习题答案
习题一
1．简述自己在使用计算机时遇到的病毒，该病毒表现特征。
省略。
2．简述文件型病毒和引导型病毒的工作原理。
磁盘引导区传染的病毒主要是用病毒的全部或部分逻辑取代正常的引导记录，而将正常的引导记录隐藏在磁盘的其他地方。由于引导区是磁盘能正常使用的先决条件，因此，这种病毒在运行的一开始（如系统启动）就能获得控制权，其传染性较大。由于在磁盘的引导区内存储着需要使用的重要信息，如果对磁盘上被移走的正常引导记录不进行保护，则在运行过程中就会导致引导记录的破坏。引导区传染的计算机病毒较多，例如，“大麻”和“小球”病毒就是这类病毒。
2)启发式扫描是通过分析指令出现的顺序，或组合情况来决定文件是否感染，每个对象都要检查，这种方式查毒效果是最高的，但也最可能出现误报。
3) CRC检测的原理是计算磁盘中的实际文件或系统扇区的CRC值（检验和），这些CRC值被杀毒软件保存到它自己的数据库中，在运行杀毒软件时，用备份的CRC值与当前计算的值比较，可以知道文件是否已经修改或被病毒感染。
第二种免疫方式主要是预防系统被某种特定病毒感染，如果文件被病毒修改就可以检测到。
7．以“欢乐时光”、“冲击波”病毒为例，说明其命名方式。
新欢乐时光是该病毒的中文名，其英文名包括（方括号中是相对应的各个厂家）：HTML.Redlof.A [Symantec], VBS.Redlof [AVP], VBS_REDLOF.A [Trend], VBS/Redlof-A [Sophos], VBS.KJ [金山], Script.RedLof [瑞星], VBS/KJ [江民]。
2) 硬盘。由于带病毒的硬盘在本地或移到其他地方使用、维修等，将干净的软盘、USB盘感染并再次扩散。
3) 网络。非法者设计的个人网页，容易使浏览网页者感染病毒；用于学术研究的病毒样本，可能成为别有用心的人的使用工具；散见于网站上大批病毒制作工具、向导、程序等等，使得无编程经验和基础的人制造新病毒成为可能；聊天工具如QQ的使用，导致有专门针对聊天工具的病毒出现；即使用户没有使用前面的项目，只要计算机在网络上，而系统存在漏洞，针对该漏洞的病毒有可能感染该台机器。
个数；
MOV BX, 4000H ；BX=4000H,为读取数据缓冲区；
MOV CX, 0003H ；CH=00H,为磁道号；CL=03H,为第3扇区号；
MOV DX, 0080H ；DL=80H,为第一个硬盘；DH=00H，为磁头号
INT 13H ；调用中断，写入数据
INT 20H ；退出程序
.EXIT 0
5．简述病毒的工作机制。
病毒的触发机制、病毒的传播机制、病毒的破坏机制。
6．简述反病毒技术的发展阶段。
1)病毒扫描,当前最主要的查杀病毒方式，它主要通过检查文件、扇区和系统内存、搜索新病毒，用“标记”查找已知病毒，病毒标记就是病毒常用代码的特征，病毒除了用这些标记，也用别的方法。有的根据算法来判断文件是否被某种病毒感染，一些杀毒软件也用它来检测变形病毒。
冲击波有Worm.Blaster.E，.F等表示。
习题二
1．试叙述引导型病毒的主要特点。
引导型病毒是一种在ROM BIOS之后，系统引导时出现的病毒，它先于操作系统，依托的环境是BIOS中断服务程序。引导型病毒是利用操作系统的引导模块放在某个固定的位置，并且控制权的转交方式是以物理位置为依据，而不是以操作系统引导区的内容为依据，因而病毒占据该物理位置即可获得控制权，而将真正的引导区内容搬家转移或替换，待病毒程序执行后，将控制权交给真正的引导区内容，使得这个带病毒的系统看似正常运转，而病毒已隐藏在系统中并伺机传染、发作。
存在于文件中，被加载后执行。拦截文件操作或主动搜索磁盘文件。
3．简述病毒在计算机系统中存在的位置。
引导扇区、内存、PE文件中、脚本文件中、磁盘未用扇区、数学扇区。
4．简述计算机病毒的传播途径。
1) 软盘、光盘和USB盘。它们作为最常用的交换媒介，在计算机应用的早期对病毒的传播发挥了巨大的作用，因那时计算机应用比较简单，可执行文件和数据文件系统都较小，许多执行文件均通过相互拷贝、安装，这样病毒就能通过这些介质传播文件型病毒；另外，在用它们列目录或引导机器时，引导区病毒会在软盘与硬盘引导区内互相感染。
END
;File name : boot.asm
4)行为判断就是通过驻留的杀毒软件截获那些对用户有病毒危险的行为，这些病毒可能会在修改可执行文件、引导扇区或MBR时被发现，这种方法的优点在于可以在病毒感染的早期发现并阻止，但有的病毒可以越过这种保护，使得杀毒软件完全失效。
5)免疫有两种：一种是感染警告，另一种是阻止病毒感染。第一种免疫方式主要是预防那些把自己添加到文件末尾的病毒（通常是文件型病毒），每个文件都会检查。但有一个致命的弱点：无法检测到诡密病毒，所以实际上很少用这种免疫方式。
个数；
MOV BX, 4000H ；BX=4000H,为存放数据缓冲区；
MOV CX, 0001H ；CH=00H,为磁道号；CL=01H,为第1扇区号；
MOV DX, 0080H ；DL=80H,为第一个硬盘；DH=00H，为磁头号
INT 13H ；调用中断，读取数据
MOV AX, 0301H ；AH=03H,为中断的写扇区数据功能，CL=01H 为读扇区的
不会。因为该表项不为0，表示已经被占用。
5．设计一个自己的引导程序，使程序先提示要输入密码，密码正确才能进入系统，否则死机。思考怎么实现。
.MODEL SMALL
.STACK
.DATA
.CODE
.STRARTUP
MOV AX, 0201H ；AH=02H,为中断的读扇区数据功能，CL=01H 为读扇区的
2．试验利用Debug编程读出引导扇区，然后反汇编分析。
用a命令编写一段代码，代码调用中断int 13h读。然后用U命令反汇编。
3.读出一个硬盘的MBR，然后分析磁盘逻辑分区结构。
同上。从0x1be开始分析。
4．试验：先格式化一张软盘，用int 13h修改FAT中的某项为0xFFF7拷贝尽量多文件，验证其对应的簇是否会被文件使用。