计算机病毒复习题最终修改不完整版.pdf

2.选择题 1.计算机病毒是（C ） A.被损坏的程序 B.硬件故障 C.一段特制的程序 D.芯片霉变 2.计算机病毒的危害主要造成（D） A.磁盘破坏 B.计算机用户的伤害 C.CPU的损坏 D.程序和数据的破坏 3.新买回来的未格式化的软盘（A） A.可能会有计算机病毒 B.与带病毒的软盘放在一起会有计算机病毒 C.一定没有计算机病毒 D.经拿过带病毒的软盘的手碰过后会感染计 算机病毒 4.计算机病毒一般由（ABCD）四大部分组成。 A.感染模块 B.触发模块 C.破坏模块 D.引导模块 E.执行模块 5.计算机病毒生命周期中，存在（B）和（C）两种状态。 A.静态 B.潜伏态 C.发作态 D.动态 6.在Windows 32 位操作系统中，其EXE文件中的特殊表示为（ B） A.MZ B.PE C.NE D.LE 7.能够感染EXE、COM 文件的病毒属于（C）。 A.网络型病毒 B.蠕虫型病毒 C.文件型病毒 D.系统引导型病毒 8.著名特洛伊木马“网络神偷”采用的隐藏技术是（ A ） A.反弹式木马技术 B.远程线程插入技术 C.ICMP协议技术 D. 远程代码 插入技术 9.下列（ B）不是常用程序的默认端口。 A.80 B.8080 C.23 D.21 9.第一个真正意义的宏病毒起源于（A）应用程序。 A. Word B. Lotus 1-2-3 C. Excel D. PowerPoint 10. 总结移动终端的恶意代码感染机制，其感染途径主要分为（ ABC） A.终端终端 B.终端网关终端 C.PC（计算机）终端 D .终端PC 11.移动终端的恶意代码的攻击方式分为（ABCDE） A.短信息攻击 B.直接攻击手机 C.攻击网关 D.攻击漏洞 E.木马型恶意代码 12.下列病毒中 （ C）计算机病毒不是蠕虫病毒。 A.冲击波 B.震荡波 C. CIH D.尼姆达 13.蠕虫和从传统计算机病毒的区别主要体现在（ B ）上。 A.存在形式 B.传染机制 C.传染目标 D.破坏方式 14.多数流氓软件具有的特征是（ ABCD） A.强迫安装 B.无法卸载 C.干扰使用 D.病毒和黑客特征 15.从技术角度讲，数据备份的策略主要包括（ ACD） A.完全备份 B.差别备份 C.增量备份 D.差分备份 16.下列描述不正确的是（B） A.不存在能够防治未来的所有病毒的发病毒软、硬件 B.现在的杀毒软件能够查杀未知病毒 C.病毒产生在前，反病毒手段相对滞后 D.数据备份是防治数据丢失的重要手段 1.填空题 （1）计算机病毒是编制或者在计算机程序中插入的破坏 计算机功能 或 者 破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或 者程序代码。 （2）计算机病毒的特征包括 传染性、破坏性、寄生性、隐蔽性、潜伏 性 （1）从制作结构上分析，计算机病毒一般包括 引导模块、感染模块、 破坏模块 和触发模块 四大功能模型。（顺序可变） （2）计算机病毒的引导模块可以使病毒从寄生的静态状态转换到执行 的动态状态，在这个转换过程中，引导模块主要做 驻留内存、窃取系 统控制权 和 恢复系统功能 工作。 （3）计算机病毒的抗分析技术基本上包括 自加密技术 和 反跟踪技术 两种方法。 （4）多态性是计算机病毒的关键技术之一，根据使用多态性技术的复 杂程度，多态性可以分为 半多态、具有不动点的多态、带有填充物的 多态、算法固定的多态、算法可变的多态和 完全多态。 （5）在DOS操作系统时代，计算机病毒可以分成 引导区病毒 和 可执行 文件型病毒 两大类。 (1)特洛伊木马作为一种特殊的计算机病毒，其首要特征是 没有传染性 (2)从编程框架上来看，特洛伊木马是一种基于 客户/服务器 模式的远程 控制程序，通过这个控制程序，黑客可以远程控制被控制端。 （3）反弹式木马使用的是 系统信任的 端口，系统会认为木马是普通应 用程序，而不对其连接进行检查。 （4）Socket技术是通讯领域的基石，也是特洛伊木马的核心技术之 一，用户常用的两种套接字是 流套接字 和 数据报套接字 Word宏病毒是一些制作病毒的专业人员利用Microsoft Word的开房性专 门制作的一个或多个具有病毒特点的宏的集合，这种宏病毒的集合影响 到计算机的使用，并能通过 DOC文档 及 DOT模板 进行自我复制及传 播。 （1）移动终端恶意代码以移动终端为感染对象，以 移动终端网络 和 计算机网络 为平台，通过无线或有线通讯等方式，对移动终端进行攻 击，从而造成移动终端异常的各种不良程序代码。 （2）根据功能不同，移动终端主要包括 手机 和 PDA 两大类。 （3）按照2010年市场份额的高低，三大智能手机操作系统分别为 Symbian、 Android 和 Windows Mobile (1)僵尸网络的主要特征是 分布性、 恶意传播 和一对多控制。 （2）Rootkit是攻击者用来 隐藏自己踪迹 和 保留root访问权 的工具。 （3）蠕虫病毒的主程序中含有传播模块，传播模块的入侵可以分为 扫 描 、 攻击 和 复制 三个步骤，以实现蠕虫病毒的主动入侵。 （1）比较法是计算机病毒诊断的重要方法之一，计算机犯病毒工作者 常用的比较法包括 注册表比较法、文件比较法、中断比较法 和 内存比 较法。 （2）病毒扫描软件由两部分组成：一部分是 计算机病毒特征码库 ，含 有经过特殊选定的各种计算机病毒的特征串；另一部分是 利用该特征 码库进行扫描的程序，负责在程序中查找这些特殊串。 3）从计算机病毒对抗的角度来看，病毒防治策略必须具备下列准则： 拒绝访问能力、病毒检测能力、控制病毒传播的能力、清除能力、恢 复能力 和替代操作 第一章 计算机病毒概述 2.计算机病毒与生物病毒的本质区别是什么？ 计算机病毒指：引起计算机故障，破坏计算机数据，影响计算机使用 并且能够自我复制的程序代码。 生物病毒是指能够进行独特方式繁殖，严格寄生的生物体。以物质形 态存在。 前者是在计算机的运用中一串数字程序或者编码，是实际看不见摸不 着的，是虚拟数字化的东西，非生命形式；后者是在生命意义上的生 命体，是可以观察到，有形态大小的实际存在的实物，生命形式。 3. 给出计算机病毒的特征。 程序性：计算机病毒具有正常程序的一切特性：可储存性、可执行 性。 传染性：可以通过各种渠道从已被感染的计算机扩散到未被感染的计 算机。在某些情况下造成被感染的计算机工作失常甚至瘫痪。 隐蔽性：即兼容性、程序不可见性（包括任务完成后自杀）。 潜伏性：计算机病毒具有依附于其他媒体而寄生的能力，依靠寄生能 力，病毒传染合法的程序和系统后，不立即发作，而是隐藏起来，在 用户不擦觉的情况下进行传染。 破坏性：引起计算机故障，破坏计算机数据。 可触发性：病毒可以在条件成熟时运行，这样就大大增加的病毒的隐 蔽性和破坏性。计算机病毒一般都有一个或者几个触发条件，满足其 触发条件或者激活病毒的传染机制，使之进行传染，或者激活病毒的 表现部分或者破坏部分。 不可预见性：从对病毒的检测方面看，病毒还有不可预见性。 针对性：针对特定的目标，采用特定的病毒攻击。 非授权可执行性：计算机病毒隐藏在在合法的程序或数据中，当用户 运行正常程序时，病毒伺机窃取到系统的控制权，得以抢先运行。 衍生性：小批量、多变种、自动更新。 感染速度快，扩散面广。 第二章 计算机病毒的工作机制 5.分析计算机病毒的传染方式。 计算机病毒的被动传染：用户在复制磁盘或文件时，把一个计算机病 毒由一个信息载体复制到另一个信息载体上。 计算机病毒的主动传染：计算机病毒以计算机系统的运行以及计算机 病毒程序处于激活状态为先决条件。主动传染是危害性较大的一种方 式。 10.分析计算机病毒的传播机制。 计算机病毒直接从优盘站复制到服务器中。 计算机病毒先传染工作站，在工作站内存驻留，等运行网络盘内程序 时再传染给服务器。 计算机病毒先传染工作站，在工作站内存驻留，在计算机病毒运行时 直接通过映像路径传染到服务器中。 如果远程工作站已被计算机病毒侵入，计算机病毒也可以通过通讯中 的数据交换进入网络服务器中。 第四章 新型计算机病毒的发展趋势 1. 简述新型计算机病毒的发展趋势。 网络化： 利用基于Internet的编程语言与编程技术实现，易于修改以产 生新的变种，从而逃避反计算机病毒软件的搜索。 人性化：充分利用了心理学知识，针对人类的心理制造计算机病毒。 多样化: 新计算机病毒可以是可执行文件、脚本语言和HTML网页等多 种形式。 隐蔽化: 新一代计算机病毒更善于隐蔽自己、伪装自己，其主题会在传 播中改变，或具有诱惑性的主题、附件名。 平民化: 由于脚本语言的广泛使用，专用计算机病毒生成工具的流行， 计算机病毒的制造不再是计算机专家表现自己的高超技术。 智能化：可对外设、硬件设施物理性破坏，也可对人体实施攻击。 3.分析新型计算机病毒有哪些代表性的技术。 ActiveX与Java：用来编写具有动感十足的网页。执行方式：将程序代 码写在网页上，当访问网站时，用户浏览器将这些程序代码下载，然 后用用户的系统资源去执行。 计算机病毒的驻留内存技术：引导型病毒的驻留内存技术、文件型病 毒的不驻留内存技术、文件型病毒的驻留内存技术、Windows环境下 病毒的内存驻留 修改中断向量表技术：引导型病毒和驻留内存的文件型病毒大都要修 改中断向量表，以达到将计算机病毒代码挂接入系统的目的 计算机病毒隐藏技术：主要有动态隐藏技术和静态隐藏技术。 对抗计算机病毒防范系统技术：计算机病毒在传染过程中发现磁盘上 有某些著名的计算机病毒防范软件或在文件中查找到出版这些软件的 公司时，就删除这些文件或使计算机死机。 技术的遗传与结合：计算机病毒制造者还不断吸取已经发现的计算机 病毒技术，试图将这些技术融合在一起，制造出更具破坏力的新计算 机病毒 第五章 计算机病毒检测技术 2.分析计算机病毒检测的基本方法有哪几种，各自具有什么特点，各 自适应的场合是什么。 借助简单工具检测指动态调试或者静态反编译等常规软件工具。要 求检测者必须具备多种知识和相对较高的专业素质，并不适合一般人群 的使用，而且这类工具的检测效率比较低。但是，如果能使用这种工 具，检测者可以结合专业方面的经验，检测出未知病毒的存在。 借助专用工具检测指专门的计算机病毒检测工具，如Norton等。 一 般来说，专用工具具备自动扫描磁盘的功能，可检测磁盘的染毒情况。 这类计算机病毒诊断工具本身功能很强，对专业者自身的专业素质要求 较低。 3.特征代码段的优缺点、选取方法是什么？该种方法能检测出何种计 算机病毒？ 优缺点 优点： 1.检测准确，快速 2.可识别计算机病毒的具体类型 3.误报率低 4.依据检测结果，针对病毒类型可做杀毒处理 缺点： 1.对于新计算机病毒，发现特征代码的时间滞后 2.搜集已知计算机病毒的特征代码的研发开销大 3.在网络上效率低，影响整个网络性能 计算机病毒程序通常具有明显的特征代码，将这些已知的计算机 病毒的特征代码串收集起来就构成了计算机病毒特征代码数据库，这 样，我们就可以通过搜索、比较计算机系统中是否含有与特征代码数 据库中特征代码匹配的特征代码，来确定被检计算机系统是否感染了 计算机病毒，并确定感染了何种病毒。 第六章 典型病毒的防范技术 5.分析宏病毒的表现形式，如何手工清楚宏病毒？ 表现形式： 目前发现的几种主要病毒有： wazzu , concept, 13号病毒。 13号病毒运行在中文WORD上，其发作时间为每月13号，用户打开文 件时出一道四则运算题，如果答对，则进行宏病毒的问答，如“我是宏 病毒，如何预防我”，答案是“不要看我”。如果有一个地方答错，则创 建20个文档，并不断截取硬盘和内存空间，直至系统瘫痪。如果全部 答对，系统才能进入正常。 Wazzu、Concept主要运行于西文Word中。Wazzu病毒在正常的Word文 件中加入Wazzu字符，并将格式打乱，从而损坏用户的文件。Concept 病毒也采用同样的方式，在正常文件中加入其特征字符，从而影响用 户正常工作。 II手工清除 把文件保存成RTF或者文本格式，就自动清楚了宏病毒。 针对宏病毒的特点，可以通过将常用的Word模板文件改为只读属性、 禁止自动执行宏功能等办法来预防。 6.分析木马病毒的来源和操作方式 7.简述后门计算机病毒的原理和实现 后门是程序或系统内的一种功能，它允许没有帐号的用户或普通受限用 户使用高权限甚至完全控制系统。 实现方式： 1. 通过反弹木马开放一个随机端口 2. 通过Tunnel入侵 3. 使用特殊的ICMP携带数据的后门。 第七章 3.如何对恶意代码做有效处理？ 4.你对加强系统安全有什么切身体会？ 1）不轻易运行不明真相的程序 2）屏蔽cookie信息 3）不同的地方用不同的口令 4）屏蔽ActiveX控件 5）定期清除缓存、历史记录及临时文件夹中的内容 6）不随意透露任何个人信息 7）对机密信息实施加密保护 8）安装防火墙 9）及时更新系统安全漏洞 10）及时更新防病毒系统 11）安全的系统设置和管理 12）禁止访问非法网站 13）身份识别和数字签名技术 第八章 1.即时通信病毒的基本特点是什么？ 主要以特洛伊木马和蠕虫病毒等方式存在。木马病毒可以让攻击者劫持 受害者的即时通信软件客户端，而蠕虫病毒则通过获取受害者的联系人 列表，主动向其发送包含染毒附件的文件或钓鱼网站超链接。由于这些 欺诈信息表面上看来自受害者本身，所以很容易蒙蔽消息接受者，使他 们误以为打开这些染毒文件或点击消息中的超链接是安全的。 2. 即时通信病毒的传播特性是什么？ 多数即时通信病毒会获取宿主主机的好友列表，病自动向其发送文字消 息或文件，从而造成本机系统和网络资源被大量占用，导致系统瘫痪或 性能降低。病毒会在自动发送的聊天信息中附带一个恶意链接，一旦接 受者点击该链接，就有可能受到恶意代码的攻击。病毒发送的消息附件 往往包含病毒，一旦被接受者运行，则会释放出木马或后门病毒，从而 使攻击者获得远程控制受害主机的权限。 4.简述移动通信病毒的基本原理和