计算机病毒考试题型

1、为什么说蠕虫是独立式的？（C）

A、蠕虫不进行复制

B、蠕虫不向其他计算机进行传播

C、蠕虫不需要宿主计算机来传播

D、蠕虫不携带有效负载

3、哪一项不是特洛伊木马所窃取的信息？（D）

A、计算机名字

B、硬件信息

C、QQ用户密码

D、系统文件

4、哪一项不是特洛伊木马的常见名字？（C）

A、TROJ_WIDGET.46

B、TROJ_FLOOD.BLDR

C、I-WORM.KLEZ.H

D、TROJ_DKIY.KI.58

5、哪一项不是蠕虫病毒的传播方式及特性？（B）

A、通过电子邮件进行传播

B、通过光盘、软盘等介质进行传播

C、通过共享文件进行传播

D、不需要再用户的参与下进行传播

6、哪一项不是蠕虫病毒的常用命名规则？（D）

A、W32/KLEZ-G

B、I-WORM.KLEZ.H

C、W32.KLEZ.H

D、TROJ_DKIY.KI.58

15、使用互联网下载进行传播的病毒是？（A）

A、JAVA病毒

B、DOS病毒

C、WINDOWS病毒

D、宏病毒

17、PE_CIHVI1.2病毒会感染哪一种操作系统？（C）

A、ＤＯＳ

B、UNIX

C、WINDOWS

D、LINUX

19、下列哪一项不是我们常见的网络病毒？（A）

A、DOS病毒

B、蠕虫病毒

C、多态病毒

1、计算机病毒按寄生方式和感染途径可分为引导型病毒、文件型病毒和混合型病毒。

2、计算机病毒的基本特征为非法性、传染性、隐藏性、潜伏性、可触发性、破坏性、衍生性不可预见性。其中，隐藏性是计算机病毒最基本的特征。

3、计算机病毒侵入系统后，一般不立即发作，而是有一定的潜伏期。

4、计算机病毒造成的最显著的后果是破坏计算机系统。

5、病毒的传染、破坏部分被其他掌握原理的人以其个人的企图进行任意改动，从而又衍生出一种不同于原版本的新的计算机病毒（也称为变种），这就是计算机病毒的衍生性。

6、通过有线网络系统进行传播的方式有电子邮件、WWW浏览、FTP文件传输、BBS 、网络聊天工具。

三、简述题：

1、简述PE文件的组成结构：

（1）DOS部分，包括DOS文件头和DOS块；（2）PE文件头，包括PE文件头标志，PE文件表头，PE文件头可选部分；（3）节表;（4）节数据；

2、狭义的计算机病毒与蠕虫病毒的区别：

7、简述蠕虫的工作方式

答：蠕虫的工作方式一般是“扫描→攻击→复制”

9、简述特洛伊木马的基本原理。

答：特洛伊木马包括客户端和服务器端两个部分，攻击者通常利用一种称为绑定程序(exe-binder)的工具将木马服务器绑定到某个合法软件上，诱使用户运行合法软件。只要用户运行该软件，特洛伊木马

的服务器就在用户毫无察觉的情况下完成了安装过程,攻击者要利用客户端远程监视、控制服务器，必需先建立木马连接；而建立木马连接，必需先知道网络中哪一台计算机中了木马,获取到木马服务器的信息之后，即可建立木马服务器和客户端程序之间的联系通道，攻击者就可以利用客户端程序向服务器程序发送命令，达到操控用户计算机的目的。

13、什么是特洛伊木马？

答：特洛伊木马（也叫黑客程序或后门）是指隐藏在正常程序中的一段具有特殊功能的恶意代码，一旦侵入用户的计算机，就悄悄在宿主计算机上运行，在用户毫无觉察的情况下，让攻击者获得远程访问和控制系统的权限，进而在用户计算机中破坏或删除文件、修改注册表、记录键盘，或窃取用户信息，可能造成用户系统被破坏，甚至瘫痪。木马是一种基于远程控制的黑客工具，是一种恶意程序，具备计算机病毒的特征，我们常把它看作广义病毒的一个子类。目前很多木马程序为了在更大范围内传播，与计算机病毒相结合，因此，木马程序也可以看做一种伪装潜伏的网络病毒。

14、什么是病毒的多态？

答：所谓病毒的多态，就是指一个病毒的每个样本的代码都不相同，它表现为多种状态。采用多态技术的病毒由于病毒代码不固定，这样就很难提取出该病毒的特征码，所以只采用特征码查毒法的杀毒软件是很难对这种病毒进行查杀的。

多态病毒是改进了的加密病毒，由变化的解密头和加密的代码组成。多态病毒运行时，先执行的是解密代码，对加密代码解密，然后执行刚解密的代码，也就是实现传播的主体代码。

四、计算题

病毒感染PE文件，须对该文件作哪些修改？（相关内容参考另一个附件，带补充）

（1）给PE文件增加一个新节，病毒在添加新节时，都会将新添加的节的属性设置为可读、可写、可执行

（2）在新节中添加可执行的代码

（3）修改文件头，使得入口地址指向刚添加的节

（4）将全部节未对齐大小设置为对齐后的大小，制造不存在空洞的假象

PE病毒的感染过程：

1．判断目标文件开始的两个字节是否为“MZ”。2．判断PE文件标记“PE”。3．判断感染标记，如果已被感染过则跳出继续执行HOST程序，否则继续。4．获得Directory（数

据目录）的个数，（每个数据目录信息占8个字节）。5．得到节表起始位置。(Directory 的偏移地址+数据目录占用的字节数=节表起始位置) 6．得到目前最后节表的末尾偏移（紧接其后用于写入一个新的病毒节）节表起始位置+节的个数*(每个节表占用的字节数28H)=目前最后节表的末尾偏移。7．开始写入节表

PE病毒的基本原理。1．病毒的重定位2．获取API函数地址3．搜索文件4．内存映射文件5．病毒感染其他文件6．病毒返回到Host程序

关于计算机病毒，有两点需要注意：

一、最后计算题有关PE文件的，我觉得最有可能考的是地址。需要用到的知识点如下：（1）计算机病毒如何得知一个文件是不是PE文件？

答：最基本、简答的方法就是先看该文件的前两个字节是不是4D5A，如果不是，则已经说明不是PE文件，如果是，那么我们可以再DOS程序头中的偏移3CH处的四个字节找到PE字串的偏移位置（e_ifanew）。然后察看该偏移位置的四个字节是否是50\45\00\00，如果不是，说明不是PE文件，如果是，那么我们认为它是一个PE文件。当然为了准确还需要再加上其它一些判断条件。

（2）实际内存地址=基地址（即ImageBase值）+相对虚地址（RVA）。

（3）节表起始位置=Directory（数据目录）的偏移地址+数据目录占用的字节数；最后节表的末尾偏移（紧接其后用于写入一个新的病毒节）=节表起始位置+节的个数*(每个节表占用的字节数)。

他可能告诉你Directory（数据目录）的偏移地址、数据目录占用的字节数、节的个数以及每个节表占用的字节数，让你计算新插入的病毒节的位置。

对下面几点进行补充：

关于计算机病毒，有两点需要注意：

一、最后计算题有关PE文件的，我觉得最有可能考的是地址。需要用到的知识点如下：（1）计算机病毒如何得知一个文件是不是PE文件？

答：最基本、简答的方法就是先看该文件的前两个字节是不是4D5A，如果不是，则已经说明不是PE文件，如果是，那么我们可以再DOS程序头中的偏移3CH处的四个字节找到PE字串的偏移位置（e_ifanew）。然后察看该偏移位置的四个字节是否是50\45\00\00，如果不是，说明不是PE文件，如果是，那么我们认为它是一个PE文件。当然为了准确还需要再加上其它一些判断条件。

（2）实际内存地址=基地址（即ImageBase值）+相对虚地址（RVA）。

（3）节表起始位置=Directory（数据目录）的偏移地址+数据目录占用的字节数；最后节表的末尾偏移（紧接其后用于写入一个新的病毒节）=节表起始位置+节的个数*(每个节表占用的字节数)。

他可能告诉你Directory（数据目录）的偏移地址、数据目录占用的字节数、节的个数以及每个节表占用的字节数，让你计算新插入的病毒节的位置。

二、对下面几点进行补充：

（1）INT 13H调用可以完成磁盘（包括硬盘和软盘）的复位、读写、校验、定位、诊断、