病毒检测技术复习题含答案

病毒检测技术复习题含

答案

Standardization of sany group #QS8QHH-HHGX8Q8-GNHHJ8-HHMHGN#

一、填空

1.程序性决定了计算机病毒的可防治性、可清除性，反病毒技术就是要提前取得计算机系统的控制权，识别出计算机病毒的代码和行为，阻止其取得系统控制权，并及时将其清除。

2.是否具有传染性，是判别一个程序是否为计算机病毒的首要条件。

3.计算机病毒因某个事件或数值的出现，诱使病毒实施感染或进行攻击的特性称为可触发性

4.病毒程序嵌入到宿主程序中，依赖于宿主程序的执行而生存，这就是计算机病毒的寄生性、病毒的最大特点是其传染性，而传染性的原因是其自身程序不断复制的结果，即程序本身复制到其他程序中或简单地在某一系统中不断地复制自己

5.计算机病毒按寄生对象分为引导型病毒文件型病毒混合型病毒

6.蠕虫(Worm)是一种独立的可执行程序，主要由主程序和引导程序两部分组成

7.蠕虫程序的工作流程可以分为漏洞扫描、攻击、传染、现场处理四个阶段

8.特洛伊木马(Trojan house，简称木马)是指表面上是有用的软件、实际目的却是危害计算机安全并导致严重破坏的计算机程序，是一种在远程计算机之间建立连接，使远程计算机能通过网络控制本地计算机的非法程序

9.一般的木马都有客户端和服务器端两个程序

10.客户端是用于攻击者远程控制已植入木马的计算机的程序

11.服务器端程序就是在用户计算机中的木马程序

12.计算机病毒英文命名规则也就是国际上对病毒命名的一般惯例为“前缀+病毒名+后缀”，即三元组命名规则

13.计算机病毒的产生过程可分为：程序设计→传播→潜伏→触发、运行→实施攻击

14.计算机病毒是一类特殊的程序，也有生命周期开发期传染期潜伏期发作期发现期消化期消亡期

15.在学习、研究计算机病毒的过程中，在遵守相关法律法规的前提下，应严格遵守以下“八字原则”——自尊自爱、自强自律

16.BIOS INT 13H 调用是BIOS 提供的磁盘基本输入输出中断调用，它可以完成磁盘( 包括硬盘和软盘) 的复位、读写、校验、定位、诊断、格式化等功能，完全不用考虑被操作硬盘安装的是什么操作系统

17.现代大容量硬盘一般采用LBA(Logic Block Address) 线性地址来寻址，以替代CHS 寻址。

18.高级格式化的目的是在分区内建立分区引导记录DBR(DOS Boot Record)、文件分配表FAT(File Allocation Table)、文件目录表FDT(File Directory Table)和数据区DATA

19.主引导记录(Master Boot Record，MBR)

20.主分区表即磁盘分区表(Disk Partition Table，DPT)

21.引导扇区标记(Boot Record ID/Signature)

22.通过主引导记录定义的硬盘分区表，最多只能描述4个分区

23.FAT32最早是出于FAT16不支持大分区、单位簇容量大以至于空间急剧浪费等缺点设计的

24.NTFS是一个比FAT更复杂的系统。在NTFS中，磁盘上的任何事物都为文件

25.NTFS文件系统中，小文件和文件夹( 典型的如1023 字节或更少) 将全部存储在文件的MFT 记录里

26.中断(Interrupt)，就是CPU暂停当前程序的执行，转而执行处理紧急事务的程序，并在该事务处理完成后能自动恢复执行原先程序的过程

27.中断向量表(Interrupt Vectors)是一个特殊的线性表，它保存着系统所有中断服务程序的入口地址(偏移量和段地址)

28.设计扩展INT 13H接口的目的是为了扩展BIOS的功能，使其支持多于1024柱面的硬盘，以及可移动介质的锁定、解锁及弹出等功能

29.INT 13H磁盘输入输出中断，引导型病毒用于传染病毒和格式化磁盘

30.在保护模式下，所有的应用程序都具有权限级别(Privilege Level ，PL) 。PL 按优先次序分为四等：0 级、1 级、2 级、3 级，其中0 级权限最高，3 级最低，目前只用到Ring 0 和Ring 3 两个级别

31.操作系统核心层运行在Ring 0级，而Win32子系统运行在Ring 3级，为运行在Ring 3级的应用程序提供接口

32.计算机病毒总是想方设法窃取Ring 0的权限(如CIH病毒)，以实施更大范围的破坏

33.DOS可执行文件以英文字母“MZ”开头，通常称之为MZ文件

34.在Windows 的可执行文件，在MZ文件头之后又有一个以“NE”开始的文件头，称之为NE文件

35.在Win32位平台可执行文件格式：可移植的可执行文件(Portable Executable File)格式，即PE格式。MZ文件头之后是一个以“PE”开始的文件头36.PE的意思就是Portable Executable(可移植、可执行)，它是Win32可执行文件的标准格式

37.PE文件的真正内容划分成块，称之为Section(节)，紧跟在节表之后

38.引入函数节.idata引入函数节可能被病毒用来直接获取API函数地址

39.引出函数节是本文件向其他程序提供的可调用函数列表这个节一般用在DLL中，EXE文件中也可以有这个节，但通常很少使用

40.计算机病毒在传播过程中存在两种状态，即静态和动态

41.内存中的动态病毒又有两种状态：可激活态和激活态。

42.计算机病毒要完成一次完整的传播破坏过程，必须经过以下几个环节：分发拷贝阶段潜伏繁殖阶段破坏表现阶段

43.杀毒软件可以将感染标志作为病毒的特征码之一

44.可以利用病毒根据感染标志是否进行感染这一特性，人为地、主动在文件中添加感染标志，从而在某种程度上达到病毒免疫的目的

45.无论是文件型病毒还是引导型病毒，其感染过程总的来说是相似的，分为三步：进驻内存、判断感染条件、实施感染

46.病毒攻击的宿主程序是病毒的栖身地，宿主程序既是病毒传播的目的地，又是下一次感染的出发点

47.计算机病毒感染的过程一般有三步：(1)当宿主程序运行时，截取控制权；

(2)寻找感染的突破口；(3)将病毒代码放入宿主程序

48.既感染引导扇区又感染文件是混合感染