第一章1、计算机病毒的定义（填空）计算机病毒是编制或者在计算机程序中插入的破坏计算机功能或者数据，影响计算机使用并且能够自我复制的一组计算机指令或程序代码2、计算机病毒的六个特征（填空）传染性、破坏性、寄生性、隐蔽性、潜伏性（触发性）、不可预见性、针对性、非授权可执行性、衍生性3、计算机病毒的发展趋势七点（问答）⑴网络化⑵专业化⑶智能化⑷人性化⑸隐蔽化⑹多样化⑺自动化4、计算机病毒与医学上的病毒的区别及联系（问答）计算机病毒不是天然存在的，是某些人利用计算机软、硬件所固有的脆弱性，编制的具有特殊功能的程序。

与生物医学上的病毒同样有传染和破坏的特性，因此这一名词是由生物医学上的“病毒”概念引申而来。

第三章1、计算机病毒的四大功能模块（填空）引导模块、感染模块、破坏模块、触发模块2、计算机病毒的状态转化（动静态）处于静态的病毒存在于存储介质中，一般不能执行感染和破坏功能，其传播只能借助第三方活动（例如复制、下载和邮件传输等）实现。

当病毒经过引导功能开始进入内存后，便处于活动状态，满足一定触发条件后就开始传染和破坏，从而构成计算机系统和资源的威胁和毁坏。

3、引导模块的三个过程（问答）⑴驻留内存病毒若要发挥其破坏作用，一般要驻留内存。

为此就必须开辟所有内存空间或覆盖系统占用的内存空间。

其实，有相当多的病毒根本就不用驻留在内存中。

⑵窃取系统的控制权在病毒程序驻留内存后，必须使有关部分取代或扩充系统的原有功能，并窃取系统的控制权。

此后病毒程序依据其设计思想，隐蔽自己，等待时机，在时机成熟时，再进行传染和破坏。

⑶恢复系统功能病毒为隐蔽自己，驻留内存后还要恢复系统，使系统不会死机，只有这样才能等待时机成熟后，进行感染和破坏。

4、抗分析技术（填空）自加密技术、反跟踪技术5、触发模块的触发条件（填空）日期触发、时间触发、键盘触发、感染触发、启动触发、访问磁盘次数触发、CPU型号/主板型号触发6、触发条件与破坏程度之间的关系可触发性是病毒的攻击性和潜伏性之间的调整杠杆，可以控制病毒感染和破坏的程度，兼顾杀伤力和潜伏性。

过于苛刻的触发条件，可能使病毒有好的潜伏性，但不易传播。

而过于宽松的触发条件将导致病毒频繁感染与破坏，容易暴露，导致用户做反病毒处理，也不会有大的杀伤力。

7、病毒变种的定义当某些计算机病毒编制者通过修改某种计算机病毒的代码而使其能够躲过现有计算机病毒检测程序时，新的病毒技术就出现了，可以称这种新出现的病毒为病毒的变形。

当这种变形了的计算机病毒继承了原病毒的主要特征时，它就被称为是其父本计算机病毒的一个变种。

8、变形病毒的主要特征当病毒传染到目标后，病毒自身代码和结构在空间上、时间上具有不同的变化。

9、四类变形病毒一维变形病毒：具备普通病毒所具有的基本特性，然而，病毒每感染一个目标后，其自身代码与前一被感染目标中的病毒代码几乎没有三个连续的字节是相同的，但这些代码及其相对空间的排列位置是不变动的。

二维变形病毒：。

除了具备一维变形病毒的特性外，并且那些变化的代码相互间的排列距离（相对空间位置）也是变化的，有的感染文件的字节数不定。

三维变形病毒：能分裂后分别潜藏在几处，随便某一处的子病毒被激发后都能自我恢复成一个完整的病毒。

病毒在附着体上的空间位置是变化的，即潜藏的位置不定。

四维变形病毒：具备三维变形病毒的特性，这些特性随时间动态变化。

10.EPO技术的定义EPO是Entry Point Obscuring的缩写，即入口模糊技术，该技术改变了传统的通过修改PE 头部的入口点而使其指向病毒代码入口的典型方法，实现病毒入口的模糊性。

第四章1、计算机病毒的分类2、PE文件型病毒的关键技术，各自可以做什么（问答）⑴病毒的重定位⑵获取API函数⑶文件搜索⑷内存映射文件⑸病毒如何感染其他文件⑹如何返回到宿主程序3、病毒重定位的原因正常程序的变量和函数的相对地址都是预先计算好的。

病毒是附加在宿主程序中的程序段，其问题在于：病毒变量和病毒函数的相对地址很难计算。

4、了解P77~78 代码的效果第五章1、木马的定义全称是“特洛伊木马”是一种与远程计算机之间建立起连接，使远程计算机能够通过网路控制用户计算机系统并且能造成用户的信息损失、系统损坏甚至瘫痪的程序。

2、木马特征隐蔽性、自动运行性、欺骗性、自动恢复功能、功能的特殊性、能自动打开特别的端口3、木马、普通计算机病毒和远程控制程序之间的关系木马和远程控制软件的最主要区别：不产生图标、不出现在任务管理器中木马和控制软件：目的不同、有些木马具有控制软件的所有功能、是否隐藏木马和普通计算机病毒：传播性（木马不如病毒）、两者互相融合（木马程序YAI采用了病毒技术，“红色代码”病毒已经具有木马的远程控制功能）4、木马系统的组成硬件（控制端、服务端、Internet）、软件（控制端程序、木马程序）、连接（服务端IP、控制端IP、控制端端口、木马端口）5、反弹式木马使用的是（系统信任）端口，系统会认为木马是普通应用程序，而不对其连接进行检查。

第六章1、宏病毒的定义利用系统的开放性专门制作的一个或多个具有病毒特点的宏的集合，这种病毒宏的集合影响到计算机的使用，并能通过文档及模板进行自我复制及传播。

2、宏病毒的特点传播极快、制作方便、变种多、破坏可能性极大、多平台交叉感染、地域性问题、版本问题3、经典宏病毒⑴美丽莎：当用户打开一个受到感染的Word 97或Word 2000文件时，病毒会自动通过被感染者的Outlook的通讯录，给前50个地址发出带有W97M_MELISSA病毒的电子邮件。

信箱中将可以看到标题为“Important message from XX(来自XX的重要信息)”的邮件，其中XX是发件人的名字。

⑵台湾NO.1B：打开一个Word文档，就会被要求计算一道5个至多4位数的连乘算式。

⑶O97M.Tristate.C病毒：病毒在Excel中被激活时，它在Excel Startup目录下查找文档BOOK1.XLS如果不存在，病毒将在该目录下创建一个被感染的工作簿并使Excel的宏病毒保护功能失效;病毒存放在被感染的电子表格“ThisWorkbook”中。

第八章1、移动终端恶意代码以移动终端为感染对象，以（移动终端网络）和（计算机网络）为平台，通过无线或有线通讯等方式，对移动终端进行攻击，从而造成移动终端异常的各种不良程序代码。

2、移动终端涵盖现有的和即将出现的各式各样、各种功能的手机和PDA3、移动终端恶意代码传播途径（1）终端-终端：中间桥梁是诸如蓝牙、红外等无线连接。

（2）终端-网关-终端：手机通过发送含毒程序或数据给网关，网关染毒后再把病毒传染给其他终端或则干扰其他终端。

（3）PC（计算机）-终端：病毒先寄宿在普通计算机上，当移动终端连接染毒计算机时，病毒传染给移动终端。

4、移动终端恶意代码攻击方式短信息攻击，直接攻击手机，攻击网关，攻击漏洞，木马型恶意代码。

5、移动终端恶意代码的防范注意来电信息、谨慎网络下载、不接收怪异短信、关闭无线连接、关注安全信息第九章1、僵尸网络的特点分布性、恶意传播、一对多控制2、蠕虫病毒的主程序的传播模块，其入侵分为扫描（探测远程主机的漏洞）、攻击（自动攻击，以取得该主机的合适权限。

）和复制。

3、流氓软件的定义第一个定义：具有一定的实用价值但具备电脑病毒和黑客的部分行为特征的软件。

第二个定义：介于病毒和正规软件之间，同时具备正常功能（下载、媒体播放等）和恶意行为（弹广告、开后门）的软件，给用户带来实质危害。

4、僵尸网络定义采用一种或多种传播手段，将大量主机感染bot程序（僵尸程序），从而在控制着和被感染者之间形成的一个可一对多控制的网络。

攻击者通过各种传播僵尸程序感染互联网上的大量主机，而被感染的主机将通过一个控制信道接收攻击者的指令，组成一个僵尸网络。

第十章1、比较法（填空）注册表比较法、文件比较法、终端比较法、内存比较法2、计算机病毒扫描软件有两个部分组成：一部分是计算机病毒特征码库，含有经过特别选定的各种计算机病毒的特征码；另一部分是利用该特征码库进行扫描的主程序。

3、存储备份技术（选择、填空）完全备份、增量备份、差分备份第十一章（选择、判断）1、杀毒软件必备功能（填空）：病毒查杀能力、对新病毒的反应能力、对文件的备份和恢复能力、实时监控功能、及时有效的升级功能、只能安装远程识别功能、界面友好易于操作、对现有资源的占用情况、系统兼容性1.下述不属于计算机病毒的特征的是 C 。

A. 传染性、隐蔽性B. 侵略性、破坏性C. 潜伏性、自灭性D. 破坏性、传染性2.计算机病毒的危害主要会造成 D 。

A. 磁盘损坏B. 计算机用户的伤害C. CPU的损坏D. 程序和数据的破坏3.下面哪一种陈述最好的解释了引导扇区病毒不再是非常普遍的病毒了？ CA. 计算机不再从软盘中引导B. 对此类型病毒采取了足够的防范C. 软盘不再是共享信息的主要途径D. 传播程序的编写者不再编写引导扇区病毒4.引导扇区病毒感染计算机上的哪一项信息？ BA. DATAB. MBRC. E-mailD. Word5.关于引导扇区病毒特征和特性的描述错误的是？ CA. 会将原始的引导扇区以及部分病毒代码复制到磁盘的另一个地方B. 引导扇区病毒的设计缺陷可能会导致在读取软件时会产生偶尔的写保护错误C. 引导扇区病毒在特定的时间对硬盘进行格式化操作D. 引导扇区病毒不再像以前那样造成巨大威胁6.关于引导扇区病毒的传播步骤错误的是？ BA. 病毒进入引导扇区B. 病毒破坏引导扇区信息C. 计算机将病毒加载到存储D. 病毒感染其它磁盘7.世界上第一台计算机ENIAC是 A 模型A. 随机访问计算机B. 图灵机C. 随机访问存储程序计算机D. 带后台存储带的随机访问存储程序计算机8.能够感染EXE、COM文件的病毒属于 CA. 网络型病毒B. 蠕虫型病毒C. 文件型病毒D. 系统引导型病毒9.在Windows32位操作系统中，其EXE文件中的特殊标示为 BA. MZB. PEC. NED. LE10.哪一项不是特洛伊木马所窃取的信息？ DA. 计算机名字B. 硬件信息C. QQ用户密码D. 系统文件11.著名特洛伊木马“网络神偷”采用的隐藏技术是 AA. 反弹式木马技术B. 远程线程插入技术C. ICMP协议技术D. 远程代码插入技术12.以下代码所展示的挂马方式属于 DA. 框架挂马B. js挂马C. 网络钓鱼挂马D. 伪装挂马13.以下关于宏病毒说法正确的是 BA. 宏病毒主要感染可执行文件B. 宏病毒仅向办公自动化程序编制的文档进行传染C. 宏病毒主要感染软盘、硬盘的引导扇区或主引导扇区D. CIH病毒属于宏病毒14.作为一类曾经非常流行的病毒，以下 C 不属于宏病毒的主要特点。