计算机病毒复习资料
计算机病毒复习整理
第一章病毒定义、特征定义:计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
特征:传染性潜伏性可触发性破坏性破坏性体现对计算机数据信息的直接破坏,如引导区、FAT表等,甚至格式化硬盘等占用系统资源(内存、CPU时间等)干扰系统的正常工作(如显示不正常)删除、修改磁盘上的文件或毁坏整个系统对计算机硬件的破坏(CIH)盗版及泄露信息等网络病毒破坏网络系统病毒与正常程序区别①正常程序是具有应用功能的完整程序,以文件形式存在,具有合法文件名;而病毒一般不以文件的形式独立存在,一般没有文件名,它隐藏在正常程序和数据文件中,是一种非完整的程序;②正常程序依照用户的命令执行,完全在用户的意愿下完成某种操作,也不会自身复制;而病毒在用户完全不知的情况下运行,将自身复制到其他正常程序中,而且与合法程序争夺系统的控制权,甚至进行各种破坏。
分类:引导型病毒、文件型病毒、宏病毒、混合型病毒 引导型病毒病毒或病毒的部分程序潜入到硬盘或软盘的引导区,当系统启动时,先执行病毒程序,使系统带毒工作并伺机发作。
如大麻病毒。
文件型病毒它感染扩展名为.COM、.EXE、.OVL、.DOC等可执行文件或Word文档,当运行带病毒程序时,才将病毒带入内存中,之后,病毒传染扩充。
如耶路撒冷病毒。
混合型病毒这类病毒既传染磁盘引导区,又传染可执行文件。
如幽灵病毒。
宏病毒当打开带宏病毒的Word文当时即可发作。
病毒的发展过程、典型事例病毒的来源、产生的因素来源:(1)一些计算机爱好者出于好奇或兴趣(2)产生于个别人的报复心理(3)来源于软件加密(4)产生于游戏(5)用于研究或实验而设计的“有用”程序(6)由于政治经济和军事等特殊目的主要因素总体来说,计算机系统、因特网的脆弱性是产生计算机病毒的根本技术原因;计算机科学技术的不断进步,个人计算机的快速普及及应用是产生计算机病毒的加速器;人性心态与人的价值观念和法制的定位是产生计算机病毒的社会基础;基于政治、军事等方面的特殊目的是计算机病毒应用产生质变的催化剂。
计算机病毒复习题(最终修改不完整版)
2.选择题1.计算机病毒是(C)A.被损坏的程序B.硬件故障C.一段特制的程序D.芯片霉变2.计算机病毒的危害主要造成(D)A.磁盘破坏B.计算机用户的伤害C.CPU的损坏D.程序和数据的破坏3.新买回来的未格式化的软盘(A)A.可能会有计算机病毒B.与带病毒的软盘放在一起会有计算机病毒C.一定没有计算机病毒D.经拿过带病毒的软盘的手碰过后会感染计算机病毒4.计算机病毒一般由(ABCD)四大部分组成。
A.感染模块B.触发模块C.破坏模块D.引导模块E.执行模块5.计算机病毒生命周期中,存在(B)和(C)两种状态。
A.静态B.潜伏态C.发作态D.动态6.在Windows 32 位操作系统中,其EXE文件中的特殊表示为(B)A.MZB.PEC.NED.LE7.能够感染EXE、COM 文件的病毒属于(C)。
A.网络型病毒B.蠕虫型病毒C.文件型病毒D.系统引导型病毒8.著名特洛伊木马“网络神偷”采用的隐藏技术是(A)A.反弹式木马技术B.远程线程插入技术C.ICMP协议技术D. 远程代码插入技术9.下列(B)不是常用程序的默认端口。
A.80B.8080C.23D.219.第一个真正意义的宏病毒起源于(A)应用程序。
A. WordB. Lotus 1-2-3C. ExcelD. PowerPoint10.总结移动终端的恶意代码感染机制,其感染途径主要分为(ABC)A.终端—终端B.终端—网关—终端C.PC(计算机)—终端 D .终端—PC11.移动终端的恶意代码的攻击方式分为(ABCDE)A.短信息攻击B.直接攻击手机C.攻击网关D.攻击漏洞E.木马型恶意代码12.下列病毒中(C)计算机病毒不是蠕虫病毒。
A.冲击波B.震荡波C. CIHD.尼姆达13.蠕虫和从传统计算机病毒的区别主要体现在(B)上。
A.存在形式B.传染机制C.传染目标D.破坏方式14.多数流氓软件具有的特征是(ABCD)A.强迫安装B.无法卸载C.干扰使用D.病毒和黑客特征15.从技术角度讲,数据备份的策略主要包括(ACD)A.完全备份B.差别备份C.增量备份D.差分备份16.下列描述不正确的是(B)A.不存在能够防治未来的所有病毒的发病毒软、硬件B.现在的杀毒软件能够查杀未知病毒C.病毒产生在前,反病毒手段相对滞后D.数据备份是防治数据丢失的重要手段1.填空题(1)计算机病毒是编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。
《计算机病毒与防范》复习提纲.doc
一、单项选择题(本大题共10小题,每小题2分,共20分) 在每小题列出的四个备选项中只有一个最符合题目要求, 请将其代码填写在题后的括号内。
错选、多选或未选均无分。
B. 和没有生命的病毒相比,蠕虫是一种有繁殖能力的小虫子C. 蠕虫比病毒更经常删除注册表健值和更改系统文件D. 嚅虫更有可能损害被感染的系统4. 主要危害系统文件的病毒是( B )A. 文件型B.引导型C.网络病毒D.复合型5. 一般意义上,木马是( D ) oA. 具有破坏力的软件B. 以伪装善意的面口出现,但具有恶意功能的软件C. 不断自我复制的软件D. 窃取用户隐私的软件6. 计算机病毒根据与被感染对象的关系分类,可分为(A ) oA. 引导区型、文件型、混合型B. 原码型、外壳型、复合型和网络病毒C. 寄生型、伴随型、独立型D. 良性型、恶性型、原码型和外壳型7. 下面哪种情况可能会成为远程执行代码的高危漏洞()。
A. 原内存块的数据不可以被改写B. 存在根据原内存块中的数据盲接或间接地改变程序执行流程的代码C. 假冒知名网站D. 浏览器劫持8. 若岀现下列现象( C )时,应首先考虑计算机感染了病毒。
A. 不能读取光盘B.系统报告磁盘已满1. A. B. C.C/D )的说法最准确地说明了对用户权限的限制有助于防范木马病毒。
如果用户没冇删除程序的权限, 如果用户没冇删除程序的权限,如果用户没有安装程序的权限, 如果用户没冇安装程序的权限,D. 2.和普通病毒相比,蠕虫最重要的特点是(A.蠕虫可以传播得更为广泛那么也就无法更改系统的安金设置 那么也能删除杀毒软件和反木马病毒软件 那么安装木马程序的可能性也将减少 那么也就无法安装木马病毒程序C.程序运行速度明显变慢D.开机启动Windows 先扫描硬盘9. 按照目前比较普遍的分类方法,下面哪类软件不属于流氓软件(D ) oA.广告软件B.间谍软件及行为记录软件C.强制安装的恶意共享软件D.感染了宏病毒的Word 文件10. 以下方法中,不适用于检测计算机病毒的是( C ) oA.特征代码法B.校验和法C.加壳D.软件模拟法二、多项选择题(本大题共10小题,每小题2分,共20分)在每小题的备选 项中有多个选项符合题目要求,请将其代码填写在题后的括号内。
计算机病毒知识与防治学习资料
计算机病毒知识与防治学习资料一.什么是计算机病毒“计算机病毒”为什么叫做病毒。
首先,与医学上的“病毒”不同,它不是天然存在的,是某些人利用计算机软、硬件所固有的脆弱性,编制具有特殊功能的程序。
其能通过某种途径潜伏在计算机存储介质(或程序)里,当达到某种条件时即被激活,它用修改其他程序的方法将自己的精确拷贝或者可能演化的形式放入其他程序中,从而感染它们,对计算机资源进行破坏的这样一组程序或指令集合。
1994年2月18日,我国正式颁布实施了《中华人民共和国计算机信息系统安全保护条例》,在《条例》第二十八条中明确指出:“计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
”二.病毒起源1983年11月3日,弗雷德·科恩(FRED COHEN) 博士研制出一种在运行过程中可以复制自身的破坏性程序,伦·艾德勒曼(LEN ADLEMAN) 将它命名为计算机病毒(COMPUTER VIRUSES),并在每周一次的计算机安全讨论会上正式提出,8 小时后专家们在VAX11/750 计算机系统上运行,第一个病毒实验成功,一周后又获准进行5个实验的演示,从而在实验上验证了计算机病毒的存在。
1986年初,在巴基斯坦的拉合尔(LAHORE),巴锡特(BASIT) 和阿姆杰德(AMJAD) 两兄弟经营着一家IBM-PC 机及其兼容机的小商店。
他们编写了PAKISTAN 病毒,即BRAIN。
在一年内流传到了世界各地。
1988 年3 月2 日,一种苹果机的病毒发作,这天受感染的苹果机停止工作,只显示“向所有苹果电脑的使用者宣布和平的信息”。
以庆祝苹果机生日。
1988年11 月2 日,美国六千多台计算机被病毒感染,造成INTERNET不能正常运行。
这是一次非常典型的计算机病毒入侵计算机网络的事件,迫使美国政府立即做出反应,国防部成立了计算机应急行动小组。
计算机病毒学期末考试复习要点
计算机病毒学期末考试复习要点第一篇:计算机病毒学期末考试复习要点计算机病毒学复习大纲“黑色星期五”在逢13号的星期五发作。
中国的“上海一号”在每年3月、6月及9月的13日发作。
CHI病毒:v1.2版本的发作日期是每年的4月26日,v1.3版本是每年的6月26号,v1.4版本是每月的26日。
Happytime(欢乐时光)病毒发作的条件是月份与日期之和等于13。
“求职信”病毒在单月的6日和13日发作。
(P3)根据寄生的数据存储方式计算机病毒可划分为三种类型:引导区型、文件型、混合型。
(P7)宏病毒是一种寄存于文档或模板的宏中的计算机病毒。
宏病毒一般用Visual Basic编写,是寄存在Microsoft Office文档上的宏代码。
(P12)PE文件:Protable Executable File Format(可移植的执行体)。
最有名的PE格式的病毒是CIH病毒。
(P31)VxD:虚拟设备驱动程序(P32)。
木马系统软件一般由:木马配置程序、控制程序和木马程序(服务器程序)3部分组成。
(P53)大多数特洛伊木马包括包括客户端和服务器端两个部分。
DDoS:分布式拒绝服务攻击。
“灰鸽子”是国内一款著名木马病毒。
(P57)蠕虫病毒通常由两部分组成:一个主程序和一个引导程序。
(P64)蠕虫病毒与普通病毒的区别:一般的病毒是寄生的,可以通过其指令的执行,将自己的指令代码写到其他程序体内,而被感染的文件就被称为“宿主”。
蠕虫一般不采取利用PE格式插入文件的方法,而是通过复制自身在Internet环境下进行传播。
病毒的传染能力主要是针对计算机内的文件系统而言,而蠕虫病毒的感染目标是Internet内的所有计算机。
(P65)几种典型的蠕虫病毒:“尼姆达”(nimda)病毒、“震荡波”病毒、“红色代码”病毒、“SCO炸弹”病毒、“斯文”病毒、“熊猫烧香”病毒。
(P66)“震荡波”病毒利用Windows的LSASS中存在一个缓冲区溢出漏洞进行攻击,监听TCP5554端口。
2024年度计算机病毒知识与防治学习资料
03
谨慎下载和安装插件
在下载和安装插件时要选择可 信赖的来源,并仔细阅读相关
说明和权限要求。
04
配置安全选项
根据实际需求配置应用软件的 安全选项,如启用防病毒扫描
、限制文件下载等。
2024/2/3
14
网络通信安全保障方法
使用安全的网络连接
避免使用公共无线网络进行敏感信息的传输,尽 量使用加密的VPN等安全连接方式。
遵循操作指南
按照清除工具的操作指南进行操作, 确保清除过程的安全和有效。
18
手动清除技巧分享
识别病毒文件
通过任务管理器、系统日志等方式识别 病毒文件和相关进程。
删除病毒文件
使用命令行或文件管理器删除病毒文件 和相关注册表项。
2024/2/3
终止病毒进程
在安全模式下终止病毒进程,防止病毒 自我复制或破坏系统文件。
15
04
计算机病毒检测与清除技 术2024/2/316
常见检测方法介绍及原理剖析
特征代码法
通过搜索病毒的特征代码来判 断病毒是否存在,原理是每种 病毒都有其独特的代码序列。
2024/2/3
校验和法
通过计算文件的校验和并与原 始值比较,判断文件是否被篡 改,从而检测病毒。
行为监测法
利用病毒的行为特征(如自我 复制、修改系统文件等)进行 监测和判断。
防范网络钓鱼攻击
提高警惕,不轻易点击可疑链接或下载未知来源 的附件,避免泄露个人信息或感染恶意软件。
2024/2/3
配置安全的网络参数
确保网络设备(如路由器、交换机等)的安全设 置得到合理配置,如关闭不必要的端口和服务、 启用访问控制列表(ACL)等。
定期备份数据
《计算机病毒》复习思考题及答案
《计算机病毒》复习思考题第一章计算机病毒概述1. 简述计算机病毒的定义和特征。
计算机病毒(Computer Virus),是一种人为制造的、能够进行自我复制的、具有对计算机资源进行破坏作用的一组程序或指令集合。
计算机病毒的可执行性(程序性)、传染性、非授权性、隐蔽性、潜伏性、可触发性、破坏性、攻击的主动性、针对性、衍生性、寄生性(依附性)、不可预见性、诱惑欺骗性、持久性。
2. 计算机病毒有哪些分类方法?根据每种分类方法,试举出一到两个病毒。
3. 为什么同一个病毒会有多个不同的名称?如何通过病毒的名称识别病毒的类型?国际上对病毒命名的一般惯例为“前缀+病毒名+后缀”,即三元组命名规则。
1、系统病毒系统病毒的前缀为:Win32、PE、Win95、W32、W95等。
2、蠕虫病毒蠕虫病毒的前缀是:Worm。
3、木马病毒、黑客病毒木马病毒其前缀是:Trojan,黑客病毒前缀名一般为Hack 。
4、脚本病毒脚本病毒的前缀是:Script。
5、宏病毒其实宏病毒是也是脚本病毒的一种,由于它的特殊性,因此在这里单独算成一类。
宏病毒的前缀是:Macro。
6、后门病毒后门病毒的前缀是:Backdoor。
7、病毒种植程序病毒后门病毒的前缀是:Dropper。
这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下,由释放出来的新病毒产生破坏。
8.破坏性程序病毒破坏性程序病毒的前缀是:Harm。
这类病毒的公有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒便会直接对用户计算机产生破坏。
9.玩笑病毒玩笑病毒的前缀是:Joke。
10.捆绑机病毒捆绑机病毒的前缀是:Binder。
4. 简述计算机病毒产生的背景。
5. 计算机病毒有哪些传播途径?传播途径有两种,一种是通过网络传播,一种是通过硬件设备传播(软盘、U盘、光盘、硬盘、存储卡等)。
网络传播,又分为因特网传播和局域网传播两种。
硬件设备传播:通过不可移动的计算机硬件设备传播、通过移动存储设备传播、通过无线设备传播。
计算机期末复习题计算机病毒
计算机期末复习题计算机病毒计算机期末复习题:计算机病毒计算机病毒是指一种能够自动复制并且传播到其他计算机上的计算机程序,其目的是破坏、修改或者盗取计算机数据。
对于计算机安全的学习和了解,计算机病毒始终是一个重要的话题。
本文将回顾计算机病毒的定义、特征、传播方式以及如何防范计算机病毒等内容,帮助读者更好地复习计算机期末考试。
一、计算机病毒的定义和特征1. 定义:计算机病毒是一种能够自我复制和传播的恶意软件。
它通常隐藏在其他正常的计算机程序中,并在不被察觉的情况下感染计算机系统。
2. 特征:计算机病毒具有以下几个特征:a) 自我复制:计算机病毒能够自我复制并传播给其他计算机或文件系统。
b) 恶意行为:计算机病毒具有破坏、修改、删除或获取计算机数据的能力。
c) 隐蔽性:计算机病毒会试图隐藏自己,使用户难以发现其存在。
d) 依赖性:计算机病毒依赖于宿主文件或计算机系统才能进行传播和执行恶意行为。
二、计算机病毒的传播方式计算机病毒可以通过多种方式传播,以下是几种常见的传播途径:1. 可执行文件感染:病毒将自身代码嵌入到可执行文件中,当用户执行这些文件时,病毒会激活并感染其他文件。
2. 电子邮件附件:病毒利用电子邮件的附件来传播自己,一旦用户打开或下载附件,病毒就会感染计算机系统。
3. 可移动存储介质感染:病毒将自己复制到U盘、移动硬盘等可移动存储介质中,当用户插入感染的介质时,病毒会自动传播到计算机系统。
4. 网络传播:病毒通过互联网进行传播,利用漏洞、弱密码等方式侵入其他计算机系统,并在其中复制和传播自己。
三、如何防范计算机病毒为了保护计算机和数据安全,我们需要采取以下措施来防范计算机病毒:1. 安装杀毒软件:选择一款可信赖的杀毒软件,并及时更新病毒库。
杀毒软件能够帮助检测和清除计算机病毒。
2. 避免点击可疑链接:在互联网上,避免点击来自不明来源的链接,尤其是通过电子邮件、社交网络等途径传来的链接。
3. 谨慎打开附件:对于来自陌生人或者不信任的邮件附件,尽量不要打开或者下载,确保附件的安全性。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第一章1.计算机病毒的定义:计算机病毒是一种人为制造、能够进行自我复制的,具有对计算机资源的破坏作用的一组程序或指令的集合。
2.计算机病毒的特征与本质:(大概了解)特性:自我复制能力,很强的感染性,一定的潜伏性,特定的触发性,很大的破坏性。
首先其本质是程序,而且是具有传染性的程序,也即可以反复执行或复制的程序3.计算机病毒的分类:按寄生对象分为引导型病毒,文件型病毒和混合型病毒。
4根据计算机病毒的命名:(1)给出病毒的名字,说明根据什么命名(通用命名规则)a 按病毒的发作时间命名如:“黑色星期五”(某月的13号且周五);米开朗基罗病毒(3.6 米开朗基罗生日)b 按病毒发作症状命名如:“小球”病毒,“火炬”病毒,“浏阳河”病毒(9.9浏阳河,12.26 东方红)等:c 按病毒的传染方式命名如:黑色星期五病毒又名为疯狂拷贝病毒(感染.exe时对文件标记做了错误判断而反复感染)d 按病毒自身宣布的名称或包含的标志命名CIH病毒的命名源于其含有“CIH”字符(陈盈豪)e 按病毒的发现地命名如“黑色星期五”又称为Jerusalem(耶路撒冷)病毒f 按病毒的字节长度命名如黑色星期五病毒又称作1813病毒(2)估计标准命名方法(三元组命名法则)计算机病毒英文命名规则也就是国际上对病毒民命的一般惯例为“前缀+病毒名+后缀”,即三元组命名规则。
三元组中“病毒名”的命名优先级为:病毒的发现者(或制造者)→病毒的发作症状→病毒的发源地→病毒代码中的特征字符串5.描述几种计算机病毒的危害6.描述几种计算机病毒的症状(表现)7.描述几种计算机病毒的传播方式(1)通过不可移动的计算机硬件设备进行传播(2)通过移动存储设备来传播(3)通过网络传播的方式(4)通过无线通讯系统传播8.描述计算机病毒的生命周期(1)计算机病毒的产生过程可分为:程序设计→传播→潜伏→触发、运行→实施攻击(2)计算机病毒是一类特殊的程序,也有生命周期开发期、传染期、潜伏期、发作期、发现期、消化期、消亡期第二章1.硬盘结构:对磁介质的处理分为3个过程低级格式化(物理格式化,低格):可以寻址,即将盘面划分成磁道、柱面和扇区分区:是管理系统指导硬盘有哪些域可以使用。
高级格式化(逻辑格式化,高格):建立存储系统。
在分区内建立分区引导记录DBR、文件分配表FAT、文件目录表FDT和数据区DA TA。
2.寻址方式(1)CHSa)柱面(Cylinder),磁头(Heuder),扇区(Sector)b)Cmax=1023,Hmax=255,Smax/磁道=63,且每个扇区一般为512字节。
(2)现代改用等密度结构生产硬盘,外圈磁道的扇区比内圈磁道多。
以扇区位单位进行殉职,即线性寻址LBA(Logic Block Address)。
3.INT 13H调用的是BIOS提供的磁盘基本输入输出中断调用4.硬盘数据结构(1)一个一个硬盘最多可以划分为四个主分区,磁盘中可以作为分区表的只有64个字节,每个主分区的参数需要占16个字节。
(2)分区以柱面为单位进行,不允许跨柱面,即不可把一个柱面分到不同的分区中。
(3)主引导记录(Master Boot Record,MBR)、磁盘分区表(Disk Partition Table,DPT)。
分区引导记录(DOS Boot Record,DBR),文件分配表(File Allocation Table,FAT)、文件目录标表(File Directory Table,FDT)(4)MBR的作用只用于寻找活动问去,并从活动分区装载系统引导程序(启动系统)。
5.文件系统(1)FAT:文件分配表(2)FAT12、16、32区别:即文件分配表的位数不同,位数不同,可记录的文件数不同。
(3)FAT:系统以簇为文件存储的基本单位。
(4)剩余扇区:无法成为一个簇(不够一个簇)的那些扇区。
(5)保留扇区(有时候也称作系统扇区,隐藏扇区),是指从分区DBR扇区开始的仅为系统所有的扇区。
6.计算机的启动过程(了解)7.中断(1)定义、分类(2)中断向量、中断向量表(要知道)。
中断向量表(Interrupt Vectors):保存着系统所有中断服务程序的入口地址(偏移量和段地址)的线性表。
中断向量表占用内存最低端0000H到03FEH的1KB的地址空间,存放256个元素即远指针(中断向量),编号从00到255(00~FFH)。
每一中断向量的入口地址占4字节,高2字节存放中断向量的段地址,低2字节存放中断向量的偏移地址。
(3)确定中断所在的物理地址的方法:根据终端类型号(中断向量号)计算中断向量入口地址在中断向量表中的偏移:偏移=中断类型号×4将其装入IP和CS;由此则确定中断的物理地址:物理地址=段地址×16+偏移地址8.内存管理在保护模式下的所有应用程序都具有权限级别。
按优先次序,PL分为四等:0级、1级、2级、3级;其中0级权限最高,3级最低、9.EXE文件的格式(结合PPT)(1)PE文件:*.EXE、*.DLL、*.OCX,(2) PE文件结构:可选映像头---数据目录表-----导出目录、导入目录第三章:病毒的逻辑结构与基本控制1、计算机病毒的状态。
(1)计算机病毒在传播过程中存在两种状态:静态和动态。
(2)内存中的动态病毒又有两种状态:》可激活态:◆当内存中的病毒代码能够被系统的正常运行机制所执行时,动态病毒就处于可激活态。
◆一般而言,动态病毒都是可激活的。
》激活态:◆系统正在执行病毒代码时,动态病毒处于激活态◆病毒处于激活态时,不一定进行传染和破坏;但进行传染和破坏时,必然处于激活态。
(3)失活态:病毒代码在内存中,但不可能被执行的状态。
如:通过修改中断进行病毒传播和感染的病毒在中间向量表恢复后的状态即为失活态4.计算机病毒的基本结构(1)感染标志用来标记当前文件是否被感染。
(2)基本模块:引导、感染、破坏、触发。
5.计算机病毒的三个基本机制:引导、传染(传播)、触发6.简述计算机病毒引导模块的基本动作是:◆检查运行的环境,如确定操作系统类型,内存容量,现行区段、磁盘设置、显示器类型等参数。
◆将病毒引入内存,使病毒处于动态,并保护内存中的病毒代码不被覆盖◆设置病毒的激活条件和触发条件,是病毒处于可激活态,以便病毒被激活后根据满足的条件调用感染模块或破坏表现模块。
7.计算机病毒的传播机制(1)感染条件控制病毒的感染动作、控制病毒感染的频率。
(2)键鼠病毒主动传染的传播过程:◆在系统运行时,病毒通过病毒载体即系统的外存储器进入系统的内存储器,常驻内存,并在系统内存中监视系统的运行。
◆在病毒引导模块将病毒传染模块驻留内存的过程中,通常还要修改系统中断向量入口地址,使该中断向量指向病毒程序传染模块。
◆一旦系统执行磁盘读写操作或系统功能调用,病毒传染模块就被激活,传染模块在判断传染条件满足的条件下,把病毒自身传染给被读写的磁盘或被加载的程序。
(3)文件型病毒的感染方式主要有:》寄生感染(最常用,要掌握)》无入口点感染》滋生感染》链式感染》OBJ、LIB和源码的感染寄生感染最常用的感染方式。
*****************************************************(被动触发),感染触发(感染文件个数、感染序数、感染磁盘数、感染失败触发),启动触发(将计算机的启动次数作为触发条件),访问磁盘次数/调用中断功能触发,CPU型号/主板型号触发,打开或预览Email附件触发,随机触发。
9.计算机病毒的破坏机制第四章DOS病毒的基本原理与DOS病毒分析1.重定位2.引导型病毒(1)驻留内存、隐形、加密技术。
(2)时限内存主流的基本原理。
(3)引导型病毒触发的基本过程3.文件型病毒4.混合型病毒第五章Windows病毒分析(一)PE病毒1.属于PE文件的是:*.EXE、*.DLL、*.OCX等2.PE病毒需要具有的功能。
重定位获取API函数地址搜索感染目标文件内存文件映射实施感染等3.简述计算机病毒获取API函数地址的方法【马悦大脑袋挡住了,后面没有】(1)获取kernel32基地址方法:方法1:利用程序的返回地址,在其附近搜索Kernel32模块基地址(读程序,分析程序的意义,可填空;填写程序注释)mov eax ,[esp+10h];这里的esp+10h是不定的,主要看从程序第一条指令执行到这里有多少push操作,如果设为N个push,则这里的指令就是mov edi,[esp+N*4h]and eax, 0F000h ;使取回的地址是4096的整数倍mov esi, eaxLoopFindKernel32:sub esi, 1000h ;内存中节的对齐粒度,每节都从4096的整数倍开始cmp word ptr[esi], ‘ZM’ ;搜索EXE文件头,不等ZF=0,相等ZF=1jnz short LoopFindKernel32 ;不为EXE头,则继续寻找GetPeHeader:movzx edi, word ptr[esi+3ch] ;以下过程为验证过程。
找到从DOS头部开始的3c 偏移处,即记录‘pe’所在的地址;add edi, esi ;定位PE所在的地址cmp word ptr[edi], ’EP’ ;查看该地址处是否为PEjnz short LoopFindKernel32 ;若不为PE,则继续寻找,说明上次找到的ZM处为偶然,而不为真正的DOS头。
mov vKernel32[ebp],esi ;若相应地址上为PE,则前面地址为Kernel32基地址。
(2)获取API函数地址(P188)A 已知序数号(是惟一指定DLL中某个函数的16位数字,在所指向的DLL中是独一无二的;索引号=序数号-基数(PE引出节中的Base值))B 已知函数名(AddressOfNames:函数名字数组;AddressOfNameOrdinals:函数名字所对应的索引号数组;上述两个数组是一一对应的)4.文件搜索方法5.内存映射文件6.PE病毒感染文件的常用方法。
在PE文件中插入新节将自己分散插入到每个节的空隙中。
7.假设PE病毒通过在宿主文件中插入新节来感染文件,简述其感染文件的基本步骤。
(1)判断目标文件开始的两个字节是否为“MZ”;(2)判断PE文件标记“PE”;(3)判断感染标记,如果已被感染过则跳出继续执行宿主程序,否则继续。
(4)获得Directory(数据目录)的个数,每个数据目录信息占8字节【看不清,从书上找的】(5)在该位置写入(病毒)节表(6)写入感染标记;(7)写入病毒代码到新添加的节中(8)将当前文件位置设为文件末尾8.CIH病毒:第一个攻击计算机硬件的病毒。