广技师-计算机病毒防治考试重点

1、第一章 计算机病毒概述1.计算机病毒定义计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用，并能自我复制的一组计算机指令或者程序代码。2.计算机病毒的特性破坏性传染性寄生性隐蔽性触发（潜伏）性3.计算机病毒的发展趋势是什么？哪些病毒代表了这些趋势？病毒发展趋势：网络化 专业化 简单化 多样化 自动化 犯罪化代表病毒：蠕虫、木马4. 计算机病毒的主要危害直接危害： （1） 病毒激发对计算机数据信息的直接破坏作用（2） 占用磁盘空间和对信息的破坏（3） 抢占系统资源（4） 影响计算机运行速度（5） 计算机病毒错误与不可预见的危害（6） 计算机病毒的兼容性对系统运行

2、的影响间接危害：（1） 计算机病毒给用户造成严重的心理压力（2） 造成业务上的损失（3） 法律上的问题5. 计算机病毒和医学上的病毒相似之处是什么？区别又是什么？相似之处：与生物医学上的病毒同样有寄生、传染和破坏的特性，因此这一名词是由生物医学上的“病毒”概念引申而来区别：不是天然存在，是某些人利用计算机软、硬件所固有的脆弱性，编制的具有特殊功能的程序。6（了解）木马病毒（闪盘窃密者、证券大盗、外挂陷阱、我的照片我正向外闪 ）7计算机病毒的命名规则1991年计算机反病毒组织(CARO)提出了一套命名规则，病毒的命名包括五个部分： 家族名 组名 大变种 小变种 修改者CARO规则的一些附加规则包

3、括： 不用地点命名 不用公司或商标命名 如果已经有了名字就不再另起别名 变种病毒是原病毒的子类举例说明：精灵（Cunning）是瀑布（Cascade）的变种，它在发作时能奏乐，因此被命名为Cascade.1701.A。Cascade是家族名，1701是组名。因为Cascade病毒的变种的大小不一（1701, 1704, 1621等），所以用大小来表示组名。A 表示该病毒是某个组中的第一个变种。业界补充：反病毒软件商们通常在CARO命名的前面加一个前缀来标明病毒类型。比如，WM表示MS Word宏病毒；Win32指32位Windows病毒；VBS指VB脚本病毒。如Happy 99蠕虫就被称为Wi

4、n32.Happy99.Worm。第二章 计算机病毒及其防范模型1.基于哪种模型设计的计算机是百毒不侵的？随机访问计算机模型是一种带有累加器的计算机模型，并且在该计算机中指令不能修改自身。RAM由一个只读输入带、一个只写输入带以及一个程序和一台存储器所构成。在RAM模型中，由于程序并不是存储在RAM的存储器中，因此它不能自我修改，当然，也不可能被计算机病毒感染。2.F.Cohen提出四个病毒预防理论模型：基本隔离、分隔、流、限制解释3.在没有外来侵扰时，种群数量服从微分系统分布4.讨论互联网蠕虫病毒传播的三种数学模型的特点。某种群中不存在流行病时：其种群（N ）的生长服从微分系统，SI(Sus

5、ceptible 易受感染的-Infected)模型。有疾病传播时：（1）流行病的传播服从双线形传染率的SIS(Susceptible-Infected-Susceptible)模型。（2）SIR(Susceptible-Infected-Removed)模型两个假设：· 已被病毒感染的文件（档）具有免疫力。· 病毒的潜伏期很短，近似地认为等于零。第三章 计算机病毒结构分析1. 计算机病毒的工作机制2. 病毒四大模块引导、感染、破坏、触发引导区病毒引导过程· 搬迁系统引导程序-替代为病毒引导程序· 启动时-病毒引导模块-加载传染、破坏和触发模块到内存-使

6、用常驻技术· 最后，转向系统引导程序-引导系统破坏模块的破坏对象：系统数据区、文件、内存、系统运行速度、磁盘、CMOS、主板和网络等。静态到动态引导过程 驻留内存 窃取系统控制权 恢复系统功能3常见计算机病毒的技术特征（1）驻留内存（2）病毒变种（3） EPO（Entry Point Obscuring）技术（4） 抗分析技术（加密、反跟踪）（5） 隐蔽性病毒技术（6） 多态性病毒技术（7） 插入型病毒技术（8） 超级病毒技术（9） 破坏性感染技术（10）网络病毒技术4多态病毒的级别半多态、完全多态、具有不动点、带有填充物、算法固定、算法可变5计算机病毒的攻击性和潜伏性的辩证关系？计

7、算机病毒在传染和发作之前，往往要判断某些特定条件是否满足，满足则传染或发作，否则不传染或不发作或只传染不发作，这个条件就是计算机病毒的触发条件。触发模块的目的是调节病毒的攻击性和潜伏性之间的平衡。大范围的感染行为、频繁的破坏行为可能给用户以重创，但是，它们总是使系统或多或少地出现异常，容易使病毒暴露。 而不破坏、不感染又会使病毒失去其特性。 可触发性是病毒的攻击性和潜伏性之间的调整杠杆，可以控制病毒感染和破坏的频度，兼顾杀伤力和潜伏性。6计算机病毒的抗分析技术有哪两种？自加密技术：这是一种防止静态分析的技术，使得分析者无法在不执行病毒的情况下，阅读加密过的病毒程序。包括数据加密和病毒代码加密。

8、反跟踪技术：使得分析者无法动态跟踪病毒程序的运行。 第四章 传统计算机病毒MZ格式：是DOS中具有重定位功能的可执行文件格式。MZ可执行文件内含16位代码，在这些代码之前加了一个文件头，文件头中包括各种说明数据，例如，第一句可执行代码执行指令时所需要的文件入口点、堆栈的位置、重定位表等。1. （理解）PE文件结构及其运行原理PE（可移植的执行体）是Win32环境自身所带的可执行文件格式。它的一些特性继承自Unix的Coff文件格式。可移植意味着此文件格式是跨win32平台的，即使Windows运行在非Intel的CPU上，任何win32平台的PE装载器都能识别和使用该文件格式。当然，移植到不同

9、的CPU上PE执行体必然得有一些改变。PE文件结构总体层次分布DOS MZ header MZ格式头DOS stub Dos桩程序PE header PE文件头Section table 节表Section 1 第1个节Section 2 第2个节 Section n 第n个节2. PE病毒如何感染其他文件常见方法是在文件中添加一个新节，然后，把病毒代码和病毒执行后返回宿主程序的代码写入新添加的节中，同时修改PE文件头中入口点，使其指向新添加的病毒代码入口。这样，当程序运行时，首先执行病毒代码，当病毒代码执行完成后才转向执行宿主程序。病毒感染其他文件的步骤（了解）1判断目标文件开始的两个字节是

10、否为“MZ”。2判断PE文件标记“PE”。3判断感染标记，如果已被感染过则跳出继续执行宿主程序，否则继续。4获得数据目录个数5得到节表起始位置6得到节表的末尾偏移7开始写入节表3. DOS操作系统时代，计算机病毒分为引导型病毒、可执行文件病毒两大类4. 能够感染EXE、COM文件的病毒属于可执行文件病毒5如何编译win32病毒？ 病毒的重定技术Ø 为什么需要重定位？ 正常程序的变量和函数的相对地址都是预先计算好的。 病毒是附加在宿主程序中的程序段，其问题在于：病毒变量和病毒函数的相对地址很难计算。 解决方法：动态找一个参照点，然后再根据参照点的地址确定病毒函数和病毒变量的地址。 获取

11、API函数Ø 为什么要获得API函数？ 正常程序用引入表获得 病毒只是一个依附在正常程序中的代码段，没有自己的引入表 思路：去动态链接库中寻找- 找相应链接库(kernel32, user32 等)在执行时的基地址。 第5章 特洛伊木马木马组成（了解）：硬件、软件、连接。1木马的关键技术：植入、自动加载、通信、隐藏2特洛伊木马(Trojan Horse) 是一种与远程计算机之间建立起连接，使远程计算机能够通过网络控制用户计算机系统并且可能造成用户的信息损失、系统损坏甚至瘫痪的程序。3、木马基本特征(想一下)（1）隐蔽性是其首要的特征（2）自动运行性、欺骗性、自动恢复功能(高级技术)、

12、能自动打开特别的端口、功能的特殊性、黑客组织趋于公开化4隐藏技术反弹式木马、隐藏端口、dll、用ICMP方法隐藏连接、NT进程的隐藏（1）反弹式木马的原理：利用防火墙对内部发起的连接请求无条件信任的特点，假冒是系统的合法网络请求来取得对外的端口，再通过某些方式连接到木马的客户端，从而窃取用户计算机的资料同时遥控计算机本身。（2）反弹式木马访问客户端的80端口，防火墙无法限制。例如，“网络神偷”（3）防范：使用个人防火墙，其采用独特的“内墙”方式应用程序访问网络规则永远不要执行任何来历不明的软件或程序永远不要相信你的邮箱不会收到垃圾和病毒永远不要因为对方是你的好朋友就轻易执行他发过来的软件或程序

13、。不要随便在网络上留下你的个人资料。不要轻易相信网络上认识的新朋友。不要随便在网络空间招惹是非，防止别人用木马报复你。7（了解）木马的植入技术发展趋势升级植入、网页植入、漏洞植入、U盘植入、程序绑定、QQ群发或邮件群发网页木马木马的发展趋势：跨平台性、模块化设计、更强的感染、更多的功能9隐藏技术NT进程的隐藏进程和端口联系在一起的方法很常见。因此，需要隐藏进程来达到隐藏木马的目的。实现进程隐藏有两种思路：· 第一是让系统管理员看不见（或者视而不见）你的进程， 即进程列表欺骗。· 第二是不使用进程。第一种方式：进程列表欺骗第二种方式：DLL（最流行）Ø DLL是Wi

14、ndows系统的另一种“可执行文件”。DLL文件是Windows的基础，因为所有的API函数都是在DLL中实现的。DLL文件没有程序逻辑，是由多个功能函数构成，它并不能独立运行，一般都是由进程加载并调用的。Ø 假设我们编写了一个木马DLL，并且通过别的进程来运行它，那么无论是入侵检测软件还是进程列表中，都只会出现那个进程而并不会出现木马DLL，如果那个进程是可信进程，那么我们编写的DLL作为那个进程的一部分，也将成为被信赖的一员而为所欲为。用DLL实现木马功能，然后，用其他程序启动该DLL有三种方式：· RUNDLL32· 特洛伊DLL· 线程插入技术1

15、0木马发现和杀除方法端口扫描查看连接检查注册表注册表是否被修改，是否有自启动项。查找文件杀病毒软件系统文件查看器11消除木马进程的步骤第一步：提升权限第二步：枚举进程，获得木马进程的进程号码。第三步：终止木马进程。第四步：清除木马文件。13. 从编程框架上来看，特洛伊木马是基于一种C/S模式的远程控制程序14. 用户常用的两种套接字是:TCP/UDP15. 论述木马、普通计算机病毒和远程控制程序之间的关系。木马和远程控制软件的最主要区别： 不产生图标 不出现在任务管理器中木马和控制软件： 目的不同 有些木马具有控制软件的所有功能 是否隐藏木马和普通病毒： 传播性（木马不如病毒） 两者相互融合（

16、木马程序YAI采用了病毒技术，“红色代码”病毒已经具有木马的远程控制功能）第九章 新型计算机病毒1. 僵尸网络的主要特征是什么？主要危害有哪些？特点 ：分布性、恶意传播、一对多控制：（最主要的特点）主要危害：DDOS攻击、发送垃圾邮件、窃取私人秘密、滥用资源2. Rootkit是攻击者用来做什么的工具？试探讨Rootkit的原理及其防范方法。Rootkit是攻击者用来隐藏自己的踪迹和保留root访问权限的工具。原理（了解）：Rootkit实质是一种“越权执行”的应用程序，它设法让自己达到和内核一样的运行级别，甚至进入内核空间，这样它就拥有了和内核一样的访问权限，因而可以对内核指令进行修改，最常

17、见的是修改内核枚举进程的api，让它们返回的数据始终“遗漏”Rootkit自身进程的信息，一般的进程工具自然就“看”不到Rootkit了。更高级的Rootkit还篡改更多api，这样，用户就看不到进程、文件、被打开的端口，更拦截不到相关的网络数据包。防范方法（了解）：首先，不要在网络上使用明文传输口令，或者使用一次性口令。这样，即使你的系统已经被装入了Rootkit，攻击者也无法通过网络监听来获得更多用户账号和口令，从而避免入侵的蔓延。其次，使用tripwire和aide等完整性检测工具能够及时地帮助用户发现攻击者的入侵（Linux系统）。蠕虫病毒机理：蠕虫病毒由两部分组成：主程序和引导程序。

18、主程序收集与当前机器联网的其他机器信息。利用漏洞在远程机上建立引导程序。引导程序把“蠕虫”病毒带入了感染的每一台机器中。当前流行的病毒主要采用一些已公开漏洞、脚本、电子邮件等机制进行传播3蠕虫病毒的主程序的传播模块，其入侵分为扫描（漏洞）、攻击和复制。蠕虫病毒和传统计算机病毒的区别是什么？蠕虫病毒的破坏主要体现在哪些方面？蠕虫病毒的特性有哪些？入侵三个步骤：。 蠕虫病毒和传统计算机病毒的区别：普通病毒蠕虫病毒存在形式寄存文件独立程序传染机制宿主程序运行主动攻击传染目标本地文件网络计算机蠕虫病毒的破坏主要体现方面：表现一、蠕虫大量而快速的复制使得网络上的扫描包迅速增多，造成网络拥塞，占用大量带宽

19、，从而使得网络瘫痪。使机器变慢另外，部分被感染电脑将出现反复重启的现象。表现二、可以逐渐损坏你硬盘上的文件。蠕虫病毒的特性：（需要解释）第一，利用漏洞主动进行攻击第二，病毒制作技术新第三，与黑客技术相结合，潜在的威胁和损失更大第四，传染方式多第五，传播速度快第六，清除难度大第七，破坏性强（影响网速，造成网络拒绝服务）4流氓软件的主要特征是什么？和传统计算机病毒的区别是什么？主要特征：1. 强迫性安装2. 无法卸载3. 干扰正常使用4. 具有病毒和黑客特征和传统病毒的区别：（1）目的性：利益的驱动侵扰。恶作剧、报复破坏（2）破坏程度（3）传染性（4）应用价值5.（了解）流氓软件定义流氓软件是指具有一定的实用价值但具备电脑病毒和黑客的部分行为特征的软件。它处在合法软件和电脑病毒之间的灰色地带，他会使你无法卸载、并强行弹出广告和窃取用户的私人信息等危害。6（了解）僵尸网络定义僵尸网络（Botnet）是指采用一种或