《病毒分析与防范》学习资料

一、填空：

1、 计算机病毒与生物病毒一样，有其自身的病毒体和寄生体。

2、 我们称原合法程序为宿主或宿主程序，存储染有病毒的宿主程序的存储介质为存储介质

宿主；当染有病毒的宿主程序在计算机系统中运行时或运行后就驻留于内存中，此时这一系统就称为病毒宿主系统。

3、 计算机病毒构成的最基本原则：必须有正确系统不可遏制的传染性，具有一定的破坏性

或干扰性，具有特殊的非系统承认的或不以用户意志所决定的隐蔽形式，每个病毒程序都应具备标志唯一性、加载特殊性、传播隐蔽性和引发条件性。 4、 病毒引导模块的主要作用是将静态病毒激活，使之成为动态病毒。

5、 动态病毒是指要么已进入内存处于活动状态的病毒，要么能通过调用某些中断而获得运

行权，从而可以随心所欲的病毒。

6、 系统加载过程通常读入病毒程序的引导部分，并将系统控制权转交病毒引导程序。 7、 病毒的存在和加载都是由操作系统的功能调用或ROM BIOS调用加载的。不论何种病

毒，都需要在适当的时机夺取系统的控制权，并利用控制权来执行感染和破坏功能。 8、 DOS系统的病毒程序的加载有3种方式：参与系统的启动过程，依附正常文件加载，直

接运行病毒的程序。

9、 具体来说，病毒加载过程，主要由3个步骤组成：开辟内存空间，使得病毒可以驻留内

存对病毒定位，保持病毒程序的一贯性，并取得系统控制权借以进行传染和发作。恢复系统功能，使得被感染系统能继续有效运行。 10、 被动感染过程是：随着拷贝磁盘或文件工作的进行而进行的。 11、 主动感染过程是：在系统运行时，病毒通过病毒的载体即系统外存储器进入系统的

内存储器，常驻内存，并在系统内存中监视系统的运行。 12、 计算机病毒的感染可分为两大类：立即感染，驻留内存并伺机感染。 13、 病毒体：病毒程序。寄生体：可供病毒寄生的合法程序。 14、 计算机病毒的感染模块有：感染条件判断模块，实施感染模块。 15、 计算机病毒表现模块有：表现条件判断模块，实施表现模块。 16、 感染模块的功能是：在感染条件满足时把病毒感染到所攻击的对象。 17、 表现模块：在病毒发作条件满足时，实施对系统的干扰和破坏活动。 18、 病毒的隐藏技巧，贯穿于3个模块引导、感染、表现之中。 19、 病毒的发作部分应具备两个特征：程序要有一定的隐藏性及潜伏性、病毒发作的条

件性和多样性。 20、 一个简单的病毒包含的机制有：触发机制、传播机制、表现机制。 21、 表现模块发作时破坏的目标和攻击的部位有：系统数据区、文件内存、系统运行、

磁盘、屏幕显示、键盘、喇叭、打印机、CMOS、主板等。 22、 病毒修改或破坏INT 1H 和3H 这两个中断向量入口地址的方法，使DEBUG中的

T命令和G命令不能正常执行。 23、 病毒加密的目的主要是防止跟踪或掩盖有关特征等。 24、 所有的计算机病毒都具有混合型特征，集文件感染、蠕虫、木马、黑客程序的特点

于一身。 25、 当前流行病毒更加呈现综合性的特点，功能越来越强大，它可以感染引导区、可执

行文件，更主要的是与网络结合。 26、 病毒的一般逻辑结构即由两大模块组成：感染模块和表现模块。 27、 表现模块主要完成病毒的表现或破坏功能，也称这病毒的载体模块，是计算机病毒

的主体模块。

28、 计算机病毒的一般检查方法是：外观、对比检查法和特征串搜索法。 29、 几乎所有的引导型病毒在传染时都要修改中断向量INT 13H。 30、 DOS病毒是最常见的一种病毒，根据病毒所感染文件结构一般分为引导型病毒、

文件型病毒和混合型病毒三种。 31、 广义可执行文件病毒包括通常所说的可执行文件病毒、源码病毒，甚至BAT病毒

和WORD宏病毒。 32、 病毒程序代码一般分为3个模块：初始设置模块、感染模块和破坏模块。 33、 文件型病毒要感染COM文件有两种方法，一种是将病毒加载在文件前部，另一种

是加在文件尾部。 34、 文件型病毒的程序诊断法分为：传统文件备份比较法，数据完整性标记检测法，外

壳程序免疫法。 35、 计算机病毒的检测方法有手工检测和自动检测。 36、 WORD宏病毒通过DOC文档和DOT模板进行自我复制及传播。 37、 宏病毒是由专业人员利用WORD提供的WORD BASIC编程接口而制作的一个或

多个具有病毒特点的集合。 38、 宏病毒的特点及危害包括：传播速度快，制作变种方便，破坏可能性大，多平台交

叉感染。 39、 计算机病毒具有感染性、潜伏性、可触发性和破坏性等基本特征。 40、 病毒预定的触发条件可能是：时间、日期、文件类型、击键动作、开启邮件或某些

特定数据等。 二、选择题：

1、下列不属于病毒防治软件常用的策略的是（）B A）病毒码扫描法 B）人工查毒 C）校验和法 D）软件仿真扫描法 2、不是计算机病毒的技术预防措施的是（）C A）单机预防 B）网络防毒 C）硬盘预防 D）小型网预防 3、不是反病毒技术的是（）D A）实时监视技术 B）自动解压缩技术 C）全平台反病毒技术 D）数据代码分离技术

4、以下哪个不是预防电子邮件病毒的方法（）A A）控制用户权限 B）使用可靠的防毒软件 C）定时升级病毒库 D）不轻易打开附件

5、对文件型病毒的预防方法不包括（）C

A）安装最新版本的，有实时监控文件系统功能的防杀毒软件 B）经常使用防杀病毒软件对系统进行检查 C）设置邮箱过滤功能

D）对文件在无毒环境下备份

6、下列不是预防引导型病毒方法的是（）D A）坚持从不带病毒的硬盘引导系统 B）经常备份系统引导扇区

C）经常用能够查杀引导型病毒的防杀毒软件检查 D）控制用户权限

7、清除病毒主要方面不包括（）B A）清除内存中的病毒 B）追踪病毒来源 C）病毒发作后的善后处理 D）清除磁盘中的病毒

8、不属于宏病毒的是（）C A）WORD病毒 B）EXCEL病毒 C）VBS脚本病毒 D）感染LOTUS宏病毒

9、下列哪一项不是VBS脚本病毒的传播方式（）D A）通过EMAIL进行传播 B）通过局域网共享传播 C）通过感染HTM、ASP、JSP、PHP D）通过BBS传播 10、下列哪一项不是VBS脚本病毒防治措施（）C A）从样本中提取脚本病毒 B）VBS脚本病毒的弱点 C）脚本病毒的传播 D）脚本病毒的预防和清除 11、下列哪一项不是反病毒技术（）A A）数据描述解毒技术 B）全平台反病毒技术 C）自动解压缩技术 D）实时监控技术 12、下列哪一项属于预防邮件病毒的方法（）C A）选择“工具”菜单中的“选项”进行设置 B）随意打开附件 C）使用可靠的防毒软件 D）病毒库只升级一次就够了 13、宏病毒的传播依赖于下列哪一种软件（）B A）WINDOWS系统软件 B）OFFICE应用软件 C）游戏软件 D）驱动软件

14、计算机病毒的检查方法之一中断向量检查法，主要是看病毒是否修改了（）B A）INT 13Ｈ Ｂ）ＩＮＴ １３Ｈ和ＩＮＴ ２１Ｈ Ｃ）ＥＸＥ文件 Ｄ）ＣＯＭ文件

１５、下列哪一项不是病毒可寄生的可执行文件类型（）D Ａ） ＥＸＥ Ｂ） ＣＯＭ Ｃ） ＢＡＴ Ｄ） ＷＡＹ 16、常见的病毒检测工具中所用的特征代码法的优点包括（ ）ＡＢＣ Ａ）检测准确快速 Ｂ）误报率低 Ｃ）可识别病毒类型 Ｄ）可预警新病毒 １７、检测病毒的“校验和法”的优点包括（ ）ＡＣ Ａ）方法简单 Ｂ）误报率低 Ｃ）可发现未知病毒 Ｄ）能对付隐蔽型病毒 18、脚本病毒的特点包括（ ）ABC Ａ） 隐藏性强 Ｂ）传播性广 19、即时通信病毒的特点包括（ ）ABD

Ｃ）病毒变种多

Ｄ）需要专业知识

Ａ）更强的隐蔽性 Ｂ）攻击更加便利 Ｃ）传播速度慢 Ｄ）后果很严重。

20、文件型病毒按算法分类包括以下类型（ ）BCD Ａ）引导型 Ｂ）伴随型 Ｃ）蠕虫型 Ｄ）寄生型 21、著名的“求职信”、“尼姆达”病毒属于（ ）类病毒。C Ａ）宏病毒 Ｂ）木马病毒 Ｃ）蠕虫病毒 Ｄ）移动通信类病毒 22、移动通讯病毒的传播途径包括（ ）AB Ａ）短信或彩信 Ｂ）红外和蓝牙功能 Ｃ）通讯录 Ｄ）WAP站点 23、流氓软件包括（ ）ABCD Ａ）共享软件 Ｂ）广告软件 Ｃ）间谍软件 Ｄ）浏览器插件 24、流氓软件的危害包括（ ）AB Ａ）牺牲用户权益 Ｂ）被人利用 Ｃ）无法自行删除 Ｄ）强买强卖 25、病毒对付检测手段的技术主要有（ ）ACD Ａ）加花 Ｂ）变种 Ｃ）加壳 Ｄ）加密 26、常用的病毒检测技术包括（ ）ABCD

Ａ）特征值检测技术 Ｂ）行为检测技术 Ｃ）校验检测技术 Ｄ）虚拟机技术 27、反弹式木马的先进性表现在（ ）ABD

Ａ）不需要搜索目标 Ｂ）由目标发起连接 Ｃ）远程控制效果强 Ｄ）可绕过防火墙 28、“震网”病毒利用微软操作系统的以下漏洞（ ）ABC Ａ）MS08-067 Ｂ）MS10-046 Ｃ）MS10-061 Ｄ）MS10-036 29、下列病毒中利用操作系统的LSASS服务进行传播的是（ ）C Ａ）红色代码 Ｂ）冲击波 Ｃ）震荡波 Ｄ）SQL蠕虫王 30、熊猫烧香的主要行为包括（ ）ABCD Ａ）中止杀毒软件进程 Ｂ）删除GHO文件 Ｃ）感染可执行程序和网页文件 Ｄ）通过下载文件传播 三、简答题

１、简述计算机病毒的定义

计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。 ２、简述计算机病毒的特征

隐藏性、潜伏性、可触发性、破坏性、传染性、不可预见性。

３、说说计算机病毒的隐藏性与潜伏性的区别

隐藏性主要是把病毒附加在其它文件前后或“躲”在磁盘角落里，让用户难以发现；而潜伏性是指在病毒没有触发前不影响计算机的运行，没有破坏性。

４、说说计算机病毒的分类情况

根据病毒寄生的存储方式可将病毒分为三种类型：引导区型、文件型、混合型。根据传播途径可分为：单机病毒和网络病毒。

５、计算机病毒有哪些入侵方式

源代码嵌入攻击、代码取代攻击、外壳寄生入侵、系统修改入侵等。

６、简述计算机病毒的生命周期

开发期、传染期、潜伏期、发作期、发现期、分析期、消亡期。

７、请说出计算机病毒的传播途径

移动存储介质、硬盘、光盘、网络、点对点通信系统和无线通道。

８、简述计算机病毒的发展趋势

９、请说出计算机病毒编制者的主要目的有哪些

恶作剧（开玩笑）、报复心理、保护版权、娱乐需要、政治或军事目的、获取经济利益。

１０、计算机病毒对计算机的应用有哪些影响 １２、请说说文件型病毒的发展情况

ＤＯＳ可执行阶段、伴随型与批次型阶段、幽灵型和多形型阶段、网络和蠕虫阶段、宏病毒阶段、互联网阶段。

１３、画图说明ＣＩＨ病毒的工作流程

异常，改写失败 病毒代码入口 病毒尝试改写中断３的描述符 第一次触发中断３分配内存并把病毒代码复制到分配的内存块中 第二次触发中断３，安装自己的传染模块 返回到宿主程序的代码入口

１４、简述引导型病毒的主要特点

驻留内存高端、修改13Ｈ中断向量、驻留硬盘主引导扇区、感染对象为系统启动文件。

１５、说说蠕虫病毒与普通病毒的区别在哪里 １６、蠕虫病毒的特点是什么

较强的独立性、利用漏洞主动攻击、传播更快更广、更好的伪装和隐藏方式、技术更加先进。

１７、请从传播方式、产生后果和防范方法等方面说说“熊猫烧香”病毒的情况 熊猫烧香其实是一种蠕虫病毒的变种，而且是经过多次变种而来的，由于中毒电脑的可执行文件会出现“熊猫烧香”图案，所以也被称为 “熊猫烧香”病毒。但原病毒只会对EXE图标进行替换，并不会对系统本身进行破坏。而大多数是中的病毒变种，用户电脑中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。同时，该病毒的某些变种可以通过局域网进行传播，进而感染局域网内所有计算机系统，最终导致企业局域网瘫痪，无法正常使用。

１８、请介绍木马病毒有哪些隐藏方式

伪装为系统文件、伪装为系统服务、隐藏在注册表中、与其它程序绑定、加载到系统文件中。

１９、以“灰鸽子”木马为例说说“反弹式木马”的工作原理 ２０、常见的网页挂马方式有哪些

框架挂马、ＪＳ文件挂马、ＪＳ变形加密、ＦＬＡＳＨ木马、诱骗用户点击链接的木马、图片伪装。

２１、脚本病毒有什么特点

隐藏性强、传播性广、病毒变种多、普通用户可随意编写。

２２、说说如何防范脚本病毒

养成良好的上网习惯、安装主流杀毒软件、对正常注册表备份、使用网站“黑名

单”、提高ＩＥ安全级别。

２３、即时通信病毒有什么特点

更强的隐蔽性、攻击更加便利、更快的传播速度、后果更加严重。

２４、说说如何防范针对操作系统漏洞的病毒

定期升级打补丁、随时关注更新情况、及时关闭占用大量资源的服务、关闭不需要的系统服务。

２５、简述手机病毒的发作现象

手机出现异常响声或恶作剧画面、自动关机或频繁死机、屏幕上出现奇怪字符、话费突然增多、个人资料丢失。

２６、网络钓鱼的手段有哪些

利用电子邮件、利用木马程序、利用虚假网址、假冒知名网站、利用网络日记攻击。

２７、流氓软件有哪些种类

强制安装的恶意共享软件、广告软件、间谍软件、行为记录软件、浏览器劫持。

２８、为了躲避反病毒软件的查收，计算机病毒制造者采取了哪些反静态分析检测技术

花指令、动态改变指令、代码隐藏技术、入口点隐蔽、加密技术、高级代码变形、加壳技术。

２９、计算机病毒为了避免被计算机用户发现，一般会采取哪些技术去隐藏病毒的执行体 30、计算机病毒发作时有哪些表现症状

提示一些不相干的话、播放音乐、产生特定图像、硬盘异常、计算机突然死机或重启、自动发送邮件。

31、计算机病毒发作后，会产生哪些严重后果

硬盘无法启动，数据丢失；系统文件丢失或被破坏；文件目录发生混乱；网络瘫痪，无法提供正常服务。

32、杀毒引擎的工作流程

33、瑞星杀毒“云安全”系统构成情况

本文来源：https://www.bwwdw.com/article/rcmh.html