《计算机病毒》复习思考题2011
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
《计算机病毒》复习思考题
第一章计算机病毒概述
1.简述计算机病毒的定义和特征。(广义狭义P1—2,11个特征P3—6)
2. 计算机病毒有哪些分类方法?根据每种分类方法,试举出一到两个病毒。
(8个分类P8—11、例子书上)
3. 为什么同一个病毒会有多个不同的名称?如何通过病毒的名称识别病毒的类型?
(P16,P16、P20)
4. 简述计算机病毒产生的背景。P35—37
5. 计算机病毒有哪些传播途径?(P29有五点)
6. 试比较与计算机病毒症状相似的软件故障。(P26有九点)
7. 试比较与计算机病毒症状相似的硬件故障。(P25—26有五点)
8. 计算机病毒为什么是可以防治、可以清除的?(P41)
9. 分析“新欢乐时光”病毒的源代码及其特性,结合三元组中病毒名命名优先级,分析各杀毒软件商对该病毒存在不同命名的原因。
●查找相关资料,试述计算机病毒发展趋势(P35-37)与特点。(P37-38)
●研究计算机病毒有哪些基本原则?(P42)
●搭建病毒分析的环境有哪些方法?
可在虚拟环境下进行,比如在VirtualBox 、VMware环境下安装操作系统作为测试研究病毒的环境。
可使用影子系统,在全模式下进行试验。
可在使用硬盘保护卡的环境下进行试验。
可以使用RAMOS(内存操作系统)作为测试研究病毒的环境。
第2章预备知识
1. 硬盘主引导扇区由哪几部分构成?(P51)一个硬盘最多可分几个主分区?(最多4个)为什么?主分区,也称为主磁盘分区,和扩展分区、逻辑分区一样,是一种分区类型。主分区中不能再划分其他类型的分区,因此每个主分区都相当于一个逻辑磁盘(在这一点上主分区和逻辑分区很相似,但主分区是直接在硬盘上划分的,逻辑分区则必须建立于扩展分区中)。由于硬盘仅仅为分区表保留了64个字节的存储空间,而每个分区的参数需要占据16个字节,故主引导扇区中总计只能存储4个分区的数据。(16*4=64)也就是说,一块物理硬盘只能划分为4个逻辑磁盘。在具体的应用中,4个逻辑磁盘往往不能满足实际需求。为了建立更多的逻辑磁盘供操作系统使用,引入了扩展分区和逻辑分区,并把原来的分区类型称为主分区。扩展分区也像主分区一样占用16字节,所以一个硬盘也可以分三个主分区一个扩展分区!扩展分区里面又可以分多个逻辑分区,这样就可以打破最多只能分4个区数量的瓶颈!Fdisk/mbr命令是否会重写整个主引导扇区?(是的P51)
2.低级格式化、高级格式化的功能与作用是什么?(P48、P51)高级格式化(FORMAT)能否清除任何计算机病毒?(不能)为什么?P52
高级格式化就是与操作系统有关的操作,清除硬盘上的数据、生成引导区的信息、初始化FAT表和标注逻辑坏道等。因为MBR不能重写,所以有存在病毒的可能。
3. DOS下的EXE文件病毒是如何获取控制权的?(P85有四点)感染EXE文件,需对宿主作哪些修改?(P85)
4. 针对PE文件格式,请思考:Win32病毒感染PE文件,须对该文件作哪些修改?(P86)
5.简介有哪些常用的磁盘编辑软件(WinHex)、分区软件:(Fdisk、Partition Magic)。
6.简述Windows XP的启动过程。(P71—72)
7、简述Windows 7的启动过程。(P73)
第3章计算机病毒的逻辑结构与基本机制
1.计算机病毒在任何情况下都具有感染力或破坏力吗?为什么?
不一定。因为病毒在传播过程中存在两种状态,静态和动态。病毒的主动传染和破坏作业,都是动态病毒的“杰作”。所以当一般病毒处于静态时,其传播只能通过文件下载(拷贝)实现,因为静态病毒尚未被加载、尚未进入内存,不可能获取系统的执行权限,就没有感染力和破坏力。内存中的病毒有一种特殊的状态,失活态,在这个状态的病毒是不可能进行传染或破坏的。
2. 文件型病毒有哪些感染方式?P115-P121
寄生感染、无入口点感染、滋生感染、链式感染、OBJ、LIB和源码的感染。
3.计算机病毒的感染过程是什么?P113
4.结合病毒的不同感染方式,思考该病毒相应的引导机制。P112-P113
4.计算机病毒一般采用哪些条件作为触发条件?P122-P123
5. 找一个病毒,试分析其感染机制、触发机制和破坏机制。
Funlove是文件型病毒
感染机制:
6. 绘出Funlove的流程图,并说明其引导部分的作用。P125
●试述计算机病毒的逻辑结构。P109
第4章 DOS病毒的基本原理与DOS病毒分析
1.什么是病毒的重定位?病毒一般采用什么方法进行重定位?P158
2. 试述引导型病毒的启动过程。P160
3.编写程序,利用INT 13H实现引导区的备份与恢复。P161
4. 编写程序,利用该程序修复被COM_感染的host_。P176
5. 试绘出感染EXE文件的示例病毒exe_v的流程图。P178-179
6.编写程序,利用该程序修复被exe_感染的文件。P181
7.试绘出混合型病毒Natas病毒的加密变形流程图。
●如何清除引导型病毒?P168
●试述文件型病毒的基本原理。P168-P169
第5章 Windows病毒分析
1. PE病毒的感染过程是怎样的?p191-P193
如何判断一个文件是否感染了PE病毒(如Immunity)?p212-213
一般病毒感染EXE文件的时候,会修改文件的PE头(表征EXE的一些信息的文件头),把自己的病毒体附加到原EXE文件的尾部,然后修改PE头的内容,把程序的入口改为自己病毒的入口,有些病毒体还会调用原EXE文件的入口,使该EXE还能发挥原来的作用。这样,在运行该EXE文件的时候实际上就先运行了病毒了。
针对你的判断依据,采用何种手段可以更好地隐藏PE病毒?
编程修复被Immunity感染的host_pe.exe文件。
2. 查阅MSDN或其他资料,熟悉本章所涉及的API函数的用法。
3. 简要描述CIH病毒的触发机制、感染机制。P216-P218
如何让系统对CIH病毒具有免疫能力?
4. 脚本病毒有哪些弱点?如何防治和清除脚本病毒?P235
5.如果脚本病毒对其代码进行了加密,我们能否看到其解密后的源代码?怎样获取解密后的源代码?P232
6. 爱虫病毒对系统有哪些危害?编制一个爱虫病毒的解毒程序。P236
7. 宏病毒采用哪些传播方式?P251如何防治和清除宏病毒?P255
8.如何查看宏病毒的源代码?如果代码被加密呢?
(了解宏病毒,就必须读它的原代码,可是有时候宏是加密的,(Execute-only Macro),
1。重命名Normal.dot。起动word。
// 防止word启动时就带上了宏病毒
2。新建一个宏,专门用于读带毒文件中的宏代码(只是原理)
Sub Main
DisableAutoMacros //很关键,防止引入宏病毒
Dim D As FileOpen
GetCurV alue D
Diolog D
FileOpen D //这一段用于打开带毒文件
MacroCopy +":"+"CAP", "sourceCAP",0
MacroCopy +":"+"AutoOpen", "notAuotOpen",0
...
//以CAP宏病毒为例,将宏代码拷贝到normal.dot
//其中参数0表示可编辑,非0表示加密
FileClose 2
Sub End
3。运行上面的宏,将宏代码拷贝到normal.dot
//注意要改变宏的名字
4。阅读宏代码
5。关闭word,恢复原来的normal.dot)
9. 在MSDN中查阅有关FileSystemObject的信息,了解其各种方法及属性。
10.查阅相关资料,了解Windows各版本设备驱动程序的编写方法
WSH中,Windows和DOS下的文件名分别是什么?如何禁止文件系统对象。