计算机病毒课后题

第一章计算机病毒概述

1、什么是计算机病毒？计算机病毒包括哪几类程序？

答编制者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码被称为计算机病毒（Computer Virus）。具有破坏性，复制性和传染性。

(一)文件类病毒。该病毒在操作系统执行文件时取得控制权并把自己依附在可执行文件上，然后利用这些指令来调用附在文件中某处的病毒代码。当文件执行时，病毒会调出自己的代码来执行，接着又返回到正常的执行序列。通常，这些病毒发作迅速且隐蔽性强，以至于用户并不知道病毒代码已被执行。

(二)引导扇区病毒。它会潜伏在硬盘的引导扇区或主引导记录中。触发引导区病毒的典型事件是系统日期和时间被篡改。

(三)多裂变病毒。多裂变病毒是文件和引导扇区病毒的混合，它能感染可执行文件，从而能在网上迅速传播蔓延。

(四)隐蔽病毒。这种病毒通过挂接中断修改和隐藏真面目，具有很大的欺骗性。因此，当某系统函数被调用时，这些病毒便“伪造”结果，使一切看起来正常。秘密病毒摧毁文件的方式是伪造文件大小和日期，隐藏对引导区的修改，而且使大多数操作重定向。

(五)异形病毒。这是一种能变异的病毒，随着感染时间的不同，改变其不同的形式。不同的感染操作会使病毒在文件中以不同的方式出现，使传统的模式匹配法失效。

(六)宏病毒。宏病毒不只是感染可执行文件，还可感染一般应用软件程序。它会影响系统的性能以及用户的工作效率。宏病毒是利用宏语言编写的，不面向操作系统，所以它不受操作平台的约束，可以在DOS、Win-dows,Unix、Mac甚至在0S／2系统中传播。宏病毒能被传到任何可运行编写宏病毒应用程序的机器中。现在随着E-mail、WWW等强大的互联能力及宏语言的进一步强化，极大地增强了它的传播力。

2 、计算机病毒的发展可以大致划分为几个过程？每个过程的特点？

答DOS引导阶段一般需要通过软盘启动后使用.引导型病毒利用软盘的启动原理工作，它们修改系统启动扇区，在计算机启动时首先取得控制权，减少系统内存，修改磁盘读写中断，影响系统工作效率，在系统存取磁盘时进行传播。1989年，引导型病毒发展为可以感染硬盘，典型的代表有“石头2”。我国最早出现的计算机病毒是1988年在财政部的计算机上发现的。

DOS可执行阶段1989年，可执行文件型病毒出现，它们利用DOS系统加载执行文件的机制工作，代表为“耶路撒冷”、“星期天”病毒。病毒代码在系统执行文件时取得控制权，修改DOS中断，在系统调用时进行传染，并将自己附加在可执行文件中，使文件长度增加。1990年，发展为复合型病毒，可感染COM和EXE文件。伴随批次阶段1992年，伴随型病毒出现，它们利用DOS加载文件的优先顺序进行工作，具有代表性的是“金蝉”病毒，它感染EXE文件时生成一个和EXE同名但扩展名为COM的伴随体；它感染文件时,改原来的COM文件为同名的EXE文件，再产生一个原名的伴随体，文件扩展名为COM，这样，在DOS加载文件时，病毒就取得控制权.这类病毒的特点是不改变原来的文件内容，日期及属性，解除病毒时只要将其伴随体删除即可。在非DOS操作系统中，一些伴随型病毒利用操作系统的描述语言进行工作，具有典型代表的是“海盗旗”病毒，它在得到执行时，询问用户名称和口令，然后返回一个出错信息，将自身删除。批次型病毒是工作在DOS下的和“海盗旗”病毒类似的一类病毒。

3、计算机病毒特征

答1）寄生性：计算机病毒寄生在其他程序之中，当执行这个程序时，病毒就起破坏作用，而在未启动这个程序之前，它是不易被人发觉的。（2）传染性：计算机病毒不但本身具有破

坏性，更有害的是具有传染性，一旦病毒被复制或产生变种，其速度之快令人难以预防。（3）潜伏性有些病毒像定时炸弹一样，让它什么时间发作是预先设计好的。比如黑色星期五病毒，不到预定时间一点都觉察不出来，等到条件具备的时候一下子就爆炸开来，对系统进行破坏。（4）隐蔽性计算机病毒具有很强的隐蔽性，有的可以通过病毒软件检查出来，有的根本就查不出来，有的时隐时现、变化无常，这类病毒处理起来通常很困难。（5）破坏性计算机中毒后，可能会导致正常的程序无法运行，把计算机内的文件删除或受到不同程度的损坏

4、根据寄生的数据存储方式，计算机病毒可以划分为哪三个类型

按寄生方式分为引导型、文件型和复合型病毒

<1>引导型病毒又称操作系统型病毒，其病毒隐藏在操作系统的引导区，在系统启动时进入内存，监视系统运行，待机传染和破坏。常见的有“大麻”，“小球”和“火炬”病毒等。<2>文件型病毒是寄生在文件中的计算机病毒，这种病毒感染可执行文件或数据文件。常见的有“CIH”，“DIR-2”等。影响Word文档(.doc）和Excle工作簿（.xls）进行打开、存储、关闭和清除等操作的宏病毒也是一种文件型病毒，它目前占全部病毒的80%,是病毒历史上发展最快的病毒。

<3>复合型病毒同时具有引导型和文件型病毒寄生方式的计算机病毒。它既感染磁盘的引导区又感染可执行文件。常见的有“Filp”，“One-half”等病毒.

第二章Windows文件型病毒

1、简述文件型病毒的特点

文件型病毒是主要感染可执行文件的病毒，它通常隐藏在宿主程序中，执行宿主程序时，将会先执行病毒程序再执行宿主程序。传播方式当宿主程序运行时，病毒程序首先运行，然后驻留在内存中，再伺机感染其它的可执行程序，达到传播的目的。感染对象扩展名是COM 或者EXE的文件是文件型病毒感染的主要对象。

2、PE文件中的引入表和引出表的作用有哪些？

加载器首先要知道所加载的程序调用了哪些DLL的哪些函数，然后找出这些函数的地址，把他们添入到.idata的那些DWORD 之中。那么加载器如何知道所加载的程序调用了哪些DLL 的哪些函数，这就是Import Table的作用；加载器又是如何找出这些函数的地址呢，这又是Export Table的作用。寻找引入函数的真实地址，那么去哪里找呢？当PE装载器执行一个程序，它将相关DLL都装入该进程的地址空间。然后根据主程序的引入函数信息，查找相关DLL中的真实函数地址来修正主程序。PE装载器搜寻的是DLL中的引出函数，这些引出函数的信息正是放在Exprot Table(引出表)中。

3、如何校验指定文件是否为一个有效的PE文件/？ 1. 首先检验文件头部第一个字的值是否等于IMAGE_DOS_SIGNATURE，是则DOS MZ header 有效。 2. 一旦证明文件的DOS header 有效后，就可用e_lfanew来定位PE header 了。 3. 比较PE header 的第一个字的值是否等于IMAGE_NT_HEADER。如果前后两个值都匹配，那我们就认为该文件是一个有效的PE文件。

4、Windows系统使用了几级代码保护？操作系统代码和驱动程序代码运行在那个级别？两级、Ring 0级

第三章木马病毒分析略第四章蠕虫病毒分析略

第五章其他恶意代码分析

1、脚本病毒的传播方式有哪几种

通过E-mail附件、通过局域网共享、通过感染.htm、。Asp、。Jsp、.php等网页文件传播、通过IRC聊天通道传播。

2、注册表中的5个主要键项是什么HKEY-CLASSES-ROOT HKEY-CURRENT-USER HKEY-LOCAL-MACHINE HKEY-USERS HKEY-CURRENT-CONFIG