关于计算机病毒题库.docx

1、关于计算机病毒题库一、 填空1、 计算机病毒与生物病毒一样，有其自身的病毒体（病毒程序）和寄生体.2、 我们称原合法程序为宿主或宿主程序，存储染有病毒的宿主程序的存储介质称为存储介质宿主；当染有病毒的宿主程序在计算机系统中运行时或运行后就驻留于内存中，此时这一系统就称为病毒的宿主系统。3、 计算机病毒构成的最基本原则：必须具有正确系统不可遏制的传染性，具有一定的破坏性或干扰性，具有特殊的非系统承认的或不以用户意志所决定的隐蔽形式，每个病毒程序都应具备标志唯一性、加载特殊性、传播隐蔽性和引发条件性。4、 引导模块的主要作用是将静态病毒激活，使之成为动态病毒。5、 动态病毒是指要么已进入内存处于活

2、动状态的病毒，要么能通过调用某些中断而获得运行权，从而可以随心所欲的病毒。6、 系统加载过程通常读入病毒程序的引导部分，并将系统控制权转交病毒引导程序。7、 病毒的存在和加载都是由操作系统的功能调用或ROM BIOS调用加载的。不论何种病毒，都需要在适当的时机夺取系统的控制权，并利用控制权来执行感染和破坏功能。8、 DOS系统的病毒程序的加载有3种方式：参与系统启动过程，依附正常文件加载 ，直接运行病毒的程序。9、 具体讲，病毒的加载过程，主要由3个步骤组成：开辟内存空间，使得病毒可以驻留内存对病毒定位，保持病毒程序的一贯性，并取得系统控制权借以进行传染和发作。恢复系统功能，使得被感染系统能继

3、续有效运行。10、 被动感染过程是：随着拷贝磁盘或文件工作的进行而进行的。11、 主动感染的过程是：在系统运行时，病毒通过病毒的载体即系统的外存储器进入系统的内存储器，常驻内存，并在系统内存中监视系统的运行。12、 计算机病毒的感染可分为两大类：立即感染，驻留内存并伺机感染。13、 病毒体：即病毒程序。寄生体：可供病毒寄生的合法程序。14、 宿主（宿主程序）：被病毒程序寄生的合法程序称为该病毒的宿主（程序）。15、 存储介质宿主：存储染有病毒的宿主程序的存储介质。宿主系统：即病毒常驻内存的系统。16、计算机病毒感染模块有感染条件判断模块，实施感染模块。17、计算机病毒表现（破坏）模块有表现（破

4、坏）条件判断模块，实施表现（破坏）模块。18、引导模块的功能是：将病毒程序引入内存并使其后面的两个模块处于激活状态。19、感染模块的功能是：在感染条件满足时把病毒感染到 所攻击的对象。20、表现（破坏）模块：在病毒发作条件（表现、破坏条件）满足时，实施对系统的干扰和破坏活动。21、被动感染过程是：随着拷贝磁盘或文件工作的进行而进行的22、病毒的隐藏技巧，贯穿于3个模块 引导、感染、表现 之中23、病毒的发作部分应具备两个特征：程序要有一定的隐藏性及潜伏性 病毒发作的条件性和多样性24、一个简单的病毒包含的机制有：触发机制、传播机制、表现机制25、表现模块主要完成病毒的表现或破坏功能，也称为病毒

5、的载体模块26、表现模块内部是实现病毒编写者预定破坏动作的代码，是病毒为了表明自己的存在和达到自己的目的，在满足一定条件时发作表现的27、表现（破坏）模块发作时破坏的目标和攻击的部位有：系统数据区、文件内存、系统运行、磁盘、屏幕显示、键盘、喇叭、打印机、CMOS、主板等28、病毒获得更好的感染性最好的办法是更好的隐藏自己29、DOS系统中配有DEBUG.COM动态调试程序，这是一个强有力的跟踪工具30、病毒修改或破坏INT 1H和INT 3H这两个中断向量入口地址的方法，使DEBUG中的T命令和G命令不能正常执行31、病毒加密的目的主要是防止跟踪或掩盖有关特征等32、所谓反跟踪，就是要有效的抑

6、制某些特定的命令，使其不能正常执行，从而防止对软件的动态破译。33、有部分病毒是双体结构，运行后分成两部分，一个负责远程传播，另一个负责本地传播34、所有的计算机病毒都具有混合型特征，集文件感染、蠕虫、木马、黑客程序的特点于一身35、当前流行病毒更加呈现综合性的特点，功能越来越强大，它可以感染引导区、可执行文件，更主要的是与网络结合36、病毒的一般逻辑程序结构即由两大模块组成：感染模块和表现模块37、计算机病毒的破坏和表现模块一般分为两个部分：一个是破坏模块的触发条件的判断部分；一个是破坏功能的实施部分38、反跟踪技术有抑制跟踪命令、定时技术、封锁键盘输入、降低代码可阅读性39、表现模块主要完

7、成病毒的表现或破坏功能，也称为病毒的载体模块，是计算机病毒的主体模块40、和病毒的感染模块一样，破坏模块可能在病毒程序第一次加载时就运行，也可能在第一次加载时只将引导模块引入内存，以后再通过某些中断机制触发才运行41、造成计算机系统工作不正常的原因一般是: 硬件故障、软件故障 、操作失误 、病毒因素. 42、一般来说计算机感染上病毒，则工作就会不正常；反过来，计算机工作不正常则可能不是计算机已经感染上病毒.43、计算机病毒的一般检查方法是: 外观检查法、对比检查法、特征串搜索法.44、根据系统内存容量诊断病毒的三病毒种诊断方法是:用DEBUG诊断、用CHKDSK诊断、用PCTOOLS诊断.45

8、、在DOS平台下计算机系统内存容量分为:BIOS报告的系统基本内存容量和DOS报告的系统内存容量.46、引导型病毒的手工诊断:根据系统内存容量诊断病毒、根据中断向量变化来诊断病毒、通过扇区内容比较诊断病毒.47、几乎所有引导型病毒在传染时都要修改中断向量:INT 13H.48、在DOS操作系统控制下,磁盘引导区一般有 主引导记录、磁盘分区表、主引导记录有效标志字 三部分组成.49、PCTOOLS软件中系统信息可以显示出DOS报告的系统内存容量。50、用CHKDSK诊断病毒显示的由DOS报告的系统内存空间大小和用户可用内存空间大小发生变化（减少），则可能感染了引导型病毒。51、DOS病毒是最常见

9、的一种病毒,根据病毒所感染文件结构一般分为引导型病毒，文件型病毒，混合型病毒三种。52、引导型是指病毒侵入系统引导区，从而引发破坏行为的一种病毒特征。53、广义可执行文件病毒包括通常所说的可执行文件病毒，源码病毒，甚至bat病毒和Word宏病毒。54、狭义可执行文件病毒包括com型和exe型病毒。55、文件型病毒的手工诊断分为利用文件比较诊断病毒，通过系统内存变化诊断病毒，根据中断向量变化诊断病毒三种。56、病毒程序代码一般分为3个模块：初始设置模块，感染模块，和破坏模块。57、每个exe文件包含一个文件头和一个可重定位程序映像。58、文件型病毒要感染com文件有两种方法，一种是将病毒加载在c

10、om文件前部，一种是加在文件尾部。59、com文件是单段执行结构，起始执行偏移地址为100H，对应于文件的偏移是。60、通常文件型病毒通过修改中断向量来实现传播与发作。61、判断驻留与非驻留程序的简单方法是看该可执行文件是否为重复执行文件，是否设计为在返回DOS后继续被其它程序调用执行。 62、数据性标记检测数据完整法诊断病毒的程序实现分为完整性标记生成程序和完整性标记检测程序。63、文件型病毒以源文件作为病毒程序的载体，将病毒程序隐藏其间。64、对可执行文件进行病毒诊断时，要用干净的系统盘启动。65、目前大多数文件型病毒采用非法手段来获取合法的内存空间。66、非驻留内存型程序在DOS下执行不

11、会改变内存分配结构。67、文件型病毒通常通过修改中断向量来实现传播与发作。68、数据完整性标记检测法在执行一个可执行文件之前，先对它的数据完整性进行检查。69、数据完整性标记检测法诊断病毒实现的安全是以牺牲系统的开放性为代价的。70、文件型病毒的程序诊断法分为传统文件备份比较法 ，数据完整性标记检测法，外壳程序免疫法。71、计算机病毒主要检测方法中比较法的中断比较法是将正常系统的中断向量与有毒系统的中断向量进行比较，可以发现是否有病毒修改和盗用中断向量。73、计算机病毒的检测方法有两种分别是 手工检测和自动检测。74、计算机病毒手工检测是最基本、最有力的工具。76、病毒自动检测工具的发展总是滞

12、后于病毒的发展，所以检测工具总是对相对数量的未知病毒不能识别。78、被广泛使用的计算机病毒的主要检测方法有：比较法、搜索法、分析法、感染实验法、软件模拟法、行为检测法。80、 计算机病毒主要检测方法中比较法包括：长度比较法、内容比较法、内存比较法、中断比较法等。81、 有毒系统的中断向量进行比较，可以发现是否有病毒修改和盗用中断向量。82、 计算机病毒校验和法它既可发现已知病毒又可发现未知病毒。83、 计算机病毒校验和法的两点不足是常常误报警、对隐蔽性病毒无效 。84、 计算机病毒扫描法包括特征代码扫描法、特征字扫描法85、 计算机病毒行为监测法是利用病毒的特有行为特性，监测病毒的方法。 86

13、、 计算机病毒感染实验法可以检测出病毒检测工具不认识的新病毒，可以摆脱对病毒检测工具的依赖，自主地检测可疑新病毒。 87、 计算机病毒软件模拟法是一种软件分析器，用软件方法来模拟和分析程序的运行。96、Word宏病毒通过(DOC文档)及(.DOT模板)进行自我复制及传播97、Word宏指令及宏病毒都用(Word Basic)进行编写98、当Word.EXCEL这类著名的应用软件在不同平台上运行时，会被“宏”病毒(交叉感染。)宏是对重复性工作的一种(简化)，它通过将纪录的一系列操作过程保存在(visual Basic)模块中，从而形成一个宏，同时也可以用(visual Basic)编辑器来编辑宏

14、 99、宏病毒是由专业人员利用Word提供的(Word Basic编程接口)而制作的一个或多个具有(病毒)特点的宏的集合100、Word宏病毒的特点及危害包括:(传播速度快)、(制作、变种方便)、(破坏可能性极大)、(多平台交叉感染)。101、编写Word宏病毒的Word Basic语言提供了许多(系统级低层调用)，宏病毒很容易利用这些调用对系统进行破坏。102、计算机病毒具有(感染性)、(潜伏性)、(可触发性)和(破坏性)等基本特征。病毒必须具备良好的（潜伏性），才能不被人们发现。103、病毒只有在（触发条件）满足时，才进行感染或破坏，否则一直潜伏。104、病毒发作的（触发条件）是指当发作部

15、分的条件满足时，染毒程序即开始进行计算机的破坏行为。105、病毒预定的触发条件可能是时间、日期、文件类型、击键动作、开启邮件或某些特定数据等。106、剖析病毒时，如果搞清楚病毒的触发机制，可以修改此部分代码，使病毒失败，也可以产生没有潜伏性的极为外露的病毒样本，供反病毒研究用。107、触发的实质是一种条件控制。108、根据触发条件，word宏病毒可以分为公用宏病毒和私用宏病毒两类109、宏病毒只能用“Autoxxxx”来命名，即“宏”名称是用“Auto”开头，“xxxx”表示的是具体的一种宏文件名110、宏病毒一定要附加在word公用模板上才有“公用”作用。111、CIH病毒是一种文件型，建立

16、在Windows 95/98平台112、宏病毒在感染一个文档时，首先要把文档转换成模板格式，然后把所有的宏病毒（包括自动宏）复制到该文档中。113、Word宏病毒的查找分为利用查、杀毒软件，人工在电脑中搜索 114、Word宏病毒的防治分为手工清除 ，自动防治 115、CIH病毒发作时直接往计算机主板BIOS芯片和硬盘写乱码，破坏力非常大，可造成主机无法启动，硬盘数据全部被洗清。116、 CIH病毒发作时直接往计算机主板BIOS芯片和硬盘写乱码，破坏力非常大，可造成主机无法启动，硬盘数据全部被洗清。117、CIH病毒程序由哪三部分组成CIH病毒驻留（初始化） 病毒的感染 病毒的发作118、一般

17、宏病毒是通过自动执行宏的方式来激活、传染和破坏的119、当Word识别出一个打开的文档中具有自动执行宏时，出现一个对话框，让用户选择是否打开宏，为了预防宏病毒一般选择取消宏按钮。120、在运行WORD过程中经常出现内存不足，打印不正常，可能有宏病毒121、打开以DOC为后缀的文件时在另存菜单中只能以模板方式存盘，说明它可能带有Word宏病毒122、在运行WORD时，打开doc文档中出现是否启动“宏”的提示，该文档可能带有宏病毒123、CIH病毒是通过文件进行传播。124、网络病毒的特点及危害性是：感染速度快，扩散面广，传播的形式复杂多样，难于彻底清除，破坏性大，可激发性，潜在性。125、安装网

18、络病毒防治服务器的目标：是以实时作业方式扫描所有进出网络的文件。126、NT服务器必须全部为32位NTFS文件分配格式。 127、在服务器上尽可能多的应用具有C/S方式的应用软件；尽量不要直接在NT服务器上运行办公自动化软件。128、NOVELL网络提供了访问权限与属性两种安全机制；属性优先于访问权限。129、NOVELL网络提供的访问权限有：A访问控制权，C建立权，E删除权，F文件扫描权，M修改权，R读权，S超级用户权，W写权等。130、NOVELL网络提供的属性有：A需归档，C拷贝禁止，E只执行，Ro只读，Rw读写，R改名禁止，S可共享，Sy系统等。131、无盘工作站通过网卡上的远程复位P

19、ROM完成对系统的引导。132、 基于工作站的防治技术主要缺点有：存在芯片上的软件不易升级，对网络传输速度有一定影响。133、 基于SERVER的NLM防毒技术的一般功能：实时在线扫描，服务器扫描，工作站扫描。134、基于NLM的防杀毒技术的优点：不占用工作站内存，不影响工作站上程序的运行。135、只能保护服务器的硬盘的病毒防治技术是基于服务器的防治技术。136、可能引发硬件冲突的病毒防治技术是基于工作站的防治技术。137、在服务器上应尽可能多的应用具有C/S方式的应用软件。138、NT很难实现无盘工作站上网，因此登录NT网络的工作站基本上为有盘站。139、安装网络病毒防治服务器的目标：是以实

20、时作业方式扫描所有进出网络的文件。140、如果远程工作站被病毒侵入，病毒也可以通过通讯中数据交换进入网络服务器中。141、病毒先传染工作站，在工作站内存驻留，在病毒运行时直接通过映像路径传染到服务器中。142、一般在计算机网络系统上安装网络病毒防治服务器来进行网络病毒防治。143、可在单机上安装单机环境的反病毒软件来进行网络病毒防治。144、理想的网络病毒防御方案 工作站上安装防毒芯片、 服务器上安装基于NLM技术的防毒软件145、 网络环境中需要保护的部分有：可执行文件、工作站硬盘、软盘的启动引导扇区、目录区及FAT区、工作站的内存区146、 使用纯文本格式发送邮件，不但可以防止无意中被植入

21、的恶意的HTML代码，同时也可减少邮件体积，加快发送速度。147、 通过安装网络防火墙，可以有效地实现计算机与外界信息的过滤，实时监控网络中的信息流，保护本地计算机不被黑客或病毒程序破坏。148、 在预防上，主要从基于网络安全体系、基于工作站/服务器以及加强计算机网络的综合治理三方面着手进行考虑。149、 用带有写保护的、“干净”的系统盘启动文件服务器，系统管理员登录后，使用DISABLE LOGIN命令禁止其他用户登录。 150、 计算机病毒的清除方法一般有人工清除和自动清除151、 宏病毒是一类主要感染Word文档和文档模板的灯数据文件的病毒152、 宏病毒的特点感染数据文件、多平台交叉感

22、染、容易编写、容易传播153、 一般病毒是以二进制的计算机机器码形式出现。154、 Lovgante病毒的危害有生成病毒文件、修改注册表、口令试探攻击，盗用口令、建立和释放后门、在局域网中疯狂传播、搜索邮件目录不断发送病毒邮件155、 Lovgante病毒的手工清除步骤：终止病毒进程、恢复注册表、完成上述工作后重起计算机对系统进行全面的病毒检测和清除156、 以爱虫和新欢乐时光病毒为典型代表的VBS脚本病毒十分猖獗，主要的一个原因是编写简单 157、 VBS脚本病毒的特点：编写简单、破坏力大、感染力强、传播范围大、欺骗性强、病毒生产机实现起来非常容易158、 VBS脚本病毒一般是直接通过自我复

23、制来感染文件的，病毒中的绝大部分代码可以直接附加在其它同类程序的中间。159、 VBS脚本病毒对抗反病毒软件的方法有：自加密、巧妙运用Execute函数、改变某些对象的声明方法、直接关闭反病毒软件160、 病毒防治软件常用策略：病毒码扫描法、 校验和法、人工智能陷阱、软件仿真扫描法、先知扫描法、实施的I/O扫描、宏病毒陷阱、空中抓毒。161、 计算机病毒的技术预防措施有：单机的预防、网络防毒的通用措施、小型局域网的预防、大型网络的预防162、 单机预防计算机病毒一是要思想重视，管理到位、二是要依靠防杀局算机病毒软件163、 计算机病毒的预防可以从防毒,查毒和解毒3个方面来进行;同样,系统对于计

24、算机病毒的实际防治能力要从防毒能力,查毒能力和解毒能力来评判.164、 查毒是对内存,文件,引导区,网络等,能够准确的报出病毒名称.165、 解毒指的是根据不同类型的病毒对感染对象的修改,并按病毒的感染特性所进行的恢复.166、 计算机病毒的清除方法一般有人工清除法和自动清除法167、 在检测到磁盘被引导型病毒感染后,清除病毒的基本思想是用正常的系统引导程序覆盖引导扇区中的病毒程序.168、 人们所说的宏病毒主要指Word和Excel宏病毒.169、 硬盘加锁程序包括安装程序和主程序.170、 微机不但要防止别人未经允许进行拷贝和调用,还要注意防止带病毒的软盘对硬盘的感染.171、 计算机病毒

25、的技术预防措施包括单机预防,网络预防,小型局域网预防和大型网络预防.172、 提高硬盘抗病毒能力的硬盘启动过程是改变软,硬盘启动顺序的优先级和限制软盘启动用户对硬盘的使用权.173、 除了覆盖型的文件型病毒之外,其他感染com型和exe型的文件型病毒都可以被清除干净.174、 正确清除文件中的病毒首要条件是掌握病毒的传染方法.175、 宏病毒是一类主要感染Word文档和文档模板等数据文件的病毒.176、 计算机病毒的预防,是指通过建立合理的计算机病毒预防体系和制度,及时发现计算机病毒的入侵,并采用有效的手段阻止计算机病毒的传播和破坏,恢复受影响的计算机系统和数据.177、 计算机利用读写文件进

26、行感染,利用驻留内存,截取中断向量等方式进行传染和破坏.二、 选择1、下列不属于病毒防治软件常用的策略的是( B)A病毒码扫描法 B人工查毒 C校验和法 D软件仿真扫描法2、不是计算机病毒的技术预防措施的是(C )A 单机的预防 B网络防毒 C硬盘预防 D小型网预防3、下列不是大型网预防手段的是 (B)A 在接入口处安装防火墙式的防杀毒产品.B 选择功能完善的单机防杀毒软件. C 在每个内网参照小型局域网的预防要点布防.D建立严格的规章制度和操作规范,定期检查个预防点的工作状态.4、不是反病毒技术的是(D)A实时监视技术 B自动解压缩技术 C全平台反病毒技术 D数据代码分离技术5、哪个不是预防

27、电子邮件计算机病毒的方法(A)A 控制用户权限 B使用可靠的防毒软件 C 定时升级病毒库 D不轻易打开附件中的文档文件.6、对文件型病毒的预防方法没有(C)A 安装最新版本的,有实时监控文件系统功能的防杀毒软件.B 经常使用防杀病毒软件对系统进行检查.C 设置邮箱过滤功能. D对文件在无毒环境下备份.7、下列不是预防引导型病毒方法的是(D)A 坚持从不带病毒的硬盘引导系统.B 经常备份系统引导扇区.C 经常用能够查杀引导型病毒的防杀毒软件检查.D 控制用户权限.8、下列不属于于小型局域网的预防的是(A)A 引导型病毒的预防. B 简单对等网络的预防C Windows NT/2000网络的防毒

28、D Net Ware 网络的防毒9、清除病毒主要方面不包括(B)A 清除内存中的病毒 B 追踪病毒来源 C 病毒发作后的善后处理 D 清除磁盘中的病毒10、不属于宏病毒的是(C)A Word病毒 B Excel病毒 C VBS脚本病毒 D 感染Lotus Ami Pro的宏病毒.11、下列哪一项不是VBS脚本病毒传播方式( D)A、通过E-mail进行传播 B、通过局域网共享传播C、通过感染htm、asp、jsp、php D、通过BBS传播12、下列哪一项不是VBS脚本病毒防治措施（C）A、从样本中提取脚本病毒 B、VBS脚本病毒的弱点C、 脚本病毒的传播 D、 脚本病毒的预防和清除13、以下

29、哪一项不是反病毒技术（A）A、数据描述解毒技术 B、全平台反病毒技术C、自动解压缩技术 D、实时监控技术14、不属于反病毒策略的是（B）A、病毒家族分类法 B、检测和清除病毒C、数据描述解毒技术 D、病毒行为语言15、下列哪一项属于预防邮件病毒的方法（C）A、选择“工具”菜单中的“选项”进行设置 B、随意打开附件C、使用可靠的防毒软件 D、病毒库只升级一次就够了16、宏病毒的传播依赖于下列哪一种软件（B）A、 Windows系统软件 B、 Office应用软件 C、游戏软件 D、 驱动软件17、下列不属于NOVELL网络的访问权限的是（D）A 访问控制权 B 建立权 C 删除权 D 低级用户权

30、18、 不属于NOVELL网络属性的是（D）A 需归档 B 拷贝禁止 C 只执行 D 改名允许19、 基于网络目录和文件安全性的方法下列说法错误的是（A） A 尽最少用无盘工作站，多用有盘工作站 B 规定用户的访问权限，尽可能少用超级用户登录C 加强系统管理，提高网络系统的操作安全性D 可采用固有化有防/杀病毒软件的卡或芯片20、 从理论上讲，一个网络有几个有盘工作站即可（B）A 3 B 2 C 1 D 多个21、 下列不属基于SERVER 的NLM 防毒技术的是（C）A 实时在线扫描 B 服务器扫描 C 文件扫描 D 工作站扫描22、以下哪项不属于网络病毒防治基本方法，技术和措施 （B）A

31、网络管理方面 B 管理员操作水平 C 工作站方面 D 服务器方面23、以下不属于网络病毒防治服务器的主要功能（A）A 简单扫描 B 强大的病毒查解功能 C 自动报警功能 D 持续扫描24、以下不属于网络病毒防治服务器的主要功能（B）A 持续扫描 B 删除病毒 C 强大的病毒查解功能 D 自动报警功能25、 NT 服务器必须全部为多少为NTFS文件（D） A 8位 B 16 位 C 64 位 D 32 位26、NT服务器很容易把什么当作共享给用户调用（B）A 磁盘 B 光盘 C 软盘 D 硬盘27、下列基于NOVELL 网络的病毒预防措施错误的是（C）A 严格控制不知名的外亲光盘的使用B 用户的权限和文件的读写属性要加以控制C NT 服务器必须全部为64位NTFS 文件分配格式D 选择优秀的具有实时检查，实时杀毒功能的杀毒软件28、有的用户安装系统时，一部分为16位的FAT格式，一部分为（A）A 32位的NTFS 格式 B 16 位的NTFS 格式C 32位FAT 格式 D 64位的FAT 格式29、 NOVELL 网络提供了访问权限与什么两种安全机制（B）A