《计算机病毒与防范》复习提纲

计算机病毒防治（复习-31. 当主引导记录结束标志为( )时，表⽰该主引导记录是⼀个有效的记录，它可⽤来引导硬盘系统A. AA55HB. 80HC. 00HD. 4D5AH2. DOS系统加载COM⽂件时，指令指针IP的值被设置为( )A. 0000HB. 0100HC. 0200HD. FFFFH3. 根⽬录下的所有⽂件及⼦⽬录的FDT中都有⼀个⽬录项，每个⽬录项占⽤（）个字节，分为8个区域A. 12B. 22C. 32D. 424. DOS系统下，EXE⽂件加载时，IP寄存器的值设定为（）A. 0000HB. 0100HC. FFFFHD. EXE⽂件头中存储的初始IP值5. DOS系统启动⾃检通过后，则把硬盘上的主引导记录读⼊内存地址（），并把控制权交给主引导程序中的第⼀条指令A F000:0000H B.FFFF:0000H C. FFF0:FFFFH D. 0000:7C00H6. 下⾯关于病毒的描述不正确的是( )A. 病毒具有传染性B. 病毒能损坏硬件C. 病毒可加快运⾏速度D. 带毒⽂件长度可能不会增加7. ( )是感染引导区的计算机病毒常⽤的A. INT 13HB. INT 21HC. INT 24HD. INT 16H8. 我国⾸例的计算机病毒是( )A. ⿊⾊星期五B.中国炸弹病毒C. ⾬点病毒D. ⼩球病毒9. 计算机病毒是指( )A. 腐化的计算机程序B. 编制有错误的计算机程序C. 计算机的程序已被破坏D. 以危害系统为⽬的的特殊的计算机程序10. 危害极⼤的计算机病毒CIH发作的典型⽇期是( )A. 6⽉4⽇B. ４⽉1⽇C. 5⽉26⽇D. 4⽉26⽇11. 硬盘的分区表中，⾃检标志为( )表⽰该分区是当前活动分区，可引导A. AAHB. 80HC. 00HD. 55H12. 下列4项中，( ) 不属于计算机病毒特征A. 继承性B. 传染性C. 可触发性D. 潜伏性13. DOS系统组成部分中最后调⼊内存的模块是( )，它负责接收和解释⽤户输⼊的命令，可以执⾏DOS的所有内、外部命令和批处理命令A. 引导程序(BOOT)B. ROM BIOS模块C. 输⼊输出管理模块IO.SYSD. 命令处理/doc/8648c0d6aa00b52acfc7ca9c.html 模块14. 按计算机病毒寄⽣⽅式和感染途径分类，计算机病毒可分为（）A. 引导型、⽂件型、混合型B. DOS系统的病毒、Windows系统的病毒C. 单机病毒、⽹络病毒D. 良性病毒、恶性病毒15. 复合型病毒的传染⽅式既具有⽂件型病毒特点⼜具有系统引导型病毒特点，这种病毒的原始状态⼀般是依附在( )上A. 硬盘主引导扇区B. 硬盘DOS引导扇区C. 软盘引导扇区D. 可执⾏⽂件16. ⽂件型病毒传染.COM⽂件修改的是⽂件⾸部的三个字节的内容，将这三个字节改为⼀个( )指令，使控制转移到病毒程序链接的位置A. 转移B. 重启C. NOPD. HALT17. 当计算机内喇叭发出响声，并在屏幕上显⽰“Your PC is now stoned!”时，计算机内发作的是( )A. 磁盘杀⼿病毒B. 巴基斯坦病毒C. ⼤⿇病毒D. ⾬点病毒18. 程序段前缀控制块(PSP)，其长度为( )字节A. 100字节B. 200字节C. 256字节D. 300字节19. 引导型病毒的隐藏有两种基本⽅法，其中之⼀是改变BIOS中断( )的⼊⼝地址A. INT 9HB. INT 13HC. INT 20HD. INT 21H20. 宏病毒⼀般（）A. 存储在RTF⽂件中B. 存储在DOC⽂件中C. 存储在通⽤模版Normal.dot⽂件中D. 存储在内存中21. DOS系统中，中断向量的⼊⼝地址占( ) 个字节A. 8B. 4C. 2D. 122. 病毒占⽤系统程序使⽤空间来驻留内存的⽅式⼜称为( )A. 程序覆盖⽅法15. ⽂件型病毒⼀般存储在( )A. 内存B. 系统⽂件的⾸部、尾部或中间C. 被感染⽂件的⾸部、尾部或中间D. 磁盘的引导扇区9. 蠕⾍与病毒的最⼤不同在于它( )，且能够⾃主不断地复制和传播A. 不需要⼈为⼲预B. 需要⼈为⼲预C. 不是⼀个独⽴的程序D. 是操作系统的⼀部分10. DOS操作系统组成部分中( )的模块提供对计算机输⼊/输出设备进⾏管理的程序，是计算机硬件与软件的最底层的接⼝A. 引导程序B. ROM BIOS程序C. 输⼊输出管理程序D. 命令处理程序11. ⽂件型病毒传染.COM⽂件往往修改⽂件⾸部的三个字节，将这三个字节改为⼀个( )指令，使控制转移到病毒程序链接的位置A. MOVB. 转移C. NOPD. HALT12. 宏病毒⼀般（）A. 存储在PDF⽂件中B. 存储在DOC⽂件中C. 存储在通⽤模版Normal.dot⽂件中D. 存储在TXT⽂件中13. DOS系统中，中断向量的⼊⼝地址占( ) 个字节A. 8B. 2C. 4D. 614. 计算机病毒通常容易感染带有( )扩展名的⽂件A. TXT15. 病毒最先获得系统控制的是它的( )模块A. 引导模块B. 传染模块C. 破坏模块D. 感染条件判断模块1. 简述计算机病毒的结构组成及其作⽤。

一、单项选择题（本大题共10小题，每小题2分，共20分） 在每小题列出的四个备选项中只有一个最符合题目要求， 请将其代码填写在题后的括号内。

错选、多选或未选均无分。

B. 和没有生命的病毒相比，蠕虫是一种有繁殖能力的小虫子C. 蠕虫比病毒更经常删除注册表健值和更改系统文件D. 嚅虫更有可能损害被感染的系统4. 主要危害系统文件的病毒是（ B ）A. 文件型B.引导型C.网络病毒D.复合型5. 一般意义上，木马是（ D ） oA. 具有破坏力的软件B. 以伪装善意的面口出现，但具有恶意功能的软件C. 不断自我复制的软件D. 窃取用户隐私的软件6. 计算机病毒根据与被感染对象的关系分类，可分为（A ） oA. 引导区型、文件型、混合型B. 原码型、外壳型、复合型和网络病毒C. 寄生型、伴随型、独立型D. 良性型、恶性型、原码型和外壳型7. 下面哪种情况可能会成为远程执行代码的高危漏洞（）。

A. 原内存块的数据不可以被改写B. 存在根据原内存块中的数据盲接或间接地改变程序执行流程的代码C. 假冒知名网站D. 浏览器劫持8. 若岀现下列现象（ C ）时，应首先考虑计算机感染了病毒。

A. 不能读取光盘B.系统报告磁盘已满1. A. B. C.C/D ）的说法最准确地说明了对用户权限的限制有助于防范木马病毒。

如果用户没冇删除程序的权限， 如果用户没冇删除程序的权限，如果用户没有安装程序的权限， 如果用户没冇安装程序的权限，D. 2.和普通病毒相比，蠕虫最重要的特点是（A.蠕虫可以传播得更为广泛那么也就无法更改系统的安金设置 那么也能删除杀毒软件和反木马病毒软件 那么安装木马程序的可能性也将减少 那么也就无法安装木马病毒程序C.程序运行速度明显变慢D.开机启动Windows 先扫描硬盘9. 按照目前比较普遍的分类方法，下面哪类软件不属于流氓软件（D ） oA.广告软件B.间谍软件及行为记录软件C.强制安装的恶意共享软件D.感染了宏病毒的Word 文件10. 以下方法中，不适用于检测计算机病毒的是（ C ） oA.特征代码法B.校验和法C.加壳D.软件模拟法二、多项选择题（本大题共10小题，每小题2分，共20分）在每小题的备选 项中有多个选项符合题目要求，请将其代码填写在题后的括号内。

第一章计算机病毒概述1.※计算机病毒定义计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用，并能自我复制的一组计算机指令或者程序代码。

2.※计算机病毒的特性破坏性传染性寄生性隐蔽性触发（潜伏）性3.※计算机病毒的发展趋势是什么？哪些病毒代表了这些趋势？病毒发展趋势：网络化专业化简单化多样化自动化犯罪化代表病毒：蠕虫、木马4. ※计算机病毒的主要危害直接危害：（1）病毒激发对计算机数据信息的直接破坏作用（2）占用磁盘空间和对信息的破坏（3）抢占系统资源（4）影响计算机运行速度（5）计算机病毒错误与不可预见的危害（6）计算机病毒的兼容性对系统运行的影响间接危害：（1）计算机病毒给用户造成严重的心理压力（2）造成业务上的损失（3）法律上的问题5. ※计算机病毒和医学上的病毒相似之处是什么？区别又是什么？相似之处：与生物医学上的病毒同样有寄生、传染和破坏的特性，因此这一名词是由生物医学上的“病毒”概念引申而来区别：不是天然存在，是某些人利用计算机软、硬件所固有的脆弱性，编制的具有特殊功能的程序。

6．（了解）木马病毒（闪盘窃密者、证券大盗、外挂陷阱、我的照片我正向外闪）7．※计算机病毒的命名规则1991年计算机反病毒组织(CARO)提出了一套命名规则，病毒的命名包括五个部分：•家族名•组名•大变种•小变种•修改者CARO规则的一些附加规则包括：•不用地点命名•不用公司或商标命名•如果已经有了名字就不再另起别名•变种病毒是原病毒的子类举例说明：精灵（Cunning）是瀑布（Cascade）的变种，它在发作时能奏乐，因此被命名为Cascade.1701.A。

Cascade是家族名，1701是组名。

因为Cascade病毒的变种的大小不一（1701, 1704, 1621等），所以用大小来表示组名。

A 表示该病毒是某个组中的第一个变种。

业界补充：反病毒软件商们通常在CARO命名的前面加一个前缀来标明病毒类型。

计算机病毒学期末考试复习要点第一篇：计算机病毒学期末考试复习要点计算机病毒学复习大纲“黑色星期五”在逢13号的星期五发作。

中国的“上海一号”在每年3月、6月及9月的13日发作。

CHI病毒：v1.2版本的发作日期是每年的4月26日，v1.3版本是每年的6月26号，v1.4版本是每月的26日。

Happytime（欢乐时光）病毒发作的条件是月份与日期之和等于13。

“求职信”病毒在单月的6日和13日发作。

（P3）根据寄生的数据存储方式计算机病毒可划分为三种类型：引导区型、文件型、混合型。

（P7）宏病毒是一种寄存于文档或模板的宏中的计算机病毒。

宏病毒一般用Visual Basic编写，是寄存在Microsoft Office文档上的宏代码。

（P12）PE文件：Protable Executable File Format（可移植的执行体）。

最有名的PE格式的病毒是CIH病毒。

（P31）VxD：虚拟设备驱动程序（P32）。

木马系统软件一般由：木马配置程序、控制程序和木马程序（服务器程序）3部分组成。

（P53）大多数特洛伊木马包括包括客户端和服务器端两个部分。

DDoS：分布式拒绝服务攻击。

“灰鸽子”是国内一款著名木马病毒。

（P57）蠕虫病毒通常由两部分组成：一个主程序和一个引导程序。

（P64）蠕虫病毒与普通病毒的区别：一般的病毒是寄生的，可以通过其指令的执行，将自己的指令代码写到其他程序体内，而被感染的文件就被称为“宿主”。

蠕虫一般不采取利用PE格式插入文件的方法，而是通过复制自身在Internet环境下进行传播。

病毒的传染能力主要是针对计算机内的文件系统而言，而蠕虫病毒的感染目标是Internet内的所有计算机。

（P65）几种典型的蠕虫病毒：“尼姆达”（nimda）病毒、“震荡波”病毒、“红色代码”病毒、“SCO炸弹”病毒、“斯文”病毒、“熊猫烧香”病毒。

（P66）“震荡波”病毒利用Windows的LSASS中存在一个缓冲区溢出漏洞进行攻击，监听TCP5554端口。

《计算机病毒》复习思考题第一章计算机病毒概述1. 简述计算机病毒的定义和特征。

计算机病毒(Computer Virus)，是一种人为制造的、能够进行自我复制的、具有对计算机资源进行破坏作用的一组程序或指令集合。

计算机病毒的可执行性(程序性)、传染性、非授权性、隐蔽性、潜伏性、可触发性、破坏性、攻击的主动性、针对性、衍生性、寄生性(依附性)、不可预见性、诱惑欺骗性、持久性。

2. 计算机病毒有哪些分类方法？根据每种分类方法，试举出一到两个病毒。

3. 为什么同一个病毒会有多个不同的名称？如何通过病毒的名称识别病毒的类型？国际上对病毒命名的一般惯例为“前缀+病毒名+后缀”，即三元组命名规则。

1、系统病毒系统病毒的前缀为：Win32、PE、Win95、W32、W95等。

2、蠕虫病毒蠕虫病毒的前缀是：Worm。

3、木马病毒、黑客病毒木马病毒其前缀是：Trojan，黑客病毒前缀名一般为Hack 。

4、脚本病毒脚本病毒的前缀是：Script。

5、宏病毒其实宏病毒是也是脚本病毒的一种，由于它的特殊性，因此在这里单独算成一类。

宏病毒的前缀是：Macro。

6、后门病毒后门病毒的前缀是：Backdoor。

7、病毒种植程序病毒后门病毒的前缀是：Dropper。

这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下，由释放出来的新病毒产生破坏。

8．破坏性程序病毒破坏性程序病毒的前缀是：Harm。

这类病毒的公有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒便会直接对用户计算机产生破坏。

9．玩笑病毒玩笑病毒的前缀是：Joke。

10．捆绑机病毒捆绑机病毒的前缀是：Binder。

4. 简述计算机病毒产生的背景。

5. 计算机病毒有哪些传播途径？传播途径有两种，一种是通过网络传播，一种是通过硬件设备传播（软盘、U盘、光盘、硬盘、存储卡等）。

网络传播，又分为因特网传播和局域网传播两种。

硬件设备传播：通过不可移动的计算机硬件设备传播、通过移动存储设备传播、通过无线设备传播。

《病毒防范与入侵防范》复习提纲基本控制台命令：在Windows 2000/XP 操作系统下运行控制台命令的正确方法了解以下基本 dos命令的基本用法：转换盘符命令，cd 命令。

掌握以下网络命令的功能和用法：ping, ipconfig,了解以下网络命令的功能和基本用法： net user, net use, net localgroup, at在系统中添加帐号的命令。

将帐号添加到本地组的命令掌握利用 netstat -a, netstat -n 命令来查询本机的ip端口使用情况复习题：以下方法运行 dos 命令最方便察看运行结果？A) 双击运行B) 在“运行”菜单中打开程序C) 利用“运行方式”菜单，以管理员权限运行D) 打开“命令提示符”，然后将该文件拖到“命令提示符”窗口中基本网络知识：了解tcp/ip协议，了解 ip 地址的组成，掌握在Windows 2000下设置 ip地址的方法，查询本机 ip地址的方法了解 ip端口的概念了解有两类ip网络端口：tcp和udp。

这两种网络端口的区别了解 ftp, http, telnet 协议的功能，使用的连接方式和它们使用的默认端口号了解Windows 2000的终端服务的功能，使用的默认端口号基本工具程序的使用fport程序procexp（超级进程管理器）：了解Process Explorer的基本功能，与Windows 中的“任务管理器”功能最相近。

相比Windows 的“任务管理器”，他有哪些改进？autoruns：主要功能是什么？基于认证的入侵方式：了解基于认证的入侵方式的步骤：得到口令-〉通过正常系统认证进入系统在Windows 2000下正常的 ipc$连接的功能，ipc$空连接的功能，正常的ipc$连接和 ipc$空连接的区别ipc$ 空连接在帐号和口令猜测方面的功能估算采用特定的口令选取方案时，口令的安全强度（该方案的口令个数）使用dos命令建立正常的 ipc$连接的方法使用dos命令建立ipc$空连接的方法使用Windows的“计算机管理”工具进行远程管理使用Windows的“注册表编辑器”工具进行远程注册表编辑使用at命令运行远程机器的程序使用telnet 远程登录目标主机并运行dos 命令行程序的方法使用“终端服务”远程登录目标主机并运行应用程序的方法掌握使用XScan扫描工具扫描Windows 2000的系统弱口令的方法掌握使用Dameware 远程管理工具进行远程管理和远程控制了解 Sniffer 的概念，Sniffer工具在口令侦听方面的作用。

`第一章1、计算机病毒的定义（填空）计算机病毒是编制或者在计算机程序中插入的破坏计算机功能或者数据，影响计算机使用并且能够自我复制的一组计算机指令或程序代码2、计算机病毒的六个特征（填空）传染性、破坏性、寄生性、隐蔽性、潜伏性（触发性）、不可预见性、针对性、非授权可执行性、衍生性3、计算机病毒的发展趋势七点（问答）⑴网络化⑵专业化⑶智能化⑷人性化⑸隐蔽化⑹多样化⑺自动化4、计算机病毒与医学上的病毒的区别及联系（问答）计算机病毒不是天然存在的，是某些人利用计算机软、硬件所固有的脆弱性，编制的具有特殊功能的程序。

与生物医学上的病毒同样有传染和破坏的特性，因此这一名词是由生物医学上的“病毒”概念引申而来。

第三章1、计算机病毒的四大功能模块（填空）引导模块、感染模块、破坏模块、触发模块2、计算机病毒的状态转化（动静态）处于静态的病毒存在于存储介质中，一般不能执行感染和破坏功能，其传播只能借助第三方活动（例如复制、下载和邮件传输等）实现。

当病毒经过引导功能开始进入内存后，便处于活动状态，满足一定触发条件后就开始传染和破坏，从而构成计算机系统和资源的威胁和毁坏。

3、引导模块的三个过程（问答）⑴驻留内存病毒若要发挥其破坏作用，一般要驻留内存。

为此就必须开辟所有内存空间或覆盖系统占用的内存空间。

其实，有相当多的病毒根本就不用驻留在内存中。

⑵窃取系统的控制权在病毒程序驻留内存后，必须使有关部分取代或扩充系统的原有功能，并窃取系统的控制权。

此后病毒程序依据其设计思想，隐蔽自己，等待时机，在时机成熟时，再进行传染和破坏。

⑶恢复系统功能病毒为隐蔽自己，驻留内存后还要恢复系统，使系统不会死机，只有这样才能等待时机成熟后，进行感染和破坏。

4、抗分析技术（填空）自加密技术、反跟踪技术5、触发模块的触发条件（填空）日期触发、时间触发、键盘触发、感染触发、启动触发、访问磁盘次数触发、CPU型号/主板型号触发6、触发条件与破坏程度之间的关系可触发性是病毒的攻击性和潜伏性之间的调整杠杆，可以控制病毒感染和破坏的程度，兼顾杀伤力和潜伏性。

一、填空：1、计算机病毒与生物病毒一样，有其自身的病毒体和寄生体。

2、我们称原合法程序为宿主或宿主程序，存储染有病毒的宿主程序的存储介质为存储介质宿主；当染有病毒的宿主程序在计算机系统中运行时或运行后就驻留于内存中，此时这一系统就称为病毒宿主系统。

3、计算机病毒构成的最基本原则：必须有正确系统不可遏制的传染性，具有一定的破坏性或干扰性，具有特殊的非系统承认的或不以用户意志所决定的隐蔽形式，每个病毒程序都应具备标志唯一性、加载特殊性、传播隐蔽性和引发条件性。

4、病毒引导模块的主要作用是将静态病毒激活，使之成为动态病毒。

5、动态病毒是指要么已进入内存处于活动状态的病毒，要么能通过调用某些中断而获得运行权，从而可以随心所欲的病毒。

6、系统加载过程通常读入病毒程序的引导部分，并将系统控制权转交病毒引导程序。

7、病毒的存在和加载都是由操作系统的功能调用或ROM BIOS调用加载的。

不论何种病毒，都需要在适当的时机夺取系统的控制权，并利用控制权来执行感染和破坏功能。

8、DOS系统的病毒程序的加载有3种方式：参与系统的启动过程，依附正常文件加载，直接运行病毒的程序。

9、具体来说，病毒加载过程，主要由3个步骤组成：开辟内存空间，使得病毒可以驻留内存对病毒定位，保持病毒程序的一贯性，并取得系统控制权借以进行传染和发作。

恢复系统功能，使得被感染系统能继续有效运行。

10、被动感染过程是：随着拷贝磁盘或文件工作的进行而进行的。

11、主动感染过程是：在系统运行时，病毒通过病毒的载体即系统外存储器进入系统的内存储器，常驻内存，并在系统内存中监视系统的运行。

12、计算机病毒的感染可分为两大类：立即感染，驻留内存并伺机感染。

13、病毒体：病毒程序。

寄生体：可供病毒寄生的合法程序。

14、计算机病毒的感染模块有：感染条件判断模块，实施感染模块。

15、计算机病毒表现模块有：表现条件判断模块，实施表现模块。

16、感染模块的功能是：在感染条件满足时把病毒感染到所攻击的对象。

《计算机病毒分析与防范技术》知识点整理本知识点涵盖期末考试的内容，请自行完善，以便用于开卷考试。

7.※清除宏病毒的方法清除宏病毒方法一、验证是否感染了宏病毒？打开需要检查的文档，单击“文件”菜单栏，选择“另存为”命令，如果对话框中的保存类型固定为“文档模板”，则表示这个文件已经感染了宏病毒。

二、清除宏病毒的方法1、OFFICE2003方法：打开文档，工具――宏――宏（或者使用组合键“Alt＋F8”,如OFFICE版本不同找不到选项，可以使用此组合键）调出宏对话框，如果在弹出的对话框中有已经记录的宏的话，那就极有可能是宏病毒，删除所有的宏就可以了。

比较复杂的宏病毒会将宏对话框屏蔽掉，这时就需要采用其他方法了。

Word环境中的宏病毒一般是存放在Microsoft Office目录下Templates子目录中的Normal.dot文件中，这时需要重新启动计算机，找到这个文件，并把它删除，再运行Word 就可以了。

但是有些宏病毒“知道”用户会找到No rmal.dot并删除掉，所以它会在硬盘的多个目录中放上同样的No rmal.dot，如果只删除Templates下的一个，Word会按照Windows缺省的搜索路径进行搜索，这样会加载其他有毒的Normal.dot，并把删除掉的再重新恢复这时，只要使用Windows中查找文件的方法把硬盘中所有的Normal.dot全部删除就可以了。

2、设置宏安全性。

Office2003方法，打开文档－工具－选项－安全性－宏安全性－安全级。

8.※COM病毒的原理病毒自运行机制分析：病毒主要是通过优盘传播。

在没有病毒防护的情况下，autorun.inf可以自动运行病毒程序，也可以通过点击伪装的xxxx文件夹.exe(220K)运行后产生以上病毒文件，分布在不同的文件夹里，按Ctrl+Alt+Del键可以看到有：Global.exe、keyboard.exe、fonts.exe等病毒进程在运行，且互为保护无法中止这些进程；病毒通过映像劫持破坏输入法、任务管理器、注册表编辑器等；将优盘内的文件夹隐藏，用同名的220K病毒文件取代；在所有盘符下生成autorun.inf、两个自动运行文件；不断产生“explorer程序遇到问题需要关闭”等出错提示；还可以通过局域网网络感染共享文件夹。

计算机病毒知识与防治学习资料一、什么是计算机病毒“计算机病毒”为什么叫做病毒。

首先，与医学上的“病毒”不同，它不是天然存在的，是某些人利用计算机软、硬件所固有的脆弱性，编制具有特殊功能的程序。

其能通过某种途径潜伏在计算机存储介质(或程序)里，当达到某种条件时即被激活，它用修改其他程序的方法将自己的精确拷贝或者可能演化的形式放入其他程序中，从而感染它们，对计算机资源进行破坏的这样一组程序或指令集合。

1994年2月18日，我国正式颁布实施了《中华人民共和国计算机信息系统安全保护条例》，在《条例》第二十八条中明确指出：“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。

”此定义具有法律性、权威性。

二、病毒起源最早由冯·诺伊曼提出一种可能性----现在称为病毒，但没引起注意. 1975 年，美国科普作家约翰·布鲁勒尔(JOHN BRUNNER) 写了本名为《震荡波骑士》(SHOCK WAVE RIDER) 的书，该书第一次描写了在信息社会中，计算机作为正义和邪恶双方斗争的工具的故事，成为当年最佳畅销书之一1977年夏天，托马斯·捷·瑞安(THOMAS.J.RYAN) 的科幻小说《P-1的春天》(THE ADOLESCENCE OF P-1) 成为美国的畅销书，作者在这本书中描写了一种可以在计算机中互相传染的病毒，病毒最后控制了7，000 台计算机，造成了一场灾难。

1983年11月3日，弗雷德·科恩(FRED COHEN) 博士研制出一种在运行过程中可以复制自身的破坏性程序，伦·艾德勒曼(LEN ADLEMAN) 将它命名为计算机病毒(COMPUTER VIRUSES)，并在每周一次的计算机安全讨论会上正式提出，8小时后专家们在VAX11/750计算机系统上运行，第一个病毒实验成功，一周后又获准进行5个实验的演示，从而在实验上验证了计算机病毒的存在。

计算机基础及防病毒知识讲义第一讲：计算机安全与防病毒知识主讲人：牛建刚大家好：今天，我们大家一起来学习一些有关计算机安全与维护的知识。

当今社会以计算机及其应用为主的信息技术（IT，Information Technology）已经深入到我们工作和生活的方方面面，我们可以通过互联网和远方的朋友亲人聊天；职称考试要在网上报名；坐在办公室我们就可以知道世界各地的新闻时事；据我所知我们学校很多老师已经在互联网上购买了电脑、手机、衣服和化妆品，前些日子我也通过互联网买到了北京奥运会开幕式的门票。

伴随着信息技术飞速发展给我们生活工作带来的方便和舒适，信息安全事件层出不穷：1997年的下半年，而江民公司在自己生产的KV300软件中安装“逻辑锁”，致使用盗版KV300软件的用户数据被破坏。

2005年7月由于受到黑客入侵第三方数据存管机构，全球1390万张万事达卡的数据资料可能被窃，其中6.2万张卡已被确认泄漏资料。

2006年12月在我国南海海域发生七点二级地震，多条国际海底通信中断，造成附近国家和地区的国际和地区性通信受到严重影响。

2007年11月英国皇家税务及海关总署在邮寄过程中丢失两张重要数据光盘，其中包括约2500万人的个人资料和银行信息。

这意味着英国6000万人口中，有近一半人面临受欺诈的危险。

首先，我们先来了解一下影响计算机安全的主要因素：1、系统故障：由于网络、计算机或者软件本身出现的故障而导致的数据丢失和或系统瘫痪是不可预见的，也是我们能力以外的，比例：显示器或者硬盘坏了、键盘鼠标不好用了。

这些故障我们自己解决不了，必须找专业的维修人员来处理。

2、人为因素：包括人为的操作错误、非法侵入和访问以及一些不道德的行为。

3、恶意程序：包括计算机病毒、特洛伊木马和恶意软件。

其次，我们来了解一下保证计算机安全的主要措施：1、系统故障对安全的影响最大，系统的数据和个人的信息都保存硬盘等存储器内，损坏后会造成大量的数据丢失。

计算机三级《网络技术》复习重点：计算机病毒与防护
2015计算机三级《网络技术》复习重点：计算机病毒与防护
1、计算机病毒
计算机病毒是一段可执行代码，是一个程序。

它不独立存在，隐藏在其他可执行程序中，具有破坏性、传染性和潜伏性。

(1)病毒的生命周期：
潜伏阶段：病毒处于休眠状态，最终要通过某个事件来激活。

繁殖阶段：将与自身相同的副本放入其他程序或磁盘的特定区域中。

触发阶段：病毒被激活来进行它要实现的功能。

执行阶段：功能被实现。

2、病毒的种类
寄生病毒：将自己附加到可执行文件中，当被感染的程序执行时，通过感染其他可执行文件来重复。

存储器驻留病毒：寄宿在主存中，作为驻留程序的一部分。

引导区病毒：感染主引导记录或引导记录，从包含病毒的磁盘启动时进行传播。

隐形病毒：明确地设计成能够在反病毒软件检测时隐藏自己。

多态病毒：每次感染时会改变自己。

3、计算机病毒的防治策略
检测：一旦发生了感染，确定它的.发生并且定位病毒
标识：识别感染程序的特定病毒
清除：一旦识别了病毒，清除病毒，将程序恢复到原来的状态。

4、几种常见病毒：
宏病毒;电子邮件病毒;特洛伊木马(伪装成工具或游戏，获取密码，本质上不算病毒);计算机蠕虫(通过分布式网络扩散传播特定信息)。

5、反病毒软件分4代：
简单的扫描程序;启发式的扫描程序;行为陷阱;全方位的保护。

【2015计算机三级《网络技术》复习重点：计算机病毒与防护】。

《病毒原理与防范》复习资料亲，绝对正版教科书copy哦，老师说的重点都在里面了！免费使用还包邮！祝各位童鞋们考试顺利过关！！！^_^第一章计算机病毒概述1.计算机病毒生命周期在其生命周期中，病毒一般会经历如下四个阶段：（1）潜伏阶段：这一阶段的病毒处于休眠状态，这些病毒最终会被某些条件（如日期、某特定程序或特定文件的出现，或内存的容量超过一定范围）所激活。

不是所有的病毒都会经历此阶段。

（2）传染阶段：病毒程序将自身复制到其他程序或磁盘的某个区域上，每个被感染的程序又因此包含了病毒的复制品，从而也就进入了传染阶段。

（3）触发阶段：病毒在被激活后，会执行某一特定功能从而达到某种既定的目的。

和处于潜伏期的病毒一样，触发阶段病毒的触发条件是一些系统事件，譬如病毒复制自身的次数。

（4）发作阶段：病毒在触发条件成熟时，即可在系统中发作。

由病毒发作体现出来的破坏程度是不同的：有些是无害的，如在屏幕上显示一些干扰信息；有些则会给系统带来巨大的危害，如破坏程序以及文件中的数据。

2.计算机病毒的定义计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。

3.计算机病毒的特征（填空/选择）（1）传播性（2）非授权性（3）隐蔽性（4）潜伏性（5）破坏性（6）不可预见性（7）可触发性4.计算机病毒的对抗技术（填空/选择）（1）特征码扫描（2）启发式扫描（3）虚拟机技术（4）主动防御技术（5）自免疫技术第二章预备知识1.PE文件格式PE就是Portable Executable(可移植可执行)，它是Win32可执行文件的标准格式。

（1）NT映象头紧跟着DOS小程序后面的便是PE文件的NT映象头（IMAGE_NT_HEADERS），它存放PE整个文件信息分布的重要字段。

可见它由三个部分组成：1.字串“PE\0\0”（Signature）（4H字节）2.映象文件头（FileHeader）（14H字节）3.可选映象头（OptionalHeader）（2）节表紧接着NT映象头之后的就是节表。