入——将原始数据和程序传送到计算机。 输出——将计算机处理好的数据以各种形式(数字、字母、文字、图形、图像和声音等)送到外部。 接口电路是主机和外设间的桥梁,提供数据缓冲驱动、信号电平转换、信息转换、地址译码、定时控制等各种功能。 总线:从CPU和各I/O接口芯片的内部各功能电路的连接,到计算机系统内部的各部件间的数据传送和通信,乃至计算机主板与适配器卡的连接,以及计算机与外部设备间的连接,都要通过总线(Bus)来实现。 13、8086有20根地址线A19~A0,最大可寻址220=1048576字节单元,即1MB;80386有32根地址线,可寻址232=4GB。8086有16根数据线,80386有32根数据线。
1、8086外部有16根数据总线,可并行传送16位数据; 具有20根地址总线,能直接寻址220=1MB的内存空间; 用低16位地址线访问I/O端口,可访问216=64K个I/O端口。 另外,8088只有8根数据总线 2、8086 CPU由两部分组成:总线接口单元(Bus Interface Unit,BIU) BIU负责CPU与内存和I/O端口间的数据交换: BIU先从指定内存单元中取出指令,送到指令队列中排队,等待执行。 执行指令时所需的操作数,也可由BIU从指定的内存单元或I/O端口中获取,再送到EU去执行。 执行完指令后,可通过BIU将数据传送到内存或I/O端口中。 指令执行单元(Execution Unit,EU) EU负责执行指令: 它先从BIU的指令队列中取出指令,送到EU控制器,经译码分析后执行指令。EU的算术逻辑单元(Arithmetic Logic Unit,ALU)完成各种运算。 6、见书P28-29。 7.(1)1200:3500H=1200H×16+3500H=15500H (2)FF00:0458H=FF00H×16+0458H=FF458H (3)3A60:0100H=3A80H×16+0100H=3A700H 8、(1)段起始地址1200H×16=12000H,结束地址1200H×16+FFFFH=21FFFH (2)段起始地址3F05H×16=3F050H,结束地址3F05H×16+FFFFH=4F04FH (3)段起始地址0FFEH×16=0FFE0H,结束地址0FFEH×16+FFFFH=1FFD0H 9、3456H×16+0210H=34770H 11、堆栈地址范围:2000:0000H~2000H(0300H-1),即20000H~202FFH。执行两条PUSH指令后,SS:SP=2000:02FCH,再执行1条PUSH指令后,SS:SP=2000:02FAH。 12、(2000H)=3AH, (2001H)=28H, (2002H)=56H, (2003H)=4FH 从2000H单元取出一个字数据需要1次操作,数据是283AH; 从2001H单元取出一个字数据需要2次操作,数据是5628H; 17、CPU读写一次存储器或I/O端口的时间叫总线周期。1个总线周期需要4个系统时钟周期(T1~T4)。8086-2的时钟频率为8MHz,则一个T周期为125ns,一个总线周期为500ns,则CPU每秒最多可以执行200万条指令。
计算机病毒与防范基础知识考试题及答案 (单选);姓名得分: 注:每题5分,满分100分; 1.下面是关于计算机病毒的两种论断,经判断___; (1)计算机病毒也是一种程序,它在某些条件上激活;A)只有(1)正确B)只有 (2)正确;C)(1)和(2)都正确D)(1)和(2)都不正; 2.通常所说的“计算机病毒”是指______; A)细菌感染 B)生物病毒感染; C)被损坏的程序 D)特制的具 计算机病毒知识测试题(单选) 姓名得分: 注: 每题5分,满分100分
1.下面是关于计算机病毒的两种论断,经判断______ (1)计算机病毒也是一种程序,它在某些条件上激活,起干扰破坏作用,并能传染到其他程序中去;(2)计算机病毒只会破坏磁盘上的数据. A)只有(1)正确 B)只有(2)正确 C)(1)和(2)都正确 D)(1)和(2)都不正确 2.通常所说的“计算机病毒”是指______ A)细菌感染 B)生物病毒感染 C)被损坏的程序 D)特制的具有破坏性的程序 3.对于已感染了病毒的U盘,最彻底的清除病毒的方法是_____ A)用酒精将U盘消毒 B)放在高压锅里煮 C)将感染病毒的程序删除 D)对U盘进行格式化
4.计算机病毒造成的危害是_____ A)使磁盘发霉 B)破坏计算机系统 C)使计算机内存芯片损坏 D)使计算机系统突然掉电 5.计算机病毒的危害性表现在______ A)能造成计算机器件永久性失效 B)影响程序的执行,破坏用户数据与程序 C)不影响计算机的运行速度 D)不影响计算机的运算结果,不必采取措施 6.计算机病毒对于操作计算机的人,______ A)只会感染,不会致病 B)会感染致病 C)不会感染 D)会有厄运
微机原理(第三版)课后练习答案
1 思考与练习题 一、选择题 1.计算机硬件中最核心的部件是( )。C A.运算器 B.主存储器 C.CPU D.输 入/输出设备 2.微机的性能主要取决于( )。 A (B——计算机数据处理能力的一个重要指标) A.CPU B.主存储器 C.硬盘 D.显示 器 3.计算机中带符号数的表示通常采用( )。 C A.原码 B.反码 C.补码 D.BCD码 4.采用补码表示的8位二进制数真值范围是( )。C A.-127~+127 B.-1 27~+128 C.-128~+127 D.-128~+128 5.大写字母“B”的ASCII码是( )。B A.41H B.42H C.61H D.62H 6.某数在计算机中用压缩BCD码表示为10010011,其真值为( )。C A.10010011B B.93H C.93 D.147 二、填空题
1.微处理器是指_CPU_;微型计算机以_ CPU _为核心,配置_内存和I/O接口_构成;其特点是_(1)功能强 (2)可靠性高 (3)价格低 (4)适应性强 (5)体积小 (6)维护方便_。P8 P5 2.主存容量是指_RAM和ROM总和_;它是衡量微型计算机_计算机数据处理_能力的一个重要指标;构成主存的器件通常采用_DRAM和PROM半导体器件_。P5 P9 3.系统总线是_CPU与其他部件之间传送数据、地址和控制信息_的公共通道;根据传送内容的不同可分成_数据、地址、控制_3种总线。P9 4.计算机中的数据可分为_数值型和非数值型_两类,前者的作用是_表示数值大小,进行算术运算等处理操作_;后者的作用是_表示字符编码,在计算机中描述某种特定的信息_。P12 5.机器数是指_数及其符号在机器中加以表示的数值化_;机器数的表示应考虑_机器数的范围、机器数的符号、机器数中小数点位置_3个因素。P15 P16 6.ASCII码可以表示_128_种字符,其中起控制作用的称为_功能码_;供书写程序和描述命令使用的称为_信息码_。P18 P19
1.2 课后练习题 一、填空题 1.将二进制数1011011.1转换为十六进制数为__5B.8H_____。 2.将十进制数199转换为二进制数为____ 11000111____B。 3.BCD码表示的数,加减时逢__10____进一,ASCII码用来表示数值时,是一种非压缩的BCD 码。 4.十进制数36.875转换成二进制是___100100.111____________。 5.以_微型计算机____为主体,配上系统软件和外设之后,就构成了__微型计算机系统____。6.十进制数98.45转换成二进制为__1100010.0111_B、八进制__142.3463________Q、十六进制__62.7333________H。(精确到小数点后4位) 二、选择题 1.堆栈的工作方式是__B_________。 A)先进先出B)后进先出C)随机读写D)只能读出不能写入 2.八位定点补码整数的范围是____D_________。 A)-128-+128 B)-127-+127 C)-127-+128 D)-128-+127 3.字长为16位的数可表示有符号数的范围是___B___。 A)-32767-+32768 B)-32768-+32767 C)0-65535 D)-32768-+32768 三、简答题 1.微型计算机系统的基本组成? 微型计算机,系统软件,应用软件,输入输出设备 2.简述冯.诺依曼型计算机基本思想? ●将计算过程描述为由许多条指令按一定顺序组成的程序,并放入存储器保存 ●指令按其在存储器中存放的顺序执行; ●由控制器控制整个程序和数据的存取以及程序的执行; ●以运算器为核心,所有的执行都经过运算器。 3.什么是微型计算机? 微型计算机由CPU、存储器、输入/输出接口电路和系统总线构成。 4.什么是溢出? 运算结果超出了计算机所能表示的范围。 2.2 一、填空题 1. 8086/8088的基本总线周期由___4____个时钟周期组成,若CPU主频为10MHz,则一个时钟周期的时间为___0.1μs_____。 2. 在8086CPU的时序中,为满足慢速外围芯片的需要,CPU采样___READY_________信号,若未准备好,插入___TW__________时钟周期。 3. 8086系统总线形成时,须要用_____ALE__________信号锁定地址信号。 4. 对于8086微处理器,可屏蔽中断请求输入信号加在_____INTR__________引脚。
计算机病毒选择题
单选15题15分多选10题20分 名词5题20分简答5题25 分论述1题20分二选一 (除了多选题) 计算机病毒选择题 一、单选题 1、下面是关于计算机病毒的两种论断,经判断______ (1)计算机病毒也是一种程序,它在某些条件上激活,起干扰破坏作用,并能传染到其他程序中去;(2)计算机病毒只会破坏磁盘上的数据. A)只有(1)正确 B)只有(2)正确 C)(1)和(2)都正确 D)(1)和(2)都不正确 2、通常所说的“计算机病毒”是指______ A)细菌感染 B)生物病毒感染 C)被损坏的程序 D)特制的具有破坏性的程序 3、对于已感染了病毒的U盘,最彻底的清除病毒的方法是_____ A)用酒精将U盘消毒 B)放在高压锅里煮 C)将感染病毒的程序删除 D)对U盘进行格式化 4、计算机病毒造成的危害是_____ A)使磁盘发霉 B)破坏计算机系统 C)使计算机内存芯片损坏 D)使计算机系统突然掉电 5、计算机病毒的危害性表现在______
A)能造成计算机器件永久性失效 B)影响程序的执行,破坏用户数据与程序 C)不影响计算机的运行速度 D)不影响计算机的运算结果,不必采取措施 6、计算机病毒对于操作计算机的人,______ A)只会感染,不会致病 B)会感染致病 C)不会感染 D)会有厄运 7、以下措施不能防止计算机病毒的是_____ A)保持计算机清洁 B)先用杀病毒软件将从别人机器上拷来的文件清查病毒 C)不用来历不明的U盘 D)经常关注防病毒软件的版本升级情况,并尽量取得最高版本的防毒软件 8、下列4项中,不属于计算机病毒特征的是______ A)潜伏性 B)传染性 C)激发性 D)免疫性 9、下列关于计算机病毒的叙述中,正确的一条是______ A)反病毒软件可以查、杀任何种类的病毒 B)计算机病毒是一种被破坏了的程序 C)反病毒软件必须随着新病毒的出现而升级,提高查、杀病毒的功能 D)感染过计算机病毒的计算机具有对该病毒的免疫性
微机原理与接口技术试题库 第一章基础知识 一、填空 1、计算机中采用二进制数,尾符用B 表示。 2、西文字符的编码是ASCII 码,用 1 个字节表示。 3、10111B用十六进制数表示为H,八进制数表示为O。 4、带符号的二进制数称为真值;如果把其符号位也数字化,称为原码。 5、已知一组二进制数为-1011B,其反码为10100B ,其补码为10101B 。 6、二进制码最小单位是位,基本单位是字节。 7、一个字节由8 位二进制数构成,一个字节简记为1B ,一个字节可以表示256 个信息。 8、用二进制数表示的十进制编码,简称为BCD 码。 9、8421码是一种有权BCD 码,余3码是一种无权BCD 码。 二、选择 1、计算机中采用 A 进制数。 A. 2 B. 8 C. 16 D. 10 2、以下的 C 编码是一种有权码。 A. 循环码 B. BCD码 C. 8421码 D. 余3码 3、八进制数的尾符是 B 。 A. B B. O C. D D. H 4、与十进制数254等值的数是 A 。 A. 11111110 B. 11101111 C. 11111011 D. 11101110 5、下列不同数制表示的数中,数值最大的是 C 。 A. 11011101B B. 334O C. 1219D D. DAH 6、与十六进制数BC等值的数是B 。 A. 10111011 B. 10111100 C. 11001100 D. 11001011 7、下列字符中,ASCII码值最小的是 A 。 A. K B. Y C. a D. i 8、最大的10位无符号二进制整数转换成十进制数是C 。 A. 51 B. 512 C. 1023 D. 1024 9、A的ASCII码值为65D,ASCII码值为68D的字母是C 。 A. B B. C C. D D. E 10、下列等式中,正确的是 D 。 A. 1KB=1024×1024B B. 1MB=1024B
计算机病毒知识测试题(单选) 姓名得分: 注:每题5分,满分100分 1.下面是关于计算机病毒的两种论断,经判断______ (1)计算机病毒也是一种程序,它在某些条件上激活,起干扰破坏作用,并能传染到其他程序中去;(2)计算机病毒只会破坏磁盘上的数据. A)只有(1)正确B)只有(2)正确 C)(1)和(2)都正确D)(1)和(2)都不正确 2.通常所说的“计算机病毒”是指______ A)细菌感染B)生物病毒感染 C)被损坏的程序D)特制的具有破坏性的程序 3.对于已感染了病毒的U盘,最彻底的清除病毒的方法是_____ A)用酒精将U盘消毒B)放在高压锅里煮 C)将感染病毒的程序删除D)对U盘进行格式化 4.计算机病毒造成的危害是_____ A)使磁盘发霉B)破坏计算机系统 C)使计算机内存芯片损坏D)使计算机系统突然掉电 5.计算机病毒的危害性表现在______ A)能造成计算机器件永久性失效 B)影响程序的执行,破坏用户数据与程序 C)不影响计算机的运行速度 D)不影响计算机的运算结果,不必采取措施 6.计算机病毒对于操作计算机的人,______ A)只会感染,不会致病B)会感染致病 C)不会感染D)会有厄运 7.以下措施不能防止计算机病毒的是_____ A)保持计算机清洁 B)先用杀病毒软件将从别人机器上拷来的文件清查病毒 C)不用来历不明的U盘 D)经常关注防病毒软件的版本升级情况,并尽量取得最高版本的防毒软件 8.下列4项中,不属于计算机病毒特征的是______ A)潜伏性B)传染性C)激发性D)免疫性 9.下列关于计算机病毒的叙述中,正确的一条是______ A)反病毒软件可以查、杀任何种类的病毒
习题1 1.什么是汇编语言,汇编程序,和机器语言? 答:机器语言是用二进制代码表示的计算机能直接识别和执行的一种机器指令的集合。 汇编语言是面向及其的程序设计语言。在汇编语言中,用助记符代替操作码,用地址符号或标号代替地址码。这种用符号代替机器语言的二进制码,就把机器语言编程了汇编语言。 使用汇编语言编写的程序,机器不能直接识别,要由一种程序将汇编语言翻译成机器语言,这种起翻译作用的程序叫汇编程序。 2.微型计算机系统有哪些特点?具有这些特点的根本原因是什么? 答:微型计算机的特点:功能强,可靠性高,价格低廉,适应性强、系统设计灵活,周期短、见效快,体积小、重量轻、耗电省,维护方便。 这些特点是由于微型计算机广泛采用了集成度相当高的器件和部件,建立在微细加工工艺基础之上。 3.微型计算机系统由哪些功能部件组成?试说明“存储程序控制”的概念。 答:微型计算机系统的硬件主要由运算器、控制器、存储器、输入设备和输出设备组成。 “存储程序控制”的概念可简要地概括为以下几点: ①计算机(指硬件)应由运算器、存储器、控制器和输入/输出设备五大基本部件组成。 ②在计算机内部采用二进制来表示程序和数据。 ③将编好的程序和原始数据事先存入存储器中,然后再启动计算机工作,使计算机在不需要人工干预的情况下,自动、高速的从存储器中取出指令加以执行,这就是存储程序的基本含义。 ④五大部件以运算器为中心进行组织。 4.请说明微型计算机系统的工作过程。 答:微型计算机的基本工作过程是执行程序的过程,也就是CPU自动从程序存
放的第1个存储单元起,逐步取出指令、分析指令,并根据指令规定的操作类型和操作对象,执行指令规定的相关操作。如此重复,周而复始,直至执行完程序的所有指令,从而实现程序的基本功能。 5.试说明微处理器字长的意义。 答:微型机的字长是指由微处理器内部一次可以并行处理二进制代码的位数。它决定着计算机内部寄存器、ALU和数据总线的位数,反映了一台计算机的计算精度,直接影响着机器的硬件规模和造价。计算机的字长越大,其性能越优越。在完成同样精度的运算时,字长较长的微处理器比字长较短的微处理器运算速度快。 6.微机系统中采用的总线结构有几种类型?各有什么特点? 答:微机主板常用总线有系统总线、I/O总线、ISA总线、IPCI总线、AGP总线、IEEE1394总线、USB总线等类型。 7.将下列十进制数转换成二进制数、八进制数、十六进制数。 ①(4.75)10=(0100.11)2=(4.6)8=(4.C)16 ②(2.25)10=(10.01)2=(2.2)8=(2.8)16 ③(1.875)10=(1.111)2=(1.7)8=(1.E)16 8.将下列二进制数转换成十进制数。 ①(1011.011)2=(11.6)10 ②(1101.01011)2=(13.58)10 ③(111.001)2=(7.2)10 9.将下列十进制数转换成8421BCD码。 ① 2006=(0010 0000 0000 0110)BCD ② 123.456=(0001 0010 0011.0100 0101 0110)BCD 10.求下列带符号十进制数的8位基2码补码。 ① [+127]补= 01111111
第二章 1.8086CPU由哪两部分组成?它们的主要功能是什么? 8086CPU由总线接口部件BIU和指令执行部件EU组成,BIU和EU的操作是并行的。 总线接口部件BIU的功能:地址形成、取指令、指令排队、读/写操作数和总线控制。所有与外部的操作由其完成。 指令执行部件EU的功能:指令译码,执行指令。 2.8086CPU中有哪些寄存器?各有什么用途? 8086CPU的寄存器有通用寄存器组、指针和变址寄存器、段寄存器、指令指针寄存器及标志位寄存器PSW。 4个16位通用寄存器,它们分别是AX,BX,CX,DX,用以存放16位数据或地址。也可分为8个8位寄存器来使用,低8位是AL、BL、CL、DL,高8位是AH、BH、CH、DH,只能存放8位数据,不能存放地址。 指针和变址寄存器存放的内容是某一段内地址偏移量,用来形成操作数地址,主要在堆栈操作和变址运算中使用。 段寄存器给出相应逻辑段的首地址,称为“段基址”。段基址与段内偏移地址结合形成20位物理地址。 指令指针寄存器用来存放将要执行的下一条指令在现行代码中的偏移地址。 16位标志寄存器PSW用来存放运算结果的特征,常用作后续条件转移指令的转移控制条件。 5.要完成下述运算或控制,用什么标志位判断?其值是什么? ⑴比较两数是否相等? 将两数相减,当全零标志位ZF=1时,说明两数相等,当ZF=0时,两数不等。 ⑵两数运算后结果是正数还是负数? 用符号标志位SF来判断,SF=1,为负数;SF=0,为正数。 ⑶两数相加后是否溢出? 用溢出标志位来判断,OF=1,产生溢出;OF=0,没有溢出。 ⑷采用偶校验方式。判定是否要补“1”? 用奇偶校验标志位判断,有偶数个“1”时,PF=1,不需要补“1”;有奇数个“1”时,PF=0,需要补“1”。 (5)两数相减后比较大小? ●ZF=1时,说明两数是相等的; ●ZF=0时: 无符号数时,CF=0,被减数大;CF=1,被减数小。 带符号数时,SF=OF=0或SF=OF=1,被减数大;SF=1,OF=0或SF=0,OF1,被减数小。 (6)中断信号能否允许? 用中断标志位来判断,IF=1,允许CPU响应可屏蔽中断;IF=0,不响应。 6.8086系统中存储器采用什么结构?用什么信号来选中存储体? 8086存储器采用分体式结构:偶地址存储体和奇地址存储体,各为512k。 用A0和BHE来选择存储体。当A0=0时,访问偶地址存储体;当BHE=0时,访问奇地址存储体;当A0=0,BHE=0时,访问两个存储体。 9.实模式下,段寄存器装入如下数据,写出每段的起始和结束地址 a)1000H 10000H~1FFFFH b)1234H 12340H~2233FH c)2300H 23000H~32FFFH d)E000H E0000H~EFFFFH e)AB00H AB000H~BAFFFH
第一章微型计算机的基础知识 1-1 将下列十进制数转换为二进制数、十六进制数。 (1)110 (2)1 039 (3)0.75 (4)0.156 25 1-2 将下列十进制数转换为BCD 码。 (1)129 (2)5 678 (3)0.984 (4)93.745 1-3 将下列二进制数转换为十进制数、十六进制数。 (1)10101010 (2)10000000 (3)11000011.01 (4)01111110 1-4 将下列十六进制数转换为二进制数、十进制数。 (1)8E6H (2)0A42H (3)7E.C5H (4) 0F19.1DH 1-5 将下列二进制数转换为BCD 码。 (1)1011011.101 (2)1010110.001 1-6 将下列BCD 码转换为二进制数。 (1)(0010 0111 0011) BCD (2)(1001 0111.0010 0101) BCD 1-7 完成下列二进制数的运算。 (1)1001.11+11.11 (2)1101.01-0110.11 (3)1000.011-1001.101 (4)1111+1101 1-8 完成下列十六进制数的运算。 (1)6AH+0A6H (2)0AB1FH+0EFCH (3)12ADH-1DEH (4)117H-0ABH 1-9 已知X=01H,Y=0FFH ,在下面的情况下比较两数的大小。 (1)无符号数 (2)符号数 (均为补码) 1-10 计算下列各表达式。 (1)101+‘A’+01101001B+0D5H+57Q (2)127.8125+10111101.101+375.63Q+1FC.8AH 1-11 写出下列字符串的ASCII 码。 (1)HELLO (2)A8=
选择题 1.下列说法正确的是______。 计算机技术是信息化社会的核心 2.用于解决某种实际问题的程序系统及相应的技术文档资料称为______。 应用软件 3.在键盘上使计算机热重启的键应该是______。 Alt+Del+Ctrl 4.下列选项中,______两个软件都属于系统软件。 WINDOWS和UNIX 5.下列设备中,能在微机之间传播"病毒"的是______。 光盘 6.显示器过热将会导致______。 色彩、图象失真 7.下列符号______是A驱动器名。 A: 8.复合型病毒是______。 既感染引导扇区,又感染可执行文件 9.下列存储器中,______不是磁介质存储设备。 光盘 10.计算机理想的工作温度是______℃。 10—30 11.微机P4是计算机的______。 CPU型号 12.下列现象中,______,不应首先考虑计算机感染了病毒。 鼠标操作不灵活 13.微型计算机可简称为______。 微机 14.下列关于计算机病毒的叙述中,正确的选项是______。 计算机病毒可以通过读写软件、光盘或Internet网络进行传播 15.嵌入式SQL实现时,采用预处理方式是______。 识别出SQL语句,并处理成函数形式 16.下面说法中,错误的是______。 所有计数制都是按"逢十进一"的原则计数 17.计算机按照______划分可以分为:巨型机、大型机、小型机、微型机和工作站。规模 18.用以控制和管理硬件系统资源和所有系统软件的最基本、最核心的系统软件是______。 操作系统 19.在"人机大战"中的计算机,"深篮"战胜了国际象棋大师,这是计算机在______方面的应用。 人工智能 20.一般关机后距离下一次开机的时间,至少应有______秒钟。 10 21 信息高速公路的主要基础设施是______。互联网
1 思考与练习题 一、选择题 1.计算机硬件中最核心的部件是( )。C A.运算器 B.主存储器 C.CPU D.输入/输出设备 2.微机的性能主要取决于( )。 A (B——计算机数据处理能力的一个重要指标) A.CPU B.主存储器 C.硬盘 D.显示器 3.计算机中带符号数的表示通常采用( )。C A.原码 B.反码 C.补码 D.BCD码 4.采用补码表示的8位二进制数真值范围是( )。C A.-127~+127 B.-1 27~+128 C.-128~+127 D.-128~+128 5.大写字母“B”的ASCII码是( )。B A.41H B.42H C.61H D.62H 6.某数在计算机中用压缩BCD码表示为10010011,其真值为( )。C A.10010011B B.93H C.93 D.147 二、填空题 1.微处理器是指_CPU_;微型计算机以_CPU_为核心,配置_内存和I/O接口_构成;其特点是_(1)功能强 (2)可靠性高 (3)价格低 (4)适应性强 (5)体积小 (6)维护方便_。P8 P5 2.主存容量是指_RAM和ROM总和_;它是衡量微型计算机_计算机数据处理_能力的一个重要指标;构成主存的器件通常采用_DRAM和PROM半导体器件_。P5 P9 3.系统总线是_CPU与其他部件之间传送数据、地址和控制信息_的公共通道;根据传送内容的不同可分成_数据、地址、控制_3种总线。P9 4.计算机中的数据可分为_数值型和非数值型_两类,前者的作用是_表示数值大小,进行算术运算等处理操作_;后者的作用是_表示字符编码,在计算机中描述某种特定的信息_。P12 5.机器数是指_数及其符号在机器中加以表示的数值化_;机器数的表示应考虑_机器数的范围、机器数的符号、机器数中小数点位置_3个因素。P15 P16 6.ASCII码可以表示_128_种字符,其中起控制作用的称为_功能码_;供书写程序和描述命令使用的称为_信息码_。P18 P19 三、判断题 1.计算机中带符号数采用补码表示的目的是为了简化机器数的运算。( )√ 2.计算机中数据的表示范围不受计算机字长的限制。( )× 3.计算机地址总线的宽度决定了内存容量的大小。( )√ 4.计算机键盘输入的各类符号在计算机内部均表示为ASCII码。( )× (键盘与计算机通信采用ASCII码) 2 思考与练习题 一、选择题 1.在EU中起数据加工与处理作用的功能部件是( )。A A.ALU B.数据暂存器 C.数据寄存器 D.EU控制电路 2.以下不属于BIU中的功能部件是( )。 B A.地址加法器 B.地址寄存器 C.段寄存器 D.指令队列缓冲器