当前位置:文档之家 › 《计算机病毒与防范》复习提纲.doc

《计算机病毒与防范》复习提纲.doc

  • 格式:doc
  • 大小:85.62 KB
  • 文档页数:6

下载文档原格式

  / 6

合集下载

计算机病毒基础知识与防范(第一章第八节)

计算机病毒基础知识与防范(第一章第八节)
传播方式
CIH病毒主要通过恶意网站、恶意邮件附件等途径传播。
防范措施
安装防病毒软件并保持更新,不随意打开未知来源的邮件和链 接,定期备份重要数据,使用强密码和多因素身份验证。
THANKS FOR WATCHING
感谢您的观看
传播方式
Stuxnet病毒主要通过U盘、移动硬盘等途径传播。
防范措施
加强工业控制系统安全防护,定期更新系统和软件的补丁,限制U盘等移动存储设备的使用,加强员工安 全意识培训。
案例四:CIH病毒
病毒描述
CIH是一种恶性病毒,主要通过感染Windows系统的可执行文件和Office 文档传播。该病毒会对感染的电脑进行破坏,导致系统崩溃和数据丢失。
防范措施:使用安全软件进行全面扫描;不随意点击未知链接和下载未知安全的 软件;及时更新软件版本。
宏病毒
宏病毒是一种利用宏语言编写的计算机病毒 ,它主要感染Excel、Word等文档文件。宏 病毒会在用户打开文档时自动复制并感染其 他文档,导致文件损坏和数据丢失。
防范措施:禁用宏功能;使用防病毒 软件进行全面扫描;不打开未知来源 的文档。
潜伏性
计算机病毒可以在感染后隐藏 起来,等待特定条件触发后才
发作。
计算机病毒的历史与发展
01
1987年,首个已知的计算机病毒C-Brain在IBM PC上出现。
02
随着互联网的普及,蠕虫病毒和木马病毒等新型病毒不断涌 现。
03
近年来,随着移动设备的普及,手机病毒也成为新的威胁。
02 计算机病毒的类型与传播 途径
VS
防范措施:使用防病毒软件进行全面 扫描;定期清理系统垃圾文件;不随 意下载未知安全的软件。
邮件病毒

计算机病毒及防范技术-复习2011上

计算机病毒及防范技术-复习2011上

按照计算机病毒的链接方式分类
源码型病毒 将病毒代码插入到高级语言源程序中,经编译 成为合法程序的一部分 嵌入型病毒 也称作入侵型病毒。该类病毒将自身嵌入到现 有程序中,把计算机病毒的主体程序与其攻击 对象以插入方式链接,并代替其中部分不常用 到的功能模块或堆栈区
1.破坏数据 2.占用存储空间 3.抢占系统计算资源 4.影响计算机运行速度 5.计算机病毒错误与不可预见的危害 6.计算机病毒的兼容性对系统运行的影响 7.破坏操作系统和硬件
计算机病毒的危害(2)
间接危害:
1.计算机病毒给用户造成严重的心理压力 2.造成业务上的损失 3.信息系统受损造成的间接破坏,电力、金融等 4.法律上的问题
潜伏性
计算机病毒的潜伏性
一个编制精巧的计算机病毒程序,进入系统之 后一般不会马上发作 潜伏性愈好,其在系统中的存在和传染时间就 愈长(无症状不易引起注意),病毒的传染范 围就会愈大
可触发性
计算机病毒的可触发性
计算机病毒因某个事件或数值的出现,诱使病毒 实施感染或进行攻击 为了隐蔽自己,病毒必须潜伏,少做动作。如果 完全不动作,一直潜伏的话,病毒既不感染也不 破坏,便没有杀伤力。病毒既要隐蔽又要有杀伤 力,就必须具有可触发性
破坏性
计算机病毒的破坏性
对操作系统造成不同程度的影响,轻者降低计算 机系统性能,占用系统资源(内存空间、磁盘、 CPU、带宽等),重者导致数据丢失、系统崩溃。 破坏性取决于入侵系统的病毒行为(设计者的目 的) 即使病毒被发现,数据、程序以至操作系统的恢 复都非常困难 病毒具有破坏性,必须对其进行研究和应对
计算机病毒及防范技术
课程学习要求与考核
掌握计算机病毒的定义,熟悉其危害和症状。 掌握计算机病毒的定义,熟悉其危害和症状。 掌握计算机病毒的工作机理和传播机制。 掌握计算机病毒的工作机理和传播机制。 能对计算机病毒代码进行初步分析。 能对计算机病毒代码进行初步分析。 熟悉一些计算机病毒检测工具。 熟悉一些计算机病毒检测工具。 掌握计算机病毒主要的防范与查杀技术。 掌握计算机病毒主要的防范与查杀技术。

计算机病毒防治(复习-3

计算机病毒防治(复习-3

计算机病毒防治(复习-31. 当主引导记录结束标志为( )时,表⽰该主引导记录是⼀个有效的记录,它可⽤来引导硬盘系统A. AA55HB. 80HC. 00HD. 4D5AH2. DOS系统加载COM⽂件时,指令指针IP的值被设置为( )A. 0000HB. 0100HC. 0200HD. FFFFH3. 根⽬录下的所有⽂件及⼦⽬录的FDT中都有⼀个⽬录项,每个⽬录项占⽤()个字节,分为8个区域A. 12B. 22C. 32D. 424. DOS系统下,EXE⽂件加载时,IP寄存器的值设定为()A. 0000HB. 0100HC. FFFFHD. EXE⽂件头中存储的初始IP值5. DOS系统启动⾃检通过后,则把硬盘上的主引导记录读⼊内存地址(),并把控制权交给主引导程序中的第⼀条指令A F000:0000H B.FFFF:0000H C. FFF0:FFFFH D. 0000:7C00H6. 下⾯关于病毒的描述不正确的是( )A. 病毒具有传染性B. 病毒能损坏硬件C. 病毒可加快运⾏速度D. 带毒⽂件长度可能不会增加7. ( )是感染引导区的计算机病毒常⽤的A. INT 13HB. INT 21HC. INT 24HD. INT 16H8. 我国⾸例的计算机病毒是( )A. ⿊⾊星期五B.中国炸弹病毒C. ⾬点病毒D. ⼩球病毒9. 计算机病毒是指( )A. 腐化的计算机程序B. 编制有错误的计算机程序C. 计算机的程序已被破坏D. 以危害系统为⽬的的特殊的计算机程序10. 危害极⼤的计算机病毒CIH发作的典型⽇期是( )A. 6⽉4⽇B. 4⽉1⽇C. 5⽉26⽇D. 4⽉26⽇11. 硬盘的分区表中,⾃检标志为( )表⽰该分区是当前活动分区,可引导A. AAHB. 80HC. 00HD. 55H12. 下列4项中,( ) 不属于计算机病毒特征A. 继承性B. 传染性C. 可触发性D. 潜伏性13. DOS系统组成部分中最后调⼊内存的模块是( ),它负责接收和解释⽤户输⼊的命令,可以执⾏DOS的所有内、外部命令和批处理命令A. 引导程序(BOOT)B. ROM BIOS模块C. 输⼊输出管理模块IO.SYSD. 命令处理/doc/8648c0d6aa00b52acfc7ca9c.html 模块14. 按计算机病毒寄⽣⽅式和感染途径分类,计算机病毒可分为()A. 引导型、⽂件型、混合型B. DOS系统的病毒、Windows系统的病毒C. 单机病毒、⽹络病毒D. 良性病毒、恶性病毒15. 复合型病毒的传染⽅式既具有⽂件型病毒特点⼜具有系统引导型病毒特点,这种病毒的原始状态⼀般是依附在( )上A. 硬盘主引导扇区B. 硬盘DOS引导扇区C. 软盘引导扇区D. 可执⾏⽂件16. ⽂件型病毒传染.COM⽂件修改的是⽂件⾸部的三个字节的内容,将这三个字节改为⼀个( )指令,使控制转移到病毒程序链接的位置A. 转移B. 重启C. NOPD. HALT17. 当计算机内喇叭发出响声,并在屏幕上显⽰“Your PC is now stoned!”时,计算机内发作的是( )A. 磁盘杀⼿病毒B. 巴基斯坦病毒C. ⼤⿇病毒D. ⾬点病毒18. 程序段前缀控制块(PSP),其长度为( )字节A. 100字节B. 200字节C. 256字节D. 300字节19. 引导型病毒的隐藏有两种基本⽅法,其中之⼀是改变BIOS中断( )的⼊⼝地址A. INT 9HB. INT 13HC. INT 20HD. INT 21H20. 宏病毒⼀般()A. 存储在RTF⽂件中B. 存储在DOC⽂件中C. 存储在通⽤模版Normal.dot⽂件中D. 存储在内存中21. DOS系统中,中断向量的⼊⼝地址占( ) 个字节A. 8B. 4C. 2D. 122. 病毒占⽤系统程序使⽤空间来驻留内存的⽅式⼜称为( )A. 程序覆盖⽅法15. ⽂件型病毒⼀般存储在( )A. 内存B. 系统⽂件的⾸部、尾部或中间C. 被感染⽂件的⾸部、尾部或中间D. 磁盘的引导扇区9. 蠕⾍与病毒的最⼤不同在于它( ),且能够⾃主不断地复制和传播A. 不需要⼈为⼲预B. 需要⼈为⼲预C. 不是⼀个独⽴的程序D. 是操作系统的⼀部分10. DOS操作系统组成部分中( )的模块提供对计算机输⼊/输出设备进⾏管理的程序,是计算机硬件与软件的最底层的接⼝A. 引导程序B. ROM BIOS程序C. 输⼊输出管理程序D. 命令处理程序11. ⽂件型病毒传染.COM⽂件往往修改⽂件⾸部的三个字节,将这三个字节改为⼀个( )指令,使控制转移到病毒程序链接的位置A. MOVB. 转移C. NOPD. HALT12. 宏病毒⼀般()A. 存储在PDF⽂件中B. 存储在DOC⽂件中C. 存储在通⽤模版Normal.dot⽂件中D. 存储在TXT⽂件中13. DOS系统中,中断向量的⼊⼝地址占( ) 个字节A. 8B. 2C. 4D. 614. 计算机病毒通常容易感染带有( )扩展名的⽂件A. TXT15. 病毒最先获得系统控制的是它的( )模块A. 引导模块B. 传染模块C. 破坏模块D. 感染条件判断模块1. 简述计算机病毒的结构组成及其作⽤。

计算机病毒与防范练习题.doc

计算机病毒与防范练习题.doc

计算机病毒1.下面是关于计算机病毒的两种论断,经判断______(1)计算机病毒也是一种程序,它在某些条件上激活,起干扰破坏作用,并能传染到其他程序中去;(2)计算机病毒只会破坏磁盘上的数据.A)只有(1)正确 B)只有(2)正确C)(1)和(2)都正确 D)(1)和(2)都不正确2.通常所说的“计算机病毒”是指______A)细菌感染 B)生物病毒感染C)被损坏的程序 D)特制的具有破坏性的程序3.对于已感染了病毒的U盘,最彻底的清除病毒的方法是_____A)用酒精将U盘消毒 B)放在高压锅里煮C)将感染病毒的程序删除 D)对U盘进行格式化4.计算机病毒造成的危害是_____A)使磁盘发霉 B)破坏计算机系统C)使计算机内存芯片损坏 D)使计算机系统突然掉电5.计算机病毒的危害性表现在______A)能造成计算机器件永久性失效B)影响程序的执行,破坏用户数据与程序C)不影响计算机的运行速度D)不影响计算机的运算结果,不必采取措施6.计算机病毒对于操作计算机的人,______A)只会感染,不会致病 B)会感染致病C)不会感染 D)会有厄运7.以下措施不能防止计算机病毒的是_____A)保持计算机清洁B)先用杀病毒软件将从别人机器上拷来的文件清查病毒C)不用来历不明的U盘D)经常关注防病毒软件的版本升级情况,并尽量取得最高版本的防毒软件8.下列4项中,不属于计算机病毒特征的是______A)潜伏性 B)传染性 C)激发性 D)免疫性9.下列关于计算机病毒的叙述中,正确的一条是______A)反病毒软件可以查、杀任何种类的病毒B)计算机病毒是一种被破坏了的程序C)反病毒软件必须随着新病毒的出现而升级,提高查、杀病毒的功能D)感染过计算机病毒的计算机具有对该病毒的免疫性10.计算机病毒会造成计算机______的损坏。

A)硬件、软件和数据 B)硬件和软件C)软件和数据 D)硬件和数据11.以下对计算机病毒的描述哪一点是不正确的是。

计算机病毒及其防治 信息安全概论课件与复习提纲

计算机病毒及其防治 信息安全概论课件与复习提纲
而来。仅8日上午9时到10时的短短一个小时内,瑞星公司就接到用 户的求助电话2815个,且30%为企业局域网用户,其中不乏大型企 业局域网、机场、政府部门、银行等重要单位。9日,“震荡波” 病毒疫情依然没有得到缓解。
五月份的第一个星期(也就是“震荡波”迅速传播的时候),微软 公司德国总部的热线电话就从每周400个猛增到3.5万个
母亲叫维洛妮卡,开了一个门 面不算大的以电脑维护修理为主 的电脑服务部 。
几天前,为了庆祝他的生日, 他在网上下载了一些代码。修改 之后今天将它放到了Internet上面。
(3) 传 播
从5月1日这些代码开始在互联网上以一种“神不知鬼不觉” 的特殊方式传遍全球。“中招”后,电脑开始反复自动关机、 重启,网络资源基本上被程序消耗,运行极其缓慢 。
Windows95/98时代大名鼎鼎的CIH病毒
CIH作者陈盈豪
骇人听闻的女鬼病毒
恐怖的图片和音乐
Windows NT时代的白雪公主病毒
巨大的黑白螺 旋占据了屏幕位置, 使计算机使用者无 法进行任何操作!
千年老妖病毒
使计算机反复的关机,每60秒一次
木马病毒和黑客程序的远程监控
席卷全球的NIMDA病毒
计算机程序也不例外,软件工程师们编写了大 量的有用的软件(操作系统,应用系统和数据 库系统等)的同时,黑客们在编写编写扰乱社 会和他人的计算机程序,这些代码统称为恶意 代码(Malicious Codes)。
恶意代码的相关定义
恶意代码类型 计算机病毒
计算机蠕虫 特洛伊木马 逻辑炸弹
病菌 用户级RootKit 核心级RootKit
定义
指编制或者在计算机程序中插入的破坏计算机功能或者毁坏 数据,影响计算机使用,并能自我复制的一组计算机指 令或者程序代码。

计算机病毒知识与防范

计算机病毒知识与防范

计算机病毒的主要来源
• 1.购买的软件光盘、优盘、软盘等带有病毒。 • 2.从别人机器通过磁盘拷贝文件到自己机器。 • 3.网上下载游戏、歌曲、电影、软件等等。 • 4.在局域网中相互拷贝文件,共享文件夹。 • 5.上网阅览网页时被病毒入侵。 • 6、电子邮件也传播病毒。
计算机病毒的传播途径
• 不可移动的计算机硬件设备 这种传播途径是指利用专用集成电路芯片
是否具传染性:判别一个程序是否为病毒 的最重要条件。
计算机病毒的传染性
再 生 病毒
CV 源 病 毒
CV
CV
CV
P1
P2
… Pn
直接传染方式
计算机病毒的传染性
再生病毒
源病毒 CV
CV CV
CV

P1
P2
Pn
间接传染方式
计算机病毒的隐蔽性
• 计算机病毒通常附在正常程序中或磁盘较 隐蔽的地方, 目的是不让用户发现它的存 在。 不经过程序代码分析或计算机病毒代 码扫描, 计算机病毒程序与正常程序是不 容易区别开来的。 一是传染 的隐蔽性。 二是计算机病毒程序存在的隐蔽性。
• 计算机病毒使用的触发条件主要有以下三 种。
• (1) 利用计算机内的时钟提供的时间作为 触发器, 这种触发条件被许多计算机病毒 采用, 触发的时间有的精确到百分之几秒 , 有的则只区分年份。
• 例:CIH 病毒 每年4月26日
• 2) 利用计算机病毒体内自带的计数器作为 触发器, 计算机病毒利用计数器记录某种 事件发生的次数, 一旦计数器达到某一设 定的值, 就执行破坏操作。
计算机病毒知识与防范
主要内容
• 一 计算机病毒概述 • 二 计算机病毒的防范、检测 • 三 计算机木马及其防护 • 四 与计算机病毒相关的一些知识

《入侵防范与病毒防范》复习提纲

《病毒防范与入侵防范》复习提纲基本控制台命令:在Windows 2000/XP 操作系统下运行控制台命令的正确方法了解以下基本 dos命令的基本用法:转换盘符命令,cd 命令。

掌握以下网络命令的功能和用法:ping, ipconfig,了解以下网络命令的功能和基本用法: net user, net use, net localgroup, at在系统中添加帐号的命令。

将帐号添加到本地组的命令掌握利用 netstat -a, netstat -n 命令来查询本机的ip端口使用情况复习题:以下方法运行 dos 命令最方便察看运行结果?A) 双击运行B) 在“运行”菜单中打开程序C) 利用“运行方式”菜单,以管理员权限运行D) 打开“命令提示符”,然后将该文件拖到“命令提示符”窗口中基本网络知识:了解tcp/ip协议,了解 ip 地址的组成,掌握在Windows 2000下设置 ip地址的方法,查询本机 ip地址的方法了解 ip端口的概念了解有两类ip网络端口:tcp和udp。

这两种网络端口的区别了解 ftp, http, telnet 协议的功能,使用的连接方式和它们使用的默认端口号了解Windows 2000的终端服务的功能,使用的默认端口号基本工具程序的使用fport程序procexp(超级进程管理器):了解Process Explorer的基本功能,与Windows 中的“任务管理器”功能最相近。

相比Windows 的“任务管理器”,他有哪些改进?autoruns:主要功能是什么?基于认证的入侵方式:了解基于认证的入侵方式的步骤:得到口令-〉通过正常系统认证进入系统在Windows 2000下正常的 ipc$连接的功能,ipc$空连接的功能,正常的ipc$连接和 ipc$空连接的区别ipc$ 空连接在帐号和口令猜测方面的功能估算采用特定的口令选取方案时,口令的安全强度(该方案的口令个数)使用dos命令建立正常的 ipc$连接的方法使用dos命令建立ipc$空连接的方法使用Windows的“计算机管理”工具进行远程管理使用Windows的“注册表编辑器”工具进行远程注册表编辑使用at命令运行远程机器的程序使用telnet 远程登录目标主机并运行dos 命令行程序的方法使用“终端服务”远程登录目标主机并运行应用程序的方法掌握使用XScan扫描工具扫描Windows 2000的系统弱口令的方法掌握使用Dameware 远程管理工具进行远程管理和远程控制了解 Sniffer 的概念,Sniffer工具在口令侦听方面的作用。

《计算机病毒及其防范技术》1.0

`第一章1、计算机病毒的定义(填空)计算机病毒是编制或者在计算机程序中插入的破坏计算机功能或者数据,影响计算机使用并且能够自我复制的一组计算机指令或程序代码2、计算机病毒的六个特征(填空)传染性、破坏性、寄生性、隐蔽性、潜伏性(触发性)、不可预见性、针对性、非授权可执行性、衍生性3、计算机病毒的发展趋势七点(问答)⑴网络化⑵专业化⑶智能化⑷人性化⑸隐蔽化⑹多样化⑺自动化4、计算机病毒与医学上的病毒的区别及联系(问答)计算机病毒不是天然存在的,是某些人利用计算机软、硬件所固有的脆弱性,编制的具有特殊功能的程序。

与生物医学上的病毒同样有传染和破坏的特性,因此这一名词是由生物医学上的“病毒”概念引申而来。

第三章1、计算机病毒的四大功能模块(填空)引导模块、感染模块、破坏模块、触发模块2、计算机病毒的状态转化(动静态)处于静态的病毒存在于存储介质中,一般不能执行感染和破坏功能,其传播只能借助第三方活动(例如复制、下载和邮件传输等)实现。

当病毒经过引导功能开始进入内存后,便处于活动状态,满足一定触发条件后就开始传染和破坏,从而构成计算机系统和资源的威胁和毁坏。

3、引导模块的三个过程(问答)⑴驻留内存病毒若要发挥其破坏作用,一般要驻留内存。

为此就必须开辟所有内存空间或覆盖系统占用的内存空间。

其实,有相当多的病毒根本就不用驻留在内存中。

⑵窃取系统的控制权在病毒程序驻留内存后,必须使有关部分取代或扩充系统的原有功能,并窃取系统的控制权。

此后病毒程序依据其设计思想,隐蔽自己,等待时机,在时机成熟时,再进行传染和破坏。

⑶恢复系统功能病毒为隐蔽自己,驻留内存后还要恢复系统,使系统不会死机,只有这样才能等待时机成熟后,进行感染和破坏。

4、抗分析技术(填空)自加密技术、反跟踪技术5、触发模块的触发条件(填空)日期触发、时间触发、键盘触发、感染触发、启动触发、访问磁盘次数触发、CPU型号/主板型号触发6、触发条件与破坏程度之间的关系可触发性是病毒的攻击性和潜伏性之间的调整杠杆,可以控制病毒感染和破坏的程度,兼顾杀伤力和潜伏性。

第9章 计算机病毒与反病毒复习


main: main-program:= { infect-executable; if trigger-pulled then do-damage; goto next;}
next: }
then
4、计算机病毒的寄生方式
挂接性病毒,注入到其他程序中,只要这些 程序一运行,病毒就被激活。
例如:病毒将拷贝添加到可执行文件的第 一条指令前,所有病毒指令将被最先执行, 执行完后,控制权才交回程序第一条指令。
(2) 逻辑炸弹
逻辑炸弹(Logic bomb)是一段具有破坏性的代码, 事先预置于较大的程序中,等待某扳机事件发生触发 其破坏行为。一旦逻辑炸弹被触发,就会造成数据或 文件的改变或删除、计算机死机等破坏性事件。
扳机事件可以是特殊日期,也可以是指定事件。
一个著名的例子
美国马里兰州某县的图书馆系统,开发该 系统的承包商在系统中插入了一个逻辑炸弹, 如果承包商在规定日期得不到全部酬金,它 将在该日期使整个系统瘫痪。当图书馆因系 统响应时间过长准备扣留最后酬金时,承包 商指出了逻辑炸弹的存在,并威胁如果酬金 不到位的话就会让它爆炸。
2003年1月,全球爆发“蠕虫风暴”病毒 (SQL1434),3月又爆发了“口令蠕虫”病毒 (Dvldr32),5月份出现了“大无极”病毒变种, 8月份全球计算机网络遭受了“冲击波”病毒的袭击。
2004年5月,“震荡波”病毒。 2006年5至6月份相继出现针对银行的木马、病毒事
件和进行网络敲诈活动的“敲诈者”病毒。2006年 11月,我国又连续出现 “熊猫烧香”、“仇英”、 “艾妮”等盗取网上用户密码帐号的病毒和木马。
计算机病毒的发展历程
1. DOS引导阶段 2. DOS可执行阶段 3. 伴随阶段 4. 多形阶段 5. 生成器、变体机阶段 6. 网络、蠕虫阶段 7. 视窗阶段 8. 宏病毒阶段 9. 邮件病毒阶段 10. 手持移动设备病毒阶段

《计算机病毒与防范》word版

计算机病毒与防范一计算机病毒概述1 计算机病毒的含义计算机病毒是一种人为制造的、在计算机运行中对计算机信息或系统起破坏作用的程序。

这种程序不是独立存在的,它隐蔽在其他可执行的程序之中,既有破坏性,又有传染性和潜伏性。

轻则影响机器运行速度,使机器不能正常运行;重则使机器处于瘫痪,会给用户带来不可估量的损失。

通常就把这种具有破坏作用的程序称为计算机病毒2计算机病毒的分类(1)按照计算机病毒存在的媒体可以划分为:网络病毒通过计算机网络传播感染网络中的可执行文件。

文件病毒感染计算机中的文件(如:COM,EXE,DOC等)。

引导型病毒感染启动扇区(Boot)和硬盘的系统引导扇区(MBR)。

还有这三种情况的混合型,例如:多型病毒(文件和引导型)感染文件和引导扇区两种目标,这样的病毒通常都具有复杂的算法,它们使用非常规的办法侵入系统,同时使用了加密和变形算法。

(2)按照计算机病毒传染的方法可分为:驻留型病毒感染计算机后,把自身的内存驻留部分放在内存(RAM)中,这一部分程序挂接系统调用并合并到操作系统中去,他处于激活状态,一直到关机或重新启动。

非驻留型病毒在得到机会激活时并不感染计算机内存,一些病毒在内存中留有小部分,但是并不通过这一部分进行传染,这类病毒也被划分为非驻留型病毒。

(3)根据病毒破坏的能力可划分为以下几种:无害型除了传染时减少磁盘的可用空间外,对系统没有其它影响。

无危险型这类病毒仅仅是减少内存、显示图像、发出声音及同类音响。

危险型,这类病毒在计算机系统操作中造成严重的错误。

非常危险型这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。

这些病毒对系统造成的危害,并不是本身的算法中存在危险的调用,而是当它们传染时会引起无法预料的和灾难性的破坏。

由病毒引起其它的程序产生的错误也会破坏文件和扇区,这些病毒也按照他们引起的破坏能力划分。

一些现在的无害型病毒也可能会对新版的DOS、Windows和其它操作系统造成破坏。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

一、单项选择题(本大题共10小题,每小题2分,共20分) 在每小题列出的四个备选项中只有一个最符合题目要求, 请将其代码填写在题后的括号内。

错选、多选或未选均无分。

B. 和没有生命的病毒相比,蠕虫是一种有繁殖能力的小虫子
C. 蠕虫比病毒更经常删除注册表健值和更改系统文件
D. 嚅虫更有可能损害被感染的系统
4. 主要危害系统文件的病毒是( B )
A. 文件型
B.引导型
C.网络病毒
D.复合型
5. 一般意义上,木马是( D ) o
A. 具有破坏力的软件
B. 以伪装善意的面口出现,但具有恶意功能的软件
C. 不断自我复制的软件
D. 窃取用户隐私的软件
6. 计算机病毒根据与被感染对象的关系分类,可分为(A ) o
A. 引导区型、文件型、混合型
B. 原码型、外壳型、复合型和网络病毒
C. 寄生型、伴随型、独立型
D. 良性型、恶性型、原码型和外壳型
7. 下面哪种情况可能会成为远程执行代码的高危漏洞(
)。

A. 原内存块的数据不可以被改写
B. 存在根据原内存块中的数据盲接或间接地改变程序执行流程的代码
C. 假冒知名网站
D. 浏览器劫持
8. 若岀现下列现象( C )时,应首先考虑计算机感染了病毒。

A. 不能读取光盘
B.系统报告磁盘已满
1. A. B. C.
C/D )的说法最准确地说明了对用户权限的限制有助于防范木马病毒。


果用户没冇删除程序的权限, 如果用户没冇删除程序的权限,
如果用户没有安装程序的权限, 如果用户没冇安装程序的权限,
D. 2.和普通病毒相比,蠕虫最重要的特点是(
A.蠕虫可以传播得更为广泛
那么也就无法更改系统的安金设置 那么也能删除杀毒软件和反木马病毒软件 那么安装木马程序的可能性也将减少 那么也就无法安装木马病毒程序
C.程序运行速度明显变慢
D.开机启动Windows 先扫描硬盘
9. 按照目前比较普遍的分类方法,下面哪类软件不属于流氓软件(D ) o
A.广告软件
B.间谍软件及行为记录软件
C.强制安装的恶意共享软件
D.感染了宏病毒的Word 文件
10. 以下方法中,不适用于检测计算机病毒的是( C ) o
A.特征代码法
B.校验和法
C.加壳
D.软件模拟法
二、多项选择题(本大题共10小题,每小题2分,共20分)在每小题的备选 项
中有多个选项符合题目要求,请将其代码填写在题后的括号内。

错选、 漏选、多选或不选均无分。

1.
木马的网络入侵,从过程上看,包括以下入侵步骤( BD
) A.扫描特定漏洞、绑带合法软件 C.隐蔽自身、破坏文件
2. PE 文件的构成包扌舌以下部分(
A. DOS MZ header 和 Dos stub
C. Section table
3. 蠕虫病毒常用扫描策略包括( BC
A.转换列表扫描
C.选择性随机扫描
4. 嚅虫程序的基木功能结构包括(
A.进程注入模块
B.扫描搜索模块
5. 计算机病毒的特征为(AB
A. 潜伏性、、传染性
B. 非法性、隐藏性、破坏性
C. 可预见性、复发性
D. 可触发性、变异性、表现性
6.防范脚本病毒的安全建议是(ABD ) o
A.养成良好的上网习惯
B.经常整理硬盘
8. 当前的防病毒软件可以( AC
A.自动发现病毒入侵的一些迹象并阻止病毒的入侵
B. 杜绝一切计算机病毒感染计算机系统
C. 在部分病毒将要入侵计算机系统时发岀报警信号
D. 使入侵的所有计算机病毒失去破坏能力
B.信息反馈、建立连接
D.传播木马、运行木马 ABC D ) o B. PE header D. sections )O B. 分治扫描 D.系统特定文件扫描 BCD )。

C. 传输模块 D.攻击模块 )O C.发现病毒后将其清除 D.安装合适的主流杀毒软件和个人防火墙
9. 计算机漏洞的通用防护策略是 A.分治扫描 C.数据执行保护(DEP ) 10. 病毒高级代码变形技术有( A.加壳 C.寡型病毒 (
BCD )。

B.调用者审核
D. 自动备份
ABCD ) o
B.代码重组 D.多态变形病毒
三、填空题(本大题共5小题,每小题2分,共10分)请在每小题的空格中填上
正确答案。

每空1分,错填、不填均无分。

1 •计算机病毒常用的反制技术包插了(禁止反病毒软件的运行)和(卸载反病毒软件的功能)。

2.(检测商用虚拟机)和(反•反病毒仿真技术)都是
病毒常用的反动态分析、检测技术。

3.目前防病毒软件产品普遍应用了一种称为启发式代码扫描的技术,这是一种
基于(熄拟机)技术和(智能分析)手段的病毒检测技术。

4.计算机病毒结构一般由(引导模块)、条件判断模块、(破坏表现模块)、传染模块、掩饰模块等组成。

四、判断题(本大题共5小题,每小题2分,共10分)判断是对的在括号内填丁,
是错的填X。

1.(V )计算机病毒程序传染的前提条件是随其它程序的运行而驻留内存。

2.(X )计算机病毒通常采用商用虚拟机检测技术以躲避静态分析。

(动态分析)
4.( V )指令ADD EAX, 8可变换为等价指令LEA EAX, [EAX+8]。

5.(X )“特洛伊木马”(Trojan Horse)程序是黑客进行IP欺骗的病毒程序。

简答题(本大题共5小题,每小题8分,共40分)
1.什么是网络钓鱼?网络钓鱼主要手段有哪儿种?P10
答:网络钓鱼是一种利用Internet实施的网络诈骗,通过发送声称来自知名机构的欺骗性邮件及伪造web站点进行欺骗活动,以得到受骗者的个人信息, 如信用卡账号密码等。

主要手段:a、利用电子邮件
b、利用木马程序
c、利用虚拟网址
d、假冒知名网站
e、利用即时通信消息攻击
f、综合钓角法
2.什么是启发式分伸,启发式分析的基木原理是什么?
答:启发式分析是利用计算机病毒的行为特征,结合以往的知识和经验,对耒知的可疑病毒进行分析与识别。

它的基本原理是通过对一•系列病毒代码的分析,提取一•种广谱特征码,即代表病毒的某一种行为特征的特殊程序代码,然后通过多种广谱特征码,综合考虑各种因素,确定到底是否病毒,是哪一种病毒。

3.什么是脚木病毒和WSH?二者是何关系?
答:脚本病毒:是指利用.asp、・html、・htm、・vbs、.js等类型文件进行传播的基于VB Script 和Java Script 脚本语言并由Windows Scripting Host 解释执行的一类病毒。

WSH:是Windows Scripting Host 的缩写,含义为“Windows 脚木缩主"。

它内嵌与Windows操作系统屮的脚本语言工作环境,主要负责脚本的解释和执行。

关系:WSH是脚木病毒的执行环境。

4.什么是花指令?花指令有什么作用?
答:花指令指的是计算机病毒作者为了欺骗反汇编软件,迷惑分析人员,给分析人员增添障碍而在计算机代码中添加的看似有用,其实是一无是处的代码。

花指令的作用是:a、欺骗反汇编软件,使其显示不止确的反汇编结果;
b、T扰病毒分析人员,给分析工作添加障碍;
c、改变程序代码特征
5.简述木马的定义、基木特征以及传播特性。

答:木马是指隐藏在正常程序中的一段具冇特殊功能的恶意代码,具备破坏和删除文件、窃取密码、记录键盘、攻击等功能,会破坏用户系统甚至使用户系统瘫痪。

基木特征:隐藏性、自动运行性、欺骗性、自动恢复功能、自动打开特别的窗口、具备特殊功能。

传播特性:a、以邮件附件的形式传播;
b>通过QQ、ICQ等聊天工具软件传播;
c、通过提供软件下载的网盘(Web/FTP/BBS)传播;
d、通过一般的病毒和蠕虫传播;
e、通过带木马的磁盘和光盘传播。