病毒检测技术复习题含答案

监视服务器的一切动作 释放病毒 使系统自毁

六．综合问答题

说明感染PE文件的基本步骤。

(1)判断目标文件开始的两个字节是否为“MZ”； (2)判断PE文件标记“PE”；

(3)判断感染标记，如果已被感染过则跳出继续执行HOST程序，否则继续； (4)获得Directory(数据目录)的个数，每个数据目录信息占8个字节；

(5)得到节表起始位置：Directory的偏移地址+数据目录占用的字节数=节表起始位置； (6)得到目前最后节表的末尾偏移(紧接其后用于写入一个新的病毒节)： (7)开始写入节表

四 一、填空

136. 是否具有传染性，是判别一个程序是否为计算机病毒的首要条件。 137. 计算机病毒因某个事件或数值的出现，诱使病毒实施感染或进行攻击的特性称为可触发性 138. 蠕虫(Worm)是一种独立的可执行程序，主要由主程序和引导程序两部分组成 139. 一般的木马都有客户端和服务器端两个程序 140. 计算机病毒英文命名规则也就是国际上对病毒命名的一般惯例为“前缀+病毒名+后缀”，即三元组命名规则 141. 计算机病毒总是想方设法窃取Ring 0级的权限(如CIH病毒)，以实施更大范围的破坏 142. 在Windows 3.0/3.1的可执行文件，在MZ文件头之后又有一个以“NE”开始的文件头，称之为NE文件 143. PE文件的真正内容划分成块，称之为Section(节)，紧跟在节表之后 144. 无论是文件型病毒还是引导型病毒，其感染过程总的来说是相似的，分为三步：进驻内存、判断感染条件、实施感染 145. 宿主程序是病毒的栖身地，既是病毒传播的目的地，又是下一次感染的出发点 146. 一个宿主程序上感染多种病毒，称为交叉感染。 147. 滋生感染式病毒不改变被感染的文件，而是为被感染的文件创建一个伴随文件 148. .COM 文件结构比较简单，是一种单段执行结构 149. 宏病毒存在于字处理文档、电子数据表格、数据库、演示文档等数据文件中，可以在一些数据处理系统(主要是微软的Word、Excel、Access等Office软件系统)中运行，利用宏语言的功能将自己复制、繁殖到其他数据文档中 150. 蠕虫的工作方式一般是“扫描→攻击→复制” 151. 木马获得服务端的IP 地址的方法主要有两种：信息反馈和IP 扫描 152. 当进程为真隐藏的时候，那么这个木马服务器运行之后，就不应该具备一般进程的表现，也不应该具备服务的表现，也就是说，完全溶进了系统的内核。 153. 动态嵌入技术是指木马将自己的代码嵌入正在运行的进程中的技术。 154. Windows XP的Netstat工具提供了一个新的-o选项，能够显示出正在使用端口的程序或服务的进程标识符(PID)。 155. 对付多态病毒的最好办法是某种形式的虚拟执行技术，也就是仿真出一个80x86的CPU，让解密代码自己解密完成之后，再使用通常的特征码识别法进行病毒检测 156. 计算机病毒的防治技术分成四个方面病毒预防技术病毒检测技术病毒消除技术病毒免疫技术 157. 利用病毒的特有行为特性监测病毒的方法，称为行为监测法，也称为人工智能陷阱法

二、选择题:

1.计算机病毒会造成计算机怎样的损坏(A )

A.硬件,软件和数据 B.硬件和软件 C.软件和数据 D.硬件和数据 2.文件型病毒传染的对象主要是什么类文件( C )

A..DBF B..WPS C..COM和.EXE D..EXE和.WPS 3.关于计算机病毒的传播途径,不正确的说法是( C )

A.通过软盘的复制 B.通过共用软盘 C.通过共同存放软盘 D.通过借用他人的软盘

4.目前最好的防病毒软件的作用是( B )

A.检查计算机是否染有病毒,消除已感染的任何病毒 B.杜绝病毒对计算机的侵害

C.查出计算机已感染的任何病毒,消除其中的一部分 D.检查计算机是否染有病毒,消除已感染的部分病毒

5.下面有关计算机病毒的说法正确的是( A )

A.计算机病毒是一个MIS程序 B.计算机病毒是对人体有害的传染病

C.计算机病毒是通过自身传染,起破坏作用的计算机程序 D.计算机病毒是一段程序,但对计算机无害

6.不易被感染上病毒的文件是(C)

A.COM B.EXE C.TXT D.BOOT 7.文件被感染上病毒之后,其基本特征是(A) A.文件不能被执行 B.文件长度变短 C.文件长度加长 D.文件照常能执行

8.发现计算机感染病毒后，如下操作可用来清除病毒______A______。 A.使用杀毒软件; B.扫描磁盘 C.整理磁盘碎片; D.重新启动计算机 9.复合型病毒是_______D_____。

A、即感染引导扇区，又感染WORD文件 B、即感染可执行文件，又感染WORD文件, C、只感染可执行文件; D、既感染引导扇区，又感染可执行文件 10.计算机病毒所没有的特点是______D______。 A.隐藏性; B.潜伏性; C.传染性; D.广泛性 三、判断

48. “Lover Letter网络蠕虫病毒”(VBS.LoveLetter)等等，都是病毒，而不是蠕虫。T 49. 反病毒软件预防措施和技术手段往往滞后于病毒的产生速度T 50. 以病毒命名的“冲击波病毒”(Worm.MSBlast)，却是典型的蠕虫T

51. 病毒处于激活态时，不一定进行传染和破坏；但进行传染和破坏时，必然处于激活态 T 52. 在任何一个环节(阶段)都可以抑制病毒的传播、蔓延，或者清除病毒 T

53. 我们应当尽可能地在病毒进行破坏性攻击之前切断病毒传染源、抑制病毒的传播蔓延T 54. 有的病毒有一个感染标志，又称病毒签名，但不是所有的病毒都有感染标志T 55. 不同病毒的感染标志的位置、内容都不同T

56. .COM 文件结构比较简单，是一种单段执行结构T 57. .EXE文件采用多段结构T 四、名词解释 22. 低级格式化

低级格式化就是将空白的磁盘划分出柱面和磁道，再将磁道划分为若干个扇区，每个扇区又划分出标识部分id、间隔区gap和数据区data等。可见，低级格式化是高级格式化之前的一件工作，而且低级格式化只能针对一块硬盘而不能支持单独的某一个分区。每块硬盘在出厂时，已由硬盘生产商进行低级格式化，因此通常使用者无需再进行低级格式化操作。低级格式化是一种

损耗性操作，其对硬盘寿命有一定的负面影响。 23. PE文件 24. 特洛伊木马

特洛伊木马在计算机领域中指的是一种后门程序程控制对方的计算机而加壳制作

是黑客用来盗取其他用户的个人信息

甚至是远

然后通过各种手段传播或者骗取目标用户执行该程序

以达到盗取密

码等各种数据资料等目的与病毒相似木马程序有很强的隐秘性随操作系统启动而启动 26.蠕虫:蠕虫病毒是一种常见的计算机病毒。它是利用网络进行复制和传播，传染途径是通过网络和电子邮件.最初的蠕虫病毒定义是因为在DOS环境下，病毒发作时会在屏幕上出现一条类似虫子的东西，胡乱吞吃屏幕上的字母并将其改形。蠕虫病毒是自包含的程序（或是一套程序），它能传播自身功能的拷贝或自身的某些部分到其他的计算机系统中（通常是经过网络连接）。 25. 宏病毒

五、简答

1、简要说明VBS脚本病毒的防范措施。 1）禁用文件系统对象FileSystemObject 方法：用regsvr32 scrrun.dll /u这条命令就可以禁止文件系统对象。其中regsvr32是Windows\\System下的可执行文件。或者直接查找scrrun.dll文件删除或者改名。

还有一种方法就是在注册表中HKEY_CLASSES_ROOT\\CLSID\\下找到一个主键{0D43FE01-F093-11CF-8940-00A0C9054228}的项，咔嚓即可。 2）卸载Windows Scripting Host

在Windows 98中（NT 4.0以上同理），打开［控制面板］→［添加/删除程序］→［Windows安装程序］→［附件］，取消“Windows Scripting Host”一项。

和上面的方法一样，在注册表中HKEY_CLASSES_ROOT\\CLSID\\下找到一个主键{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}的项，咔嚓。

3）删除VBS、VBE、JS、JSE文件后缀名与应用程序的映射点击［我的电脑］→［查看］→［文件夹选项］→［文件类型］，然后删除VBS、VBE、JS、JSE文件后缀名与应用程序的映射。

4）在Windows目录中，找到WScript.exe，更改名称或者删除，如果你觉得以后有机会用到的话，最好更改名称好了，当然以后也可以重新装上。

5）要彻底防治VBS网络蠕虫病毒，还需设置一下你的浏览器。我们首先打开浏览器，单击菜单栏里“Internet 选项”安全选项卡里的［自定义级别］按钮。把“ActiveX控件及插件”的一切设为禁用，这样就不怕了。

6）禁止OE的自动收发邮件功能 7）由于蠕虫病毒大多利用文件扩展名作文章，所以要防范它就不要隐藏系统中已知文件类型的扩展名。Windows默认的是“隐藏已知文件类型的扩展名称”，将其修改为显示所有文件类型的扩展名称。

8）将系统的网络连接的安全级别设置至少为“中等”，它可以在一定程度上预防某些有害的Java程序或者某些ActiveX组件对计算机的侵害。 2、宏病毒的传播方式

3、在你看来，Nimda是病毒还是蠕虫？为什么？

是蠕虫。由于IE浏览器的漏洞（IFRAMEEXECCOMMAND），使得感染了“尼姆亚”病毒的邮件在不去手工打开附件的情况下病毒就能激活。而且它会搜寻以前的IIS蠕虫留下的后门，实现从客户端到WEB服务端的传播。即使清楚了它在文件系统中留下的任何痕迹，如果没有修补计算机系统漏洞，重新接入到网络的计算机还是会重新受到蠕虫攻击

4、木马的基本原理 5、木马的启动方式

① 通过修改注册表中的RUN键值来实现自启动 ② 添加系统服务的工具很多，

最典型的就是Netservice,也可以手工添加系统服务。

六．综合问答题

写出并分析说明文件操作相关API函数。

五一、填空

158. 程序性决定了计算机病毒的可防治性、可清除性，反病毒技术就是要提前取得计算机系统的控制权，识别出计算机病毒的代码和行为，阻止其取得系统控制权，并及时将其清除。 159. 是否具有传染性，是判别一个程序是否为计算机病毒的首要条件。 160. 计算机病毒因某个事件或数值的出现，诱使病毒实施感染或进行攻击的特性称为可触发性 161. 病毒程序嵌入到宿主程序中，依赖于宿主程序的执行而生存，这就是计算机病毒的寄生性 162. 病毒的最大特点是其传染性，而传染性的原因是其自身程序不断复制的结果，即程序本身复制到其他程序中或简单地在某一系统中不断地复制自己 163. 高级格式化的目的是在分区内建立分区引导记录DBR(DOS Boot Record)、文件分配表FAT(File Allocation Table)、文件目录表FDT(File Directory Table)和数据区DATA 164. 通过主引导记录定义的硬盘分区表，最多只能描述4个分区 165. NTFS文件系统中，小文件和文件夹( 典型的如1023 字节或更少) 将全部存储在文件的MFT 记录里 166. 中断向量表(Interrupt Vectors)是一个特殊的线性表，它保存着系统所有中断服务程序的入口地址(偏移量和段地址) 167. PE文件的真正内容划分成块，称之为Section(节)，紧跟在节表之后 168. 引入函数节.idata可能被病毒用来直接获取API函数地址 169. 内存中的动态病毒又有两种状态：可激活态和激活态。 170. 人为地、主动在文件中添加感染标志，从而在某种程度上达到病毒免疫的目的 171. 病毒在感染时，完全不改动宿主程序本体，而是改动或利用与宿主程序相关的信息，将病毒程序与宿主程序链成一体，这种感染方式称作链式感染(Link Infection) 172. 网络蠕虫最大特点是利用各种漏洞进行自动传播 173. 蠕虫的工作方式一般是“扫描→攻击→复制” 174. 木马系统软件一般由木马配置程序、控制程序和服务器程序三部分组成 175. 动态嵌入技术是指木马将自己的代码嵌入正在运行的进程中的技术。 176. EPO，意即入口模糊技术，该技术改变了传统的修改PE头部的入口点、使其指向病毒代码入口而使病毒代码得以执行的典型方法 177. 对付多态病毒的最好办法是某种形式的虚拟执行技术，也就是仿真出一个80x86的CPU，让解密代码自己解密完成之后，再使用通常的特征码识别法进行病毒检测 178. 比较法是用原始的正常备份与被检测的内容(引导扇区或被检测的文件)进行比较主要有长度比较法 内容比较法、内存比较法、中断比较法。 179. 设计虚拟机查毒的目的是为了对抗加密变形病毒 二、选择题:

1.不易被感染上病毒的文件是(C)

A.COM B.EXE C.TXT D.BOOT 2.关于计算机病毒,正确的说法是(C)

A.计算机病毒可以烧毁计算机的电子器件 B.计算机病毒是一种传染力极强的生物细菌 C.计算机病毒是一种人为特制的具有破坏性的程序 D.计算机病毒一旦产生,便无法清除 3.计算机病毒具有隐蔽性,潜伏性,传播性,激发性和(C)

A.恶作剧性 B.入侵性 C.破坏性和危害性 D.可扩散性 4.不是微机之间病毒传播的媒介的是________B____。 A、硬盘 B、鼠标 C、软盘 D、光盘