病毒检测技术复习题含答案

一、填空

1. 程序性决定了计算机病毒的可防治性、可清除性，反病毒技术就是要提前取得计算机系统的控制权，识别出计算机病毒的代码和行为，阻止其取得系统控制权，并及时将其清除。 2. 是否具有传染性，是判别一个程序是否为计算机病毒的首要条件。

3. 计算机病毒因某个事件或数值的出现，诱使病毒实施感染或进行攻击的特性称为可触发性 4. 病毒程序嵌入到宿主程序中，依赖于宿主程序的执行而生存，这就是计算机病毒的寄生性、病毒的最大特点是其传染性，而传染性的原因是其自身程序不断复制的结果，即程序本身复制到其他程序中或简单地在某一系统中不断地复制自己

5. 计算机病毒按寄生对象分为引导型病毒文件型病毒混合型病毒

6. 蠕虫(Worm)是一种独立的可执行程序，主要由主程序和引导程序两部分组成 7. 蠕虫程序的工作流程可以分为漏洞扫描、攻击、传染、现场处理四个阶段

8. 特洛伊木马(Trojan house，简称木马)是指表面上是有用的软件、实际目的却是危害计算机安全并导致严重破坏的计算机程序，是一种在远程计算机之间建立连接，使远程计算机能通过网络控制本地计算机的非法程序

9. 一般的木马都有客户端和服务器端两个程序

10. 客户端是用于攻击者远程控制已植入木马的计算机的程序 11. 服务器端程序就是在用户计算机中的木马程序

12. 计算机病毒英文命名规则也就是国际上对病毒命名的一般惯例为“前缀+病毒名+后缀”，即三元组命名规则

13. 计算机病毒的产生过程可分为：程序设计→传播→潜伏→触发、运行→实施攻击

14. 计算机病毒是一类特殊的程序，也有生命周期 开发期 传染期 潜伏期 发作期 发现期 消化期 消亡期

15. 在学习、研究计算机病毒的过程中，在遵守相关法律法规的前提下，应严格遵守以下“八字原则”——自尊自爱、自强自律

16. BIOS INT 13H 调用是BIOS 提供的磁盘基本输入输出中断调用，它可以完成磁盘( 包括硬盘和软盘) 的复位、读写、校验、定位、诊断、格式化等功能，完全不用考虑被操作硬盘安装的是什么操作系统

17. 现代大容量硬盘一般采用LBA(Logic Block Address) 线性地址来寻址，以替代CHS 寻址。 18. 高级格式化的目的是在分区内建立分区引导记录DBR(DOS Boot Record)、文件分配表FAT(File Allocation Table)、文件目录表FDT(File Directory Table)和数据区DATA 19. 主引导记录(Master Boot Record，MBR)

20. 主分区表即磁盘分区表(Disk Partition Table，DPT) 21. 引导扇区标记(Boot Record ID/Signature)

22. 通过主引导记录定义的硬盘分区表，最多只能描述4个分区

23. FAT32最早是出于FAT16不支持大分区、单位簇容量大以至于空间急剧浪费等缺点设计的 24. NTFS是一个比FAT更复杂的系统。在NTFS中，磁盘上的任何事物都为文件 25. NTFS文件系统中，小文件和文件夹( 典型的如1023 字节或更少) 将全部存储在文件的MFT 记录里

26. 中断(Interrupt)，就是CPU暂停当前程序的执行，转而执行处理紧急事务的程序，并在该事务处理完成后能自动恢复执行原先程序的过程

27. 中断向量表(Interrupt Vectors)是一个特殊的线性表，它保存着系统所有中断服务程序的入口地址(偏移量和段地址)

28. 设计扩展INT 13H接口的目的是为了扩展BIOS的功能，使其支持多于1024柱面的硬盘， 以及可移动介质的锁定、解锁及弹出等功能

29. INT 13H磁盘输入输出中断，引导型病毒用于传染病毒和格式化磁盘

30. 在保护模式下，所有的应用程序都具有权限级别(Privilege Level ，PL) 。PL 按优先次序分为

四等：0 级、1 级、2 级、3 级，其中0 级权限最高，3 级最低 ， 目前只用到Ring 0 和Ring 3 两个级别

31. 操作系统核心层运行在Ring 0级，而Win32子系统运行在Ring 3级，为运行在Ring 3级的应用程序提供接口

32. 计算机病毒总是想方设法窃取Ring 0的权限(如CIH病毒)，以实施更大范围的破坏 33. DOS可执行文件以英文字母“MZ”开头，通常称之为MZ文件 34. 在Windows 3.0/3.1的可执行文件，在MZ文件头之后又有一个以“NE”开始的文件头，称之为NE文件

35. 在Win32位平台可执行文件格式：可移植的可执行文件(Portable Executable File)格式，即PE格式。MZ文件头之后是一个以“PE”开始的文件头

36. PE的意思就是Portable Executable(可移植、可执行)，它是Win32可执行文件的标准格式 37. PE文件的真正内容划分成块，称之为Section(节)，紧跟在节表之后 38. 引入函数节.idata引入函数节可能被病毒用来直接获取API函数地址

39. 引出函数节是本文件向其他程序提供的可调用函数列表这个节一般用在DLL中，EXE文件中也可以有这个节，但通常很少使用

40. 计算机病毒在传播过程中存在两种状态，即静态和动态 41. 内存中的动态病毒又有两种状态：可激活态和激活态。

42. 计算机病毒要完成一次完整的传播破坏过程，必须经过以下几个环节：分发拷贝阶段潜伏繁殖阶段破坏表现阶段

43. 杀毒软件可以将感染标志作为病毒的特征码之一

44. 可以利用病毒根据感染标志是否进行感染这一特性，人为地、主动在文件中添加感染标志，从而在某种程度上达到病毒免疫的目的

45. 无论是文件型病毒还是引导型病毒，其感染过程总的来说是相似的，分为三步：进驻内存、判断感染条件、实施感染

46. 病毒攻击的宿主程序是病毒的栖身地，宿主程序既是病毒传播的目的地，又是下一次感染的出发点

47. 计算机病毒感染的过程一般有三步：(1)当宿主程序运行时，截取控制权；(2)寻找感染的突破口；(3)将病毒代码放入宿主程序

48. 既感染引导扇区又感染文件是混合感染

49. 一个宿主程序上感染多种病毒，称为交叉感染。 50. 无入口点病毒并不是真正没有入口点，而是采用入口点模糊(Entry Point Obscuring，EPO)技术，即病毒在不修改宿主原入口点的前提下，通过在宿主代码体内某处插入跳转指令来使病毒获得控制权

51. 滋生感染式病毒又称作伴侣病毒或伴随型病毒

52. 滋生感染式病毒病毒不改变被感染的文件，而是为被感染的文件创建一个伴随文件

53. 病毒在感染时，完全不改动宿主程序本体，而是改动或利用与宿主程序相关的信息，将病毒程序与宿主程序链成一体，这种感染方式称作链式感染(Link Infection) 54. .COM 文件结构比较简单，是一种单段执行结构

55. 内存映射文件提供了一组独立的函数，是应用程序能够通过内存指针像访问内存一样对磁盘上的文件进行访问

56. WSH是Windows Scripting Host(Windows脚本宿主)的缩略形式,是一个基于32位Windows平台、并独立于语言的脚本运行环境，是一种批次语言/自动执行工具

57. 宏病毒是使用宏语言编写的恶意程序，存在于字处理文档、电子数据表格、数据库、演示文档等数据文件中，可以在一些数据处理系统(主要是微软的Word、Excel、Access等Office软件系统)中运行，利用宏语言的功能将自己复制、繁殖到其他数据文档中

58. 蠕虫主要是利用计算机系统漏洞(Vulnerability)进行传染，搜索到网络中存在漏洞的计算机后

主动进行攻击，在传染的过程中，与计算机操作者是否进行操作无关，从而与使用者的计算机知识水平无关

59. 根据蠕虫的传播、运作方式，可以将蠕虫分为两类主机蠕虫网络蠕虫 60. 网络蠕虫最大特点是利用各种漏洞进行自动传播 61. 蠕虫的工作方式一般是“扫描→攻击→复制”

62. 特洛伊木马(Trojan Horse)，简称木马，是一种恶意程序，是一种基于远程控制的黑客工具，一旦侵入用户的计算机，就悄悄地在宿主计算机上运行，在用户毫无察觉的情况下，让攻击者获得远程访问和控制系统的权限，进而在用户的计算机中修改文件、修改注册表、控制鼠标、监视/控制键盘，或窃取用户信息

63. 木马与合法远程控制软件(如pcAnyWhere)的主要区别在于是否具有隐蔽性、是否具有非授权性

64. 木马系统软件一般由木马配置程序、控制程序和木马程序(服务器程序)三部分组成 65. 木马获得服务端的IP 地址的方法主要有两种：信息反馈和IP 扫描

66. 当进程为真隐藏的时候，那么这个木马服务器运行之后，就不应该具备一般进程的表现，也不应该具备服务的表现，也就是说，完全溶进了系统的内核

67. 动态嵌入技术是指木马将自己的代码嵌入正在运行的进程中的技术。

68. Windows XP的Netstat工具提供了一个新的-o选项，能够显示出正在使用端口的程序或服务的进程标识符(PID)。

69. 当进程为真隐藏的时候，那么这个木马服务器运行之后，就不应该具备一般进程的表现，也不应该具备服务的表现，

70. EPO是Entry Point Obscuring技术的简写，意即入口模糊技术，该技术改变了传统的修改PE头部的入口点、使其指向病毒代码入口而使病毒代码得以执行的典型方法

71. 对付多态病毒的最好办法是某种形式的虚拟执行技术，也就是仿真出一个80x86的CPU，让解密代码自己解密完成之后，再使用通常的特征码识别法进行病毒检测

72. 计算机病毒的防治技术分成四个方面病毒预防技术病毒检测技术病毒消除技术病毒免疫技术 73. 计算机病毒的预防措施可概括为两点 勤备份 严防守

74. 比较法是用原始的正常备份与被检测的内容(引导扇区或被检测的文件)进行比较 长度比较法 内容比较法 内存比较法 中断比较法

75. 利用病毒的特有行为特性监测病毒的方法，称为行为监测法，也称为人工智能陷阱法 76. 软件模拟(Software Emulation)法(即后文中将详细介绍的虚拟机对抗病毒技术)，是一种软件分析器，用软件方法来模拟和分析程序的运行：模拟CPU执行，在其设计的虚拟机器(Virtual Machine)下假执行病毒的变体引擎解码程序，安全并确实地将多态病毒解开，使其显露真实面目，再加以扫描

77. 设计虚拟机查毒的目的是为了对抗加密变形病毒 二、选择题:

1.计算机病毒会造成计算机怎样的损坏(A )

A.硬件,软件和数据 B.硬件和软件 C.软件和数据 D.硬件和数据

2.某片软盘上已染有病毒,为防止该病毒传染计算机系统,正确的措施是(D ) A.删除该软盘上所有程序 B.给该软盘加上写保护 C.将该软盘放一段时间后再用 D.将软盘重新格式化 3.防止软盘感染病毒的方法用(D )

A.不要把软盘和有毒的软盘放在一起 B.在写保护缺口贴上胶条 C.保持机房清洁 D.定期对软盘格式化 4.发现计算机病毒后,比较彻底的清除方式是( D) A.用查毒软件处理 B.删除磁盘文件

C.用杀毒软件处理 D.格式化磁盘 5.计算机病毒通常是( A )

A.一段程序 B.一个命令 C.一个文件 D.一个标记 6.文件型病毒传染的对象主要是什么类文件( C )

A..DBF B..WPS C..COM和.EXE D..EXE和.WPS 7.关于计算机病毒的传播途径,不正确的说法是( C ) A.通过软盘的复制 B.通过共用软盘

C.通过共同存放软盘 D.通过借用他人的软盘 8.目前最好的防病毒软件的作用是( D )

A.检查计算机是否染有病毒,消除已感染的任何病毒 B.杜绝病毒对计算机的侵害

C.查出计算机已感染的任何病毒,消除其中的一部分 D.检查计算机是否染有病毒,消除已感染的部分病毒 9.公安部开发的SCAN软件是用于计算的( A ) A.病毒检查 B.病毒分析和统计 C.病毒防疫 D.病毒示范 10.防病毒卡能够( A )

A.自动发现病毒入侵的迹象并提醒操作者或及时阻止病毒的入侵 B.杜绝病毒对计算的侵害

C.自动发现并阻止任何病毒的入侵 D.自动消除已感染的所有病毒

11.计算机病毒是可以造成机器故障的( D ) A.一种计算机设备 B.一块计算机芯片 C.一种计算机部件 D.一种计算机程序 12.若一张软盘封住了写保护口,则( D ) A.既向处传染病毒又会感染病毒

B.即不会向处传染病毒,也不会感染病毒 C.不会传染病毒,但会感染病毒 D.不会感染病毒,但会传染病毒

13.防止计算机传染病毒的方法是( A)

A.不使用有病毒的盘片 B.不让有传染病的人操作 C.提高计算机电源稳定性 D.联机操作 14.计算机病毒的危害性表现在(B ) A.能造成计算机器件永久性失效

B.影响程序的执行破坏用户数据与程序 C.不影响计算机的运行速度

D.不影响计算机的运算结果,不必采取措施 15.下面有关计算机病毒的说法正确的是( C ) A.计算机病毒是一个MIS程序

B.计算机病毒是对人体有害的传染病

C.计算机病毒是一个能够通过自身传染,起破坏作用的计算机程序 D.计算机病毒是一段程序,但对计算机无害 16.计算机病毒( D )

A.不影响计算机的运行速度 B.能造成计算机器件的永久性失效

C.不影响计算机的运算结果 D.影响程序的执行破坏用户数据与程序 17.计算机病毒对于操作计算机的人( C )