计算机病毒分析与防治教程习题答案

第一章一．简述计算机病毒的定义：编制者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。

二．简述计算机病毒的主要特征：1．程序性；2. 隐蔽性；3. 潜伏性；4. 可触发性；5. 表现性；6. 破坏性；7. 传染性；8.针对性；9.寄生性；11. 变异性；三．按寄生方式分类，计算机病毒主要分哪几类?1.覆盖型病毒（512病毒）；2.代替型病毒（打印病毒）；3.链接型病毒（黑色星期五）；4.填充型病毒（勒海病毒）；5.转储型病毒（小球病毒）；四.计算机病毒产生的主要技术原因有哪些？1.计算机的体系结构上的缺点；2.缺乏整体安全性和完整性的设计和检测；3.安全性和开放性的矛盾；五．简述计算机发展的主要阶段。

1.DOS引导阶段；2.DOS可执行阶段；3.伴随、批次型阶段；4.幽灵、多形阶段；5.生成器、变体机阶段；6.网络、蠕虫阶段；7.视窗阶段；8.宏病毒阶段；9.互联网阶段；10.Java、邮件炸弹阶段；六．计算机发展的主要技术。

1.抗分析病毒技术；2.隐蔽性病毒技术；3.多态性病毒技术；4.插入性病毒技术；5.超级病毒技术；6.病毒自动生成技术；7.跨平台病毒技术；8.Internet病毒技术；第二章一．计算机逻辑结构由哪些部分组成？（1）感染标志，（2）引导模块，（3）传染条件判断模块、实施传染模块，（4）表现或破坏条件判断模块、实施表现后破坏模块。

二．系统型病毒和文件型病毒在存储结构上有哪些不同？系统型病毒是专门感染操作系统的启动扇区，主要指感染主引导扇区和DOS引导扇区的病毒。

分两部分，第一部分存放在磁盘引导扇区中，第二部分存放在磁盘的其他扇区中。

文件型病毒是指专门感染系统中的可执行文件，即扩展名为COM、EXE的文件或依赖于文件而发作的病毒。

绝大多数文件型病毒属于所谓的外壳病毒。

计算机病毒一般不存在与数据文件中。

三．计算机病毒的生命周期分为那几个阶段？—开发期—传染期—潜伏期—发作期—发现期—消化期—消亡期—四．计算机病毒是如何传播的?1 被动传播：用户在复制磁盘文件时，把一个病毒由一个载体复制到另一个载体上。

计算机病毒与防范基础知识考试题及答案(单选);姓名得分:注:每题5分，满分100分;1.下面是关于计算机病毒的两种论断，经判断___;(1)计算机病毒也是一种程序，它在某些条件上激活;A)只有(1)正确B)只有(2)正确;C)(1)和(2)都正确D)(1)和(2)都不正;2.通常所说的“计算机病毒”是指______;A)细菌感染 B)生物病毒感染; C)被损坏的程序 D)特制的具计算机病毒知识测试题(单选)姓名得分: 注: 每题5分，满分100分1.下面是关于计算机病毒的两种论断，经判断______(1)计算机病毒也是一种程序，它在某些条件上激活，起干扰破坏作用，并能传染到其他程序中去;(2)计算机病毒只会破坏磁盘上的数据.A)只有(1)正确 B)只有(2)正确C)(1)和(2)都正确 D)(1)和(2)都不正确2.通常所说的“计算机病毒”是指______A)细菌感染 B)生物病毒感染C)被损坏的程序 D)特制的具有破坏性的程序3.对于已感染了病毒的U盘，最彻底的清除病毒的方法是_____A)用酒精将U盘消毒 B)放在高压锅里煮C)将感染病毒的程序删除 D)对U盘进行格式化4.计算机病毒造成的危害是_____A)使磁盘发霉 B)破坏计算机系统C)使计算机内存芯片损坏 D)使计算机系统突然掉电5.计算机病毒的危害性表现在______A)能造成计算机器件永久性失效B)影响程序的执行，破坏用户数据与程序C)不影响计算机的运行速度D)不影响计算机的运算结果，不必采取措施6.计算机病毒对于操作计算机的人，______A)只会感染，不会致病 B)会感染致病C)不会感染 D)会有厄运7.以下措施不能防止计算机病毒的是_____A)保持计算机清洁B)先用杀病毒软件将从别人机器上拷来的文件清查病毒C)不用来历不明的U盘D)经常关注防病毒软件的版本升级情况，并尽量取得最高版本的防毒软件8.下列4项中，不属于计算机病毒特征的是______A)潜伏性 B)传染性 C)激发性 D)免疫性9.下列关于计算机病毒的叙述中，正确的一条是______A)反病毒软件可以查、杀任何种类的病毒B)计算机病毒是一种被破坏了的程序C)反病毒软件必须随着新病毒的出现而升级，提高查、杀病毒的功能D)感染过计算机病毒的计算机具有对该病毒的免疫性10.确保单位局域网的信息安全，防止来自省局内网的黑客入侵，采用______以实现一定的防范作用。

注：12.19更新第三章第2题、第5题的感染机制答案《计算机病毒》复习思考题第一章计算机病毒概述1. 简述计算机病毒的定义和特征。

计算机病毒(Computer Virus)，是一种人为制造的、能够进行自我复制的、具有对计算机资源进行破坏作用的一组程序或指令集合。

计算机病毒的可执行性(程序性)、传染性、非授权性、隐蔽性、潜伏性、可触发性、破坏性、攻击的主动性、针对性、衍生性、寄生性(依附性)、不可预见性、诱惑欺骗性、持久性。

2. 计算机病毒有哪些分类方法？根据每种分类方法，试举出一到两个病毒。

3. 为什么同一个病毒会有多个不同的名称？如何通过病毒的名称识别病毒的类型？国际上对病毒命名的一般惯例为“前缀+病毒名+后缀”，即三元组命名规则。

1、系统病毒系统病毒的前缀为：Win32、PE、Win95、W32、W95等。

2、蠕虫病毒蠕虫病毒的前缀是：Worm。

3、木马病毒、黑客病毒木马病毒其前缀是：Trojan，黑客病毒前缀名一般为Hack 。

4、脚本病毒脚本病毒的前缀是：Script。

5、宏病毒其实宏病毒是也是脚本病毒的一种，由于它的特殊性，因此在这里单独算成一类。

宏病毒的前缀是：Macro。

6、后门病毒后门病毒的前缀是：Backdoor。

7、病毒种植程序病毒后门病毒的前缀是：Dropper。

这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下，由释放出来的新病毒产生破坏。

8．破坏性程序病毒破坏性程序病毒的前缀是：Harm。

这类病毒的公有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒便会直接对用户计算机产生破坏。

9．玩笑病毒玩笑病毒的前缀是：Joke。

10．捆绑机病毒捆绑机病毒的前缀是：Binder。

4. 简述计算机病毒产生的背景。

5. 计算机病毒有哪些传播途径？传播途径有两种，一种是通过网络传播，一种是通过硬件设备传播（软盘、U盘、光盘、硬盘、存储卡等）。

网络传播，又分为因特网传播和局域网传播两种。

计算机病毒防护与防范策略试卷（答案见尾页）一、选择题1. 计算机病毒是一种：A. 一种软件错误B. 一种硬件故障C. 一种恶意软件程序D. 一种正常的网络通信误差2. 计算机病毒的主要传播方式不包括以下哪种？A. 邮件附件B. USB闪存驱动器C. 网络下载D. 电话线路3. 下列哪个不是反病毒软件的主要功能？A. 实时监控B. 病毒扫描C. 病毒隔离D. 系统优化4. 下列哪种防病毒技术不是基于病毒的识别和清除？A. 特征码扫描B. 行为监测C. 虚拟机技术D. 隔离区技术5. 在Windows系统中，可以通过以下哪个文件扩展名来关联文件与特定的应用程序？A. .txtB. .exeC. .jpgD. .docx6. 防火墙是一种用于保护网络安全的技术，它主要防止以下哪种类型的攻击？A. 恶意软件感染B. 病毒传播C. 网络监听D. 系统崩溃7. 在网络防范中，哪种加密技术用于在数据传输过程中确保数据的完整性？A. 对称加密B. 非对称加密C. 散列函数D. 数字签名8. 在数据库系统中，为了防止SQL注入攻击，通常采用以下哪种方法对用户输入进行验证和过滤？A. 黑名单检查B. 白名单检查C. 参数化查询D. 输入验证9. 数据备份是数据库管理中的重要环节，以下哪种备份策略可以最大程度地减少数据丢失的风险？A. 完全备份B. 增量备份C. 差异备份D. 镜像备份10. 在数据库系统中，为了提高查询性能，通常会采用以下哪种技术来优化查询操作？A. 索引B. 触发器C. 事务处理D. 数据分区11. 计算机病毒的主要特点包括：A. 可执行性B. 隐蔽性C. 破坏性D. 可控性12. 下列哪种类型的文件通常不会被计算机病毒感染？A. .txt 文件B. .exe 文件C. .jpg 文件D. .doc 文件13. 计算机病毒可以通过以下哪些途径传播？A. 电子邮件附件B. 网络下载C. 移动存储设备D. 系统漏洞14. 为了防止计算机病毒，应该采取以下哪些措施？A. 定期更新操作系统和应用程序B. 使用强密码并定期更换C. 安装并更新防病毒软件D. 不打开未知来源的邮件附件15. 下列哪种方法可以有效地预防计算机病毒？A. 关闭所有不必要的服务和端口B. 定期备份重要数据C. 使用双因素认证D. 扫描和清理系统16. 如果您的计算机感染了病毒，您应该首先：A. 断开网络连接B. 运行杀毒软件C. 更改密码D. 担心病毒会对设备造成损害17. 下列哪个选项是计算机病毒的主要危害？A. 窃取用户个人信息B. 破坏数据完整性C. 降低计算机性能D. 干扰用户正常工作18. 在预防计算机病毒时，以下哪种做法是错误的？A. 安装了最新版本的杀毒软件并保持其更新B. 打开了电子邮件附件中的所有文件C. 定期备份重要数据D. 使用强密码并定期更换19. 计算机病毒的出现对计算机安全构成了严重威胁。

第二章一、填空：1、UltraEdit可以实现文字、Hex、ASCII的编辑；2、Doc文件的文件头信息是D0CF11E0,PowerPoint文件的文件头信息是D0CF11E0,Excel文件的文件头信息是D0CF11E0；3、单一影子模式仅为操作系统所在分区创建影像；4、影子系统分为单一影子模式和完全影子模式；5、对注册表修改前后进行对比可使用RegSnap工具软件；第三章典型计算机病毒剖析一、填空1、注册表一般Default、SAM、Security、Software、System5个文件组成。

2、注册表结构一般键、子键、分支、值项、默认值5个大类组成。

3、是否允许修改IE的主页设置的注册表表项是HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\Control Panel。

4、注册表中IE的主页设置项是“Home Page”=dword 000000015、打开注册表编辑器的命令是regedit。

6、网页脚本病毒的特点有病毒变种多、破坏力较大、感染能力强。

7、Word的模版文件是Normal.dot。

8、Office中宏使用的编程语言是VBA（Visual Basic for Application)。

9、宏可保存在当前工作表、word通用模版中。

10、蠕虫的两个特征是传染性和复制功能。

11、蠕虫病毒的攻击方式有随机探测方式、基于列表的随机探测方式、基于DNS 探测方式、基于路由的探测方式、蠕虫攻击模块。

12、windows32/Baby.worm病毒主要攻击服务器。

13、木马分为远程访问型木马、密码发送型木马、键盘记录型木马、毁坏型木马、FTP型木马。

14、木马程序自动启动的方式利用INI文件、注册表的先关程序启动，加入系统启动组，利用系统启动配置文件和与其他程序捆绑执行。

二、选择1、寄存在Office文档中，用VB语言编写的病毒程序属于（ D ）A、引导区型病毒 B文件型病毒C、混合型病毒D、宏病毒2、注册表备份文件的扩展名是（ C ）。

1. 当主引导记录结束标志为(A)时，表示该主引导记录是一个有效的记录，它可用来引导硬盘系统A. AA55HB. 80HC. 00HD. 4D5AH2. DOS系统加载COM文件时，指令指针IP的值被设置为(B)A. 0000HB. 0100HC. 0200HD. FFFFH3. 根目录下的所有文件及子目录的FDT中都有一个目录项，每个目录项占用（C）个字节，分为8个区域A. 12B. 22C. 32D. 424. DOS系统下，EXE文件加载时，IP寄存器的值设定为（D）A. 0000HB. 0100HC. FFFFHD. EXE文件头中存储的初始IP值5. DOS系统启动自检通过后，则把硬盘上的主引导记录读入内存地址（D），并把控制权交给主引导程序中的第一条指令A F000:0000H B.FFFF:0000H C. FFF0:FFFFH D. 0000:7C00H6. 下面关于病毒的描述不正确的是(C)A. 病毒具有传染性B. 病毒能损坏硬件C. 病毒可加快运行速度D. 带毒文件长度可能不会增加7. (A)是感染引导区的计算机病毒常用的A. INT 13HB. INT 21HC. INT 24HD. INT 16H8. 我国首例的计算机病毒是(D)A. 黑色星期五B.中国炸弹病毒C. 雨点病毒D. 小球病毒9. 计算机病毒是指(D)A. 腐化的计算机程序B. 编制有错误的计算机程序C. 计算机的程序已被破坏D. 以危害系统为目的的特殊的计算机程序10. 危害极大的计算机病毒CIH发作的典型日期是(D)A. 6月4日B. ４月1日C. 5月26日D. 4月26日11. 硬盘的分区表中，自检标志为(B)表示该分区是当前活动分区，可引导A. AAHB. 80HC. 00HD. 55H12. 下列4项中，(A ) 不属于计算机病毒特征A. 继承性B. 传染性C. 可触发性D. 潜伏性13. DOS系统组成部分中最后调入内存的模块是(D)，它负责接收和解释用户输入的命令，可以执行DOS的所有内、外部命令和批处理命令A. 引导程序(BOOT)B. ROM BIOS模块C. 输入输出管理模块IO.SYSD. 命令处理模块14. 按计算机病毒寄生方式和感染途径分类，计算机病毒可分为（A）A. 引导型、文件型、混合型B. DOS系统的病毒、Windows系统的病毒C. 单机病毒、网络病毒D. 良性病毒、恶性病毒15. 复合型病毒的传染方式既具有文件型病毒特点又具有系统引导型病毒特点，这种病毒的原始状态一般是依附在(D)上A. 硬盘主引导扇区B. 硬盘DOS引导扇区C. 软盘引导扇区D. 可执行文件16. 文件型病毒传染.COM文件修改的是文件首部的三个字节的内容，将这三个字节改为一个(A)指令，使控制转移到病毒程序链接的位置A. 转移B. 重启C. NOPD. HALT17. 当计算机内喇叭发出响声，并在屏幕上显示“Your PC is now stoned!”时，计算机内发作的是(C)A. 磁盘杀手病毒B. 巴基斯坦病毒C. 大麻病毒D. 雨点病毒18. 程序段前缀控制块(PSP)，其长度为(C)字节A. 100字节B. 200字节C. 256字节D. 300字节19. 引导型病毒的隐藏有两种基本方法，其中之一是改变BIOS中断(B)的入口地址A. INT 9HB. INT 13HC. INT 20HD. INT 21H20. 宏病毒一般（C）A. 存储在RTF文件中B. 存储在DOC文件中C. 存储在通用模版Normal.dot文件中D. 存储在内存中21. DOS系统中，中断向量的入口地址占(4) 个字节22. 病毒占用系统程序使用空间来驻留内存的方式又称为(A)A. 程序覆盖方法B. 插入法C. 链接法D. 替代法23. 文件型病毒一般存储在(C)A. 内存B. 系统文件的首部、尾部或中间C. 被感染文件的首部、尾部或中间D. 磁盘的引导扇区24. 蠕虫与病毒的最大不同在于它(A)，且能够自主不断地复制和传播A. 不需要人为干预B. 需要人为干预C. 不是一个独立的程序D. 是操作系统的一部分25. DOS操作系统组成部分中(B)的模块提供对计算机输入/输出设备进行管理的程序，是计算机硬件与软件的最底层的接口A. 引导程序B. ROM BIOS程序C. 输入输出管理程序D. 命令处理程序26. 计算机病毒通常容易感染带有(B)扩展名的文件A. TXTB. COMC. GIFD. BAT27. 病毒最先获得系统控制的是它的(A)模块A. 引导模块B. 传染模块C. 破坏模块D. 感染条件判断模块28. 下列说法错误的是(A)A. 用杀毒软件将一张软盘杀毒后，该软盘就没有病毒了B. 计算机病毒在某种条件下被激活了之后，才开始起干扰和破坏作用C. 计算机病毒是人为编制的计算机程序D. 尽量做到专机专用或安装正版软件，才是预防计算机病毒的有效措施29. 首次提出计算机病毒的人是(A)A.冯.诺伊曼B. Frederick CohenC. 莫里斯D.大卫.斯丹博士30. 下列中断服务程序中，文件型病毒主要截留盗用的中断为(D)A. INT 10HB. INT 13HC. INT 19HD. INT 21H31. 病毒程序的加载过程（C）A. 完全是系统加载B. 完全依附正常文件加载C. 包括系统加载、病毒附加的加载D. 完全由人工完成32. 公有（全局）宏病毒一般（C）A. 单独以文件的形式存储B. 存储在DOC文件中C. 存储在通用模版Normal.dot文件中D. 存储在内存中33. 多个病毒对(同一目标的不同部位)进行感染，称为并行感染；对（同一目标的同一部）位进行感染且病毒间互不干扰叫做交叉感染。

计算机病毒基础知识课后练习题1.计算机病毒主要破坏信息的_D___。

A.可审性和保密性B.不可否认性和保密性C.保密性和可靠性D.完整性和可用性2.下面关于计算机病毒描述错误的是__C__。

A.计算机病毒具有传染性B.通过网络传染计算机病毒，其破坏性大大高于单机系统C.如果染上计算机病毒，该病毒会马上破坏你的计算机系统D.计算机病毒破坏数据的完整性3.下面不属于计算机安全的基本属性是__D__。

A.保密性B.可用性C.完整性D.正确性4.下列不属于计算机病毒特性的是__C__。

A.传染性B.潜伏性C.可预见性D.破坏性5.关于预防计算机病毒说法正确的是__C__。

A.仅需要使用技术手段即可有效预防病毒B.仅通过管理手段即可有效预防病毒C.管理手段与技术手段相结合才可有效预防病毒D.必须有专门的硬件支持才可预防病毒6.下面关于系统更新的说法，正确的是__ C__。

A.系统更新之后，系统就不会再出现漏洞B.系统更新包的下载需要付费C.系统更新的存在，是因为系统存在漏洞D.所有更新应及时下载，否则会立即被病毒感染7.下列关于系统还原的说法，正确的是__C__。

A.系统还原后，用户数据大部分都会丢失B.系统还原可以消除系统漏洞问题C.还原点可以由系统自动生成，也可以由用户手动设置D.系统还原的本质就是重装系统8.下面不能有效预防病毒的方法是___B_。

A.尽量不使用来路不明的U盘B.使用别人的U盘时，先将该U盘设置为只读属性C.使用别人的U盘时，先将该U盘用防病毒软件杀毒D.别人要拷贝自己的U盘上的东西时，先将自己的U盘设置为只读属性9.下面能有效预防计算机病毒的方法是__B__。

A.尽可能地多作磁盘碎片整理B.及时升级防病毒软件C.尽可能地多作磁盘清理D.把重要的文件压缩存放10.以下关于防火墙的说法，错误的是__C__。

A.防火墙采用的是一种隔离技术B.防火墙的主要工作原理是对数据包及来源进行检查，阻断被拒绝的数据传输C.防火墙的主要功能是查杀病毒D.防火墙虽然能够提高网络的安全性，但不能保证网络绝对安全11.信息安全的属性不包括__D__。

南开大学智慧树知到“信息安全”《计算机病毒分析》网课测试题答案（图片大小可自由调整）第1卷一.综合考核(共15题)1.WinDbg的内存窗口不支持通过命令来浏览内存。

()A.正确B.错误2.恶意代码作者如何使用DLL()。

A.保存恶意代码B.通过使用Windows DLLC.控制内存使用DLLD.通过使用第三方DLL3.Windows并不要求钩子子程的卸载顺序一定得和安装顺序相反。

()A.正确B.错误4.只要使用了KnownDLL，所有的DLL都会收到保护。

()A.正确B.错误5.在图形模式中，以下哪种颜色的箭头表示的路径表示一个无条件跳转被采用了?()A.红色B.黄色C.蓝色D.绿色6.可以在用户模式下无限制地设置软件断点。

()A.正确B.错误7.以下方法中是识别标准加密算法的方法是()。

A.识别涉及加密算法使用的字符串B.识别引用导入的加密函数C.搜索常见加密常量的工具D.查找高熵值的内容8.恶意代码经常使用自创的加密方法，比如将多个简单加密方法组装到一起。

()A.正确B.错误9.后门拥有一套通用的功能，都有以下哪些功能?()A.操作注册表B.列举窗口C.创建目录D.搜索文件10.有时，某个标准符号常量不会显示，这时你需要手动加载有关的类型库。

()A.正确B.错误11.EIP指令指针的唯一作用就是告诉处理器接下来干什么。

()A.正确B.错误12.OllyDbg支持的跟踪功能有()。

A.标准回溯跟踪B.堆栈调用跟踪C.运行跟踪D.边缘跟踪13.OllyDbg的硬件断点最多能设置()个。

A.3个B.4个C.5个D.6个14.()能够将一个被调试的进程转储为一个PE文件。

A.OllyDumpB.调试器隐藏插件C.命令行D.书签15.恶意的应用程序会挂钩一个经常使用的Windows消息。

()A.正确B.错误第2卷一.综合考核(共15题)1.DLL注入时，启动器恶意代码没有调用一个恶意函数。

如前面所述，恶意的代码都位于DllMain函数中，当操作系统将DLL加载到内存时，操作系统会自动调用这些代码。