1、为什么说蠕虫是独立式的?(C)
A、蠕虫不进行复制
B、蠕虫不向其他计算机进行传播
C、蠕虫不需要宿主计算机来传播
D、蠕虫不携带有效负载
3、哪一项不是特洛伊木马所窃取的信息?(D)
A、计算机名字
B、硬件信息
C、QQ用户密码
D、系统文件
4、哪一项不是特洛伊木马的常见名字?(C)
A、TROJ_WIDGET.46
B、TROJ_FLOOD.BLDR
C、I-WORM.KLEZ.H
D、TROJ_DKIY.KI.58
5、哪一项不是蠕虫病毒的传播方式及特性?(B)
A、通过电子邮件进行传播
B、通过光盘、软盘等介质进行传播
C、通过共享文件进行传播
D、不需要再用户的参与下进行传播
6、哪一项不是蠕虫病毒的常用命名规则?(D)
A、W32/KLEZ-G
B、I-WORM.KLEZ.H
C、W32.KLEZ.H
D、TROJ_DKIY.KI.58
15、使用互联网下载进行传播的病毒是?(A)
A、JAVA病毒
B、DOS病毒
C、WINDOWS病毒
D、宏病毒
17、PE_CIHVI1.2病毒会感染哪一种操作系统?(C)
A、DOS
B、UNIX
C、WINDOWS
D、LINUX
19、下列哪一项不是我们常见的网络病毒?(A)
A、DOS病毒
B、蠕虫病毒
C、多态病毒
1、计算机病毒按寄生方式和感染途径可分为引导型病毒、文件型病毒和混合型病毒。
2、计算机病毒的基本特征为非法性、传染性、隐藏性、潜伏性、可触发性、破坏性、衍生性不可预见性。
其中,隐藏性是计算机病毒最基本的特征。
3、计算机病毒侵入系统后,一般不立即发作,而是有一定的潜伏期。
4、计算机病毒造成的最显著的后果是破坏计算机系统。
5、病毒的传染、破坏部分被其他掌握原理的人以其个人的企图进行任意改动,从而又衍生出一种不同于原版本的新的计算机病毒(也称为变种),这就是计算机病毒的衍生性。
6、通过有线网络系统进行传播的方式有电子邮件、WWW浏览、FTP文件传输、BBS 、网络聊天工具。
三、简述题:
1、简述PE文件的组成结构:
(1)DOS部分,包括DOS文件头和DOS块;(2)PE文件头,包括PE文件头标志,PE文件表头,PE文件头可选部分;(3)节表;(4)节数据;
2、狭义的计算机病毒与蠕虫病毒的区别:
7、简述蠕虫的工作方式
答:蠕虫的工作方式一般是“扫描→攻击→复制”
9、简述特洛伊木马的基本原理。
答:特洛伊木马包括客户端和服务器端两个部分,攻击者通常利用一种称为绑定程序(exe-binder)的工具将木马服务器绑定到某个合法软件上,诱使用户运行合法软件。
只要用户运行该软件,特洛伊木马
的服务器就在用户毫无察觉的情况下完成了安装过程,攻击者要利用客户端远程监视、控制服务器,必需先建立木马连接;而建立木马连接,必需先知道网络中哪一台计算机中了木马,获取到木马服务器的信息之后,即可建立木马服务器和客户端程序之间的联系通道,攻击者就可以利用客户端程序向服务器程序发送命令,达到操控用户计算机的目的。
13、什么是特洛伊木马?
答:特洛伊木马(也叫黑客程序或后门)是指隐藏在正常程序中的一段具有特殊功能的恶意代码,一旦侵入用户的计算机,就悄悄在宿主计算机上运行,在用户毫无觉察的情况下,让攻击者获得远程访问和控制系统的权限,进而在用户计算机中破坏或删除文件、修改注册表、记录键盘,或窃取用户信息,可能造成用户系统被破坏,甚至瘫痪。
木马是一种基于远程控制的黑客工具,是一种恶意程序,具备计算机病毒的特征,我们常把它看作广义病毒的一个子类。
目前很多木马程序为了在更大范围内传播,与计算机病毒相结合,因此,木马程序也可以看做一种伪装潜伏的网络病毒。
14、什么是病毒的多态?
答:所谓病毒的多态,就是指一个病毒的每个样本的代码都不相同,它表现为多种状态。
采用多态技术的病毒由于病毒代码不固定,这样就很难提取出该病毒的特征码,所以只采用特征码查毒法的杀毒软件是很难对这种病毒进行查杀的。
多态病毒是改进了的加密病毒,由变化的解密头和加密的代码组成。
多态病毒运行时,先执行的是解密代码,对加密代码解密,然后执行刚解密的代码,也就是实现传播的主体代码。
四、计算题
病毒感染PE文件,须对该文件作哪些修改?(相关内容参考另一个附件,带补充)
(1)给PE文件增加一个新节,病毒在添加新节时,都会将新添加的节的属性设置为可读、可写、可执行
(2)在新节中添加可执行的代码
(3)修改文件头,使得入口地址指向刚添加的节
(4)将全部节未对齐大小设置为对齐后的大小,制造不存在空洞的假象
PE病毒的感染过程:
1.判断目标文件开始的两个字节是否为“MZ”。
2.判断PE文件标记“PE”。
3.判断感染标记,如果已被感染过则跳出继续执行HOST程序,否则继续。
4.获得Directory(数
据目录)的个数,(每个数据目录信息占8个字节)。
5.得到节表起始位置。
(Directory 的偏移地址+数据目录占用的字节数=节表起始位置) 6.得到目前最后节表的末尾偏移(紧接其后用于写入一个新的病毒节)节表起始位置+节的个数*(每个节表占用的字节数28H)=目前最后节表的末尾偏移。
7.开始写入节表
PE病毒的基本原理。
1.病毒的重定位2.获取API函数地址3.搜索文件4.内存映射文件5.病毒感染其他文件6.病毒返回到Host程序
关于计算机病毒,有两点需要注意:
一、最后计算题有关PE文件的,我觉得最有可能考的是地址。
需要用到的知识点如下:(1)计算机病毒如何得知一个文件是不是PE文件?
答:最基本、简答的方法就是先看该文件的前两个字节是不是4D5A,如果不是,则已经说明不是PE文件,如果是,那么我们可以再DOS程序头中的偏移3CH处的四个字节找到PE字串的偏移位置(e_ifanew)。
然后察看该偏移位置的四个字节是否是50\45\00\00,如果不是,说明不是PE文件,如果是,那么我们认为它是一个PE文件。
当然为了准确还需要再加上其它一些判断条件。
(2)实际内存地址=基地址(即ImageBase值)+相对虚地址(RVA)。
(3)节表起始位置=Directory(数据目录)的偏移地址+数据目录占用的字节数;最后节表的末尾偏移(紧接其后用于写入一个新的病毒节)=节表起始位置+节的个数*(每个节表占用的字节数)。
他可能告诉你Directory(数据目录)的偏移地址、数据目录占用的字节数、节的个数以及每个节表占用的字节数,让你计算新插入的病毒节的位置。
对下面几点进行补充:
关于计算机病毒,有两点需要注意:
一、最后计算题有关PE文件的,我觉得最有可能考的是地址。
需要用到的知识点如下:(1)计算机病毒如何得知一个文件是不是PE文件?
答:最基本、简答的方法就是先看该文件的前两个字节是不是4D5A,如果不是,则已经说明不是PE文件,如果是,那么我们可以再DOS程序头中的偏移3CH处的四个字节找到PE字串的偏移位置(e_ifanew)。
然后察看该偏移位置的四个字节是否是50\45\00\00,如果不是,说明不是PE文件,如果是,那么我们认为它是一个PE文件。
当然为了准确还需要再加上其它一些判断条件。
(2)实际内存地址=基地址(即ImageBase值)+相对虚地址(RVA)。
(3)节表起始位置=Directory(数据目录)的偏移地址+数据目录占用的字节数;最后节表的末尾偏移(紧接其后用于写入一个新的病毒节)=节表起始位置+节的个数*(每个节表占用的字节数)。
他可能告诉你Directory(数据目录)的偏移地址、数据目录占用的字节数、节的个数以及每个节表占用的字节数,让你计算新插入的病毒节的位置。
二、对下面几点进行补充:
(1)INT 13H调用可以完成磁盘(包括硬盘和软盘)的复位、读写、校验、定位、诊断、
格式化等功能。
(2)简述一下嵌入文件的隐藏技术。
(之前那道文件病毒的隐藏技巧答案是错的,给的答案是引导型病毒的隐藏技巧)
答:宏病毒的隐藏技术比引导型病毒要简单很多,只要在Word/Excel中禁止菜单:“文件”—>“模板”或者“工具”—>“宏”就可以隐藏病毒了,可以通过宏病毒代码删除菜单项,或者宏病毒用自己的File Templates和ToolsMacro宏替代体统缺省的宏。
当然,宏病毒还有其他一些隐藏技术,这在前面宏病毒一节已经有所介绍。
还有一些高级的病毒隐藏技术,需要大家细细揣摩。
除了宏病毒,由于现在各种格式文件之间的交叉引用越来越多,例如在Word文档中插入恶意图片,或者将JavaScript恶意代码插入PDF文档,并在打开文档时运行中。
利用这样的方式,就可以很好地隐藏恶意代码,并完成恶意行为,而不被用户感知。
(3)简述一下蠕虫的行为特征。
答:1、主动攻击;2、行踪隐藏;3、利用系统、网络应用服务漏洞;4、造成网络拥塞;
5、降低系统性能;
6、产生安全隐患;
7、反复性;
8、破坏性。