《计算机病毒与防范》复习提纲

合集下载

计算机病毒基础知识与防范(第一章第八节)

传播方式
CIH病毒主要通过恶意网站、恶意邮件附件等途径传播。
防范措施
安装防病毒软件并保持更新，不随意打开未知来源的邮件和链接，定期备份重要数据，使用强密码和多因素身份验证。
THANKS FOR WATCHING
感谢您的观看
传播方式
Stuxnet病毒主要通过U盘、移动硬盘等途径传播。
防范措施
加强工业控制系统安全防护，定期更新系统和软件的补丁，限制U盘等移动存储设备的使用，加强员工安全意识培训。
案例四：CIH病毒
病毒描述
CIH是一种恶性病毒，主要通过感染Windows系统的可执行文件和Office 文档传播。该病毒会对感染的电脑进行破坏，导致系统崩溃和数据丢失。
防范措施：使用安全软件进行全面扫描；不随意点击未知链接和下载未知安全的软件；及时更新软件版本。
宏病毒
宏病毒是一种利用宏语言编写的计算机病毒，它主要感染Excel、Word等文档文件。宏病毒会在用户打开文档时自动复制并感染其他文档，导致文件损坏和数据丢失。
防范措施：禁用宏功能；使用防病毒软件进行全面扫描；不打开未知来源的文档。
潜伏性
计算机病毒可以在感染后隐藏起来，等待特定条件触发后才
发作。
计算机病毒的历史与发展
01
1987年，首个已知的计算机病毒C-Brain在IBM PC上出现。
02
随着互联网的普及，蠕虫病毒和木马病毒等新型病毒不断涌现。
03
近年来，随着移动设备的普及，手机病毒也成为新的威胁。
02 计算机病毒的类型与传播途径
VS
防范措施：使用防病毒软件进行全面扫描；定期清理系统垃圾文件；不随意下载未知安全的软件。
邮件病毒

计算机病毒防治（复习-3

计算机病毒防治（复习-31. 当主引导记录结束标志为( )时，表⽰该主引导记录是⼀个有效的记录，它可⽤来引导硬盘系统A. AA55HB. 80HC. 00HD. 4D5AH2. DOS系统加载COM⽂件时，指令指针IP的值被设置为( )A. 0000HB. 0100HC. 0200HD. FFFFH3. 根⽬录下的所有⽂件及⼦⽬录的FDT中都有⼀个⽬录项，每个⽬录项占⽤（）个字节，分为8个区域A. 12B. 22C. 32D. 424. DOS系统下，EXE⽂件加载时，IP寄存器的值设定为（）A. 0000HB. 0100HC. FFFFHD. EXE⽂件头中存储的初始IP值5. DOS系统启动⾃检通过后，则把硬盘上的主引导记录读⼊内存地址（），并把控制权交给主引导程序中的第⼀条指令A F000:0000H B.FFFF:0000H C. FFF0:FFFFH D. 0000:7C00H6. 下⾯关于病毒的描述不正确的是( )A. 病毒具有传染性B. 病毒能损坏硬件C. 病毒可加快运⾏速度D. 带毒⽂件长度可能不会增加7. ( )是感染引导区的计算机病毒常⽤的A. INT 13HB. INT 21HC. INT 24HD. INT 16H8. 我国⾸例的计算机病毒是( )A. ⿊⾊星期五B.中国炸弹病毒C. ⾬点病毒D. ⼩球病毒9. 计算机病毒是指( )A. 腐化的计算机程序B. 编制有错误的计算机程序C. 计算机的程序已被破坏D. 以危害系统为⽬的的特殊的计算机程序10. 危害极⼤的计算机病毒CIH发作的典型⽇期是( )A. 6⽉4⽇B. ４⽉1⽇C. 5⽉26⽇D. 4⽉26⽇11. 硬盘的分区表中，⾃检标志为( )表⽰该分区是当前活动分区，可引导A. AAHB. 80HC. 00HD. 55H12. 下列4项中，( ) 不属于计算机病毒特征A. 继承性B. 传染性C. 可触发性D. 潜伏性13. DOS系统组成部分中最后调⼊内存的模块是( )，它负责接收和解释⽤户输⼊的命令，可以执⾏DOS的所有内、外部命令和批处理命令A. 引导程序(BOOT)B. ROM BIOS模块C. 输⼊输出管理模块IO.SYSD. 命令处理/doc/8648c0d6aa00b52acfc7ca9c.html 模块14. 按计算机病毒寄⽣⽅式和感染途径分类，计算机病毒可分为（）A. 引导型、⽂件型、混合型B. DOS系统的病毒、Windows系统的病毒C. 单机病毒、⽹络病毒D. 良性病毒、恶性病毒15. 复合型病毒的传染⽅式既具有⽂件型病毒特点⼜具有系统引导型病毒特点，这种病毒的原始状态⼀般是依附在( )上A. 硬盘主引导扇区B. 硬盘DOS引导扇区C. 软盘引导扇区D. 可执⾏⽂件16. ⽂件型病毒传染.COM⽂件修改的是⽂件⾸部的三个字节的内容，将这三个字节改为⼀个( )指令，使控制转移到病毒程序链接的位置A. 转移B. 重启C. NOPD. HALT17. 当计算机内喇叭发出响声，并在屏幕上显⽰“Your PC is now stoned!”时，计算机内发作的是( )A. 磁盘杀⼿病毒B. 巴基斯坦病毒C. ⼤⿇病毒D. ⾬点病毒18. 程序段前缀控制块(PSP)，其长度为( )字节A. 100字节B. 200字节C. 256字节D. 300字节19. 引导型病毒的隐藏有两种基本⽅法，其中之⼀是改变BIOS中断( )的⼊⼝地址A. INT 9HB. INT 13HC. INT 20HD. INT 21H20. 宏病毒⼀般（）A. 存储在RTF⽂件中B. 存储在DOC⽂件中C. 存储在通⽤模版Normal.dot⽂件中D. 存储在内存中21. DOS系统中，中断向量的⼊⼝地址占( ) 个字节A. 8B. 4C. 2D. 122. 病毒占⽤系统程序使⽤空间来驻留内存的⽅式⼜称为( )A. 程序覆盖⽅法15. ⽂件型病毒⼀般存储在( )A. 内存B. 系统⽂件的⾸部、尾部或中间C. 被感染⽂件的⾸部、尾部或中间D. 磁盘的引导扇区9. 蠕⾍与病毒的最⼤不同在于它( )，且能够⾃主不断地复制和传播A. 不需要⼈为⼲预B. 需要⼈为⼲预C. 不是⼀个独⽴的程序D. 是操作系统的⼀部分10. DOS操作系统组成部分中( )的模块提供对计算机输⼊/输出设备进⾏管理的程序，是计算机硬件与软件的最底层的接⼝A. 引导程序B. ROM BIOS程序C. 输⼊输出管理程序D. 命令处理程序11. ⽂件型病毒传染.COM⽂件往往修改⽂件⾸部的三个字节，将这三个字节改为⼀个( )指令，使控制转移到病毒程序链接的位置A. MOVB. 转移C. NOPD. HALT12. 宏病毒⼀般（）A. 存储在PDF⽂件中B. 存储在DOC⽂件中C. 存储在通⽤模版Normal.dot⽂件中D. 存储在TXT⽂件中13. DOS系统中，中断向量的⼊⼝地址占( ) 个字节A. 8B. 2C. 4D. 614. 计算机病毒通常容易感染带有( )扩展名的⽂件A. TXT15. 病毒最先获得系统控制的是它的( )模块A. 引导模块B. 传染模块C. 破坏模块D. 感染条件判断模块1. 简述计算机病毒的结构组成及其作⽤。

《计算机病毒与防范》复习提纲.doc

一、单项选择题（本大题共10小题，每小题2分，共20分）在每小题列出的四个备选项中只有一个最符合题目要求，请将其代码填写在题后的括号内。

错选、多选或未选均无分。

B. 和没有生命的病毒相比，蠕虫是一种有繁殖能力的小虫子C. 蠕虫比病毒更经常删除注册表健值和更改系统文件D. 嚅虫更有可能损害被感染的系统4. 主要危害系统文件的病毒是（ B ）A. 文件型B.引导型C.网络病毒D.复合型5. 一般意义上，木马是（ D ） oA. 具有破坏力的软件B. 以伪装善意的面口出现，但具有恶意功能的软件C. 不断自我复制的软件D. 窃取用户隐私的软件6. 计算机病毒根据与被感染对象的关系分类，可分为（A ） oA. 引导区型、文件型、混合型B. 原码型、外壳型、复合型和网络病毒C. 寄生型、伴随型、独立型D. 良性型、恶性型、原码型和外壳型7. 下面哪种情况可能会成为远程执行代码的高危漏洞（）。

A. 原内存块的数据不可以被改写B. 存在根据原内存块中的数据盲接或间接地改变程序执行流程的代码C. 假冒知名网站D. 浏览器劫持8. 若岀现下列现象（ C ）时，应首先考虑计算机感染了病毒。

A. 不能读取光盘B.系统报告磁盘已满1. A. B. C.C/D ）的说法最准确地说明了对用户权限的限制有助于防范木马病毒。

如果用户没冇删除程序的权限，如果用户没冇删除程序的权限，如果用户没有安装程序的权限，如果用户没冇安装程序的权限，D. 2.和普通病毒相比，蠕虫最重要的特点是（A.蠕虫可以传播得更为广泛那么也就无法更改系统的安金设置那么也能删除杀毒软件和反木马病毒软件那么安装木马程序的可能性也将减少那么也就无法安装木马病毒程序C.程序运行速度明显变慢D.开机启动Windows 先扫描硬盘9. 按照目前比较普遍的分类方法，下面哪类软件不属于流氓软件（D ） oA.广告软件B.间谍软件及行为记录软件C.强制安装的恶意共享软件D.感染了宏病毒的Word 文件10. 以下方法中，不适用于检测计算机病毒的是（ C ） oA.特征代码法B.校验和法C.加壳D.软件模拟法二、多项选择题（本大题共10小题，每小题2分，共20分）在每小题的备选项中有多个选项符合题目要求，请将其代码填写在题后的括号内。

广技师-计算机病毒防治考试重点

第一章计算机病毒概述1.※计算机病毒定义计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用，并能自我复制的一组计算机指令或者程序代码。

2.※计算机病毒的特性破坏性传染性寄生性隐蔽性触发（潜伏）性3.※计算机病毒的发展趋势是什么？哪些病毒代表了这些趋势？病毒发展趋势：网络化专业化简单化多样化自动化犯罪化代表病毒：蠕虫、木马4. ※计算机病毒的主要危害直接危害：（1）病毒激发对计算机数据信息的直接破坏作用（2）占用磁盘空间和对信息的破坏（3）抢占系统资源（4）影响计算机运行速度（5）计算机病毒错误与不可预见的危害（6）计算机病毒的兼容性对系统运行的影响间接危害：（1）计算机病毒给用户造成严重的心理压力（2）造成业务上的损失（3）法律上的问题5. ※计算机病毒和医学上的病毒相似之处是什么？区别又是什么？相似之处：与生物医学上的病毒同样有寄生、传染和破坏的特性，因此这一名词是由生物医学上的“病毒”概念引申而来区别：不是天然存在，是某些人利用计算机软、硬件所固有的脆弱性，编制的具有特殊功能的程序。

6．（了解）木马病毒（闪盘窃密者、证券大盗、外挂陷阱、我的照片我正向外闪）7．※计算机病毒的命名规则1991年计算机反病毒组织(CARO)提出了一套命名规则，病毒的命名包括五个部分：•家族名•组名•大变种•小变种•修改者CARO规则的一些附加规则包括：•不用地点命名•不用公司或商标命名•如果已经有了名字就不再另起别名•变种病毒是原病毒的子类举例说明：精灵（Cunning）是瀑布（Cascade）的变种，它在发作时能奏乐，因此被命名为Cascade.1701.A。

Cascade是家族名，1701是组名。

因为Cascade病毒的变种的大小不一（1701, 1704, 1621等），所以用大小来表示组名。

A 表示该病毒是某个组中的第一个变种。

业界补充：反病毒软件商们通常在CARO命名的前面加一个前缀来标明病毒类型。

计算机病毒及其防治信息安全概论课件与复习提纲

而来。仅8日上午9时到10时的短短一个小时内，瑞星公司就接到用户的求助电话2815个，且30％为企业局域网用户，其中不乏大型企业局域网、机场、政府部门、银行等重要单位。9日，“震荡波” 病毒疫情依然没有得到缓解。
五月份的第一个星期（也就是“震荡波”迅速传播的时候），微软公司德国总部的热线电话就从每周400个猛增到3．5万个
母亲叫维洛妮卡，开了一个门面不算大的以电脑维护修理为主的电脑服务部。
几天前，为了庆祝他的生日，他在网上下载了一些代码。修改之后今天将它放到了Internet上面。
（3）传播
从5月1日这些代码开始在互联网上以一种“神不知鬼不觉” 的特殊方式传遍全球。“中招”后，电脑开始反复自动关机、重启，网络资源基本上被程序消耗，运行极其缓慢。
Windows95/98时代大名鼎鼎的CIH病毒
CIH作者陈盈豪
骇人听闻的女鬼病毒
恐怖的图片和音乐
Windows NT时代的白雪公主病毒
巨大的黑白螺旋占据了屏幕位置，使计算机使用者无法进行任何操作！
千年老妖病毒
使计算机反复的关机，每60秒一次
木马病毒和黑客程序的远程监控
席卷全球的NIMDA病毒
计算机程序也不例外，软件工程师们编写了大量的有用的软件（操作系统，应用系统和数据库系统等）的同时，黑客们在编写编写扰乱社会和他人的计算机程序，这些代码统称为恶意代码（Malicious Codes）。
恶意代码的相关定义
恶意代码类型计算机病毒
计算机蠕虫特洛伊木马逻辑炸弹
病菌用户级RootKit 核心级RootKit
定义
指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。

计算机病毒学期末考试复习要点

计算机病毒学期末考试复习要点第一篇：计算机病毒学期末考试复习要点计算机病毒学复习大纲“黑色星期五”在逢13号的星期五发作。

中国的“上海一号”在每年3月、6月及9月的13日发作。

CHI病毒：v1.2版本的发作日期是每年的4月26日，v1.3版本是每年的6月26号，v1.4版本是每月的26日。

Happytime（欢乐时光）病毒发作的条件是月份与日期之和等于13。

“求职信”病毒在单月的6日和13日发作。

（P3）根据寄生的数据存储方式计算机病毒可划分为三种类型：引导区型、文件型、混合型。

（P7）宏病毒是一种寄存于文档或模板的宏中的计算机病毒。

宏病毒一般用Visual Basic编写，是寄存在Microsoft Office文档上的宏代码。

（P12）PE文件：Protable Executable File Format（可移植的执行体）。

最有名的PE格式的病毒是CIH病毒。

（P31）VxD：虚拟设备驱动程序（P32）。

木马系统软件一般由：木马配置程序、控制程序和木马程序（服务器程序）3部分组成。

（P53）大多数特洛伊木马包括包括客户端和服务器端两个部分。

DDoS：分布式拒绝服务攻击。

“灰鸽子”是国内一款著名木马病毒。

（P57）蠕虫病毒通常由两部分组成：一个主程序和一个引导程序。

（P64）蠕虫病毒与普通病毒的区别：一般的病毒是寄生的，可以通过其指令的执行，将自己的指令代码写到其他程序体内，而被感染的文件就被称为“宿主”。

蠕虫一般不采取利用PE格式插入文件的方法，而是通过复制自身在Internet环境下进行传播。

病毒的传染能力主要是针对计算机内的文件系统而言，而蠕虫病毒的感染目标是Internet内的所有计算机。

（P65）几种典型的蠕虫病毒：“尼姆达”（nimda）病毒、“震荡波”病毒、“红色代码”病毒、“SCO炸弹”病毒、“斯文”病毒、“熊猫烧香”病毒。

（P66）“震荡波”病毒利用Windows的LSASS中存在一个缓冲区溢出漏洞进行攻击，监听TCP5554端口。

《计算机病毒》复习思考题及答案

《计算机病毒》复习思考题第一章计算机病毒概述1. 简述计算机病毒的定义和特征。

计算机病毒(Computer Virus)，是一种人为制造的、能够进行自我复制的、具有对计算机资源进行破坏作用的一组程序或指令集合。

计算机病毒的可执行性(程序性)、传染性、非授权性、隐蔽性、潜伏性、可触发性、破坏性、攻击的主动性、针对性、衍生性、寄生性(依附性)、不可预见性、诱惑欺骗性、持久性。

2. 计算机病毒有哪些分类方法？根据每种分类方法，试举出一到两个病毒。

3. 为什么同一个病毒会有多个不同的名称？如何通过病毒的名称识别病毒的类型？国际上对病毒命名的一般惯例为“前缀+病毒名+后缀”，即三元组命名规则。

1、系统病毒系统病毒的前缀为：Win32、PE、Win95、W32、W95等。

2、蠕虫病毒蠕虫病毒的前缀是：Worm。

3、木马病毒、黑客病毒木马病毒其前缀是：Trojan，黑客病毒前缀名一般为Hack 。

4、脚本病毒脚本病毒的前缀是：Script。

5、宏病毒其实宏病毒是也是脚本病毒的一种，由于它的特殊性，因此在这里单独算成一类。

宏病毒的前缀是：Macro。

6、后门病毒后门病毒的前缀是：Backdoor。

7、病毒种植程序病毒后门病毒的前缀是：Dropper。

这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下，由释放出来的新病毒产生破坏。

8．破坏性程序病毒破坏性程序病毒的前缀是：Harm。

这类病毒的公有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒便会直接对用户计算机产生破坏。

9．玩笑病毒玩笑病毒的前缀是：Joke。

10．捆绑机病毒捆绑机病毒的前缀是：Binder。

4. 简述计算机病毒产生的背景。

5. 计算机病毒有哪些传播途径？传播途径有两种，一种是通过网络传播，一种是通过硬件设备传播（软盘、U盘、光盘、硬盘、存储卡等）。

网络传播，又分为因特网传播和局域网传播两种。

硬件设备传播：通过不可移动的计算机硬件设备传播、通过移动存储设备传播、通过无线设备传播。

计算机病毒知识与防范

计算机病毒的主要来源
• 1．购买的软件光盘、优盘、软盘等带有病毒。 • 2．从别人机器通过磁盘拷贝文件到自己机器。 • 3．网上下载游戏、歌曲、电影、软件等等。 • 4．在局域网中相互拷贝文件，共享文件夹。 • 5．上网阅览网页时被病毒入侵。 • 6、电子邮件也传播病毒。
计算机病毒的传播途径
• 不可移动的计算机硬件设备这种传播途径是指利用专用集成电路芯片
是否具传染性:判别一个程序是否为病毒的最重要条件。
计算机病毒的传染性
再生病毒
CV 源病毒
CV
CV
CV
P1
P2
… Pn
直接传染方式
计算机病毒的传染性
再生病毒
源病毒 CV
CV CV
CV
…
P1
P2
Pn
间接传染方式
计算机病毒的隐蔽性
• 计算机病毒通常附在正常程序中或磁盘较隐蔽的地方，目的是不让用户发现它的存在。不经过程序代码分析或计算机病毒代码扫描，计算机病毒程序与正常程序是不容易区别开来的。一是传染的隐蔽性。二是计算机病毒程序存在的隐蔽性。
• 计算机病毒使用的触发条件主要有以下三种。
• (1) 利用计算机内的时钟提供的时间作为触发器，这种触发条件被许多计算机病毒采用，触发的时间有的精确到百分之几秒，有的则只区分年份。
• 例：CIH 病毒每年4月26日
• 2) 利用计算机病毒体内自带的计数器作为触发器，计算机病毒利用计数器记录某种事件发生的次数，一旦计数器达到某一设定的值，就执行破坏操作。
计算机病毒知识与防范
主要内容
• 一计算机病毒概述 • 二计算机病毒的防范、检测 • 三计算机木马及其防护 • 四与计算机病毒相关的一些知识

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

单项选择题（本大题共10小题，每小题2分，共20分）
在每小题列出的四个备选项中只有一个最符合题目要求，
请将其代码填写在题后的括号内。

错选、多选或未选均无分。

1．（C/D ）的说法最准确地说明了对用户权限的限制有助于防范木马病毒。

A．如果用户没有删除程序的权限，那么也就无法更改系统的安全设置
B. 如果用户没有删除程序的权限，那么也能删除杀毒软件和反木马病毒软件
C. 如果用户没有安装程序的权限，那么安装木马程序的可能性也将减少
D. 如果用户没有安装程序的权限，那么也就无法安装木马病毒程序
2．和普通病毒相比，蠕虫最重要的特点是（ A ）。

A. 蠕虫可以传播得更为广泛
B. 和没有生命的病毒相比，蠕虫是一种有繁殖能力的小虫子
C. 蠕虫比病毒更经常删除注册表健值和更改系统文件
D. 蠕虫更有可能损害被感染的系统
4．主要危害系统文件的病毒是（ B ）
A．文件型 B. 引导型 C. 网络病毒 D. 复合型
5．一般意义上，木马是（ D ）。

A. 具有破坏力的软件
B. 以伪装善意的面目出现，但具有恶意功能的软件
C. 不断自我复制的软件
D. 窃取用户隐私的软件
6．计算机病毒根据与被感染对象的关系分类，可分为（A ）。

A．引导区型、文件型、混合型
B．原码型、外壳型、复合型和网络病毒
C．寄生型、伴随型、独立型
D．良性型、恶性型、原码型和外壳型
7．下面哪种情况可能会成为远程执行代码的高危漏洞（）。

A. 原内存块的数据不可以被改写
B. 存在根据原内存块中的数据直接或间接地改变程序执行流程的代码
C. 假冒知名网站
D. 浏览器劫持
8．若出现下列现象（ C ）时，应首先考虑计算机感染了病毒。

A．不能读取光盘 B. 系统报告磁盘已满
C. 程序运行速度明显变慢
D. 开机启动Windows时，先扫描硬盘
9．按照目前比较普遍的分类方法，下面哪类软件不属于流氓软件（ D ）。

A．广告软件 B. 间谍软件及行为记录软件
C. 强制安装的恶意共享软件
D. 感染了宏病毒的Word文件
10．以下方法中，不适用于检测计算机病毒的是（ C ）。

A．特征代码法 B. 校验和法C．加壳 D. 软件模拟法
多项选择题（本大题共10小题，每小题2分，共20分）在每小题的备选项中有多个选项符合题目要求，请将其代码填写在题后的括号内。

错选、漏选、多选或不选均无分。

1．木马的网络入侵，从过程上看，包括以下入侵步骤（BD ）。

A. 扫描特定漏洞、绑带合法软件
B. 信息反馈、建立连接
C. 隐蔽自身、破坏文件
D. 传播木马、运行木马
2. PE文件的构成包括以下部分（ A B C D ）。

A. DOS MZ header和Dos stub
B. PE header
C. Section table
D. sections
3. 蠕虫病毒常用扫描策略包括（BC ）。

A. 转换列表扫描
B. 分治扫描
C. 选择性随机扫描
D. 系统特定文件扫描
4. 蠕虫程序的基本功能结构包括（BCD ）。

A. 进程注入模块
B. 扫描搜索模块
C. 传输模块
D. 攻击模块
5．计算机病毒的特征为（AB ）。

A．潜伏性、、传染性
B．非法性、隐藏性、破坏性
C．可预见性、复发性
D．可触发性、变异性、表现性
6．防范脚本病毒的安全建议是（ABD ）。

A．养成良好的上网习惯 B. 经常整理硬盘
C．发现病毒后将其清除 D. 安装合适的主流杀毒软件和个人防火墙
8．当前的防病毒软件可以（AC ）。

A. 自动发现病毒入侵的一些迹象并阻止病毒的入侵
B. 杜绝一切计算机病毒感染计算机系统
C. 在部分病毒将要入侵计算机系统时发出报警信号
D. 使入侵的所有计算机病毒失去破坏能力
9. 计算机漏洞的通用防护策略是（BCD ）。

A. 分治扫描
B. 调用者审核
C. 数据执行保护（DEP）
D. 自动备份
10．病毒高级代码变形技术有（ABCD ）。

A. 加壳
B. 代码重组
C. 寡型病毒
D. 多态变形病毒
填空题（本大题共5小题，每小题2分，共10分）请在每小题的空格中填上正确答案。

每空1分，错填、不填均无分。

1. 计算机病毒常用的反制技术包括了（禁止反病毒软件的运行）和（卸载反病毒软件的功能）。

2. （检测商用虚拟机）和（反-反病毒仿真技术）都是病毒常用的反动态分析、检测技术。

3. 目前防病毒软件产品普遍应用了一种称为启发式代码扫描的技术，这是一种基于（虚拟机）技术和（智能分析）手段的病毒检测技术。

4. 计算机病毒结构一般由（引导模块）、条件判断模块、（破坏表现模块）、传染模块、掩饰模块等组成。

判断题（本大题共5小题，每小题2分，共10分）判断是对的在括号内填√，是错的填×。

1.（√）计算机病毒程序传染的前提条件是随其它程序的运行而驻留内存。

2．（×）计算机病毒通常采用商用虚拟机检测技术以躲避静态分析。

（动态分析）4．（√）指令ADD EAX, 8可变换为等价指令LEA EAX, [EAX+8] 。

5．（×）“特洛伊木马”（Trojan Horse）程序是黑客进行IP欺骗的病毒程序。

简答题（本大题共5小题，每小题8分，共40分）
什么是网络钓鱼？网络钓鱼主要手段有哪几种？P10
答：网络钓鱼是一种利用Internet实施的网络诈骗，通过发送声称来自知名机构的欺骗性邮件及伪造web站点进行欺骗活动，以得到受骗者的个人信息，如信用卡账号密码等。

主要手段：a、利用电子邮件
b、利用木马程序
c、利用虚拟网址
d、假冒知名网站
e、利用即时通信消息攻击
f、综合钓鱼法
2．什么是启发式分析，启发式分析的基本原理是什么？
答：启发式分析是利用计算机病毒的行为特征，结合以往的知识和经验，对未知的可疑病毒进行分析与识别。

它的基本原理是通过对一系列病毒代码的分析，提取一种广谱特征码，即代表病毒的某一种行为特征的特殊程序代码，然后通过多种广谱特征码，综合考虑各种因素，确定到底是否病毒，是哪一种病毒。

什么是脚本病毒和WSH？二者是何关系？
答：脚本病毒：是指利用.asp、.html、.htm、.vbs、.js等类型文件进行传播的基于VB Script 和Java Script脚本语言并由Windows Scripting Host解释执行的一类病毒。

WSH：是Windows Scripting Host的缩写，含义为“Windows脚本缩主”。

它内嵌与Windows 操作系统中的脚本语言工作环境，主要负责脚本的解释和执行。

关系：WSH是脚本病毒的执行环境。

4. 什么是花指令？花指令有什么作用？
答：花指令指的是计算机病毒作者为了欺骗反汇编软件，迷惑分析人员，给分析人员增添障碍而在计算机代码中添加的看似有用，其实是一无是处的代码。

花指令的作用是：a、欺骗反汇编软件，使其显示不正确的反汇编结果；
b、干扰病毒分析人员，给分析工作添加障碍；
c、改变程序代码特征
5. 简述木马的定义、基本特征以及传播特性。

答：木马是指隐藏在正常程序中的一段具有特殊功能的恶意代码，具备破坏和删除文件、窃取密码、记录键盘、攻击等功能，会破坏用户系统甚至使用户系统瘫痪。

基本特征：隐藏性、自动运行性、欺骗性、自动恢复功能、自动打开特别的窗口、具备特殊功能。

传播特性：a、以邮件附件的形式传播；
b、通过QQ、ICQ等聊天工具软件传播；
c、通过提供软件下载的网盘（Web/FTP/BBS）传播；
d、通过一般的病毒和蠕虫传播；
e、通过带木马的磁盘和光盘传播。