《计算机病毒与防范》复习提纲

一、单项选择题（本大题共10小题，每小题2分，共20分）在每小题列出的四个备选项中只有一个最符合题目要求，请将其代码填写在题后的括号内。错选、多选或未选均无分。1．（C/D）的说法最准确地说明了对用户权限的限制有助于防范木马病毒。A．如果用户没有删除程序的权限，那么也就无法更改系统的安全设置B.如果用户没有删除程序的权限，那么也能删除杀毒软件和反木马病毒软件C.如果用户没有安装程序的权限，那么安装木马程序的可能性也将减少D.如果用户没有安装程序的权限，那么也就无法安装木马病毒程序2．和普通病毒相比，蠕虫最重要的特点是（A）。A.蠕虫可以传播得更为广泛B.和没有生命的病毒相比，蠕虫是一种有繁殖能力的小虫子C.蠕虫比病毒更经常删除注册表健值和更改系统文件D.蠕虫更有可能损害被感染的系统4．主要危害系统文件的病毒是（B）A．文件型B.引导型C.网络病毒D.复合型5．一般意义上，木马是（D）。A.具有破坏力的软件B.以伪装善意的面目出现，但具有恶意功能的软件C.不断自我复制的软件D.窃取用户隐私的软件6．计算机病毒根据与被感染对象的关系分类，可分为（A）。A．引导区型、文件型、混合型B．原码型、外壳型、复合型和网络病毒C．寄生型、伴随型、独立型D．良性型、恶性型、原码型和外壳型7．下面哪种情况可能会成为远程执行代码的高危漏洞（）。A.原内存块的数据不可以被改写B.存在根据原内存块中的数据直接或间接地改变程序执行流程的代码C.假冒知名网站D.浏览器劫持8．若出现下列现象（C）时，应首先考虑计算机感染了病毒。A．不能读取光盘B.系统报告磁盘已满C.程序运行速度明显变慢D.开机启动Windows时，先扫描硬盘9．按照目前比较普遍的分类方法，下面哪类软件不属于流氓软件（D）。A．广告软件B.间谍软件及行为记录软件C.强制安装的恶意共享软件D.感染了宏病毒的Word文件10．以下方法中，不适用于检测计算机病毒的是（C）。A．特征代码法B.校验和法C．加壳D.软件模拟法二、多项选择题（本大题共10小题，每小题2分，共20分）在每小题的备选项中有多个选项符合题目要求，请将其代码填写在题后的括号内。错选、漏选、多选或不选均无分。1．木马的网络入侵，从过程上看，包括以下入侵步骤（BD）。A.扫描特定漏洞、绑带合法软件B.信息反馈、建立连接C.隐蔽自身、破坏文件D.传播木马、运行木马2.PE文件的构成包括以下部分（ABCD）。A.DOSMZheader和DosstubB.PEheaderC.SectiontableD.sections3.蠕虫病毒常用扫描策略包括（BC）。A.转换列表扫描B.分治扫描C.选择性随机扫描D.系统特定文件扫描4.蠕虫程序的基本功能结构包括（BCD）。A.进程注入模块B.扫描搜索模块C.传输模块D.攻击模块5．计算机病毒的特征为（AB）。A．潜伏性、、传染性B．非法性、隐藏性、破坏性C．可预见性、复发性D．可触发性、变异性、表现性6．防范脚本病毒的安全建议是（ABD）。A．养成良好的上网习惯B.经常整理硬盘C．发现病毒后将其清除D.安装合适的主流杀毒软件和个人防火墙8．当前的防病毒软件可以（AC）。A.自动发现病毒入侵的一些迹象并阻止病毒的入侵B.杜绝一切计算机病毒感染计算机系统C.在部分病毒将要入侵计算机系统时发出报警信号D.使入侵的所有计算机病毒失去破坏能力9.计算机漏洞的通用防护策略是（BCD）。A.分治扫描B.调用者审核C.数据执行保护（DEP）D.自动备份10．病毒高级代码变形技术有（ABCD）。A.加壳B.代码重组C.寡型病毒D.多态变形病毒三、填空题（本大题共5小题，每小题2分，共10分）请在每小题的空格中填上正确答案。每空1分，错填、不填均无分。1.计算机病毒常用的反制技术包括了（禁止反病毒软件的运行）和（卸载反病毒软件的功能）。2.（检测商用虚拟机）和（反-反病毒仿真技术）都是病毒常用的反动态分析、检测技术。3.目前防病毒软件产品普遍应用了一种称为启发式代码扫描的技术，这是一种基于（虚拟机）技术和（智能分析）手段的病毒检测技术。4.计算机病毒结构一般由（引导模块）、条件判断模块、（破坏表现模块）、传染模块、掩饰模块等组成。四、判断题（本大题共5小题，每小题2分，共10分）判断是对的在括号内填√，是错的填×。1.（√）计算机病毒程序传染的前提条件是随其它程序的运行而驻留内存。2．（×）计算机病毒通常采用商用虚拟机检测技术以躲避静态分析。（动态分析）4．（√）指令ADDEAX,8可变换为等价指令LEAEAX,[EAX+8]。5．（×）“特洛伊木马”（TrojanHorse）程序是黑客进行IP欺骗的病毒程序。简答题（本大题共5小题，每小题8分，共40分）1．什么是网络钓鱼？网络钓鱼主要手段有哪几种？P10答：网络钓鱼是一种利用Internet实施的网络诈骗，通过发送声称来自知名机构的欺骗性邮件及伪造web站点进行欺骗活动，以得到受骗者的个人信息，如信用卡账号密码等。主要手段：a、利用电子邮件b、利用木马程序c、利用虚拟网址d、假冒知名网站e、利用即时通信消息攻击f、综合钓鱼法2．什么是启发式分析，启发式分析的基本原理是什么？答：启发式分析是利用计算机病毒的行为特征，结合以往的知识和经验，对未知的可疑病毒进行分析与识别。它的基本原理是通过对一系列病毒代码的分析，提取一种广谱特征码，即代表病毒的某一种行为特征的特殊程序代码，然后通过多种广谱特征码，综合考虑各种因素，确定到底是否病毒，是哪一种病毒。3.什么是脚本病毒和WSH？二者是何关系？答：脚本病毒：是指利用.asp、.html、.htm、.vbs、.js等类型文件进行传播的基于VBScript和JavaScript脚本语言并由WindowsScriptingHost解释执行的一类病毒。WSH：是WindowsScriptingHost的缩写，含义为“Windows脚本缩主”。它内嵌与Windows操作系统中的脚本语言工作环境，主要负责脚本的解释和执行。关系：WSH是脚本病毒的执行环境。4.什么是花指令？花指令有什么作用？答：花指令指的是计算机病毒作者为了欺骗反汇编软件，迷惑分析人员，给分析人员增添障碍而在计算机代码中添加的看似有用，其实是一无是处的代码。花指令的作用是：a、欺骗反汇编软件，使其显示不正确的反汇编结果；b、干扰病毒分析人员，给分析工作添加障碍；c、改变程序代码特征5.简述木马的定义、基本特征以及传播特性。答：木马是指隐藏在正常程序中的一段具有特殊功能的恶意代码，具备破坏和删除文件、窃取密码、记录键盘、攻击等功能，会破坏用户系统甚至使用户系统瘫痪。基本特征：隐藏性、自动运行性、欺骗性、自动恢复功能、自动打开特别的窗口、具备特殊功能。传播特性：a、以邮件附件的形式传播；b、通过QQ、ICQ等聊天工具软件传播；c、通过提供软件下载的网盘（Web/FTP/BBS）传播；d、通过一般的病毒和蠕虫传播；e、通过带木马的磁盘和光盘传播。