计算机病毒分析

《计算机病毒》课程

期末复习资料第1章恶意代码分析入门

1.1 计算机病毒的定义和类型

1.2 计算机病毒分析的目标

1.3 计算机病毒分析技术概述

第2章静态分析技术基础

2.1 杀毒软件

2.2 哈希值

2.3 特征字符串

2.4 加壳与混淆

2.5 PE文件格式

2.6 链接库与函数

第3章在虚拟机中分析恶意代码

3.1 虚拟机的结构

3.2 创建虚拟机

3.3 使用虚拟机

第4章动态分析技术

4.1 沙箱分析

4.2 运行病毒和使用进程监视

4.3 Process Explorer和Regshot

4.4 网络模拟

第5章 X86反汇编

5.1 逆向工程

5.2 X86体系结构

5.3 CPU汇编指令

5.4 汇编指令

5.5 栈操作

第6章 IDA pro

6.1 加载可执行文件

6.2 IDA pro的窗口

6.3 IDA pro导航

6.4 交叉引用

6.5 函数分析

6.6 使用图形选项

6.7 增强反汇编

第7章识别汇编语言中的C语言代码结构

7.1 识别汇编中的C语言代码结构

7.2 识别if分支结构

7.3 识别循环

7.4 识别函数调用

7.5 识别switch结构美化

7.6 识别数组、结构体、链表

第8章分析恶意Windows程序

8.1 Windows API

8.2 Windows 注册表

8.3 网络API

8.4 跟踪病毒运行

8.5 互斥量

8.6 异常处理、模式、Native API

第9章动态调试

9.1 调试器介绍

9.2 使用调试器

9.3 用断点暂停执行

9.4 断点类型

9.5 异常

9.6 修改可执行程序

第10章 OllyDbg

10.1 Ollydbg加载恶意代码

10.2 Ollydbg的窗口美化

10.3 内存映射

10.4 查看线程、栈、代码

10.5 断点

10.6 加载DLL、跟踪

10.7 异常处理、修补

10.8 分析shellcode、协助功能

10.9 插件、脚本调试

第11章使用WinDbg调试内核

11.1 驱动与内核代码

11.2 使用WinDbg

11.3 微软符号表

11.4 Windows注册表

11.5 Rootkit

第12章恶意代码行为

12.1 下载器、启动器、后门

12.2 远程控制和僵尸网络

12.3 窃取登陆凭证

12.4 存活机制

12.5 特洛伊木马化二进制文件

12.6 DLL加载顺序劫持

12.7 权限提升与用户态Rootkit

第13章隐蔽的恶意代码启动

13.1 启动器与进程注入

13.2 进程替换

13.3 Hook注入

13.4 Detours与APC注入

第14章数据加密

14.1 加密算法的目的和简单的加密算法

14.2 简单的加密策略

14.3 常见的加密算法

14.4 自定义加密

14.5 解密

一、客观部分：

★考核知识点: 计算机病毒的定义和类型

参见讲稿章节：1.1

单选题：恶意代码指的是()。

A.计算机病毒

B.间谍软件

C.内核嵌套

D.任何对用户、计算机或网络造成破坏的软件

单选题：病毒、（）和木马是可导致计算机和计算机上的信息损坏的恶意程序。A.程序B.蠕虫C.代码D.数据

单选题：病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组（）。

A.计算机指令

B.程序代码

C.文件

D.计算机指令或者程序代码

判断题：病毒必须能自我执行和自我复制。（）

判断题：蠕虫是利用文件寄生来通过网络传播的恶性病毒。（）

★考核知识点:计算机病毒分析的目标

参见讲稿章节：1.2

单选题：以下不是恶意代码分析的目标的是（）。

A.确定一个可疑的二进制程序到底可以做什么

B.如何在网络上检测它

C.恶意代码本身的特性

D.如何衡量并消除它所带来的损害

判断题：病毒特征码关注是恶意代码对系统做什么，而主机特征码关注恶意代码本身的特性。（）

判断题：网络特征码可以在没有进行恶意代码分析时创建，但在恶意代码分析帮助下提取的特征码往往更加有效的，可以提供更高的检测率和更少的误报。（）

★考核知识点: 计算机病毒分析技术概述

参见讲稿章节：1.3

单选题：下列属于静态高级分析技术的描述是（）。

A. 检查可执行文件但不查看具体指令的一些技术分析的目标

B. 动态分析基础技术涉及运行恶意代码并观察系统上的行为，以移除感染，产生有效的检测特征码，或者两者

C. 主要是对恶意代码内部机制的逆向工程，通过将可执行文件装载到反汇编器中，查看程序指令，来发现恶意代码到底做了什么

D. 动态分析高级技术则使用调试器来检查一个恶意可执行程序运行时刻的内部状态

判断题：静态分析基础技术是非常简单，同时也可以非常快速应用的，但它在针对复杂的恶意代码时很大程度上是无效的，而且它可能会错过一些重要的行为。（）

★考核知识点: 静态分析技术

参见讲稿章节：2.1

单选题：反病毒软件主要是依靠（）来分析识别可疑文件。

A文件名 B病毒文件特征库 C文件类型 D病毒文件种类

参见讲稿章节：2.3

单选题：Strings程序搜索（）或以上连续的ASCII或Unicode字符，并以终结符结尾的可打印字符串。A.2个 B 3个 C 1个 D 0个

判断题：Strings程序检测到的一定是真正的字符串。（）

判断题：当加壳的程序运行时，会首先运行一小段脱壳程序，来解压缩加壳的文件，然后再运行脱壳的文件。（）

判断题：当一个程序被加壳后，你必须对它进行脱壳，才能够执行进一步分析。（）

★考核知识点:虚拟机的结构