计算机病毒复习资料

第一章

1.计算机病毒的定义：计算机病毒是一种人为制造、能够进行自我复制的，具有对计算机资源的破坏作用的一组程序或指令的集合。

2.计算机病毒的特征与本质：（大概了解）

特性：自我复制能力，很强的感染性，一定的潜伏性，特定的触发性，很大的破坏性。首先其本质是程序，而且是具有传染性的程序，也即可以反复执行或复制的程序

3.计算机病毒的分类：按寄生对象分为引导型病毒，文件型病毒和混合型病毒。

4根据计算机病毒的命名：

（1）给出病毒的名字，说明根据什么命名（通用命名规则）

a 按病毒的发作时间命名如：“黑色星期五”（某月的13号且周五）；米开朗基罗病

毒（3.6 米开朗基罗生日）

b 按病毒发作症状命名如：“小球”病毒，“火炬”病毒，“浏阳河”病毒（9.9

浏阳河，12.26 东方红）等：

c 按病毒的传染方式命名如：黑色星期五病毒又名为疯狂拷贝病毒（感染.exe时

对文件标记做了错误判断而反复感染）

d 按病毒自身宣布的名称或包含的标志命名

CIH病毒的命名源于其含有“CIH”字符（陈盈豪）

e 按病毒的发现地命名

如“黑色星期五”又称为Jerusalem（耶路撒冷）病毒

f 按病毒的字节长度命名

如黑色星期五病毒又称作1813病毒

（2）估计标准命名方法（三元组命名法则）

计算机病毒英文命名规则也就是国际上对病毒民命的一般惯例为“前缀+病毒名+后缀”，即三元组命名规则。

三元组中“病毒名”的命名优先级为：病毒的发现者（或制造者）→病毒的发作症状→病毒的发源地→病毒代码中的特征字符串

5.描述几种计算机病毒的危害

6.描述几种计算机病毒的症状（表现）

7.描述几种计算机病毒的传播方式

（1）通过不可移动的计算机硬件设备进行传播

（2）通过移动存储设备来传播

（3）通过网络传播的方式

（4）通过无线通讯系统传播

8.描述计算机病毒的生命周期

(1)计算机病毒的产生过程可分为：

程序设计→传播→潜伏→触发、运行→实施攻击

（2）计算机病毒是一类特殊的程序，也有生命周期

开发期、传染期、潜伏期、发作期、发现期、消化期、消亡期

第二章

1.硬盘结构：对磁介质的处理分为3个过程

低级格式化（物理格式化，低格）：可以寻址，即将盘面划分成磁道、柱面和扇区

分区：是管理系统指导硬盘有哪些域可以使用。

高级格式化(逻辑格式化，高格)：建立存储系统。在分区内建立分区引导记录DBR、文

件分配表FAT、文件目录表FDT和数据区DA TA。

2.寻址方式

（1）CHS

a）柱面（Cylinder），磁头（Heuder），扇区（Sector）

b）Cmax=1023，Hmax=255，Smax/磁道=63，且每个扇区一般为512字节。

（2）现代改用等密度结构生产硬盘，外圈磁道的扇区比内圈磁道多。以扇区位单位进行殉职，即线性寻址LBA(Logic Block Address)。

3.INT 13H调用的是BIOS提供的磁盘基本输入输出中断调用

4.硬盘数据结构

（1）一个一个硬盘最多可以划分为四个主分区，磁盘中可以作为分区表的只有64个字节，每个主分区的参数需要占16个字节。

（2）分区以柱面为单位进行，不允许跨柱面，即不可把一个柱面分到不同的分区中。（3）主引导记录（Master Boot Record，MBR）、磁盘分区表（Disk Partition Table，DPT）。

分区引导记录（DOS Boot Record，DBR），文件分配表（File Allocation Table，FAT）、文件目录标表（File Directory Table，FDT）

（4）MBR的作用只用于寻找活动问去，并从活动分区装载系统引导程序（启动系统）。5.文件系统

（1）FAT：文件分配表

（2）FAT12、16、32区别：即文件分配表的位数不同，位数不同，可记录的文件数不同。（3）FAT：系统以簇为文件存储的基本单位。

（4）剩余扇区：无法成为一个簇（不够一个簇）的那些扇区。

（5）保留扇区（有时候也称作系统扇区，隐藏扇区），是指从分区DBR扇区开始的仅为系统所有的扇区。

6.计算机的启动过程（了解）

7.中断

（1）定义、分类

（2）中断向量、中断向量表（要知道）。

中断向量表（Interrupt Vectors）：保存着系统所有中断服务程序的入口地址（偏移量和段地址）的线性表。中断向量表占用内存最低端0000H到03FEH的1KB的地址空间，存放256个元素即远指针（中断向量），编号从00到255（00~FFH）。每一中断向量的入口地址占4字节，高2字节存放中断向量的段地址，低2字节存放中断向量的偏移地址。

（3）确定中断所在的物理地址的方法：

根据终端类型号（中断向量号）计算中断向量入口地址在中断向量表中的偏移：偏移=中断类型号×4

将其装入IP和CS;

由此则确定中断的物理地址：

物理地址=段地址×16+偏移地址

8.内存管理

在保护模式下的所有应用程序都具有权限级别。按优先次序，PL分为四等：0级、1级、2级、3级；其中0级权限最高，3级最低、

9.EXE文件的格式（结合PPT）

（1）PE文件：*.EXE、*.DLL、*.OCX，

(2) PE文件结构：

可选映像头---数据目录表-----导出目录、导入目录

第三章：病毒的逻辑结构与基本控制

1、计算机病毒的状态。

（1）计算机病毒在传播过程中存在两种状态：静态和动态。

（2）内存中的动态病毒又有两种状态：

》可激活态：

◆当内存中的病毒代码能够被系统的正常运行机制所执行时，动态病毒就处于可

激活态。

◆一般而言，动态病毒都是可激活的。

》激活态：

◆系统正在执行病毒代码时，动态病毒处于激活态

◆病毒处于激活态时，不一定进行传染和破坏；

但进行传染和破坏时，必然处于激活态。

（3）失活态：病毒代码在内存中，但不可能被执行的状态。

如：通过修改中断进行病毒传播和感染的病毒在中间向量表恢复后的状态即为失活态4.计算机病毒的基本结构

（1）感染标志用来标记当前文件是否被感染。

（2）基本模块：引导、感染、破坏、触发。

5.计算机病毒的三个基本机制：引导、传染（传播）、触发

6.简述计算机病毒引导模块的基本动作是：

◆检查运行的环境，如确定操作系统类型，内存容量，现行区段、磁盘设置、显示器

类型等参数。

◆将病毒引入内存，使病毒处于动态，并保护内存中的病毒代码不被覆盖

◆设置病毒的激活条件和触发条件，是病毒处于可激活态，以便病毒被激活后根据满

足的条件调用感染模块或破坏表现模块。

7.计算机病毒的传播机制

（1）感染条件控制病毒的感染动作、控制病毒感染的频率。

（2）键鼠病毒主动传染的传播过程：

◆在系统运行时，病毒通过病毒载体即系统的外存储器进入系统的内存储器，常驻内存，

并在系统内存中监视系统的运行。

◆在病毒引导模块将病毒传染模块驻留内存的过程中，通常还要修改系统中断向量入口地

址，使该中断向量指向病毒程序传染模块。

◆一旦系统执行磁盘读写操作或系统功能调用，病毒传染模块就被激活，传染模块在判断

传染条件满足的条件下，把病毒自身传染给被读写的磁盘或被加载的程序。

（3）文件型病毒的感染方式主要有：

》寄生感染（最常用，要掌握）

》无入口点感染

》滋生感染

》链式感染

》OBJ、LIB和源码的感染

寄生感染最常用的感染方式。

*****************************************************（被动触发），感染触发（感染文件个数、感染序数、感染磁盘数、感染失败触发），启动触发（将计算机的启动次数作为触发条件），访问磁盘次数/调用中断功能触发，CPU型号/主板型号触发，打开或预