病毒简答题答案

A卷简答题：

1. 简述木马的定义、基本特征以及传播特性。（P6

2.7）

答：木马是指隐藏在正常程序中的一段具有特殊功能的恶意代码，具备破坏和删除文件、窃取密码、记录键盘、攻击等功能，会破坏用户系统甚至使用户系统瘫痪。

基本特征：隐藏性、自动运行性、欺骗性、自动恢复功能、自动打开特别的端口、具备特殊功能。

传播特性：a.以邮件附件形式传播；b.通过QQ，ICQ等聊天工具软件传播；c.通过提供软件下载的网站（Web/FTP/BBS）传播；d.通过一般的病毒和蠕虫传播；e.通过带木马的磁盘和光盘进行传播。

2．什么是网络钓鱼？网络钓鱼主要手段有哪几种？(P148.6)

答：网络钓鱼是一种利用Internet实施的网络诈骗，通过发送声称来自知名机构的欺骗性邮件及伪造web站点进行欺骗活动，以得到受骗者的个人信息，如信用卡账号密码等。

主要手段：a.利用电子邮件；b.利用木马程序c.利用虚拟网址d.假冒知名网站e.利用即时通信消息攻击f.综合钓鱼法。

3. 什么是花指令？花指令有什么作用？

答：花指令指的是计算机病毒作者为了欺骗反汇编软件，迷惑分析人员，给分析工作增添障碍而在计算机代码中添加的看似有用，其实一无是处的代码。

花指令的作用是：a.欺骗反汇编软件，使其显示不正确的反汇编结果；b.干扰病毒分析人员，给分析工作添加障碍；c.改变程序代码特征。

4. 什么是启发式分析，启发式分析的基本原理是什么？(P170)

答：启发式分析是利用计算机病毒的行为特征，结合以往的知识和经验，对未知的可疑病毒进行分析与识别。它的基本原理是通过对一系列病毒代码的分析，提取一种广谱特征码，即代表病毒的某一种行为特征的特殊程序代码；然后通过多种广谱特征码，综合考虑各种因素，确定到底是否是病毒，是哪一种病毒。

5. 什么是脚本病毒和WSH？二者是何关系？(P111，112)

答：脚本病毒：是指利用.asp、.htm、.html、.vbs、.js等类型的文件进行传播的基于VB Script 和Java Script脚本语言并由Windows Scripting Host解释执行的一类病毒。

WSH：是Windows Scripting Host的缩写，含义为“Windows脚本宿主”。它内嵌与Windows 操作系统中的脚本语言工作环境，主要负责脚本的解释和执行。

关系：WSH是脚本病毒的执行环境。

B卷简答题：

1. 什么是宏病毒？其运作原理如何？(P12)

答：宏病毒是一种寄存在文档或模板的宏中的计算机病毒。运作原理：一旦打开这样的文档，宏病毒就会被激活并转移到计算机上，并驻留在Normal模板上。此后，所有自动保存的文档都会“感染”上这种宏病毒，而且如果其他用户打开了感染病毒的文档，宏病毒又会转移到他的计算机上；即当触发条件满足时，宏病毒就会开始传染、表现和破坏。

2. 简述蠕虫的定义、基本特征以及传播特性。

答：蠕虫是一种通过网络传播的恶意病毒。特征：较强独立性、利用漏洞主动攻击、更快更广的传播方式、更好的伪装和隐藏性、更加先进的技术手段。

传播特性：a.利用微软的系统漏洞攻击计算机网络；b.利用E-mail迅速传播。

3. 什么是网页挂马？网页挂马有几种方式？(P122)

答：网页挂马是指在获取网站或网站服务器的部分或全部权限后，在网页文件中插入一段恶意代码，这些恶意代码主要是一些利用IE等漏洞的代码，用户访问被挂马的页面时，如果系统没有更新恶意代码中利用的漏洞补丁，则会执行恶意代码程序，进行盗号等危险操作。网页挂马方式：a.在框架中挂马；b.在.js文件中挂马；c. .js文件变形加密；d.flash木马；e.不惦记出现链接的木马；f.隐藏挂马；g.在.css文件中挂马；h.在.java文件中挂马；i.图片伪装；j.伪装调用。

4. 计算机病毒如何抵制反病毒中的仿真技术？(P162)

答：a.使用未公开的CPU指令b.使用不被仿真器支持的系统原生API；c.使用多线程、多进程；d.使用超大的循环；e.检测指令运行间隔时间。

5．简述病毒实时监控技术的基本原理。

答：病毒实时监控其实就是一个文件监视器，它会在文件中打开、关闭、消除、写入等操作时检查文件是否是病毒携带着，如果是，则根据用户选择不同的处理方案。如清除病毒，禁止访问文件，删除文件或简单的忽略。这样就可以有效地避免病毒在本地机器上的感染传播，因为可执行文件在执行时首先打开文件，而这个请求又一定在实时监控的第一时间被截获到，确保了每次执行时都是干净的文件，从而不给病毒任何执行和发作的机会。