计算机病毒考试题型
计算机病毒复习题
1、 选择题:(红色字参考附件计算机病毒考试范围(修正版).doc)
1、为什么说蠕虫是独立式的?(C)二、2
A、蠕虫不进行复制
B、蠕虫不向其他计算机进行传播
C、蠕虫不需要宿主计算机来传播
D、蠕虫不携带有效负载
2、哪种恶意代码通过召集互联网上的服务器来通过发送大量的业务量攻击目标服务器?(D)
A、蠕虫
B、特洛伊木马
C、 DOS攻击
D、 DDOS攻击
3、哪一项不是特洛伊木马所窃取的信息?(D)
A、计算机名字
B、硬件信息
C、 QQ用户密码
D、系统文件
4、哪一项不是特洛伊木马的常见名字?(C)
二、4
A、 TROJ_WIDGET.46
B、 TROJ_FLOOD.BLDR
C、 I-WORM.KLEZ.H
D、 TROJ_DKIY.KI.58
5、哪一项不是蠕虫病毒的传播方式及特性?(B)
二、2
A、通过电子邮件进行传播
B、通过光盘、软盘等介质进行传播
C、通过共享文件进行传播
D、不需要再用户的参与下进行传播
6、哪一项不是蠕虫病毒的常用命名规则?(D)
二、4
A、 W32/KLEZ-G
B、 I-WORM.KLEZ.H
C、 W32.KLEZ.H
D、 TROJ_DKIY.KI.58
7、下面对后门特征和行为的描述正确的是?(A)一、14
A、为计算机系统秘密开启访问入口的程序
B、大量占用计算机的系统资源,造成计算机瘫痪
C、对互联网的目标主机进行攻击
D、寻找电子邮件的地址进行发送垃圾邮件
8、哪一项不是后门的传播方式?(B)一、14
A、电子邮件
B、光盘、软盘等介质
C、 WEB下载
D、 IRC
9、下面哪一种陈述最好的解释了引导扇区病毒不再是非常普遍的病毒了?(C)二、8
A、计算机不在从软盘中引导
B、对此类型病毒采取了足够的防范
C、软盘不再是共享信息的主要途径
D、程序的编写者不在编写引导扇区病毒
10、文件感染病毒的常见症状有哪一项不是?(B)
A、文件大小增加
B、文件大小减少
C、减缓处理速度
D、内存降低
11、哪种病毒能够占据内存,然后感染引导扇区和系统中的所有可执行文件?(D)二、1
A、引导扇区病毒
B、宏病毒
C、 Windows病毒
D、复合型病毒
12、引导扇区病毒感染计算机上的哪一项信息?(B)二、1
A、DATA
B、MBR
C、E-mail
D、WORD
13、关于引导扇区病毒的传播步骤错误的是?(B)二、8
A、病毒进入引导扇区
B、病毒破坏引导扇区信息
C、计算机将病毒加载到存储
D、病毒感染其它磁盘
14、引导扇区病毒特征和特性的描述错误的是?
(C)二、1
A、会将原始的引导扇区以及部分病毒代码复制到磁盘的另一个地方
B、引导扇区病毒的设计缺陷可能会导致在读取软件时会产生偶尔的写保护错误
C、引导扇区病毒在特定的时间对硬盘进行格式化操作
D、引导扇区病毒不在像以前那样造成威胁
15、使用互联网下载进行传播的病毒是?(A)
A、 JAVA病毒
B、 DOS病毒
C、 WINDOWS病毒
D、宏病毒
16、下列关于复合型病毒描述错误的是?(B)
A、采用多种技术来感染一个系统
B、会对互联网上的主机发起DOS攻击
C、复合型病毒会占据内存,然后感染引导扇区和所有可执行的文件
D、通过多种途径来传播
17、PE_CIHVI1.2病毒会感染哪一种操作系统?(C)二、4
A、DOS
B、 UNIX
C、 WINDOWS
D、 LINUX
18、下列哪一项不是计算机病毒的种类?(B)二、
1
A、启动型
B、硬件型
C、文件型
D、复合型
19、下列哪一项不是我们常见的网络病毒?(A)
A、 DOS病毒
B、蠕虫病毒
C、多态病毒
D、伙伴病毒
20、下列哪一项不足够说明病毒是网络攻击的有效载体?(D)二、3
A、网络攻击程序可以通过病毒经由多种渠道传播
B、攻击程序可以利用病毒的隐蔽性来逃兵检测程序
C、病毒的潜伏性和可触发性使网络攻击防不胜防
D、黑客直接通过病毒对目标主机发起攻击
2、填空题:
1、计算机病毒按寄生方式和感染途径可分为引导型病毒、文件型病毒和混合型病毒。
2、引导型病毒感染软盘中的引导区,蔓延到用户硬盘,并能感染到用户盘中的主引导记录。
3、引导型病毒按其寄生对象的不同又可分为两类:MBR(主引导区)病毒和BR(引导区)病毒。
4、文件型病毒分为源码型病毒、嵌入型病毒和外壳型病毒。
5、混合型病毒,也称综合型、复合型病毒,同时具备引导型和文件型病毒的特征,即这种病毒既可以感染磁盘引导扇区,又可以感染可执行文件。
6、计算机病毒按照链接方式分类可分为源码型病毒、嵌入型病毒、外壳型病毒、操作系统型病毒。
7、按计算机病毒的表现(破坏)情况分类可分为良性病毒和恶性病毒。
8、按计算机病毒的传播媒介分类可分为单机病毒和网络病毒。
9、与一般病毒不同,蠕虫不需要将其自身附着到宿主程序,它是一种独立智能程序。根据蠕虫的传播、运作方式,可以将蠕虫分为两类:主机蠕虫与网络蠕虫。
10、网络蠕虫利用电子邮件、远程执行、远程登录等进行传播。
11、计算机病毒的基本特征为非法性、传染性、隐藏性、潜伏性、可触发性、破坏性、衍生性不可预见性。其中,隐藏性是计算机病毒最基本的特征。
12、计算机病毒侵入系统后,一般不立即发作,而是有一定的潜伏期。
13、计算机病毒因某个事件或数值的出现,诱使病毒实施感染或进行攻击的特性,称为可触发性。
14、计算机病毒造成的最显著的后果是破坏计算机系统。
15、病毒的传染、破坏部分被其他掌握原理的人以其个人的企图进行任意改动,从而又衍生出一种不同于原版本的新的计算机病毒(也称为变种),这就是计算机病毒的衍生性。
16、通过有线网络系统进行传播的方式有电子邮件、WWW浏览、FTP文件传输、BBS 、网络聊天工具。
17、硬盘基本使用的寻址方式有6种,分别是寄存器寻址、寄存器间接寻址方式、变址寻址、基址加变址寻址方式、立即寻址、直接寻址。其中,最快的存取方式为立即寻址。
18、在寄存器间接寻址方式中,操作数放在存储器中,而操作数的EA 在指令所指明的寄存器中,即寄存器的内容为操作数的 EA。
19、基本INT 13H使用的就是CHS寻址方式,最大只能访问8GB左右的硬盘,而扩展INT 13H采用线性寻址方式存取硬盘,所以突破了8G的限制,而且还加入了对可拆卸介质(如移动硬盘、优盘)的支持。
计算机病毒在传播中有两种状态:静态和动态。如果病毒处于辅助存储介质,如硬盘、DVD上时,称其为静态病毒;如果病毒位于内存中,则称之为动态病毒。其中,静态病毒是没有危害性的。
20、病毒从静态转变为动态的过程,就是病毒和操作系统监察机制相对抗的过程,称为病毒的启动。
21、能激活态是一种准备状态,是指存在于内存中的动态病毒可以被正常的运行机制执行。激活态则是正在被执行的病毒。此时它拥有系统的控制权,时时刻刻监视系统的一举一动,一旦条件符合,就执行相应的传染、破坏等动作。处于失活态的病毒是没有任何活动能力的,不能传播也不能做出破坏性动作,因此是我们很愿意看见的。
22、主机蠕虫的所有部分均包含在其所运行的计算机中,它们利用网络连接仅仅是为了将其自身拷贝到其他计算机中。网络蠕虫由许多部分(Segment,也称为段)组成,每一个部分运行在不同的计算机中(可能执行不同的动作),并且使用网络的目的是为了进行各部分之间的通信以及传播。
23、改进的扫描策略一般是:(1)在IP地址段的选择上,主要针对当前主机所在的网段扫描,对外网段则随机选择几个小的IP地址段进行扫描;(2)对扫描次数进行限制,只进行有限次扫描;(3)把扫描分散在不同的时间段进行。
三、简述题:
1、简述PE文件的组成结构:
(1)DOS部分,包括DOS文件头和DOS块;(2)PE文件头,包括PE文件头标志,PE文件表头,PE文件头可选部分;(3)节表;(4)节数据;
2、狭义的计算机病毒与蠕虫病毒的区别:
3、计算机病毒有哪些传播途径?
答:(1)通过移动存储设备进行传播:磁带、软盘、光盘、U盘、移动硬盘等。
(2)通过不可移动的计算机硬件设备进行传播:通过计算机的专用ASIC芯片等传播。
(3)通过有线网络系统进行传播:电子邮件,WWW浏览,FTP文件传输,BBS ,网络聊天工具等。
(4)通过无线通信系统进行传播:由于未来有更多手机通过无线通信系统和互联网连接,手机已成为病毒的新的攻击目标。
4、低级格式化、高级格式化的功能和作用是什么?高级格式化(FORMAT)能否清除任何计算机病毒?为什么?
答:回答一:低级格式化的主要目的是将盘面划分成磁道、扇区和柱面。高级格式化的目的是在分区内建立分区引导记录DBR(DOS Boot Record)、文件分配表FAT(File Allocation Table)、文件目录表
FDT(File Directory Table)和数据区DATA。
回答二:如果主引导区感染了病毒,用格式化程序FORMAT不能清除该病毒。
5、文件型病毒有哪些感染方式?
(1)寄生感染:文件头部寄生、文件尾部寄生、插入感染、逆插入感染、利用空洞——零长度感染;
(2)无入口点感染:采用入口点模糊(Entry Point obscuring,EPO)技术,采用TSR病毒技术;
(3)滋生感染;
(4)链式感染;
(5) OBJ、LIB和源码的感染。
6、计算机病毒的感染过程是什么?
答:(1)档宿主程序运行时,截取控制权;
(2)寻找感染的突破口;
(3)将病毒代码放入宿主程序。
7、试述计算机病毒的逻辑结构。
8、简述蠕虫的工作方式
答:蠕虫的工作方式一般是“扫描→攻击→复制”
扫描
? 由蠕虫的扫描功能模块负责探测存在漏洞的主机。当
程序向某个主机发送探测漏洞的信息并收到成功的反
馈信息后,就得到一个可传播(攻击)的对象。
攻击
? 攻击模块按漏洞攻击步骤自动攻击步骤(1)中找到
的对象,取得该主机的权限(一般为管理员权限),
获得一个shell,对Windows 2000来说就是cmd.exe,
得到这个shell后就拥有了对整个系统的控制权。
复制
? 繁殖模块通过原主机和新主机的交互将蠕虫程序复制
到新主机并启动。
9、简述特洛伊木马的基本原理。
答:特洛伊木马包括客户端和服务器端两个部分,攻击者通常利用一种称为绑定程序(exe-binder)的工具将木马服务器绑定到某个合法软件上,诱使用户运行合法软件。只要用户运行该软件,特洛伊木马
的服务器就在用户毫无察觉的情况下完成了安装过程,攻击者要利用客
户端远程监视、控制服务器,必需先建立木马连接;而建立木马连接,必需先知道网络中哪一台计算机中了木马,获取到木马服务器的信息之后,即可建立木马服务器和客户端程序之间的联系通道,攻击者就可以利用客户端程序向服务器程序发送命令,达到操控用户计算机的目的。
10、简述文件型病毒和引导型病毒的工作原理。
答:磁盘引导区传染的病毒主要是用病毒的全部或部分逻辑取代正常的引导记录,而将正常的引导记录隐藏在磁盘的其他地方。由于引导区是磁盘能正常使用的先决条件,因此,这种病毒在运行的一开始(如系统启动)就能获得控制权,其传染性较大。由于在磁盘的引导区内存储着需要使用的重要信息,如果对磁盘上呗移走的正常引导记录不进行保护,则在运行过程中就会导致引导记录的破坏。
文件型病毒存在于文件中,被加载后执行。拦截文件操作或主动搜索磁盘文件。对于COM文件和EXE文件的结构,病毒需要采取不同的策略感染。一般来说都要利用COM或EXE文件的文件头,从执行入口把病毒代码植入到宿主中。然后修改文件最开头的指令,使其指向病毒的入口。
11、 试叙述引导型病毒的主要特点。
答:引导型病毒是一种在ROM BIOS之后,系统引导时出现的病毒,它先于操作系统,依托的环境是BIOS中断服务程序。引导型病毒是利用操作系统的引导模块放在某个固定的位置,并且控制权的转交方式是以物理位置为依据,而不是以操作系统引导区的内容为依据,因而病毒占据该物理位置即可获得控制权,二将真正的引导区内容搬家转移或替换,待病毒程序执行后,将控制权交给真正的引导区内容,使得这个带病毒的系统看似正常运转,而病毒已隐藏在系统中并伺机传染、发作。
12、试简述计算机病毒的生命周期
答:
(1)开发期:今天有一点计算机编程知识的人都可以制造一个病毒。
(2)传染期:在一个病毒制造出来后,病毒的编写者将其拷贝分发出去并确认其已被传播出去。
(3)潜伏期:一个设计良好的病毒可以在它活化前的很长时期里被复制。这就给了它充裕的传播时间。
(4)发作期:带有破坏机制的病毒会在满足某一特定条件时发作。
(5)发现期:通常情况下,一个病毒被检测到并被隔离出来后,它会被送到计算机安全协会或反病毒厂家,在那里病毒被通报和描述给反病毒研究工作者。
(6)消化期:在这一阶段,反病毒开发人员修改他们的软件以使其可以检测到新发现的病毒。
(7)消亡期:有一些病毒在消失之前有一个很长的消亡期。13、 什么是特洛伊木马?
答:特洛伊木马(也叫黑客程序或后门)是指隐藏在正常程序中的一段具有特殊功能的恶意代码,一旦侵入用户的计算机,就悄悄在宿主计算机上运行,在用户毫无觉察的情况下,让攻击者获得远程访问和控制系统的权限,进而在用户计算机中破坏或删除文件、修改注册表、记录键盘,或窃取用户信息,可能造成用户系统被破坏,甚至瘫痪。木马是一种基于远程控制的黑客工具,是一种恶意程序,具备计算机病毒的特征,我们常把它看作广义病毒的一个子类。目前很多木马程序为了在更大范围内传播,与计算机病毒相结合,因此,木马程序也可以看做一种伪装潜伏的网络病毒。
14、 什么是病毒的多态?
答:所谓病毒的多态,就是指一个病毒的每个样本的代码都不相同,它表现为多种状态。采用多态技术的病毒由于病毒代码不固定,这样就很难提取出该病毒的特征码,所以只采用特征码查毒法的杀毒软件是很难对这种病毒进行查杀的。
多态病毒是改进了的加密病毒,由变化的解密头和加密的代码组成。多态病毒运行时,先执行的是解密代码,对加密代码解密,然后执行刚解密的代码,也就是实现传播的主体代码。
15、 试述计算机病毒的寄生和链式感染
答:计算机病毒的寄生:是指病毒码附加在主程序上,一旦程序被执行,病毒也就被激活,编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。
计算机病毒的链式感染:病毒在感染时,完全不改动宿主程序本体,而是改动或利用与宿主程序相关的信息,将病毒程序与宿主程序链成一体。病毒必须与计算机系统内可能被执行的文件建立链接。这些被链接
的文件可能是操作系统文件,可能是以各种程序设计语言编写的应用程序,也可能是应用程序所用到的数据文件(如Word文档)
16、 试述一下文件型病毒的隐藏技巧
答:文件型病毒通过替换DOS或者基本输入输出系统(BIOS)的文件系统的相关调用,在打开文件的时候将文件的内容恢复成未被感染时的状态,在关闭文件的时候重新进行感染。
17、简述一下多态病毒的六个级别
答:根据病毒使用多态技术的复杂程度,多态病毒大致可以划分为6个级别:
(1)半多态:病毒拥有一组解密算法,感染的时候从其中随机选择一种算法进行加密和感染。
(2)具有不动点的多态:病毒有一条或几条语句是不变的(把这些不变的语句叫做不动点),其他病毒指令都是可变的。
(3)带有填充物的多态:解密代码中包含一些没有实际用途的代码来干扰分析者的视线。
(4)算法固定的多态:解密代码所使用的算法是固定的,但是实现这个算法的指令和指令的次序是可变的。
(5)算法可变的多态:
使用了上面所有的技术,同时解密的算法也是可以部分或者全部改变的。
(6)完全多态:算法多态,同时病毒体可以随机分布在感染文件的各个位置,但是在运行的时候能够进行拼装,并且可以正常工作。
4、计算题
病毒感染PE文件,须对该文件作哪些修改?(相关内容参考另一个附件,带补充)
(1) 给PE文件增加一个新节,病毒在添加新节时,都会将新添加的节的属性设置为可读、可写、可执行
(2)在新节中添加可执行的代码
(3)修改文件头,使得入口地址指向刚添加的节
(4)将全部节未对齐大小设置为对齐后的大小,制造不存在空洞的假象
PE病毒的感染过程:
1.判断目标文件开始的两个字节是否为“MZ”。 2.判断PE文件标
记“PE”。 3.判断感染标记,如果已被感染过则跳出继续执行HOST程序,否则继续。 4.获得Directory(数据目录)的个数,(每个数据目录信息占8个字节)。 5.得到节表起始位置。(Directory的偏移地址+数据目录占用的字节数=节表起始位置) 6.得到目前最后节表的末尾偏移(紧接其后用于写入一个新的病毒节)节表起始位置+节的个数*(每个节表占用的字节数28H)=目前最后节表的末尾偏移。 7.开始写入节表PE病毒的基本原理。 1.病毒的重定位 2.获取API函数地址 3.搜索文件 4.内存映射文件 5.病毒感染其他文件 6.病毒返回到Host程序
关于计算机病毒,有两点需要注意:
一、最后计算题有关PE文件的,我觉得最有可能考的是地址。需要用到的知识点如下:
(1)计算机病毒如何得知一个文件是不是PE文件?
答:最基本、简答的方法就是先看该文件的前两个字节是不是4D5A,如果不是,则已经说明不是PE文件,如果是,那么我们可以再DOS程序头中的偏移3CH处的四个字节找到PE字串的偏移位置
(e_ifanew)。然后察看该偏移位置的四个字节是否是
50\45\00\00,如果不是,说明不是PE文件,如果是,那么我们认为
它是一个PE文件。当然为了准确还需要再加上其它一些判断条件。(2)实际内存地址=基地址(即ImageBase值)+相对虚地址(RVA)。
(3)节表起始位置=Directory(数据目录)的偏移地址+数据目录占用的字节数;最后节表的末尾偏移(紧接其后用于写入一个新的病毒节)=节表起始位置+节的个数*(每个节表占用的字节数)。
他可能告诉你Directory(数据目录)的偏移地址、数据目录占用的字节数、节的个数以及每个节表占用的字节数,让你计算新插入的病毒节的位置。
对下面几点进行补充:
关于计算机病毒,有两点需要注意:
一、最后计算题有关PE文件的,我觉得最有可能考的是地址。需要用到的知识点如下:
(1)计算机病毒如何得知一个文件是不是PE文件?
答:最基本、简答的方法就是先看该文件的前两个字节是不是4D5A,如果不是,则已经说明不是PE文件,如果是,那么我们可以再DOS程序头中的偏移3CH处的四个字节找到PE字串的偏移位置
(e_ifanew)。然后察看该偏移位置的四个字节是否
是50\45\00\00,如果不是,说明不是PE文件,如果是,那么我们认为它是一个PE文件。当然为了准确还需要再加上其它一些判断条件。
(2)实际内存地址=基地址(即ImageBase值)+相对虚地址(RVA)。
(3)节表起始位置=Directory(数据目录)的偏移地址+数据目录占用的字节数;最后节表的末尾偏移(紧接其后用于写入一个新的病毒节)=节表起始位置+节的个数*(每个节表占用的字节数)。
他可能告诉你Directory(数据目录)的偏移地址、数据目录占用的字节数、节的个数以及每个节表占用的字节数,让你计算新插入的病毒节的位置。
二、对下面几点进行补充:
(1)INT 13H调用可以完成磁盘(包括硬盘和软盘)的复位、读写、校验、定位、诊断、格式化等功能。
(2)简述一下嵌入文件的隐藏技术。(之前那道文件病毒的隐藏技巧答案是错的,给的答案是引导型病毒的隐藏技巧)
答:宏病毒的隐藏技术比引导型病毒要简单很多,只要在Word/Excel 中禁止菜单:“文件”—>“模板”或者“工具”—>“宏”就可以隐藏病毒了,可以通过宏病毒代码删除菜单项,或者宏病毒用自己的File Templates和ToolsMacro宏替代体统缺省的宏。
当然,宏病毒还有其他一些隐藏技术,这在前面宏病毒一节已经有所介绍。还有一些高级的病毒隐藏技术,需要大家细细揣摩。
除了宏病毒,由于现在各种格式文件之间的交叉引用越来越多,例如在Word文档中插入恶意图片,或者将JavaScript恶意代码插入PDF文档,并在打开文档时运行中。利用这样的方式,就可以很好地隐藏恶意代码,并完成恶意行为,而不被用户感知。
(3)简述一下蠕虫的行为特征。
答:1、主动攻击;2、行踪隐藏;3、利用系统、网络应用服务漏洞;
4、造成网络拥塞;
5、降低系统性能;
6、产生安全隐患;
7、反复性;
8、破坏性。
植物病毒检测技术研究进展汇总
植物病毒检测技术研究进展 刘茂炎 摘要:随着现代技术的发展特别是分子技术的发展,鉴定和检测病毒的方法越来越多,也越来越精确快速。以PCR为基础的基因工程技术已经广泛应用于病毒核酸分子的鉴定,其高灵敏度和高特异性是与PCR扩增反应的特异性引物相关联的;于此同时传统的鉴定检测技术依然有其发展优势。不论怎样的方法技术,都是以病毒的理化性质以及侵染性为基础的。在此基础上,甚至出现了某些边缘技术在病毒鉴定检测方面的应用。本文主要综述的是对植物病毒鉴定检测技术的研究进展。 关键词:植物病毒;检测技术;PCR 病毒在生物学上特征(如病毒的理化性质,包括病毒粒子的形态、大小、对理化因子的耐受性等)以及在寄主上的反应(如寄主范围、症状表现、传播方式等)是对病毒最直观的认识。常规的对植物病毒的鉴定检测方法有:生物学测定方法、血清学技术、电子显微镜技术、分子生物学技术等。生物学测定依据病毒的侵染性,观察寄主植株或其它生物的症状表现;血清学技术以病毒外壳蛋白(CP)为基础;电子显微镜技术依据病毒的形状大小的不同;分子生物学鉴定则以病毒核酸为基础。 1.生物学鉴定 最直接的方法是目测法,直接观察病毒对植物的病害症状。如烟草花叶病毒(tobacco mosaic virus,TMV),病害症状为叶上出现花叶症状,生长陷于不良状态,叶常呈畸形;玉米鼠耳病的诊断主要依据田间症状表现[1]。目测法因观察的主观性和症状的不确定性的影响而不精准。1929年美国病毒学家霍姆斯(Holmes)用感病的植物叶片粗提液接种指示植物,2~3天后接种叶片出现圆形枯斑,枯斑数与侵染性病毒的浓度成正比,能测出病毒的相对侵染力,对病毒的定性有着重要的意义,这种人工接种鉴定的方法就是枯斑和指示植物检测法。国内报道的水稻黑条矮缩病毒(Rice black-streaked dwarf fijivirus,RBSDV)可侵染28属57种禾本科植物,该病毒的主要传毒介体是灰飞虱(Laodelphax striatella),
关于计算机病毒检测技术分析
关于计算机病毒检测技术分析 【摘要】计算机的出现改变了人们的生活方式和工作方式,同时也改变了全球经济的结构,逐渐的成为人类物质社会最为重要的组成部分,随着互联网的迅速发展,网络安全问题也日益严重起来。计算机病毒给计算机系统的安全带来了严重的危害,并且造成的损失也比较大,一般认为,计算机网络系统的安全运行来自计算机病毒的攻击,那么研究分析计算机病毒检测技术也就有着极大的现实意义。本文探究了计算机病毒,以及计算机病毒的种类,并且着重分析研究了计算机病毒检测技术,以期提高计算机安全。 【关键词】计算机病毒;检测技术;分析 1.引言 对于计算机的安全广大的安全专家以及用户都是比较担忧的,虽然目前计算机反病毒的技术正在不断的更新,但是反病毒技术仍然是被动的,用户需要应付每一个出现的计算机病毒,并且随着互联网技术的逐渐普及,计算机病毒越来越多的泛滥而出。计算机病毒攻击的方式、传播的方式也在随着社会经济的发展逐渐的变化着,它能够隐形的依附在下载的视频或者资料中,或者利用图片传播等,计算机病毒的传播速度较快,并且危害性也相对较大,那么为了保证计算机的安全使用,就必须要提高计算机病毒检测技术,在计算机没被病毒侵害之前进行检测,并进行杀毒。 2.计算机病毒综述 计算机病毒是一种人为制造的,专门用来破坏或者攻击计算机软件系统,并复制本身传染其他应用程序的代码,随着计算机网络技术的逐渐发展和应用,计算机病毒已经成为信息系统安全的主要威胁之一[1]。计算机病毒能够像生物病毒一样进行繁殖,在程序正常运行的时候,能够进行运行自身复制,也就是说计算机病毒具有繁殖性,再有计算机病毒具有传染性,一旦病毒被复制或者是产生变种,那么它的传播速度是很难预防的,传染性是计算机病毒基本的特征。此外计算机病毒还具有潜伏性,这跟定时炸弹是差不多的,在之前设计好病毒爆发的时间,给人以措手不及,还具有隐蔽性、破坏性等特性。计算机病毒大致上被分为宏病毒、木马病毒、黑客工具、脚本病毒等种类,下面我们将对这些病毒进行系统的分析。 第一,宏病毒,这是脚本病毒中的一种,但是由于其特性故将其分为一类,宏病毒的前缀是Macro,第二前缀是Word、Excel等,较为著名的宏病毒有著名的美丽莎。 第二,脚本病毒,脚本病毒的前缀是Script[2],脚本病毒的共有特性是使用脚本语言编写的,借助网页进行传播的病毒。
历史上经典的计算机病毒有哪些
历史上经典的计算机病毒有哪些 在当今历史上一些经典的计算机病毒有哪些呢?小编告诉你,有很多经典实例,下面由小编给你做出详细的历史上经典的计算机病毒介绍!希望对你有帮助! 历史上经典的计算机病毒介绍: 一、微软WMF漏洞被黑客广泛利用,多家网站被挂马 二、敲诈者 三、病毒假冒工行电子银行升级 四、魔鬼波病毒爆发 五、光大证券网站多款软件被捆绑木马 六、威金病毒大闹互联网 磁碟机、熊猫烧香、AV终结者、机器狗、灰鸽子,
电脑中毒了解决方法: 解释下用正版瑞星杀毒以后很多.exe的文件都被删除掉了 很多病毒都是感染可执行程序的破坏后使文件损坏 病毒一般不感染小型文件,病毒的源代码内有很多变量可控比如熊猫烧香的源代码(楼主去网上看看,蛮经典的--有分析) 杀毒的时候提示:windows 无法访问指定设备,路径或文件。您可能没有合适的权限访问这个项目。 只是由于病毒破坏了系统文件的缘故(建议备份重要文件后重新安装) 而且卡卡助手经常提示阻止了一些网页后缀都是.down的! 很明显这是木马下载器在向指定的网站下载病毒和木马
重装系统后C盘的病毒就没有了,但是其他盘可能有病毒的残留。但病毒已经不会随系统进程启动了。下载360后便可清除病毒残留 重新做系统也没用!各种版本的XP全试了!真郁闷~! 引导区的病毒会导致这种情况,用瑞星最新更新的病毒库因该可以搞定 重做系统没用,你用GHOST还原搞的吗?还是安装盘? 如果使还原系统一般不可靠,病毒会感染还原软件 我看你好像没什么重要文件,先把全部硬盘格式化后再安装系统比较理想。系统装好后下个杀软全盘杀一遍 (到安全模式中也行) 就这么多了,因该可以解决
计算机病毒行为特征的检测方法
2012.4 37 计算机病毒行为特征的 检测分析方法 谢辰 国际关系学院 北京 100091 摘要:在研究计算机病毒之前,如果我们能先对被研究病毒的行为特征有足够的了解,那么对于之后的反汇编代码分析以及查杀工作都会起到事半功倍的效果。本文先介绍了计算机病毒行为特征,然后通过实验的方法,利用虚拟机和软件分析技术,从动态和静态两个角度,以new orz.exe 病毒为例,来阐述和总结检测分析计算机病毒行为特征的方法。 关键词:计算机病毒;行为特征;虚拟机;软件分析技术 0 引言 随着互联网技术的日渐普及和高速发展,全球化通信网络已经成为大势所趋。但网络在提供巨大便利的同时,也存在种种安全隐患和威胁,其中危害最大影响最广的莫过于计算机病毒。在网络带宽不断升级的今天,计算机病毒的传播速度和变种速度也随之加快,问题也越来越严重,引起了人们的广泛关注,并成为当前计算机安全技术研究的热点。据国内外各大反病毒公司统计,2008 年截获的各类新病毒样本数已经超过1000万,日均截获病毒样本数万。对于现如今计算机病毒变种的不断增加,反计算机病毒的一个研究方向便是怎样在不对病毒汇编代码分析的前提下,分析出已知或未知的计算机病毒的全部行为特征。 1 计算机病毒行为特征 (1) 传染性 传染性是计算机病毒最重要的特征,是判断一段程序代码是否为计算机病毒的依据。计算机病毒是一段人为编制的计算机程序代码,这段程序代码一旦进入计算机并得以执行,它会搜寻其他符合其传染条件的程序或存储介质,确定目标后再将自身代码插入其中,达到自我繁殖的目的。是否具有传染性是判别一个程序是否为计算机病毒的重要条件。 (2) 非授权性 病毒隐藏在合法程序中,当用户调用合法程序时窃取到系统的控制权,先于合法程序执行,病毒的动作、目的对用户是未知的,是未经用户允许的。 (3) 隐蔽性 病毒一般是具有很高编程技巧、短小精悍的程序,它们一般附着在合法程序之中,也有个别的以隐含文件形式出现,目的是不让用户发现它的存在。如果不经过代码分析,病毒程序与合法程序是不容易区别开来的。 (4) 潜伏性 大部分的病毒传染系统之后一般不会马上发作,它可长期隐藏在系统中,只有在满足其特定条件时才启动破坏模块。如著名的在每月26日发作的CIH 病毒。 (5) 破坏性 病毒可分为良性病毒与恶性病毒。良性病毒多数都是编制者的恶作剧,它对文件、数据不具有破坏性,但会浪费系统资源。而恶性病毒则会破坏数据、删除文件或加密磁盘、格式化磁盘等。 (6) 不可预见性 从对病毒检测方面看,病毒还有不可预见性。不同种类的病毒,它们的代码千差万别。虽然反病毒技术在不断发展,但是病毒的制作技术也在不断的提高,病毒总是先于相应反病毒技术出现。 (7) 可触发性 计算机病毒一般都有一个或者几个触发条件。如果满足其触发条件,将激活病毒的传染机制进行传染,或者激活病毒的表现部分或破坏部分。病毒的触发条件越多,则传染性越强。
计算机病毒与防范基础知识考试题及答案【最新】
计算机病毒与防范基础知识考试题及答案 (单选);姓名得分: 注:每题5分,满分100分; 1.下面是关于计算机病毒的两种论断,经判断___; (1)计算机病毒也是一种程序,它在某些条件上激活;A)只有(1)正确B)只有 (2)正确;C)(1)和(2)都正确D)(1)和(2)都不正; 2.通常所说的“计算机病毒”是指______; A)细菌感染 B)生物病毒感染; C)被损坏的程序 D)特制的具 计算机病毒知识测试题(单选) 姓名得分: 注: 每题5分,满分100分
1.下面是关于计算机病毒的两种论断,经判断______ (1)计算机病毒也是一种程序,它在某些条件上激活,起干扰破坏作用,并能传染到其他程序中去;(2)计算机病毒只会破坏磁盘上的数据. A)只有(1)正确 B)只有(2)正确 C)(1)和(2)都正确 D)(1)和(2)都不正确 2.通常所说的“计算机病毒”是指______ A)细菌感染 B)生物病毒感染 C)被损坏的程序 D)特制的具有破坏性的程序 3.对于已感染了病毒的U盘,最彻底的清除病毒的方法是_____ A)用酒精将U盘消毒 B)放在高压锅里煮 C)将感染病毒的程序删除 D)对U盘进行格式化
4.计算机病毒造成的危害是_____ A)使磁盘发霉 B)破坏计算机系统 C)使计算机内存芯片损坏 D)使计算机系统突然掉电 5.计算机病毒的危害性表现在______ A)能造成计算机器件永久性失效 B)影响程序的执行,破坏用户数据与程序 C)不影响计算机的运行速度 D)不影响计算机的运算结果,不必采取措施 6.计算机病毒对于操作计算机的人,______ A)只会感染,不会致病 B)会感染致病 C)不会感染 D)会有厄运
计算机中病毒的处理办法
计算机病毒处理常用办法 1、预防病毒的好习惯 1)建立良好的安全习惯。 对一些来历不明的邮件及附件不要打开,不要上一些不太了解的网站、不要执行从Internet 下载后未经杀毒处理的软件,不要共享有读写权限的文件夹或磁盘,机器间文件的拷贝要先进行病毒查杀; 2)经常升级安全补丁。 一部分病毒是通过系统安全漏洞进行传播的,像红色代码、尼姆达、SQL Slamer、冲击波、震荡波等病毒,我们应密切关注病毒、漏洞预警,即使修补系统漏洞补丁; 3)使用复杂的用户口令。 有许多病毒是通过猜测用户口令的方式攻击系统的。因此使用复杂的口令,会提高计算机的病毒防范能力;一般来讲,复杂的口令须具备:长度8位或8位以上,口令中必须含字母、数字而且字母分大小写; 4)迅速隔离受感染的计算机。 当计算机发现病毒或异常时应立刻断网,以防止计算机受到更多的感染,或者成为传播源; 5)了解一些病毒知识。 这样可以及时发现新病毒并采取相应措施,使自己的计算机免受病毒破坏。如果能了解一些注册表知识,就可以定期看一看注册表的自启动项是否有可疑键值;如果了解一些内存知识,就可以经常看看内存中是否有可疑程序。 6)安装专业的防毒软件进行全面监控。 在病毒日益增多的今天,应该使用防病毒软件进行病毒防范,在安装了防病毒软件之后,还要经常进行病毒库的升级,并打开实时监控(如文件双向监控)器进行监控。 2、怎样区别计算机病毒与故障 在清除计算机病毒的过程中,有些类似计算机病毒的现象纯属由计算机硬件或软件故障引起,同时有些病毒发作现象又与硬件或软件的故障现象相类似,如引导型病毒等。这给用户造成了了困惑,许多用户往往在用各种病毒软件查不出病毒时就去格式化硬盘,不仅影响了工作、减少了硬盘的寿命,而且还不能从根本上解决问题。所以,有必要正确区分计算机的病毒与故障,下面的经验供用户参考: 1)计算机病毒的现象 在一般情况下,计算机病毒总是依附某一系统软件或用户程序中进行繁殖和扩散,病毒发作时危及计算机的正常工作,破坏数据与程序,侵犯计算机资源。计算机在感染病毒后,往往有一定规律性地出现一些异常现象,比如: A. 屏幕显示异常。屏幕显示出不是由正常程序产生的画面或字符串, 出现显示混乱现象; B. 程序装载时间明显增长, 文件运行速度显著下降; C. 用户没有访问的设备出现异常工作信号; D. 磁盘出现莫名其妙的文件和坏块, 卷标发生变化; E. 系统自行引导; F. 丢失数据或程序, 文件字节数发生变化; G. 内存空间、磁盘空间异常减小; H. 异常死机或自动重启; I. 磁盘访问时间比平时明显增长; J. 系统引导时间明显增长。 2)与病毒现象类似的硬件故障 硬件的故障范围不太广泛,比较容易确认,但在处理计算机异常现象时易被忽略。排除硬件故障是解决问题的第一步。
病毒分子生物学鉴定常用技术
实验二十三病毒核酸检测常用技术 (Techniques of Detecting Nucleic Acid of Viruses in Common Use ) 近年来随着分子生物学的发展,基因检测技术在微生物学实验室诊断中也取得了长足的进展。由于部分病原微生物的基因组已成功地被克隆并进行了核苷酸序列测定,因此根据病原微生物的基因特点,应用分子生物学技术检测样品中有无相应病原微生物的核酸,从而可以特异、灵敏地判定标本中是否含有相应的病原微生物。在微生物学的研究及感染性疾病的诊断中,最常使用的微生物核酸检测技术有PCR、RT-PCR、核酸杂交等技术,现对病毒核酸(DNA、RNA)的分离、PCR、RT-PCR、核酸杂交等技术的基本原理、操作方法、应用及影响因素等进行概述。 实验 1 PCR 检测传染性喉气管炎病毒核酸 【目的要求】 通过本实验使学生初步了解和熟悉病毒核酸(DNA)的分离与PCR技术的基本原理、操作方法、影响因素和应用。 【基本原理】 鸡传染性喉气管炎(Infectious laryngotracheitis, ILT)是由疱疹病毒科、α-疱疹病毒亚科的喉气管炎病毒(Infectious laryngotracheitis Virus, ILTV)引起的一种急性上呼吸道传染病, 常表现呼吸困难、产蛋鸡产蛋下降和死亡, 是危害养鸡业发展的重要疫病之一。但在临诊上极易与其它一些呼吸道疾病相混淆, 如禽流感、新城疫、传染性支气管炎、支原体感染等。常规检测IL TV 的方法有病原分离鉴定和血清学试验, 这些方法虽经典,但费时且敏感性差, 不能检测亚临床感染, 而传染性喉气管炎潜伏感染是疾病的一种重要表现形式。聚合酶链式反应(Polymerase Chain Reaction,PCR)是目前比较快速、敏感、特异的检测手段,已被广泛应用在病毒核酸检测方面。本实验以PCR方法检测鸡传染性喉气管炎病毒核酸为例,对PCR方法进行介绍。 PCR是体外酶促合成特异DNA片段的一种方法,典型的PCR由(1)高温变性模板;(2)引物与模板退火;(3)引物沿模板延伸三步反应组成一个循环,通过多次循环反应,使目的DNA得以迅速扩增。其主要步骤是:将待扩增的模板DNA置高温下(通常为93~94℃)使其变性解成单链;人工合成的两个寡核苷酸引物在其合适的复性温度下分别与目的基因两侧的两条单链互补结合,两个引物在模板上结合的位置决定了扩增片段的长短;耐热的DNA聚合酶(Taq酶)在72℃将单核苷酸从引物的3’端开始掺入,以目的基因为模板从5’→3’方向延伸,合成DNA的新互补链。如此反复进行,每一次循环所产生的DNA 均能成为下一次循环的模板,每一次循环都使两条人工合成的引物间的DNA特异区拷贝数扩增一倍,PCR产物得以2n的批数形式迅速扩增,经过25~30个循环后,理论上可使基因扩增109倍以上,实际上一般可达106~107倍(图23-1)。
计算机的病毒案例
《缉拿真凶──计算机病毒》教学案例 随着信息时代的到来,计算机已经走入千家万户,在我们使用的过程中,肯定出现过许多异常现象。到底是什么原因引起计算机工作异常呢?相信大部分学生都比较感兴趣。因此以此为切入点,引入新课。 但本课的容理论性较强,对于五年级的学生来说,如果用常规教学的模式来讲,就会显得枯燥无味。而且小学生一堂课上的注意力时间很短,所以本节课采取了角色扮演的形式,小组分工协作的方法,利用网络平台自主获取信息,处理信息的学习方式贯穿本节课。 【教学目标】 ·计算机病毒的定义。 ·了解计算机病毒的特点和危害。 ·当前计算机病毒传播的途径。 ·掌握预防计算机病毒的方法。 【教学重点】 ·了解计算机病毒的特点 ·知道计算机病毒的传播算途径 【教学难点】
掌握预防计算机病毒的方法 【课外延伸】 了解病毒、木马、黑客的关系。 【教学方法】 1.角色扮演 2.利用网络进行自主学习。 3.小组合作、互助。 【教学模式】 引课──小组分工──上网自主学习──小组获取信息、加工处理信息──各组汇报结果──师评、生评──归纳总结──德育渗透 【情感目标】 ·培养学生的信息安全意识。 ·培养学生正确的网络道德观。 ·培养学生团队合作精神。 【能力目标】 ·培养学生获取信息的能力、处理信息的能力。
·培养学生利用网络自主学习的能力。 【教学课时】 1课时 课前:在课间准备活动时,学生按顺序走进教室,播放杜娟唱歌的音乐,给学生制造轻松的气氛,并且预示大家准备上课了。 一、引课 师:同学们好 生:老师好 师:我有一个愿望,想与你们做朋友,因为你们的眼神告诉我你们很会学习,会捕获知识,而且你们是一个团结的集体,这让我非常喜欢们。 师:我呢,平时,喜欢在网上学习,下载软件,欣赏动漫。昨天我下载了一首我儿时最喜欢的歌曲,今天要与你们一起欣赏。 (播放课件,蓝精灵MV)----(播放到一半,突然计算机报错,提示需重新启动)(冲击波病毒症状) 师:嗯?怎么回事?谁的眼睛最亮,能不能告诉我们大家,刚才发生了什么奇怪的现象? 生:回答刚才看到的奇怪现象。
浅谈计算机病毒的检测技术
浅谈计算机病毒的检测技术 摘要:在互联网高速发展的今天,计算机病传染性越来越强,危害性也越来越大。计算机病毒的检测方法主要有长度检测法、病毒签名检测法、特征代码检测法、检验和法、行为监测法、感染实验法、病毒智能检测法等。本文对其特点以及优缺点逐一进行了叙述。 关键词:计算机病毒检测技术 一、引言 Internet改变了人们的生活方式和工作方式,改变了全球的经济结构、社会结构。它越来越成为人类物质社会的最重要组成部分。但在互联网高速发展的同时,计算机病毒的危害性也越来越大。在与计算机病毒的对抗中,早发现、早处置可以把损失降为最少。因此,本文对计算机病毒的主要检测技术逐一进行了讨论。计算机病毒的检测方法主要有长度检测法、病毒签名检测法、特征代码检测法、检验和法、行为监测法、感染实验法、病毒智能检测法等。这些方法依据原理不同,检测范围不同,各有其优缺点。 二、计算机病毒的检测方法 (1)长度检测法 病毒最基本特征是感染性,感染后的最明显症状是引起宿主程序增长,一般增长几百字节。在现今的计算机中,文件长度莫名其妙地增长是病毒感染的常见症状。长度检测法,就是记录文件的长度,运行中定期监视文件长度,从文件长度的非法增长现象中发现病毒。知道不同病毒使文件增长长度的准确数字后,由染毒文件长度增加大致可断定该程序已受感染,从文件增长的字节数可以大致断定文件感染了何种病毒。但是长度检测法不能区别程序的正常变化和病毒攻击引起的变化,不能识别保持宿主程序长度不变的病毒。 (2)病毒签名检测法 病毒签名(病毒感染标记)是宿主程序己被感染的标记。不同病毒感染宿主程序时,在宿主程序的不同位置放入特殊的感染标记。这些标记是一些数字串或字符串。不同病毒的病毒签名内容不同、位置不同。经过剖析病毒样本,掌握了病毒签名的内容和位置之后,可以在可疑程序的特定位置搜索病毒签名。如果找到了病毒签名,那么可以断定可疑程序中有病毒,是何种病毒。这种方法称为病毒签名检测方法。但是该方法必须预先知道病毒签名的内容和位置,要把握各种病毒的签名,必须解剖病毒。剖析一个病毒样本要花费很多时间,是一笔很大的开销。 (3)特征代码检测法
计算机病毒的传播方式以及应对方法
计算机病毒的传播方式以及应对方法 摘要:目前计算机的应用遍及到社会各个领域,同时计算机病毒也给我们带来了巨大的破坏力和潜在威胁,为了确保计算机系统能够稳定运行以及信息的安全性,了解计算机病毒的一些特征、传播方式及防范措施十分必要。 关键词:计算机病毒分类传播方式预防查杀 一、计算机病毒的定义: 一般来讲,凡是能够引起计算机故障,能够破坏计算机中的资源(包括软件和硬件)的代码,统称为计算机病毒。它通常隐藏在一些看起来无害的程序中,能生成自身的拷贝并将其插入其他的程序中,执行恶意的行动,其具有以下几个特点: 1、传染性。计算机病毒会通过各种渠道从被感染的计算机扩散到未被感染的计 算机,在某些情况下造成被感染计算机工作失常甚至瘫痪。 2、潜伏性。有些计算机病毒并不是一侵入机器就对机器造成破坏,它可能隐藏 在合法的文件中,静静的呆几周或者几个月甚至几年,具有很强的潜伏性,一旦时机成熟就会迅速繁殖、扩散。 3、隐蔽性。计算机病毒是一种具有很高编程技巧、短小精悍的可执行程序,如 不经过程序代码分析或计算机病毒代码扫描,病毒程序与正常程序很难区分开来。 4、破坏性。任何计算机病毒侵入到机器中,都会对系统造成不同程度的影响, 轻者占有系统资源,降低工作效率,重者数据丢失,机器瘫痪。 除了上述四个特点,计算机病毒还具有不可预见性、可触发性、衍生性、针对性、欺骗性、持久性等特点。正是由于计算机具有这些特点,给计算机病毒的预防、检测和清除工作带来了很大的麻烦。 二、计算机病毒的分类: 1、系统病毒。系统病毒的前缀为: Win32 、PE、Win95 、W3 2、W95 等。这种 病毒的公有的特性是可以感染windows操作系统的 *.exe 和 *.dll 文件,并通过这些文件进行传播。 2、蠕虫病毒。蠕虫病毒的前缀是:Worm 。这种病毒的公有特性是通过网络或者 系统漏洞进行传播,很大部分的蠕虫病毒都有向外发送带毒邮件,阻塞网络的特性。 3、木马病毒。木马病毒其前缀是:Trojan,它是一种会在主机上未经授权就自 动执行的恶意程序。木马病毒通过网络或者系统漏洞进入用户的系统并隐藏,然后向外界泄露用户的信息,对用户的电脑进行远程控制。 4、Arp病毒。Arp病毒也是一种木马病毒,它是对利用Arp协议漏洞进行传播的 一类病毒的总称。由于其在局域网中威胁比较大,所以单独列举一下。此病毒通过路由欺骗或网关欺骗的方式来攻击局域网,使用户电脑无法找到正确的网关而不能上网。 5、后门病毒。后门病毒的前缀是:backdoor。该类病毒的公有特性是通过网络 传播,给系统开后门,给用户电脑带来安全隐患。
计算机病毒原理及防范技术(精简版)
《计算机病毒原理及防范技术》----秦志光张凤荔刘峭著 43.8万字 第1章计算机病毒概述 1.1.1计算机病毒的起源----第一种为科学幻想起源说,第二种为恶作剧,第三种为戏程序(70年代,贝尔实验室,Core War), 第四种为软件商保护软件起源说。 1.计算机病毒的发展历史-----第一代病毒,传统的病毒, 第二代病毒(1989-1991年),混合型病毒(或“超级病毒”),采取了自我保护措施(如加密技术,反跟踪技术);第三代病毒(1992-1995年)多态性病毒(自我变形病毒)首创者Mark Washburn-----“1260病毒”;最早的多态性的实战病毒----“黑夜复仇者”(Dark Avenger)的变种MutationDark Avenger ;1992年第一个多态性计算机病毒生成器MtE,第一个计算机病毒构造工具集(Virus Construction Sets)----“计算机病毒创建库”(Virus Create Library), ”幽灵”病毒;第四代病毒(1996-至今),使用文件传输协议(FTP)进行传播的蠕虫病毒,破坏计算机硬件的CIH,远程控制工具“后门”(Bank Orifice),”网络公共汽车”(NetBus)等。 2.计算机病毒的基本特征----1.程序性(利用计算机软、硬件所固有的弱点所编制的、具有特殊功能的程序),2、传染性,3、隐蔽性(兼容性、程序不可见性)4、潜伏性(“黑色星期五”,“上海一号”,CIH),5、破坏性,6、可触发性,7、不可预见性,8、针对性,9、非授权可执行性,10、衍生性。 1.2.2.计算机病毒在网络环境下表现的特征------1.电子邮件成主要媒介(QQ,MSN等即时通讯软件,可移动存储设备,网页,网络主动传播,网络,“钓鱼”),2.与黑客技术相融合(“Nimda”,CodeRed,”求职信”),3.采取了诸多的自我保护机制(逃避、甚至主动抑制杀毒软件),4.采用压缩技术(压缩变形----特征码改变,压缩算法,“程序捆绑器”),5.影响面广,后果严重,6.病毒编写越来越简单,7.摆脱平台依赖性的“恶意网页”。 1.2.3.计算机病毒的生命周期----1.孕育期(程序设计,传播),2.潜伏感染期,3.发病期,4.发现期,5.消化期,6.消亡期。 第2章计算机病毒的工作机制 2.1.1计算机病毒的典型组成三大模块-----1.引导模块(将病毒引入计算机内存,为传染模块和表现模块设置相应的启动条件),2.感染模块(两大功能-----1.依据引导模块设置的传染条件,做判断;2启动传染功能), 3.表现模块(两大功能----依据引导模块设置的触发条件,做判断;或者说表现条件判断子模块 2.1启动病毒,即表现功能实现子模块) 2.2.1计算机病毒的寄生方式-----1.替代法(寄生在磁盘引导扇区);2.链接法(链接在正常程序的首部、尾部、或中间)。 2.2.2.计算病毒的引导过程-----1。驻留内存,2.获得系统控制权, 3.恢复系统功能。 2.4.1.计算机病毒的触发机制----1.日期,2.时间, 3.键盘 4.感染触发, 5.启动, 6.访问磁盘次数, 7.调用中断功能触发, 8.CPU型号/主板型号触发。 第三章计算机病毒的表现 3.1.计算机病毒发作前的表现----1.经常无故死机,操作系统无法正常启动,运行速度异常, 4.内存不足的错误, 5.打印、通信及主机接口发生异常, 6.无意中要求对软盘进行写操作, 7.以前能正常运行的应用程序经常死机或者出现非法错误, 8.系统文件的时、日期和大小发生变化, 9.宏病毒的表现现象,10、磁盘空间迅速减少,11.网络驱动器卷或者共享目录无法调用,陌生人发来的电子邮件,13.自动链接到一些陌生的网站。
最新整理计算机病毒如何检测
计算机病毒如何检测 计算机老是出现一些故障,很多人会怀疑是不是中毒了,但又不会检测,该怎么办呢?下面由学习啦小编 给你做出详细的计算机病毒检测方法介绍!希望对你有 帮助! 计算机病毒检测方法一提早发现病毒对计算机的防护是很重要的。早发现,早处置,可以减少损失。现在介绍几种检测病毒的方法,虽然方法不尽相同,但各具所长。特征代码法、校验和法、行为监测法、软件模拟法病毒特征代码检测法 特征代码检测是目前较为普遍的病毒检测方法,是通过检测工具(反病毒软件)置入已知病毒特征代码来 检测病毒,但对从未见过的新病毒,却无法检测。在技术上需要不断更新程序版本,升级病毒特征代码。 文件校验和法 将计算出系统正常文件内容的校验和进行保存。并定期检查文件的校验和与原来保存的校验和是否一致,从而发现文件是否感染病毒,这种方法叫文件校验和法。 它既可发现已知病毒又可发现未知病毒,能观测文
件的细微变化。但是这种方法常常误报警,原因是病毒感染并非文件内容改变的惟一的非他性,还有可能是正常程序引起的。文件校验和法不是最好的方法,它会影响文件的运行速度。不能识别病毒名称、不能对付隐蔽型病毒。 行为特征监测法 利用病毒的特有行为特征性来监测病毒的方法,称为行为监测法。通过对病毒长期观察,研究、识别出病毒行为共同性和特殊性。当系统运行时,监视其行为,如果有病毒行为,会立即发出警报。行为特征监测法可以发现未知病毒、能相当准确地预报未知的多数病毒。但可能导致误报、不能识别病毒名称。 软件模拟法 由此演绎为虚拟机上进行的查毒,启发式查毒技术等,是相对成熟的技术。 计算机病毒检测方法二 1.程序或文件是否修改注册表启动项; 2.是否将自身或文件写入系统目录; 3.是否访问外链,开放端口。 4.直接看文件就提示这可能是病毒,可能是360原
浅析马铃薯病毒检测技术
马铃薯是我国重要的粮食作物和经济作物,马铃薯在定西市种植也有200多年的历史,在保障全市粮食有效供给和繁荣城乡经济中发挥了十分重要的作用,已由过去的“救命粮”变成了现在的“致富薯”,是定西最具生产潜力、市场优势和开发前景的特色农产品,也是农业增效、农民增收的第一大优势产业。近年来,定西市委、市政府对马铃薯产业高度重视,作为全市农业和农村经济发展的战略性主导产业来扶持,制定了“全市马铃薯产业发展规划”,省上也制定下发了“关于进一步加快发展马铃薯产业的意见”,提出了工作思路和具体目标,促进了本市马铃薯产业的快速发展。2013年全市种植面积达到319.84万亩,总产量506万t,是全国三大马铃薯集中产区之一。但是由于定西经济条件落后,全市的马铃薯种薯的病毒检测并未随着种植面积的扩大而提高和普及,以至于马铃薯各种病每年在生长期发生,严重影响了全市马铃薯的产量和质量。马铃薯病毒已成为马铃薯生产中的重要制约因素,急需大力提高马铃薯种薯的病毒检测,为马铃薯产业的持续快速发展把好第一增长关。 马铃薯病毒检测包括:基础试管苗、马铃薯原原种、大田种薯的检测。严格的检测大大提高了种薯合格率,而种植合格的种薯,每亩可以提高产量500kg 以上。马铃薯的病毒有6种,分别是马铃薯X病毒(PVX)、马铃薯Y病毒(PVY)、马铃薯S病毒(PVS)、马铃薯A病毒(PVA)、马铃薯M病毒(PVM)、马铃薯卷叶病毒(PLRV)。目前最常用的马铃薯病毒检测是用双抗体夹心酶免疫吸附测定法(DAS-ELISA)检测,是用于快速、灵敏、准确的血清学技术,是国际通用的检测方法之一。下面就本市引进的“马铃薯病毒DAS-ELISA检测”全套生产技术进行浅述。 1马铃薯病毒的概况 1.1马铃薯X病毒(PVX) 也称普通花叶病毒,是一种长520~550nm的线状病毒,有时在电镜下能看到病毒颗粒的中心孔。在病毒外壳由亚基形成时,可看到它的横纹,这一点是与马铃薯重花叶病毒在形态结构上的主要区别。一般减产5%~10%,症状是叶片从轻型花叶到叶片有较轻的皱缩。马铃薯X病毒靠汁液传播,也是传播最广泛的一种病毒。 1.2马铃薯Y病毒(PVY) 也称重花叶病毒,是马铃薯第二个重要病毒性病害,是一种长680~900nm的线状病毒,在电镜下找不到它的中心孔和外壳蛋白亚基的横纹,它比PVX更细一些、更长一些。通过感染的块茎长期存在并由蚜虫非持续性地传播,产量损失可达80%。症状随着病毒株系、马铃薯品种及环境条件变化很大。1.3马铃薯A病毒(PVA) 又称轻花叶病毒,在许多方面类似于马铃薯Y病毒。在某些品种中出现时,一般比马铃薯Y病毒轻,产量损失可达40%。马铃薯A病毒引起花叶(有时很严重),同时也发生脉缩和卷曲,叶片可能出现闪光。 1.4马铃薯S病毒(PVS) 也称潜隐性花叶病毒,感病块茎变小,一般减产 浅析马铃薯病毒检测技术 景彩艳 (甘肃省定西市农产品质量安全监督管理站定西743000) 摘要:随着科学技术的不断发展,马铃薯病毒检测技术在日益的完善,DAS-ELISA法已经成为马 铃薯病毒检测的常规方法。容易侵染马铃薯的病毒类型主要有6种,分别是马铃薯的PVX、PVY、PLRV、PVS、PVM、PVA病毒。马铃薯在生长的过程中,因受到各种不同病害的侵染,容易造成减产 和退化。血清学技术是马铃薯病毒检测的主要手段。 关键词:马铃薯病毒;血清学技术;双抗体夹心酶联免疫吸附法 215 --
谈计算机病毒的检测
谈计算机病毒的检测 谈计算机病毒的检测 张莉1李佩臻2窦小楠2 (1、河南省测绘发展研究中心2、河南省基础地理信息中心)关键词:病毒计算机异常代码 1、常用检测方法 1.1、外观检测法:病毒侵入计算机系统后,会使计算机系统的某些部分发生变化,引起一些异常现象,如屏幕显示的异常现象、系统运行速度的异常、打印机并行端口的异常、通信串行口的异常等等。可以根据这些异常现象来判断病毒的存在,尽早地发现病毒,并作适当处理。外观检测法是最常用的病毒检测方法,它要求用户对计算机有相当的了解并有一定的经验,才可以较准确地发现病毒。 1.2、特征代码法:一种病毒可能感染很多文件或计算机系统的多个地方,而且在每个被感染的文件中,病毒程序所在的位置也不尽相同,但是计算机病毒程序一般都具有明显的特征代码,这些特征代码,可能是病毒的感染标记(一般由若干个英文字母和阿拉伯数字组成)。特征代码也可能是一小段计算机程序,它由若干个计算机指令组成。特征代码不一定是连续的,也可以用一些通配符或模糊代码来表示任意代码。只要是同一种病毒,在任何一个被该病毒感染的文件或计算机中,总能找到这些特征代码。 特征代码法的实现步骤:a.采集已知病毒样本,同一种病毒,当它感染一种宿主,就要采集一种样本,如果一种病毒既感染COM文件,又感染EXE文件以及引导区,就要同时采集COM型、EXE 型和引导区型3种病毒样本。b.在病毒样本中,抽取特征代码,依据如下原则:抽取的代码比较特殊,不大可能与普通正常程序代码吻合;抽取的代码要有适当长度,一方面维持特征代码的唯一性,另一方面又不要有太大的空间与时间的开销;在既感染COM文件又感染EXE文件的病毒样本中,要抽取两种样本共有的代码。c.将特征代码纳入病毒数据库。d.打开被检测文件,在计算机系统中搜索,检查计算机系统中是否含有病毒数据库中的病毒特征代码。如果发现病毒特征代码,由于特征代码与病毒一一对应,便可以断定被查文件中患有何种病毒。 特征代码检测的优点是检测准确、快速;可识别病毒的名称;误报警率低;根据检测结果,可准确杀毒。 1.3、检查常规内存数:计算机病毒在传染或执行时必然要占用一定的内存空间,并且通常在加载之后会驻留内存,等待时机进行感染或表现。病毒驻留到内存后,为防止DOS系统将其覆盖,一般都要修改系统数据区记录的系统内存数据或内存控制块中的数据,使得用户不能覆盖病毒占用的内存空间,因此,可通过检查内存的大小和内存中的数据来判断系统中是否有病毒。 通常有两种方法对常规内存数进行检查:a.查看系统内存的总量,与正常情况进行比较。b.检查系统内存高端的内容,判断其中的代码是否可疑。 1.4、系统数据对比法:a.检查硬盘的主引导扇区、DOS分区引导扇区、软盘的引导扇区、FAT表、 ·· 375
病毒鉴定的方法有哪些
病毒鉴定的方法有哪些? 从培养的细胞中分离病毒,然后采用免疫荧光和分子生物学技术进行病毒核酸检测已被成功地用于病毒的鉴定。目前最常用的病毒定量检测方法有以下三大类:用于病毒感染力检测的技术,如病毒空斑形成试验,半数组织培养感染剂量TCID50测定和免疫荧光等;病毒核酸和病毒蛋白检测技术,如实时定量多聚酶链反应(qPCR),免疫印迹,免疫沉淀,酶联免疫吸附测定(ELISA)和血凝试验等;还有就是那些直接对病毒颗粒进行计数的方法,如流式细胞分析或透射电镜技术。 病毒检测方法的局限性 病毒鉴定方法 1.培养细胞的显微学观察 材料和仪器 细胞生长培养基:含10% FBS(胎牛血清), 4-6 mM Glutamine(谷氨酰胺)的高葡萄糖DMEM,若有需要可加入青霉素,链霉素,庆大霉素,两性霉素等 维持培养基:上述新鲜的细胞培养基,但血清FBS浓度减少至为2% 宿主细胞:铺满单层细胞的8孔培养腔室玻片(chamber slides) PBS磷酸缓冲液 Bouin's固定液 吉姆萨(Giemsa)缓冲液 吉姆萨(Giemsa)染色液 丙酮,丙酮:二甲苯(2:1),丙酮:二甲苯(1:2),二甲苯 中性树胶 移液枪头(10 到100 微升) 移液管 生物安全柜(超净台) 二氧化碳培养箱 倒置显微镜
实验方案 接种宿主细胞至Chamber Slides:选择合适的细胞接种密度(比如8-孔Chamber Slides,接种30,000细胞/孔),培养基为细胞生长培养基(10%FBS-DMEM)。轻轻地前后左右摇晃chamber slides使细胞分布均匀。将细胞置培养箱培养过夜,第二天,显微镜下观察细胞确认细胞是否分布均匀并达到80%以上的融合度。 制备不同稀释度的病毒液:标记6支无菌离心管,第1管加入990 μl细胞生长培养基,剩下5管加入900μl细胞生长培养基。按以下方法进行梯度稀释:在第1管中加入10 μl 病毒原液(稀释度1:100)充分混匀,然后从第1管吸100 μl至第2管中混匀,依次类推,进行10倍梯度稀释。管1至管6的稀释度分别为10-3 到10-7。 感染细胞:吸去培养孔中的培养液,每孔加入0.5 mL维持培养液(2%FBS-DMEM),再加入100 μl不同稀释度(10-2 至10-7稀释)的病毒液至其中一孔,留一孔不加作为空白对照。将细胞置二氧化碳培养箱37oC 或34oC 培养1-4周,追踪观察致细胞病变效应(CPE)发生情况。 吉姆萨染色:一旦观察到细胞病变效应,轻轻地用PBS将细胞洗3次,每次5min,然后加入Bouin's固定液固定10 min。用吉姆萨缓冲液洗3次,然和加入Giemsa染液染色1 h,再用吉姆萨缓冲液清洗后依次用丙酮处理15s,2:1的丙酮-二甲苯处理30s,1:2的丙酮-二甲苯处理30s,最后用二甲苯处理10 min紧接着用中性树胶封片。显微镜下观察CPE,包涵体,细胞融合及病毒空泡形成情况。病毒感染细胞后形成的CPE图片范例可以在很多图谱,网站和博客上找到,例如ASM Microbe Library 2.免疫荧光(IF)检测方法 材料和仪器 细胞生长培养基:含10%FBS(胎牛血清), 4-6mM Glutamine(谷氨酰胺)的高葡萄糖DMEM,若有需要可加入青霉素,链霉素,庆大霉素,两性霉素等 宿主细胞:铺满单层细胞的8孔培养腔室玻片(chamber slides) PBS磷酸缓冲液 一抗 FITC标记的二抗 细胞核染料DAPI 5-4 %多聚甲醛(PFA,pH7.4),或者甲醇 移液枪头(10 到100 微升) 离心管 生物安全柜(超净台) 二氧化碳培养箱 荧光显微镜 实验方案 接种宿主细胞至Chamber Slides:选择合适的细胞接种密度(比如8-孔Chamber Slides,接种30,000细胞/孔),培养基为细胞生长培养基(10%FBS-DMEM)。轻轻地前后左右摇晃chamber slides使细胞分布均匀。将细胞置培养箱培养过夜,第二天,显微镜下观察细胞确认细胞是否分布均匀并达到80%以上的融合度。 病毒感染:每孔细胞加0.1 mL病毒储存液,留一孔不加作为阴性对照。将细胞放回CO2 培养箱,37°C 或34°C 培养48h。
病毒测试题
1、染上计算机病毒草的磁盘不可再使用,应“报废”。() A、正确; B、错误 2、发现计算机病毒后,较为彻底的清除方法是格式化磁盘。() A、正确; B、错误 3、计算机病毒是可以通过一定方法清除的。() A、正确; B、错误 4、计算机病毒是一种程序,通常它隐藏在() A、计算机的CPU中 B、计算机的内存储器中 C、磁盘的所有文件中 D、可执行文件中 5、计算机病毒的特性有() A、传染性 B、破坏性 C、潜伏性 D、针对性 6、下列属于杀毒软件的是() A、CIH B、DOS C、KV300 D、BIOS 7、安装杀毒软件后,计算机不会再被任何病毒传染了。() A、正确; B、错误 8、计算机病毒具有传染性、破坏性、针对性、变种性和潜伏性等特点。() A、正确; B、错误 9、计算机病毒可以通过软盘、光盘和计算机网络等途径传播。() A、正确; B、错误
10、下列关于计算机病毒的说法,哪种说法是不正确的() A、计算机病毒是人为制造的能对计算机安全产生重大危害的一种程序 B、计算机病毒具有传染性、破坏性、潜伏性和变种性等。 C、计算机病毒的发作只是破坏存储在磁盘上的数据 D、用管理手段和技术手段的结合能有效地防止病毒的传染。 11、给软盘加上写保护后,可以防止() A、数据丢失 B、读出数据出错 C、病毒入侵。 D、其他人拷贝文件 12、计算机感染上了病毒,可用下列哪个软件进行检查和清除() A、office B、dos C、kv300 D、wps 13、计算机病毒是一种人为设计的危害计算机系统的计算机程序。() A、正确; B、错误 14、计算机病毒是人为制造的、能对计算机系统起破坏作用的一组程序。() A、正确; B、错误 15、下面是有关计算机病毒的叙述,正确的是() A、计算机病毒的传染途径不但包括软盘、硬盘,还包括网络。 B、如果一旦被任何病毒感染,那么计算机都不能够启动 C、如果软盘加上了写保护,那么就一定不会被任何病毒感染 D、计算机一旦被病毒感染后,应马上用消毒液清洗磁盘 16、K V300杀病毒软件可以清除计算机内的所有病毒() A、正确; B、错误 17、计算机病毒具有潜伏性和变种性()
常见的计算机病毒
【安全】常见病毒类型说明及行为分析0点 1、目前杀毒厂商对恶意程序的分类 nbsp; 木马病毒:TROJ_XXXX.XX nbsp; 后门程序:BKDR_XXXX.XX nbsp; 蠕虫病毒:WORM_XXXX.XX nbsp; 间谍软件:TSPY_XXXX.XX nbsp; 广告软件:ADW_XXXX.XX nbsp; 文件型病毒:PE_XXXX.XX nbsp; 引导区病毒:目前世界上仅存的一种引导区病毒 POLYBOOT-B 2、病毒感染的一般方式 病毒感染系统时,感染的过程大致可以分为: 通过某种途径传播,进入目标系统 自我复制,并通过修改系统设置实现随系统自启动 激活病毒负载的预定功能如: 打开后门等待连接 发起DDOS攻击 进行键盘记录 发送带计算机使用记录电子邮件 2.1 常见病毒传播途径 除引导区病毒外,所有其他类型的病毒,无一例外,均要在系统中执行病毒代码,才能实现感染系统的目的。对毒,它们传播、感染系统的方法也有所不同。 nbsp; 计算机病毒传播方式主要有: ü电子邮件 ü网络共享 ü P2P 共享 ü系统漏洞 ü浏览网页 ü移动磁盘传播 ü打开带毒影音文件 2.1.1电子邮件传播方式 nbsp; HTML正文可能被嵌入恶意脚本, nbsp; 邮件附件携带病毒压缩文件 nbsp; 利用社会工程学进行伪装,增大病毒传播机会 nbsp; 快捷传播特性
例:WORM_MYTOB,WORM_STRATION等病毒 2.1.2 网络共享传播方式 nbsp; 病毒会搜索本地网络中存在的共享,包括默认共享 如ADMIN$ ,IPC$,E$ ,D$,C$ nbsp; 通过空口令或弱口令猜测,获得完全访问权限 病毒自带口令猜测列表 nbsp; 将自身复制到网络共享文件夹中 通常以游戏,CDKEY等相关名字命名 例:WORM_SDBOT 等病毒 2.1.3 P2P共享软件传播方式 nbsp; 将自身复制到P2P共享文件夹 通常以游戏,CDKEY等相关名字命名 nbsp; 通过P2P软件共享给网络用户 nbsp; 利用社会工程学进行伪装,诱使用户下载 例:WORM_PEERCOPY.A,灰鸽子等病毒 2.1.4 系统漏洞传播方式 nbsp; 由于操作系统固有的一些设计缺陷,导致被恶意用户通过畸形的方式利用后,可执行任意代码,这就是系统漏nbsp; 病毒往往利用系统漏洞进入系统,达到传播的目的。 nbsp; 常被利用的漏洞 – RPC-DCOM 缓冲区溢出(MS03-026) – Web DAV (MS03-007) – LSASS (MS04-011) – Internet Explorer 中的漏洞(MS08-078) –服务器服务中允许远程执行代码的漏洞(MS08-067) (Local Security Authority Subsystem Service) 例:WORM_MYTOB 、WORM_SDBOT等病毒 2.1.5 网页感染传播方式 主要是通过恶意脚本 网页感染传播方式是当前网络主要的传播方式,这种传播方式有以下几大优点: 1、代码灵活多变 利用直接的JAVA恶意脚本。 利用