第一章一．简述计算机病毒的定义：编制者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。

二．简述计算机病毒的主要特征：1．程序性；2. 隐蔽性；3. 潜伏性；4. 可触发性；5. 表现性；6. 破坏性；7. 传染性；8.针对性；9.寄生性；11. 变异性；三．按寄生方式分类，计算机病毒主要分哪几类?1.覆盖型病毒（512病毒）；2.代替型病毒（打印病毒）；3.链接型病毒（黑色星期五）；4.填充型病毒（勒海病毒）；5.转储型病毒（小球病毒）；四.计算机病毒产生的主要技术原因有哪些？1.计算机的体系结构上的缺点；2.缺乏整体安全性和完整性的设计和检测；3.安全性和开放性的矛盾；五．简述计算机发展的主要阶段。

1.DOS引导阶段；2.DOS可执行阶段；3.伴随、批次型阶段；4.幽灵、多形阶段；5.生成器、变体机阶段；6.网络、蠕虫阶段；7.视窗阶段；8.宏病毒阶段；9.互联网阶段；10.Java、邮件炸弹阶段；六．计算机发展的主要技术。

1.抗分析病毒技术；2.隐蔽性病毒技术；3.多态性病毒技术；4.插入性病毒技术；5.超级病毒技术；6.病毒自动生成技术；7.跨平台病毒技术；8.Internet病毒技术；第二章一．计算机逻辑结构由哪些部分组成？（1）感染标志，（2）引导模块，（3）传染条件判断模块、实施传染模块，（4）表现或破坏条件判断模块、实施表现后破坏模块。

二．系统型病毒和文件型病毒在存储结构上有哪些不同？系统型病毒是专门感染操作系统的启动扇区，主要指感染主引导扇区和DOS引导扇区的病毒。

分两部分，第一部分存放在磁盘引导扇区中，第二部分存放在磁盘的其他扇区中。

文件型病毒是指专门感染系统中的可执行文件，即扩展名为COM、EXE的文件或依赖于文件而发作的病毒。

绝大多数文件型病毒属于所谓的外壳病毒。

计算机病毒一般不存在与数据文件中。

三．计算机病毒的生命周期分为那几个阶段？—开发期—传染期—潜伏期—发作期—发现期—消化期—消亡期—四．计算机病毒是如何传播的?1 被动传播：用户在复制磁盘文件时，把一个病毒由一个载体复制到另一个载体上。

或者是通过网络上的信息传递，把一个病毒程序从一方传递到另一方。

2 主动传播：以计算机系统的运行以及病毒程序处于激活状态为先决条件。

在病毒处于激活的状态下，只要传染条件满足，病毒程序能主动地吧病毒自身传染给另一个载体或另一个系统。

五．计算机病毒在什么情况下会发作？满足触发条件则发作。

触发条件：1. 日期触发；2. 时间触发；3.键盘触发；4.感染触发；5. 启动触发；6. 访问磁盘次数触发；7. 调用终端功能触发；8. CPU型号/主板型号触发六．计算机病毒通常会有哪些破坏作用？1.攻击系统数据区；2.攻击文件；3.攻击内存；4.干扰系统运行；5.速度下降；6.攻击磁盘数据；7.扰乱屏幕显示；8.干扰磁盘；9.扰乱喇叭；10.攻击CMOS配置信息；11.干扰打印机；12.破坏计算机硬件；13.干扰网络服务。

第三章一．分析“大麻”病毒的引导过程。

二．分析“黑色星期五”感染模块，给出其感染文件的工作流程。

三．分析“中国黑客”病毒的重定位过程。

四．分析“爱虫”病毒的目标文件的搜索过程、文件感染过程。

五．分析“冲击波”病毒传播功能模块。

六．分析“求职信”病毒网络传播部分和病毒的感染文件、破坏文件部分。

七．病毒、蠕虫、木马在定义上有什么区别？主要区别：木马没有病毒的繁殖性和自动感染功能，而病毒往往不具备远程控制功能；蠕虫不同于病毒的是不需要宿主文件，而病毒需要宿主文件才能传播扩散。

八．解析宏病毒的一般防护方法（5章）。

（1）要有安全意识；（2）利用软件自身的防护功能；（3）及时对模板进行备份；（4）删除自动宏；九．脚本病毒有哪些传播方式？（第六章）（1）通过E-mail传播；（2）通过局域网共享传播；（3）通过感染htm，asp，jsp，php等网页文件传播；（4）通过IRC聊天通道传播；十．脚本病毒存在哪些弱点？如何利用这些弱点进行脚本病毒的防护？同第六章第三题。

第四章一．简述自主访问控制系统和强制访问控制系统的区别与联系。

区别：DAC是由用户来控制资源的访问权限；DAC可以选用访问控制列表（ACL）来基于用户ID或组ID限制对资源的访问。

MAC是根据策略来控制对信息的访问；MAC设计时考虑的是机密性（病毒导致的完整性问题）；DAC和MAC都可以减缓病毒的感染速度，但不能避免感染的发生。

二．简述特征代码扫描技术优缺点。

优点：（1）检测准确，快速；（2）可识别病毒的名称；（3）误报警率低；（4）根据检测结果，可准确杀毒。

缺点：（1）它依赖对已知病毒的精确了解，需要花费很多时间来确定各种病毒的特征代码；（2）如果病毒的特征码是变化的，这种方法就会失效；（3）随着病毒种类的增多，检索时间变长，此类工具的高速性将变得日益困难；（4）内存有病毒时一般不能准确检测病毒。

三．什么是虚警？如何减少虚警？虚警：把一个本无病毒的程序指证为染毒程序，这就是所谓的查毒程序虚警或谎报现象。

四．如何清除本机的木马病毒？减少虚警的方法：（1）对于病毒行为的准确把握而给定的关于可疑功能调用集合的精确的定义。

（2）对于常规程序代码的识别能力。

（3）对于特定程序的识别能力。

（4）类似“无罪假定”的功能，首先假定程序和电脑是不韩病毒的。

五．简述计算机病毒防护的基本准则。

1.拒绝访问能力；2.病毒检测能力；3.控制病毒传播的能力；4.清除能力；5.恢复能力；6.代替操作。

六．计算机免疫技术的原理是什么？1.针对某一种病毒进行的计算机病毒免疫原理：病毒在传染前先检查待传染的扇区或程序内是否含有病毒代码，如果没有找到则进行传染，如果找到了则不进行传染。

2.基于自我完善性检查的计算机病毒免疫原理：为可执行程序增加一个免疫外壳，同时在免疫外壳中记录有关用于恢复自身的信息。

执行具有免疫功能的程序时，先执行免疫外壳，检查自身程序大小、校验、和生成日期时间等情况。

没有发现异常后，在转去执行受保护的程序。

七．针对你的工作单位的计算机系统制定一个详细的病毒防护策略。

八．针对你的家庭计算机制定一个详细的病毒防护策略。

九．谈谈你对今后病毒防护技术发展趋势的看法。

具有：1.实时化立体防护 2.新的体系结构的突破 3.防范未知病毒 4.移动平台第五章一．简述PE文件的组织结构及每部分的功能。

（1）DOS头：当程序在DOS下运行的时候DOS可以由此认出文件是个DOS可执行文件从而转到DOS段（DOS stub）中去执行。

（2）PE文件头组成：①PE文件标志②印象文件头③可选印象头（3）节表：节表中的每个结构包含了该节的具体信息。

病毒在添加病毒节之后必须同时在节表中添加与之相对应的节表项。

（4）节：包含代码节，数据节，导入函数节，导出函数节，资源节等。

二．PE文件病毒为什么需要重定位？如何实现？重定位的原因：正常程序的变量和函数的相对地址是预先算好的。

病毒是股价在宿主程序中的程序段，其问题在于：病毒变量和病毒函数的相对地址难以计算。

方法：动态寻找一个参考点，然后再根据参照点的地址确定病毒函数和病毒变量的地址获取API函数。

病毒重定位的方法：利用程序（call Vstart Vstart：pop ebx sub ebx ，offset Vstart）；或用（Vstart：call getvs getvs：call getvs_01 getvs_01：pop ebx sub ebx，offset getvs_01-offset vstart）三．PE文件病毒为什么需要动态获取API函数的地址？如何获取？这一点与普通的可执行文件有何区别？动态获取API函数地址的原因：病毒只是一个依附在正常程序中的代码段，没有自己的引入表。

获取方式：首先需要在动态链接库中获得Kernel32.dll的基地址，然后在该模块中搜索需要的API函数的地址。

与普通可执行文件的区别：普通文件里有一个引入函数表。

而win32PE文件不存在引入函数表。

四．谈谈Windows下的PE文件病毒与DOS病毒相比有何特点？综合性更强，功能更强大。

五．在防治PE文件病毒方面要有哪些准备？为什么防病毒软件不能防范所有病毒？预防准备：（1）经常对硬盘上的重要文件和可执行程序进行备份；（2）不要使用来历不明或安全性不确定的程序或邮件附件等；（3）在网络上下载程序是最好到一些可靠的站点进行，对于从互联网上下载的文档和电子邮件等，下载后也不厌其烦的做不到扫描。

（4）对于执行重要工作的电脑要专机专用；对于交换的软件技术局文件要进行检查，确定无不到方可使用。

（5）一旦发现计算机遭受病毒感染，应立即切断电源连接，并进行病毒查杀，以防止计算机受到更严重的感染或破坏，或者成为传播源感染其他计算机。

（6）安装反病毒软件对计算机实施实时监控。

（7）禁用系统中不需要的服务。

（8）经常升级安全补丁；（9）设置复杂的密码。

六．宏病毒与传统的PE文件病毒相比有何特点？1.传播及快；2.制作变种方便；3.破坏性极大；4.多平台交叉感染；七．简述宏病毒的传播机制。

宏病毒以“宏”的形式寄生在数据文档或者模板中。

一旦打开这样的文档，其中的宏就会被执行，宏病毒就会被激活，转移到计算机上，并驻留在Normal模板上。

以后所有自动保存的文档都会感染上这种宏病毒，如果其他用户打开了感染病毒的文档，宏病毒又会转移到他的计算机上。

八．宏病毒产生的根本原因是什么？如何防治？原因：编制“宏”功能的要求较低，容易编制，而且文档中编程接口是开放的。

防治：（1）要有安全意识；（2）利用软件自身的防护功能；（3）及时对模板进行备份；（4）删除自动宏；九．移动介质病毒是如何传播的？移动介质病毒依赖于Windows的自动运行功能，所谓的自动运行功能是指Windows系统根据用户的配置文件（autorun.inf文件）能够自动执行指定程序的功能。

十．简述移动介质病毒的检测、清除、与预防方法。

预防：（1）关闭系统的自动运行机制；（2）自动建立autorun.inf免疫文件夹；（3）NTFS 权限控制；检测：如果在磁盘根目录下发现有autorun.inf文件以及与其相对应的可执行文件，并且用鼠标双击磁盘分区图标时，无法打开对应分区窗口或打开缓慢，则断定计算机系统感染了autorun病毒。

清除：（1）如果病毒正在运行，首先应该终止病毒进程的运行。

（2）删除病毒文件。

（3）检查系统启动项等自启动设置，删除病毒残余文件，第六章一．简要说明与其他计算机病毒相比，网络病毒表现出来的特点，并说明为什么会表现出这些新特点？1.传染方式多2.传染速度快3.清除难度大4.破坏性强原因：二．简述注册表中键值分成哪几大类？每大类键值在整个计算机系统设置中所起的作用是什么？Windows的注册表是控制系统启动、运行的最底层设置，其数据保存在文件System.dat和User.dat中，这些文件至关重要，但又极其脆弱。