计算机病毒复习资料
计算机病毒复习整理
第一章病毒定义、特征定义:计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
特征:传染性潜伏性可触发性破坏性破坏性体现对计算机数据信息的直接破坏,如引导区、FAT表等,甚至格式化硬盘等占用系统资源(内存、CPU时间等)干扰系统的正常工作(如显示不正常)删除、修改磁盘上的文件或毁坏整个系统对计算机硬件的破坏(CIH)盗版及泄露信息等网络病毒破坏网络系统病毒与正常程序区别①正常程序是具有应用功能的完整程序,以文件形式存在,具有合法文件名;而病毒一般不以文件的形式独立存在,一般没有文件名,它隐藏在正常程序和数据文件中,是一种非完整的程序;②正常程序依照用户的命令执行,完全在用户的意愿下完成某种操作,也不会自身复制;而病毒在用户完全不知的情况下运行,将自身复制到其他正常程序中,而且与合法程序争夺系统的控制权,甚至进行各种破坏。
分类:引导型病毒、文件型病毒、宏病毒、混合型病毒 引导型病毒病毒或病毒的部分程序潜入到硬盘或软盘的引导区,当系统启动时,先执行病毒程序,使系统带毒工作并伺机发作。
如大麻病毒。
文件型病毒它感染扩展名为.COM、.EXE、.OVL、.DOC等可执行文件或Word文档,当运行带病毒程序时,才将病毒带入内存中,之后,病毒传染扩充。
如耶路撒冷病毒。
混合型病毒这类病毒既传染磁盘引导区,又传染可执行文件。
如幽灵病毒。
宏病毒当打开带宏病毒的Word文当时即可发作。
病毒的发展过程、典型事例病毒的来源、产生的因素来源:(1)一些计算机爱好者出于好奇或兴趣(2)产生于个别人的报复心理(3)来源于软件加密(4)产生于游戏(5)用于研究或实验而设计的“有用”程序(6)由于政治经济和军事等特殊目的主要因素总体来说,计算机系统、因特网的脆弱性是产生计算机病毒的根本技术原因;计算机科学技术的不断进步,个人计算机的快速普及及应用是产生计算机病毒的加速器;人性心态与人的价值观念和法制的定位是产生计算机病毒的社会基础;基于政治、军事等方面的特殊目的是计算机病毒应用产生质变的催化剂。
计算机病毒复习题(最终修改不完整版)
2.选择题1.计算机病毒是(C)A.被损坏的程序B.硬件故障C.一段特制的程序D.芯片霉变2.计算机病毒的危害主要造成(D)A.磁盘破坏B.计算机用户的伤害C.CPU的损坏D.程序和数据的破坏3.新买回来的未格式化的软盘(A)A.可能会有计算机病毒B.与带病毒的软盘放在一起会有计算机病毒C.一定没有计算机病毒D.经拿过带病毒的软盘的手碰过后会感染计算机病毒4.计算机病毒一般由(ABCD)四大部分组成。
A.感染模块B.触发模块C.破坏模块D.引导模块E.执行模块5.计算机病毒生命周期中,存在(B)和(C)两种状态。
A.静态B.潜伏态C.发作态D.动态6.在Windows 32 位操作系统中,其EXE文件中的特殊表示为(B)A.MZB.PEC.NED.LE7.能够感染EXE、COM 文件的病毒属于(C)。
A.网络型病毒B.蠕虫型病毒C.文件型病毒D.系统引导型病毒8.著名特洛伊木马“网络神偷”采用的隐藏技术是(A)A.反弹式木马技术B.远程线程插入技术C.ICMP协议技术D. 远程代码插入技术9.下列(B)不是常用程序的默认端口。
A.80B.8080C.23D.219.第一个真正意义的宏病毒起源于(A)应用程序。
A. WordB. Lotus 1-2-3C. ExcelD. PowerPoint10.总结移动终端的恶意代码感染机制,其感染途径主要分为(ABC)A.终端—终端B.终端—网关—终端C.PC(计算机)—终端 D .终端—PC11.移动终端的恶意代码的攻击方式分为(ABCDE)A.短信息攻击B.直接攻击手机C.攻击网关D.攻击漏洞E.木马型恶意代码12.下列病毒中(C)计算机病毒不是蠕虫病毒。
A.冲击波B.震荡波C. CIHD.尼姆达13.蠕虫和从传统计算机病毒的区别主要体现在(B)上。
A.存在形式B.传染机制C.传染目标D.破坏方式14.多数流氓软件具有的特征是(ABCD)A.强迫安装B.无法卸载C.干扰使用D.病毒和黑客特征15.从技术角度讲,数据备份的策略主要包括(ACD)A.完全备份B.差别备份C.增量备份D.差分备份16.下列描述不正确的是(B)A.不存在能够防治未来的所有病毒的发病毒软、硬件B.现在的杀毒软件能够查杀未知病毒C.病毒产生在前,反病毒手段相对滞后D.数据备份是防治数据丢失的重要手段1.填空题(1)计算机病毒是编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。
《计算机病毒与防范》复习提纲.doc
一、单项选择题(本大题共10小题,每小题2分,共20分) 在每小题列出的四个备选项中只有一个最符合题目要求, 请将其代码填写在题后的括号内。
错选、多选或未选均无分。
B. 和没有生命的病毒相比,蠕虫是一种有繁殖能力的小虫子C. 蠕虫比病毒更经常删除注册表健值和更改系统文件D. 嚅虫更有可能损害被感染的系统4. 主要危害系统文件的病毒是( B )A. 文件型B.引导型C.网络病毒D.复合型5. 一般意义上,木马是( D ) oA. 具有破坏力的软件B. 以伪装善意的面口出现,但具有恶意功能的软件C. 不断自我复制的软件D. 窃取用户隐私的软件6. 计算机病毒根据与被感染对象的关系分类,可分为(A ) oA. 引导区型、文件型、混合型B. 原码型、外壳型、复合型和网络病毒C. 寄生型、伴随型、独立型D. 良性型、恶性型、原码型和外壳型7. 下面哪种情况可能会成为远程执行代码的高危漏洞()。
A. 原内存块的数据不可以被改写B. 存在根据原内存块中的数据盲接或间接地改变程序执行流程的代码C. 假冒知名网站D. 浏览器劫持8. 若岀现下列现象( C )时,应首先考虑计算机感染了病毒。
A. 不能读取光盘B.系统报告磁盘已满1. A. B. C.C/D )的说法最准确地说明了对用户权限的限制有助于防范木马病毒。
如果用户没冇删除程序的权限, 如果用户没冇删除程序的权限,如果用户没有安装程序的权限, 如果用户没冇安装程序的权限,D. 2.和普通病毒相比,蠕虫最重要的特点是(A.蠕虫可以传播得更为广泛那么也就无法更改系统的安金设置 那么也能删除杀毒软件和反木马病毒软件 那么安装木马程序的可能性也将减少 那么也就无法安装木马病毒程序C.程序运行速度明显变慢D.开机启动Windows 先扫描硬盘9. 按照目前比较普遍的分类方法,下面哪类软件不属于流氓软件(D ) oA.广告软件B.间谍软件及行为记录软件C.强制安装的恶意共享软件D.感染了宏病毒的Word 文件10. 以下方法中,不适用于检测计算机病毒的是( C ) oA.特征代码法B.校验和法C.加壳D.软件模拟法二、多项选择题(本大题共10小题,每小题2分,共20分)在每小题的备选 项中有多个选项符合题目要求,请将其代码填写在题后的括号内。
计算机病毒知识与防治学习资料
计算机病毒知识与防治学习资料一.什么是计算机病毒“计算机病毒”为什么叫做病毒。
首先,与医学上的“病毒”不同,它不是天然存在的,是某些人利用计算机软、硬件所固有的脆弱性,编制具有特殊功能的程序。
其能通过某种途径潜伏在计算机存储介质(或程序)里,当达到某种条件时即被激活,它用修改其他程序的方法将自己的精确拷贝或者可能演化的形式放入其他程序中,从而感染它们,对计算机资源进行破坏的这样一组程序或指令集合。
1994年2月18日,我国正式颁布实施了《中华人民共和国计算机信息系统安全保护条例》,在《条例》第二十八条中明确指出:“计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
”二.病毒起源1983年11月3日,弗雷德·科恩(FRED COHEN) 博士研制出一种在运行过程中可以复制自身的破坏性程序,伦·艾德勒曼(LEN ADLEMAN) 将它命名为计算机病毒(COMPUTER VIRUSES),并在每周一次的计算机安全讨论会上正式提出,8 小时后专家们在VAX11/750 计算机系统上运行,第一个病毒实验成功,一周后又获准进行5个实验的演示,从而在实验上验证了计算机病毒的存在。
1986年初,在巴基斯坦的拉合尔(LAHORE),巴锡特(BASIT) 和阿姆杰德(AMJAD) 两兄弟经营着一家IBM-PC 机及其兼容机的小商店。
他们编写了PAKISTAN 病毒,即BRAIN。
在一年内流传到了世界各地。
1988 年3 月2 日,一种苹果机的病毒发作,这天受感染的苹果机停止工作,只显示“向所有苹果电脑的使用者宣布和平的信息”。
以庆祝苹果机生日。
1988年11 月2 日,美国六千多台计算机被病毒感染,造成INTERNET不能正常运行。
这是一次非常典型的计算机病毒入侵计算机网络的事件,迫使美国政府立即做出反应,国防部成立了计算机应急行动小组。
计算机病毒学期末考试复习要点
计算机病毒学期末考试复习要点第一篇:计算机病毒学期末考试复习要点计算机病毒学复习大纲“黑色星期五”在逢13号的星期五发作。
中国的“上海一号”在每年3月、6月及9月的13日发作。
CHI病毒:v1.2版本的发作日期是每年的4月26日,v1.3版本是每年的6月26号,v1.4版本是每月的26日。
Happytime(欢乐时光)病毒发作的条件是月份与日期之和等于13。
“求职信”病毒在单月的6日和13日发作。
(P3)根据寄生的数据存储方式计算机病毒可划分为三种类型:引导区型、文件型、混合型。
(P7)宏病毒是一种寄存于文档或模板的宏中的计算机病毒。
宏病毒一般用Visual Basic编写,是寄存在Microsoft Office文档上的宏代码。
(P12)PE文件:Protable Executable File Format(可移植的执行体)。
最有名的PE格式的病毒是CIH病毒。
(P31)VxD:虚拟设备驱动程序(P32)。
木马系统软件一般由:木马配置程序、控制程序和木马程序(服务器程序)3部分组成。
(P53)大多数特洛伊木马包括包括客户端和服务器端两个部分。
DDoS:分布式拒绝服务攻击。
“灰鸽子”是国内一款著名木马病毒。
(P57)蠕虫病毒通常由两部分组成:一个主程序和一个引导程序。
(P64)蠕虫病毒与普通病毒的区别:一般的病毒是寄生的,可以通过其指令的执行,将自己的指令代码写到其他程序体内,而被感染的文件就被称为“宿主”。
蠕虫一般不采取利用PE格式插入文件的方法,而是通过复制自身在Internet环境下进行传播。
病毒的传染能力主要是针对计算机内的文件系统而言,而蠕虫病毒的感染目标是Internet内的所有计算机。
(P65)几种典型的蠕虫病毒:“尼姆达”(nimda)病毒、“震荡波”病毒、“红色代码”病毒、“SCO炸弹”病毒、“斯文”病毒、“熊猫烧香”病毒。
(P66)“震荡波”病毒利用Windows的LSASS中存在一个缓冲区溢出漏洞进行攻击,监听TCP5554端口。
2024年度计算机病毒知识与防治学习资料
03
谨慎下载和安装插件
在下载和安装插件时要选择可 信赖的来源,并仔细阅读相关
说明和权限要求。
04
配置安全选项
根据实际需求配置应用软件的 安全选项,如启用防病毒扫描
、限制文件下载等。
2024/2/3
14
网络通信安全保障方法
使用安全的网络连接
避免使用公共无线网络进行敏感信息的传输,尽 量使用加密的VPN等安全连接方式。
遵循操作指南
按照清除工具的操作指南进行操作, 确保清除过程的安全和有效。
18
手动清除技巧分享
识别病毒文件
通过任务管理器、系统日志等方式识别 病毒文件和相关进程。
删除病毒文件
使用命令行或文件管理器删除病毒文件 和相关注册表项。
2024/2/3
终止病毒进程
在安全模式下终止病毒进程,防止病毒 自我复制或破坏系统文件。
15
04
计算机病毒检测与清除技 术2024/2/316
常见检测方法介绍及原理剖析
特征代码法
通过搜索病毒的特征代码来判 断病毒是否存在,原理是每种 病毒都有其独特的代码序列。
2024/2/3
校验和法
通过计算文件的校验和并与原 始值比较,判断文件是否被篡 改,从而检测病毒。
行为监测法
利用病毒的行为特征(如自我 复制、修改系统文件等)进行 监测和判断。
防范网络钓鱼攻击
提高警惕,不轻易点击可疑链接或下载未知来源 的附件,避免泄露个人信息或感染恶意软件。
2024/2/3
配置安全的网络参数
确保网络设备(如路由器、交换机等)的安全设 置得到合理配置,如关闭不必要的端口和服务、 启用访问控制列表(ACL)等。
定期备份数据
《计算机病毒》复习思考题及答案
《计算机病毒》复习思考题第一章计算机病毒概述1. 简述计算机病毒的定义和特征。
计算机病毒(Computer Virus),是一种人为制造的、能够进行自我复制的、具有对计算机资源进行破坏作用的一组程序或指令集合。
计算机病毒的可执行性(程序性)、传染性、非授权性、隐蔽性、潜伏性、可触发性、破坏性、攻击的主动性、针对性、衍生性、寄生性(依附性)、不可预见性、诱惑欺骗性、持久性。
2. 计算机病毒有哪些分类方法?根据每种分类方法,试举出一到两个病毒。
3. 为什么同一个病毒会有多个不同的名称?如何通过病毒的名称识别病毒的类型?国际上对病毒命名的一般惯例为“前缀+病毒名+后缀”,即三元组命名规则。
1、系统病毒系统病毒的前缀为:Win32、PE、Win95、W32、W95等。
2、蠕虫病毒蠕虫病毒的前缀是:Worm。
3、木马病毒、黑客病毒木马病毒其前缀是:Trojan,黑客病毒前缀名一般为Hack 。
4、脚本病毒脚本病毒的前缀是:Script。
5、宏病毒其实宏病毒是也是脚本病毒的一种,由于它的特殊性,因此在这里单独算成一类。
宏病毒的前缀是:Macro。
6、后门病毒后门病毒的前缀是:Backdoor。
7、病毒种植程序病毒后门病毒的前缀是:Dropper。
这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下,由释放出来的新病毒产生破坏。
8.破坏性程序病毒破坏性程序病毒的前缀是:Harm。
这类病毒的公有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒便会直接对用户计算机产生破坏。
9.玩笑病毒玩笑病毒的前缀是:Joke。
10.捆绑机病毒捆绑机病毒的前缀是:Binder。
4. 简述计算机病毒产生的背景。
5. 计算机病毒有哪些传播途径?传播途径有两种,一种是通过网络传播,一种是通过硬件设备传播(软盘、U盘、光盘、硬盘、存储卡等)。
网络传播,又分为因特网传播和局域网传播两种。
硬件设备传播:通过不可移动的计算机硬件设备传播、通过移动存储设备传播、通过无线设备传播。
计算机期末复习题计算机病毒
计算机期末复习题计算机病毒计算机期末复习题:计算机病毒计算机病毒是指一种能够自动复制并且传播到其他计算机上的计算机程序,其目的是破坏、修改或者盗取计算机数据。
对于计算机安全的学习和了解,计算机病毒始终是一个重要的话题。
本文将回顾计算机病毒的定义、特征、传播方式以及如何防范计算机病毒等内容,帮助读者更好地复习计算机期末考试。
一、计算机病毒的定义和特征1. 定义:计算机病毒是一种能够自我复制和传播的恶意软件。
它通常隐藏在其他正常的计算机程序中,并在不被察觉的情况下感染计算机系统。
2. 特征:计算机病毒具有以下几个特征:a) 自我复制:计算机病毒能够自我复制并传播给其他计算机或文件系统。
b) 恶意行为:计算机病毒具有破坏、修改、删除或获取计算机数据的能力。
c) 隐蔽性:计算机病毒会试图隐藏自己,使用户难以发现其存在。
d) 依赖性:计算机病毒依赖于宿主文件或计算机系统才能进行传播和执行恶意行为。
二、计算机病毒的传播方式计算机病毒可以通过多种方式传播,以下是几种常见的传播途径:1. 可执行文件感染:病毒将自身代码嵌入到可执行文件中,当用户执行这些文件时,病毒会激活并感染其他文件。
2. 电子邮件附件:病毒利用电子邮件的附件来传播自己,一旦用户打开或下载附件,病毒就会感染计算机系统。
3. 可移动存储介质感染:病毒将自己复制到U盘、移动硬盘等可移动存储介质中,当用户插入感染的介质时,病毒会自动传播到计算机系统。
4. 网络传播:病毒通过互联网进行传播,利用漏洞、弱密码等方式侵入其他计算机系统,并在其中复制和传播自己。
三、如何防范计算机病毒为了保护计算机和数据安全,我们需要采取以下措施来防范计算机病毒:1. 安装杀毒软件:选择一款可信赖的杀毒软件,并及时更新病毒库。
杀毒软件能够帮助检测和清除计算机病毒。
2. 避免点击可疑链接:在互联网上,避免点击来自不明来源的链接,尤其是通过电子邮件、社交网络等途径传来的链接。
3. 谨慎打开附件:对于来自陌生人或者不信任的邮件附件,尽量不要打开或者下载,确保附件的安全性。
计算机期末复习题 计算机病毒
计算机病毒选择题题库A) 微生物感染B) 化学感染C) 特制的具有破坏性的程序D) 幻觉A) 计算机病毒是程序,计算机感染病毒后,可以找出病毒程序,进而清除它B) 只要计算机系统能够使用,就说明没有被病毒感染C) 只要计算机系统的工作不正常,一定是被病毒感染了D) U 盘写保护后,使用时一般不会被感染上病毒A) 恶性B) 良性C) 引导型D) 定时发作型A) 管理B) 技术C) 硬件D) 管理和技术A) 是有时间性的,不能消除B) 是一种专门工具,可以消除C) 有的功能很强,可以消除D) 有的功能很弱,不能消除A) 保护软盘清洁 B) 不要把此软盘与有病毒的软盘放在一起C) 进行写保护D) 定期对软盘进行格式化A) 从键盘输入统计数据B) 运行外来程序 C) 软盘表面不清洁 D) 机房电源不稳定A) 只会感染,不会致病B) 会感染致病,但无严重危害C) 不会感染D) 产生的作用尚不清楚A) 传播性,潜伏性,破坏性B) 传播性,破坏性,易读性C) 潜伏性,破坏性,易读性D) 传播性,潜伏性,安全性A) 应用程序B) 文档或模板C) 文件夹D) 具有“隐藏”属性的文件A) 生物病菌B) 生物病毒C) 计算机程序D)有害的言论文档A) 游戏软件常常是计算机病毒的载体B) 用消毒软件将一片软盘消毒之后,该软盘就没有病毒了 C) 尽量做到专机专用或安装正版软件,是预防计算机病毒D) 计算机病毒在某些条件下被激活之后,才开始起干扰和的有效措施破坏作用A) 磁盘B) 计算机网络C) 操作员D) 磁盘和计算机网络A) 隐蔽性B) 自由性C) 传染性D) 危险性A) 使磁盘引导扇区被破坏以至于不能启动微机B) 使磁盘一块一块地逐渐碎裂C) 使磁盘的写保护不能再实现写保护D) D、使微机的电源不能打开A) 人为制造,手段隐蔽B) 破坏性和传染性C) 可以长期潜伏,不易发现D) 危害严重,影响面广A) 对系统软件加上写保护B) 对计算机网络采取严密的安全措施C) 切断一切与外界交换信息的渠道D) 不使用来历不明的、未经检测的软件A) 特殊的计算机部件B) 游戏软件C) 人为编制的特殊程序D) 能传染的生物病毒A) 计算机病毒是一个标记或一个命令B) 计算机病毒是人为制造的一种程序C) 计算机病毒是一种通过磁盘、网络等媒介传播、扩散,并能传染其它程序的程序D) 计算机病毒是能够实现自身复制,并借助一定的媒体存在的具有潜伏性、传染性和破坏性的程序A) 反病毒软件通常滞后于计算机新病毒的出现B) 反病毒软件总是超前于病毒的出现,它可以查、杀任何种类的病毒C) 感染过计算机病毒的计算机具有对该病毒的免疫性D) 计算机病毒会危害计算机用户的健康A) 磁盘空间变小B) 系统出现异常启动或经常“死机”C) 程序或数据突然丢失D) 以上都是A) 传播媒介是网络B) 可通过电子邮件传播C) 网络病毒不会对网络传输造成影响D) 与单机病毒比较,加快了病毒传播的速度A)特殊的计算机部件B)游戏软件C)人为编制的特殊程序D)能传染的生物病毒A)病毒是利用计算机软、硬件所固有的脆弱性,编制具有特殊功能的程序B)计算机病毒具有传染性、隐蔽性、潜伏性C) 有效的查杀病毒的方法是多种杀毒软件交叉使用D)计算机病毒只会通过后缀为EXE的文件传播A) 恶性B) 良性C) 引导型D) 定时发作型A) 会感染,但不会致病B) 会感染致病,但无严重危害C) 不会感染D) 产生的作用尚不清楚A) 从键盘输入统计数据B) 运行外来程序C) 软盘表面不清洁D) 机房电源不稳定A) 计算机病毒是一个标记或一个命令B) 计算机病毒是人为制造的一种程序C) 计算机病毒是一种通过磁盘、网络等媒介传播、扩散并传染其他程序的程序D) 计算机病毒是能够实现自身复制,并借助一定的媒体存储,具有潜伏性、传染A) 计算机运行速度变慢B) 文件长度变长C) 不能执行某些文件D) 以上都对A) 用户识别B) 权限控制C) 数据加密D) 病毒控制A) 传播性、潜伏性和破坏性B) 传播性、潜伏性和易读性C) 潜伏性、破坏性和易读性D) 传播性、潜伏性和安全性A) 可执行文件B) 引导扇区/分区表C) Word/Excel文档D) 数据库文件A) 每天都要对硬盘和软盘进行格式化B) 决不玩任何计算机游戏C) 不同任何人交流D) 不用盗版软件和来历不明的磁盘A) CPU 的烧毁B) 磁盘驱动器的损坏C) 程序和数据的破坏D) 磁盘的物理损坏A) 消除已感染的所有病毒B) 发现并阻止任何病毒的入侵C) 杜绝对计算机的侵害D) 发现病毒入侵的某些迹象并及时清除或提醒操作者A) 匿名上网B) 总在晚上上网C) 在网上私闯他人计算机系统D) 不花钱上网A) 在计算机内存中运行病毒程序B) 对磁盘进行读/写操作C) A 和B 不是必要条件D) A 和B 均要满足A) 删除已感染病毒的磁盘文件B) 用杀毒软件处理 C) 删除所有磁盘文件D) .彻底格式化磁盘A) 计算机病毒是人为编制的一段恶意程序B) 计算机病毒不会破坏计算机硬件系统C) 计算机病毒的传播途径主要是数据存储介质的交换以及网络的链路D) 计算机病毒具有潜伏性A) 计算机病毒可以烧毁计算机的电子元件B) 计算机病毒是一种传染力极强的生物细菌C) 计算机病毒是一种人为特制的具有破坏性的程序D)计算机病毒一旦产生,便无法清除A) 计算机要经常使用,不要长期闲置不用B) 为了延长计算机的寿命,应避免频繁开关计算机C)在计算机附近应避免磁场干扰D) 计算机用几小时后,应关机一会儿再用A) 设备有异常现象,如显示怪字符,磁盘读不出B) 在没有操作的情况下,磁盘自动读写 C) 装入程序的时间比平时长,运行异常D)以上说法都是A) 不正常关机B) 光盘表面不清洁 C) 错误操作D) 网上下载文件A) 计算机病毒具有潜伏性B) 计算机病毒具有传染性C)感染过计算机病毒的计算机具有对该D) 计算机病毒是一个特殊的寄生程序病毒的免疫性A) 通过键盘输入数据时传入B) 通过电源线传播C) 通过使用表面不清洁的光盘D) 通过Internet网络传播A) 丢弃不用B) 删除所有文件C) 重新格式化D)删除A) 计算机病毒是一个标记或一个命令B) 计算机病毒是人为制造的一种程序C) 计算机病毒是一种通过磁盘、网络等媒介传播、扩散,并能传染其它程序的程序D)计算机病毒是能够实现自身复制,并借助一定的媒体存在的具有潜伏性、传染性和破坏性的程序A) 计算机病毒是一种人为的破坏性程序B)计算机被病毒感染后,只要用杀毒软件就能清除全部的病毒C) 计算机病毒能破坏引导系统和硬盘数据D)计算机病毒也能通过下载文件或电子邮件传播3591.对于微机用户来说,为了防止计算机意外故障而丢失重要数据,对重要数据应定期进行备份。
计算机病毒 期末复习
病毒引导模块病毒传染模块病毒表现模块计算机病毒总结考试题型:选择:15道*2分/题=30 填空:10空*2分/题=20 简答:5题*6分/题=30 综合分析: 2题*10分/题=20一.课本概念:1.(1.2)计算机病毒的基本概念1) 计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
2) 计算机病毒的一般特征:程序性(计算机病毒具有正常程序的一切特征:可存储型,可执行性);传染性;……3) 病毒的命名:蠕虫病毒(Worm ) 宏病毒(Macro )2.(2.1)计算机病毒的工作过程:病毒程序的生命周期 病毒程序的典型组成示意图3.(5.3.9)启动式代码扫描技术启动式代码扫描也可称做启动式智能代码分析,它将人工智能的知识和原理运用到计算机病毒检测之中,启发就是指“自我发现的能力”或“运用某种方式或方法去判定事物的知识和技能”。
运用启发式扫描技术的计算机病毒检测软件,实际上就是以人工智能的方式实现的动态反编译代码分析,比较器,通过对程序有关指令序列进行反编译,逐步分析,比较,根据其动机判断其是否为计算机病毒。
4.(6.1.2)计算机病毒预防基本技术计算机病毒的预防应该包括两个部分:对已知计算机病毒的预防和对未来计算机病毒的预防。
目前,对已知计算机病毒的预防可以采用特征判定技术或静态判定技术,对未知计算机病毒的预防则是一种行为规则的判定技术即动态判定技术。
5.(6.3)文件型病毒目前已经存在的文件病毒,可以感染所有标准的DOS 可执行文件,包括批处理文件,DOS 下的可加载驱动程序(.SYS )文件以及普通的.COM/.EXE 可执行文件。
6.(6.6)宏病毒 潜伏阶段传染阶段触发阶段发作阶段潜伏期结束 传染结束 触发条件宏病毒是一种寄存在文档或模板的宏中的计算机病毒。
7.(6.7)特洛伊木马病毒 大多数特洛伊木马包括客户端和服务器端两个部分。
计算机病毒防护基础考试
计算机病毒防护基础考试(答案见尾页)一、选择题1. 计算机病毒是一种:A. 软件程序B. 数据C. 逻辑设备D. 以上都不是2. 计算机病毒的主要传播途径是:A. 电子邮件B. 网络下载C. 移动存储设备D. 以上都是3. 计算机病毒的特性包括:A. 隐藏性B. 可执行性C. 潜伏性D. 可预测性4. 下列哪个选项中的软件都不是计算机病毒:A. 安全软件B. 杀毒软件C. 计算机病毒D. 助手程序5. 计算机病毒通常影响计算机的哪个部分:A. 硬件B. 软件C. 硬件和软件6. 计算机病毒的生命周期包括:A. 开发阶段B. 传播阶段C. 破坏阶段D. 清除阶段7. 计算机病毒防治产品通常包括:A. 杀毒软件B. 防火墙C. 计算机病毒扫描程序D. 以上都是8. 下列哪项措施不能有效预防计算机病毒:A. 定期更新操作系统和软件补丁B. 不要打开未知来源的电子邮件附件C. 使用U盘复制文件D. 定期备份重要数据9. 计算机病毒对计算机系统的破坏形式主要包括:A. 破坏系统文件B. 窃取个人信息C. 破坏硬盘数据D. 降低系统性能10. 在计算机病毒防治中,以下哪种方法不是常用的杀毒软件扫描策略:A. 全盘扫描B. 定时扫描C. 重量级扫描D. 快速扫描11. 计算机病毒是一种什么类型的软件?B. 动态链接库(DLL)C. 可执行文件D. 以上都不是12. 计算机病毒的主要传播途径有哪些?A. 电子邮件B. 网络下载C. U盘D. 以上都是13. 以下哪个描述是关于计算机病毒的不正确说法?A. 计算机病毒是一种恶意软件,会对计算机系统造成损害。
B. 计算机病毒通常寄生在其他程序中,例如游戏或办公软件。
C. 计算机病毒可以自我复制并独立运行。
D. 计算机病毒不会影响网络通信。
14. 计算机病毒的特征不包括以下哪一项?A. 隐藏性B. 可激发性C. 可预见性D. 可传染性15. 以下哪种防病毒软件技术不是当前主流的防病毒技术?A. 病毒扫描B. 防火墙C. 实时监控D. 虚拟化技术16. 以下哪个选项不是计算机病毒的危害?A. 破坏系统文件B. 窃取用户数据C. 使计算机系统性能下降D. 打印机驱动无法安装17. 以下哪种方式可以彻底删除计算机病毒?A. 使用专业的杀毒软件进行全盘扫描并清除B. 删除感染病毒的文件和文件夹C. 将感染病毒的U盘插入其他计算机并重新启动D. 对感染病毒的计算机进行优化,关闭不必要的服务项18. 计算机病毒的发展历程可以分为几个阶段?A. 早期病毒B. 文件型病毒C. 引导型病毒D. 操作系统型病毒19. 以下哪个不是计算机病毒的预防措施?A. 定期更新操作系统和应用程序B. 不要打开未知来源的电子邮件附件C. 定期备份重要数据D. 使用弱密码保护计算机20. 以下哪个选项不属于计算机病毒的防治策略?A. 防火墙屏蔽B. 定期进行系统安全检查C. 断开网络连接D. 及时更新防病毒软件21. 计算机病毒是一种恶意软件程序,其主要目的是()。
计算机病毒试题及答案
计算机病毒试题及答案一、选择题(每题2分,共10分)1. 计算机病毒是一种()。
A. 计算机硬件B. 计算机软件C. 计算机程序D. 计算机操作系统答案:C2. 计算机病毒主要通过()传播。
A. 电子邮件B. 移动存储设备C. 网络下载D. 所有以上方式答案:D3. 下列哪项不是计算机病毒的特征?()A. 寄生性B. 传染性C. 破坏性D. 可预测性答案:D4. 计算机病毒的生命周期包括()。
A. 感染B. 潜伏C. 激活D. 所有以上步骤答案:D5. 预防计算机病毒的措施不包括()。
A. 安装杀毒软件B. 定期更新系统补丁C. 从不访问不安全的网站D. 从不下载任何文件答案:D二、填空题(每题2分,共10分)1. 计算机病毒是一种能够自我复制并传播的________程序。
答案:恶意2. 计算机病毒的传播途径包括________、________和________等。
答案:电子邮件、移动存储设备、网络下载3. 计算机病毒的生命周期包括感染、________和激活三个阶段。
答案:潜伏4. 计算机病毒的破坏性表现在________数据、________系统功能和________硬件设备。
答案:破坏、降低、损坏5. 预防计算机病毒的措施包括安装杀毒软件、________系统补丁和________不安全的网站。
答案:定期更新、避免访问三、简答题(每题5分,共10分)1. 简述计算机病毒的危害。
答案:计算机病毒的危害主要表现在三个方面:一是破坏数据,导致重要信息丢失或损坏;二是降低系统功能,使计算机运行速度变慢,影响正常使用;三是损坏硬件设备,导致计算机硬件故障,影响计算机的使用寿命。
2. 描述计算机病毒的传播方式。
答案:计算机病毒的传播方式多样,主要包括通过电子邮件附件、移动存储设备(如U盘、移动硬盘等)、网络下载、恶意网站链接等方式进行传播。
病毒可以通过这些途径感染计算机系统,进而复制和传播到其他计算机或设备上。
2024年度计算机病毒知识共32张PPT
在线检测工具
系统监控工具
利用系统自带的监控工具或第三方工 具,实时监控系统进程、网络连接等 ,发现异常行为及时进行处理。
利用一些在线病毒检测平台,上传可 疑文件进行检测,如VirusTotal等。
计算机病毒知识共32 张PPT
2024/2/3
1
contents
目录
2024/2/3
• 计算机病毒概述 • 计算机病毒分类与识别 • 计算机病毒传播途径与防范策略 • 计算机病毒检测与清除方法 • 计算机系统安全防护措施 • 法律法规与伦理道德问题探讨 • 总结回顾与展望未来发展趋势
2
01
计算机病毒概述
安全浏览网站
避免访问恶意网站,使用安全浏览器和插件 。
2024/2/3
不打开未知来源邮件
不轻易打开未知来源的电子邮件附件,谨慎 处理垃圾邮件。
限制移动存储设备使用
在未知安全性的计算机上限制使用U盘、移 动硬盘等移动存储设备。
14
04
计算机病毒检测与清除方法
2024/2/3
15
检测工具及使用技巧
杀毒软件
01
02
03
04
电子邮件附件
病毒通过电子邮件附件传播, 用户打开附件时触发病毒。
恶意网站
用户访问恶意网站时,病毒利 用浏览器漏洞下载到本地执行
。
即时通讯工具
病毒通过即时通讯工具(如 QQ、微信等)的文件传输功
能传播。
网络共享
病毒通过网络共享文件夹或打 印机漏洞进行传播。
2024/2/3
12
移动存储介质传播方式及特点
计算机病毒复习试题+答案
计算机病毒复习题一、选择题:1、为什么说蠕虫是独立式的?(C)二、2A、蠕虫不进行复制B、蠕虫不向其他计算机进行传播C、蠕虫不需要宿主计算机来传播D、蠕虫不携带有效负载2、哪种恶意代码通过召集互联网上的服务器来通过发送大量的业务量攻击目标服务器?(D)A、蠕虫B、特洛伊木马C、DOS攻击D、DDOS攻击3、哪一项不是特洛伊木马所窃取的信息?(D)A、计算机名字B、硬件信息C、QQ用户密码D、系统文件4、哪一项不是特洛伊木马的常见名字?(C)二、4A、TROJ_WIDGET.46B、TROJ_FLOOD.BLDRC、I-WORM.KLEZ.HD、TROJ_DKIY.KI.585、哪一项不是蠕虫病毒的传播方式及特性?(B)二、2A、通过电子邮件进行传播B、通过光盘、软盘等介质进行传播C、通过共享文件进行传播D、不需要再用户的参与下进行传播6、哪一项不是蠕虫病毒的常用命名规则?(D)二、4A、W32/KLEZ-GB、I-WORM.KLEZ.HC、W32.KLEZ.HD、TROJ_DKIY.KI.587、下面对后门特征和行为的描述正确的是?(A)一、14A、为计算机系统秘密开启访问入口的程序B、大量占用计算机的系统资源,造成计算机瘫痪C、对互联网的目标主机进行攻击D、寻找电子邮件的地址进行发送垃圾邮件8、哪一项不是后门的传播方式?(B)一、14A、电子邮件B、光盘、软盘等介质C、WEB下载D、IRC9、下面哪一种陈述最好的解释了引导扇区病毒不再是非常普遍的病毒了?(C)二、8A、计算机不在从软盘中引导B、对此类型病毒采取了足够的防范C、软盘不再是共享信息的主要途径D、程序的编写者不在编写引导扇区病毒10、文件感染病毒的常见症状有哪一项不是?(B)A、文件大小增加B、文件大小减少C、减缓处理速度D、内存降低11、哪种病毒能够占据内存,然后感染引导扇区和系统中的所有可执行文件?(D)二、1A、引导扇区病毒B、宏病毒C、Windows病毒D、复合型病毒12、引导扇区病毒感染计算机上的哪一项信息?(B)二、1A、DATAB、MBRC、E-mailD、WORD13、关于引导扇区病毒的传播步骤错误的是?(B)二、8A、病毒进入引导扇区B、病毒破坏引导扇区信息C、计算机将病毒加载到存储D、病毒感染其它磁盘14、引导扇区病毒特征和特性的描述错误的是?(C)二、1A、会将原始的引导扇区以及部分病毒代码复制到磁盘的另一个地方B、引导扇区病毒的设计缺陷可能会导致在读取软件时会产生偶尔的写保护错误C、引导扇区病毒在特定的时间对硬盘进行格式化操作D、引导扇区病毒不在像以前那样造成威胁15、使用互联网下载进行传播的病毒是?(A)A、JAVA病毒B、DOS病毒C、WINDOWS病毒D、宏病毒16、下列关于复合型病毒描述错误的是?(B)A、采用多种技术来感染一个系统B、会对互联网上的主机发起DOS攻击C、复合型病毒会占据内存,然后感染引导扇区和所有可执行的文件D、通过多种途径来传播17、PE_CIHVI1.2病毒会感染哪一种操作系统?(C)二、4A、DOSB、UNIXC、WINDOWSD、LINUX18、下列哪一项不是计算机病毒的种类?(B)二、1A、启动型B、硬件型C、文件型D、复合型19、下列哪一项不是我们常见的网络病毒?(A)A、DOS病毒B、蠕虫病毒C、多态病毒D、伙伴病毒20、下列哪一项不足够说明病毒是网络攻击的有效载体?(D)二、3A、网络攻击程序可以通过病毒经由多种渠道传播B、攻击程序可以利用病毒的隐蔽性来逃兵检测程序C、病毒的潜伏性和可触发性使网络攻击防不胜防D、黑客直接通过病毒对目标主机发起攻击二、填空题:1、计算机病毒按寄生方式和感染途径可分为引导型病毒、文件型病毒和混合型病毒。
病毒复习重点详解
病毒复习重点详解病毒复习重点⼀、选择题(20分)⼆、判断题(10分)三、名词解释(5道 20分)四、简答题(5道 30分)五、分析题(2道 20分)第⼀章:计算机病毒概述⼀、计算机病毒的定义(狭义、⼴义)(1)⼴义计算机病毒:凡是能够引起计算机故障、破坏计算机数据的程序统称为计算机病毒。
(2)狭义:计算机病毒,是指编制或者在计算机程序中插⼊的破坏计算机功能或者毁坏数据,影响计算机使⽤,并能⾃我复制的⼀组计算机指令或者程序代码。
⼆、计算机病毒的命名规则(常见的⼀些前缀含义)(1)通⽤命名规则:1.按病毒发作的时间命名(如“⿊⾊星期五”)2.按病毒发作症状命名(如“⼩球”病毒)3.按病毒的传染⽅式命名(如⿊⾊星期五病毒,⼜命名为疯狂拷贝病毒)4.按病毒⾃⾝宣布的名称或包含的标志命名(CIH病毒的命名源于其含有“CIH”字符)5.按病毒发现地命名(如“⿊⾊星期五”⼜称Jerusalem(耶路撒冷)病毒)6.按病毒的字节长度命名(如⿊⾊星期五病毒⼜称作1813病毒)(2)国际上对病毒命名的惯例计算机病毒英⽂命名规则也就是国际上对病毒命名的⼀般惯例为“前缀+病毒名+后缀”,即三元组命名规则:前缀表⽰该病毒发作的操作平台或者病毒的类型,⽽DOS下的病毒⼀般是没有前缀。
病毒名为该病毒的名称及其家族。
后缀⼀般可以不要,只是以此区别在该病毒家族中各病毒的不同,可以为字母,或者为数字以说明此病毒的⼤⼩。
(4)病毒前缀:ppt(5)病毒名由以下6字段组成:1.主⾏为类型;2.⼦⾏为类型;3.宿主⽂件类型;4.主名称;5.版本信息;6.主名称变种第⼆章:Windows⽂件型病毒⼀、PE的概念、PE⽂件包含哪些?.exe、.dll、.sys 、.scr(1)PE的意思就是Portable Executable(可移植、可执⾏),它是Win32可执⾏⽂件的标准格式。
(2)在Win32系统中,PE⽂件可以认为.exe、.dll、.sys 、.scr类型的⽂件,这些⽂件在磁盘上存贮的格式都是有⼀定规律的。
计算机病毒考试题及答案
计算机病毒考试题及答案一、选择题(每题2分,共20分)1. 计算机病毒是一种()。
A. 计算机硬件B. 计算机软件C. 计算机程序D. 计算机操作系统答案:C2. 计算机病毒的主要传播途径是()。
A. 网络B. 光盘C. 软盘D. 所有以上选项答案:D3. 计算机病毒的破坏行为通常包括()。
A. 破坏数据B. 破坏系统C. 盗取信息D. 所有以上选项答案:D4. 以下哪项不是计算机病毒的特征?()A. 传染性B. 隐蔽性C. 破坏性D. 可预测性答案:D5. 计算机病毒的生命周期不包括以下哪个阶段?()A. 感染B. 潜伏C. 激活D. 休眠答案:D二、填空题(每题2分,共20分)1. 计算机病毒是一种能够自我复制并_________的恶意程序。
答案:传播2. 计算机病毒的传播可以通过_________、电子邮件、移动存储设备等多种方式。
答案:网络3. 计算机病毒的破坏行为可以导致_________、系统崩溃、信息泄露等严重后果。
答案:数据丢失4. 计算机病毒的预防措施包括安装_________软件、定期更新系统补丁等。
答案:防病毒5. 计算机病毒的清除方法包括使用_________软件进行扫描和清除。
答案:杀毒软件三、简答题(每题10分,共30分)1. 简述计算机病毒的传播机制。
答案:计算机病毒的传播机制包括自我复制、感染其他程序或文件、通过网络或移动介质传播等。
病毒通过修改或附加到其他程序中,当这些程序被执行时,病毒代码也随之运行,从而实现自我复制和传播。
2. 描述计算机病毒对计算机系统可能造成的危害。
答案:计算机病毒可能对计算机系统造成的危害包括数据丢失或损坏、系统性能下降、系统崩溃、信息泄露、网络服务中断等。
病毒通过破坏文件、篡改系统设置、消耗系统资源等方式,影响计算机的正常运行。
3. 列举几种常见的计算机病毒及其特点。
答案:常见的计算机病毒包括蠕虫病毒、木马病毒、勒索软件等。
蠕虫病毒能够自我复制并通过网络传播;木马病毒通常伪装成合法软件,一旦安装,可以远程控制受感染的计算机;勒索软件则加密用户数据,并要求支付赎金以解锁数据。
病毒原理与防范复习资料
《病毒原理与防范》复习资料亲,绝对正版教科书copy哦,老师说的重点都在里面了!免费使用还包邮!祝各位童鞋们考试顺利过关!!!^_^第一章计算机病毒概述1.计算机病毒生命周期在其生命周期中,病毒一般会经历如下四个阶段:(1)潜伏阶段:这一阶段的病毒处于休眠状态,这些病毒最终会被某些条件(如日期、某特定程序或特定文件的出现,或内存的容量超过一定范围)所激活。
不是所有的病毒都会经历此阶段。
(2)传染阶段:病毒程序将自身复制到其他程序或磁盘的某个区域上,每个被感染的程序又因此包含了病毒的复制品,从而也就进入了传染阶段。
(3)触发阶段:病毒在被激活后,会执行某一特定功能从而达到某种既定的目的。
和处于潜伏期的病毒一样,触发阶段病毒的触发条件是一些系统事件,譬如病毒复制自身的次数。
(4)发作阶段:病毒在触发条件成熟时,即可在系统中发作。
由病毒发作体现出来的破坏程度是不同的:有些是无害的,如在屏幕上显示一些干扰信息;有些则会给系统带来巨大的危害,如破坏程序以及文件中的数据。
2.计算机病毒的定义计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
3.计算机病毒的特征(填空/选择)(1)传播性(2)非授权性(3)隐蔽性(4)潜伏性(5)破坏性(6)不可预见性(7)可触发性4.计算机病毒的对抗技术(填空/选择)(1)特征码扫描(2)启发式扫描(3)虚拟机技术(4)主动防御技术(5)自免疫技术第二章预备知识1.PE文件格式PE就是Portable Executable(可移植可执行),它是Win32可执行文件的标准格式。
(1)NT映象头紧跟着DOS小程序后面的便是PE文件的NT映象头(IMAGE_NT_HEADERS),它存放PE整个文件信息分布的重要字段。
可见它由三个部分组成:1.字串“PE\0\0”(Signature)(4H字节)2.映象文件头(FileHeader)(14H字节)3.可选映象头(OptionalHeader)(2)节表紧接着NT映象头之后的就是节表。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第一章1.计算机病毒的定义:计算机病毒是一种人为制造、能够进行自我复制的,具有对计算机资源的破坏作用的一组程序或指令的集合。
2.计算机病毒的特征与本质:(大概了解)特性:自我复制能力,很强的感染性,一定的潜伏性,特定的触发性,很大的破坏性。
首先其本质是程序,而且是具有传染性的程序,也即可以反复执行或复制的程序3.计算机病毒的分类:按寄生对象分为引导型病毒,文件型病毒和混合型病毒。
4根据计算机病毒的命名:(1)给出病毒的名字,说明根据什么命名(通用命名规则)a 按病毒的发作时间命名如:“黑色星期五”(某月的13号且周五);米开朗基罗病毒(3.6 米开朗基罗生日)b 按病毒发作症状命名如:“小球”病毒,“火炬”病毒,“浏阳河”病毒(9.9浏阳河,12.26 东方红)等:c 按病毒的传染方式命名如:黑色星期五病毒又名为疯狂拷贝病毒(感染.exe时对文件标记做了错误判断而反复感染)d 按病毒自身宣布的名称或包含的标志命名CIH病毒的命名源于其含有“CIH”字符(陈盈豪)e 按病毒的发现地命名如“黑色星期五”又称为Jerusalem(耶路撒冷)病毒f 按病毒的字节长度命名如黑色星期五病毒又称作1813病毒(2)估计标准命名方法(三元组命名法则)计算机病毒英文命名规则也就是国际上对病毒民命的一般惯例为“前缀+病毒名+后缀”,即三元组命名规则。
三元组中“病毒名”的命名优先级为:病毒的发现者(或制造者)→病毒的发作症状→病毒的发源地→病毒代码中的特征字符串5.描述几种计算机病毒的危害6.描述几种计算机病毒的症状(表现)7.描述几种计算机病毒的传播方式(1)通过不可移动的计算机硬件设备进行传播(2)通过移动存储设备来传播(3)通过网络传播的方式(4)通过无线通讯系统传播8.描述计算机病毒的生命周期(1)计算机病毒的产生过程可分为:程序设计→传播→潜伏→触发、运行→实施攻击(2)计算机病毒是一类特殊的程序,也有生命周期开发期、传染期、潜伏期、发作期、发现期、消化期、消亡期第二章1.硬盘结构:对磁介质的处理分为3个过程低级格式化(物理格式化,低格):可以寻址,即将盘面划分成磁道、柱面和扇区分区:是管理系统指导硬盘有哪些域可以使用。
高级格式化(逻辑格式化,高格):建立存储系统。
在分区内建立分区引导记录DBR、文件分配表FAT、文件目录表FDT和数据区DA TA。
2.寻址方式(1)CHSa)柱面(Cylinder),磁头(Heuder),扇区(Sector)b)Cmax=1023,Hmax=255,Smax/磁道=63,且每个扇区一般为512字节。
(2)现代改用等密度结构生产硬盘,外圈磁道的扇区比内圈磁道多。
以扇区位单位进行殉职,即线性寻址LBA(Logic Block Address)。
3.INT 13H调用的是BIOS提供的磁盘基本输入输出中断调用4.硬盘数据结构(1)一个一个硬盘最多可以划分为四个主分区,磁盘中可以作为分区表的只有64个字节,每个主分区的参数需要占16个字节。
(2)分区以柱面为单位进行,不允许跨柱面,即不可把一个柱面分到不同的分区中。
(3)主引导记录(Master Boot Record,MBR)、磁盘分区表(Disk Partition Table,DPT)。
分区引导记录(DOS Boot Record,DBR),文件分配表(File Allocation Table,FAT)、文件目录标表(File Directory Table,FDT)(4)MBR的作用只用于寻找活动问去,并从活动分区装载系统引导程序(启动系统)。
5.文件系统(1)FAT:文件分配表(2)FAT12、16、32区别:即文件分配表的位数不同,位数不同,可记录的文件数不同。
(3)FAT:系统以簇为文件存储的基本单位。
(4)剩余扇区:无法成为一个簇(不够一个簇)的那些扇区。
(5)保留扇区(有时候也称作系统扇区,隐藏扇区),是指从分区DBR扇区开始的仅为系统所有的扇区。
6.计算机的启动过程(了解)7.中断(1)定义、分类(2)中断向量、中断向量表(要知道)。
中断向量表(Interrupt Vectors):保存着系统所有中断服务程序的入口地址(偏移量和段地址)的线性表。
中断向量表占用内存最低端0000H到03FEH的1KB的地址空间,存放256个元素即远指针(中断向量),编号从00到255(00~FFH)。
每一中断向量的入口地址占4字节,高2字节存放中断向量的段地址,低2字节存放中断向量的偏移地址。
(3)确定中断所在的物理地址的方法:根据终端类型号(中断向量号)计算中断向量入口地址在中断向量表中的偏移:偏移=中断类型号×4将其装入IP和CS;由此则确定中断的物理地址:物理地址=段地址×16+偏移地址8.内存管理在保护模式下的所有应用程序都具有权限级别。
按优先次序,PL分为四等:0级、1级、2级、3级;其中0级权限最高,3级最低、9.EXE文件的格式(结合PPT)(1)PE文件:*.EXE、*.DLL、*.OCX,(2) PE文件结构:可选映像头---数据目录表-----导出目录、导入目录第三章:病毒的逻辑结构与基本控制1、计算机病毒的状态。
(1)计算机病毒在传播过程中存在两种状态:静态和动态。
(2)内存中的动态病毒又有两种状态:》可激活态:◆当内存中的病毒代码能够被系统的正常运行机制所执行时,动态病毒就处于可激活态。
◆一般而言,动态病毒都是可激活的。
》激活态:◆系统正在执行病毒代码时,动态病毒处于激活态◆病毒处于激活态时,不一定进行传染和破坏;但进行传染和破坏时,必然处于激活态。
(3)失活态:病毒代码在内存中,但不可能被执行的状态。
如:通过修改中断进行病毒传播和感染的病毒在中间向量表恢复后的状态即为失活态4.计算机病毒的基本结构(1)感染标志用来标记当前文件是否被感染。
(2)基本模块:引导、感染、破坏、触发。
5.计算机病毒的三个基本机制:引导、传染(传播)、触发6.简述计算机病毒引导模块的基本动作是:◆检查运行的环境,如确定操作系统类型,内存容量,现行区段、磁盘设置、显示器类型等参数。
◆将病毒引入内存,使病毒处于动态,并保护内存中的病毒代码不被覆盖◆设置病毒的激活条件和触发条件,是病毒处于可激活态,以便病毒被激活后根据满足的条件调用感染模块或破坏表现模块。
7.计算机病毒的传播机制(1)感染条件控制病毒的感染动作、控制病毒感染的频率。
(2)键鼠病毒主动传染的传播过程:◆在系统运行时,病毒通过病毒载体即系统的外存储器进入系统的内存储器,常驻内存,并在系统内存中监视系统的运行。
◆在病毒引导模块将病毒传染模块驻留内存的过程中,通常还要修改系统中断向量入口地址,使该中断向量指向病毒程序传染模块。
◆一旦系统执行磁盘读写操作或系统功能调用,病毒传染模块就被激活,传染模块在判断传染条件满足的条件下,把病毒自身传染给被读写的磁盘或被加载的程序。
(3)文件型病毒的感染方式主要有:》寄生感染(最常用,要掌握)》无入口点感染》滋生感染》链式感染》OBJ、LIB和源码的感染寄生感染最常用的感染方式。
*****************************************************(被动触发),感染触发(感染文件个数、感染序数、感染磁盘数、感染失败触发),启动触发(将计算机的启动次数作为触发条件),访问磁盘次数/调用中断功能触发,CPU型号/主板型号触发,打开或预览Email附件触发,随机触发。
9.计算机病毒的破坏机制第四章DOS病毒的基本原理与DOS病毒分析1.重定位2.引导型病毒(1)驻留内存、隐形、加密技术。
(2)时限内存主流的基本原理。
(3)引导型病毒触发的基本过程3.文件型病毒4.混合型病毒第五章Windows病毒分析(一)PE病毒1.属于PE文件的是:*.EXE、*.DLL、*.OCX等2.PE病毒需要具有的功能。
重定位获取API函数地址搜索感染目标文件内存文件映射实施感染等3.简述计算机病毒获取API函数地址的方法【马悦大脑袋挡住了,后面没有】(1)获取kernel32基地址方法:方法1:利用程序的返回地址,在其附近搜索Kernel32模块基地址(读程序,分析程序的意义,可填空;填写程序注释)mov eax ,[esp+10h];这里的esp+10h是不定的,主要看从程序第一条指令执行到这里有多少push操作,如果设为N个push,则这里的指令就是mov edi,[esp+N*4h]and eax, 0F000h ;使取回的地址是4096的整数倍mov esi, eaxLoopFindKernel32:sub esi, 1000h ;内存中节的对齐粒度,每节都从4096的整数倍开始cmp word ptr[esi], ‘ZM’ ;搜索EXE文件头,不等ZF=0,相等ZF=1jnz short LoopFindKernel32 ;不为EXE头,则继续寻找GetPeHeader:movzx edi, word ptr[esi+3ch] ;以下过程为验证过程。
找到从DOS头部开始的3c 偏移处,即记录‘pe’所在的地址;add edi, esi ;定位PE所在的地址cmp word ptr[edi], ’EP’ ;查看该地址处是否为PEjnz short LoopFindKernel32 ;若不为PE,则继续寻找,说明上次找到的ZM处为偶然,而不为真正的DOS头。
mov vKernel32[ebp],esi ;若相应地址上为PE,则前面地址为Kernel32基地址。
(2)获取API函数地址(P188)A 已知序数号(是惟一指定DLL中某个函数的16位数字,在所指向的DLL中是独一无二的;索引号=序数号-基数(PE引出节中的Base值))B 已知函数名(AddressOfNames:函数名字数组;AddressOfNameOrdinals:函数名字所对应的索引号数组;上述两个数组是一一对应的)4.文件搜索方法5.内存映射文件6.PE病毒感染文件的常用方法。
在PE文件中插入新节将自己分散插入到每个节的空隙中。
7.假设PE病毒通过在宿主文件中插入新节来感染文件,简述其感染文件的基本步骤。
(1)判断目标文件开始的两个字节是否为“MZ”;(2)判断PE文件标记“PE”;(3)判断感染标记,如果已被感染过则跳出继续执行宿主程序,否则继续。
(4)获得Directory(数据目录)的个数,每个数据目录信息占8字节【看不清,从书上找的】(5)在该位置写入(病毒)节表(6)写入感染标记;(7)写入病毒代码到新添加的节中(8)将当前文件位置设为文件末尾8.CIH病毒:第一个攻击计算机硬件的病毒。