计算机病毒复习思考题及复习资料文档格式.docx

1、Trojan，黑客病毒前缀名一般为 Hack 。 4、脚本病毒 脚本病毒的前缀是：Script。5、宏病毒 其实宏病毒是也是脚本病毒的一种，由于它的特殊性，因此在这里单独算成一类。宏病毒的前缀是：Macro。6、后门病毒 后门病毒的前缀是：Backdoor。7、病毒种植程序病毒 Dropper。这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下，由释放出来的新病毒产生破坏。8破坏性程序病毒 破坏性程序病毒的前缀是：Harm。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒便会直接对用户计算机产生破坏。9玩笑病毒 玩笑病毒的前缀是：Joke。1

2、0捆绑机病毒 捆绑机病毒的前缀是：Binder。4. 简述计算机病毒产生的背景。5. 计算机病毒有哪些传播途径？传播途径有两种，一种是通过网络传播，一种是通过硬件设备传播（软盘、U盘、光盘、硬盘、存储卡等）。网络传播，又分为因特网传播和局域网传播两种。硬件设备传播：通过不可移动的计算机硬件设备传播、通过移动存储设备传播、通过无线设备传播。6. 试比较与计算机病毒症状相似的软件故障。7. 试比较与计算机病毒症状相似的硬件故障。8. 计算机病毒为什么是可以防治、可以清除的？9. 分析“新欢乐时光”病毒的源代码及其特性，结合三元组中病毒名命名优先级，分析各杀毒软件商对该病毒存在不同命名的原因。 查找

3、相关资料，试述计算机病毒发展趋势与特点。 基于Windows的计算机病毒越来越多 计算机病毒向多元化发展 新计算机病毒种类不断涌现，数量急剧增加 计算机病毒传播方式多样化，传播速度更快 计算机病毒造成的破坏日益严重 病毒技术与黑客技术日益融合 更多依赖网络、系统漏洞传播，攻击方式多种多样 研究计算机病毒有哪些基本原则？搭建病毒分析的环境有哪些方法？回答一：“八字原则”自尊自爱、自强自律自尊尊重自己的人格，不做违法、违纪的事自爱 爱惜自己的“知识储备”，不随便“发挥自己的聪明才智”，自己对自己负责自强刻苦钻研，努力提高防毒、杀毒水平自律严以律己、宽以待人，不以任何理由为借口而“放毒”回答二：可在

4、虚拟环境下进行，比如在VirtualBox 、VMware环境下安装操作系统作为测试研究病毒的环境。可使用影子系统，在全模式下进行试验。可在使用硬盘保护卡的环境下进行试验。可以使用RAMOS（内存操作系统）作为测试研究病毒的环境。第2章 预备知识1. 硬盘主引导扇区由哪几部分构成？一个硬盘最多可分几个主分区？为什么？Fdisk/mbr命令是否会重写整个主引导扇区？主引导扇区（Boot Sector）由主引导记录（Master Boot Record，MBR）、主分区表即磁盘分区表（Disk Partition Table，DPT）、引导扇区标记（Boot Record ID/Signature

5、）三部分组成。一个硬盘最多可分为4个主分区，因为主分区表占用64个字节，记录了磁盘的基本分区信息，其被分为4个分区选项，每项16个字节，分别记录了每个主分区的信息。2低级格式化、高级格式化的功能与作用是什么？高级格式化（FORMAT）能否清除任何计算机病毒？低级格式化的主要目的是将盘面划分成磁道、扇区和柱面。高级格式化的目的是在分区内建立分区引导记录DBR（DOS Boot Record）、文件分配表FAT（ Table）、文件目录表FDT（ Table）和数据区DATA。如果主引导区感染了病毒，用格式化程序FORMAT不能清除该病毒（BR病毒可以用FORMAT清除）。3. DOS下的EXE文

6、件病毒是如何获取控制权的？感染EXE文件，需对宿主作哪些修改？一般来说，病毒往往先于HOST程序获得控制权。运行Win32病毒的一般流程示意如下：用户点击或系统自动运行HOST程序；装载HOST程序到内存；通过PE文件中的AddressOfEntryPoint加ImageBase之和，定位第一条语句的位置（程序入口）；从第一条语句开始执行（这时执行的其实是病毒代码）；病毒主体代码执行完毕，将控制权交给HOST程序原来的入口代码；HOST程序继续执行。4. 针对PE文件格式，请思考：Win32病毒感染PE文件，须对该文件作哪些修改？5简介有哪些常用的磁盘编辑软件、分区软件。FDISK、DiskG

7、enius、PartitionMagic、Acronis Disk Director6简述Windows XP的启动过程。在基于Intel的计算机上，Windows 2000/XP的启动过程大致可分为8个步骤：1预启动计算机加电自检，读取硬盘的MBR、执行NTLDR（操作系统加载器）文件2进行初始化NTLDR将处理器从实模式转换为32位保护模式3读取BOOT.INI文件BOOT.INI文件其作用是使系统在启动过程中出现选择菜单，由用户选择希望启动的操作系统，若只有一个操作系统则不显示4加载NTDETECT.COM文件由NTDETECT.COM来检测计算机硬件，如并行端口、显示适配器等，并将收集

8、到的硬件列表返回NTLDR用于以后在注册表中注册保存5选择硬件配置文件如果Windows 2000/XP有多个硬件配置文件，此时会出现选择菜单，等待用户确定要使用的硬件配置文件，否则直接跳过此步，启用默认配置6装载内核引导过程装载Windows 2000/XP内核NtOsKrnl.EXE。随后，硬件抽象层（HAL）被引导进程加载，完成本步骤7初始化内核内核完成初始化，NTLDR将控制权转交Windows 2000/XP内核，后者开始装载并初始化设备驱动程序，并启动Win32子系统和Windows 2000/XP服务8用户登录由Win32子系统启动WinLogon.EXE，并由它启动Local

9、Security Authority （LSASS.EXE）显示登录对话框。用户登录后，Windows 2000/XP会继续配置网络设备、用户环境，并进行个性化设置。最后，伴随着微软之声和我们熟悉的个性化桌面，Windows 2000/XP启动过程完成7、简述Windows 7的启动过程。1、开启电源 计算机系统将进行加电自检（POST）。如果通过，之后BIOS会读取主引导记录（MBR）被标记为启动设备的硬盘的首扇区，并传送被Windows 7建立的控制编码给MBR。这时，Windows接管启动过程。接下来：MBR读取引导扇区-活动分区的第一扇区。此扇区包含用以启动Windows启动管理器（W

10、indows Boot Manager）程序Bootmgr exe的代码。2、启动菜单生成 Windows启动管理器读取“启动配置数据存储（Boot Confi guration Data store）中的信息。此信息包含已被安装在计算机上的所有操作系统的配置信息。并且用以生成启动菜单。3、当您在启动菜单中选择下列动作时： 如果您选择的是Windows 7（或Windows Vista），Windows 启动管理器（Windows Boot Manager）运行%SystemRoot%System32文件夹中的OS loaderWinload.exe。2 如果您选择的是自休眠状态恢复Windo

11、ws 7 或 Vista，那么启动管理器将装载Winresume.exe并恢复您先前的使用环境。3 如果您在启动菜单中选择的是早期的Windows版本，启动管理器将定位系统安装所在的卷，并且加载Windows NT风格的早期OS loader（Ntldr.exe）生成一个由boot.ini内容决定的启动菜单。4、核心文件加载及登录 Windows7启动时，加载其核心文件 Ntoskrnl.exe和hal.dll从注册表中读取设置并加载驱动程序。接下来将运行Windows会话管理器（smss.exe）并且启动 Windows启动程序（Wininit exe），本地安全验证（Lsass.exe）与

12、服务（services.exe）进程，完成后，您就可以登录您的系统了。5、登陆后的开机加载项目第3章 计算机病毒的逻辑结构与基本机制1. 计算机病毒在任何情况下都具有感染力或破坏力吗？不是，因为计算机病毒在传播过程中存在两种状态，即静态和动态。a.静态病毒，是指存在于辅助存储介质中的计算机病毒，一般不能执行病毒的破坏或表现功能，其传播只能通过文件下载（拷贝）实现。b.病毒完成初始引导，进入内存后，便处于动态。动态病毒本身处于运行状态，通过截流盗用系统中断等方式监视系统运行状态或窃取系统控制权。病毒的主动传染和破坏作用，都是动态病毒的“杰作”c.内存中的病毒还有一种较为特殊的状态失活态，它的出现

13、一般是由于用户对病毒的干预（用杀毒软件或手工方法），用户把中断向量表恢复成正确值，处于失活态的病毒不可能进行传染或破坏综上所述，计算机病毒只有处于动态才具有感染力或破坏力。故计算机病毒不是在任何情况下都具有感染力或破坏力2. 文件型病毒有哪些感染方式？a寄生感染: 文件头部寄生 文件尾部寄生 插入感染 逆插入感染 利用空洞零长度感染b无入口点感染: 采用入口点模糊（Entry Point Obscuring，EPO）技术 采用TSR病毒技术c 滋生感染 d链式感染e OBJ、LIB和源码的感染3计算机病毒的感染过程是什么？计算机病毒感染的过程一般有三步：（1）当宿主程序运行时，截取控制权；（2

14、）寻找感染的突破口；（3）将病毒代码放入宿主程序4结合病毒的不同感染方式，思考该病毒相应的引导机制。（老师给的）（1）驻留内存病毒若要发挥其破坏作用，一般要驻留内存。为此就必须开辟所用内存空间或覆盖系统占用的部分内存空间。有的病毒不驻留内存。（2）窃取系统控制权在病毒程序驻留内存后，必须使有关部分取代或扩充系统的原有功能，并窃取系统的控制权。此后病毒程序依据其设计思想，隐蔽自己，等待时机，在条件成熟时，再进行传染和破坏。（3）恢复系统功能病毒为隐蔽自己，驻留内存后还要恢复系统，使系统不会死机，只有这样才能等待时机成熟后，进行感染和破坏的目的。有的病毒在加载之前进行动态反跟踪和病毒体解密。4计算机病毒一般采用哪些条件作为触发条件？