【#第一文档网# 导语】以下是®第一文档网的小编为您整理的《计算机病毒课后题》,欢迎阅读!
第一章计算机病毒概述 1、什么是计算机病毒?计算机病毒包括哪几类程序? 答编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码被称为计算机病毒(Computer Virus)。具有破坏性,复制性和传染性。 (一)文件类病毒。该病毒在操作系统执行文件时取得控制权并把自己依附在可执行文件上,然后利用这些指令来调用附在文件中某处的病毒代码。当文件执行时,病毒会调出自己的代码来执行,接着又返回到正常的执行序列。通常,这些病毒发作迅速且隐蔽性强,以至于用户并不知道病毒代码已被执行。 (二)引导扇区病毒。它会潜伏在硬盘的引导扇区或主引导记录中。触发引导区病毒的典型事件是系统日期和时间被篡改。 (三)多裂变病毒。多裂变病毒是文件和引导扇区病毒的混合,它能感染可执行文件,从而能在网上迅速传播蔓延。 (四)隐蔽病毒。这种病毒通过挂接中断修改和隐藏真面目,具有很大的欺骗性。因此,当某系统函数被调用时,这些病毒便“伪造”结果,使一切看起来正常。秘密病毒摧毁文件的方式是伪造文件大小和日期,隐藏对引导区的修改,而且使大多数操作重定向。 (五)异形病毒。这是一种能变异的病毒,随着感染时间的不同,改变其不同的形式。不同的感染操作会使病毒在文件中以不同的方式出现,使传统的模式匹配法失效。 (六)宏病毒。宏病毒不只是感染可执行文件,还可感染一般应用软件程序。它会影响系统的性能以及用户的工作效率。宏病毒是利用宏语言编写的,不面向操作系统,所以它不受操作平台的约束,可以在DOS、Win-dows,Unix、Mac甚至在0S/2系统中传播。宏病毒能被传到任何可运行编写宏病毒应用程序的机器中。现在随着E-mail、WWW等强大的互联能力及宏语言的进一步强化,极大地增强了它的传播力。 2 、计算机病毒的发展可以大致划分为几个过程?每个过程的特点? 答DOS引导阶段一般需要通过软盘启动后使用.引导型病毒利用软盘的启动原理工作,它们修改系统启动扇区,在计算机启动时首先取得控制权,减少系统内存,修改磁盘读写中断,影响系统工作效率,在系统存取磁盘时进行传播。 1989年,引导型病毒发展为可以感染硬盘,典型的代表有“石头2”。我国最早出现的计算机病毒是1988年在财政部的计算机上发现的。 DOS可执行阶段 1989年,可执行文件型病毒出现,它们利用DOS系统加载执行文件的机制工作,代表为“耶路撒冷”、“星期天”病毒。病毒代码在系统执行文件时取得控制权,修改DOS中断,在系统调用时进行传染,并将自己附加在可执行文件中,使文件长度增加。 1990年,发展为复合型病毒,可感染COM和EXE文件。伴随批次阶段 1992年,伴随型病毒出现,它们利用DOS加载文件的优先顺序进行工作,具有代表性的是“金蝉”病毒,它感染EXE文件时生成一个和EXE同名但扩展名为COM的伴随体;它感染文件时,改原来的COM文件为同名的EXE文件,再产生一个原名的伴随体,文件扩展名为COM,这样,在DOS加载文件时,病毒就取得控制权.这类病毒的特点是不改变原来的文件内容,日期及属性,解除病毒时只要将其伴随体删除即可。在非DOS操作系统中,一些伴随型病毒利用操作系统的描述语言进行工作,具有典型代表的是“海盗旗”病毒,它在得到执行时,询问用户名称和口令,然后返回一个出错信息,将自身删除。批次型病毒是工作在DOS下的和“海盗旗”病毒类似的一类病毒。 3、计算机病毒特征 答 1)寄生性:计算机病毒寄生在其他程序之中,当执行这个程序时,病毒就起破坏作用,而在未启动这个程序之前,它是不易被人发觉的。(2)传染性:计算机病毒不但本身具有破坏性,更有害的是具有传染性,一旦病毒被复制或产生变种,其速度之快令人难以预防。(3)潜伏性有些病毒像定时炸弹一样,让它什么时间发作是预先设计好的。比如黑色星期五病毒,不到预定时间一点都觉察不出来,等到条件具备的时候一下子就爆炸开来,对系统进行破坏。(4)隐蔽性计算机病毒具有很强的隐蔽性,有的可以通过病毒软件检查出来,有的根本就查不出来,有的时隐时现、变化无常,这类病毒处理起来通常很困难。(5)破坏性计算机中毒后,可能会导致正常的程序无法运行,把计算机内的文件删除或受到不同程度的损坏 4、根据寄生的数据存储方式,计算机病毒可以划分为哪三个类型 按寄生方式分为引导型、文件型和复合型病毒 <1>引导型病毒又称操作系统型病毒,其病毒隐藏在操作系统的引导区,在系统启动时进入内存,监视系统运行,待机传染和破坏。常见的有“大麻”,“小球”和“火炬”病毒等。 <2>文件型病毒是寄生在文件中的计算机病毒,这种病毒感染可执行文件或数据文件。常见的有“CIH”,“DIR-2”等。影响Word文档(.doc)和Excle工作簿(.xls)进行打开、存储、关闭和清除等操作的宏病毒也是一种文件型病毒,它目前占全部病毒的80%,是病毒历史上发展最快的病毒。 <3>复合型病毒同时具有引导型和文件型病毒寄生方式的计算机病毒。它既感染磁盘的引导区又感染可执行文件。常见的有“Filp”,“One-half”等病毒. 第二章 Windows文件型病毒 1、简述文件型病毒的特点 文件型病毒是主要感染可执行文件的病毒,它通常隐藏在宿主程序中,执行宿主程序时,将会先执行病毒程序再执行宿主程序。传播方式当宿主程序运行时,病毒程序首先运行,然后驻留在内存中,再伺机感染其它的可执行程序,达到传播的目的。感染对象扩展名是COM或者EXE的文件是文件型病毒感染的主要对象。 2、PE文件中的引入表和引出表的作用有哪些? 加载器首先要知道所加载的程序调用了哪些DLL的哪些函数,然后找出这些函数的地址,把他们添入到.idata的那些DWORD 之中。那么加载器如何知道所加载的程序调用了哪些DLL的哪些函数,这就是Import Table的作用;加载器又是如何找出这些函数的地址呢,这又是Export Table的作用。寻找引入函数的真实地址,那么去哪里找呢?当PE装载器执行一个程序,它将相关DLL都装入该进程的地址空间。然后根据主程序的引入函数信息,查找相关DLL中的真实函数地址来修正主程序。PE装载器搜寻的是DLL中的引出函数,这些引出函数的信息正是放在Exprot Table(引出表)中。 3、如何校验指定文件是否为一个有效的 PE文件/? 1. 首先检验文件头部第一个字的值是否等于 IMAGE_DOS_SIGNATURE,是则 DOS MZ header 有效。 2. 一旦证明文件的 DOS header 有效后,就可用e_lfanew来定位 PE header 了。 3. 比较 PE header 的第一个字的值是否等于 IMAGE_NT_HEADER。如果前后两个值都匹配,那我们就认为该文件是一个有效的PE文件。 4、Windows系统使用了几级代码保护?操作系统代码和驱动程序代码运行在那个级别?两级、Ring 0级 第三章木马病毒分析略第四章蠕虫病毒分析略 第五章其他恶意代码分析 1、脚本病毒的传播方式有哪几种 通过E-mail附件、通过局域网共享、通过感染.htm、。Asp、。Jsp、.php等网页文件传播、通过IRC聊天通道传播。 2、注册表中的5个主要键项是什么 HKEY-CLASSES-ROOT HKEY-CURRENT-USER HKEY-LOCAL-MACHINE HKEY-USERS HKEY-CURRENT-CONFIG 3、简述脚本病毒的特点 编写简单:一个以前对病毒一无所知的病毒爱好者可以在很短的时间里编出一个新型病毒来。破坏力大:其破坏力不仅表现在对用户系统文件及性能的破坏。他还可以使邮件服务器崩溃,网络发生严重阻塞。感染力强:由于脚本是直接解释执行,并且它不需要像PE病毒那样,需要做复杂的PE文件格式处理,因此这类病毒可以直接通过自我复制的方式感染其他同类文件,并且自我的异常处理变得非常容易。传播范围大:这类病毒通过htm文档,Email附件或其它方式,可以在很短时间内传遍世界各地。病毒源码容易被获取变种多由于VBS病毒解释执行,其源代码可读性非常强,即使病毒源码经过加密处理后,其源代码的获取还是比较简单。因此,这类病毒变种比较多,稍微改变一下病毒的结构,或者修改一下特征值,很多杀毒软件可能就无能为力。欺骗性强 1. 简述计算机病毒的定义和特征。计算机病毒(Computer Virus),是一种人为制造的、能够进行自我复制的、具有对计算机资源进行破坏作用的一组程序或指令集合。计算机病毒的可执行性(程序性)、传染性、非授权性、隐蔽性、潜伏性、可触发性、破坏性、攻击的主动性、针对性、衍生性、寄生性(依附性)、不可预见性、诱惑欺骗性、持久性。 2. 计算机病毒有哪些分类方法?根据每种分类方法,试举出一到两个病毒。\ 3. 为什么同一个病毒会有多个不同的名称?如何通过病毒的名称识别病毒的类型?国际上对病毒命名的一般惯例为“前缀+病毒名+后缀”,即三元组命名规则。 1、系统病毒系统病毒的前缀为:Win32、PE、Win95、W32、W95等。 2、蠕虫病毒蠕虫病毒的前缀是:Worm。 3、木马病毒、黑客病毒木马病毒其前缀是:Trojan,黑客病毒前缀名一般为 Hack 。 4、脚本病毒脚本病毒的前缀是:Script。 5、宏病毒其实宏病毒是也是脚本病毒的一种,由于它的特殊性,因此在这里单独算成一类。宏病毒的前缀是:Macro。 6、后门病毒后门病毒的前缀是:Backdoor。 7、病毒种植程序病毒后门病毒的前缀是:Dropper。这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下,由释放出来的新病毒产生破坏。 8.破坏性程序病毒破坏性程序病毒的前缀是:Harm。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒便会直接对用户计算机产生破坏。 9.玩笑病毒玩笑病毒的前缀是:Joke。 10.捆绑机病毒捆绑机病毒的前缀是:Binder。 4. 简述计算机病毒产生的背景。 5. 计算机病毒有哪些传播途径?传播途径有两种,一种是通过网络传播,一种是通过硬件设备传播(软盘、U盘、光盘、硬盘、存储卡等)。网络传播,又分为因特网传播和局域网传播两种。 硬件设备传播:通过不可移动的计算机硬件设备传播、通过移动存储设备传播、通过无线设备传播。 6. 试比较与计算机病毒症状相似的软件故障。 7. 试比较与计算机病毒症状相似的硬件故障。 8. 计算机病毒为什么是可以防治、可以清除的? 9. 分析“新欢乐时光”病毒的源代码及其特性,结合三元组中病毒名命名优先级,分析各杀毒软件商对该病毒存在不同命名的原因。 查找相关资料,试述计算机病毒发展趋势与特点。基 于Windows的计算机病毒越来越多 计算机病毒向多元化发展新 计算机病毒种类不断涌现,数量急剧增加 计算机病毒传播方式多样化,传播速度更快 计算机病毒造成的破坏日益严重病 毒技术与黑客技术日益融合 更多依赖网络、系统漏洞传播,攻击方式多种多样 本文来源:https://www.dywdw.cn/4a8802ae76c66137ef061918.html
下载此文档
搜索文档
阅读:
文档下载
2022-07-14
