下载文档原格式
第一章病毒定义、特征定义:计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
特征:传染性潜伏性可触发性破坏性破坏性体现对计算机数据信息的直接破坏,如引导区、FAT表等,甚至格式化硬盘等占用系统资源(内存、CPU时间等)干扰系统的正常工作(如显示不正常)删除、修改磁盘上的文件或毁坏整个系统对计算机硬件的破坏(CIH)盗版及泄露信息等网络病毒破坏网络系统病毒与正常程序区别①正常程序是具有应用功能的完整程序,以文件形式存在,具有合法文件名;而病毒一般不以文件的形式独立存在,一般没有文件名,它隐藏在正常程序和数据文件中,是一种非完整的程序;②正常程序依照用户的命令执行,完全在用户的意愿下完成某种操作,也不会自身复制;而病毒在用户完全不知的情况下运行,将自身复制到其他正常程序中,而且与合法程序争夺系统的控制权,甚至进行各种破坏。
分类:引导型病毒、文件型病毒、宏病毒、混合型病毒 引导型病毒病毒或病毒的部分程序潜入到硬盘或软盘的引导区,当系统启动时,先执行病毒程序,使系统带毒工作并伺机发作。
如大麻病毒。
文件型病毒它感染扩展名为.COM、.EXE、.OVL、.DOC等可执行文件或Word文档,当运行带病毒程序时,才将病毒带入内存中,之后,病毒传染扩充。
如耶路撒冷病毒。
混合型病毒这类病毒既传染磁盘引导区,又传染可执行文件。
如幽灵病毒。
宏病毒当打开带宏病毒的Word文当时即可发作。
病毒的发展过程、典型事例病毒的来源、产生的因素来源:(1)一些计算机爱好者出于好奇或兴趣(2)产生于个别人的报复心理(3)来源于软件加密(4)产生于游戏(5)用于研究或实验而设计的“有用”程序(6)由于政治经济和军事等特殊目的主要因素总体来说,计算机系统、因特网的脆弱性是产生计算机病毒的根本技术原因;计算机科学技术的不断进步,个人计算机的快速普及及应用是产生计算机病毒的加速器;人性心态与人的价值观念和法制的定位是产生计算机病毒的社会基础;基于政治、军事等方面的特殊目的是计算机病毒应用产生质变的催化剂。
2.选择题1.计算机病毒是(C)A.被损坏的程序B.硬件故障C.一段特制的程序D.芯片霉变2.计算机病毒的危害主要造成(D)A.磁盘破坏B.计算机用户的伤害C.CPU的损坏D.程序和数据的破坏3.新买回来的未格式化的软盘(A)A.可能会有计算机病毒B.与带病毒的软盘放在一起会有计算机病毒C.一定没有计算机病毒D.经拿过带病毒的软盘的手碰过后会感染计算机病毒4.计算机病毒一般由(ABCD)四大部分组成。
A.感染模块B.触发模块C.破坏模块D.引导模块E.执行模块5.计算机病毒生命周期中,存在(B)和(C)两种状态。
A.静态B.潜伏态C.发作态D.动态6.在Windows 32 位操作系统中,其EXE文件中的特殊表示为(B)A.MZB.PEC.NED.LE7.能够感染EXE、COM 文件的病毒属于(C)。
A.网络型病毒B.蠕虫型病毒C.文件型病毒D.系统引导型病毒8.著名特洛伊木马“网络神偷”采用的隐藏技术是(A)A.反弹式木马技术B.远程线程插入技术C.ICMP协议技术D. 远程代码插入技术9.下列(B)不是常用程序的默认端口。
A.80B.8080C.23D.219.第一个真正意义的宏病毒起源于(A)应用程序。
A. WordB. Lotus 1-2-3C. ExcelD. PowerPoint10.总结移动终端的恶意代码感染机制,其感染途径主要分为(ABC)A.终端—终端B.终端—网关—终端C.PC(计算机)—终端 D .终端—PC11.移动终端的恶意代码的攻击方式分为(ABCDE)A.短信息攻击B.直接攻击手机C.攻击网关D.攻击漏洞E.木马型恶意代码12.下列病毒中(C)计算机病毒不是蠕虫病毒。
A.冲击波B.震荡波C. CIHD.尼姆达13.蠕虫和从传统计算机病毒的区别主要体现在(B)上。
A.存在形式B.传染机制C.传染目标D.破坏方式14.多数流氓软件具有的特征是(ABCD)A.强迫安装B.无法卸载C.干扰使用D.病毒和黑客特征15.从技术角度讲,数据备份的策略主要包括(ACD)A.完全备份B.差别备份C.增量备份D.差分备份16.下列描述不正确的是(B)A.不存在能够防治未来的所有病毒的发病毒软、硬件B.现在的杀毒软件能够查杀未知病毒C.病毒产生在前,反病毒手段相对滞后D.数据备份是防治数据丢失的重要手段1.填空题(1)计算机病毒是编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。
一、单项选择题(本大题共10小题,每小题2分,共20分) 在每小题列出的四个备选项中只有一个最符合题目要求, 请将其代码填写在题后的括号内。
错选、多选或未选均无分。
B. 和没有生命的病毒相比,蠕虫是一种有繁殖能力的小虫子C. 蠕虫比病毒更经常删除注册表健值和更改系统文件D. 嚅虫更有可能损害被感染的系统4. 主要危害系统文件的病毒是( B )A. 文件型B.引导型C.网络病毒D.复合型5. 一般意义上,木马是( D ) oA. 具有破坏力的软件B. 以伪装善意的面口出现,但具有恶意功能的软件C. 不断自我复制的软件D. 窃取用户隐私的软件6. 计算机病毒根据与被感染对象的关系分类,可分为(A ) oA. 引导区型、文件型、混合型B. 原码型、外壳型、复合型和网络病毒C. 寄生型、伴随型、独立型D. 良性型、恶性型、原码型和外壳型7. 下面哪种情况可能会成为远程执行代码的高危漏洞()。
A. 原内存块的数据不可以被改写B. 存在根据原内存块中的数据盲接或间接地改变程序执行流程的代码C. 假冒知名网站D. 浏览器劫持8. 若岀现下列现象( C )时,应首先考虑计算机感染了病毒。
A. 不能读取光盘B.系统报告磁盘已满1. A. B. C.C/D )的说法最准确地说明了对用户权限的限制有助于防范木马病毒。
如果用户没冇删除程序的权限, 如果用户没冇删除程序的权限,如果用户没有安装程序的权限, 如果用户没冇安装程序的权限,D. 2.和普通病毒相比,蠕虫最重要的特点是(A.蠕虫可以传播得更为广泛那么也就无法更改系统的安金设置 那么也能删除杀毒软件和反木马病毒软件 那么安装木马程序的可能性也将减少 那么也就无法安装木马病毒程序C.程序运行速度明显变慢D.开机启动Windows 先扫描硬盘9. 按照目前比较普遍的分类方法,下面哪类软件不属于流氓软件(D ) oA.广告软件B.间谍软件及行为记录软件C.强制安装的恶意共享软件D.感染了宏病毒的Word 文件10. 以下方法中,不适用于检测计算机病毒的是( C ) oA.特征代码法B.校验和法C.加壳D.软件模拟法二、多项选择题(本大题共10小题,每小题2分,共20分)在每小题的备选 项中有多个选项符合题目要求,请将其代码填写在题后的括号内。
计算机病毒知识与防治学习资料一.什么是计算机病毒“计算机病毒”为什么叫做病毒。
首先,与医学上的“病毒”不同,它不是天然存在的,是某些人利用计算机软、硬件所固有的脆弱性,编制具有特殊功能的程序。
其能通过某种途径潜伏在计算机存储介质(或程序)里,当达到某种条件时即被激活,它用修改其他程序的方法将自己的精确拷贝或者可能演化的形式放入其他程序中,从而感染它们,对计算机资源进行破坏的这样一组程序或指令集合。
1994年2月18日,我国正式颁布实施了《中华人民共和国计算机信息系统安全保护条例》,在《条例》第二十八条中明确指出:“计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
”二.病毒起源1983年11月3日,弗雷德·科恩(FRED COHEN) 博士研制出一种在运行过程中可以复制自身的破坏性程序,伦·艾德勒曼(LEN ADLEMAN) 将它命名为计算机病毒(COMPUTER VIRUSES),并在每周一次的计算机安全讨论会上正式提出,8 小时后专家们在VAX11/750 计算机系统上运行,第一个病毒实验成功,一周后又获准进行5个实验的演示,从而在实验上验证了计算机病毒的存在。
1986年初,在巴基斯坦的拉合尔(LAHORE),巴锡特(BASIT) 和阿姆杰德(AMJAD) 两兄弟经营着一家IBM-PC 机及其兼容机的小商店。
他们编写了PAKISTAN 病毒,即BRAIN。
在一年内流传到了世界各地。
1988 年3 月2 日,一种苹果机的病毒发作,这天受感染的苹果机停止工作,只显示“向所有苹果电脑的使用者宣布和平的信息”。
以庆祝苹果机生日。
1988年11 月2 日,美国六千多台计算机被病毒感染,造成INTERNET不能正常运行。
这是一次非常典型的计算机病毒入侵计算机网络的事件,迫使美国政府立即做出反应,国防部成立了计算机应急行动小组。
计算机病毒学期末考试复习要点第一篇:计算机病毒学期末考试复习要点计算机病毒学复习大纲“黑色星期五”在逢13号的星期五发作。
中国的“上海一号”在每年3月、6月及9月的13日发作。
CHI病毒:v1.2版本的发作日期是每年的4月26日,v1.3版本是每年的6月26号,v1.4版本是每月的26日。
Happytime(欢乐时光)病毒发作的条件是月份与日期之和等于13。
“求职信”病毒在单月的6日和13日发作。
(P3)根据寄生的数据存储方式计算机病毒可划分为三种类型:引导区型、文件型、混合型。
(P7)宏病毒是一种寄存于文档或模板的宏中的计算机病毒。
宏病毒一般用Visual Basic编写,是寄存在Microsoft Office文档上的宏代码。
(P12)PE文件:Protable Executable File Format(可移植的执行体)。
最有名的PE格式的病毒是CIH病毒。
(P31)VxD:虚拟设备驱动程序(P32)。
木马系统软件一般由:木马配置程序、控制程序和木马程序(服务器程序)3部分组成。
(P53)大多数特洛伊木马包括包括客户端和服务器端两个部分。
DDoS:分布式拒绝服务攻击。
“灰鸽子”是国内一款著名木马病毒。
(P57)蠕虫病毒通常由两部分组成:一个主程序和一个引导程序。
(P64)蠕虫病毒与普通病毒的区别:一般的病毒是寄生的,可以通过其指令的执行,将自己的指令代码写到其他程序体内,而被感染的文件就被称为“宿主”。
蠕虫一般不采取利用PE格式插入文件的方法,而是通过复制自身在Internet环境下进行传播。
病毒的传染能力主要是针对计算机内的文件系统而言,而蠕虫病毒的感染目标是Internet内的所有计算机。
(P65)几种典型的蠕虫病毒:“尼姆达”(nimda)病毒、“震荡波”病毒、“红色代码”病毒、“SCO炸弹”病毒、“斯文”病毒、“熊猫烧香”病毒。
(P66)“震荡波”病毒利用Windows的LSASS中存在一个缓冲区溢出漏洞进行攻击,监听TCP5554端口。
《计算机病毒》复习思考题第一章计算机病毒概述1. 简述计算机病毒的定义和特征。
计算机病毒(Computer Virus),是一种人为制造的、能够进行自我复制的、具有对计算机资源进行破坏作用的一组程序或指令集合。
计算机病毒的可执行性(程序性)、传染性、非授权性、隐蔽性、潜伏性、可触发性、破坏性、攻击的主动性、针对性、衍生性、寄生性(依附性)、不可预见性、诱惑欺骗性、持久性。
2. 计算机病毒有哪些分类方法?根据每种分类方法,试举出一到两个病毒。
3. 为什么同一个病毒会有多个不同的名称?如何通过病毒的名称识别病毒的类型?国际上对病毒命名的一般惯例为“前缀+病毒名+后缀”,即三元组命名规则。
1、系统病毒系统病毒的前缀为:Win32、PE、Win95、W32、W95等。
2、蠕虫病毒蠕虫病毒的前缀是:Worm。
3、木马病毒、黑客病毒木马病毒其前缀是:Trojan,黑客病毒前缀名一般为Hack 。
4、脚本病毒脚本病毒的前缀是:Script。
5、宏病毒其实宏病毒是也是脚本病毒的一种,由于它的特殊性,因此在这里单独算成一类。
宏病毒的前缀是:Macro。
6、后门病毒后门病毒的前缀是:Backdoor。
7、病毒种植程序病毒后门病毒的前缀是:Dropper。
这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下,由释放出来的新病毒产生破坏。
8.破坏性程序病毒破坏性程序病毒的前缀是:Harm。
这类病毒的公有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒便会直接对用户计算机产生破坏。
9.玩笑病毒玩笑病毒的前缀是:Joke。
10.捆绑机病毒捆绑机病毒的前缀是:Binder。
4. 简述计算机病毒产生的背景。
5. 计算机病毒有哪些传播途径?传播途径有两种,一种是通过网络传播,一种是通过硬件设备传播(软盘、U盘、光盘、硬盘、存储卡等)。
网络传播,又分为因特网传播和局域网传播两种。
硬件设备传播:通过不可移动的计算机硬件设备传播、通过移动存储设备传播、通过无线设备传播。
计算机期末复习题计算机病毒计算机期末复习题:计算机病毒计算机病毒是指一种能够自动复制并且传播到其他计算机上的计算机程序,其目的是破坏、修改或者盗取计算机数据。
对于计算机安全的学习和了解,计算机病毒始终是一个重要的话题。
本文将回顾计算机病毒的定义、特征、传播方式以及如何防范计算机病毒等内容,帮助读者更好地复习计算机期末考试。
一、计算机病毒的定义和特征1. 定义:计算机病毒是一种能够自我复制和传播的恶意软件。
它通常隐藏在其他正常的计算机程序中,并在不被察觉的情况下感染计算机系统。
2. 特征:计算机病毒具有以下几个特征:a) 自我复制:计算机病毒能够自我复制并传播给其他计算机或文件系统。
b) 恶意行为:计算机病毒具有破坏、修改、删除或获取计算机数据的能力。
c) 隐蔽性:计算机病毒会试图隐藏自己,使用户难以发现其存在。
d) 依赖性:计算机病毒依赖于宿主文件或计算机系统才能进行传播和执行恶意行为。
二、计算机病毒的传播方式计算机病毒可以通过多种方式传播,以下是几种常见的传播途径:1. 可执行文件感染:病毒将自身代码嵌入到可执行文件中,当用户执行这些文件时,病毒会激活并感染其他文件。
2. 电子邮件附件:病毒利用电子邮件的附件来传播自己,一旦用户打开或下载附件,病毒就会感染计算机系统。
3. 可移动存储介质感染:病毒将自己复制到U盘、移动硬盘等可移动存储介质中,当用户插入感染的介质时,病毒会自动传播到计算机系统。
4. 网络传播:病毒通过互联网进行传播,利用漏洞、弱密码等方式侵入其他计算机系统,并在其中复制和传播自己。
三、如何防范计算机病毒为了保护计算机和数据安全,我们需要采取以下措施来防范计算机病毒:1. 安装杀毒软件:选择一款可信赖的杀毒软件,并及时更新病毒库。
杀毒软件能够帮助检测和清除计算机病毒。
2. 避免点击可疑链接:在互联网上,避免点击来自不明来源的链接,尤其是通过电子邮件、社交网络等途径传来的链接。
3. 谨慎打开附件:对于来自陌生人或者不信任的邮件附件,尽量不要打开或者下载,确保附件的安全性。
计算机病毒选择题题库A) 微生物感染B) 化学感染C) 特制的具有破坏性的程序D) 幻觉A) 计算机病毒是程序,计算机感染病毒后,可以找出病毒程序,进而清除它B) 只要计算机系统能够使用,就说明没有被病毒感染C) 只要计算机系统的工作不正常,一定是被病毒感染了D) U 盘写保护后,使用时一般不会被感染上病毒A) 恶性B) 良性C) 引导型D) 定时发作型A) 管理B) 技术C) 硬件D) 管理和技术A) 是有时间性的,不能消除B) 是一种专门工具,可以消除C) 有的功能很强,可以消除D) 有的功能很弱,不能消除A) 保护软盘清洁 B) 不要把此软盘与有病毒的软盘放在一起C) 进行写保护D) 定期对软盘进行格式化A) 从键盘输入统计数据B) 运行外来程序 C) 软盘表面不清洁 D) 机房电源不稳定A) 只会感染,不会致病B) 会感染致病,但无严重危害C) 不会感染D) 产生的作用尚不清楚A) 传播性,潜伏性,破坏性B) 传播性,破坏性,易读性C) 潜伏性,破坏性,易读性D) 传播性,潜伏性,安全性A) 应用程序B) 文档或模板C) 文件夹D) 具有“隐藏”属性的文件A) 生物病菌B) 生物病毒C) 计算机程序D)有害的言论文档A) 游戏软件常常是计算机病毒的载体B) 用消毒软件将一片软盘消毒之后,该软盘就没有病毒了 C) 尽量做到专机专用或安装正版软件,是预防计算机病毒D) 计算机病毒在某些条件下被激活之后,才开始起干扰和的有效措施破坏作用A) 磁盘B) 计算机网络C) 操作员D) 磁盘和计算机网络A) 隐蔽性B) 自由性C) 传染性D) 危险性A) 使磁盘引导扇区被破坏以至于不能启动微机B) 使磁盘一块一块地逐渐碎裂C) 使磁盘的写保护不能再实现写保护D) D、使微机的电源不能打开A) 人为制造,手段隐蔽B) 破坏性和传染性C) 可以长期潜伏,不易发现D) 危害严重,影响面广A) 对系统软件加上写保护B) 对计算机网络采取严密的安全措施C) 切断一切与外界交换信息的渠道D) 不使用来历不明的、未经检测的软件A) 特殊的计算机部件B) 游戏软件C) 人为编制的特殊程序D) 能传染的生物病毒A) 计算机病毒是一个标记或一个命令B) 计算机病毒是人为制造的一种程序C) 计算机病毒是一种通过磁盘、网络等媒介传播、扩散,并能传染其它程序的程序D) 计算机病毒是能够实现自身复制,并借助一定的媒体存在的具有潜伏性、传染性和破坏性的程序A) 反病毒软件通常滞后于计算机新病毒的出现B) 反病毒软件总是超前于病毒的出现,它可以查、杀任何种类的病毒C) 感染过计算机病毒的计算机具有对该病毒的免疫性D) 计算机病毒会危害计算机用户的健康A) 磁盘空间变小B) 系统出现异常启动或经常“死机”C) 程序或数据突然丢失D) 以上都是A) 传播媒介是网络B) 可通过电子邮件传播C) 网络病毒不会对网络传输造成影响D) 与单机病毒比较,加快了病毒传播的速度A)特殊的计算机部件B)游戏软件C)人为编制的特殊程序D)能传染的生物病毒A)病毒是利用计算机软、硬件所固有的脆弱性,编制具有特殊功能的程序B)计算机病毒具有传染性、隐蔽性、潜伏性C) 有效的查杀病毒的方法是多种杀毒软件交叉使用D)计算机病毒只会通过后缀为EXE的文件传播A) 恶性B) 良性C) 引导型D) 定时发作型A) 会感染,但不会致病B) 会感染致病,但无严重危害C) 不会感染D) 产生的作用尚不清楚A) 从键盘输入统计数据B) 运行外来程序C) 软盘表面不清洁D) 机房电源不稳定A) 计算机病毒是一个标记或一个命令B) 计算机病毒是人为制造的一种程序C) 计算机病毒是一种通过磁盘、网络等媒介传播、扩散并传染其他程序的程序D) 计算机病毒是能够实现自身复制,并借助一定的媒体存储,具有潜伏性、传染A) 计算机运行速度变慢B) 文件长度变长C) 不能执行某些文件D) 以上都对A) 用户识别B) 权限控制C) 数据加密D) 病毒控制A) 传播性、潜伏性和破坏性B) 传播性、潜伏性和易读性C) 潜伏性、破坏性和易读性D) 传播性、潜伏性和安全性A) 可执行文件B) 引导扇区/分区表C) Word/Excel文档D) 数据库文件A) 每天都要对硬盘和软盘进行格式化B) 决不玩任何计算机游戏C) 不同任何人交流D) 不用盗版软件和来历不明的磁盘A) CPU 的烧毁B) 磁盘驱动器的损坏C) 程序和数据的破坏D) 磁盘的物理损坏A) 消除已感染的所有病毒B) 发现并阻止任何病毒的入侵C) 杜绝对计算机的侵害D) 发现病毒入侵的某些迹象并及时清除或提醒操作者A) 匿名上网B) 总在晚上上网C) 在网上私闯他人计算机系统D) 不花钱上网A) 在计算机内存中运行病毒程序B) 对磁盘进行读/写操作C) A 和B 不是必要条件D) A 和B 均要满足A) 删除已感染病毒的磁盘文件B) 用杀毒软件处理 C) 删除所有磁盘文件D) .彻底格式化磁盘A) 计算机病毒是人为编制的一段恶意程序B) 计算机病毒不会破坏计算机硬件系统C) 计算机病毒的传播途径主要是数据存储介质的交换以及网络的链路D) 计算机病毒具有潜伏性A) 计算机病毒可以烧毁计算机的电子元件B) 计算机病毒是一种传染力极强的生物细菌C) 计算机病毒是一种人为特制的具有破坏性的程序D)计算机病毒一旦产生,便无法清除A) 计算机要经常使用,不要长期闲置不用B) 为了延长计算机的寿命,应避免频繁开关计算机C)在计算机附近应避免磁场干扰D) 计算机用几小时后,应关机一会儿再用A) 设备有异常现象,如显示怪字符,磁盘读不出B) 在没有操作的情况下,磁盘自动读写 C) 装入程序的时间比平时长,运行异常D)以上说法都是A) 不正常关机B) 光盘表面不清洁 C) 错误操作D) 网上下载文件A) 计算机病毒具有潜伏性B) 计算机病毒具有传染性C)感染过计算机病毒的计算机具有对该D) 计算机病毒是一个特殊的寄生程序病毒的免疫性A) 通过键盘输入数据时传入B) 通过电源线传播C) 通过使用表面不清洁的光盘D) 通过Internet网络传播A) 丢弃不用B) 删除所有文件C) 重新格式化D)删除A) 计算机病毒是一个标记或一个命令B) 计算机病毒是人为制造的一种程序C) 计算机病毒是一种通过磁盘、网络等媒介传播、扩散,并能传染其它程序的程序D)计算机病毒是能够实现自身复制,并借助一定的媒体存在的具有潜伏性、传染性和破坏性的程序A) 计算机病毒是一种人为的破坏性程序B)计算机被病毒感染后,只要用杀毒软件就能清除全部的病毒C) 计算机病毒能破坏引导系统和硬盘数据D)计算机病毒也能通过下载文件或电子邮件传播3591.对于微机用户来说,为了防止计算机意外故障而丢失重要数据,对重要数据应定期进行备份。
病毒引导模块病毒传染模块病毒表现模块计算机病毒总结考试题型:选择:15道*2分/题=30 填空:10空*2分/题=20 简答:5题*6分/题=30 综合分析: 2题*10分/题=20一.课本概念:1.(1.2)计算机病毒的基本概念1) 计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
2) 计算机病毒的一般特征:程序性(计算机病毒具有正常程序的一切特征:可存储型,可执行性);传染性;……3) 病毒的命名:蠕虫病毒(Worm ) 宏病毒(Macro )2.(2.1)计算机病毒的工作过程:病毒程序的生命周期 病毒程序的典型组成示意图3.(5.3.9)启动式代码扫描技术启动式代码扫描也可称做启动式智能代码分析,它将人工智能的知识和原理运用到计算机病毒检测之中,启发就是指“自我发现的能力”或“运用某种方式或方法去判定事物的知识和技能”。
运用启发式扫描技术的计算机病毒检测软件,实际上就是以人工智能的方式实现的动态反编译代码分析,比较器,通过对程序有关指令序列进行反编译,逐步分析,比较,根据其动机判断其是否为计算机病毒。
4.(6.1.2)计算机病毒预防基本技术计算机病毒的预防应该包括两个部分:对已知计算机病毒的预防和对未来计算机病毒的预防。
目前,对已知计算机病毒的预防可以采用特征判定技术或静态判定技术,对未知计算机病毒的预防则是一种行为规则的判定技术即动态判定技术。
5.(6.3)文件型病毒目前已经存在的文件病毒,可以感染所有标准的DOS 可执行文件,包括批处理文件,DOS 下的可加载驱动程序(.SYS )文件以及普通的.COM/.EXE 可执行文件。
6.(6.6)宏病毒 潜伏阶段传染阶段触发阶段发作阶段潜伏期结束 传染结束 触发条件宏病毒是一种寄存在文档或模板的宏中的计算机病毒。
7.(6.7)特洛伊木马病毒 大多数特洛伊木马包括客户端和服务器端两个部分。
第一章1.计算机病毒的定义:计算机病毒是一种人为制造、能够进行自我复制的,具有对计算机资源的破坏作用的一组程序或指令的集合。
2.计算机病毒的特征与本质:(大概了解)特性:自我复制能力,很强的感染性,一定的潜伏性,特定的触发性,很大的破坏性。
首先其本质是程序,而且是具有传染性的程序,也即可以反复执行或复制的程序3.计算机病毒的分类:按寄生对象分为引导型病毒,文件型病毒和混合型病毒。
4根据计算机病毒的命名:(1)给出病毒的名字,说明根据什么命名(通用命名规则)a 按病毒的发作时间命名如:“黑色星期五”(某月的13号且周五);米开朗基罗病毒(3.6 米开朗基罗生日)b 按病毒发作症状命名如:“小球”病毒,“火炬”病毒,“浏阳河”病毒(9.9浏阳河,12.26 东方红)等:c 按病毒的传染方式命名如:黑色星期五病毒又名为疯狂拷贝病毒(感染.exe时对文件标记做了错误判断而反复感染)d 按病毒自身宣布的名称或包含的标志命名CIH病毒的命名源于其含有“CIH”字符(陈盈豪)e 按病毒的发现地命名如“黑色星期五”又称为Jerusalem(耶路撒冷)病毒f 按病毒的字节长度命名如黑色星期五病毒又称作1813病毒(2)估计标准命名方法(三元组命名法则)计算机病毒英文命名规则也就是国际上对病毒民命的一般惯例为“前缀+病毒名+后缀”,即三元组命名规则。
三元组中“病毒名”的命名优先级为:病毒的发现者(或制造者)→病毒的发作症状→病毒的发源地→病毒代码中的特征字符串5.描述几种计算机病毒的危害6.描述几种计算机病毒的症状(表现)7.描述几种计算机病毒的传播方式(1)通过不可移动的计算机硬件设备进行传播(2)通过移动存储设备来传播(3)通过网络传播的方式(4)通过无线通讯系统传播8.描述计算机病毒的生命周期(1)计算机病毒的产生过程可分为:程序设计→传播→潜伏→触发、运行→实施攻击(2)计算机病毒是一类特殊的程序,也有生命周期开发期、传染期、潜伏期、发作期、发现期、消化期、消亡期第二章1.硬盘结构:对磁介质的处理分为3个过程低级格式化(物理格式化,低格):可以寻址,即将盘面划分成磁道、柱面和扇区分区:是管理系统指导硬盘有哪些域可以使用。
高级格式化(逻辑格式化,高格):建立存储系统。
在分区内建立分区引导记录DBR、文件分配表FAT、文件目录表FDT和数据区DA TA。
2.寻址方式(1)CHSa)柱面(Cylinder),磁头(Heuder),扇区(Sector)b)Cmax=1023,Hmax=255,Smax/磁道=63,且每个扇区一般为512字节。
(2)现代改用等密度结构生产硬盘,外圈磁道的扇区比内圈磁道多。
以扇区位单位进行殉职,即线性寻址LBA(Logic Block Address)。
3.INT 13H调用的是BIOS提供的磁盘基本输入输出中断调用4.硬盘数据结构(1)一个一个硬盘最多可以划分为四个主分区,磁盘中可以作为分区表的只有64个字节,每个主分区的参数需要占16个字节。
(2)分区以柱面为单位进行,不允许跨柱面,即不可把一个柱面分到不同的分区中。
(3)主引导记录(Master Boot Record,MBR)、磁盘分区表(Disk Partition Table,DPT)。
分区引导记录(DOS Boot Record,DBR),文件分配表(File Allocation Table,FAT)、文件目录标表(File Directory Table,FDT)(4)MBR的作用只用于寻找活动问去,并从活动分区装载系统引导程序(启动系统)。
5.文件系统(1)FAT:文件分配表(2)FAT12、16、32区别:即文件分配表的位数不同,位数不同,可记录的文件数不同。
(3)FAT:系统以簇为文件存储的基本单位。
(4)剩余扇区:无法成为一个簇(不够一个簇)的那些扇区。
(5)保留扇区(有时候也称作系统扇区,隐藏扇区),是指从分区DBR扇区开始的仅为系统所有的扇区。
6.计算机的启动过程(了解)7.中断(1)定义、分类(2)中断向量、中断向量表(要知道)。
中断向量表(Interrupt Vectors):保存着系统所有中断服务程序的入口地址(偏移量和段地址)的线性表。
中断向量表占用内存最低端0000H到03FEH的1KB的地址空间,存放256个元素即远指针(中断向量),编号从00到255(00~FFH)。
每一中断向量的入口地址占4字节,高2字节存放中断向量的段地址,低2字节存放中断向量的偏移地址。
(3)确定中断所在的物理地址的方法:根据终端类型号(中断向量号)计算中断向量入口地址在中断向量表中的偏移:偏移=中断类型号×4将其装入IP和CS;由此则确定中断的物理地址:物理地址=段地址×16+偏移地址8.内存管理在保护模式下的所有应用程序都具有权限级别。
按优先次序,PL分为四等:0级、1级、2级、3级;其中0级权限最高,3级最低、9.EXE文件的格式(结合PPT)(1)PE文件:*.EXE、*.DLL、*.OCX,(2) PE文件结构:可选映像头---数据目录表-----导出目录、导入目录第三章:病毒的逻辑结构与基本控制1、计算机病毒的状态。
(1)计算机病毒在传播过程中存在两种状态:静态和动态。
(2)内存中的动态病毒又有两种状态:》可激活态:◆当内存中的病毒代码能够被系统的正常运行机制所执行时,动态病毒就处于可激活态。
◆一般而言,动态病毒都是可激活的。
》激活态:◆系统正在执行病毒代码时,动态病毒处于激活态◆病毒处于激活态时,不一定进行传染和破坏;但进行传染和破坏时,必然处于激活态。
(3)失活态:病毒代码在内存中,但不可能被执行的状态。
如:通过修改中断进行病毒传播和感染的病毒在中间向量表恢复后的状态即为失活态4.计算机病毒的基本结构(1)感染标志用来标记当前文件是否被感染。
(2)基本模块:引导、感染、破坏、触发。
5.计算机病毒的三个基本机制:引导、传染(传播)、触发6.简述计算机病毒引导模块的基本动作是:◆检查运行的环境,如确定操作系统类型,内存容量,现行区段、磁盘设置、显示器类型等参数。
◆将病毒引入内存,使病毒处于动态,并保护内存中的病毒代码不被覆盖◆设置病毒的激活条件和触发条件,是病毒处于可激活态,以便病毒被激活后根据满足的条件调用感染模块或破坏表现模块。
7.计算机病毒的传播机制(1)感染条件控制病毒的感染动作、控制病毒感染的频率。
(2)键鼠病毒主动传染的传播过程:◆在系统运行时,病毒通过病毒载体即系统的外存储器进入系统的内存储器,常驻内存,并在系统内存中监视系统的运行。
◆在病毒引导模块将病毒传染模块驻留内存的过程中,通常还要修改系统中断向量入口地址,使该中断向量指向病毒程序传染模块。
◆一旦系统执行磁盘读写操作或系统功能调用,病毒传染模块就被激活,传染模块在判断传染条件满足的条件下,把病毒自身传染给被读写的磁盘或被加载的程序。
(3)文件型病毒的感染方式主要有:》寄生感染(最常用,要掌握)》无入口点感染》滋生感染》链式感染》OBJ、LIB和源码的感染寄生感染最常用的感染方式。
*****************************************************(被动触发),感染触发(感染文件个数、感染序数、感染磁盘数、感染失败触发),启动触发(将计算机的启动次数作为触发条件),访问磁盘次数/调用中断功能触发,CPU型号/主板型号触发,打开或预览Email附件触发,随机触发。
9.计算机病毒的破坏机制第四章DOS病毒的基本原理与DOS病毒分析1.重定位2.引导型病毒(1)驻留内存、隐形、加密技术。
(2)时限内存主流的基本原理。
(3)引导型病毒触发的基本过程3.文件型病毒4.混合型病毒第五章Windows病毒分析(一)PE病毒1.属于PE文件的是:*.EXE、*.DLL、*.OCX等2.PE病毒需要具有的功能。
重定位获取API函数地址搜索感染目标文件内存文件映射实施感染等3.简述计算机病毒获取API函数地址的方法【马悦大脑袋挡住了,后面没有】(1)获取kernel32基地址方法:方法1:利用程序的返回地址,在其附近搜索Kernel32模块基地址(读程序,分析程序的意义,可填空;填写程序注释)mov eax ,[esp+10h];这里的esp+10h是不定的,主要看从程序第一条指令执行到这里有多少push操作,如果设为N个push,则这里的指令就是mov edi,[esp+N*4h]and eax, 0F000h ;使取回的地址是4096的整数倍mov esi, eaxLoopFindKernel32:sub esi, 1000h ;内存中节的对齐粒度,每节都从4096的整数倍开始cmp word ptr[esi], ‘ZM’ ;搜索EXE文件头,不等ZF=0,相等ZF=1jnz short LoopFindKernel32 ;不为EXE头,则继续寻找GetPeHeader:movzx edi, word ptr[esi+3ch] ;以下过程为验证过程。
找到从DOS头部开始的3c 偏移处,即记录‘pe’所在的地址;add edi, esi ;定位PE所在的地址cmp word ptr[edi], ’EP’ ;查看该地址处是否为PEjnz short LoopFindKernel32 ;若不为PE,则继续寻找,说明上次找到的ZM处为偶然,而不为真正的DOS头。
mov vKernel32[ebp],esi ;若相应地址上为PE,则前面地址为Kernel32基地址。
(2)获取API函数地址(P188)A 已知序数号(是惟一指定DLL中某个函数的16位数字,在所指向的DLL中是独一无二的;索引号=序数号-基数(PE引出节中的Base值))B 已知函数名(AddressOfNames:函数名字数组;AddressOfNameOrdinals:函数名字所对应的索引号数组;上述两个数组是一一对应的)4.文件搜索方法5.内存映射文件6.PE病毒感染文件的常用方法。
在PE文件中插入新节将自己分散插入到每个节的空隙中。
7.假设PE病毒通过在宿主文件中插入新节来感染文件,简述其感染文件的基本步骤。
(1)判断目标文件开始的两个字节是否为“MZ”;(2)判断PE文件标记“PE”;(3)判断感染标记,如果已被感染过则跳出继续执行宿主程序,否则继续。
(4)获得Directory(数据目录)的个数,每个数据目录信息占8字节【看不清,从书上找的】(5)在该位置写入(病毒)节表(6)写入感染标记;(7)写入病毒代码到新添加的节中(8)将当前文件位置设为文件末尾8.CIH病毒:第一个攻击计算机硬件的病毒。
