《计算机病毒》复习思考题2011

《计算机病毒》复习思考题

第一章 计算机病毒概述

1. 简述计算机病毒的定义和特征。（广义狭义P1—2，11个特征P3—6） 2. 计算机病毒有哪些分类方法？根据每种分类方法，试举出一到两个病毒。 （8个分类P8—11、例子书上）

3. 为什么同一个病毒会有多个不同的名称？如何通过病毒的名称识别病毒的类型？ （P16，P16、P20）

4. 简述计算机病毒产生的背景。P35—37

5. 计算机病毒有哪些传播途径？（P29有五点）

6. 试比较与计算机病毒症状相似的软件故障。（P26有九点） 7. 试比较与计算机病毒症状相似的硬件故障。（P25—26有五点）

8. 计算机病毒为什么是可以防治、可以清除的？（P41）

9. 分析“新欢乐时光”病毒的源代码及其特性，结合三元组中病毒名命名优先级，分析各杀毒软件商对该病毒存在不同命名的原因。

? 查找相关资料，试述计算机病毒发展趋势(P35-37)与特点。(P37-38) ? 研究计算机病毒有哪些基本原则？(P42) ?

搭建病毒分析的环境有哪些方法？

可在虚拟环境下进行，比如在VirtualBox 、VMware环境下安装操作系统作为测试研究病毒的环境。

可使用影子系统，在全模式下进行试验。 可在使用硬盘保护卡的环境下进行试验。

可以使用RAMOS（内存操作系统）作为测试研究病毒的环境。

第2章 预备知识

1. 硬盘主引导扇区由哪几部分构成？(P51)一个硬盘最多可分几个主分区？(最多4个)为什么？主分区，也称为主磁盘分区，和扩展分区、逻辑分区一样，是一种分区类型。主分区中不能再划分其他类型的分区，因此每个主分区都相当于一个逻辑磁盘（在这一点上主分区和逻辑分区很相似，但主分区是直接在硬盘上划分的，逻辑分区则必须建立于扩展分区中）。 由于硬盘仅仅为分区表保留了64个字节的存储空间，而每个分区的参数需要占据16个字节，故主引导扇区中总计只能存储4个分区的数据。（16*4=64） 也就是说，一块物理硬盘只能划分为4个逻辑磁盘。在具体的应用中，4个逻辑磁盘往往不能满足实际需求。为了建立更多的逻辑磁盘供操作系统使用，引入了扩展分区和逻辑分区，并把原来的分区类型称为主分区。扩展分区也像主分区一样占用16字节，所以一个硬盘也可以分三个主分区一个扩展分区！ 扩展分区里面又可以分多个逻辑分区，这样就可以打破最多只能分4个区数量的瓶颈！Fdisk/mbr命令是否会重写整个主引导扇区？(是的P51)

2．低级格式化、高级格式化的功能与作用是什么？（P48、P51）高级格式化(FORMAT)能否清除任何计算机病毒？（不能）为什么？P52

高级格式化就是与操作系统有关的操作，清除硬盘上的数据、生成引导区的信息、初始化FAT表和标注逻辑坏道等。因为MBR不能重写，所以有存在病毒的可能。

3. DOS下的EXE文件病毒是如何获取控制权的？（P85有四点）感染EXE文件，需对宿主作哪些修改？（P85）

4. 针对PE文件格式，请思考：Win32病毒感染PE文件，须对该文件作哪些修改？（P86） 5．简介有哪些常用的磁盘编辑软件（WinHex）、分区软件：（Fdisk、Partition Magic）。 6．简述Windows XP的启动过程。（P71—72） 7、简述Windows 7的启动过程。（P73）

第3章 计算机病毒的逻辑结构与基本机制

1. 计算机病毒在任何情况下都具有感染力或破坏力吗？为什么？

不一定。因为病毒在传播过程中存在两种状态，静态和动态。病毒的主动传染和破坏作

业，都是动态病毒的“杰作”。所以当一般病毒处于静态时，其传播只能通过文件下载（拷贝）实现，因为静态病毒尚未被加载、尚未进入内存，不可能获取系统的执行权限，就没有感染力和破坏力。内存中的病毒有一种特殊的状态，失活态，在这个状态的病毒是不可能进行传染或破坏的。

2. 文件型病毒有哪些感染方式？P115-P121

寄生感染、无入口点感染、滋生感染、链式感染、OBJ、LIB和源码的感染。 3．计算机病毒的感染过程是什么？P113

4．结合病毒的不同感染方式，思考该病毒相应的引导机制。P112-P113 4．计算机病毒一般采用哪些条件作为触发条件？P122-P123 5. 找一个病毒，试分析其感染机制、触发机制和破坏机制。 Funlove是文件型病毒 感染机制：

6. 绘出Funlove的流程图，并说明其引导部分的作用。P125 ? 试述计算机病毒的逻辑结构。P109

第4章 DOS病毒的基本原理与DOS病毒分析

1．什么是病毒的重定位？病毒一般采用什么方法进行重定位？P158 2. 试述引导型病毒的启动过程。P160

3．编写程序，利用INT 13H实现引导区的备份与恢复。P161

4. 编写程序，利用该程序修复被COM_V.COM感染的host_com.com。P176 5. 试绘出感染EXE文件的示例病毒exe_v的流程图。P178-179 6．编写程序，利用该程序修复被exe_v.com感染的文件。P181 7．试绘出混合型病毒Natas病毒的加密变形流程图。 ? 如何清除引导型病毒？P168 ?

试述文件型病毒的基本原理。P168-P169

第5章 Windows病毒分析

1. PE病毒的感染过程是怎样的？p191-P193

如何判断一个文件是否感染了PE病毒(如Immunity)？p212-213

一般病毒感染EXE文件的时候，会修改文件的PE头（表征EXE的一些信息的文件头），把自己的病毒体附加到原EXE文件的尾部，然后修改PE头的内容，把程序的入口改为自己病毒的入口，有些病毒体还会调用原EXE文件的入口，使该EXE还能发挥原来的作用。这样，在运行该EXE文件的时候实际上就先运行了病毒了。 针对你的判断依据，采用何种手段可以更好地隐藏PE病毒？ 编程修复被Immunity感染的host_pe.exe文件。

2. 查阅MSDN或其他资料，熟悉本章所涉及的API函数的用法。 3. 简要描述CIH病毒的触发机制、感染机制。P216-P218 如何让系统对CIH病毒具有免疫能力？

4. 脚本病毒有哪些弱点？如何防治和清除脚本病毒？P235

5．如果脚本病毒对其代码进行了加密，我们能否看到其解密后的源代码？怎样获取解密后的源代码？P232

6. 爱虫病毒对系统有哪些危害？编制一个爱虫病毒的解毒程序。P236 7. 宏病毒采用哪些传播方式？P251如何防治和清除宏病毒？P255 8．如何查看宏病毒的源代码？如果代码被加密呢？

(了解宏病毒，就必须读它的原代码，可是有时候宏是加密的，（Execute-only Macro), 1。 重命名Normal.dot。起动word。

// 防止word启动时就带上了宏病毒

2。 新建一个宏，专门用于读带毒文件中的宏代码（只是原理） Sub Main

DisableAutoMacros //很关键，防止引入宏病毒 Dim D As FileOpen GetCurValue D

Diolog D

FileOpen D //这一段用于打开带毒文件 MacroCopy D.Name+\ MacroCopy D.Name+\ ...

//以CAP宏病毒为例，将宏代码拷贝到normal.dot //其中参数0表示可编辑，非0表示加密 FileClose 2 Sub End

3。 运行上面的宏，将宏代码拷贝到normal.dot //注意要改变宏的名字 4。 阅读宏代码

5。 关闭word，恢复原来的 normal.dot）

9. 在MSDN中查阅有关FileSystemObject的信息，了解其各种方法及属性。 10．查阅相关资料，了解Windows各版本设备驱动程序的编写方法

? WSH中，Windows和DOS下的文件名分别是什么？如何禁止文件系统对象。

你自己编写了一个脚本文件，如后缀为 .vbs 或 .js 的文件，然后在 Windows 下双击并执行它，这时，系统就会自动调用一个适当的程序来对它进行解释并执行，而这个程序，就是 Windows Scripting Host，程序执行文件名为 Wscript.exe （若是在命令行下，则为 Cscript.exe）。

用regsvr32 scrrun.dll /u这条命令就可以禁止文件系统对象。 ?

用VB Script脚本编写解除注册表和任务管理器禁用的脚本文件。试写出其相应的REG、BAT、INF文件。

解除注册表禁用

On Error Resume Next

Set WSHShell=WScript.CreateObject(\ With WScript.CreateObject(\WSHShell.RegDelete

\ersion\\Policies\\System\\DisableRegistryTools\End With

WSHShell.POPUP(\成功解开你的注册表\REG文件

REGEDIT4

[HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System] \INF文件

[Version]

Signature=\[DefaultInstall] ADDREG=lockreg [lockreg]

;解禁注册表编辑器

HKCU,Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System,DisableRegistryTools,1,0 BAT文件 @reg add

\/v DisableRegistryTools /t reg_dword /d 00000000 /f start regedit

解除任务管理器禁用

On Error Resume Next

Set Ws=createobject(“Wscript.Shell”)

With WScript.CreateObject(\

Ws.regwrite”

HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System\\DisableTaskMgr”,0,”REG_DWORD” End with

REG文件

Regedit4

[HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policie\\System] “DisableTaskmgr”=dword:00000000 BAT文件 REG ADD HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System /v DisableTaskMgr /t REG_DWORD /d 0 /F >nul Taskmgr INF文件 [Version]

Signature=\[DefaultInstall] ADDREG=lockreg [lockreg] ;禁用任务管理器

HKCU,\r\ ?

预防恶意网站可采取哪些措施？

为注册表备份

堵住msconfig入口

利用FC查出“恶意“文件 恶意网站的识别 ? ? ?

如何手工修复IE？需要用到哪些辅助工具？需要注意哪些问题？ 简述PE病毒的基本原理。P185

PE病毒修改PE文件有哪几种方法，写出实现要点。P191

第6章 网络蠕虫及防治

1. 试述蠕虫与病毒的差别和联系。P266

2. 在你看来，Nimda是病毒还是蠕虫？为什么？P274

是蠕虫。由于IE浏览器的漏洞（IFRAMEEXECCOMMAND），使得感染了“尼姆亚”病毒的邮件在不去手工打开附件的情况下病毒就能激活。而且它会搜寻以前的IIS蠕虫留下的后门，实现从客户端到WEB服务端的传播。即使清楚了它在文件系统中留下的任何痕迹，如果没有修补计算机系统漏洞，重新接入到网络的计算机还是会重新受到蠕虫攻击。

3. 如何预防蠕虫、检测蠕虫？这与预防病毒有什么区别？P276-P277 病毒的防治措施是从宿主程序中摘除；而蠕虫的防治措施是为系统打补丁 4. 如何看待病毒的网络传播特性与蠕虫的传播特性之间的关系？P29 P274 5．简述蠕虫的工作方式。P270-P271

6．蠕虫传播过程中，如何优化搜索目标主机的策略？P271

? 蠕虫病毒有哪些传播方式？是如何传播的？ P267

? 试述手动杀蠕虫的基本步骤。

第一步，终止蠕虫病毒程序，就是查找蠕虫病毒进程，提升自身权限，然后终止蠕虫病毒程序。

第二步，删掉相关的注册表项

第三步，删除蠕虫病毒文件。除了通过环境变量获得病毒体路径外，还可以用GetWindowsDirectory()或GetSystemDirectory()这两个API分别查找Windows目录和System32目录。更一般的，如果要在整个磁盘查找，就需要更复杂的FindFirstFile()和FindNextFile()这两个函数对来遍历了。 第四步， 重启机器。

第7章 特洛伊木马

1．简述特洛伊木马的基本原理。P294

2．如何理解木马与病毒的关系？P290-P291

3．木马有哪些伪装方式、隐藏方式、自动启动方式？P300-P304

4．针对木马利用Windows注册表实现自动启动的各种途径(诸键值)，查阅与注册表操作相关的API函数，编程实现敏感键值的监视与自动清除或恢复。

5．如何预防木马？结合木马的藏身之所、隐藏技术，总结清除木马的方法。 第一，安装杀毒软件和个人防火墙，并及时升级。

第二，把个人防火墙设置好安全等级，防止未知程序向外传送数据。

第三，可以考虑使用安全性比较好的浏览器和电子邮件客户端工具。

第四，如果使用IE浏览器，应该安装卡卡安全助手或360安全浏览器，防止恶意网站在自己电脑上安装不明软件和浏览器插件，以免被木马趁机侵入。

DLL木马的查杀比一般病毒和木马的查杀要更加困难，建议用户经常看看系统的启动项中有没有多出莫名其妙的项目，这是DLL木马Loader可能存在的场所之一。 ? 手动查杀木马的主要步骤及系统命令的使用。P321 ① 断开网络，防止黑客通过网络对你进行攻击 ② 查看端口（netstat –a），看哪个端口意外被打开，记下PID ③ 到任务管理器结束该PID的进程。

④ 查看系统配置实用程序（在windows的运行里输入“Msconfig”），编辑win.ini，[WINDOWS]

下面更改成”run=”和“load=”，编辑system.ini,将[boot]下面改成”shell=explorer.exe” ⑤ 修

改

注

册

表

(

在

windows

的

运

行

里

输

入

“regedit”),

现

在

HKEY-LOCAL-MACHINE\\Software\\Microsoft\\Windows\\currentVersion\\run”下找到木马程序的文件名，再在整个注册表中搜索并替换掉木马程序。

⑥ 在第三步时记住木马的名字和目录，找到木马文件删除。 ⑦ 重启计算机。

⑧ 删除注册表中所有的木马文件键值。 ? 简述木马传播途径。P295 ?

查找相关资料，简述黑客攻击的步骤、应对攻击的方法。

第8章 计算机病毒常用技术综述（略）

第9章 计算机病毒的检测、清除与免疫

1. 熟悉各种杀毒软件、病毒防火墙的安装、配置和使用。

2. 本章给出了一些病毒预防措施，在单机、网络等特定环境下，如何预防病毒？P372

3. 基于特征码的静态扫描技术，适合于查杀何种类型的计算机病毒？为什么？

4．简述启发式扫描技术的基本思想。P380

5．查毒虚拟机与VMware等虚拟软件有何区别？P386-P389病毒采用什么技术对抗虚拟机技术？P389我们又该如何查杀这类病毒？P389-390

6．Windows 9x下的实时监控，主要采用哪些技术？Windows NT/2000下的实时监控，主要采用哪些技术？为什么会存在这些差别？P391

Windows 9x下病毒实时监控的实现主要依赖于以下三项技术 虚拟设备驱动(VxD)编程

可安装文件系统钩子(IFSHook)

VxD与Ring3下客户程序的通信(APC/EVENT)

Windows NT/2000下病毒实时监控的实现主要依赖于以下三项技术 NT内核模式驱动编程(Windows NT/2000下不再支持VxD) 拦截IRP

驱动与Ring3下客户程序的通信(命名的事件与信号量对象)

7．清除计算机病毒的一般方法和步骤是什么对清除计算机病毒，你有什么经验和建议？？P393

? 病毒、蠕虫与特洛伊木马之间有什么区别。

计算机病毒(Computer Virus)，是一种人为制造的、能够进行自我复制的、具有对计算机资源进行破坏作用的一组程序或指令集合

特洛伊木马是具有欺骗性的文件（宣称是良性的，但事实上是恶意的）。特洛伊木马与病毒的重大区别是特洛伊木马并不像病毒那样复制自身。 蠕虫是不使用驻留文件即可在系统之间复制自身的程序。这点与病毒不同，病毒需要传播受感染的驻留文件。

? 端口、系统服务、系统进程概念。 端口可分为三类

公认端口（Well Known Ports）：从0到1023，它们紧密绑定于一些服务。通常这些端口的通讯明确表明了某种服务的协议。例如：80端口实际上总是HTTP通讯。

注册端口（Registered Ports）：从1024到4Array151。它们松散地绑定于一些服务。也就是说有许多服务绑定于这些端口，这些端口同样用于许多其它目的。例如：许多系统处理动态端口从1024左右开始。 动态和/或私有端口（Dynamic and/or Private Ports）：从4Array152到65535。理论上，不应为服务分配这些端口。实际上，机器通常从1024起分配动态端口。但也有例外：SUN的RPC端口从

32768开始 系统服务

在Windows 2000/XP/2003系统中，服务是指执行指定系统功能的程序、例程或进程，以便支持其他程序，尤其是低层(接近硬件)程序。通过网络提供服务时，服务可以在Active Directory(活动目录)中发布，从而促进了以服务为中心的管理和使用。

凡是用于完成操作系统的各种功能的进程就是系统进程，它们就是处于运行状态下的操作系统本身。

? 根据自己的实践及查找相关资料，试述实现操作系统长期稳定、流畅运行的方法。

? 上网查阅相关资料，了解计算机主动防御系统。什么是HIPS（主机入侵防御系统），主

要功能是什么？在预防计算机病毒中有何作用。 ? 木马、蠕虫实现自启动有哪些方法？ ① 通过修改注册表中的RUN键值来实现自启动 ② 添加系统服务的工具很多，最典型的就是netservice，也可以手工添加系统服务。 ? ?

常用的病毒分析、手动查杀病毒有哪些工具软件？简述其功能。（包括Windows自带的

及第三方提供的）

思考：当Windows下的winlogon.exe或lsass.exe进程被关闭时，系统将进入60秒倒计时，如何避免重启？

出现倒计时，可以马上开始-运行-输入cmd-输入shutdown -a回车， ? ?

简述制作安全U盘的原理与步骤。 试述打造安全稳定的操作系统的要点。

本文来源：https://www.bwwdw.com/article/b38d.html