简述计算机病毒的定义及主要特征是什么.docx
- 文档编号:7019449
- 上传时间:2023-01-16
- 格式:DOCX
- 页数:10
- 大小:22.19KB
简述计算机病毒的定义及主要特征是什么.docx
《简述计算机病毒的定义及主要特征是什么.docx》由会员分享,可在线阅读,更多相关《简述计算机病毒的定义及主要特征是什么.docx(10页珍藏版)》请在冰豆网上搜索。
简述计算机病毒的定义及主要特征是什么
简述计算机病毒的定义及主要特征是什么
篇一:
计算机病毒的概念及特征
篇二:
《计算机病毒》复习思考题及答案
《计算机病毒》复习思考题
第一章计算机病毒概述
1.简述计算机病毒的定义和特征。
计算机病毒(computerVirus),是一种人为制造的、能够进行自我复制的、具有对计算机资源进行破坏作用的一组程序或指令集合。
计算机病毒的可执行性(程序性)、传染性、非授权性、隐蔽性、潜伏性、可触发性、破坏性、攻击的主动性、针对性、衍生性、寄生性(依附性)、不可预见性、诱惑欺骗性、持久性。
2.计算机病毒有哪些分类方法?
根据每种分类方法,试举出一到两个病毒。
3.为什么同一个病毒会有多个不同的名称?
如何通过病毒的名称识别病毒的类型?
国际上对病毒命名的一般惯例为“前缀+病毒名+后缀”,即三元组命名规则。
1、系统病毒
系统病毒的前缀为:
win32、pe、win95、w32、w95等。
2、蠕虫病毒
蠕虫病毒的前缀是:
worm。
3、木马病毒、黑客病毒
木马病毒其前缀是:
Trojan,黑客病毒前缀名一般为hack。
4、脚本病毒
脚本病毒的前缀是:
script。
5、宏病毒
其实宏病毒是也是脚本病毒的一种,由于它的特殊性,因此在这里单独算成一类。
宏病毒的前缀是:
macro。
6、后门病毒
后门病毒的前缀是:
backdoor。
7、病毒种植程序病毒
后门病毒的前缀是:
Dropper。
这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下,由释放出来的新病毒产生破坏。
8.破坏性程序病毒
破坏性程序病毒的前缀是:
harm。
这类病毒的公有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒便会直接对用户计算机产生破坏。
9.玩笑病毒
玩笑病毒的前缀是:
Joke。
10.捆绑机病毒
捆绑机病毒的前缀是:
binder。
4.简述计算机病毒产生的背景。
5.计算机病毒有哪些传播途径?
传播途径有两种,一种是通过网络传播,一种是通过硬件设备传播(软盘、u盘、光盘、硬盘、存储卡等)。
网络传播,又分为因特网传播和局域网传播两种。
硬件设备传播:
通过不可移动的计算机硬件设备传播、通过移动存储设备传播、通过无线设备传播。
6.试比较与计算机病毒症状相似的软件故障。
7.试比较与计算机病毒症状相似的硬件故障。
8.计算机病毒为什么是可以防治、可以清除的?
9.分析“新欢乐时光”病毒的源代码及其特性,结合三元组中病毒名命名优先级,分析各杀毒软件商对该病毒存在不同命名的原因。
?
查找相关资料,试述计算机病毒发展趋势与特点。
?
基于windows的计算机病毒越来越多
?
计算机病毒向多元化发展
?
新计算机病毒种类不断涌现,数量急剧增加
?
计算机病毒传播方式多样化,传播速度更快
?
计算机病毒造成的破坏日益严重
?
病毒技术与黑客技术日益融合
?
更多依赖网络、系统漏洞传播,攻击方式多种多样
?
研究计算机病毒有哪些基本原则?
搭建病毒分析的环境有哪些方法?
回答一:
“八字原则”——自尊自爱、自强自律
自尊
尊重自己的人格,不做违法、违纪的事
自爱
爱惜自己的“知识储备”,不随便“发挥自己的聪明才智”,自己对自己负责
自强
刻苦钻研,努力提高防毒、杀毒水平
自律
严以律己、宽以待人,不以任何理由为借口而“放毒”
回答二:
可在虚拟环境下进行,比如在Virtualbox、Vmware环境下安装操作系统作为测试研究病毒的环境。
可使用影子系统,在全模式下进行试验。
可在使用硬盘保护卡的环境下进行试验。
可以使用RAmos(内存操作系统)作为测试研究病毒的环境。
第2章预备知识
1.硬盘主引导扇区由哪几部分构成?
一个硬盘最多可分几个主分区?
为什么?
Fdisk/mbr命令是否会重写整个主引导扇区?
主引导扇区(bootsector)由主引导记录(masterbootRecord,mbR)、主分区表即磁盘分区表(DiskpartitionTable,DpT)、引导扇区标记(bootRecordID/signature)三部分组成。
一个硬盘最多可分为4个主分区,因为主分区表占用64个字节,记录了磁盘的基本分区信息,其被分为4个分区选项,每项16个字节,分别记录了每个主分区的信息。
2.低级格式化、高级格式化的功能与作用是什么?
高级格式化(FoRmAT)能否清除任何计算机病毒?
为什么?
回答一:
低级格式化的主要目的是将盘面划分成磁道、扇区和柱面。
高级格式化的目的是在分区内建立分区引导记录DbR(DosbootRecord)、文件分配表FAT(FileAllocationTable)、文件目录表FDT(FileDirectoryTable)和数据区DATA。
回答二:
如果主引导区感染了病毒,用格式化程序FoRmAT不能清除该病毒(bR病毒可以用FoRmAT清除)。
3.Dos下的exe文件病毒是如何获取控制权的?
感染exe文件,需对宿主作哪些修改?
一般来说,病毒往往先于hosT程序获得控制权。
运行win32病毒的一般流程示意如下:
①用户点击或系统自动运行hosT程序;
②装载hosT程序到内存;
③通过pe文件中的Addressofentrypoint加Imagebase之和,定位第一条语句的位置(程序入口);
④从第一条语句开始执行(这时执行的其实是病毒代码);
⑤病毒主体代码执行完毕,将控制权交给hosT程序原来的入口代码;
⑥hosT程序继续执行。
4.针对pe文件格式,请思考:
win32病毒感染pe文件,须对该文件作哪些修改?
5.简介有哪些常用的磁盘编辑软件、分区软件。
FDIsK、Diskgenius、partitionmagic、AcronisDiskDirector
6.简述windowsxp的启动过程。
在基于Intel的计算机上,windows2000/xp的启动过程大致可分为8个步骤:
1.预启动
计算机加电自检,读取硬盘的mbR、执行nTLDR(操作系统加载器)文件
2.进行初始化
nTLDR将处理器从实模式转换为32位保护模式
3.读取booT.InI文件
booT.InI文件其作用是使系统在启动过程中出现选择菜单,由用户选择希望启动的操作系统,若只有一个操作系统则不显示
4.加载nTDeTecT.com文件
由nTDeTecT.com来检测计算机硬件,如并行端口、显示适配器等,并将收集到的硬件列表返回nTLDR用于以后在注册表中注册保存
5.选择硬件配置文件
如果windows2000/xp有多个硬件配置文件,此时会出现选择菜单,等待用户确定要使用的硬件配置文件,否则直接跳过此步,启用默认配置
6.装载内核
引导过程装载windows2000/xp内核ntosKrnl.exe。
随后,硬件抽象层(hAL)被引导进程加载,完成本步骤
7.初始化内核
内核完成初始化,nTLDR将控制权转交windows2000/xp内核,后者开始装载并初始化设备驱动程序,并启动win32子系统和windows2000/xp服务
8.用户登录
由win32子系统启动winLogon.exe,并由它启动LocalsecurityAuthority(LsAss.exe)显示登录对话框。
用户登录后,windows2000/xp会继续配置网络设备、用户环境,并进行个性化设置。
最后,伴随着微软之声和我们熟悉的个性化桌面,windows2000/xp启动过程完成
7、简述windows7的启动过程。
1、开启电源——
计算机系统将进行加电自检(posT)。
如果通过,之后bIos会读取主引导记录(mbR)——被标记为启动设备的硬盘的首扇区,并传送被windows7建立的控制编码给mbR。
——这时,windows接管启动过程。
接下来:
mbR读取引导扇区-活动分区的第一扇区。
此扇区包含用以启动windows启动管理器(windowsbootmanager)程序bootmgrexe的代码。
2、启动菜单生成——
windows启动管理器读取“启动配置数据存储(bootconfigurationDatastore)中的信息。
此信息包含已被安装在计算机上的所有操作系统的配置信息。
并且用以生成启动菜单。
3、当您在启动菜单中选择下列动作时:
如果您选择的是windows7(或windowsVista),windows启动管理器(windowsbootmanager)运行%systemRoot%\system32文件夹中的osloader——winload.exe。
如果您选择的是自休眠状态恢复windows7或Vista,那么启动管理器将装载wiesume.exe并恢复您先前的使用环境。
如果您在启动菜单中选择的是早期的windows版本,启动管理器将定位系统安装所在的卷,并且加载windowsnT风格的早期osloader(ntldr.exe)——生成一个由boot.ini内容决定的启动菜单。
4、核心文件加载及登录
windows7启动时,加载其核心文件ntoskrnl.exe和hal.dll——从注册表中读取设置并加载驱动程序。
接下来将运行windows会话管理器(smss.exe)并且启动windows启动程序(wininitexe),本地安全验证(Lsass.exe)与服务(services.exe)进程,完成后,您就可以登录您的系统了。
5、登陆后的开机加载项目
第3章计算机病毒的逻辑结构与基本机制
1.计算机病毒在任何情况下都具有感染力或破坏力吗?
为什么?
不是,因为计算机病毒在传播过程中存在两种状态,即静态和动态。
a.静态病毒,是指存在于辅助存储介质中的计算机病毒,一般不能执行病毒的破坏或表现功能,其传播只能通过文件下载(拷贝)实现。
b.病毒完成初始引导,进入内存后,便处于动态。
动态病毒本身处于运行状态,通过截流盗用系统中断等方式监视系统运行状态或窃取系统控制权。
病毒的主动传染和破坏作用,都是动态病毒的“杰作”
c.内存中的病毒还有一种较为特殊的状态——失活态,它的出现一般是由于用户对病毒的干预(用杀毒软件或手工方法),用户把中断向量表恢复成正确值,处于失活态的病毒不可能进行传染或破坏
综上所述,计算机病毒只有处于动态才具有感染力或破坏力。
故计算机病毒不是在任何情况下都具有感染力或破坏力
2.文件型病毒有哪些感染方式?
a寄生感染:
文件头部寄生文件尾部寄生插入感染逆插入感染利用空洞——零长度感染
b无入口点感染:
采用入口点模糊(entrypointobscuring,epo)技术采用TsR病毒技术c滋生感染
d链式感染
eobJ、LIb和源码的感染
3.计算机病毒的感染过程是什么?
计算机病毒感染的过程一般有三步:
(1)当宿主程序运行时,截取控制权;
(2)寻找感染的突破口;
(3)将病毒代码放入宿主程序
4.结合病毒的不同感染方式,思考该病毒相应的引导机制。
(老师给的)
(1)驻留内存
病毒若要发挥其破坏作用,一般要驻留内存。
为此就必须开辟所用内存空间或覆盖系统占用的部分内存空间。
有的病毒不驻留内存。
(2)窃取系统控制权
在病毒程序驻留内存后,必须使有关部分取代或扩充系统的原有功能,并窃取系统的控制权。
此后病毒程序依据其设计思想,隐蔽自己,等待时机,在条件成熟时,再进行传染和破坏。
(3)恢复系统功能
病毒为隐蔽自己,驻留内存后还要恢复系统,使系统不会死机,只有这样才能等待时机成熟后,进行感染和破坏的目的。
有的病毒在加载之前进行动态反跟踪和病毒体解密。
4.计算机病毒一般采用哪些条件作为触发条件?
病毒采用的触发条件主要有以下几种:
?
日期触发
?
时间触发
?
键盘触发
?
感染触发
?
启动触发
?
访问磁盘次数/调用中断功能触发
?
cpu型号/主板型号触发
?
打开或预览email附件触发
?
随机触发
5.一个病毒,试分析其感染机制、触发机制和破坏机制。
感染机制:
A计算机病毒实施感染的过程基本可分为两大类
a.立即传染
病毒在被执行到的瞬间,抢在宿主程序开始执行前,立即感染磁盘上的其他程序,然后再执行宿主程序
b.驻留内存并伺机传染
内存中的病毒检查当前系统环境,在执行一个程序或DIR等操作时感染磁盘上的程序,驻留在系统内存中的病毒程序在宿主程序运行结束后,仍可活动,直至关闭计算机总之,计算机病毒感染的过程一般有三步:
(1)当宿主程序运行时,截取控制权;
(2)寻找感染的突破口;
(3)将病毒代码放入宿主程序
篇三:
《计算机病毒》复习思考题20XX
20XX《计算机病毒》复习思考题
第一手资料:
教材、教学ppT
必读参考资料:
1.金山毒霸20XX-20XX中国互联网安全研究报告.doc
2.中国互联网站发展状况及其安全报告(20XX年).pdf
3.瑞星20XX年上半年中国信息安全报告.pdf
4.★★★安全防护宝典.各种病毒分析及攻击防御手册.doc
5.★★★木马防治之“葵花宝典”.doc
6.★★★深层病毒防护指南.doc
7.专题:
★★★手动杀毒综合篇.doc
8.打造安全u盘(实验).doc
9.打造安全、流畅、稳定的系统.ppt
10.hIps主机入侵防御系统.ppt
11.关于hosTs文件.doc
12.病毒触发条件.doc
第一章计算机病毒概述
1.简述计算机病毒的定义和特征。
2.如何通过病毒的名称识别病毒的类型?
3.计算机病毒有哪些传播途径?
?
查找相关资料,试述计算机病毒发展趋势与特点。
?
研究计算机病毒有哪些基本原则?
搭建病毒分析的环境有哪些方法?
第2章预备知识
1.硬盘主引导扇区由哪几部分构成?
一个硬盘最多可分几个主分区?
为什么?
Fdisk/mbr命令是否会重写整个主引导扇区?
2.低级格式化、高级格式化的功能与作用是什么?
高级格式化(FoRmAT)能否清除任何计算机病毒?
为什么?
3.Dos下的exe文件病毒是如何获取控制权的?
感染exe文件,需对宿主作哪些修改?
4.针对pe文件格式,请思考:
win32病毒感染pe文件,须对该文件作哪些修改?
第3章计算机病毒的逻辑结构与基本机制
1.文件型病毒有哪些感染方式?
2.计算机病毒的感染过程是什么?
3.计算机病毒一般采用哪些条件作为触发条件?
?
试述计算机病毒的逻辑结构。
第4章Dos病毒的基本原理与Dos病毒分析
1.试述引导型病毒的启动过程。
2.编写程序,利用InT13h实现引导区的备份与恢复。
3.试绘出感染exe文件的示例病毒exe_v的流程图。
?
如何清除引导型病毒?
?
试述文件型病毒的基本原理。
第5章windows病毒分析
1.脚本病毒有哪些弱点?
如何防治和清除脚本病毒?
2.宏病毒采用哪些传播方式?
如何防治和清除宏病毒?
?
wsh中,windows和Dos下的文件名分别是什么?
如何禁止文件系统对象。
?
用Vbscript脚本编写解除注册表和任务管理器禁用的脚本文件。
试写出其相应的Reg、
bAT、InF文件。
?
预防恶意网站可采取哪些措施?
?
如何手工修复Ie?
需要用到哪些辅助工具?
需要注意哪些问题?
?
简述pe病毒的基本原理。
?
pe病毒修改pe文件有哪几种方法,写出实现要点。
第6章网络蠕虫及防治
1.试述蠕虫与病毒的差别和联系。
2.如何预防蠕虫、检测蠕虫?
这与预防病毒有什么区别?
3.简述蠕虫的工作方式。
?
蠕虫病毒有哪些传播方式?
是如何传播的?
?
试述手动杀蠕虫的基本步骤。
第7章特洛伊木马
1.简述特洛伊木马的基本原理。
2.木马有哪些伪装方式、隐藏方式、自动启动方式?
3.如何预防木马?
结合木马的藏身之所、隐藏技术,总结清除木马的方法。
?
手动查杀木马的主要步骤及系统命令的使用。
?
简述木马传播有哪些途径。
?
查找相关资料,简述黑客攻击的步骤、应对攻击的方法。
第8章计算机病毒常用技术综述(略)
第9章计算机病毒的检测、清除与免疫
1.熟悉各种杀毒软件、病毒防火墙的安装、配置和使用。
2.本章给出了一些病毒预防措施,在单机、网络等特定环境下,如何预防病毒?
3.清除计算机病毒的一般方法和步骤是什么?
对清除计算机病毒,你有什么经验和建议?
综合内容:
1.端口、系统服务、系统进程概念。
2.根据自己的实践及查找相关资料,试述实现操作系统长期稳定、流畅运行的方法。
3.上网查阅相关资料,了解计算机主动防御系统。
什么是hIps(主机入侵防御系统),主
要功能是什么?
在预防计算机病毒中有何作用。
4.木马、蠕虫实现自启动有哪些方法?
5.常用的病毒分析、手动查杀病毒有哪些工具软件?
简述其功能。
(包括windows自带的
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 简述 计算机病毒 定义 主要特征 是什么