病毒檢測(cè)技術(shù)復(fù)習(xí)題含答案

1、一、填空1. 程序性決定了計(jì)算機(jī)病毒的可防治性、可清除性，反病毒技術(shù)就是要提前取得計(jì)算機(jī)系統(tǒng)的控制權(quán)，識(shí)別出計(jì)算機(jī)病毒的代碼和行為，阻止其取得系統(tǒng)控制權(quán)，并及時(shí)將其清除。2. 是否具有傳染性，是判別一個(gè)程序是否為計(jì)算機(jī)病毒的首要條件。3. 計(jì)算機(jī)病毒因某個(gè)事件或數(shù)值的出現(xiàn)，誘使病毒實(shí)施感染或進(jìn)行攻擊的特性稱為可觸發(fā)性4. 病毒程序嵌入到宿主程序中，依賴于宿主程序的執(zhí)行而生存，這就是計(jì)算機(jī)病毒的寄生性、病毒的最大特點(diǎn)是其傳染性，而傳染性的原因是其自身程序不斷復(fù)制的結(jié)果，即程序本身復(fù)制到其他程序中或簡(jiǎn)單地在某一系統(tǒng)中不斷地復(fù)制自己5. 計(jì)算機(jī)病毒按寄生對(duì)象分為引導(dǎo)型病毒文件型病毒混合型病毒6. 蠕

2、蟲(Worm)是一種獨(dú)立的可執(zhí)行程序，主要由主程序和引導(dǎo)程序兩部分組成7. 蠕蟲程序的工作流程可以分為漏洞掃描、攻擊、傳染、現(xiàn)場(chǎng)處理四個(gè)階段8. 特洛伊木馬(Trojanhouse,簡(jiǎn)稱木馬)是指表面上是有用的軟件、實(shí)際目的卻是危害計(jì)算機(jī)安全并導(dǎo)致嚴(yán)重破壞的計(jì)算機(jī)程序，是一種在遠(yuǎn)程計(jì)算機(jī)之間建立連接，使遠(yuǎn)程計(jì)算機(jī)能通過(guò)網(wǎng)絡(luò)控制本地計(jì)算機(jī)的非法程序9. 一般的木馬都有客戶端和服務(wù)器端兩個(gè)程序10. 客戶端是用于攻擊者遠(yuǎn)程控制已植入木馬的計(jì)算機(jī)的程序11. 服務(wù)器端程序就是在用戶計(jì)算機(jī)中的木馬程序12. 計(jì)算機(jī)病毒英文命名規(guī)則也就是國(guó)際上對(duì)病毒命名的一般慣例為“前綴+病毒名+后綴”，即三元組命名規(guī)

3、則13. 計(jì)算機(jī)病毒的產(chǎn)生過(guò)程可分為：程序設(shè)計(jì)t傳播t潛伏t觸發(fā)、運(yùn)行t實(shí)施攻擊14. 計(jì)算機(jī)病毒是一類特殊的程序，也有生命周期開(kāi)發(fā)期傳染期潛伏期發(fā)作期發(fā)現(xiàn)期消化期消亡期15. 在學(xué)習(xí)、研究計(jì)算機(jī)病毒的過(guò)程中，在遵守相關(guān)法律法規(guī)的前提下，應(yīng)嚴(yán)格遵守以下“八字原則”自尊自愛(ài)、自強(qiáng)自律16. BIOSINT13H調(diào)用是BIOS提供的磁盤基本輸入輸出中斷調(diào)用，它可以完成磁盤(包括硬盤和軟盤)的復(fù)位、讀寫、校驗(yàn)、定位、診斷、格式化等功能，完全不用考慮被操作硬盤安裝的是什么操作系統(tǒng)17. 現(xiàn)代大容量硬盤一般采用LBA(LogicBlockAddress)線性地址來(lái)尋址，以替代CHS尋址。18. 高級(jí)格式

4、化的目的是在分區(qū)內(nèi)建立分區(qū)引導(dǎo)記錄DBR(DOSBootRecord)、文件分配表FAT(FileAllocationTable)、文件目錄表FDT(FileDirectoryTable)和數(shù)據(jù)區(qū)DATA19. 主引導(dǎo)記錄(MasterBootRecord，MBR)20. 主分區(qū)表即磁盤分區(qū)表(DiskPartitionTable，DPT)21. 引導(dǎo)扇區(qū)標(biāo)記(BootRecordID/Signature)22. 通過(guò)主引導(dǎo)記錄定義的硬盤分區(qū)表，最多只能描述4個(gè)分區(qū)23. FAT32最早是出于FAT16不支持大分區(qū)、單位簇容量大以至于空間急劇浪費(fèi)等缺點(diǎn)設(shè)計(jì)的24. NTFS是一個(gè)比FAT更復(fù)雜

5、的系統(tǒng)。在NTFS中，磁盤上的任何事物都為文件25. NTFS文件系統(tǒng)中，小文件和文件夾(典型的如1023字節(jié)或更少)將全部存儲(chǔ)在文件的MFT記錄里26. 中斷(Interrupt),就是CPU暫停當(dāng)前程序的執(zhí)行，轉(zhuǎn)而執(zhí)行處理緊急事務(wù)的程序，并在該事務(wù)處理完成后能自動(dòng)恢復(fù)執(zhí)行原先程序的過(guò)程27. 中斷向量表(InterruptVectors)是一個(gè)特殊的線性表，它保存著系統(tǒng)所有中斷服務(wù)程序的入口地址(偏移量和段地址)28. 設(shè)計(jì)擴(kuò)展INT13H接口的目的是為了擴(kuò)展BIOS的功能，使其支持多于1024柱面的硬盤，以及可移動(dòng)介質(zhì)的鎖定、解鎖及彈出等功能29. INT13H磁盤輸入輸出中斷，引導(dǎo)型病

6、毒用于傳染病毒和格式化磁盤30. 在保護(hù)模式下，所有的應(yīng)用程序都具有權(quán)限級(jí)別(PrivilegeLevel，PL)。PL按優(yōu)先次序分為四等：0級(jí)、1級(jí)、2級(jí)、3級(jí)，其中0級(jí)權(quán)限最高，3級(jí)最低，目前只用到Ring0和Ring3兩個(gè)級(jí)別31. 操作系統(tǒng)核心層運(yùn)行在Ring0級(jí)，而Win32子系統(tǒng)運(yùn)行在Ring3級(jí)，為運(yùn)行在Ring3級(jí)的應(yīng)用程序提供接口32. 計(jì)算機(jī)病毒總是想方設(shè)法竊取Ring0的權(quán)限(如CIH病毒)，以實(shí)施更大范圍的破壞33. DOS可執(zhí)行文件以英文字母“MZ開(kāi)頭，通常稱之為MZ文件34. 在Windows3.0/3.1的可執(zhí)行文件，在MZ文件頭之后又有一個(gè)以“NE開(kāi)始的文件頭，

7、稱之為NE文件35. 在Win32位平臺(tái)可執(zhí)行文件格式：可移植的可執(zhí)行文件(PortableExecutableFile)格式，即PE格式。MZ文件頭之后是一個(gè)以“PE開(kāi)始的文件頭36. PE的意思就是PortableExecutable(可移植、可執(zhí)行)，它是Win32可執(zhí)行文件的標(biāo)準(zhǔn)格式37. PE文件的真正內(nèi)容劃分成塊，稱之為Section(節(jié))，緊跟在節(jié)表之后38. 引入函數(shù)節(jié).idata引入函數(shù)節(jié)可能被病毒用來(lái)直接獲取API函數(shù)地址39. 引出函數(shù)節(jié)是本文件向其他程序提供的可調(diào)用函數(shù)列表這個(gè)節(jié)一般用在DLL中，EXE文件中也可以有這個(gè)節(jié)，但通常很少使用40. 計(jì)算機(jī)病毒在傳播過(guò)程中存

8、在兩種狀態(tài)，即靜態(tài)和動(dòng)態(tài)41. 內(nèi)存中的動(dòng)態(tài)病毒又有兩種狀態(tài)：可激活態(tài)和激活態(tài)。42. 計(jì)算機(jī)病毒要完成一次完整的傳播破壞過(guò)程，必須經(jīng)過(guò)以下幾個(gè)環(huán)節(jié)：分發(fā)拷貝階段潛伏繁殖階段破壞表現(xiàn)階段43. 殺毒軟件可以將感染標(biāo)志作為病毒的特征碼之一44. 可以利用病毒根據(jù)感染標(biāo)志是否進(jìn)行感染這一特性，人為地、主動(dòng)在文件中添加感染標(biāo)志，從而在某種程度上達(dá)到病毒免疫的目的45. 無(wú)論是文件型病毒還是引導(dǎo)型病毒，其感染過(guò)程總的來(lái)說(shuō)是相似的，分為三步：進(jìn)駐內(nèi)存、判斷感染條件、實(shí)施感染46. 病毒攻擊的宿主程序是病毒的棲身地，宿主程序既是病毒傳播的目的地，又是下一次感染的出發(fā)點(diǎn)47. 計(jì)算機(jī)病毒感染的過(guò)程一般有三步

9、：(1)當(dāng)宿主程序運(yùn)行時(shí)，截取控制權(quán)；(2)尋找感染的突破口；(3)將病毒代碼放入宿主程序48. 既感染引導(dǎo)扇區(qū)又感染文件是混合感染49. 一個(gè)宿主程序上感染多種病毒，稱為交叉感染。50. 無(wú)入口點(diǎn)病毒并不是真正沒(méi)有入口點(diǎn)，而是采用入口點(diǎn)模糊(EntryPointObscuring,EPO)技術(shù)，即病毒在不修改宿主原入口點(diǎn)的前提下，通過(guò)在宿主代碼體內(nèi)某處插入跳轉(zhuǎn)指令來(lái)使病毒獲得控制權(quán)51. 滋生感染式病毒又稱作伴侶病毒或伴隨型病毒52. 滋生感染式病毒病毒不改變被感染的文件，而是為被感染的文件創(chuàng)建一個(gè)伴隨文件53. 病毒在感染時(shí)，完全不改動(dòng)宿主程序本體，而是改動(dòng)或利用與宿主程序相關(guān)的信息，將病

10、毒程序與宿主程序鏈成一體，這種感染方式稱作鏈?zhǔn)礁腥?LinkInfection)54. .COM文件結(jié)構(gòu)比較簡(jiǎn)單，是一種單段執(zhí)行結(jié)構(gòu)55. 內(nèi)存映射文件提供了一組獨(dú)立的函數(shù)，是應(yīng)用程序能夠通過(guò)內(nèi)存指針像訪問(wèn)內(nèi)存一樣對(duì)磁盤上的文件進(jìn)行訪問(wèn)56. WSH是WindowsScriptingHost(Windows腳本宿主)的縮略形式,是一個(gè)基于32位Windows平臺(tái)、并獨(dú)立于語(yǔ)言的腳本運(yùn)行環(huán)境，是一種批次語(yǔ)言/自動(dòng)執(zhí)行工具57. 宏病毒是使用宏語(yǔ)言編寫的惡意程序，存在于字處理文檔、電子數(shù)據(jù)表格、數(shù)據(jù)庫(kù)、演示文檔等數(shù)據(jù)文件中，可以在一些數(shù)據(jù)處理系統(tǒng)(主要是微軟的Word、Excel、Access等O

11、ffice軟件系統(tǒng))中運(yùn)行，利用宏語(yǔ)言的功能將自己復(fù)制、繁殖到其他數(shù)據(jù)文檔中58. 蠕蟲主要是利用計(jì)算機(jī)系統(tǒng)漏洞(Vulnerability)進(jìn)行傳染，搜索到網(wǎng)絡(luò)中存在漏洞的計(jì)算機(jī)后主動(dòng)進(jìn)行攻擊，在傳染的過(guò)程中，與計(jì)算機(jī)操作者是否進(jìn)行操作無(wú)關(guān)，從而與使用者的計(jì)算機(jī)知識(shí)水平無(wú)關(guān)59. 根據(jù)蠕蟲的傳播、運(yùn)作方式，可以將蠕蟲分為兩類主機(jī)蠕蟲網(wǎng)絡(luò)蠕蟲60. 網(wǎng)絡(luò)蠕蟲最大特點(diǎn)是利用各種漏洞進(jìn)行自動(dòng)傳播61蠕蟲的工作方式一般是掃描t攻擊t復(fù)制”62. 特洛伊木馬(TrojanHorse)，簡(jiǎn)稱木馬，是一種惡意程序，是一種基于遠(yuǎn)程控制的黑客工具，一旦侵入用戶的計(jì)算機(jī)，就悄悄地在宿主計(jì)算機(jī)上運(yùn)行，在用戶毫無(wú)察

12、覺(jué)的情況下，讓攻擊者獲得遠(yuǎn)程訪問(wèn)和控制系統(tǒng)的權(quán)限，進(jìn)而在用戶的計(jì)算機(jī)中修改文件、修改注冊(cè)表、控制鼠標(biāo)、監(jiān)視/控制鍵盤，或竊取用戶信息63. 木馬與合法遠(yuǎn)程控制軟件(如pcAnyWhere)的主要區(qū)別在于是否具有隱蔽性、是否具有非授權(quán)性64. 木馬系統(tǒng)軟件一般由木馬配置程序、控制程序和木馬程序(服務(wù)器程序)三部分組成65. 木馬獲得服務(wù)端的IP地址的方法主要有兩種：信息反饋和IP掃描66. 當(dāng)進(jìn)程為真隱藏的時(shí)候，那么這個(gè)木馬服務(wù)器運(yùn)行之后，就不應(yīng)該具備一般進(jìn)程的表現(xiàn)，也不應(yīng)該具備服務(wù)的表現(xiàn)，也就是說(shuō)，完全溶進(jìn)了系統(tǒng)的內(nèi)核67. 動(dòng)態(tài)嵌入技術(shù)是指木馬將自己的代碼嵌入正在運(yùn)行的進(jìn)程中的技術(shù)。68.

13、WindowsXP的Netstat工具提供了一個(gè)新的-o選項(xiàng)，能夠顯示出正在使用端口的程序或服務(wù)的進(jìn)程標(biāo)識(shí)符(PID)。69. 當(dāng)進(jìn)程為真隱藏的時(shí)候，那么這個(gè)木馬服務(wù)器運(yùn)行之后，就不應(yīng)該具備一般進(jìn)程的表現(xiàn)，也不應(yīng)該具備服務(wù)的表現(xiàn)，70. EPO是EntryPointObscuring技術(shù)的簡(jiǎn)寫，意即入口模糊技術(shù)，該技術(shù)改變了傳統(tǒng)的修改PE頭部的入口點(diǎn)、使其指向病毒代碼入口而使病毒代碼得以執(zhí)行的典型方法71. 對(duì)付多態(tài)病毒的最好辦法是某種形式的虛擬執(zhí)行技術(shù)，也就是仿真出一個(gè)80x86的CPU,讓解密代碼自己解密完成之后，再使用通常的特征碼識(shí)別法進(jìn)行病毒檢測(cè)72. 計(jì)算機(jī)病毒的防治技術(shù)分成四個(gè)方面

14、病毒預(yù)防技術(shù)病毒檢測(cè)技術(shù)病毒消除技術(shù)病毒免疫技術(shù)73. 計(jì)算機(jī)病毒的預(yù)防措施可概括為兩點(diǎn)勤備份嚴(yán)防守74. 比較法是用原始的正常備份與被檢測(cè)的內(nèi)容(引導(dǎo)扇區(qū)或被檢測(cè)的文件)進(jìn)行比較長(zhǎng)度比較法內(nèi)容比較法內(nèi)存比較法中斷比較法75. 利用病毒的特有行為特性監(jiān)測(cè)病毒的方法,稱為行為監(jiān)測(cè)法,也稱為人工智能陷阱法76. 軟件模擬(SoftwareEmulation)法(即后文中將詳細(xì)介紹的虛擬機(jī)對(duì)抗病毒技術(shù)),是一種軟件分析器,用軟件方法來(lái)模擬和分析程序的運(yùn)行：模擬CPU執(zhí)行,在其設(shè)計(jì)的虛擬機(jī)器(VirtualMachine)下假執(zhí)行病毒的變體引擎解碼程序,安全并確實(shí)地將多態(tài)病毒解開(kāi),使其顯露真實(shí)面目,再

15、加以掃描77. 設(shè)計(jì)虛擬機(jī)查毒的目的是為了對(duì)抗加密變形病毒二、選擇題:1.計(jì)算機(jī)病毒會(huì)造成計(jì)算機(jī)怎樣的損壞(A)A.硬件，軟件和數(shù)據(jù)B.硬件和軟件C.軟件和數(shù)據(jù)D.硬件和數(shù)據(jù)2.某片軟盤上已染有病毒，為防止該病毒傳染計(jì)算機(jī)系統(tǒng)，正確的措施是(D)B.給該軟盤加上寫保護(hù)D.將軟盤重新格式化B.在寫保護(hù)缺口貼上膠條A. 刪除該軟盤上所有程序C.將該軟盤放一段時(shí)間后再用3. 防止軟盤感染病毒的方法用(D)A. 不要把軟盤和有毒的軟盤放在一起C.保持機(jī)房清潔D.定期對(duì)軟盤格式化4. 發(fā)現(xiàn)計(jì)算機(jī)病毒后，比較徹底的清除方式是(D)A. 用查毒軟件處理B.刪除磁盤文件C用殺毒軟件處理D.格式化磁盤5. 計(jì)算

16、機(jī)病毒通常是(A)A. 段程序B.個(gè)命令C.一個(gè)文件D.個(gè)標(biāo)記6. 文件型病毒傳染的對(duì)象主要是什么類文件(C)A. .DBFB.WPSC.COM和.EXED.EXE和.WPS7. 關(guān)于計(jì)算機(jī)病毒的傳播途徑,不正確的說(shuō)法是(C)A. 通過(guò)軟盤的復(fù)制B.通過(guò)共用軟盤C.通過(guò)共同存放軟盤D.通過(guò)借用他人的軟盤8. 目前最好的防病毒軟件的作用是(D)A. 檢查計(jì)算機(jī)是否染有病毒,消除已感染的任何病毒B.杜絕病毒對(duì)計(jì)算機(jī)的侵害C. 查出計(jì)算機(jī)已感染的任何病毒，消除其中的一部分D. 檢查計(jì)算機(jī)是否染有病毒，消除已感染的部分病毒9. 公安部開(kāi)發(fā)的SCAN軟件是用于計(jì)算的(A)A. 病毒檢查B.病毒分析和統(tǒng)計(jì)

17、C.病毒防疫D.病毒示范10. 防病毒卡能夠(A)A. 自動(dòng)發(fā)現(xiàn)病毒入侵的跡象并提醒操作者或及時(shí)阻止病毒的入侵B. 杜絕病毒對(duì)計(jì)算的侵害C. 自動(dòng)發(fā)現(xiàn)并阻止任何病毒的入侵D. 自動(dòng)消除已感染的所有病毒11. 計(jì)算機(jī)病毒是可以造成機(jī)器故障的(D)A. 種計(jì)算機(jī)設(shè)備B.一塊計(jì)算機(jī)芯片C.一種計(jì)算機(jī)部件D.一種計(jì)算機(jī)程序12. 若一張軟盤封住了寫保護(hù)口，則(D)A. 既向處傳染病毒又會(huì)感染病毒B. 即不會(huì)向處傳染病毒，也不會(huì)感染病毒C. 不會(huì)傳染病毒，但會(huì)感染病毒D. 不會(huì)感染病毒，但會(huì)傳染病毒13. 防止計(jì)算機(jī)傳染病毒的方法是(A)A. 不使用有病毒的盤片B.不讓有傳染病的人操作C.提高計(jì)算機(jī)電源

18、穩(wěn)定性D.聯(lián)機(jī)操作14. 計(jì)算機(jī)病毒的危害性表現(xiàn)在(B)A. 能造成計(jì)算機(jī)器件永久性失效B. 影響程序的執(zhí)行破壞用戶數(shù)據(jù)與程序C. 不影響計(jì)算機(jī)的運(yùn)行速度D. 不影響計(jì)算機(jī)的運(yùn)算結(jié)果，不必采取措施15. 下面有關(guān)計(jì)算機(jī)病毒的說(shuō)法正確的是(C)A. 計(jì)算機(jī)病毒是一個(gè)MIS程序B. 計(jì)算機(jī)病毒是對(duì)人體有害的傳染病C. 計(jì)算機(jī)病毒是一個(gè)能夠通過(guò)自身傳染，起破壞作用的計(jì)算機(jī)程序D. 計(jì)算機(jī)病毒是一段程序，但對(duì)計(jì)算機(jī)無(wú)害16. 計(jì)算機(jī)病毒(D)A.不影響計(jì)算機(jī)的運(yùn)行速度C.不影響計(jì)算機(jī)的運(yùn)算結(jié)果17. 計(jì)算機(jī)病毒對(duì)于操作計(jì)算機(jī)的人B. 能造成計(jì)算機(jī)器件的永久性失效D. 影響程序的執(zhí)行破壞用戶數(shù)據(jù)與程序(

19、C)A.只會(huì)感染，不會(huì)致病B.會(huì)感染致病C. 不會(huì)感染D.傳染性，隱蔽性和危害性18. 計(jì)算機(jī)病毒是一組計(jì)算機(jī)程序，它具有(D_)A.傳染性B.隱蔽性C.危害性D.傳染性,隱蔽性和危害性19. 計(jì)算機(jī)病毒造成的損壞主要是(C)A.文字處理和數(shù)據(jù)庫(kù)管理軟件B.操作系統(tǒng)和數(shù)據(jù)庫(kù)管理系統(tǒng)C.程序和數(shù)據(jù)D.系統(tǒng)軟件和應(yīng)用軟件20. 以下措施不能防止計(jì)算機(jī)病毒的是(A)A.軟盤未貼寫保護(hù)B先用殺病毒軟件將從別人機(jī)器上拷來(lái)的文件清查病毒C. 不用來(lái)歷不明的磁盤D. 經(jīng)常關(guān)注防病毒軟件的版本升級(jí)情況，并盡量取得最高版本的防毒軟件21. 計(jì)算機(jī)病毒具有(A)A. 傳播性，潛伏性,破壞性B. 傳播性,破壞性，易

20、讀性C. 潛伏性，破壞性，易讀性D. 傳播性，潛伏性，安全性22. 計(jì)算機(jī)病毒是一種(D)A.機(jī)器部件B.計(jì)算機(jī)文件C.微生物”病原體”D.程序23. 計(jì)算機(jī)病毒通常分為引導(dǎo)型，復(fù)合型和(B)A.外殼型B.文件型C.內(nèi)碼型D.操作系統(tǒng)型24. 計(jì)算機(jī)病毒造成的損壞主要是(D)A.磁盤B.磁盤驅(qū)動(dòng)器C.磁盤和其中的程序及數(shù)據(jù)D.程序和數(shù)據(jù)25. 公安部開(kāi)發(fā)的KILL軟件是用于計(jì)算機(jī)的(A)A.病毒檢查和消除B.病毒分析和統(tǒng)計(jì)C.病毒防疫D.病毒防范26. 不易被感染上病毒的文件是(C)A.COMB.EXEC.TXTD.BOOT27. 文件被感染上病毒之后，其基本特征是(C)A.文件不能被執(zhí)行B.

21、文件長(zhǎng)度變短C. 文件長(zhǎng)度加長(zhǎng)D.文件照常能執(zhí)行28. 病毒程序按其侵害對(duì)象不同分為C。A、外殼型、入侵型、原碼型和外殼型B、原碼型、外殼型、復(fù)合型和網(wǎng)絡(luò)病毒C、引導(dǎo)型、文件型、復(fù)合型和網(wǎng)絡(luò)病毒D、良性型、惡性型、原碼型和外殼型29. 計(jì)算機(jī)機(jī)房安全等級(jí)分為A，B，C三級(jí)，其中C級(jí)的要求是(C)A.計(jì)算機(jī)實(shí)體能運(yùn)行B.計(jì)算機(jī)設(shè)備能安放C有計(jì)算機(jī)操作人員D. 確保系統(tǒng)作一般運(yùn)行時(shí)要求的最低限度安全性，可靠性所應(yīng)實(shí)施的內(nèi)容30. (C)是在計(jì)算機(jī)信息處理和輿過(guò)程中唯一切實(shí)可行的安全技術(shù)A.無(wú)線通信技術(shù)B.專門的網(wǎng)絡(luò)輿技術(shù)C. 密碼技術(shù)D.校驗(yàn)技術(shù)31. (A)是計(jì)算機(jī)病毒A.段程序B.批數(shù)據(jù)C.若

22、干條指令D. 能在計(jì)算機(jī)運(yùn)行時(shí)實(shí)施傳染和侵害的功能程序32. 關(guān)于計(jì)算機(jī)病毒,正確的說(shuō)法是(C)A.計(jì)算機(jī)病毒可以燒毀計(jì)算機(jī)的電子器件B. 計(jì)算機(jī)病毒是一種傳染力極強(qiáng)的生物細(xì)菌C. 計(jì)算機(jī)病毒是一種人為特制的具有破壞性的程序D. 計(jì)算機(jī)病毒一旦產(chǎn)生,便無(wú)法清除33. 計(jì)算機(jī)病毒會(huì)造成(C)A.CPU的燒毀B.磁盤驅(qū)動(dòng)器的損壞C.程序和數(shù)據(jù)的破壞D.磁盤的損壞34. 我國(guó)政府頒布的計(jì)算機(jī)軟件保護(hù)條例從何時(shí)開(kāi)始實(shí)施?CA.1986年10月B.1990年6月C.1991年10月D.1993年10月35. 計(jì)算機(jī)軟件保護(hù)條例中所稱的計(jì)算機(jī)軟件(簡(jiǎn)稱軟件)是指(D)A.計(jì)算機(jī)程序B.源程序和目標(biāo)程序C.

23、源程序36.微機(jī)病毒系指(D)A.生物病毒感染D.計(jì)算機(jī)程序及其有關(guān)文檔B.細(xì)菌感染C.被損壞的程序D.特制的具有破壞性的小程序37. 在下列計(jì)算機(jī)安全防護(hù)措施中，(C)是最重要的A. 提高管理水平和技術(shù)水平B. 提高硬件設(shè)備運(yùn)行的可靠性C預(yù)防計(jì)算機(jī)病毒的傳染和傳播D.盡量防止自然因素的損害38. 計(jì)算機(jī)犯罪是一個(gè)(B)問(wèn)題.A.技術(shù)問(wèn)題B.法律范疇的問(wèn)題C. 政治問(wèn)題D.經(jīng)濟(jì)問(wèn)題39. 計(jì)算機(jī)病毒的主要特征是(D)A.只會(huì)感染不會(huì)致病B.造成計(jì)算機(jī)器件永久失效C.格式化磁盤D.傳染性，隱蔽性,破壞性和潛伏性40. 防止軟盤感染病毒的有效方法是(C)A.定期用藥物給機(jī)器消毒B.加上寫保護(hù)C.定

24、期對(duì)軟盤進(jìn)行格式化D.把有毒盤銷毀41. 目前使用的防殺病毒軟件的作用是(C)A. 檢查計(jì)算機(jī)是否感染病毒，消除已感染的任何病毒B. 杜絕病毒對(duì)計(jì)算機(jī)的侵害C檢查計(jì)算機(jī)是否感染病毒，清除部分已感染的病毒D. 查出已感染的任何病毒,清除部分已感染的病毒42. 下面列出的計(jì)算機(jī)病毒傳播途徑，不正確的說(shuō)法是(D)A.使用來(lái)路不明的軟件B.通過(guò)借用他人的軟盤C. 通過(guò)非法的軟件拷貝D.通過(guò)把多張軟盤疊放在一起43. 計(jì)算機(jī)病毒具有隱蔽性，潛伏性，傳播性，激發(fā)性和(C)A.惡作劇性B.入侵性C.破壞性和危害性D.可擴(kuò)散性44. 不是微機(jī)之間病毒傳播的媒介的是BA、硬盤B、鼠標(biāo)C、軟盤D、光盤45. 常見(jiàn)

25、計(jì)算機(jī)病毒的特點(diǎn)有D。A.只讀性、趣味性、隱蔽性和傳染性B. 良性、惡性、明顯性和周期性C. 周期性、隱蔽性、復(fù)發(fā)性和良性D. 隱蔽性、潛伏性、傳染性和破壞性46. 對(duì)已感染病毒的磁盤B。A.用酒精消毒后可繼續(xù)使用;B. 用殺毒軟件殺毒后可繼續(xù)使用,C.可直接使用，對(duì)系統(tǒng)無(wú)任何影響;D.不能使用只能丟掉47. 發(fā)現(xiàn)計(jì)算機(jī)感染病毒后，如下操作可用來(lái)清除病毒A。A.使用殺毒軟件；B.掃描磁盤C.整理磁盤碎片；D.重新啟動(dòng)計(jì)算機(jī)48. 防止病毒入侵計(jì)算機(jī)系統(tǒng)的原則是D。A.對(duì)所有文件設(shè)置只讀屬性；B.定期對(duì)系統(tǒng)進(jìn)行病毒檢查,C. 安裝病毒免疫卡；D. 堅(jiān)持以預(yù)防為主，堵塞病毒的傳播渠道49. 復(fù)合型

26、病毒是D。A、即感染引導(dǎo)扇區(qū)，又感染W(wǎng)ORD文件B、即感染可執(zhí)行文件，又感染W(wǎng)ORD文件,C、只感染可執(zhí)行文件；D、既感染引導(dǎo)扇區(qū)，又感染可執(zhí)行文件50. 計(jì)算機(jī)病毒的防治方針是A。A.堅(jiān)持以預(yù)防為主；B.發(fā)現(xiàn)病毒后將其清除C.經(jīng)常整理硬盤；D.經(jīng)常清洗軟驅(qū)51. 計(jì)算機(jī)病毒的最終目標(biāo)在于A。A.干擾和破壞系統(tǒng)的軟、硬件資源；B.豐富原有系統(tǒng)的軟件資源，C.傳播計(jì)算機(jī)病毒；D.寄生在計(jì)算機(jī)中52. 計(jì)算機(jī)病毒所沒(méi)有的特點(diǎn)是D。A.隱藏性；B.潛伏性；C.傳染性；D.廣泛性53. 計(jì)算機(jī)病毒在發(fā)作前，它C。A、很容易發(fā)現(xiàn)；B、沒(méi)有現(xiàn)象；C、較難發(fā)現(xiàn)；D、不能發(fā)現(xiàn)54. 若出現(xiàn)下列現(xiàn)象C時(shí)，應(yīng)首先

27、考慮計(jì)算機(jī)感染了病毒。A、不能讀取光盤；B、寫軟盤時(shí)，報(bào)告磁盤已滿C、程序運(yùn)行速度明顯變慢；D、開(kāi)機(jī)啟動(dòng)Windows98時(shí)，先掃描硬盤。55. 微機(jī)感染病毒后，可能造成A。A、引導(dǎo)扇區(qū)數(shù)據(jù)損壞；B、鼠標(biāo)損壞；C、內(nèi)存條物理?yè)p壞；D、顯示器損壞56. 為了預(yù)防計(jì)算機(jī)病毒，對(duì)于外來(lái)磁盤應(yīng)采取B。A、禁止使用；B、先查毒，后使用；C、使用后，就殺毒；D、隨便使用57. 未格式化的新軟盤，A計(jì)算機(jī)病毒。A、可能會(huì)有；B、與帶毒軟盤放在一起會(huì)有C、一定沒(méi)有；D、拿過(guò)帶毒盤的手，再拿該盤后會(huì)有58. 文件型病毒感染的主要對(duì)象是B類文件。A、.TXT和.WPS；B、.COM和.EXE；C、.WPS和.EX

28、E；D、.DBF和.COM59. 下列操作中，B不可能清除文件型計(jì)算機(jī)病毒。A、刪除感染計(jì)算機(jī)病毒的文件；B、將感染計(jì)算機(jī)病毒的文件更名C、格式化感染計(jì)算機(jī)病毒的磁盤;D、用殺毒軟件進(jìn)行清除60. 下列關(guān)于計(jì)算機(jī)病毒的說(shuō)法正確的是B。A.計(jì)算機(jī)病毒不能發(fā)現(xiàn)；B.計(jì)算機(jī)病毒能自我復(fù)制，C.計(jì)算機(jī)病毒會(huì)感染計(jì)算機(jī)用戶；D.計(jì)算機(jī)病毒是一種危害計(jì)算機(jī)的生物病毒61. 下列設(shè)備中，能在微機(jī)之間傳播病毒的是C。A.掃描儀；B.鼠標(biāo)；C.光盤；D.鍵盤62. 下列現(xiàn)象中的C時(shí)，不應(yīng)首先考慮計(jì)算機(jī)感染了病毒。A、磁盤卷標(biāo)名發(fā)生變化；B、以前能正常運(yùn)行的程序突然不能運(yùn)行了C、鼠標(biāo)操作不靈活；D、可用的內(nèi)存空間

29、無(wú)故變小了三、判斷(5,8錯(cuò)誤其余全對(duì))1. 反病毒軟件預(yù)防措施和技術(shù)手段往往滯后于病毒的產(chǎn)生速度T2. 對(duì)計(jì)算機(jī)病毒的分類研究，目的在于更好地描述、分析、理解計(jì)算機(jī)病毒的特性、危害、原理及其防治技術(shù)T3. 病毒處于激活態(tài)時(shí)，不一定進(jìn)行傳染和破壞；但進(jìn)行傳染和破壞時(shí)，必然處于激活態(tài)T4. 激活態(tài)的病毒一般不會(huì)自己轉(zhuǎn)變?yōu)槭Щ顟B(tài)，失活態(tài)的出現(xiàn)必定是有外在干預(yù)T5. 在任何一個(gè)環(huán)節(jié)(階段)都可以抑制病毒的傳播、蔓延，或者清除病毒錯(cuò)誤F6. 我們應(yīng)當(dāng)盡可能地在病毒進(jìn)行破壞性攻擊之前切斷病毒傳染源、抑制病毒的傳播蔓延T7. 有的病毒有一個(gè)感染標(biāo)志，又稱病毒簽名，但不是所有的病毒都有感染標(biāo)志T8. 不同病

30、毒的感染標(biāo)志的位置、內(nèi)容都不同錯(cuò)誤F9. .COM文件結(jié)構(gòu)比較簡(jiǎn)單，是一種單段執(zhí)行結(jié)構(gòu)T10. .EXE文件采用多段結(jié)構(gòu)T11. “Melissj網(wǎng)絡(luò)蠕蟲宏病毒”(Macro.Word97.Melissa)T12. “LoverLette網(wǎng)絡(luò)蠕蟲病毒”(VBS.LoveLetter等等，都是病毒，而不是蠕蟲。T13. 以病毒命名的沖擊波病毒”(Worm.MSBIast，卻是典型的蠕蟲T四、名詞解釋1. PE文件2. 防火墻3. 特洛伊木馬4. 宏病毒5. 低級(jí)格式化6. 蠕蟲7. 腳本病毒五、簡(jiǎn)答1、病毒采用的觸發(fā)條件主要有以下幾種？2、病毒為什么需要重定位？3、引導(dǎo)型病毒的判斷與清除？4、為

31、什么要獲取API函數(shù)地址5、如何獲取API函數(shù)地址6、病毒感染PE文件的基本方法7、文件操作相關(guān)API函數(shù)8、VBS腳本病毒的特點(diǎn)9、VBS腳本病毒的弱點(diǎn)9、VBS腳本病毒如何防范？10、宏病毒的傳播方式11、宏病毒采用哪些傳播方式？12、如何防治和清除宏病毒？13、簡(jiǎn)要描述CIH病毒的觸發(fā)機(jī)制、感染機(jī)制。14、如何讓系統(tǒng)對(duì)CIH病毒具有免疫能力？15、試述蠕蟲與病毒的差別和聯(lián)系16、在你看來(lái)，Nimda是病毒還是蠕蟲？為什么？17、蠕蟲傳播過(guò)程中，如何優(yōu)化搜索目標(biāo)主機(jī)的策略？18、蠕蟲的檢測(cè)與清除19、蠕蟲常用的掃描策略20、木馬的基本原理21、特洛伊木馬的傳播方式木馬常用的傳播方式，有幾種

32、？22、木馬的危害木馬能實(shí)現(xiàn)的功能有哪些？23、木馬的啟動(dòng)方式有哪些？24、病毒的共同行為？25、發(fā)現(xiàn)病毒后，清除病毒的一般步驟？26、簡(jiǎn)述計(jì)算機(jī)病毒的定義和特點(diǎn)？27、簡(jiǎn)述PE病毒的感染過(guò)程是怎樣的？28、說(shuō)明宏病毒的傳播方式（word為例）？29、說(shuō)明文件型病毒的感染機(jī)理？30、請(qǐng)說(shuō)明蠕蟲的行為特征。31、請(qǐng)簡(jiǎn)要說(shuō)明引導(dǎo)型病毒的啟動(dòng)過(guò)程（可畫流程圖）？32、請(qǐng)說(shuō)明VBS腳本病毒的特點(diǎn)。33、計(jì)算機(jī)病毒有哪些傳播途徑？34、為什么同一個(gè)病毒會(huì)有多個(gè)不同的名稱？35、如何理解木馬與病毒的關(guān)系？36、蠕蟲與病毒之間的區(qū)別及聯(lián)系。37、計(jì)算機(jī)病毒一般采用哪些條件作為觸發(fā)條件？六綜合問(wèn)答題1、檢測(cè)計(jì)

33、算機(jī)病毒的主要方法有哪些？并詳細(xì)說(shuō)明。2、寫出并分析說(shuō)明文件操作相關(guān)API函數(shù)。3、腳本病毒有哪些弱點(diǎn)？有哪些防范措施？4、說(shuō)明感染PE文件的基本步驟。5、分析解釋并說(shuō)明木馬的基本原理。6、說(shuō)明啟發(fā)式掃描技術(shù)的基本思想。參考復(fù)習(xí)題，基本覆蓋了教材和課件中的重要知識(shí)點(diǎn)，請(qǐng)認(rèn)真復(fù)習(xí)教材和課件，也可以借助于百度等搜索工具復(fù)習(xí)。、填空（30分）78. 程序性決定了計(jì)算機(jī)病毒的可防治性、可清除性，反病毒技術(shù)就是要提前取得計(jì)算機(jī)系統(tǒng)的控制權(quán)，識(shí)別出計(jì)算機(jī)病毒的代碼和行為，阻止其取得系統(tǒng)控制權(quán)，并及時(shí)將其清除。79. 特洛伊木馬是指表面上是有用的軟件、實(shí)際目的卻是危害計(jì)算機(jī)安全并導(dǎo)致嚴(yán)重破壞的計(jì)算機(jī)程序，是

34、一種在遠(yuǎn)程計(jì)算機(jī)之間建立連接，使遠(yuǎn)程計(jì)算機(jī)能通過(guò)網(wǎng)絡(luò)控制本地計(jì)算機(jī)的非法程序。80. 客戶端是用于攻擊者遠(yuǎn)程控制已植入木馬的計(jì)算機(jī)的程序。81. 計(jì)算機(jī)病毒英文命名規(guī)則也就是國(guó)際上對(duì)病毒命名的一般慣例為前綴+病毒名+后綴”即三元組命名規(guī)則82. 在學(xué)習(xí)、研究計(jì)算機(jī)病毒的過(guò)程中，在遵守相關(guān)法律法規(guī)的前提下，應(yīng)嚴(yán)格遵守以下八字原貝一一尊自愛(ài)、自強(qiáng)自律83. 中斷向量表（InterruptVectors）是一個(gè)特殊的線性表，它保存著系統(tǒng)所有中斷服務(wù)程序的入口地址(偏移量和段地址)84. 引出函數(shù)節(jié)是本文件向其他程序提供的可調(diào)用函數(shù)列表這個(gè)節(jié)一般用在DLL中，EXE文件中也可以有這個(gè)節(jié)，但通常很少使用

35、85. 殺毒軟件可以將感染標(biāo)志作為病毒的特征碼之一86. 無(wú)論是文件型病毒還是引導(dǎo)型病毒，其感染過(guò)程總的來(lái)說(shuō)是相似的，分為三步：進(jìn)駐內(nèi)存、判斷感染條件、實(shí)施感染87. 無(wú)入口點(diǎn)病毒并不是真正沒(méi)有入口點(diǎn)，而是采用入口點(diǎn)模糊(EntryPointObscuring，EPO)技術(shù)，即病毒在不修改宿主原入口點(diǎn)的前提下，通過(guò)在宿主代碼體內(nèi)某處插入跳轉(zhuǎn)指令來(lái)使病毒獲得控制權(quán)88. 滋生感染式病毒又稱作伴侶病毒或伴隨型病毒89. 內(nèi)存映射文件提供了一組獨(dú)立的函數(shù)，是應(yīng)用程序能夠通過(guò)內(nèi)存指針像訪問(wèn)內(nèi)存一樣對(duì)磁盤上的文件進(jìn)行訪問(wèn)90. WSH是Windows腳本宿主的縮略形式,是一個(gè)基于32位Windows平臺(tái)

36、、并獨(dú)立于語(yǔ)言的腳本運(yùn)行環(huán)境，是一種批次語(yǔ)言/自動(dòng)執(zhí)行工具91. 動(dòng)態(tài)嵌入技術(shù)是指木馬將自己的代碼嵌入正在運(yùn)行的進(jìn)程中的技術(shù)。92. 計(jì)算機(jī)病毒的預(yù)防措施可概括為兩點(diǎn)勤備份嚴(yán)防守93. 比較法是用原始的正常備份與被檢測(cè)的內(nèi)容(引導(dǎo)扇區(qū)或被檢測(cè)的文件)進(jìn)行比較長(zhǎng)度比較法內(nèi)容比較法內(nèi)存比較法中斷比較法94. 利用病毒的特有行為特性監(jiān)測(cè)病毒的方法，稱為行為監(jiān)測(cè)法，也稱為人工智能陷阱法二、選擇題(10)1. 計(jì)算機(jī)病毒會(huì)造成計(jì)算機(jī)怎樣的損壞(A)A硬件，軟件和數(shù)據(jù)B硬件和軟件C.軟件和數(shù)據(jù)D硬件和數(shù)據(jù)2. 某片軟盤上已染有病毒,為防止該病毒傳染計(jì)算機(jī)系統(tǒng),正確的措施是(D)A刪除該軟盤上所有程序B.給

37、該軟盤加上寫保護(hù)C.將該軟盤放一段時(shí)間后再用D.將軟盤重新格式化3. 防止軟盤感染病毒的方法用(B)A.不要把軟盤和有毒的軟盤放在一起B(yǎng).在寫保護(hù)缺口貼上膠條C.保持機(jī)房清潔D.定期對(duì)軟盤格式化4.發(fā)現(xiàn)計(jì)算機(jī)病毒后，比較徹底的清除方式是(D)A.用查毒軟件處理B.刪除磁盤文件C.用殺毒軟件處理D.格式化磁盤5.計(jì)算機(jī)病毒通常是(A)A.一段程序B.一個(gè)命令C.一個(gè)文件D.一個(gè)標(biāo)記6.文件型病毒傳染的對(duì)象主要是什么類文件(C)A.DBFB.WPSC.COM和.EXED.EXE和.WPS7. 關(guān)于計(jì)算機(jī)病毒的傳播途徑，不正確的說(shuō)法是(C)A.通過(guò)軟盤的復(fù)制B.通過(guò)共用軟盤C.通過(guò)共同存放軟盤D.通

38、過(guò)借用他人的軟盤8. 目前最好的防病毒軟件的作用是(A)A.檢查計(jì)算機(jī)是否染有病毒，消除已感染的任何病毒B.杜絕病毒對(duì)計(jì)算機(jī)的侵害C.查出計(jì)算機(jī)已感染的任何病毒，消除其中的一部分D.檢查計(jì)算機(jī)是否染有病毒，消除已感染的部分病毒9. 計(jì)算機(jī)病毒是可以造成機(jī)器故障的(D)A.種計(jì)算機(jī)設(shè)備B.一塊計(jì)算機(jī)芯片C.一種計(jì)算機(jī)部件D.一種計(jì)算機(jī)程序10. 若一張軟盤封住了寫保護(hù)口，則(D)A.既向外傳染病毒又會(huì)感染病毒B.即不會(huì)向外傳染病毒，也不會(huì)感染病毒C.不會(huì)傳染病毒，但會(huì)感染病毒D.不會(huì)感染病毒，但會(huì)傳染病毒三、判斷(10分)14. 反病毒軟件預(yù)防措施和技術(shù)手段往往滯后于病毒的產(chǎn)生速度T15. 對(duì)計(jì)

39、算機(jī)病毒的分類研究，目的在于更好地描述、分析、理解計(jì)算機(jī)病毒的特性、危害、原理及其防治技術(shù)T16. 病毒處于激活態(tài)時(shí)，不一定進(jìn)行傳染和破壞；但進(jìn)行傳染和破壞時(shí)，必然處于激活態(tài)T17. 激活態(tài)的病毒一般不會(huì)自己轉(zhuǎn)變?yōu)槭Щ顟B(tài)，失活態(tài)的出現(xiàn)必定是有外在干預(yù)T18. 在任何一個(gè)環(huán)節(jié)（階段）都可以抑制病毒的傳播、蔓延，或者清除病毒T19. 我們應(yīng)當(dāng)盡可能地在病毒進(jìn)行破壞性攻擊之前切斷病毒傳染源、抑制病毒的傳播蔓延T20. 在任何一個(gè)環(huán)節(jié)（階段）都可以抑制病毒的傳播、蔓延，或者清除病毒T21. 不同病毒的感染標(biāo)志的位置、內(nèi)容都不同T22. .COM文件結(jié)構(gòu)比較簡(jiǎn)單，是一種單段執(zhí)行結(jié)構(gòu)T23. .EXE文件

40、采用多段結(jié)構(gòu)T四、名詞解釋（15分）8. PE文件-PE的意思就是PortableExecutable（可移植、可執(zhí)行）,它是Win32可執(zhí)行文件的標(biāo)準(zhǔn)格式9. 防火墻-它是一種位于內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)安全系統(tǒng)。一項(xiàng)信息安全的防護(hù)系統(tǒng)，依照特定的規(guī)則，允許或是限制傳輸?shù)臄?shù)據(jù)通過(guò)。10. 特洛伊木馬-特洛伊木馬（TrojanHorse），簡(jiǎn)稱木馬，是一種惡意程序，是一種基于遠(yuǎn)程控制的黑客工具，一旦侵入用戶的計(jì)算機(jī)，就悄悄地在宿主計(jì)算機(jī)上運(yùn)行，在用戶毫無(wú)察覺(jué)的情況下，讓攻擊者獲得遠(yuǎn)程訪問(wèn)和控制系統(tǒng)的權(quán)限，進(jìn)而在用戶的計(jì)算機(jī)中修改文件、修改注冊(cè)表、控制鼠標(biāo)、監(jiān)視/控制鍵盤，或竊取用戶信息11

41、. 蠕蟲-蠕蟲主要是利用計(jì)算機(jī)系統(tǒng)漏洞（VuInerability）進(jìn)行傳染，搜索到網(wǎng)絡(luò)中存在漏洞的計(jì)算機(jī)后主動(dòng)進(jìn)行攻擊，在傳染的過(guò)程中，與計(jì)算機(jī)操作者是否進(jìn)行操作無(wú)關(guān)，從而與使用者的計(jì)算機(jī)知識(shí)水平無(wú)關(guān)12. 宏病毒-宏病毒是使用宏語(yǔ)言編寫的惡意程序，存在于字處理文檔、電子數(shù)據(jù)表格、數(shù)據(jù)庫(kù)、演示文檔等數(shù)據(jù)文件中，可以在一些數(shù)據(jù)處理系統(tǒng)（主要是微軟的Word、Excel、Access等Ofice軟件系統(tǒng)）中運(yùn)行，禾U用宏語(yǔ)言的功能將自己復(fù)制、繁殖到其他數(shù)據(jù)文檔中五、簡(jiǎn)答（25分）1、病毒采用的觸發(fā)條件主要有幾種？至少說(shuō)出五種。2、病毒為什么需要重定位？病毒不可避免也要用到變量（常量），當(dāng)病毒感染

42、HOST程序后，由于其依附到不冋HOST程序中的位置各有不冋，病毒隨著HOST載入內(nèi)存后，病毒中的各個(gè)變量（常量）在內(nèi)存中的位置自然也會(huì)隨著發(fā)生變化3、說(shuō)明引導(dǎo)型病毒的判斷與清除。（1）由于引導(dǎo)程序本身完成的功能比較簡(jiǎn)單，所以我們可以判斷該引導(dǎo)程序的合法性（看JMP指令的合法性）（2）病毒駐留在內(nèi)存，時(shí)刻監(jiān)視系統(tǒng)的運(yùn)行，伺機(jī)感染。縮小內(nèi)存大小值，影響讀寫文件速度。檢查引導(dǎo)扇區(qū)、檢查內(nèi)存容量可以發(fā)現(xiàn)病毒4、為什么要獲取API函數(shù)地址？（1）Win32程序一般運(yùn)行在Ring3級(jí)，處于保護(hù)模式（2）Win32下的系統(tǒng)功能調(diào)用，不是通過(guò)中斷實(shí)現(xiàn)，而是通過(guò)調(diào)用動(dòng)態(tài)連接庫(kù)中的API函數(shù)實(shí)現(xiàn)（3）Win32

43、PE病毒和普通Win32PE程序一樣需要調(diào)用API函數(shù)實(shí)現(xiàn)某些功能，但是對(duì)于Win32PE病毒來(lái)說(shuō)，它只有代碼節(jié)，并不存在引入函數(shù)節(jié)病毒就無(wú)法象普通PE程序那樣直接調(diào)用相關(guān)API函數(shù)，而應(yīng)該先找出這些API函數(shù)在相應(yīng)DLL中的地址5、說(shuō)明文件操作相關(guān)API函數(shù)有哪些？六. 綜合題（10分）結(jié)合自己的理解說(shuō)明啟發(fā)式掃描技術(shù)的基本思想。啟發(fā)式掃描技術(shù)，實(shí)際上就是把這種經(jīng)驗(yàn)和知識(shí)移植到一個(gè)查病毒軟件中的具體程序體現(xiàn)。因此，在這里,啟發(fā)式指的自我發(fā)現(xiàn)的能力”或運(yùn)用某種方式或方法去判定事物的知識(shí)和技能?！薄⑻羁?5. 是否具有傳染性，是判別一個(gè)程序是否為計(jì)算機(jī)病毒的首要條件。96. 計(jì)算機(jī)病毒因某個(gè)事件

44、或數(shù)值的出現(xiàn)，誘使病毒實(shí)施感染或進(jìn)行攻擊的特性稱為可觸發(fā)性97. 病毒程序嵌入到宿主程序中，依賴于宿主程序的執(zhí)行而生存，這就是計(jì)算機(jī)病毒的寄生性。98. 病毒的最大特點(diǎn)是其傳染性，原因是其自身程序不斷復(fù)制的結(jié)果，即程序本身復(fù)制到其他程序中或簡(jiǎn)單地在某一系統(tǒng)中不斷地復(fù)制自己。99. 計(jì)算機(jī)病毒按寄生對(duì)象分為引導(dǎo)型病毒、文件型病毒、混合型病毒。100. 蠕蟲(Worm)是一種獨(dú)立的可執(zhí)行程序，主要由主程序和引導(dǎo)程序兩部分組成101. 蠕蟲程序的工作流程可以分為漏洞掃描、攻擊、傳染、現(xiàn)場(chǎng)處理四個(gè)階段102. 一般的木馬都有客戶端和服務(wù)器端兩個(gè)程序103. 計(jì)算機(jī)病毒的產(chǎn)生過(guò)程可分為：程序設(shè)計(jì)t傳播t

45、潛伏t觸發(fā)、運(yùn)行t實(shí)施攻擊104. INT13H調(diào)用是BIOS提供的磁盤基本輸入輸出中斷調(diào)用，它可以完成磁盤(包括硬盤和軟盤)的復(fù)位、讀寫、校驗(yàn)、定位、診斷、格式化等功能，完全不用考慮被操作硬盤安裝的是什么操作系統(tǒng)105. 通過(guò)主引導(dǎo)記錄定義的硬盤分區(qū)表，最多只能描述4個(gè)分區(qū)106. NTFS是一個(gè)比FAT更復(fù)雜的系統(tǒng)。在NTFS中，磁盤上的任何事物都為文件107. 中斷(Interrupt)，就是CPU暫停當(dāng)前程序的執(zhí)行，轉(zhuǎn)而執(zhí)行處理緊急事務(wù)的程序，并在該事務(wù)處理完成后能自動(dòng)恢復(fù)執(zhí)行原先程序的過(guò)程108. 在保護(hù)模式下，所有的應(yīng)用程序都具有權(quán)限級(jí)別(PrivilegeLevel,PL)。PL

46、按優(yōu)先次序分為四等，其中0級(jí)權(quán)限最高，3級(jí)最低。109. 在Win32位平臺(tái)可執(zhí)行文件格式：可移植的可執(zhí)行文件格式，即PE格式。110. 引出函數(shù)節(jié)是本文件向其他程序提供的可調(diào)用函數(shù)列表這個(gè)節(jié)一般用在DLL中，EXE文件中也可以有這個(gè)節(jié)，但通常很少使用111. 計(jì)算機(jī)病毒在傳播過(guò)程中存在兩種狀態(tài)，即靜態(tài)和動(dòng)態(tài)112. 計(jì)算機(jī)病毒要完成一次完整的傳播破壞過(guò)程，必須經(jīng)過(guò)以下幾個(gè)環(huán)節(jié)：分發(fā)拷貝階段、潛伏繁殖階段、破壞表現(xiàn)階段113. 可以利用病毒根據(jù)感染標(biāo)志是否進(jìn)行感染這一特性，人為地、主動(dòng)在文件中添加，從而在某種程度上達(dá)到病毒免疫的目的二、選擇題：1.計(jì)算機(jī)病毒是可以造成機(jī)器故障的(D)A.一種計(jì)

47、算機(jī)設(shè)備B.一塊計(jì)算機(jī)芯片C一種計(jì)算機(jī)部件D.一種計(jì)算機(jī)程序2防止計(jì)算機(jī)傳染病毒的方法是(A)A.不使用有病毒的盤片B.不讓有傳染病的人操作C.提高計(jì)算機(jī)電源穩(wěn)定性D.聯(lián)機(jī)操作3. 計(jì)算機(jī)病毒的危害性表現(xiàn)在(B)A.不能造成計(jì)算機(jī)器件永久性失效B.影響程序的執(zhí)行破壞用戶數(shù)據(jù)與程序C.不影響計(jì)算機(jī)的運(yùn)行速度D.不影響計(jì)算機(jī)的運(yùn)算結(jié)果，不必采取措施4. 下面有關(guān)計(jì)算機(jī)病毒的說(shuō)法正確的是(C)A.計(jì)算機(jī)病毒是一個(gè)MIS程序B.計(jì)算機(jī)病毒是對(duì)人體有害的傳染病C.計(jì)算機(jī)病毒是能夠傳染，起破壞作用的計(jì)算機(jī)程序D.計(jì)算機(jī)病毒是一段程序，但對(duì)計(jì)算機(jī)無(wú)害5. 計(jì)算機(jī)病毒(D)A.不影響計(jì)算機(jī)的運(yùn)行速度B.能造成

48、計(jì)算機(jī)器件的永久性失效C.不影響計(jì)算機(jī)的運(yùn)算結(jié)果D.影響程序的執(zhí)行破壞用戶數(shù)據(jù)與程序6. 計(jì)算機(jī)病毒對(duì)于操作計(jì)算機(jī)的人(C)A.只會(huì)感染，不會(huì)致病B.會(huì)感染致病C.不會(huì)感染D.傳染性，隱蔽性和危害性7. 計(jì)算機(jī)病毒是一組計(jì)算機(jī)程序，它具有(D)A.傳染性B.隱蔽性C.危害性D.傳染性，隱蔽性和危害性8計(jì)算機(jī)病毒造成的損壞主要是(C)A.文字處理和數(shù)據(jù)庫(kù)管理軟件B.操作系統(tǒng)和數(shù)據(jù)庫(kù)管理系統(tǒng)C.程序和數(shù)據(jù)系統(tǒng)軟件和應(yīng)用軟件9以下措施不能防止計(jì)算機(jī)病毒的是(A)A.軟盤未貼寫保護(hù)B先用殺病毒軟件將從別人機(jī)器上拷來(lái)的文件清查病毒C.不用來(lái)歷不明的磁盤D.經(jīng)常關(guān)注防病毒軟件的版本升級(jí)情況，并盡量取得最高

49、版本的防毒軟件10. 計(jì)算機(jī)病毒具有(A)A.傳播性，潛伏性，破壞性B.傳播性,破壞性，易讀性C.潛伏性,破壞性，易讀性D.傳播性，潛伏性,安全性三、判斷24. 反病毒軟件預(yù)防措施和技術(shù)手段往往滯后于病毒的產(chǎn)生速度T25. 對(duì)計(jì)算機(jī)病毒的分類研究，目的在于更好地描述、分析、理解計(jì)算機(jī)病毒的特性、危害、原理及其防治技術(shù)T26. 病毒處于激活態(tài)時(shí)，不一定進(jìn)行傳染和破壞；但進(jìn)行傳染和破壞時(shí)，必然處于激活態(tài)T27. 激活態(tài)的病毒一般不會(huì)自己轉(zhuǎn)變?yōu)槭Щ顟B(tài)，失活態(tài)的出現(xiàn)必定是有外在干預(yù)T28. 在任何一個(gè)環(huán)節(jié)(階段)都可以抑制病毒的傳播、蔓延，或者清除病毒T29. 我們應(yīng)當(dāng)盡可能地在病毒進(jìn)行破壞性攻擊之前

50、切斷病毒傳染源、抑制病毒的傳播蔓延T30. 有的病毒有一個(gè)感染標(biāo)志，又稱病毒簽名，但不是所有的病毒都有感染標(biāo)志t31. 不同病毒的感染標(biāo)志的位置、內(nèi)容都不同32. .COM文件結(jié)構(gòu)比較簡(jiǎn)單，是一種單段執(zhí)行結(jié)構(gòu)T33. .EXE文件采用多段結(jié)構(gòu)t34. 四、名詞解釋13. PE文件PE文件被稱為可移植的執(zhí)行體是PortableExecute的全稱，常見(jiàn)的EXE、DLL、OCX、SYS、COM都是PE文件，PE文件是微軟Windows操作系統(tǒng)上的程序文件14. 腳本病毒腳本病毒通常是JavaScript代碼編寫的惡意代碼，一般帶有廣告性質(zhì)，會(huì)修改您的IE首頁(yè)、修改注冊(cè)表等信息，造成用戶使用計(jì)算機(jī)不

51、方便15. 特洛伊木馬特洛伊木馬(TrojanHorse)，簡(jiǎn)稱木馬，是一種惡意程序，是一種基于遠(yuǎn)程控制的黑客工具，一旦侵入用戶的計(jì)算機(jī)，就悄悄地在宿主計(jì)算機(jī)上運(yùn)行，在用戶毫無(wú)察覺(jué)的情況下，讓攻擊者獲得遠(yuǎn)程訪問(wèn)和控制系統(tǒng)的權(quán)限，進(jìn)而在用戶的計(jì)算機(jī)中修改文件、修改注冊(cè)表、控制鼠標(biāo)、監(jiān)視/控制鍵盤，或竊取用戶信息。114. 蠕蟲蠕蟲(Worm)是一種獨(dú)立的可執(zhí)行程序，主要由主程序和引導(dǎo)程序兩部分組成115. 宏病毒宏病毒是使用宏語(yǔ)言編寫的惡意程序，存在于字處理文檔、電子數(shù)據(jù)表格、數(shù)據(jù)庫(kù)、演示文檔等數(shù)據(jù)文件中，可以在一些數(shù)據(jù)處理系統(tǒng)(主要是微軟的Word、Excel、Access等Office軟件系

52、統(tǒng))中運(yùn)行，利用宏語(yǔ)言的功能將自己復(fù)制、繁殖到其他數(shù)據(jù)文檔中16.五、簡(jiǎn)答1、文件操作相關(guān)API函數(shù)2、VBS腳本病毒具有如下幾個(gè)特點(diǎn)：1編寫簡(jiǎn)單2破壞力大3感染力強(qiáng)4傳播范圍廣5病毒源碼容易被獲取6欺騙性強(qiáng)7使病毒生產(chǎn)機(jī)實(shí)現(xiàn)起來(lái)非常容易3、宏病毒的傳播方式:1.軟盤交流染毒文檔文件；2.硬盤染毒，處理的文檔文件必將染毒；a、/,-jfcu3.光盤攜帶宏病毒；4.Internet上下載染毒文檔文件；5.BBS交流染毒文檔文件；6.電子郵件的附件夾帶病毒。4、簡(jiǎn)要說(shuō)明蠕蟲的手工清除方法。5、木馬的基本原理一個(gè)完整的木馬系統(tǒng)由硬件部分，軟件部分和具體連接部分組成。(1)硬件部分：建立木馬連接所必須

53、的硬件實(shí)體?？刂贫耍簩?duì)服務(wù)端進(jìn)行遠(yuǎn)程控制的一方。服務(wù)端：被控制端遠(yuǎn)程控制的一方。INTERNET:控制端對(duì)服務(wù)端進(jìn)行遠(yuǎn)程控制，數(shù)據(jù)傳輸?shù)木W(wǎng)絡(luò)載體。(2) 軟件部分：實(shí)現(xiàn)遠(yuǎn)程控制所必須的軟件程序。控制端程序：控制端用以遠(yuǎn)程控制服務(wù)端的程序。木馬程序：潛入服務(wù)端內(nèi)部，獲取其操作權(quán)限的程序。木馬配置程序：設(shè)置木馬程序的端口號(hào)，觸發(fā)條件，木馬名稱等，使其在服務(wù)端藏得更隱蔽的程序。具體連接部分：通過(guò)INTERNET在服務(wù)端和控制端之間建立一條木馬通道所必須的元素?？刂贫薎P,服務(wù)端IP:即控制端，服務(wù)端的網(wǎng)絡(luò)地址，也是木馬進(jìn)行數(shù)據(jù)傳輸?shù)哪康牡?。控制端端口，木馬端口：即控制端，服務(wù)端的數(shù)據(jù)入口，通過(guò)這個(gè)入

54、口，數(shù)據(jù)可直達(dá)控制端程序或木馬程序。六綜合問(wèn)答題說(shuō)明感染PE文件的基本步驟。1判斷目標(biāo)文件是否是“MZ”開(kāi)頭2判斷PE文件標(biāo)記“PE”3判斷是否感染標(biāo)記4獲得Directory的個(gè)數(shù)，每個(gè)數(shù)據(jù)目錄信息占8字節(jié)5得到節(jié)表的起始位置，Directory的偏移位置+數(shù)據(jù)目錄占用的字節(jié)數(shù)=節(jié)表起始位置；找到要添加的新節(jié)的文件偏移量6得到目前最后節(jié)表的末尾偏移7寫入節(jié)表一、填空116. 計(jì)算機(jī)病毒因某個(gè)事件或數(shù)值的出現(xiàn)，誘使病毒實(shí)施感染或進(jìn)行攻擊的特性稱為可觸發(fā)性117. 蠕蟲(Worm)是一種獨(dú)立的可執(zhí)行程序，主要由主程序和引導(dǎo)程序兩部分組成118. 服務(wù)器端程序就是在用戶計(jì)算機(jī)種的木馬程序119.

55、計(jì)算機(jī)病毒英文命名規(guī)則也就是國(guó)際上對(duì)病毒命名的一般慣例為前綴+病毒名+后綴”，即三元組命名規(guī)則120. 計(jì)算機(jī)病毒是一類特殊的程序，也有生命周期，分為開(kāi)發(fā)期、傳染期、潛伏期、發(fā)作期、發(fā)現(xiàn)期、消化期、消亡期121. 在學(xué)習(xí)、研究計(jì)算機(jī)病毒的過(guò)程中，在遵守相關(guān)法律法規(guī)的前提下，應(yīng)嚴(yán)格遵守以下八字原則”一一自尊自愛(ài)、自強(qiáng)自律122. 現(xiàn)代大容量硬盤一般采用LBA線性地址來(lái)尋址，以替代CHS尋址。123. 高級(jí)格式化的目的是在分區(qū)內(nèi)建立分區(qū)引導(dǎo)記錄DBR(DOSBootRecord)、文件分配表FAT(FileAllocationTable)、文件目錄表FDT(FileDirectoryTable)和數(shù)據(jù)區(qū)DATA124. NTFS文件系統(tǒng)中，小文件和文件夾(典型的如1023字節(jié)或更少)將全部存儲(chǔ)在文件的MFT記錄里125. 操作系統(tǒng)核心層運(yùn)行在Ring0級(jí)，而Win32子系統(tǒng)運(yùn)行在Ring3級(jí)，為運(yùn)行的應(yīng)用程序提供接口126. DOS可執(zhí)行文件，通常稱之為MZ文件127. 內(nèi)存中的動(dòng)態(tài)病毒又有兩種狀態(tài)：可激活態(tài)和激活態(tài)。128. 殺毒軟件可以將感染標(biāo)志作為病毒的特征碼之一129. 既感染引導(dǎo)扇區(qū)又感染文件是混合感染13