计算机病毒与反病毒技术

注：12.19更新第三章第2题、第5题的感染机制答案《计算机病毒》复习思考题第一章计算机病毒概述1. 简述计算机病毒的定义和特征。

计算机病毒(Computer Virus)，是一种人为制造的、能够进行自我复制的、具有对计算机资源进行破坏作用的一组程序或指令集合。

计算机病毒的可执行性(程序性)、传染性、非授权性、隐蔽性、潜伏性、可触发性、破坏性、攻击的主动性、针对性、衍生性、寄生性(依附性)、不可预见性、诱惑欺骗性、持久性。

2. 计算机病毒有哪些分类方法？根据每种分类方法，试举出一到两个病毒。

3. 为什么同一个病毒会有多个不同的名称？如何通过病毒的名称识别病毒的类型？国际上对病毒命名的一般惯例为“前缀+病毒名+后缀”，即三元组命名规则。

1、系统病毒系统病毒的前缀为：Win32、PE、Win95、W32、W95等。

2、蠕虫病毒蠕虫病毒的前缀是：Worm。

3、木马病毒、黑客病毒木马病毒其前缀是：Trojan，黑客病毒前缀名一般为Hack 。

4、脚本病毒脚本病毒的前缀是：Script。

5、宏病毒其实宏病毒是也是脚本病毒的一种，由于它的特殊性，因此在这里单独算成一类。

宏病毒的前缀是：Macro。

6、后门病毒后门病毒的前缀是：Backdoor。

7、病毒种植程序病毒后门病毒的前缀是：Dropper。

这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下，由释放出来的新病毒产生破坏。

8．破坏性程序病毒破坏性程序病毒的前缀是：Harm。

这类病毒的公有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒便会直接对用户计算机产生破坏。

9．玩笑病毒玩笑病毒的前缀是：Joke。

10．捆绑机病毒捆绑机病毒的前缀是：Binder。

4. 简述计算机病毒产生的背景。

5. 计算机病毒有哪些传播途径？传播途径有两种，一种是通过网络传播，一种是通过硬件设备传播（软盘、U盘、光盘、硬盘、存储卡等）。

网络传播，又分为因特网传播和局域网传播两种。

计算机病毒简答题计算机病毒简答题⼀、名词解释1、计算机病毒：编制或者在计算机程序中插⼊得破坏计算机功能或者破坏数据，影响计算机使⽤并且能够⾃我复制得⼀组计算机指令或者程序代码。

2、特洛伊⽊马：就是⼀种与远程计算机之间建⽴起连接，使远程计算机能够通过⽹络控制⽤户计算机系统并且可能造成⽤户得信息损失、系统损坏甚⾄瘫痪得程序。

3、Word宏病毒：就是⼀些制作病毒得专业⼈员利⽤Microsoft Word得开放性专门制作得⼀个或多个具有病毒特点得宏得集合，这种病毒宏得集合影响到计算机得使⽤，并能通过DOC ⽂档及DOT模板进⾏⾃我复制及传播。

4、⼿机病毒：以⼿机为感染对象，以⼿机⽹络与计算机⽹络为平台，通过病毒短信等形式，对⼿机进⾏攻击，从⽽造成⼿机异常得⼀种新型病毒。

5、蠕⾍：就是⼀种通过⽹络传播得恶性病毒，它具有病毒得⼀些共性，如传播性、隐蔽性与破坏性等，同时蠕⾍还具有⾃⼰特有得⼀些特征，如不利⽤⽂件寄⽣（有得只存在于内存中），对⽹络造成拒绝服务，以及与⿊客技术相结合等。

6、流氓软件：就是介于病毒与正规软件之间，同时具备正常功能（下载、媒体播放等）与恶意⾏为（弹⼴告、开后门）得软件，给⽤户带来实质危害。

7、僵⼫⽹络：就是指控制者采⽤⼀种或多种传播⼿段，将Bot程序（僵⼫程序）传播给⼤批计算机，从⽽在控制者与被感染计算机之间所形成得⼀个可⼀对多控制得⽹络。

8、计算机病毒得预防技术：就是指通过⼀定得技术⼿段防⽌计算机病毒对系统进⾏传染与破坏，实际上它就是⼀种预先得特征判定技术。

9、⽹络钓鱼：利⽤欺骗性得电⼦邮件与伪造得Web站点进⾏诈骗活动，受骗者往往会泄露⾃⼰得重要数据，如信⽤卡号、账户⽤户名、⼝令与社保编号等内容。

10、计算机病毒抗分析技术：就是针对病毒得分析技术提出得，⽬得就是使病毒分析者难以分析清楚病毒原理，主要有加密技术、反跟踪技术等。

⼆、简答题1、根据计算机病毒得发展趋势与最新动向，您认为现有哪些病毒代表了这些趋势？答：计算机病毒得发展趋与计算机技术得发展相关。

XX 大学XX 学院学院：------------------- 班级：------------------- 学号：------------------- 姓名：-------------------计算机病毒分析与防治目录第一章计算机病毒概述------------------------------------ 31.1 计算机病毒定义------------------------------------ 31.2计算机病毒的传播---------------------------------- 31.3计算机病毒新形势---------------------------------- 3 第二章计算机病毒原理------------------------------------ 42.1引导机制------------------------------------------ 42.2传播机制------------------------------------------ 42.3触发机制------------------------------------------ 5 第三章计算机病毒实例分析-------------------------------- 53.1引导型病毒---------------------------------------- 53.2文件型病毒---------------------------------------- 63.3宏病毒-------------------------------------------- 63.4脚本病毒------------------------------------------ 63.5蠕虫病毒------------------------------------------ 6 第四章计算机病毒防治------------------------------------ 74.1计算机病毒发作表现-------------------------------- 74.2反病毒技术分析------------------------------------ 74.3计算机病毒防范------------------------------------ 8 参考文献------------------------------------------------ 9第一章计算机病毒概述1.1 计算机病毒定义计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。

病毒的防治技术总是在与病毒的较量中得到发展的。

总的来讲，计算机病毒的防治技术分成四个方面，即检测、清除、免疫和防御。

除了免疫技术因目前找不到通用的免疫方法而进展不大之外，其他三项技术都有相当的进展。

图6-12计算机病毒的预防一、病毒预防技术计算机病毒的预防技术是指通过一定的技术手段防止计算机病毒对系统进行传染和破坏，实际上它是一种特征判定技术，也可能是一种行为规则的判定技术。

也就是说，计算机病毒的预防是根据病毒程序的特征对病毒进行分类处理，而后在程序运行中凡有类似的特征点出现则认定是计算机病毒。

具体来说，计算机病毒的预防是通过阻止计算机病毒进入系统内存或阻止计算机病毒对磁盘的操作尤其是写操作，以达到保护系统的目的。

计算机病毒的预防技术主要包括磁盘引导区保护、加密可执行程序、读写控制技术和系统监控技术等。

计算机病毒的预防应该包括两个部分：对已知病毒的预防和对未来病毒的预防。

目前，对已知病毒预防可以采用特征判定技术或静态判定技术，对未知病毒的预防则是一种行为规则的判定技术即动态判定技术。

二、病毒检测技术计算机病毒检测技术是指通过一定的技术手段判定出计算机病毒的一种技术。

计算机病毒进行传染，必然会留下痕迹。

检测计算机病毒，就是要到病毒寄生场所去检查，发现异常情况，并进而验明“正身”，确认计算机病毒的存在。

病毒静态时存储于磁盘中，激活时驻留在内存中。

因此对计算机病毒的检测分为对内存的检测和对磁盘的检测。

图6-13计算机病毒的检测病毒检测的原理主要是基于下列几种方法：利用病毒特征代码串的特征代码法、利用文件内容校验的校验和法、利用病毒特有行为特征的行为监测法、用软件虚拟分析的软件模拟法、比较被检测对象与原始备份的比较法、利用病毒特性进行检测的感染实验法以及运用反汇编技术分析被检测对象确认是否为病毒的分析法。

1、特征代码法特征代码法被认为是用来检测已知病毒的最简单、开销最小的方法。

其原理是将所有病毒的病毒码加以剖析，并且将这些病毒独有的特征搜集在一个病毒码资料库中，简称“病毒库”，检测时，以扫描的方式将待检测程序与病毒库中的病毒特征码进行一一对比，如果发现有相同的代码，则可判定该程序已遭病毒感染。

《计算机病毒与防治》课程标准第一部分课程介绍一、课程性质“计算机病毒与防治”是信息安全专业中的一门核心专业课程，同时也作为计算机应用专业群的选修课程。

该课程是为从事信息安全产品的生产与开发企业培养具有计算机病毒病毒分析、计算机病毒防治、杀毒软件研发能力的实践型人才。

学生通过对计算机病毒的系统学习和实训，掌握计算机病毒的分析技术和防治技术，使学生获得必要的技术通识和专业技能；另一方面也为学生进行后续专业知识和专业技能的学习奠定基础。

二、课程定位《计算机病毒与防治》课程是一门专业性较强的课程，是对信息安全技术的综合运用。

课程对信息安全专业学生的职业能力培养的形成，能起到关键的支撑和促进作用，并能实现与前、后续课程有机衔接。

课程以具体病毒样本为载体、以解决具体病毒带来的危害的工作流程为依据，将相关的理论知识分解嵌入到具体项目中，教学过程就是指导学生完成工作任务的过程。

学生通过本课程的学习将能够具有病毒分析、病毒程序设计、测试等能力。

同时将能够具备病毒产品销售工程师、防病毒产品测试员、病毒分析员和病毒应急处理工程师等相关岗位的基本工作能力。

三、课程任务结合计算机病毒防治的人才培养需求，本课程的课程任务主要是：（1）掌握病毒基础分析知识：病毒的基本结构，病毒的分类，各种类型病毒的特点，危害性、表现症状，病毒防治的基本方法。

（2）掌握病毒行为分析知识：病毒分析常用工具的基本知识，程序代码解读，病毒行为分析流程设计，关键行为追踪，病毒报告编写。

（3）掌握反病毒程序设计：反病毒程序体系结构，程序读写，病毒特征提取，病毒测试计划。

（4）掌握反病毒体系知识：病毒防治的主动策略、病毒防治的被动策略，反病毒产品的原理和技术特征等。

（5）培养职业意识，职业道德和团队合作精神。

第二部分课程目标一、总体目标通过合理的教学内容安排、科学的教学方法设计和先进的教学手段应用来完善课程教学体系，将《计算机病毒》课程开设成符合教育规律，具有科学性、先进性、应用性和富有特色的课程。

•计算机病毒概述•计算机病毒识别与检测•计算机病毒防范策略与措施•杀毒软件选择与应用技巧•系统漏洞修补与网络安全配置•数据备份恢复与应急处理方案•总结回顾与未来展望计算机病毒概述定义与分类定义计算机病毒是一种恶意软件，通过复制自身并在计算机网络中进行传播，从而破坏数据、干扰计算机操作或占用系统资源。

分类根据病毒的特性和传播方式，可分为蠕虫病毒、木马病毒、宏病毒、文件病毒、启动区病毒等。

发展历程及现状发展历程计算机病毒自诞生以来，经历了从简单到复杂、从单机到网络的发展历程。

随着互联网的普及和技术的进步，计算机病毒的传播速度和破坏力也在不断提升。

现状目前，计算机病毒已经成为网络安全领域的重要威胁之一。

随着黑客技术的不断发展和演变，计算机病毒的种类和传播方式也在不断增多，给个人和企业带来了严重的安全威胁。

危害程度与影响范围危害程度计算机病毒的危害程度因病毒类型和攻击目标而异。

一些病毒会破坏数据和文件，导致系统崩溃或数据丢失；另一些病毒则会占用系统资源，导致计算机运行缓慢或无法正常工作。

影响范围计算机病毒的影响范围非常广泛，可以影响个人计算机、企业网络甚至整个互联网。

一些病毒还会通过电子邮件、社交媒体等途径传播，进一步扩大了其影响范围。

计算机病毒识别与检测通过网络传播，占用大量网络资源，导致网络拥堵。

隐藏在正常程序中，窃取用户信息，如账号密码等。

加密用户文件，要求支付赎金才提供解密工具。

感染Office等文档，通过宏命令进行传播和破坏。

蠕虫病毒木马病毒勒索病毒宏病毒常见病毒类型及特点识别方法与技术手段行为分析监控程序运行时的行为，如异常的网络连接、文件操作等。

提供实时防护、病毒查杀、系统修复等功能。

360安全卫士集病毒查杀、系统优化、软件管理等功能于一体。

腾讯电脑管家专注于病毒查杀和防御，提供强大的自定义设置功能。

火绒安全软件定期更新病毒库，定期全盘扫描，注意设置实时防护和自动处理威胁。

使用指南检测工具推荐及使用指南计算机病毒防范策略与措施ABDC安装可靠的安全软件使用知名的防病毒软件，并及时更新病毒库和引擎，确保对最新威胁的防护。

•计算机病毒基本概念•计算机病毒工作原理•计算机系统安全防护措施•杀毒软件使用指南目•网络安全意识培养与教育•总结回顾与拓展延伸录01计算机病毒基本概念病毒定义与特点定义特点病毒分类及危害程度分类危害程度不同病毒的危害程度不同，轻者影响计算机运行速度，重者破坏数据、损坏硬件、窃取信息等。

传播途径与感染方式传播途径感染方式CIH 病毒熊猫烧香病毒勒索病毒030201典型案例分析02计算机病毒工作原理病毒程序结构剖析负责将病毒程序加载到内存中，并获取系统控制权。

负责病毒的复制和传播，将病毒代码写入到其他程序中。

负责病毒的破坏行为，如删除文件、格式化硬盘等。

负责病毒的隐藏和反检测，以避免被杀毒软件发现和清除。

引导模块传染模块表现模块隐藏模块复制与传播机制解析复制方式传播途径感染目标隐藏技术与反检测策略隐藏技术反检测策略破坏行为及后果评估破坏行为病毒的破坏行为多种多样，如删除文件、格式化硬盘、篡改系统配置等。

后果评估病毒破坏行为的后果严重程度因病毒类型和感染情况而异，轻者可能导致数据丢失、系统崩溃，重者可能危及网络安全和国家安全。

03计算机系统安全防护措施操作系统安全设置建议01020304启用防火墙更新补丁管理员权限安全选项设置使用正版软件及时更新权限控制卸载不必要软件应用软件安全防护方法网络环境安全配置要求安全网络设备网络隔离访问控制加密传输避免点击未知来源的邮件和链接，防止恶意代码的执行。

不打开未知来源邮件和链接定期备份数据使用强密码不轻易泄露个人信息定期备份重要数据，防止数据丢失和被篡改。

设置复杂且不易被猜测的密码，提高账户安全性。

注意保护个人隐私信息，避免被不法分子利用进行诈骗等活动。

个人用户日常操作注意事项04杀毒软件使用指南杀毒软件种类介绍及选择依据杀毒软件种类选择依据安装配置和更新策略制定安装配置更新策略使用杀毒软件进行全盘扫描或快速扫描，检测系统中的病毒、木马等恶意程序。

清除操作在检测到病毒后，杀毒软件会提示用户进行清除操作，用户需要按照提示进行清除，确保系统安全。