病毒检测技术复习题含答案Standardization of sany group #QS8QHH-HHGX8Q8-GNHHJ8-HHMHGN#一、填空1.程序性决定了计算机病毒的可防治性、可清除性,反病毒技术就是要提前取得计算机系统的控制权,识别出计算机病毒的代码和行为,阻止其取得系统控制权,并及时将其清除。
2.是否具有传染性,是判别一个程序是否为计算机病毒的首要条件。
3.计算机病毒因某个事件或数值的出现,诱使病毒实施感染或进行攻击的特性称为可触发性4.病毒程序嵌入到宿主程序中,依赖于宿主程序的执行而生存,这就是计算机病毒的寄生性、病毒的最大特点是其传染性,而传染性的原因是其自身程序不断复制的结果,即程序本身复制到其他程序中或简单地在某一系统中不断地复制自己5.计算机病毒按寄生对象分为引导型病毒文件型病毒混合型病毒6.蠕虫(Worm)是一种独立的可执行程序,主要由主程序和引导程序两部分组成7.蠕虫程序的工作流程可以分为漏洞扫描、攻击、传染、现场处理四个阶段8.特洛伊木马(Trojan house,简称木马)是指表面上是有用的软件、实际目的却是危害计算机安全并导致严重破坏的计算机程序,是一种在远程计算机之间建立连接,使远程计算机能通过网络控制本地计算机的非法程序9.一般的木马都有客户端和服务器端两个程序10.客户端是用于攻击者远程控制已植入木马的计算机的程序11.服务器端程序就是在用户计算机中的木马程序12.计算机病毒英文命名规则也就是国际上对病毒命名的一般惯例为“前缀+病毒名+后缀”,即三元组命名规则13.计算机病毒的产生过程可分为:程序设计→传播→潜伏→触发、运行→实施攻击14.计算机病毒是一类特殊的程序,也有生命周期开发期传染期潜伏期发作期发现期消化期消亡期15.在学习、研究计算机病毒的过程中,在遵守相关法律法规的前提下,应严格遵守以下“八字原则”——自尊自爱、自强自律16.BIOS INT 13H 调用是BIOS 提供的磁盘基本输入输出中断调用,它可以完成磁盘( 包括硬盘和软盘) 的复位、读写、校验、定位、诊断、格式化等功能,完全不用考虑被操作硬盘安装的是什么操作系统17.现代大容量硬盘一般采用LBA(Logic Block Address) 线性地址来寻址,以替代CHS 寻址。
18.高级格式化的目的是在分区内建立分区引导记录DBR(DOS Boot Record)、文件分配表FAT(File Allocation Table)、文件目录表FDT(File Directory Table)和数据区DATA19.主引导记录(Master Boot Record,MBR)20.主分区表即磁盘分区表(Disk Partition Table,DPT)21.引导扇区标记(Boot Record ID/Signature)22.通过主引导记录定义的硬盘分区表,最多只能描述4个分区23.FAT32最早是出于FAT16不支持大分区、单位簇容量大以至于空间急剧浪费等缺点设计的24.NTFS是一个比FAT更复杂的系统。
在NTFS中,磁盘上的任何事物都为文件25.NTFS文件系统中,小文件和文件夹( 典型的如1023 字节或更少) 将全部存储在文件的MFT 记录里26.中断(Interrupt),就是CPU暂停当前程序的执行,转而执行处理紧急事务的程序,并在该事务处理完成后能自动恢复执行原先程序的过程27.中断向量表(Interrupt Vectors)是一个特殊的线性表,它保存着系统所有中断服务程序的入口地址(偏移量和段地址)28.设计扩展INT 13H接口的目的是为了扩展BIOS的功能,使其支持多于1024柱面的硬盘,以及可移动介质的锁定、解锁及弹出等功能29.INT 13H磁盘输入输出中断,引导型病毒用于传染病毒和格式化磁盘30.在保护模式下,所有的应用程序都具有权限级别(Privilege Level ,PL) 。
PL 按优先次序分为四等:0 级、1 级、2 级、3 级,其中0 级权限最高,3 级最低,目前只用到Ring 0 和Ring 3 两个级别31.操作系统核心层运行在Ring 0级,而Win32子系统运行在Ring 3级,为运行在Ring 3级的应用程序提供接口32.计算机病毒总是想方设法窃取Ring 0的权限(如CIH病毒),以实施更大范围的破坏33.DOS可执行文件以英文字母“MZ”开头,通常称之为MZ文件34.在Windows 的可执行文件,在MZ文件头之后又有一个以“NE”开始的文件头,称之为NE文件35.在Win32位平台可执行文件格式:可移植的可执行文件(Portable Executable File)格式,即PE格式。
MZ文件头之后是一个以“PE”开始的文件头36.PE的意思就是Portable Executable(可移植、可执行),它是Win32可执行文件的标准格式37.PE文件的真正内容划分成块,称之为Section(节),紧跟在节表之后38.引入函数节.idata引入函数节可能被病毒用来直接获取API函数地址39.引出函数节是本文件向其他程序提供的可调用函数列表这个节一般用在DLL中,EXE文件中也可以有这个节,但通常很少使用40.计算机病毒在传播过程中存在两种状态,即静态和动态41.内存中的动态病毒又有两种状态:可激活态和激活态。
42.计算机病毒要完成一次完整的传播破坏过程,必须经过以下几个环节:分发拷贝阶段潜伏繁殖阶段破坏表现阶段43.杀毒软件可以将感染标志作为病毒的特征码之一44.可以利用病毒根据感染标志是否进行感染这一特性,人为地、主动在文件中添加感染标志,从而在某种程度上达到病毒免疫的目的45.无论是文件型病毒还是引导型病毒,其感染过程总的来说是相似的,分为三步:进驻内存、判断感染条件、实施感染46.病毒攻击的宿主程序是病毒的栖身地,宿主程序既是病毒传播的目的地,又是下一次感染的出发点47.计算机病毒感染的过程一般有三步:(1)当宿主程序运行时,截取控制权;(2)寻找感染的突破口;(3)将病毒代码放入宿主程序48.既感染引导扇区又感染文件是混合感染49.一个宿主程序上感染多种病毒,称为交叉感染。
50.无入口点病毒并不是真正没有入口点,而是采用入口点模糊(Entry Point Obscuring,EPO)技术,即病毒在不修改宿主原入口点的前提下,通过在宿主代码体内某处插入跳转指令来使病毒获得控制权51.滋生感染式病毒又称作伴侣病毒或伴随型病毒52.滋生感染式病毒病毒不改变被感染的文件,而是为被感染的文件创建一个伴随文件53.病毒在感染时,完全不改动宿主程序本体,而是改动或利用与宿主程序相关的信息,将病毒程序与宿主程序链成一体,这种感染方式称作链式感染(Link Infection) 文件结构比较简单,是一种单段执行结构55.内存映射文件提供了一组独立的函数,是应用程序能够通过内存指针像访问内存一样对磁盘上的文件进行访问56.WSH是Windows Scripting Host(Windows脚本宿主)的缩略形式,是一个基于32位Windows平台、并独立于语言的脚本运行环境,是一种批次语言/自动执行工具57.宏病毒是使用宏语言编写的恶意程序,存在于字处理文档、电子数据表格、数据库、演示文档等数据文件中,可以在一些数据处理系统(主要是微软的Word、Excel、Access等Office软件系统)中运行,利用宏语言的功能将自己复制、繁殖到其他数据文档中58.蠕虫主要是利用计算机系统漏洞(Vulnerability)进行传染,搜索到网络中存在漏洞的计算机后主动进行攻击,在传染的过程中,与计算机操作者是否进行操作无关,从而与使用者的计算机知识水平无关59.根据蠕虫的传播、运作方式,可以将蠕虫分为两类主机蠕虫网络蠕虫60.网络蠕虫最大特点是利用各种漏洞进行自动传播61.蠕虫的工作方式一般是“扫描→攻击→复制”62.特洛伊木马(Trojan Horse),简称木马,是一种恶意程序,是一种基于远程控制的黑客工具,一旦侵入用户的计算机,就悄悄地在宿主计算机上运行,在用户毫无察觉的情况下,让攻击者获得远程访问和控制系统的权限,进而在用户的计算机中修改文件、修改注册表、控制鼠标、监视/控制键盘,或窃取用户信息63.木马与合法远程控制软件(如pcAnyWhere)的主要区别在于是否具有隐蔽性、是否具有非授权性64.木马系统软件一般由木马配置程序、控制程序和木马程序(服务器程序)三部分组成65.木马获得服务端的IP 地址的方法主要有两种:信息反馈和IP 扫描66.当进程为真隐藏的时候,那么这个木马服务器运行之后,就不应该具备一般进程的表现,也不应该具备服务的表现,也就是说,完全溶进了系统的内核67.动态嵌入技术是指木马将自己的代码嵌入正在运行的进程中的技术。
68.Windows XP的Netstat工具提供了一个新的-o选项,能够显示出正在使用端口的程序或服务的进程标识符(PID)。
69.当进程为真隐藏的时候,那么这个木马服务器运行之后,就不应该具备一般进程的表现,也不应该具备服务的表现,70.EPO是Entry Point Obscuring技术的简写,意即入口模糊技术,该技术改变了传统的修改PE头部的入口点、使其指向病毒代码入口而使病毒代码得以执行的典型方法71.对付多态病毒的最好办法是某种形式的虚拟执行技术,也就是仿真出一个80x86的CPU,让解密代码自己解密完成之后,再使用通常的特征码识别法进行病毒检测72.计算机病毒的防治技术分成四个方面病毒预防技术病毒检测技术病毒消除技术病毒免疫技术73.计算机病毒的预防措施可概括为两点勤备份严防守74.比较法是用原始的正常备份与被检测的内容(引导扇区或被检测的文件)进行比较长度比较法内容比较法内存比较法中断比较法75.利用病毒的特有行为特性监测病毒的方法,称为行为监测法,也称为人工智能陷阱法76.软件模拟(Software Emulation)法(即后文中将详细介绍的虚拟机对抗病毒技术),是一种软件分析器,用软件方法来模拟和分析程序的运行:模拟CPU执行,在其设计的虚拟机器(Virtual Machine)下假执行病毒的变体引擎解码程序,安全并确实地将多态病毒解开,使其显露真实面目,再加以扫描77.设计虚拟机查毒的目的是为了对抗加密变形病毒二、选择题:1.计算机病毒会造成计算机怎样的损坏(A )A.硬件,软件和数据B.硬件和软件C.软件和数据D.硬件和数据2.某片软盘上已染有病毒,为防止该病毒传染计算机系统,正确的措施是(D )A.删除该软盘上所有程序B.给该软盘加上写保护C.将该软盘放一段时间后再用D.将软盘重新格式化3.防止软盘感染病毒的方法用(D )A.不要把软盘和有毒的软盘放在一起B.在写保护缺口贴上胶条C.保持机房清洁D.定期对软盘格式化4.发现计算机病毒后,比较彻底的清除方式是( D)A.用查毒软件处理B.删除磁盘文件C.用杀毒软件处理D.格式化磁盘5.计算机病毒通常是( A )A.一段程序B.一个命令C.一个文件D.一个标记6.文件型病毒传染的对象主要是什么类文件( C )A..DBFB..WPS和.EXED..EXE和.WPS7.关于计算机病毒的传播途径,不正确的说法是( C )A.通过软盘的复制B.通过共用软盘C.通过共同存放软盘D.通过借用他人的软盘8.目前最好的防病毒软件的作用是( D )A.检查计算机是否染有病毒,消除已感染的任何病毒B.杜绝病毒对计算机的侵害C.查出计算机已感染的任何病毒,消除其中的一部分D.检查计算机是否染有病毒,消除已感染的部分病毒9.公安部开发的SCAN软件是用于计算的( A )A.病毒检查B.病毒分析和统计C.病毒防疫D.病毒示范10.防病毒卡能够( A )A.自动发现病毒入侵的迹象并提醒操作者或及时阻止病毒的入侵B.杜绝病毒对计算的侵害C.自动发现并阻止任何病毒的入侵D.自动消除已感染的所有病毒11.计算机病毒是可以造成机器故障的( D )A.一种计算机设备B.一块计算机芯片C.一种计算机部件D.一种计算机程序12.若一张软盘封住了写保护口,则( D )A.既向处传染病毒又会感染病毒B.即不会向处传染病毒,也不会感染病毒C.不会传染病毒,但会感染病毒D.不会感染病毒,但会传染病毒13.防止计算机传染病毒的方法是( A)A.不使用有病毒的盘片B.不让有传染病的人操作C.提高计算机电源稳定性D.联机操作14.计算机病毒的危害性表现在(B )A.能造成计算机器件永久性失效B.影响程序的执行破坏用户数据与程序C.不影响计算机的运行速度D.不影响计算机的运算结果,不必采取措施15.下面有关计算机病毒的说法正确的是( C )A.计算机病毒是一个MIS程序B.计算机病毒是对人体有害的传染病C.计算机病毒是一个能够通过自身传染,起破坏作用的计算机程序D.计算机病毒是一段程序,但对计算机无害16.计算机病毒( D )A.不影响计算机的运行速度B.能造成计算机器件的永久性失效C.不影响计算机的运算结果D.影响程序的执行破坏用户数据与程序17.计算机病毒对于操作计算机的人( C )A.只会感染,不会致病B.会感染致病C.不会感染D.传染性,隐蔽性和危害性18.计算机病毒是一组计算机程序,它具有( D _)A.传染性B.隐蔽性C.危害性D.传染性,隐蔽性和危害性19.计算机病毒造成的损坏主要是 ( C)A.文字处理和数据库管理软件B.操作系统和数据库管理系统C.程序和数据D.系统软件和应用软件20.以下措施不能防止计算机病毒的是( A)A.软盘未贴写保护B.先用杀病毒软件将从别人机器上拷来的文件清查病毒C.不用来历不明的磁盘D.经常关注防病毒软件的版本升级情况,并尽量取得最高版本的防毒软件21.计算机病毒具有(A )A.传播性,潜伏性,破坏性B.传播性,破坏性,易读性C.潜伏性,破坏性,易读性D.传播性,潜伏性,安全性22.计算机病毒是一种( D)A.机器部件B.计算机文件C.微生物"病原体"D.程序23.计算机病毒通常分为引导型,复合型和(B )A.外壳型B.文件型C.内码型D.操作系统型24.计算机病毒造成的损坏主要是(D )A.磁盘B.磁盘驱动器C.磁盘和其中的程序及数据D.程序和数据25.公安部开发的KILL软件是用于计算机的(A )A.病毒检查和消除B.病毒分析和统计C.病毒防疫D.病毒防范26.不易被感染上病毒的文件是(C)27.文件被感染上病毒之后,其基本特征是(C)A.文件不能被执行B.文件长度变短C.文件长度加长D.文件照常能执行28.病毒程序按其侵害对象不同分为______C______。