关于计算机病毒题库.docx
《关于计算机病毒题库.docx》由会员分享,可在线阅读,更多相关《关于计算机病毒题库.docx(27页珍藏版)》请在冰豆网上搜索。
![关于计算机病毒题库.docx](https://file1.bdocx.com/fileroot1/2022-11/26/84e89585-c2e8-4de4-a6d1-723fc9de4986/84e89585-c2e8-4de4-a6d1-723fc9de49861.gif)
关于计算机病毒题库
一、填空
1、计算机病毒与生物病毒一样,有其自身的病毒体(病毒程序)和寄生体.
2、我们称原合法程序为宿主或宿主程序,存储染有病毒的宿主程序的存储介质称为存储介质宿主;当染有病毒的宿主程序在计算机系统中运行时或运行后就驻留于内存中,此时这一系统就称为病毒的宿主系统。
3、计算机病毒构成的最基本原则:
必须具有正确系统不可遏制的传染性,具有一定的破坏性或干扰性,具有特殊的非系统承认的或不以用户意志所决定的隐蔽形式,每个病毒程序都应具备标志唯一性、加载特殊性、传播隐蔽性和引发条件性。
4、引导模块的主要作用是将静态病毒激活,使之成为动态病毒。
5、动态病毒是指要么已进入内存处于活动状态的病毒,要么能通过调用某些中断而获得运行权,从而可以随心所欲的病毒。
6、系统加载过程通常读入病毒程序的引导部分,并将系统控制权转交病毒引导程序。
7、病毒的存在和加载都是由操作系统的功能调用或ROMBIOS调用加载的。
不论何种病毒,都需要在适当的时机夺取系统的控制权,并利用控制权来执行感染和破坏功能。
8、DOS系统的病毒程序的加载有3种方式:
参与系统启动过程,依附正常文件加载,直接运行病毒的程序。
9、具体讲,病毒的加载过程,主要由3个步骤组成:
开辟内存空间,使得病毒可以驻留内存对病毒定位,保持病毒程序的一贯性,并取得系统控制权借以进行传染和发作。
恢复系统功能,使得被感染系统能继续有效运行。
10、被动感染过程是:
随着拷贝磁盘或文件工作的进行而进行的。
11、主动感染的过程是:
在系统运行时,病毒通过病毒的载体即系统的外存储器进入系统的内存储器,常驻内存,并在系统内存中监视系统的运行。
12、计算机病毒的感染可分为两大类:
立即感染,驻留内存并伺机感染。
13、病毒体:
即病毒程序。
寄生体:
可供病毒寄生的合法程序。
14、宿主(宿主程序):
被病毒程序寄生的合法程序称为该病毒的宿主(程序)。
15、存储介质宿主:
存储染有病毒的宿主程序的存储介质。
宿主系统:
即病毒常驻内存的系统。
16、计算机病毒感染模块有感染条件判断模块,实施感染模块。
17、计算机病毒表现(破坏)模块有表现(破坏)条件判断模块,实施表现(破坏)模块。
18、引导模块的功能是:
将病毒程序引入内存并使其后面的两个模块处于激活状态。
19、感染模块的功能是:
在感染条件满足时把病毒感染到所攻击的对象。
20、表现(破坏)模块:
在病毒发作条件(表现、破坏条件)满足时,实施对系统的干扰和破坏活动。
21、被动感染过程是:
随着拷贝磁盘或文件工作的进行而进行的
22、病毒的隐藏技巧,贯穿于3个模块引导、感染、表现之中
23、病毒的发作部分应具备两个特征:
程序要有一定的隐藏性及潜伏性病毒发作的条件性和多样性
24、一个简单的病毒包含的机制有:
触发机制、传播机制、表现机制
25、表现模块主要完成病毒的表现或破坏功能,也称为病毒的载体模块
26、表现模块内部是实现病毒编写者预定破坏动作的代码,是病毒为了表明自己的存在和达到自己的目的,在满足一定条件时发作表现的
27、表现(破坏)模块发作时破坏的目标和攻击的部位有:
系统数据区、文件内存、系统运行、磁盘、屏幕显示、键盘、喇叭、打印机、CMOS、主板等
28、病毒获得更好的感染性最好的办法是更好的隐藏自己
29、DOS系统中配有DEBUG.COM动态调试程序,这是一个强有力的跟踪工具
30、病毒修改或破坏INT1H和INT3H这两个中断向量入口地址的方法,使DEBUG中的T命令和G命令不能正常执行
31、病毒加密的目的主要是防止跟踪或掩盖有关特征等
32、所谓反跟踪,就是要有效的抑制某些特定的命令,使其不能正常执行,从而防止对软件的动态破译。
33、有部分病毒是双体结构,运行后分成两部分,一个负责远程传播,另一个负责本地传播
34、所有的计算机病毒都具有混合型特征,集文件感染、蠕虫、木马、黑客程序的特点于一身
35、当前流行病毒更加呈现综合性的特点,功能越来越强大,它可以感染引导区、可执行文件,更主要的是与网络结合
36、病毒的一般逻辑程序结构即由两大模块组成:
感染模块和表现模块
37、计算机病毒的破坏和表现模块一般分为两个部分:
一个是破坏模块的触发条件的判断部分;一个是破坏功能的实施部分
38、反跟踪技术有抑制跟踪命令、定时技术、封锁键盘输入、降低代码可阅读性
39、表现模块主要完成病毒的表现或破坏功能,也称为病毒的载体模块,是计算机病毒的主体模块
40、和病毒的感染模块一样,破坏模块可能在病毒程序第一次加载时就运行,也可能在第一次加载时只将引导模块引入内存,以后再通过某些中断机制触发才运行
41、造成计算机系统工作不正常的原因一般是:
硬件故障、软件故障、操作失误、病毒因素.
42、一般来说计算机感染上病毒,则工作就会不正常;反过来,计算机工作不正常则可能不是计算机已经感染上病毒.
43、计算机病毒的一般检查方法是:
外观检查法、对比检查法、特征串搜索法.
44、根据系统内存容量诊断病毒的三病毒种诊断方法是:
用DEBUG诊断、用CHKDSK诊断、用PCTOOLS诊断.
45、在DOS平台下计算机系统内存容量分为:
BIOS报告的系统基本内存容量和DOS报告的系统内存容量.
46、引导型病毒的手工诊断:
根据系统内存容量诊断病毒、根据中断向量变化来诊断病毒、通过扇区内容比较诊断病毒.
47、几乎所有引导型病毒在传染时都要修改中断向量:
INT13H.
48、在DOS操作系统控制下,磁盘引导区一般有主引导记录、磁盘分区表、主引导记录有效标志字三部分组成.
49、PCTOOLS软件中系统信息可以显示出DOS报告的系统内存容量。
50、用CHKDSK诊断病毒显示的由DOS报告的系统内存空间大小和用户可用内存空间大小发生变化(减少),则可能感染了引导型病毒。
51、、DOS病毒是最常见的一种病毒,根据病毒所感染文件结构一般分为引导型病毒,文件型病毒,混合型病毒三种。
52、引导型是指病毒侵入系统引导区,从而引发破坏行为的一种病毒特征。
53、广义可执行文件病毒包括通常所说的可执行文件病毒,源码病毒,甚至bat病毒和Word宏病毒。
54、狭义可执行文件病毒包括com型和exe型病毒。
55、文件型病毒的手工诊断分为利用文件比较诊断病毒,通过系统内存变化诊断病毒,根据中断向量变化诊断病毒三种。
56、病毒程序代码一般分为3个模块:
初始设置模块,感染模块,和破坏模块。
57、每个exe文件包含一个文件头和一个可重定位程序映像。
58、文件型病毒要感染com文件有两种方法,一种是将病毒加载在com文件前部,一种是加在文件尾部。
59、com文件是单段执行结构,起始执行偏移地址为100H,对应于文件的偏移是0。
60、通常文件型病毒通过修改中断向量来实现传播与发作。
61、判断驻留与非驻留程序的简单方法是看该可执行文件是否为重复执行文件,是否设计为在返回DOS后继续被其它程序调用执行。
62、数据性标记检测数据完整法诊断病毒的程序实现分为完整性标记生成程序和完整性标记检测程序。
63、文件型病毒以源文件作为病毒程序的载体,将病毒程序隐藏其间。
64、对可执行文件进行病毒诊断时,要用干净的系统盘启动。
65、目前大多数文件型病毒采用非法手段来获取合法的内存空间。
66、非驻留内存型程序在DOS下执行不会改变内存分配结构。
67、文件型病毒通常通过修改中断向量来实现传播与发作。
68、数据完整性标记检测法在执行一个可执行文件之前,先对它的数据完整性进行检查。
69、数据完整性标记检测法诊断病毒实现的安全是以牺牲系统的开放性为代价的。
70、文件型病毒的程序诊断法分为传统文件备份比较法,数据完整性标记检测法,外壳程序免疫法。
71、计算机病毒主要检测方法中比较法的中断比较法是将正常系统的中断向量与有毒系统的中断向量进行比较,可以发现是否有病毒修改和盗用中断向量。
73、计算机病毒的检测方法有两种分别是手工检测和自动检测。
74、计算机病毒手工检测是最基本、最有力的工具。
76、病毒自动检测工具的发展总是滞后于病毒的发展,所以检测工具总是对相对数量的未知病毒不能识别。
78、被广泛使用的计算机病毒的主要检测方法有:
比较法、搜索法、分析法、感染实验法、软件模拟法、行为检测法。
80、计算机病毒主要检测方法中比较法包括:
长度比较法、内容比较法、内存比较法、中断比较法等。
81、有毒系统的中断向量进行比较,可以发现是否有病毒修改和盗用中断向量。
82、计算机病毒校验和法它既可发现已知病毒又可发现未知病毒。
83、计算机病毒校验和法的两点不足是常常误报警、对隐蔽性病毒无效。
84、计算机病毒扫描法包括特征代码扫描法、特征字扫描法
85、计算机病毒行为监测法是利用病毒的特有行为特性,监测病毒的方法。
86、计算机病毒感染实验法可以检测出病毒检测工具不认识的新病毒,可以摆脱对病毒检测工具的依赖,自主地检测可疑新病毒。
87、计算机病毒软件模拟法是一种软件分析器,用软件方法来模拟和分析程序的运行。
96、Word宏病毒通过(DOC文档)及(.DOT模板)进行自我复制及传播
97、Word宏指令及宏病毒都用(WordBasic)进行编写
98、当Word.EXCEL这类著名的应用软件在不同平台上运行时,会被“宏”病毒(交叉感染。
)
宏是对重复性工作的一种(简化),它通过将纪录的一系列操作过程保存在(visualBasic)模块中,从而形成一个宏,同时也可以用(visualBasic)编辑器来编辑宏
99、宏病毒是由专业人员利用Word提供的(WordBasic编程接口)而制作的一个或多个具有(病毒)特点的宏的集合
100、Word宏病毒的特点及危害包括:
(传播速度快)、(制作、变种方便)、(破坏可能性极大)、(多平台交叉感染)。
101、编写Word宏病毒的WordBasic语言提供了许多(系统级低层调用),宏病毒很容易利用这些调用对系统进行破坏。
102、计算机病毒具有(感染性)、(潜伏性)、(可触发性)和(破坏性)等基本特征。
病毒必须具备良好的(潜伏性),才能不被人们发现。
103、病毒只有在(触发条件)满足时,才进行感染或破坏,否则一直潜伏。
104、病毒发作的(触发条件)是指当发作部分的条件满足时,染毒程序即开始进行计算机的破坏行为。
105、病毒预定的触发条件可能是时间、日期、文件类型、击键动作、开启邮件或某些特定数据等。
106、剖析病毒时,如果搞清楚病毒的触发机制,可以修改此部分代码,使病毒失败,也可以产生没有潜伏性的极为外露的病毒样本,供反病毒研究用。
107、触发的实质是一种条件控制。
108、根据触发条件,word宏病毒可以分为公用宏病毒和私用宏病毒两类
109、宏病毒只能用“Autoxxxx”来命名,即“宏”名称是用“Auto”开头,“xxxx”表示的是具体的一种宏文件名
110、宏病毒一定要附加在word公用模板上才有“公用”作用。
111、CIH病毒是一种文件型,建立在Windows95/98平台
112、宏病毒在感染一个文档时,首先要把文档转换成模板格式,然后把所有的宏病毒(包括自动宏)复制到该文档中。
113、Word宏病毒的查找分为利用查、杀毒软件,人工在电脑中搜索
114、Word宏病毒的防治分为手工清除,自动防治
115、CIH病毒发作时直接往计算机主板BIOS芯片和硬盘写乱码,破坏力非常大,可造成主机无法启动,硬盘数据全部被洗清。
116、CIH病毒发作时直接往计算机主板BIOS芯片和硬盘写乱码,破坏力非常大,可造成主机无法启动,硬盘数据全部被洗清。
117、CIH病毒程序由哪三部分组成CIH病毒驻留(初始化)病毒的感染病毒的发作
118、一般宏病毒是通过自动执行宏的方式来激活、传染和破坏的
119、当Word识别出一个打开的文档中具有自动执行宏时,出现一个对话框,让用户选择是否打开宏,为了预防宏病毒一般选择取消宏
按钮。
120、在运行WORD过程中经常出现内存不足,打印不正常,可能有宏病毒
121、打开以DOC为后缀的文件时在另存菜单中只能以模板方式存盘,说明它可能带有Word宏病毒
122、在运行WORD时,打开doc文档中出现是否启动“宏”的提示,该文档可能带有宏病毒
123、CIH病毒是通过文件进行传播。
124、网络病毒的特点及危害性是:
感染速度快,扩散面广,传播的形式复杂多样,难于彻底清除,破坏性大,可激发性,潜在性。
125、安装网络病毒防治服务器的目标:
是以实时作业方式扫描所有进出网络的文件。
126、NT服务器必须全部为32位NTFS文件分配格式。
127、在服务器上尽可能多的应用具有C/S方式的应用软件;尽量不要直接在NT服务器上运行办公自动化软件。
128、NOVELL网络提供了访问权限与属性两种安全机制;属性优先于访问权限。
129、NOVELL网络提供的访问权限有:
A访问控制权,C建立权,E删除权,F文件扫描权,M修改权,R读权,S超级用户权,W写权等。
130、NOVELL网络提供的属性有:
A需归档,C拷贝禁止,E只执行,Ro只读,Rw读写,R改名禁止,S可共享,Sy系统等。
131、无盘工作站通过网卡上的远程复位PROM完成对系统的引导。
132、基于工作站的防治技术主要缺点有:
存在芯片上的软件不易升级,对网络传输速度有一定影响。
133、基于SERVER的NLM防毒技术的一般功能:
实时在线扫描,服务器扫描,工作站扫描。
134、基于NLM的防杀毒技术的优点:
不占用工作站内存,不影响工作站上程序的运行。
135、只能保护服务器的硬盘的病毒防治技术是基于服务器的防治技术。
136、可能引发硬件冲突的病毒防治技术是基于工作站的防治技术。
137、在服务器上应尽可能多的应用具有C/S方式的应用软件。
138、NT很难实现无盘工作站上网,因此登录NT网络的工作站基本上为有盘站。
139、安装网络病毒防治服务器的目标:
是以实时作业方式扫描所有进出网络的文件。
140、如果远程工作站被病毒侵入,病毒也可以通过通讯中数据交换进入网络服务器中。
141、病毒先传染工作站,在工作站内存驻留,在病毒运行时直接通过映像路径传染到服务器中。
142、一般在计算机网络系统上安装网络病毒防治服务器来进行网络病毒防治。
143、可在单机上安装单机环境的反病毒软件来进行网络病毒防治。
144、理想的网络病毒防御方案工作站上安装防毒芯片、服务器上安装基于NLM技术的防毒软件
145、网络环境中需要保护的部分有:
可执行文件、工作站硬盘、软盘的启动引导扇区、目录区及FAT区、工作站的内存区
146、使用纯文本格式发送邮件,不但可以防止无意中被植入的恶意的HTML代码,同时也可减少邮件体积,加快发送速度。
147、通过安装网络防火墙,可以有效地实现计算机与外界信息的过滤,实时监控网络中的信息流,保护本地计算机不被黑客或病毒程序破坏。
148、在预防上,主要从基于网络安全体系、基于工作站/服务器以及加强计算机网络的综合治理三方面着手进行考虑。
149、用带有写保护的、“干净”的系统盘启动文件服务器,系统管理员登录后,使用DISABLELOGIN命令禁止其他用户登录。
150、计算机病毒的清除方法一般有人工清除和自动清除
151、宏病毒是一类主要感染Word文档和文档模板的灯数据文件的病毒
152、宏病毒的特点感染数据文件、多平台交叉感染、容易编写、容易传播
153、一般病毒是以二进制的计算机机器码形式出现。
154、Lovgante病毒的危害有生成病毒文件、修改注册表、口令试探攻击,盗用口令、建立和释放后门、在局域网中疯狂传播、搜索邮件目录不断发送病毒邮件
155、Lovgante病毒的手工清除步骤:
终止病毒进程、恢复注册表、完成上述工作后重起计算机对系统进行全面的病毒检测和清除
156、以爱虫和新欢乐时光病毒为典型代表的VBS脚本病毒十分猖獗,主要的一个原因是编写简单
157、VBS脚本病毒的特点:
编写简单、破坏力大、感染力强、传播范围大、欺骗性强、病毒生产机实现起来非常容易
158、VBS脚本病毒一般是直接通过自我复制来感染文件的,病毒中的绝大部分代码可以直接附加在其它同类程序的中间。
159、VBS脚本病毒对抗反病毒软件的方法有:
自加密、巧妙运用Execute函数、改变某些对象的声明方法、直接关闭反病毒软件
160、病毒防治软件常用策略:
病毒码扫描法、校验和法、人工智能陷阱、软件仿真扫描法、先知扫描法、实施的I/O扫描、宏病毒陷阱、空中抓毒。
161、计算机病毒的技术预防措施有:
单机的预防、网络防毒的通用措施、小型局域网的预防、大型网络的预防
162、单机预防计算机病毒一是要思想重视,管理到位、二是要依靠防杀局算机病毒软件
163、计算机病毒的预防可以从防毒,查毒和解毒3个方面来进行;同样,系统对于计算机病毒的实际防治能力要从防毒能力,查毒能力和解毒能力来评判.
164、查毒是对内存,文件,引导区,网络等,能够准确的报出病毒名称.
165、解毒指的是根据不同类型的病毒对感染对象的修改,并按病毒的感染特性所进行的恢复.
166、计算机病毒的清除方法一般有人工清除法和自动清除法
167、在检测到磁盘被引导型病毒感染后,清除病毒的基本思想是用正常的系统引导程序覆盖引导扇区中的病毒程序.
168、人们所说的宏病毒主要指Word和Excel宏病毒.
169、硬盘加锁程序包括安装程序和主程序.
170、微机不但要防止别人未经允许进行拷贝和调用,还要注意防止带病毒的软盘对硬盘的感染.
171、计算机病毒的技术预防措施包括单机预防,网络预防,小型局域网预防和大型网络预防.
172、提高硬盘抗病毒能力的硬盘启动过程是改变软,硬盘启动顺序的优先级和限制软盘启动用户对硬盘的使用权.
173、除了覆盖型的文件型病毒之外,其他感染com型和exe型的文件型病毒都可以被清除干净.
174、正确清除文件中的病毒首要条件是掌握病毒的传染方法.
175、宏病毒是一类主要感染Word文档和文档模板等数据文件的病毒.
176、计算机病毒的预防,是指通过建立合理的计算机病毒预防体系和制度,及时发现计算机病毒的入侵,并采用有效的手段阻止计算机病毒的传播和破坏,恢复受影响的计算机系统和数据.
177、计算机利用读写文件进行感染,利用驻留内存,截取中断向量等方式进行传染和破坏.
二、选择
1、下列不属于病毒防治软件常用的策略的是(B)
A病毒码扫描法B人工查毒C校验和法D软件仿真扫描法
2、不是计算机病毒的技术预防措施的是(C)
A单机的预防B网络防毒C硬盘预防D小型网预防
3、下列不是大型网预防手段的是(B)
A在接入口处安装防火墙式的防杀毒产品.
B选择功能完善的单机防杀毒软件.
C在每个内网参照小型局域网的预防要点布防.
D建立严格的规章制度和操作规范,定期检查个预防点的工作状态.
4、不是反病毒技术的是(D)
A实时监视技术B自动解压缩技术C全平台反病毒技术D数据代码分离技术
5、哪个不是预防电子邮件计算机病毒的方法(A)
A控制用户权限B使用可靠的防毒软件C定时升级病毒库D不轻易打开附件中的文档文件.
6、对文件型病毒的预防方法没有(C)
A安装最新版本的,有实时监控文件系统功能的防杀毒软件.
B经常使用防杀病毒软件对系统进行检查.
C设置邮箱过滤功能.D对文件在无毒环境下备份.
7、下列不是预防引导型病毒方法的是(D)
A坚持从不带病毒的硬盘引导系统.
B经常备份系统引导扇区.
C经常用能够查杀引导型病毒的防杀毒软件检查.
D控制用户权限.
8、下列不属于于小型局域网的预防的是(A)
A引导型病毒的预防.B简单对等网络的预防
CWindowsNT/2000网络的防毒DNetWare网络的防毒
9、清除病毒主要方面不包括(B)
A清除内存中的病毒B追踪病毒来源
C病毒发作后的善后处理D清除磁盘中的病毒
10、不属于宏病毒的是(C)
AWord病毒BExcel病毒CVBS脚本病毒D感染LotusAmiPro的宏病毒.
11、下列哪一项不是VBS脚本病毒传播方式(D)
A、通过E-mail进行传播B、通过局域网共享传播
C、通过感染htm、asp、jsp、phpD、通过BBS传播
12、下列哪一项不是VBS脚本病毒防治措施(C)
A、从样本中提取脚本病毒B、VBS脚本病毒的弱点
C、脚本病毒的传播D、脚本病毒的预防和清除
13、以下哪一项不是反病毒技术(A)
A、数据描述解毒技术B、全平台反病毒技术
C、自动解压缩技术D、实时监控技术
14、不属于反病毒策略的是(B)
A、病毒家族分类法B、检测和清除病毒
C、数据描述解毒技术D、病毒行为语言
15、下列哪一项属于预防邮件病毒的方法(C)
A、选择“工具”菜单中的“选项”进行设置B、随意打开附件
C、使用可靠的防毒软件D、病毒库只升级一次就够了
16、宏病毒的传播依赖于下列哪一种软件(B)
A、Windows系统软件B、Office应用软件
C、游戏软件D、驱动软件
17、下列不属于NOVELL网络的访问权限的是(D)
A访问控制权B建立权C删除权D低级用户权
18、不属于NOVELL网络属性的是(D)
A需归档B拷贝禁止C只执行D改名允许
19、基于网络目录和文件安全性的方法下列说法错误的是(A)
A尽最少用无盘工作站,多用有盘工作站
B规定用户的访问权限,尽可能少用超级用户登录
C加强系统管理,提高网络系统的操作安全性
D可采用固有化有防/杀病毒软件的卡或芯片
20、从理论上讲,一个网络有几个有盘工作站即可(B)
A3B2C1D多个
21、下列不属基于SERVER的NLM防毒技术的是(C)
A实时在线扫描B服务器扫描C文件扫描D工作站扫描
22、以下哪项不属于网络病毒防治基本方法,技术和措施(B)
A网络管理方面B管理员操作水平C工作站方面D服务器方面
23、以下不属于网络病毒防治服务器的主要功能(A)
A简单扫描B强大的病毒查解功能C自动报警功能D持续扫描
24、以下不属于网络病毒防治服务器的主要功能(B)
A持续扫描B删除病毒C强大的病毒查解功能D自动报警功能
25、NT服务器必须全部为多少为NTFS文件(D)
A8位B16位C64位D32位
26、NT服务器很容易把什么当作共享给用户调用(B)
A磁盘B光盘C软盘D硬盘
27、下列基于NOVELL网络的病毒预防措施错误的是(C)
A严格控制不知名的外亲光盘的使用
B用户的权限和文件的读写属性要加以控制
CNT服务器必须全部为64位NTFS文件分配格式
D选择优秀的具有实时检查,实时杀毒功能的杀毒软件
28、有的用户安装系统时,一部分为16位的FAT格式,一部分为(A)
A32位的NTFS格式B16位的NTFS格式
C32位FAT格式D64位的FAT格式
29、NOVELL网络提供了访问权限与什么两种安全机制(B)
A