计算机病毒复习资料
计算机病毒复习整理
第一章病毒定义、特征定义:计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
特征:传染性潜伏性可触发性破坏性破坏性体现对计算机数据信息的直接破坏,如引导区、FAT表等,甚至格式化硬盘等占用系统资源(内存、CPU时间等)干扰系统的正常工作(如显示不正常)删除、修改磁盘上的文件或毁坏整个系统对计算机硬件的破坏(CIH)盗版及泄露信息等网络病毒破坏网络系统病毒与正常程序区别①正常程序是具有应用功能的完整程序,以文件形式存在,具有合法文件名;而病毒一般不以文件的形式独立存在,一般没有文件名,它隐藏在正常程序和数据文件中,是一种非完整的程序;②正常程序依照用户的命令执行,完全在用户的意愿下完成某种操作,也不会自身复制;而病毒在用户完全不知的情况下运行,将自身复制到其他正常程序中,而且与合法程序争夺系统的控制权,甚至进行各种破坏。
分类:引导型病毒、文件型病毒、宏病毒、混合型病毒 引导型病毒病毒或病毒的部分程序潜入到硬盘或软盘的引导区,当系统启动时,先执行病毒程序,使系统带毒工作并伺机发作。
如大麻病毒。
文件型病毒它感染扩展名为.COM、.EXE、.OVL、.DOC等可执行文件或Word文档,当运行带病毒程序时,才将病毒带入内存中,之后,病毒传染扩充。
如耶路撒冷病毒。
混合型病毒这类病毒既传染磁盘引导区,又传染可执行文件。
如幽灵病毒。
宏病毒当打开带宏病毒的Word文当时即可发作。
病毒的发展过程、典型事例病毒的来源、产生的因素来源:(1)一些计算机爱好者出于好奇或兴趣(2)产生于个别人的报复心理(3)来源于软件加密(4)产生于游戏(5)用于研究或实验而设计的“有用”程序(6)由于政治经济和军事等特殊目的主要因素总体来说,计算机系统、因特网的脆弱性是产生计算机病毒的根本技术原因;计算机科学技术的不断进步,个人计算机的快速普及及应用是产生计算机病毒的加速器;人性心态与人的价值观念和法制的定位是产生计算机病毒的社会基础;基于政治、军事等方面的特殊目的是计算机病毒应用产生质变的催化剂。
计算机病毒复习题(最终修改不完整版)
2.选择题1.计算机病毒是(C)A.被损坏的程序B.硬件故障C.一段特制的程序D.芯片霉变2.计算机病毒的危害主要造成(D)A.磁盘破坏B.计算机用户的伤害C.CPU的损坏D.程序和数据的破坏3.新买回来的未格式化的软盘(A)A.可能会有计算机病毒B.与带病毒的软盘放在一起会有计算机病毒C.一定没有计算机病毒D.经拿过带病毒的软盘的手碰过后会感染计算机病毒4.计算机病毒一般由(ABCD)四大部分组成。
A.感染模块B.触发模块C.破坏模块D.引导模块E.执行模块5.计算机病毒生命周期中,存在(B)和(C)两种状态。
A.静态B.潜伏态C.发作态D.动态6.在Windows 32 位操作系统中,其EXE文件中的特殊表示为(B)A.MZB.PEC.NED.LE7.能够感染EXE、COM 文件的病毒属于(C)。
A.网络型病毒B.蠕虫型病毒C.文件型病毒D.系统引导型病毒8.著名特洛伊木马“网络神偷”采用的隐藏技术是(A)A.反弹式木马技术B.远程线程插入技术C.ICMP协议技术D. 远程代码插入技术9.下列(B)不是常用程序的默认端口。
A.80B.8080C.23D.219.第一个真正意义的宏病毒起源于(A)应用程序。
A. WordB. Lotus 1-2-3C. ExcelD. PowerPoint10.总结移动终端的恶意代码感染机制,其感染途径主要分为(ABC)A.终端—终端B.终端—网关—终端C.PC(计算机)—终端 D .终端—PC11.移动终端的恶意代码的攻击方式分为(ABCDE)A.短信息攻击B.直接攻击手机C.攻击网关D.攻击漏洞E.木马型恶意代码12.下列病毒中(C)计算机病毒不是蠕虫病毒。
A.冲击波B.震荡波C. CIHD.尼姆达13.蠕虫和从传统计算机病毒的区别主要体现在(B)上。
A.存在形式B.传染机制C.传染目标D.破坏方式14.多数流氓软件具有的特征是(ABCD)A.强迫安装B.无法卸载C.干扰使用D.病毒和黑客特征15.从技术角度讲,数据备份的策略主要包括(ACD)A.完全备份B.差别备份C.增量备份D.差分备份16.下列描述不正确的是(B)A.不存在能够防治未来的所有病毒的发病毒软、硬件B.现在的杀毒软件能够查杀未知病毒C.病毒产生在前,反病毒手段相对滞后D.数据备份是防治数据丢失的重要手段1.填空题(1)计算机病毒是编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。
计算机病毒知识与防治学习资料
计算机病毒知识与防治学习资料一.什么是计算机病毒“计算机病毒”为什么叫做病毒。
首先,与医学上的“病毒”不同,它不是天然存在的,是某些人利用计算机软、硬件所固有的脆弱性,编制具有特殊功能的程序。
其能通过某种途径潜伏在计算机存储介质(或程序)里,当达到某种条件时即被激活,它用修改其他程序的方法将自己的精确拷贝或者可能演化的形式放入其他程序中,从而感染它们,对计算机资源进行破坏的这样一组程序或指令集合。
1994年2月18日,我国正式颁布实施了《中华人民共和国计算机信息系统安全保护条例》,在《条例》第二十八条中明确指出:“计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
”二.病毒起源1983年11月3日,弗雷德·科恩(FRED COHEN) 博士研制出一种在运行过程中可以复制自身的破坏性程序,伦·艾德勒曼(LEN ADLEMAN) 将它命名为计算机病毒(COMPUTER VIRUSES),并在每周一次的计算机安全讨论会上正式提出,8 小时后专家们在VAX11/750 计算机系统上运行,第一个病毒实验成功,一周后又获准进行5个实验的演示,从而在实验上验证了计算机病毒的存在。
1986年初,在巴基斯坦的拉合尔(LAHORE),巴锡特(BASIT) 和阿姆杰德(AMJAD) 两兄弟经营着一家IBM-PC 机及其兼容机的小商店。
他们编写了PAKISTAN 病毒,即BRAIN。
在一年内流传到了世界各地。
1988 年3 月2 日,一种苹果机的病毒发作,这天受感染的苹果机停止工作,只显示“向所有苹果电脑的使用者宣布和平的信息”。
以庆祝苹果机生日。
1988年11 月2 日,美国六千多台计算机被病毒感染,造成INTERNET不能正常运行。
这是一次非常典型的计算机病毒入侵计算机网络的事件,迫使美国政府立即做出反应,国防部成立了计算机应急行动小组。
计算机病毒学期末考试复习要点
计算机病毒学期末考试复习要点第一篇:计算机病毒学期末考试复习要点计算机病毒学复习大纲“黑色星期五”在逢13号的星期五发作。
中国的“上海一号”在每年3月、6月及9月的13日发作。
CHI病毒:v1.2版本的发作日期是每年的4月26日,v1.3版本是每年的6月26号,v1.4版本是每月的26日。
Happytime(欢乐时光)病毒发作的条件是月份与日期之和等于13。
“求职信”病毒在单月的6日和13日发作。
(P3)根据寄生的数据存储方式计算机病毒可划分为三种类型:引导区型、文件型、混合型。
(P7)宏病毒是一种寄存于文档或模板的宏中的计算机病毒。
宏病毒一般用Visual Basic编写,是寄存在Microsoft Office文档上的宏代码。
(P12)PE文件:Protable Executable File Format(可移植的执行体)。
最有名的PE格式的病毒是CIH病毒。
(P31)VxD:虚拟设备驱动程序(P32)。
木马系统软件一般由:木马配置程序、控制程序和木马程序(服务器程序)3部分组成。
(P53)大多数特洛伊木马包括包括客户端和服务器端两个部分。
DDoS:分布式拒绝服务攻击。
“灰鸽子”是国内一款著名木马病毒。
(P57)蠕虫病毒通常由两部分组成:一个主程序和一个引导程序。
(P64)蠕虫病毒与普通病毒的区别:一般的病毒是寄生的,可以通过其指令的执行,将自己的指令代码写到其他程序体内,而被感染的文件就被称为“宿主”。
蠕虫一般不采取利用PE格式插入文件的方法,而是通过复制自身在Internet环境下进行传播。
病毒的传染能力主要是针对计算机内的文件系统而言,而蠕虫病毒的感染目标是Internet内的所有计算机。
(P65)几种典型的蠕虫病毒:“尼姆达”(nimda)病毒、“震荡波”病毒、“红色代码”病毒、“SCO炸弹”病毒、“斯文”病毒、“熊猫烧香”病毒。
(P66)“震荡波”病毒利用Windows的LSASS中存在一个缓冲区溢出漏洞进行攻击,监听TCP5554端口。
2024年度计算机病毒知识与防治学习资料
03
谨慎下载和安装插件
在下载和安装插件时要选择可 信赖的来源,并仔细阅读相关
说明和权限要求。
04
配置安全选项
根据实际需求配置应用软件的 安全选项,如启用防病毒扫描
、限制文件下载等。
2024/2/3
14
网络通信安全保障方法
使用安全的网络连接
避免使用公共无线网络进行敏感信息的传输,尽 量使用加密的VPN等安全连接方式。
遵循操作指南
按照清除工具的操作指南进行操作, 确保清除过程的安全和有效。
18
手动清除技巧分享
识别病毒文件
通过任务管理器、系统日志等方式识别 病毒文件和相关进程。
删除病毒文件
使用命令行或文件管理器删除病毒文件 和相关注册表项。
2024/2/3
终止病毒进程
在安全模式下终止病毒进程,防止病毒 自我复制或破坏系统文件。
15
04
计算机病毒检测与清除技 术2024/2/316
常见检测方法介绍及原理剖析
特征代码法
通过搜索病毒的特征代码来判 断病毒是否存在,原理是每种 病毒都有其独特的代码序列。
2024/2/3
校验和法
通过计算文件的校验和并与原 始值比较,判断文件是否被篡 改,从而检测病毒。
行为监测法
利用病毒的行为特征(如自我 复制、修改系统文件等)进行 监测和判断。
防范网络钓鱼攻击
提高警惕,不轻易点击可疑链接或下载未知来源 的附件,避免泄露个人信息或感染恶意软件。
2024/2/3
配置安全的网络参数
确保网络设备(如路由器、交换机等)的安全设 置得到合理配置,如关闭不必要的端口和服务、 启用访问控制列表(ACL)等。
定期备份数据
计算机期末复习题计算机病毒
计算机期末复习题计算机病毒计算机期末复习题:计算机病毒计算机病毒是指一种能够自动复制并且传播到其他计算机上的计算机程序,其目的是破坏、修改或者盗取计算机数据。
对于计算机安全的学习和了解,计算机病毒始终是一个重要的话题。
本文将回顾计算机病毒的定义、特征、传播方式以及如何防范计算机病毒等内容,帮助读者更好地复习计算机期末考试。
一、计算机病毒的定义和特征1. 定义:计算机病毒是一种能够自我复制和传播的恶意软件。
它通常隐藏在其他正常的计算机程序中,并在不被察觉的情况下感染计算机系统。
2. 特征:计算机病毒具有以下几个特征:a) 自我复制:计算机病毒能够自我复制并传播给其他计算机或文件系统。
b) 恶意行为:计算机病毒具有破坏、修改、删除或获取计算机数据的能力。
c) 隐蔽性:计算机病毒会试图隐藏自己,使用户难以发现其存在。
d) 依赖性:计算机病毒依赖于宿主文件或计算机系统才能进行传播和执行恶意行为。
二、计算机病毒的传播方式计算机病毒可以通过多种方式传播,以下是几种常见的传播途径:1. 可执行文件感染:病毒将自身代码嵌入到可执行文件中,当用户执行这些文件时,病毒会激活并感染其他文件。
2. 电子邮件附件:病毒利用电子邮件的附件来传播自己,一旦用户打开或下载附件,病毒就会感染计算机系统。
3. 可移动存储介质感染:病毒将自己复制到U盘、移动硬盘等可移动存储介质中,当用户插入感染的介质时,病毒会自动传播到计算机系统。
4. 网络传播:病毒通过互联网进行传播,利用漏洞、弱密码等方式侵入其他计算机系统,并在其中复制和传播自己。
三、如何防范计算机病毒为了保护计算机和数据安全,我们需要采取以下措施来防范计算机病毒:1. 安装杀毒软件:选择一款可信赖的杀毒软件,并及时更新病毒库。
杀毒软件能够帮助检测和清除计算机病毒。
2. 避免点击可疑链接:在互联网上,避免点击来自不明来源的链接,尤其是通过电子邮件、社交网络等途径传来的链接。
3. 谨慎打开附件:对于来自陌生人或者不信任的邮件附件,尽量不要打开或者下载,确保附件的安全性。
计算机期末复习题 计算机病毒
计算机病毒选择题题库A) 微生物感染B) 化学感染C) 特制的具有破坏性的程序D) 幻觉A) 计算机病毒是程序,计算机感染病毒后,可以找出病毒程序,进而清除它B) 只要计算机系统能够使用,就说明没有被病毒感染C) 只要计算机系统的工作不正常,一定是被病毒感染了D) U 盘写保护后,使用时一般不会被感染上病毒A) 恶性B) 良性C) 引导型D) 定时发作型A) 管理B) 技术C) 硬件D) 管理和技术A) 是有时间性的,不能消除B) 是一种专门工具,可以消除C) 有的功能很强,可以消除D) 有的功能很弱,不能消除A) 保护软盘清洁 B) 不要把此软盘与有病毒的软盘放在一起C) 进行写保护D) 定期对软盘进行格式化A) 从键盘输入统计数据B) 运行外来程序 C) 软盘表面不清洁 D) 机房电源不稳定A) 只会感染,不会致病B) 会感染致病,但无严重危害C) 不会感染D) 产生的作用尚不清楚A) 传播性,潜伏性,破坏性B) 传播性,破坏性,易读性C) 潜伏性,破坏性,易读性D) 传播性,潜伏性,安全性A) 应用程序B) 文档或模板C) 文件夹D) 具有“隐藏”属性的文件A) 生物病菌B) 生物病毒C) 计算机程序D)有害的言论文档A) 游戏软件常常是计算机病毒的载体B) 用消毒软件将一片软盘消毒之后,该软盘就没有病毒了 C) 尽量做到专机专用或安装正版软件,是预防计算机病毒D) 计算机病毒在某些条件下被激活之后,才开始起干扰和的有效措施破坏作用A) 磁盘B) 计算机网络C) 操作员D) 磁盘和计算机网络A) 隐蔽性B) 自由性C) 传染性D) 危险性A) 使磁盘引导扇区被破坏以至于不能启动微机B) 使磁盘一块一块地逐渐碎裂C) 使磁盘的写保护不能再实现写保护D) D、使微机的电源不能打开A) 人为制造,手段隐蔽B) 破坏性和传染性C) 可以长期潜伏,不易发现D) 危害严重,影响面广A) 对系统软件加上写保护B) 对计算机网络采取严密的安全措施C) 切断一切与外界交换信息的渠道D) 不使用来历不明的、未经检测的软件A) 特殊的计算机部件B) 游戏软件C) 人为编制的特殊程序D) 能传染的生物病毒A) 计算机病毒是一个标记或一个命令B) 计算机病毒是人为制造的一种程序C) 计算机病毒是一种通过磁盘、网络等媒介传播、扩散,并能传染其它程序的程序D) 计算机病毒是能够实现自身复制,并借助一定的媒体存在的具有潜伏性、传染性和破坏性的程序A) 反病毒软件通常滞后于计算机新病毒的出现B) 反病毒软件总是超前于病毒的出现,它可以查、杀任何种类的病毒C) 感染过计算机病毒的计算机具有对该病毒的免疫性D) 计算机病毒会危害计算机用户的健康A) 磁盘空间变小B) 系统出现异常启动或经常“死机”C) 程序或数据突然丢失D) 以上都是A) 传播媒介是网络B) 可通过电子邮件传播C) 网络病毒不会对网络传输造成影响D) 与单机病毒比较,加快了病毒传播的速度A)特殊的计算机部件B)游戏软件C)人为编制的特殊程序D)能传染的生物病毒A)病毒是利用计算机软、硬件所固有的脆弱性,编制具有特殊功能的程序B)计算机病毒具有传染性、隐蔽性、潜伏性C) 有效的查杀病毒的方法是多种杀毒软件交叉使用D)计算机病毒只会通过后缀为EXE的文件传播A) 恶性B) 良性C) 引导型D) 定时发作型A) 会感染,但不会致病B) 会感染致病,但无严重危害C) 不会感染D) 产生的作用尚不清楚A) 从键盘输入统计数据B) 运行外来程序C) 软盘表面不清洁D) 机房电源不稳定A) 计算机病毒是一个标记或一个命令B) 计算机病毒是人为制造的一种程序C) 计算机病毒是一种通过磁盘、网络等媒介传播、扩散并传染其他程序的程序D) 计算机病毒是能够实现自身复制,并借助一定的媒体存储,具有潜伏性、传染A) 计算机运行速度变慢B) 文件长度变长C) 不能执行某些文件D) 以上都对A) 用户识别B) 权限控制C) 数据加密D) 病毒控制A) 传播性、潜伏性和破坏性B) 传播性、潜伏性和易读性C) 潜伏性、破坏性和易读性D) 传播性、潜伏性和安全性A) 可执行文件B) 引导扇区/分区表C) Word/Excel文档D) 数据库文件A) 每天都要对硬盘和软盘进行格式化B) 决不玩任何计算机游戏C) 不同任何人交流D) 不用盗版软件和来历不明的磁盘A) CPU 的烧毁B) 磁盘驱动器的损坏C) 程序和数据的破坏D) 磁盘的物理损坏A) 消除已感染的所有病毒B) 发现并阻止任何病毒的入侵C) 杜绝对计算机的侵害D) 发现病毒入侵的某些迹象并及时清除或提醒操作者A) 匿名上网B) 总在晚上上网C) 在网上私闯他人计算机系统D) 不花钱上网A) 在计算机内存中运行病毒程序B) 对磁盘进行读/写操作C) A 和B 不是必要条件D) A 和B 均要满足A) 删除已感染病毒的磁盘文件B) 用杀毒软件处理 C) 删除所有磁盘文件D) .彻底格式化磁盘A) 计算机病毒是人为编制的一段恶意程序B) 计算机病毒不会破坏计算机硬件系统C) 计算机病毒的传播途径主要是数据存储介质的交换以及网络的链路D) 计算机病毒具有潜伏性A) 计算机病毒可以烧毁计算机的电子元件B) 计算机病毒是一种传染力极强的生物细菌C) 计算机病毒是一种人为特制的具有破坏性的程序D)计算机病毒一旦产生,便无法清除A) 计算机要经常使用,不要长期闲置不用B) 为了延长计算机的寿命,应避免频繁开关计算机C)在计算机附近应避免磁场干扰D) 计算机用几小时后,应关机一会儿再用A) 设备有异常现象,如显示怪字符,磁盘读不出B) 在没有操作的情况下,磁盘自动读写 C) 装入程序的时间比平时长,运行异常D)以上说法都是A) 不正常关机B) 光盘表面不清洁 C) 错误操作D) 网上下载文件A) 计算机病毒具有潜伏性B) 计算机病毒具有传染性C)感染过计算机病毒的计算机具有对该D) 计算机病毒是一个特殊的寄生程序病毒的免疫性A) 通过键盘输入数据时传入B) 通过电源线传播C) 通过使用表面不清洁的光盘D) 通过Internet网络传播A) 丢弃不用B) 删除所有文件C) 重新格式化D)删除A) 计算机病毒是一个标记或一个命令B) 计算机病毒是人为制造的一种程序C) 计算机病毒是一种通过磁盘、网络等媒介传播、扩散,并能传染其它程序的程序D)计算机病毒是能够实现自身复制,并借助一定的媒体存在的具有潜伏性、传染性和破坏性的程序A) 计算机病毒是一种人为的破坏性程序B)计算机被病毒感染后,只要用杀毒软件就能清除全部的病毒C) 计算机病毒能破坏引导系统和硬盘数据D)计算机病毒也能通过下载文件或电子邮件传播3591.对于微机用户来说,为了防止计算机意外故障而丢失重要数据,对重要数据应定期进行备份。
计算机病毒 期末复习
病毒引导模块病毒传染模块病毒表现模块计算机病毒总结考试题型:选择:15道*2分/题=30 填空:10空*2分/题=20 简答:5题*6分/题=30 综合分析: 2题*10分/题=20一.课本概念:1.(1.2)计算机病毒的基本概念1) 计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
2) 计算机病毒的一般特征:程序性(计算机病毒具有正常程序的一切特征:可存储型,可执行性);传染性;……3) 病毒的命名:蠕虫病毒(Worm ) 宏病毒(Macro )2.(2.1)计算机病毒的工作过程:病毒程序的生命周期 病毒程序的典型组成示意图3.(5.3.9)启动式代码扫描技术启动式代码扫描也可称做启动式智能代码分析,它将人工智能的知识和原理运用到计算机病毒检测之中,启发就是指“自我发现的能力”或“运用某种方式或方法去判定事物的知识和技能”。
运用启发式扫描技术的计算机病毒检测软件,实际上就是以人工智能的方式实现的动态反编译代码分析,比较器,通过对程序有关指令序列进行反编译,逐步分析,比较,根据其动机判断其是否为计算机病毒。
4.(6.1.2)计算机病毒预防基本技术计算机病毒的预防应该包括两个部分:对已知计算机病毒的预防和对未来计算机病毒的预防。
目前,对已知计算机病毒的预防可以采用特征判定技术或静态判定技术,对未知计算机病毒的预防则是一种行为规则的判定技术即动态判定技术。
5.(6.3)文件型病毒目前已经存在的文件病毒,可以感染所有标准的DOS 可执行文件,包括批处理文件,DOS 下的可加载驱动程序(.SYS )文件以及普通的.COM/.EXE 可执行文件。
6.(6.6)宏病毒 潜伏阶段传染阶段触发阶段发作阶段潜伏期结束 传染结束 触发条件宏病毒是一种寄存在文档或模板的宏中的计算机病毒。
7.(6.7)特洛伊木马病毒 大多数特洛伊木马包括客户端和服务器端两个部分。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Lect8-PPT补充自含代码虚拟机(SCCE)自含代码虚拟机工作起来象一个真正的CPU。
一条指令取自内存,由SCCE解码,并被传送到相应的模拟这条指令的例程,下一条指令则继续这个循环。
虚拟机会包含一个例程来对内存/寄存器寻址操作数进行解码,然后还会包括一个用于模拟每个可能在CPU 上执行的指令的例程集。
有限代码虚拟机(LCE)有限代码虚拟机有点象用于通用解密的虚拟系统所处的级别。
LCE实际上并非一个虚拟机,因为它并不真正的模拟指令,它只简单地跟踪一段代码的寄存器内容,也许会提供一个小的被改动的内存地址表,或是调用过的中断之类的东西。
选择使用LCE而非更大更复杂的系统的原因,在于即使只对极少数指令的支持便可以在解密原始加密病毒的路上走很远,因为病毒仅仅使用了INTEL指令集的一小部分来加密其主体。
缓冲代码虚拟机(BCE)缓冲代码虚拟机是SCCE的一个缩略版,因为相对于SCCE它具有较小的尺寸和更快的执行速度。
在BCE中,一条指令是从内存中取得的,并和一个特殊指令表相比较。
如果不是特殊指令,则它被进行简单的解码以求得指令的长度,随后所有这样的指令会被导入到一个可以通用地模拟所有非特殊指令的小过程中。
而特殊指令,只占整个指令集的一小部分,则在特定的小处理程序中进行模拟。
病毒习题补充什么是宏病毒?其运作原理如何?答:宏病毒是一种寄存在文档或模板的宏中的计算机病毒。
宏病毒的运作原理:一旦打开感染了宏病毒的文档,其中的宏就会被执行,于是宏病毒就会被激活,转移到计算机上,并驻留在Normal 模板上。
从此以后,所有自动保存的文档都会“感染”上这种宏病毒,而且如果其他用户打开了感染病毒的文档,宏病毒又会转移到他的计算机上。
什么是脚本病毒和WSH?二者是何关系?答:脚本病毒通常是JavaScript代码编写的恶意代码,一般带有广告性质,会修改您的IE首页、修改注册表等信息,造成用户使用计算机不方便。
WSH全称“Windows Scripting Host”,是微软提供的一种基于32位Windows平台的、与语言无关的脚本解释机制,它使得脚本能够直接在Windows桌面或命令提示符下运行。
脚本病毒和WSH的关系:WSH是脚本病毒的执行环境为什么同一个病毒会有多个不同的名称?如何通过病毒的名称识别病毒的类型?国际上对病毒命名的一般惯例为“前缀+病毒名+后缀”,即三元组命名规则。
1、系统病毒系统病毒的前缀为:Win32、PE、Win95、W32、W95等。
2、蠕虫病毒蠕虫病毒的前缀是:Worm。
3、木马病毒、黑客病毒木马病毒其前缀是:Trojan,黑客病毒前缀名一般为 Hack 。
4、脚本病毒脚本病毒的前缀是:Script。
5、宏病毒其实宏病毒是也是脚本病毒的一种,由于它的特殊性,因此在这里单独算成一类。
宏病毒的前缀是:Macro。
6、后门病毒后门病毒的前缀是:Backdoor。
7、病毒种植程序病毒后门病毒的前缀是:Dropper。
这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下,由释放出来的新病毒产生破坏。
8.破坏性程序病毒破坏性程序病毒的前缀是:Harm。
这类病毒的公有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒便会直接对用户计算机产生破坏。
9.玩笑病毒玩笑病毒的前缀是:Joke。
10.捆绑机病毒捆绑机病毒的前缀是:Binder。
查找相关资料,试述计算机病毒发展趋势与特点。
●基于Windows的计算机病毒越来越多●计算机病毒向多元化发展●新计算机病毒种类不断涌现,数量急剧增加●计算机病毒传播方式多样化,传播速度更快●计算机病毒造成的破坏日益严重●病毒技术与黑客技术日益融合●更多依赖网络、系统漏洞传播,攻击方式多种多样硬盘主引导扇区由哪几部分构成?一个硬盘最多可分几个主分区?为什么?Fdisk/mbr命令是否会重写整个主引导扇区?主引导扇区(Boot Sector)由主引导记录(Master Boot Record,MBR)、主分区表即磁盘分区表(Disk Partition Table,DPT)、引导扇区标记(Boot Record ID/Signature)三部分组成。
一个硬盘最多可分为4个主分区,因为主分区表占用64个字节,记录了磁盘的基本分区信息,其被分为4个分区选项,每项16个字节,分别记录了每个主分区的信息。
DOS下的EXE文件病毒是如何获取控制权的?感染EXE文件,需对宿主作哪些修改?一般来说,病毒往往先于HOST程序获得控制权。
运行Win32病毒的一般流程示意如下:①用户点击或系统自动运行HOST程序;②装载HOST程序到内存;③通过PE文件中的AddressOfEntryPoint加ImageBase之和,定位第一条语句的位置(程序入口);④从第一条语句开始执行(这时执行的其实是病毒代码);⑤病毒主体代码执行完毕,将控制权交给HOST程序原来的入口代码;⑥HOST程序继续执行。
文件型病毒有哪些感染方式?a寄生感染: 文件头部寄生文件尾部寄生插入感染逆插入感染利用空洞——零长度感染b无入口点感染: 采用入口点模糊(Entry Point Obscuring,EPO)技术采用TSR病毒技术 c 滋生感染 d链式感染e OBJ、LIB和源码的感染计算机病毒的感染过程是什么?计算机病毒感染的过程一般有三步: (1)当宿主程序运行时,截取控制权; (2)寻找感染的突破口;(3)将病毒代码放入宿主程序计算机病毒一般采用哪些条件作为触发条件?病毒采用的触发条件主要有以下几种:日期触发时间触发键盘触发感染触发启动触发访问磁盘次数/调用中断功能触发 CPU型号/主板型号触发打开或预览Email附件触发随机触发什么是病毒的重定位?病毒一般采用什么方法进行重定位?回答一:重定位就是把程序的逻辑地址空间变换成内存中的实际物理地址空间的过程。
病毒不可避免也要用到变量(常量),当病毒感染HOST程序后,由于其依附到不同HOST程序中的位置各有不同,病毒随着HOST载入内存后,病毒中的各个变量(常量)在内存中的位置自然也会随着发生变化。
故而获取病毒变量的地址偏移值和利用该值得到病毒变量在内存中的实际地址的过程,就是病毒的重定位。
回答二:call delta ;这条语句执行之后,堆栈顶端为delta在内存中的真正地址 delta:pop ebp ;这条语句将delta在内存中的真正地址存放在ebp寄存器中……lea eax,[ebp+(offset var1-offset delta)] ;这时eax中存放着var1在内存中的真实地址如果病毒程序中有一个变量var1,那么该变量实际在内存中的地址应该是ebp+(offset var1-offset delta),即参考量delta在内存中的地址+其它变量与参考量之间的距离=其它变量在内存中的真正地址。
有时候我们也采用(ebp-offset delta)+offset var1的形式进行变量var1的重定位。
编写程序,利用INT 13H实现引导区的备份与恢复。
备份:DEBUG(回车)-A 100XXXX:0100 MOV AX,201XXXX:0103 MOV BX,200XXXX:0106 MOV CX,1XXXX:0109 MOV DX,80XXXX:010C INT 13XXXX:010E INT 3XXXX:010F-G=100-R BXBX 0200:0-R CX ;-D 200 3FF显示Hex,注意标志55AACX 0001:200-N BOOT.ZYD-W-Q恢复:DEBUG(回车)-N BOOT.ZYD-L 200-A 100XXXX:0100 MOV AX,0301XXXX:0103 MOV BX,0200XXXX:0106 MOV CX,0001XXXX:0109 MOV DX,0080XXXX:010C INT 13XXXX:010E INT 3XXXX:010F-G=100如何清除引导型病毒?在恢复引导区之前,应清除内存中的病毒或使内存中的病毒处于灭活状态。
用干净软盘引导启动系统,可以清除内存中的病毒,也可采用如下方法将内存中的病毒灭活: 1.在无毒环境下(例如用无毒的同版本系统盘启动),用无毒的Debug将中断向量表取出存在一个文件中。
2.当内存中有病毒时用上述文件覆盖中断向量表。
中断向量表恢复正常,内存中通过修改向量表截流盗取中断向量的病毒将无法再激活。
病毒的清除方法比较简单,将病毒备份的扇区内容或感染前我们主动备份的引导扇区/主引导扇区内容,写入软盘引导扇区/硬盘主引导扇区即可。
PE病毒的感染过程是怎样的?如何判断一个文件是否感染了PE病毒(如Immunity)?针对你的判断依据,采用何种手段可以更好地隐藏PE病毒?编程修复被Immunity感染的host_pe.exe文件。
PE病毒的感染过程1.判断目标文件开始的两个字节是否为“MZ”。
2.判断PE文件标记“PE”。
3.判断感染标记,如果已被感染过则跳出继续执行HOST程序,否则继续。
4.获得Directory(数据目录)的个数,(每个数据目录信息占8个字节)。
5.得到节表起始位置。
(Directory的偏移地址+数据目录占用的字节数=节表起始位置)6.得到目前最后节表的末尾偏移(紧接其后用于写入一个新的病毒节)节表起始位置+节的个数*(每个节表占用的字节数28H)=目前最后节表的末尾偏移。
7.开始写入节表脚本病毒有哪些弱点?如何防治和清除脚本病毒?(1)VBS脚本病毒具有如下几个特点:编写简单破坏力大感染力强传播范围大病毒源码容易被获取,变种多欺骗性强使得病毒生产机实现起来非常容易(2)针对以上提到的VBS脚本病毒的弱点,可以采用如下集中防范措施:●禁用文件系统对象FileSystemObject●卸载WSH●删除VBS、VBE、JS、JSE文件后缀名与应用程序的映射●将WScript.exe更改名称或者删除●自定义安全级别,把与“ActiveX控件及插件”有关的一切设为禁用●禁止OutlookExpress的自动收发邮件功能●显示扩展名,避免病毒利用文件扩展名作文章●将系统的网络连接的安全级别设置至少为“中等”●安装、使用杀毒软件宏病毒采用哪些传播方式?如何防治和清除宏病毒?(1)宏病毒的传播方式在Word或其他Office程序中,宏分成两种①在某个文档中包含的内嵌宏,如FileOpen宏②属于Word应用程序,所有打开的文档公用的宏,如AutoOpen宏Word宏病毒一般都首先隐藏在一个指定的Word文档中,一旦打开了这个Word文档,宏病毒就被执行,宏病毒要做的第一件事情就是将自己拷贝到全局宏的区域,使得所有打开的文档都可使用这个宏当Word退出的时候,全局宏将被存储在某个全局的模板文档(.dot文件)中,这个文件的名字通常是“normal.dot”,即normal模板如果全局宏模板被感染,则Word再启动的时候将自动载入宏病毒并且自动执行(2)宏病毒的防御①禁止运行不安全的宏②Word被宏病毒感染之后(实际上是Word使用的模板文档被感染),可以将其恢复正常●退出Word,然后先到C盘根目录下查看是否存在Autoexec.dot文件,如果存在,而你又不知道它是什么时侯出现的,删除之●找到Normal.dot文件,用先前的干净备份替换之或干脆删除之●查看Normal.dot所在目录是否还存在其他模板文件,如果存在且不是你自己拷贝进去的,删除之●重新启动Word,已经恢复正常预防恶意网站可采取哪些措施?1、禁止修改注册表。