第2章 计算机病毒结构及分析

第2章信息安全与社会责任教学目标:掌握信息系统安全的相关概念了解计算机应用人员的社会责任与职业道德，增强网络道德意识培养遵守网络道德规范、安全使用计算机的良好习惯。

随着计算机的快速发展及计算机网络的普及，伴随而来的计算机安全问题越来越受到人们的广泛的重视与关注。

本章的主要任务：1.计算机安全与维护2.网络安全技术3.信息安全技术4.社会责任与职业道德2.1 计算机安全与维护计算机安全的威胁多种多样，主要来自自然因素与人为因素，而人为因素主要是病毒与网络黑客。

本节的任务了解病毒与黑客及其危害，掌握防治的基本技术与方法。

2.1.1基本知识计算机应用的日益深入以及计算机网络的普及，给人们带来了前所未有的方便，给社会带来无限的商机与财富。

然而，发展同时也给社会带来了巨大的风险，如计算机病毒、网络欺诈、网络攻击、网络犯罪等给社会带来了巨大的经济损失和社会问题。

计算机的安全问题已经引起全社会广泛的关注和重视。

按照美国国家技术标准组织(NSIT)的定义，计算机安全是指“为任何自动信息系统提供保护，以达到维护信息系统资源（包括各类硬件、软件、固件、数据及通信等）的完整性、可用性以及保密性的目的”。

即是说，计算机安全是计算机技术的一部分，它主要目的是保证信息安全，防止信息被攻击、窃取和泄露。

1994年我国颁布的《中华人民共和国计算机信息系统安全保护条例》（简称《安全保护条例》），就是一个保护计算机安全的重要法规。

条例指出：计算机信息系统的安全保护工作，应当保障计算机及其相关和配套的设备、设施（含网络）的安全，保障信息的安全，保障计算机功能的正常发挥，以维护计算机信息系统的安全运行。

计算机安全涵盖了系统安全及数据安全两个方面。

系统安全一般采用防火墙、病毒查杀、防范等被动保护措施；数据安全则主要是采用现代密码算法对数据进行主动保护。

一个完整的安全方案应该是以上两者有机的结合。

2.1.2计算机病毒1.什么是计算机病毒计算机病毒是指“编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”（《中华人民共和国计算机信息系统安全保护条例》（简称《安全保护条例》））。

第2章46．操作系统是____。

A)软件与硬件的接口B)主机与外设的接口C)计算机与用户的接口D)高级语言与机器语言的接口解答：软件与硬件的接口应该是机器语言；主机与外设之间的接口是I／0接口芯片；操作系统是用户与计算机之间的接口；高级语言与机器语言之间的接口应该是编译(或解释)程序。

本题正确答案为C。

47．操作系统的主要功能是____。

A)控制和管理计算机系统软硬件资源B)对汇编语言、高级语言和甚高级语言程序进行翻译C)管理用各种语言编写的源程序D)管理数据库文件解答：操作系统是用户与计算机之间的接口，用户通过操作系统来控制和管理计算机系统的软硬件资源。

对汇编语言、高级语言和甚高级语言程序进行翻译的程序称为语言处理程序；管理数据库文件使用的是数据库管理系统。

本题正确答案为A。

48．微机的诊断程序属于____。

A)管理软件 B)系统软件C)编辑软件 D)应用软件解答：微机的诊断程序的作用是对微机的系统功能进行测试，查找系统的错误，如果发现错误，则进行相应的改正。

因此微机的诊断程序是用户管理系统的工具，属于系统软件。

本题正确答案为B。

49．在下列软件中，不属于系统软件的是____。

A)操作系统 B)诊断程序C)编译程序 D)用PASCAL编写的程序解答：操作系统、诊断程序、编译程序均属于系统软件范畴，用PASCAL编写的程序不属于系统软件。

本题正确答案为D。

50．某公司的财务管理软件属于____。

A)工具软件 B)系统软件C)编辑软件 D)应用软件解答：微机软件系统包括系统软件和应用软件两大部分。

系统软件主要用于控制和管理计算机的硬件和软件资源。

应用软件是面向某些特定应用问题而开发的软件。

财务管理软件是面向财务系统应用而开发的软件，属于应用软件范畴。

本题正确答案为D。

51．计算机软件应包括____。

A)系统软件与应用软件B)管理软件和应用软件C)通用软件和专用软件D)实用软件和编辑软件解答：实用软件不是专业名词，系统软件和应用软件均具有实用性；编辑软件属于系统软件范畴；通用软件与专用软件是从软件的通用性来衡量的；管理软件一般指应用软件。

2.选择题1.计算机病毒是（C）A.被损坏的程序B.硬件故障C.一段特制的程序D.芯片霉变2.计算机病毒的危害主要造成（D）A.磁盘破坏B.计算机用户的伤害C.CPU的损坏D.程序和数据的破坏3.新买回来的未格式化的软盘（A）A.可能会有计算机病毒B.与带病毒的软盘放在一起会有计算机病毒C.一定没有计算机病毒D.经拿过带病毒的软盘的手碰过后会感染计算机病毒4.计算机病毒一般由（ABCD）四大部分组成。

A.感染模块B.触发模块C.破坏模块D.引导模块E.执行模块5.计算机病毒生命周期中，存在（B）和（C）两种状态。

A.静态B.潜伏态C.发作态D.动态6.在Windows 32 位操作系统中，其EXE文件中的特殊表示为（B）A.MZB.PEC.NED.LE7.能够感染EXE、COM 文件的病毒属于（C）。

A.网络型病毒B.蠕虫型病毒C.文件型病毒D.系统引导型病毒8.著名特洛伊木马“网络神偷”采用的隐藏技术是（A）A.反弹式木马技术B.远程线程插入技术C.ICMP协议技术D. 远程代码插入技术9.下列（B）不是常用程序的默认端口。

A.80B.8080C.23D.219.第一个真正意义的宏病毒起源于（A）应用程序。

A. WordB. Lotus 1-2-3C. ExcelD. PowerPoint10.总结移动终端的恶意代码感染机制，其感染途径主要分为（ABC）A.终端—终端B.终端—网关—终端C.PC（计算机）—终端 D .终端—PC11.移动终端的恶意代码的攻击方式分为（ABCDE）A.短信息攻击B.直接攻击手机C.攻击网关D.攻击漏洞E.木马型恶意代码12.下列病毒中（C）计算机病毒不是蠕虫病毒。

A.冲击波B.震荡波C. CIHD.尼姆达13.蠕虫和从传统计算机病毒的区别主要体现在（B）上。

A.存在形式B.传染机制C.传染目标D.破坏方式14.多数流氓软件具有的特征是（ABCD）A.强迫安装B.无法卸载C.干扰使用D.病毒和黑客特征15.从技术角度讲，数据备份的策略主要包括（ACD）A.完全备份B.差别备份C.增量备份D.差分备份16.下列描述不正确的是（B）A.不存在能够防治未来的所有病毒的发病毒软、硬件B.现在的杀毒软件能够查杀未知病毒C.病毒产生在前，反病毒手段相对滞后D.数据备份是防治数据丢失的重要手段1.填空题（1）计算机病毒是编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。

XX 大学XX 学院学院：------------------- 班级：------------------- 学号：------------------- 姓名：-------------------计算机病毒分析与防治目录第一章计算机病毒概述------------------------------------ 31.1 计算机病毒定义------------------------------------ 31.2计算机病毒的传播---------------------------------- 31.3计算机病毒新形势---------------------------------- 3 第二章计算机病毒原理------------------------------------ 42.1引导机制------------------------------------------ 42.2传播机制------------------------------------------ 42.3触发机制------------------------------------------ 5 第三章计算机病毒实例分析-------------------------------- 53.1引导型病毒---------------------------------------- 53.2文件型病毒---------------------------------------- 63.3宏病毒-------------------------------------------- 63.4脚本病毒------------------------------------------ 63.5蠕虫病毒------------------------------------------ 6 第四章计算机病毒防治------------------------------------ 74.1计算机病毒发作表现-------------------------------- 74.2反病毒技术分析------------------------------------ 74.3计算机病毒防范------------------------------------ 8 参考文献------------------------------------------------ 9第一章计算机病毒概述1.1 计算机病毒定义计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。

《计算机病毒》复习思考题第一章计算机病毒概述1. 简述计算机病毒的定义和特征。

计算机病毒(Computer Virus)，是一种人为制造的、能够进行自我复制的、具有对计算机资源进行破坏作用的一组程序或指令集合。

计算机病毒的可执行性(程序性)、传染性、非授权性、隐蔽性、潜伏性、可触发性、破坏性、攻击的主动性、针对性、衍生性、寄生性(依附性)、不可预见性、诱惑欺骗性、持久性。

2. 计算机病毒有哪些分类方法？根据每种分类方法，试举出一到两个病毒。

3. 为什么同一个病毒会有多个不同的名称？如何通过病毒的名称识别病毒的类型？国际上对病毒命名的一般惯例为“前缀+病毒名+后缀”，即三元组命名规则。

1、系统病毒系统病毒的前缀为：Win32、PE、Win95、W32、W95等。

2、蠕虫病毒蠕虫病毒的前缀是：Worm。

3、木马病毒、黑客病毒木马病毒其前缀是：Trojan，黑客病毒前缀名一般为Hack 。

4、脚本病毒脚本病毒的前缀是：Script。

5、宏病毒其实宏病毒是也是脚本病毒的一种，由于它的特殊性，因此在这里单独算成一类。

宏病毒的前缀是：Macro。

6、后门病毒后门病毒的前缀是：Backdoor。

7、病毒种植程序病毒后门病毒的前缀是：Dropper。

这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下，由释放出来的新病毒产生破坏。

8．破坏性程序病毒破坏性程序病毒的前缀是：Harm。

这类病毒的公有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒便会直接对用户计算机产生破坏。

9．玩笑病毒玩笑病毒的前缀是：Joke。

10．捆绑机病毒捆绑机病毒的前缀是：Binder。

4. 简述计算机病毒产生的背景。

5. 计算机病毒有哪些传播途径？传播途径有两种，一种是通过网络传播，一种是通过硬件设备传播（软盘、U盘、光盘、硬盘、存储卡等）。

网络传播，又分为因特网传播和局域网传播两种。

硬件设备传播：通过不可移动的计算机硬件设备传播、通过移动存储设备传播、通过无线设备传播。

第一章计算机病毒概述1.※计算机病毒定义计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用，并能自我复制的一组计算机指令或者程序代码。

2.※计算机病毒的特性破坏性传染性寄生性隐蔽性触发（潜伏）性3.※计算机病毒的发展趋势是什么？哪些病毒代表了这些趋势？病毒发展趋势：网络化专业化简单化多样化自动化犯罪化代表病毒：蠕虫、木马4. ※计算机病毒的主要危害直接危害：（1）病毒激发对计算机数据信息的直接破坏作用（2）占用磁盘空间和对信息的破坏（3）抢占系统资源（4）影响计算机运行速度（5）计算机病毒错误与不可预见的危害（6）计算机病毒的兼容性对系统运行的影响间接危害：（1）计算机病毒给用户造成严重的心理压力（2）造成业务上的损失（3）法律上的问题5. ※计算机病毒和医学上的病毒相似之处是什么？区别又是什么？相似之处：与生物医学上的病毒同样有寄生、传染和破坏的特性，因此这一名词是由生物医学上的“病毒”概念引申而来区别：不是天然存在，是某些人利用计算机软、硬件所固有的脆弱性，编制的具有特殊功能的程序。

6．（了解）木马病毒（闪盘窃密者、证券大盗、外挂陷阱、我的照片我正向外闪）7．※计算机病毒的命名规则1991年计算机反病毒组织(CARO)提出了一套命名规则，病毒的命名包括五个部分：•家族名•组名•大变种•小变种•修改者CARO规则的一些附加规则包括：•不用地点命名•不用公司或商标命名•如果已经有了名字就不再另起别名•变种病毒是原病毒的子类举例说明：精灵（Cunning）是瀑布（Cascade）的变种，它在发作时能奏乐，因此被命名为Cascade.1701.A。

Cascade是家族名，1701是组名。

因为Cascade病毒的变种的大小不一（1701, 1704, 1621等），所以用大小来表示组名。

A 表示该病毒是某个组中的第一个变种。

业界补充：反病毒软件商们通常在CARO命名的前面加一个前缀来标明病毒类型。

《计算机病毒》教学设计《计算机病毒》教学设计一、引言随着信息技术的飞速发展，计算机在人们的日常生活和工作中扮演着越来越重要的角色。

然而，随之而来的是计算机病毒的日益猖獗。

为了让学生更好地了解和防范计算机病毒，我们设计了本课程，旨在提高学生的计算机安全意识，掌握防范计算机病毒的基本知识和技能。

二、教学目标本课程的目标是让学生了解计算机病毒的基本概念、特点、传播途径以及防范措施，具体包括以下几个方面：1、了解计算机病毒的定义、特点和危害。

2、掌握计算机病毒的分类及常见的传播途径。

3、掌握防范计算机病毒的基本方法和技能。

4、学会使用常见的杀毒软件和安全防护工具。

5、提高学生对计算机安全的重视和意识。

三、教学内容本课程的教学内容包括以下几个方面：1、计算机病毒的基本概念和特点。

2、计算机病毒的分类：按照病毒攻击的系统、传染方式、破坏能力等分类。

3、计算机病毒的传播途径：网络、移动存储设备、电子邮件等。

4、计算机病毒的症状：系统运行缓慢、文件异常、数据丢失等。

5、防范计算机病毒的基本措施：安装杀毒软件、定期更新操作系统和应用程序、不轻易打开未知来源的文件等。

6、常见的杀毒软件和安全防护工具：360安全卫士、卡巴斯基杀毒软件等。

四、教学资源本课程所需的教学资源如下：1、PPT课件：用于展示教学内容。

2、电子书籍：提供关于计算机病毒的参考书籍。

3、互联网资源：引导学生上网查找相关资料，如微软官网、360安全中心等。

4、实验环境：提供模拟计算机病毒传播的实验环境。

五、教学方法本课程将采用以下教学方法：1、讲授：通过讲解让学生了解计算机病毒的基本知识和防范措施。

2、案例分析：通过分析实际案例，让学生了解计算机病毒的危害和传播方式。

3、小组讨论：让学生分组讨论，分享自己的理解和防范经验。

4、实验操作：通过实验操作，让学生掌握防范计算机病毒的基本技能。

六、评估方法本课程的评估方法包括以下方面：1、出勤率：考察学生的出席情况。

第三章计算机病毒结构分析本章学习目标•掌握计算机病毒的结构•掌握计算机病毒的工作机制•了解引导型病毒原理•了解COM、EXE、NE、PE可执行文件格式•掌握COM文件病毒原理及实验•掌握PE文件型病毒及实验总体概念•DOS是VXer的乐园(Aver) •9x病毒ring3, ring0•2K病毒主要是ring3•Windows文件格式变迁：•COM•EXE:MZ->NE->PE•Vxd: LE(16Bit, 32Bit)一、计算机病毒的结构和工作机制•四大模块：•感染模块•触发模块•破坏模块（表现模块）•引导模块（主控模块）•两个状态：•静态•动态工作机制引导模块•引导前——寄生•寄生位置：•引导区•可执行文件•寄生手段：•替代法（寄生在引导区中的病毒常用该法）•链接法（寄生在文件中的病毒常用该法）１PE文件结构及其运行原理（1）PE文件格式总体结构•PE（Portable Executable：可移植的执行体）•是Win32环境自身所带的可执行文件格式。

•它的一些特性继承自Unix的Coff(Common Object )文件格式。

•可移植的执行体意味着此文件格式是跨win32平台的，即使Windows运行在非Intel的CPU上，任何win32平台的PE装载器都能识别和使用该文件格式。

•当然，移植到不同的CPU上PE执行体必然得有一些改变。

•除VxD和16位的Dll外，所有win32执行文件都使用PE文件格式。

因此，研究PE文件格式是我们洞悉Windows结构的良机。

PE文件结构总体层次分布DOSMZheader ‘MZ’格式￿DOSstub Dos￿程序PEheader PE文件￿Section￿表•所有PE文件必须以一个简单的DOS MZ header开始。

有了它，一旦程序在DOS下执行，DOS就能识别出这是有效的执行体。

•DOS stub实际上是个有效的EXE，在不支持PE文件格式的操作系统中，它将简单显示一个错误提示，类似于字符串 “该程序不能在DOS模式下运行”或者程序员可根据自己的意图实现完整的DOS代码。

计算机病毒的种类计算机病毒概述本章要点：1.计算机病毒的定义；2.计算机病毒的基本特征与分类；3.计算机病毒的命名规则；4.计算机病毒的危害与症状；5.计算机病毒的传播途径；6.计算机病毒的生命周期；7.计算机病毒简史；8.研究计算机病毒的基本原则。

计算机技术的迅猛发展，给人们的工作和生活带来了前所未有的效率和便利。

计算机在推动社会进步、人类文明建设中有举足轻重的作用和地位，已成为世人不争的事实。

然而，计算机系统并不安全，计算机病毒就是最不安全的因素之一。

只有真正地了解了计算机病毒，才能进一步防治和清除计算机病毒。

1.1 计算机病毒的定义计算机病毒（Computer Virus）是一种人为制造的、能够进行自我复制的、具有对计算机资源的破坏作用的一组程序或指令的集合。

这是计算机病毒的广义定义。

类似于生物病毒，它能把自身附着在各种类型的文件上或寄生在存储媒介中，能对计算机系统和网络进行各种破坏，同时有独特的复制能力和传染性，能够自我复制——主动传染；另一方面，当文件被复制或在网络中从一个用户传送到另一个用户时——被动传染，它们就随同文件一起蔓延开来。

在1994年2月18日公布的《中华人民共和国计算机信息系统安全保护条例》中，计算机病毒被定义为：“计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。

这一定义，具有一定的法律性和权威性，但笔者将这一定义称作计算机病毒的狭义定义。

对计算机病毒，本教材采用广义定义，将特洛伊木马、宏病毒、网络蠕虫等具有一定争议的“程序/代码”，均作为病毒，这与众多杀毒软件对病毒的定义是一致的，如果要严格区分，可以将这些病毒称作“后计算机病毒”。

也就是说，某些广义下的计算机病毒（如网络蠕虫），不具有狭义病毒的特征，并不感染其他正常程序，而是通过持续不断地反复复制自己、增加自己的拷贝数量、消耗系统资源（如内存、磁盘存储空间、网络资源等），最终导致系统崩溃。

第一章计算机信息安全技术概述1、计算机信息系统安全的威胁因素主要有哪些?(1)人为无意失误(2)人为恶意攻击(3)计算机软件的漏洞和后门2、从技术角度分析引起计算机信息系统安全问题的根本原因。

(1)计算机外部安全(2)信息在计算机系统存储介质上的安全(3)信息在传输过程中的安全3、信息安全的CIA指的是什么?Confidenciality 隐私性,也可称为机密性,是指只有授权的用户才能获取信息Integrity 完整性,是指信息在传输过程中,不被非法授权和破坏,保证数据的一致性Availability 可用性,是指信息的可靠度4、简述PPDR安全模型的构成要素及运作方式PPDR由安全策略,防护,检测和响应构成运作方式:PPDR模型在整体的安全策略的控制和指导下,综合运用防护工具的同时,利用检测工具了解和评估系统的安全状态,通过适当的安全响应将系统调整在一个相对安全的状态。

防护,检测和响应构成一个完整的、动态的安全循环。

5、计算机信息安全研究的主要内容有哪些?(1)计算机外部安全(2)信息在计算机系统存储介质上的安全(3)信息在传输过程中的安全6、计算机信息安全的定义是什么?计算机信息安全是研究在特定的应用环境下,依据特定的安全策略,对信息及信息系统实施防护,检测和恢复的科学7、信息安全系统中,人、制度和技术之间的关系如何?在信息安全系统中,人是核心。

任何安全系统的核心都是人。

而技术是信息安全系统发展的动力,技术的发展推动着信息安全系统的不断完善。

信息安全系统不仅要靠人和技术,还应该建立相应的制度以起到规范的作用。

只有三者的完美结合,才有安全的信息安全系统第二章密码技术一、选择题1．下列（RSA算法）算法属于公开密钥算法。

2.下列（天书密码）算法属于置换密码。

3.DES加密过程中，需要进行（16）轮交换。

二、填空题1.给定密钥K=10010011，若明文为P=11001100，则采用异或加密的方法得到的密文为01011111 。