病毒检测技术复习题含答案

一、填空程序性决定了计算机病毒的可防治性、可清除性，反病毒技术就是要提前取得计算机系统的控制权，识别出计算机病毒的代码和行为，阻止其取得系统控制权，并及时将其清除。是否具有传染性，是判别一个程序是否为计算机病毒的首要条件。计算机病毒因某个事件或数值的出现，诱使病毒实施感染或进行攻击的特性称为可触发性病毒程序嵌入到宿主程序中，依赖于宿主程序的执行而生存，这就是计算机病毒的寄生性、病毒的最大特点是其传染性，而传染性的原因是其自身程序不断复制的结果，即程序本身复制到其他程序中或简单地在某一系统中不断地复制自己计算机病毒按寄生对象分为引导型病毒文件型病毒混合型病毒蠕虫(Worm)是一种独立的可执行程序，主要由主程序和引导程序两部分组成蠕虫程序的工作流程可以分为漏洞扫描、攻击、传染、现场处理四个阶段特洛伊木马(Trojanhouse，简称木马)是指表面上是有用的软件、实际目的却是危害计算机安全并导致严重破坏的计算机程序，是一种在远程计算机之间建立连接，使远程计算机能通过网络控制本地计算机的非法程序一般的木马都有客户端和服务器端两个程序客户端是用于攻击者远程控制已植入木马的计算机的程序服务器端程序就是在用户计算机中的木马程序计算机病毒英文命名规则也就是国际上对病毒命名的一般惯例为“前缀+病毒名+后缀”，即三元组命名规则计算机病毒的产生过程可分为：程序设计→传播→潜伏→触发、运行→实施攻击计算机病毒是一类特殊的程序，也有生命周期开发期传染期潜伏期发作期发现期消化期消亡期在学习、研究计算机病毒的过程中，在遵守相关法律法规的前提下，应严格遵守以下“八字原则”——自尊自爱、自强自律BIOSINT13H调用是BIOS提供的磁盘基本输入输出中断调用，它可以完成磁盘(包括硬盘和软盘)的复位、读写、校验、定位、诊断、格式化等功能，完全不用考虑被操作硬盘安装的是什么操作系统现代大容量硬盘一般采用LBA(LogicBlockAddress)线性地址来寻址，以替代CHS寻址。高级格式化的目的是在分区内建立分区引导记录DBR(DOSBootRecord)、文件分配表FAT(FileAllocationTable)、文件目录表FDT(FileDirectoryTable)和数据区DATA主引导记录(MasterBootRecord，MBR)主分区表即磁盘分区表(DiskPartitionTable，DPT)引导扇区标记(BootRecordID/Signature)通过主引导记录定义的硬盘分区表，最多只能描述4个分区FAT32最早是出于FAT16不支持大分区、单位簇容量大以至于空间急剧浪费等缺点设计的NTFS是一个比FAT更复杂的系统。在NTFS中，磁盘上的任何事物都为文件NTFS文件系统中，小文件和文件夹(典型的如1023字节或更少)将全部存储在文件的MFT记录里中断(Interrupt)，就是CPU暂停当前程序的执行，转而执行处理紧急事务的程序，并在该事务处理完成后能自动恢复执行原先程序的过程中断向量表(InterruptVectors)是一个特殊的线性表，它保存着系统所有中断服务程序的入口地址(偏移量和段地址)设计扩展INT13H接口的目的是为了扩展BIOS的功能，使其支持多于1024柱面的硬盘，以及可移动介质的锁定、解锁及弹出等功能INT13H磁盘输入输出中断，引导型病毒用于传染病毒和格式化磁盘在保护模式下，所有的应用程序都具有权限级别(PrivilegeLevel，PL)。PL按优先次序分为四等：0级、1级、2级、3级，其中0级权限最高，3级最低，目前只用到Ring0和Ring3两个级别操作系统核心层运行在Ring0级，而Win32子系统运行在Ring3级，为运行在Ring3级的应用程序提供接口计算机病毒总是想方设法窃取Ring0的权限(如CIH病毒)，以实施更大范围的破坏DOS可执行文件以英文字母“MZ”开头，通常称之为MZ文件在Windows3.0/3.1的可执行文件，在MZ文件头之后又有一个以“NE”开始的文件头，称之为NE文件在Win32位平台可执行文件格式：可移植的可执行文件(PortableExecutableFile)格式，即PE格式。MZ文件头之后是一个以“PE”开始的文件头PE的意思就是PortableExecutable(可移植、可执行)，它是Win32可执行文件的标准格式PE文件的真正内容划分成块，称之为Section(节)，紧跟在节表之后引入函数节.idata引入函数节可能被病毒用来直接获取API函数地址引出函数节是本文件向其他程序提供的可调用函数列表这个节一般用在DLL中，EXE文件中也可以有这个节，但通常很少使用计算机病毒在传播过程中存在两种状态，即静态和动态内存中的动态病毒又有两种状态：可激活态和激活态。计算机病毒要完成一次完整的传播破坏过程，必须经过以下几个环节：分发拷贝阶段潜伏繁殖阶段破坏表现阶段杀毒软件可以将感染标志作为病毒的特征码之一可以利用病毒根据感染标志是否进行感染这一特性，人为地、主动在文件中添加感染标志，从而在某种程度上达到病毒免疫的目的无论是文件型病毒还是引导型病毒，其感染过程总的来说是相似的，分为三步：进驻内存、判断感染条件、实施感染病毒攻击的宿主程序是病毒的栖身地，宿主程序既是病毒传播的目的地，又是下一次感染的出发点计算机病毒感染的过程一般有三步：(1)当宿主程序运行时，截取控制权；(2)寻找感染的突破口；(3)将病毒代码放入宿主程序既感染引导扇区又感染文件是混合感染一个宿主程序上感染多种病毒，称为交叉感染。无入口点病毒并不是真正没有入口点，而是采用入口点模糊(EntryPointObscuring，EPO)技术，即病毒在不修改宿主原入口点的前提下，通过在宿主代码体内某处插入跳转指令来使病毒获得控制权滋生感染式病毒又称作伴侣病毒或伴随型病毒滋生感染式病毒病毒不改变被感染的文件，而是为被感染的文件创建一个伴随文件病毒在感染时，完全不改动宿主程序本体，而是改动或利用与宿主程序相关的信息，将病毒程序与宿主程序链成一体，这种感染方式称作链式感染(LinkInfection).COM文件结构比较简单，是一种单段执行结构内存映射文件提供了一组独立的函数，是应用程序能够通过内存指针像访问内存一样对磁盘上的文件进行访问WSH是WindowsScriptingHost(Windows脚本宿主)的缩略形式,是一个基于32位Windows平台、并独立于语言的脚本运行环境，是一种批次语言/自动执行工具宏病毒是使用宏语言编写的恶意程序，存在于字处理文档、电子数据表格、数据库、演示文档等数据文件中，可以在一些数据处理系统(主要是微软的Word、Excel、Access等Office软件系统)中运行，利用宏语言的功能将自己复制、繁殖到其他数据文档中蠕虫主要是利用计算机系统漏洞(Vulnerability)进行传染，搜索到网络中存在漏洞的计算机后主动进行攻击，在传染的过程中，与计算机操作者是否进行操作无关，从而与使用者的计算机知识水平无关根据蠕虫的传播、运作方式，可以将蠕虫分为两类主机蠕虫网络蠕虫网络蠕虫最大特点是利用各种漏洞进行自动传播蠕虫的工作方式一般是“扫描→攻击→复制”特洛伊木马(TrojanHorse)，简称木马，是一种恶意程序，是一种基于远程控制的黑客工具，一旦侵入用户的计算机，就悄悄地在宿主计算机上运行，在用户毫无察觉的情况下，让攻击者获得远程访问和控制系统的权限，进而在用户的计算机中修改文件、修改注册表、控制鼠标、监视/控制键盘，或窃取用户信息木马与合法远程控制软件(如pcAnyWhere)的主要区别在于是否具有隐蔽性、是否具有非授权性木马系统软件一般由木马配置程序、控制程序和木马程序(服务器程序)三部分组成木马获得服务端的IP地址的方法主要有两种：信息反馈和IP扫描当进程为真隐藏的时候，那么这个木马服务器运行之后，就不应该具备一般进程的表现，也不应该具备服务的表现，也就是说，完全溶进了系统的内核动态嵌入技术是指木马将自己的代码嵌入正在运行的进程中的技术。WindowsXP的Netstat工具提供了一个新的-o选项，能够显示出正在使用端口的程序或服务的进程标识符(PID)。当进程为真隐藏的时候，那么这个木马服务器运行之后，就不应该具备一般进程的表现，也不应该具备服务的表现，EPO是EntryPointObscuring技术的简写，意即入口模糊技术，该技术改变了传统的修改PE头部的入口点、使其指向病毒代码入口而使病毒代码得以执行的典型方法对付多态病毒的最好办法是某种形式的虚拟执行技术，也就是仿真出一个80x86的CPU，让解密代码自己解密完成之后，再使用通常的特征码识别法进行病毒检测计算机病毒的防治技术分成四个方面病毒预防技术病毒检测技术病毒消除技术病毒免疫技术计算机病毒的预防措施可概括为两点勤备份严防守比较法是用原始的正常备份与被检测的内容(引导扇区或被检测的文件)进行比较长度比较法内容比较法内存比较法中断比较法利用病毒的特有行为特性监测病毒的方法，称为行为监测法，也称为人工智能陷阱法软件模拟(SoftwareEmulation)法(即后文中将详细介绍的虚拟机对抗病毒技术)，是一种软件分析器，用软件方法来模拟和分析程序的运行：模拟CPU执行，在其设计的虚拟机器(VirtualMachine)下假执行病毒的变体引擎解码程序，安全并确实地将多态病毒解开，使其显露真实面目，再加以扫描设计虚拟机查毒的目的是为了对抗加密变形病毒二、选择题:

1.计算机病毒会造成计算机怎样的损坏(A

)

A.硬件,软件和数据

B.硬件和软件

C.软件和数据

D.硬件和数据

2.某片软盘上已染有病毒,为防止该病毒传染计算机系统,正确的措施是(D

)

A.删除该软盘上所有程序

B.给该软盘加上写保护

C.将该软盘放一段时间后再用

D.将软盘重新格式化

3.防止软盘感染病毒的方法用(D

)

A.不要把软盘和有毒的软盘放在一起

B.在写保护缺口贴上胶条

C.保持机房清洁

D.定期对软盘格式化

4.发现计算机病毒后,比较彻底的清除方式是(

D)

A.用查毒软件处理

B.删除磁盘文件

C.用杀毒软件处理

D.格式化磁盘

5.计算机病毒通常是(

A

)

A.一段程序

B.一个命令

C.一个文件

D.一个标记

6.文件型病毒传染的对象主要是什么类文件(

C

)

A..DBF

B..WPS

C..COM和.EXE

D..EXE和.WPS

7.关于计算机病毒的传播途径,不正确的说法是(

C

)

A.通过软盘的复制

B.通过共用软盘

C.通过共同存放软盘

D.通过借用他人的软盘

8.目前最好的防病毒软件的作用是(

D

)

A.检查计算机是否染有病毒,消除已感染的任何病毒

B.杜绝病毒对计算机的侵害

C.查出计算机已感染的任何病毒,消除其中的一部分

D.检查计算机是否染有病毒,消除已感染的部分病毒

9.公安部开发的SCAN软件是用于计算的(

A

)

A.病毒检查

B.病毒分析和统计

C.病毒防疫

D.病毒示范

10.防病毒卡能够(

A

)

A.自动发现病毒入侵的迹象并提醒操作者或及时阻止病毒的入侵

B.杜绝病毒对计算的侵害

C.自动发现并阻止任何病毒的入侵

D.自动消除已感染的所有病毒

11.计算机病毒是可以造成机器故障的(

D

)

A.一种计算机设备

B.一块计算机芯片

C.一种计算机部件

D.一种计算机程序

12.若一张软盘封住了写保护口,则(

D

)

A.既向处传染病毒又会感染病毒

B.即不会向处传染病毒,也不会感染病毒

C.不会传染病毒,但会感染病毒

D.不会感染病毒,但会传染病毒

13.防止计算机传染病毒的方法是(

A)

A.不使用有病毒的盘片

B.不让有传染病的人操作

C.提高计算机电源稳定性

D.联机操作

14.计算机病毒的危害性表现在(B

)

A.能造成计算机器件永久性失效

B.影响程序的执行破坏用户数据与程序

C.不影响计算机的运行速度

D.不影响计算机的运算结果,不必采取措施

15.下面有关计算机病毒的说法正确的是(

C

)

A.计算机病毒是一个MIS程序

B.计算机病毒是对人体有害的传染病

C.计算机病毒是一个能够通过自身传染,起破坏作用的计算机程序

D.计算机病毒是一段程序,但对计算机无害

16.计算机病毒(

D

)

A.不影响计算机的运行速度

B.能造成计算机器件的永久性失效

C.不影响计算机的运算结果

D.影响程序的执行破坏用户数据与程序

17.计算机病毒对于操作计算机的人(

C

)

A.只会感染,不会致病

B.会感染致病

C.不会感染

D.传染性,隐蔽性和危害性

18.计算机病毒是一组计算机程序,它具有(

D

_)

A.传染性

B.隐蔽性

C.危害性

D.传染性,隐蔽性和危害性

19.计算机病毒造成的损坏主要是

(

C)

A.文字处理和数据库管理软件

B.操作系统和数据库管理系统

C.程序和数据

D.系统软件和应用软件

20.以下措施不能防止计算机病毒的是(

A)

A.软盘未贴写保护

B.先用杀病毒软件将从别人机器上拷来的文件清查病毒

C.不用来历不明的磁盘

D.经常关注防病毒软件的版本升级情况,并尽量取得最高版本的防毒软件

21.计算机病毒具有(A

)

A.传播性,潜伏性,破坏性

B.传播性,破坏性,易读性

C.潜伏性,破坏性,易读性

D.传播性,潜伏性,安全性

22.计算机病毒是一种(

D)

A.机器部件

B.计算机文件

C.微生物"病原体"

D.程序

23.计算机病毒通常分为引导型,复合型和(B

)

A.外壳型

B.文件型

C.内码型

D.操作系统型

24.计算机病毒造成的损坏主要是(D

)

A.磁盘

B.磁盘驱动器

C.磁盘和其中的程序及数据

D.程序和数据

25.公安部开发的KILL软件是用于计算机的(A

)

A.病毒检查和消除

B.病毒分析和统计

C.病毒防疫

D.病毒防范

26.不易被感染上病毒的文件是(C)

A.COM

B.EXE

C.TXT

D.BOOT

27.文件被感染上病毒之后,其基本特征是(C)

A.文件不能被执行

B.文件长度变短

C.文件长度加长

D.文件照常能执行28.病毒程序按其侵害对象不同分为______C______。A、外壳型、入侵型、原码型和外壳型B、原码型、外壳型、复合型和网络病毒C、引导型、文件型、复合型和网络病毒D、良性型、恶性型、原码型和外壳型

29.计算机机房安全等级分为A,B,C三级,其中C级的要求是(C)

A.计算机实体能运行

B.计算机设备能安放

C.有计算机操作人员

D.确保系统作一般运行时要求的最低限度安全性,可靠性所应实施的内容.

30.(C)是在计算机信息处理和舆过程中唯一切实可行的安全技术.

A.无线通信技术

B.专门的网络舆技术

C.密码技术

D.校验技术

31.(A)是计算机病毒

A.一段程序

B.一批数据

C.若干条指令

D.能在计算机运行时实施传染和侵害的功能程序

32.关于计算机病毒,正确的说法是(C)

A.计算机病毒可以烧毁计算机的电子器件

B.计算机病毒是一种传染力极强的生物细菌

C.计算机病毒是一种人为特制的具有破坏性的程序

D.计算机病毒一旦产生,便无法清除

33.计算机病毒会造成(C)

A.CPU的烧毁

B.磁盘驱动器的损坏

C.程序和数据的破坏

D.磁盘的损坏

34.我国政府颁布的《计算机软件保护条例》从何时开始实施?C

A.1986年10月

B.1990年6月

C.1991年10月

D.1993年10月

35.《计算机软件保护条例》中所称的计算机软件(简称软件)是指(D)

A.计算机程序

B.源程序和目标程序

C.源程序

D.计算机程序及其有关文档

36.微机病毒系指(D)

A.生物病毒感染

B.细菌感染

C.被损坏的程序

D.特制的具有破坏性的小程序

37.在下列计算机安全防护措施中,(C)是最重要的

A.提高管理水平和技术水平

B.提高硬件设备运行的可靠性

C.预防计算机病毒的传染和传播

D.尽量防止自然因素的损害

38.计算机犯罪是一个(B)问题.

A.技术问题

B.法律范畴的问题

C.政治问题

D.经济问题

39.计算机病毒的主要特征是(D)

A.只会感染不会致病

B.造成计算机器件永久失效

C.格式化磁盘

D.传染性,隐蔽性,破坏性和潜伏性

40.防止软盘感染病毒的有效方法是(C)

A.定期用药物给机器消毒

B.加上写保护

C.定期对软盘进行格式化

D.把有毒盘销毁

41.目前使用的防杀病毒软件的作用是(C)

A.检查计算机是否感染病毒,消除已感染的任何病毒

B.杜绝病毒对计算机的侵害

C.检查计算机是否感染病毒,清除部分已感染的病毒

D.查出已感染的任何病毒,清除部分已感染的病毒

42.下面列出的计算机病毒传播途径,不正确的说法是(D)

A.使用来路不明的软件

B.通过借用他人的软盘

C.通过非法的软件拷贝

D.通过把多张软盘叠放在一起

43.计算机病毒具有隐蔽性,潜伏性,传播性,激发性和(C)

A.恶作剧性

B.入侵性

C.破坏性和危害性

D.可扩散性44.不是微机之间病毒传播的媒介的是____B________。A、硬盘B、鼠标C、软盘D、光盘45.常见计算机病毒的特点有_____D_______。A.只读性、趣味性、隐蔽性和传染性B.良性、恶性、明显性和周期性C.周期性、隐蔽性、复发性和良性D.隐蔽性、潜伏性、传染性和破坏性46.对已感染病毒的磁盘_____B_______。A.用酒精消毒后可继续使用;B.用杀毒软件杀毒后可继续使用,C.可直接使用，对系统无任何影响;D.不能使用只能丢掉47.发现计算机感染病毒后，如下操作可用来清除病毒____A________。A.使用杀毒软件;B.扫描磁盘C.整理磁盘碎片;D.重新启动计算机48.防止病毒入侵计算机系统的原则是____D________。A.对所有文件设置只读属性;B.定期对系统进行病毒检查,C.安装病毒免疫卡;D.坚持以预防为主，堵塞病毒的传播渠道49.复合型病毒是______D______。A、即感染引导扇区，又感染WORD文件B、即感染可执行文件，又感染WORD文件,C、只感染可执行文件;D、既感染引导扇区，又感染可执行文件50.计算机病毒的防治方针是______A______。A.坚持以预防为主;B.发现病毒后将其清除C.经常整理硬盘;D.经常清洗软驱51.计算机病毒的最终目标在于______A______。A.干扰和破坏系统的软、硬件资源;B.丰富原有系统的软件资源,C.传播计算机病毒;D.寄生在计算机中52.计算机病毒所没有的特点是____D________。A.隐藏性;B.潜伏性;C.传染性;D.广泛性53.计算机病毒在发作前，它_____C_______。A、很容易发现;B、没有现象;C、较难发现;D、不能发现54.若出现下列现象_____C_______时，应首先考虑计算机感染了病毒。A、不能读取光盘;B、写软盘时，报告磁盘已满C、程序运行速度明显变慢;D、开机启动Windows98时，先扫描硬盘。55.微机感染病毒后，可能造成______A______。A、引导扇区数据损坏;B、鼠标损坏;C、内存条物理损坏;D、显示器损坏56.为了预防计算机病毒，对于外来磁盘应采取_____B_______。A、禁止使用;B、先查毒，后使用;C、使用后，就杀毒;D、随便使用57.未格式化的新软盘，_____A_______计算机病毒。A、可能会有;B、与带毒软盘放在一起会有C、一定没有;D、拿过带毒盘的手,再拿该盘后会有58.文件型病毒感染的主要对象是______B__________类文件。A、.TXT和.WPS;B、.COM和.EXE;C、.WPS和.EXE;D、.DBF和.COM59.下列操作中，_____B_____不可能清除文件型计算机病毒。A、删除感染计算机病毒的文件;B、将感染计算机病毒的文件更名C、格式化感染计算机病毒的磁盘;D、用杀毒软件进行清除60.下列关于计算机病毒的说法正确的是______B______。A.计算机病毒不能发现;B.计算机病毒能自我复制,C.计算机病毒会感染计算机用户;D.计算机病毒是一种危害计算机的生物病毒61.下列设备中，能在微机之间传播病毒的是_____C_______。A.扫描仪;B.鼠标;C.光盘;D.键盘62.下列现象中的_______C_________时，不应首先考虑计算机感染了病毒。A、磁盘卷标名发生变化;B、以前能正常运行的程序突然不能运行了C、鼠标操作不灵活;D、可用的内存空间无故变小了三、判断（5,8错误其余全对）反病毒软件预防措施和技术手段往往滞后于病毒的产生速度T对计算机病毒的分类研究，目的在于更好地描述、分析、理解计算机病毒的特性、危害、原理及其防治技术T病毒处于激活态时，不一定进行传染和破坏；但进行传染和破坏时，必然处于激活态T激活态的病毒一般不会自己转变为失活态，失活态的出现必定是有外在干预T在任何一个环节(阶段)都可以抑制病毒的传播、蔓延，或者清除病毒错误F我们应当尽可能地在病毒进行破坏性攻击之前切断病毒传染源、抑制病毒的传播蔓延T有的病毒有一个感染标志，又称病毒签名，但不是所有的病毒都有感染标志T不同病毒的感染标志的位置、内容都不同错误F.COM文件结构比较简单，是一种单段执行结构T.EXE文件采用多段结构T“Melissa网络蠕虫宏病毒”(Macro.Word97.Melissa)、T“LoverLetter网络蠕虫病毒”(VBS.LoveLetter)等等，都是病毒，而不是蠕虫。T以病毒命名的“冲击波病毒”(Worm.MSBlast)，却是典型的蠕虫T四、名词解释PE文件防火墙特洛伊木马宏病毒低级格式化蠕虫脚本病毒五、简答1、病毒采用的触发条件主要有以下几种？2、病毒为什么需要重定位？3、引导型病毒的判断与清除？4、为什么要获取API函数地址5、如何获取API函数地址6、病毒感染PE文件的基本方法7、文件操作相关API函数8、VBS脚本病毒的特点9、VBS脚本病毒的弱点9、VBS脚本病毒如何防范？10、宏病毒的传播方式11、宏病毒采用哪些传播方式？12、如何防治和清除宏病毒？13、简要描述CIH病毒的触发机制、感染机制。14、如何让系统对CIH病毒具有免疫能力？15、试述蠕虫与病毒的差别和联系16、在你看来，Nimda是病毒还是蠕虫？为什么？17、蠕虫传播过程中，如何优化搜索目标主机的策略？18、蠕虫的检测与清除19、蠕虫常用的扫描策略20、木马的基本原理21、特洛伊木马的传播方式木马常用的传播方式，有几种？22、木马的危害木马能实现的功能有哪些？23、木马的启动方式有哪些？24、病毒的共同行为？25、发现病毒后，清除病毒的一般步骤？26、简述计算机病毒的定义和特点？27、简述PE病毒的感染过程是怎样的？28、说明宏病毒的传播方式（word为例）？29、说明文件型病毒的感染机理？30、请说明蠕虫的行为特征。31、请简要说明引导型病毒的启动过程（可画流程图）？32、请说明VBS脚本病毒的特点。33、计算机病毒有哪些传播途径？34、为什么同一个病毒会有多个不同的名称？35、如何理解木马与病毒的关系？36、蠕虫与病毒之间的区别及联系。37、计算机病毒一般采用哪些条件作为触发条件？……六．综合问答题1、检测计算机病毒的主要方法有哪些？并详细说明。2.写出并分析说明文件操作相关API函数。3、脚本病毒有哪些弱点？有哪些防范措施？4、说明感染PE文件的基本步骤。5、分析解释并说明木马的基本原理。6．说明启发式扫描技术的基本思想。……参考复习题,基本覆盖了教材和课件中的重要知识点，请认真复习教材和课件，也可以借助于百度等搜索工具复习。一一、填空(30分)程序性决定了计算机病毒的可防治性、可清除性，反病毒技术就是要提前取得计算机系统的控制权，识别出计算机病毒的代码和行为，阻止其取得系统控制权，并及时将其清除。特洛伊木马是指表面上是有用的软件、实际目的却是危害计算机安全并导致严重破坏的计算机程序，是一种在远程计算机之间建立连接，使远程计算机能通过网络控制本地计算机的非法程序。客户端是用于攻击者远程控制已植入木马的计算机的程序。计算机病毒英文命名规则也就是国际上对病毒命名的一般惯例为“前缀+病毒名+后缀”，即三元组命名规则在学习、研究计算机病毒的过程中，在遵守相关法律法规的前提下，应严格遵守以下“八字原则”——自尊自爱、自强自律中断向量表(InterruptVectors)是一个特殊的线性表，它保存着系统所有中断服务程序的入口地址(偏移量和段地址)引出函数节是本文件向其他程序提供的可调用函数列表这个节一般用在DLL中，EXE文件中也可以有这个节，但通常很少使用杀毒软件可以将感染标志作为病毒的特征码之一无论是文件型病毒还是引导型病毒，其感染过程总的来说是相似的，分为三步：进驻内存、判断感染条件、实施感染无入口点病毒并不是真正没有入口点，而是采用入口点模糊(EntryPointObscuring，EPO)技术，即病毒在不修改宿主原入口点的前提下，通过在宿主代码体内某处插入跳转指令来使病毒获得控制权滋生感染式病毒又称作伴侣病毒或伴随型病毒内存映射文件提供了一组独立的函数，是应用程序能够通过内存指针像访问内存一样对磁盘上的文件进行访问WSH是Windows脚本宿主的缩略形式,是一个基于32位Windows平台、并独立于语言的脚本运行环境，是一种批次语言/自动执行工具动态嵌入技术是指木马将自己的代码嵌入正在运行的进程中的技术。计算机病毒的预防措施可概括为两点勤备份严防守比较法是用原始的正常备份与被检测的内容(引导扇区或被检测的文件)进行比较长度比较法内容比较法内存比较法中断比较法利用病毒的特有行为特性监测病毒的方法，称为行为监测法，也称为人工智能陷阱法二、选择题(10)

1.计算机病毒会造成计算机怎样的损坏(

A)

A.硬件,软件和数据

B.硬件和软件

C.软件和数据

D.硬件和数据

2.某片软盘上已染有病毒,为防止该病毒传染计算机系统,正确的措施是(

D)

A.删除该软盘上所有程序

B.给该软盘加上写保护

C.将该软盘放一段时间后再用

D.将软盘重新格式化

3.防止软盘感染病毒的方法用(

B)

A.不要把软盘和有毒的软盘放在一起

B.在写保护缺口贴上胶条

C.保持机房清洁

D.定期对软盘格式化

4.发现计算机病毒后,比较彻底的清除方式是(

D)A.用查毒软件处理

B.删除磁盘文件

C.用杀毒软件处理

D.格式化磁盘

5.计算机病毒通常是(

A

)

A.一段程序

B.一个命令

C.一个文件

D.一个标记

6.文件型病毒传染的对象主要是什么类文件(C

)

A..DBF

B..WPS

C..COM和.EXE

D..EXE和.WPS

7.关于计算机病毒的传播途径,不正确的说法是(

C)

A.通过软盘的复制

B.通过共用软盘

C.通过共同存放软盘

D.通过借用他人的软盘

8.目前最好的防病毒软件的作用是(

A

)

A.检查计算机是否染有病毒,消除已感染的任何病毒

B.杜绝病毒对计算机的侵害

C.查出计算机已感染的任何病毒,消除其中的一部分

D.检查计算机是否染有病毒,消除已感染的部分病毒

9.计算机病毒是可以造成机器故障的(

D

)

A.一种计算机设备

B.一块计算机芯片

C.一种计算机部件

D.一种计算机程序

10.若一张软盘封住了写保护口,则(

D)

A.既向外传染病毒又会感染病毒 B.即不会向外传染病毒,也不会感染病毒

C.不会传染病毒,但会感染病毒

D.不会感染病毒,但会传染病毒

三、判断(10分)反病毒软件预防措施和技术手段往往滞后于病毒的产生速度T对计算机病毒的分类研究，目的在于更好地描述、分析、理解计算机病毒的特性、危害、原理及其防治技术T病毒处于激活态时，不一定进行传染和破坏；但进行传染和破坏时，必然处于激活态T激活态的病毒一般不会自己转变为失活态，失活态的出现必定是有外在干预T在任何一个环节(阶段)都可以抑制病毒的传播、蔓延，或者清除病毒T我们应当尽可能地在病毒进行破坏性攻击之前切断病毒传染源、抑制病毒的传播蔓延T在任何一个环节(阶段)都可以抑制病毒的传播、蔓延，或者清除病毒T不同病毒的感染标志的位置、内容都不同T.COM文件结构比较简单，是一种单段执行结构T.EXE文件采用多段结构T四、名词解释(15分)PE文件---PE的意思就是PortableExecutable(可移植、可执行),它是Win32可执行文件的标准格式防火墙---它是一种位于内部网络与外部网络之间的网络安全系统。一项信息安全的防护系统，依照特定的规则，允许或是限制传输的数据通过。特洛伊木马----特洛伊木马(TrojanHorse)，简称木马，是一种恶意程序，是一种基于远程控制的黑客工具，一旦侵入用户的计算机，就悄悄地在宿主计算机上运行，在用户毫无察觉的情况下，让攻击者获得远程访问和控制系统的权限，进而在用户的计算机中修改文件、修改注册表、控制鼠标、监视/控制键盘，或窃取用户信息蠕虫-----蠕虫主要是利用计算机系统漏洞(Vulnerability)进行传染，搜索到网络中存在漏洞的计算机后主动进行攻击，在传染的过程中，与计算机操作者是否进行操作无关，从而与使用者的计算机知识水平无关宏病毒---宏病毒是使用宏语言编写的恶意程序，存在于字处理文档、电子数据表格、数据库、演示文档等数据文件中，可以在一些数据处理系统(主要是微软的Word、Excel、Access等Office软件系统)中运行，利用宏语言的功能将自己复制、繁殖到其他数据文档中五、简答(25分)1、病毒采用的触发条件主要有几种？至少说出五种。2、病毒为什么需要重定位？病毒不可避免也要用到变量(常量)，当病毒感染HOST程序后，由于其依附到不同HOST程序中的位置各有不同，病毒随着HOST载入内存后，病毒中的各个变量(常量)在内存中的位置自然也会随着发生变化3、说明引导型病毒的判断与清除。（1）由于引导程序本身完成的功能比较简单，所以我们可以判断该引导程序的合法性(看JMP指令的合法性)（2）病毒驻留在内存，时刻监视系统的运行，伺机感染。缩小内存大小值，影响读写文件速度。检查引导扇区、检查内存容量可以发现病毒4、为什么要获取API函数地址？（1）Win32程序一般运行在Ring3级，处于保护模式（2）Win32下的系统功能调用，不是通过中断实现，而是通过调用动态连接库中的API函数实现（3）Win32PE病毒和普通Win32PE程序一样需要调用API函数实现某些功能，但是对于Win32PE病毒来说，它只有代码节，并不存在引入函数节病毒就无法象普通PE程序那样直接调用相关API函数，而应该先找出这些API函数在相应DLL中的地址5、说明文件操作相关API函数有哪些？六．综合题(10分)结合自己的理解说明启发式扫描技术的基本思想。启发式扫描技术，实际上就是把这种经验和知识移植到一个查病毒软件中的具体程序体现。因此，在这里，启发式指的“自我发现的能力”或“运用某种方式或方法去判定事物的知识和技能。”二一、填空是否具有传染性，是判别一个程序是否为计算机病毒的首要条件。计算机病毒因某个事件或数值的出现，诱使病毒实施感染或进行攻击的特性称为可触发性病毒程序嵌入到宿主程序中，依赖于宿主程序的执行而生存，这就是计算机病毒的寄生性。病毒的最大特点是其传染性，原因是其自身程序不断复制的结果，即程序本身复制到其他程序中或简单地在某一系统中不断地复制自己。计算机病毒按寄生对象分为引导型病毒、文件型病毒、混合型病毒。蠕虫(Worm)是一种独立的可执行程序，主要由主程序和引导程序两部分组成蠕虫程序的工作流程可以分为漏洞扫描、攻击、传染、现场处理四个阶段一般的木马都有客户端和服务器端两个程序计算机病毒的产生过程可分为：程序设计→传播→潜伏→触发、运行→实施攻击INT13H调用是BIOS提供的磁盘基本输入输出中断调用，它可以完成磁盘(包括硬盘和软盘)的复位、读写、校验、定位、诊断、格式化等功能，完全不用考虑被操作硬盘安装的是什么操作系统通过主引导记录定义的硬盘分区表，最多只能描述4个分区NTFS是一个比FAT更复杂的系统。在NTFS中，磁盘上的任何事物都为文件中断(Interrupt)，就是CPU暂停当前程序的执行，转而执行处理紧急事务的程序，并在该事务处理完成后能自动恢复执行原先程序的过程在保护模式下，所有的应用程序都具有权限级别(PrivilegeLevel，PL)。PL按优先次序分为四等，其中0级权限最高，3级最低。在Win32位平台可执行文件格式：可移植的可执行文件格式，即PE格式。引出函数节是本文件向其他程序提供的可调用函数列表这个节一般用在DLL中，EXE文件中也可以有这个节，但通常很少使用计算机病毒在传播过程中存在两种状态，即静态和动态计算机病毒要完成一次完整的传播破坏过程，必须经过以下几个环节：分发拷贝阶段、潜伏繁殖阶段、破坏表现阶段可以利用病毒根据感染标志是否进行感染这一特性，人为地、主动在文件中添加，从而在某种程度上达到病毒免疫的目的选择题:

1.计算机病毒是可以造成机器故障的(

D

)

A.一种计算机设备

B.一块计算机芯片

C一种计算机部件

D.一种计算机程序2防止计算机传染病毒的方法是(

A)A.不使用有病毒的盘片

B.不让有传染病的人操作

C.提高计算机电源稳定性

D.联机操作

3.计算机病毒的危害性表现在(B

)

A.不能造成计算机器件永久性失效

B.影响程序的执行破坏用户数据与程序C.不影响计算机的运行速度

D.不影响计算机的运算结果,不必采取措施

4.下面有关计算机病毒的说法正确的是(

C)

A.计算机病毒是一个MIS程序

B.计算机病毒是对人体有害的传染病

C.计算机病毒是能够传染,起破坏作用的计算机程序

D.计算机病毒是一段程序,但对计算机无害

5.计算机病毒(

D

)

A.不影响计算机的运行速度

B.能造成计算机器件的永久性失效

C.不影响计算机的运算结果

D.影响程序的执行破坏用户数据与程序

6.计算机病毒对于操作计算机的人(

C

)

A.只会感染,不会致病

B.会感染致病

C.不会感染

D.传染性,隐蔽性和危害性

7.计算机病毒是一组计算机程序,它具有(

D)A.传染性

B.隐蔽性

C.危害性

D.传染性,隐蔽性和危害性

8.计算机病毒造成的损坏主要是

(

C)

A.文字处理和数据库管理软件

B.操作系统和数据库管理系统C.程序和数据系统软件和应用软件

9.以下措施不能防止计算机病毒的是(A

)A.软盘未贴写保护

B.先用杀病毒软件将从别人机器上拷来的文件清查病毒

C.不用来历不明的磁盘

D.经常关注防病毒软件的版本升级情况,并尽量取得最高版本的防毒软件

10.计算机病毒具有(

A)A.传播性,潜伏性,破坏性

B.传播性,破坏性,易读性

C.潜伏性,破坏性,易读性

D.传播性,潜伏性,安全性三、判断反病毒软件预防措施和技术手段往往滞后于病毒的产生速度T对计算机病毒的分类研究，目的在于更好地描述、分析、理解计算机病毒的特性、危害、原理及其防治技术T病毒处于激活态时，不一定进行传染和破坏；但进行传染和破坏时，必然处于激活态T激活态的病毒一般不会自己转变为失活态，失活态的出现必定是有外在干预T在任何一个环节(阶段)都可以抑制病毒的传播、蔓延，或者清除病毒T我们应当尽可能地在病毒进行破坏性攻击之前切断病毒传染源、抑制病毒的传播蔓延T有的病毒有一个感染标志，又称病毒签名，但不是所有的病毒都有感染标志t不同病毒的感染标志的位置、内容都不同.COM文件结构比较简单，是一种单段执行结构T.EXE文件采用多段结构t四、名词解释PE文件PE文件被称为可移植的执行体是PortableExecute的全称，常见的EXE、DLL、OCX、SYS、COM都是PE文件，PE文件是微软Windows操作系统上的程序文件脚本病毒脚本病毒通常是JavaScript代码编写的恶意代码，一般带有广告性质，会修改您的IE首页、修改注册表等信息，造成用户使用计算机不方便特洛伊木马特洛伊木马(TrojanHorse)，简称木马，是一种恶意程序，是一种基于远程控制的黑客工具，一旦侵入用户的计算机，就悄悄地在宿主计算机上运行，在用户毫无察觉的情况下，让攻击者获得远程访问和控制系统的权限，进而在用户的计算机中修改文件、修改注册表、控制鼠标、监视/控制键盘，或窃取用户信息。蠕虫蠕虫(Worm)是一种独立的可执行程序，主要由主程序和引导程序两部分组成宏病毒宏病毒是使用宏语言编写的恶意程序，存在于字处理文档、电子数据表格、数据库、演示文档等数据文件中，可以在一些数据处理系统(主要是微软的Word、Excel、Access等Office软件系统)中运行，利用宏语言的功能将自己复制、繁殖到其他数据文档中五、简答1、文件操作相关API函数2、VBS脚本病毒具有如下几个特点：1编写简单2破坏力大3感染力强4传播范围广5病毒源码容易被获取6欺骗性强7使病毒生产机实现起来非常容易宏病毒的传播方式 ：1．软盘交流染毒文档文件；2．硬盘染毒，处理的文档文件必将染毒；3．光盘携带宏病毒；4．Internet上下载染毒文档文件；5．BBS交流染毒文档文件；6．电子邮件的附件夹带病毒。简要说明蠕虫的手工清除方法。木马的基本原理一个完整的木马系统由硬件部分，软件部分和具体连接部分组成。

(1)硬件部分：建立木马连接所必须的硬件实体。控制端：对服务端进行远程控制的一方。服务端：被控制端远程控制的一方。INTERNET：控制端对服务端进行远程控制，数据传输的网络载体。

(2)软件部分：实现远程控制所必须的软件程序。控制端程序：控制端用以远程控制服务端的程序。木马程序：潜入服务端内部，获取其操作权限的程序。木马配置程序：设置木马程序的端口号，触发条件，木马名称等，使其在服务端藏得更隐蔽的程序。

(3)具体连接部分：通过INTERNET在服务端和控制端之间建立一条木马通道所必须的元素。控制端IP，服务端IP：即控制端，服务端的网络地址，也是木马进行数据传输的目的地。控制端端口，木马端口：即控制端，服务端的数据入口，通过这个入口，数据可直达控制端程序或木马程序。

六．综合问答题说明感染PE文件的基本步骤。1判断目标文件是否是“MZ”开头2判断PE文件标记“PE”3判断是否感染标记4获得Directory的个数，每个数据目录信息占8字节5得到节表的起始位置，Directory的偏移位置+数据目录占用的字节数=节表起始位置；找到要添加的新节的文件偏移量6得到目前最后节表的末尾偏移7写入节表三一、填空计算机病毒因某个事件或数值的出现，诱使病毒实施感染或进行攻击的特性称为可触发性蠕虫(Worm)是一种独立的可执行程序，主要由主程序和引导程序两部分组成服务器端程序就是在用户计算机种的木马程序计算机病毒英文命名规则也就是国际上对病毒命名的一般惯例为“前缀+病毒名+后缀”，即三元组命名规则计算机病毒是一类特殊的程序，也有生命周期，分为开发期、传染期、潜伏期、发作期、发现期、消化期、消亡期在学习、研究计算机病毒的过程中，在遵守相关法律法规的前提下，应严格遵守以下“八字原则”——自尊自爱、自强自律现代大容量硬盘一般采用LBA线性地址来寻址，以替代CHS寻址。高级格式化的目的是在分区内建立分区引导记录DBR(DOSBootRecord)、文件分配表FAT(FileAllocationTable)、文件目录表FDT(FileDirectoryTable)和数据区DATANTFS文件系统中，小文件和文件夹(典型的如1023字节或更少)将全部存储在文件的MFT记录里操作系统核心层运行在Ring0级，而Win32子系统运行在Ring3级，为运行的应用程序提供接口DOS可执行文件，通常称之为MZ文件内存中的动态病毒又有两种状态：可激活态和激活态。杀毒软件可以将感染标志作为病毒的特征码之一既感染引导扇区又感染文件是混合感染网络蠕虫最大特点是利用各种漏洞进行自动传播木马与合法远程控制软件(如pcAnyWhere)的主要区别在于是否具有隐蔽性、是否具有非授权性EPO即入口模糊技术，该技术改变了传统的修改PE头部的入口点、使其指向病毒代码入口而使病毒代码得以执行的典型方法计算机病毒的防治技术分成四个方面病毒预防技术、病毒检测技术、病毒消除技术、病毒免疫技术计算机病毒的预防措施可概括为两点勤备份严防守利用病毒的特有行为特性监测病毒的方法，称为行为监测法，也称为人工智能陷阱法二、选择题:

1.计算机病毒通常分为引导型,复合型和(B

)

A.外壳型

B.文件型

C.内码型

D.操作系统型

2.不易被感染上病毒的文件是(C)

A.COM

B.EXE

C.TXT

D.BOOT

3.文件被感染上病毒之后,其基本特征是(C)

A.文件不能被执行

B.文件长度变短

C.文件长度加长

D.文件照常能执行4.病毒程序按其侵害对象不同分为______C______。A、外壳型、入侵型、原码型和外壳型B、原码型、外壳型、复合型和网络病毒C、引导型、文件型、复合型D、良性型、恶性型、原码型和外壳型5.(D)是计算机病毒

A.一段程序

B.一批数据

C.若干条指令

D.能在计算机运行时实施传染和侵害的功能程序

6.关于计算机病毒,正确的说法是(C)

A.计算机病毒可以烧毁计算机的电子器件

B.计算机病毒是一种传染力极强的生物细菌

C.计算机病毒是一种人为特制的具有破坏性的程序

D.计算机病毒一旦产生,便无法清除

7.计算机病毒具有隐蔽性,潜伏性,传播性,激发性和(C)

A.恶作剧性

B.入侵性

C.破坏性和危害性

D.可扩散性8.我国政府颁布的《计算机信息系统安全保护条例》从何时开始实施?B

A.1986年10月

B.1994年2月18日

C.1991年10月

D.2000年5月23日

9.《计算机病毒防治管理办法》颁布时间是()A

A.2000年5月23日

B.1994年2月18日C.

1986年10月

D.1993年10月10.文件型病毒感染的主要对象是____B____类文件。A、.TXT和.WPS;B、.COM和.EXE;C、.WPS和.EXE;D、.DBF和.COM三、判断反病毒软件预防措施和技术手段往往滞后于病毒的产生速度T对计算机病毒的分类研究，目的在于更好地描述、分析、理解计算机病毒的特性、危害、原理及其防治技术T病毒处于激活态时，不一定进行传染和破坏；但进行传染和破坏时，必然处于激活态T激活态的病毒一般不会自己转变为失活态，失活态的出现必定是有外在干预T在任何一个环节(阶段)都可以抑制病毒的传播、蔓延，或者清除病毒T我们应当尽可能地在病毒进行破坏性攻击之前切断病毒传染源、抑制病毒的传播蔓延T有的病毒有一个感染标志，又称病毒签名，但不是所有的病毒都有感染标志T不同病毒的感染标志的位置、内容都不同T.COM文件结构比较简单，是一种单段执行结构T.EXE文件采用多段结构T“Melissa网络蠕虫宏病毒”(Macro.Word97.Melissa)、“LoverLetter网络蠕虫病毒”(VBS.LoveLetter)等等，都是病毒，而不是蠕虫。T以病毒命名的“冲击波病毒”(Worm.MSBlast)，却是典型的蠕虫T四、名词解释PE文件PE的意思就是PortableExecutable(可移植、可执行)，它是Win32可执行文件的标准格式由于大量的EXE文件被执行，且传播的可能性最大，因此，Win32病毒感染文件时，基本上都会将EXE文件作为目标特洛伊木马特洛伊木马(TrojanHorse)，简称木马，是一种恶意程序，是一种基于远程控制的黑客工具，一旦侵入用户的计算机，就悄悄地在宿主计算机上运行，在用户毫无察觉的情况下，让攻击者获得远程访问和控制系统的权限，进而在用户的计算机中修改文件、修改注册表、控制鼠标、监视/控制键盘，或窃取用户信息蠕虫蠕虫病毒是一种常见的计算机病毒。它是利用网络进行复制和传播，传染途径是通过网络和电子邮件。最初的蠕虫病毒定义是因为在DOS环境下，病毒发作时会在屏幕上出现一条类似虫子的东西，胡乱吞吃屏幕上的字母并将其改形。蠕虫病毒是自包含的程序（或是一套程序），它能传播自身功能的拷贝或自身的某些部分到其他的计算机系统中（通常是经过网络连接）。宏病毒 宏病毒是使用宏语言编写的恶意程序，存在于字处理文档、电子数据表格、数据库、演示文档等数据文件中，可以在一些数据处理系统(主要是微软的Word、Excel、Access等Office软件系统)中运行，利用宏语言的功能将自己复制、繁殖到其他数据文档中脚本病毒脚本病毒通常是JavaScript代码编写的恶意代码，一般带有广告性质，会修改您的IE首页、修改注册表等信息，造成用户使用计算机不方便。五、简答1、病毒为什么要获取API函数地址（1）Win32程序一般运行在Ring3级，处于保护模式（2）Win32下的系统功能调用，不是通过中断实现，而是通过调用动态连接库中的API函数实现（3）Win32PE病毒和普通Win32PE程序一样需要调用API函数实现某些功能，但是对于Win32PE病毒来说，它只有代码节，并不存在引入函数节，病毒就无法象普通PE程序那样直接调用相关API函数，而应该先找出这些API函数在相应DLL中的地址2、文件操作相关API函数3、VBS脚本病毒具有如下弱点：1）绝大部分VBS脚本病毒运行的时候需要用到一个对象：FileSystemObject2）VBScript代码是通过WindowsScriptHost来解释执行的。3）VBS脚本病毒的运行需要其关联程序Wscript.exe的支持。4）通过网页传播的病毒需要ActiveX的支持5）通过Email传播的病毒需要OE的自动发送邮件功能支持，但是绝大部分病毒都是以Email为主要传播方式的。蠕虫常用的扫描策略 现在流行的蠕虫采用的传播技术目标，一般是尽快地传播到尽量多的计算机中扫描模块采用的扫描策略是：随机选取某一段IP地址，然后对这一地址段上的主机进行扫描没有优化的扫描程序可能会不断重复上面这一过程，大量蠕虫程序的扫描引起严重的网络拥塞木马的危害即木马能实现的功能窃取数据接受非授权操作者的指令远程管理服务端进程篡改文件和数据删除文件和数据操纵注册表监视服务器的一切动作释放病毒使系统自毁六．综合问答题说明感染PE文件的基本步骤。(1)判断目标文件开始的两个字节是否为“MZ”；(2)判断PE文件标记“PE”；(3)判断感染标记，如果已被感染过则跳出继续执行HOST程序，否则继续；(4)获得Directory(数据目录)的个数，每个数据目录信息占8个字节；(5)得到节表起始位置：Directory的偏移地址+数据目录占用的字节数=节表起始位置；(6)得到目前最后节表的末尾偏移(紧接其后用于写入一个新的病毒节)：(7)开始写入节表四一、填空是否具有传染性，是判别一个程序是否为计算机病毒的首要条件。计算机病毒因某个事件或数值的出现，诱使病毒实施感染或进行攻击的特性称为可触发性蠕虫(Worm)是一种独立的可执行程序，主要由主程序和引导程序两部分组成一般的木马都有客户端和服务器端两个程序计算机病毒英文命名规则也就是国际上对病毒命名的一般惯例为“前缀+病毒名+后缀”，即三元组命名规则计算机病毒总是想方设法窃取Ring0级的权限(如CIH病毒)，以实施更大范围的破坏在Windows3.0/3.1的可执行文件，在MZ文件头之后又有一个以“NE”开始的文件头，称之为NE文件PE文件的真正内容划分成块，称之为Section(节)，紧跟在节表之后无论是文件型病毒还是引导型病毒，其感染过程总的来说是相似的，分为三步：进驻内存、判断感染条件、实施感染宿主程序是病毒的栖身地，既是病毒传播的目的地，又是下一次感染的出发点一个宿主程序上感染多种病毒，称为交叉感染。滋生感染式病毒不改变被感染的文件，而是为被感染的文件创建一个伴随文件.COM文件结构比较简单，是一种单段执行结构宏病毒存在于字处理文档、电子数据表格、数据库、演示文档等数据文件中，可以在一些数据处理系统(主要是微软的Word、Excel、Access等Office软件系统)中运行，利用宏语言的功能将自己复制、繁殖到其他数据文档中蠕虫的工作方式一般是“扫描→攻击→复制”木马获得服务端的IP地址的方法主要有两种：信息反馈和IP扫描当进程为真隐藏的时候，那么这个木马服务器运行之后，就不应该具备一般进程的表现，也不应该具备服务的表现，也就是说，完全溶进了系统的内核。动态嵌入技术是指木马将自己的代码嵌入正在运行的进程中的技术。WindowsXP的Netstat工具提供了一个新的-o选项，能够显示出正在使用端口的程序或服务的进程标识符(PID)。对付多态病毒的最好办法是某种形式的虚拟执行技术，也就是仿真出一个80x86的CPU，让解密代码自己解密完成之后，再使用通常的特征码识别法进行病毒检测计算机病毒的防治技术分成四个方面病毒预防技术病毒检测技术病毒消除技术病毒免疫技术利用病毒的特有行为特性监测病毒的方法，称为行为监测法，也称为人工智能陷阱法二、选择题:

1.计算机病毒会造成计算机怎样的损坏(A

)

A.硬件,软件和数据

B.硬件和软件

C.软件和数据

D.硬件和数据

2.文件型病毒传染的对象主要是什么类文件(

C

)

A..DBF

B..WPS

C..COM和.EXE

D..EXE和.WPS

3.关于计算机病毒的传播途径,不正确的说法是(

C

)

A.通过软盘的复制

B.通过共用软盘

C.通过共同存放软盘

D.通过借用他人的软盘

4.目前最好的防病毒软件的作用是(

B

)

A.检查计算机是否染有病毒,消除已感染的任何病毒

B.杜绝病毒对计算机的侵害

C.查出计算机已感染的任何病毒,消除其中的一部分

D.检查计算机是否染有病毒,消除已感染的部分病毒

5.下面有关计算机病毒的说法正确的是(

A

)

A.计算机病毒是一个MIS程序

B.计算机病毒是对人体有害的传染病

C.计算机病毒是通过自身传染,起破坏作用的计算机程序

D.计算机病毒是一段程序,但对计算机无害

6.不易被感染上病毒的文件是(C)

A.COM

B.EXE

C.TXT

D.BOOT

7.文件被感染上病毒之后,其基本特征是(A)

A.文件不能被执行

B.文件长度变短

C.文件长度加长

D.文件照常能执行8.发现计算机感染病毒后，如下操作可用来清除病毒______A______。A.使用杀毒软件;B.扫描磁盘C.整理磁盘碎片;D.重新启动计算机9.复合型病毒是_______D_____。A、即感染引导扇区，又感染WORD文件B、即感染可执行文件，又感染WORD文件,C、只感染可执行文件;D、既感染引导扇区，又感染可执行文件10.计算机病毒所没有的特点是______D______。A.隐藏性;B.潜伏性;C.传染性;D.广泛性三、判断“LoverLetter网络蠕虫病毒”(VBS.LoveLetter)等等，都是病毒，而不是蠕虫。T反病毒软件预防措施和技术手段往往滞后于病毒的产生速度T以病毒命名的“冲击波病毒”(Worm.MSBlast)，却是典型的蠕虫T病毒处于激活态时，不一定进行传染和破坏；但进行传染和破坏时，必然处于激活态T在任何一个环节(阶段)都可以抑制病毒的传播、蔓延，或者清除病毒T我们应当尽可能地在病毒进行破坏性攻击之前切断病毒传染源、抑制病毒的传播蔓延T有的病毒有一个感染标志，又称病毒签名，但不是所有的病毒都有感染标志T不同病毒的感染标志的位置、内容都不同T.COM文件结构比较简单，是一种单段执行结构T.EXE文件采用多段结构T四、名词解释低级格式化低级格式化就是将空白的磁盘划分出柱面和磁道，再将磁道划分为若干个扇区，每个扇区又划分出标识部分id、间隔区gap和数据区data等。可见，低级格式化是高级格式化之前的一件工作，而且低级格式化只能针对一块硬盘而不能支持单独的某一个分区。每块硬盘在出厂时，已由硬盘生产商进行低级格式化，因此通常使用者无需再进行低级格式化操作。低级格式化是一种损耗性操作，其对硬盘寿命有一定的负面影响。PE文件特洛伊木马特洛伊木马在计算机领域中指的是一种后门程序是黑客用来盗取其他用户的个人信息甚至是远程控制对方的计算机而加壳制作然后通过各种手段传播或者骗取目标用户执行该程序以达到盗取密码等各种数据资料等目的与病毒相似木马程序有很强的隐秘性随操作系统启动而启动26.蠕虫:蠕虫病毒是一种常见的计算机病毒。它是利用网络进行复制和传播，传染途径是通过网络和电子邮件.最初的蠕虫病毒定义是因为在DOS环境下，病毒发作时会在屏幕上出现一条类似虫子的东西，胡乱吞吃屏幕上的字母并将其改形。蠕虫病毒是自包含的程序（或是一套程序），它能传播自身功能的拷贝或自身的某些部分到其他的计算机系统中（通常是经过网络连接）。宏病毒简答1、简要说明VBS脚本病毒的防范措施。1）禁用文件系统对象FileSystemObject方法：用regsvr32scrrun.dll/u这条命令就可以禁止文件系统对象。其中regsvr32是Windows\System下的可执行文件。或者直接查找scrrun.dll文件删除或者改名。还有一种方法就是在注册表中HKEY_CLASSES_ROOT\CLSID\下找到一个主键{0D43FE01-F093-11CF-8940-00A0C9054228}的项，咔嚓即可。2）卸载WindowsScriptingHost在Windows98中（NT4.0以上同理），打开［控制面板］→［添加/删除程序］→［Windows安装程序］→［附件］，取消“WindowsScriptingHost”一项。和上面的方法一样，在注册表中HKEY_CLASSES_ROOT\CLSID\下找到一个主键{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}的项，咔嚓。3）删除VBS、VBE、JS、JSE文件后缀名与应用程序的映射点击［我的电脑］→［查看］→［文件夹选项］→［文件类型］，然后删除VBS、VBE、JS、JSE文件后缀名与应用程序的映射。4）在Windows目录中，找到WScript.exe，更改名称或者删除，如果你觉得以后有机会用到的话，最好更改名称好了，当然以后也可以重新装上。5）要彻底防治VBS网络蠕虫病毒，还需设置一下你的浏览器。我们首先打开浏览器，单击菜单栏里“Intern