计算机病毒复习题(最终修改不完整版)

2.选择题1.计算机病毒是（C）A.被损坏的程序B.硬件故障C.一段特制的程序D.芯片霉变2.计算机病毒的危害主要造成（D）A.磁盘破坏B.计算机用户的伤害C.CPU的损坏D.程序和数据的破坏3.新买回来的未格式化的软盘（A）A.可能会有计算机病毒B.与带病毒的软盘放在一起会有计算机病毒C.一定没有计算机病毒D.经拿过带病毒的软盘的手碰过后会感染计算机病毒4.计算机病毒一般由（ABCD）四大部分组成。A.感染模块B.触发模块C.破坏模块D.引导模块E.执行模块5.计算机病毒生命周期中，存在（B）和（C）两种状态。A.静态B.潜伏态C.发作态D.动态6.在Windows32位操作系统中，其EXE文件中的特殊表示为（B）A.MZB.PEC.NED.LE7.能够感染EXE、COM文件的病毒属于（C）。A.网络型病毒B.蠕虫型病毒C.文件型病毒D.系统引导型病毒8.著名特洛伊木马“网络神偷”采用的隐藏技术是（A）A.反弹式木马技术B.远程线程插入技术C.ICMP协议技术D.远程代码插入技术9.下列（B）不是常用程序的默认端口。A.80B.8080C.23D.219.第一个真正意义的宏病毒起源于（A）应用程序。A.WordB.Lotus1-2-3C.ExcelD.PowerPoint10.总结移动终端的恶意代码感染机制，其感染途径主要分为（ABC）A.终端—终端B.终端—网关—终端C.PC（计算机）—终端D.终端—PC11.移动终端的恶意代码的攻击方式分为（ABCDE）A.短信息攻击B.直接攻击手机C.攻击网关D.攻击漏洞E.木马型恶意代码12.下列病毒中（C）计算机病毒不是蠕虫病毒。A.冲击波B.震荡波C.CIHD.尼姆达13.蠕虫和从传统计算机病毒的区别主要体现在（B）上。A.存在形式B.传染机制C.传染目标D.破坏方式14.多数流氓软件具有的特征是（ABCD）A.强迫安装B.无法卸载C.干扰使用D.病毒和黑客特征15.从技术角度讲，数据备份的策略主要包括（ACD）A.完全备份B.差别备份C.增量备份D.差分备份16.下列描述不正确的是（B）A.不存在能够防治未来的所有病毒的发病毒软、硬件B.现在的杀毒软件能够查杀未知病毒C.病毒产生在前，反病毒手段相对滞后D.数据备份是防治数据丢失的重要手段1.填空题（1）计算机病毒是编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。（2）计算机病毒的特征包括传染性、破坏性、寄生性、隐蔽性、潜伏性（1）从制作结构上分析，计算机病毒一般包括引导模块、感染模块、破坏模块和触发模块四大功能模型。（顺序可变）（2）计算机病毒的引导模块可以使病毒从寄生的静态状态转换到执行的动态状态，在这个转换过程中，引导模块主要做驻留内存、窃取系统控制权和恢复系统功能工作。（3）计算机病毒的抗分析技术基本上包括自加密技术和反跟踪技术两种方法。（4）多态性是计算机病毒的关键技术之一，根据使用多态性技术的复杂程度，多态性可以分为半多态、具有不动点的多态、带有填充物的多态、算法固定的多态、算法可变的多态和完全多态。（5）在DOS操作系统时代，计算机病毒可以分成引导区病毒和可执行文件型病毒两大类。(1)特洛伊木马作为一种特殊的计算机病毒，其首要特征是没有传染性(2)从编程框架上来看，特洛伊木马是一种基于客户/服务器模式的远程控制程序，通过这个控制程序，黑客可以远程控制被控制端。（3）反弹式木马使用的是系统信任的端口，系统会认为木马是普通应用程序，而不对其连接进行检查。（4）Socket技术是通讯领域的基石，也是特洛伊木马的核心技术之一，用户常用的两种套接字是流套接字和数据报套接字Word宏病毒是一些制作病毒的专业人员利用MicrosoftWord的开房性专门制作的一个或多个具有病毒特点的宏的集合，这种宏病毒的集合影响到计算机的使用，并能通过DOC文档及DOT模板进行自我复制及传播。（1）移动终端恶意代码以移动终端为感染对象，以移动终端网络和计算机网络为平台，通过无线或有线通讯等方式，对移动终端进行攻击，从而造成移动终端异常的各种不良程序代码。（2）根据功能不同，移动终端主要包括手机和PDA两大类。（3）按照2010年市场份额的高低，三大智能手机操作系统分别为Symbian、Android和WindowsMobile(1)僵尸网络的主要特征是分布性、恶意传播和一对多控制。（2）Rootkit是攻击者用来隐藏自己踪迹和保留root访问权的工具。（3）蠕虫病毒的主程序中含有传播模块，传播模块的入侵可以分为扫描、攻击和复制三个步骤，以实现蠕虫病毒的主动入侵。（1）比较法是计算机病毒诊断的重要方法之一，计算机犯病毒工作者常用的比较法包括注册表比较法、文件比较法、中断比较法和内存比较法。（2）病毒扫描软件由两部分组成：一部分是计算机病毒特征码库，含有经过特殊选定的各种计算机病毒的特征串；另一部分是利用该特征码库进行扫描的程序，负责在程序中查找这些特殊串。3）从计算机病毒对抗的角度来看，病毒防治策略必须具备下列准则：拒绝访问能力、病毒检测能力、控制病毒传播的能力、清除能力、恢复能力和替代操作第一章计算机病毒概述2.计算机病毒与生物病毒的本质区别是什么？计算机病毒指：引起计算机故障，破坏计算机数据，影响计算机使用并且能够自我复制的程序代码。生物病毒是指能够进行独特方式繁殖，严格寄生的生物体。以物质形态存在。前者是在计算机的运用中一串数字程序或者编码，是实际看不见摸不着的，是虚拟数字化的东西，非生命形式；后者是在生命意义上的生命体，是可以观察到，有形态大小的实际存在的实物，生命形式。3.给出计算机病毒的特征。程序性：计算机病毒具有正常程序的一切特性：可储存性、可执行性。传染性：可以通过各种渠道从已被感染的计算机扩散到未被感染的计算机。在某些情况下造成被感染的计算机工作失常甚至瘫痪。隐蔽性：即兼容性、程序不可见性（包括任务完成后自杀）。潜伏性：计算机病毒具有依附于其他媒体而寄生的能力，依靠寄生能力，病毒传染合法的程序和系统后，不立即发作，而是隐藏起来，在用户不擦觉的情况下进行传染。破坏性：引起计算机故障，破坏计算机数据。可触发性：病毒可以在条件成熟时运行，这样就大大增加的病毒的隐蔽性和破坏性。计算机病毒一般都有一个或者几个触发条件，满足其触发条件或者激活病毒的传染机制，使之进行传染，或者激活病毒的表现部分或者破坏部分。不可预见性：从对病毒的检测方面看，病毒还有不可预见性。针对性：针对特定的目标，采用特定的病毒攻击。非授权可执行性：计算机病毒隐藏在在合法的程序或数据中，当用户运行正常程序时，病毒伺机窃取到系统的控制权，得以抢先运行。衍生性：小批量、多变种、自动更新。感染速度快，扩散面广。第二章计算机病毒的工作机制5.分析计算机病毒的传染方式。计算机病毒的被动传染：用户在复制磁盘或文件时，把一个计算机病毒由一个信息载体复制到另一个信息载体上。计算机病毒的主动传染：计算机病毒以计算机系统的运行以及计算机病毒程序处于激活状态为先决条件。主动传染是危害性较大的一种方式。10.分析计算机病毒的传播机制。计算机病毒直接从优盘站复制到服务器中。计算机病毒先传染工作站，在工作站内存驻留，等运行网络盘内程序时再传染给服务器。计算机病毒先传染工作站，在工作站内存驻留，在计算机病毒运行时直接通过映像路径传染到服务器中。如果远程工作站已被计算机病毒侵入，计算机病毒也可以通过通讯中的数据交换进入网络服务器中。第四章新型计算机病毒的发展趋势1.简述新型计算机病毒的发展趋势。网络化：利用基于Internet的编程语言与编程技术实现，易于修改以产生新的变种，从而逃避反计算机病毒软件的搜索。人性化：充分利用了心理学知识，针对人类的心理制造计算机病毒。多样化:新计算机病毒可以是可执行文件、脚本语言和HTML网页等多种形式。隐蔽化:新一代计算机病毒更善于隐蔽自己、伪装自己，其主题会在传播中改变，或具有诱惑性的主题、附件名。平民化:由于脚本语言的广泛使用，专用计算机病毒生成工具的流行，计算机病毒的制造不再是计算机专家表现自己的高超技术。智能化：可对外设、硬件设施物理性破坏，也可对人体实施攻击。3.分析新型计算机病毒有哪些代表性的技术。ActiveX与Java：用来编写具有动感十足的网页。执行方式：将程序代码写在网页上，当访问网站时，用户浏览器将这些程序代码下载，然后用用户的系统资源去执行。计算机病毒的驻留内存技术：引导型病毒的驻留内存技术、文件型病毒的不驻留内存技术、文件型病毒的驻留内存技术、Windows环境下病毒的内存驻留修改中断向量表技术：引导型病毒和驻留内存的文件型病毒大都要修改中断向量表，以达到将计算机病毒代码挂接入系统的目的计算机病毒隐藏技术：主要有动态隐藏技术和静态隐藏技术。对抗计算机病毒防范系统技术：计算机病毒在传染过程中发现磁盘上有某些著名的计算机病毒防范软件或在文件中查找到出版这些软件的公司时，就删除这些文件或使计算机死机。技术的遗传与结合：计算机病毒制造者还不断吸取已经发现的计算机病毒技术，试图将这些技术融合在一起，制造出更具破坏力的新计算机病毒第五章计算机病毒检测技术2.分析计算机病毒检测的基本方法有哪几种，各自具有什么特点，各自适应的场合是什么。借助简单工具检测——指动态调试或者静态反编译等常规软件工具。要求检测者必须具备多种知识和相对较高的专业素质，并不适合一般人群的使用，而且这类工具的检测效率比较低。但是，如果能使用这种工具，检测者可以结合专业方面的经验，检测出未知病毒的存在。借助专用工具检测——指专门的计算机病毒检测工具，如Norton等。一般来说，专用工具具备自动扫描磁盘的功能，可检测磁盘的染毒情况。这类计算机病毒诊断工具本身功能很强，对专业者自身的专业素质要求较低。3.特征代码段的优缺点、选取方法是什么？该种方法能检测出何种计算机病毒？优缺点优点：1.检测准确，快速2.可识别计算机病毒的具体类型3.误报率低4.依据检测结果，针对病毒类型可做杀毒处理缺点：1.对于新计算机病毒，发现特征代码的时间滞后2.搜集已知计算机病毒的特征代码的研发开销大3.在网络上效率低，影响整个网络性能计算机病毒程序通常具有明显的特征代码，将这些已知的计算机病毒的特征代码串收集起来就构成了计算机病毒特征代码数据库，这样，我们就可以通过搜索、比较计算机系统中是否含有与特征代码数据库中特征代码匹配的特征代码，来确定被检计算机系统是否感染了计算机病毒，并确定感染了何种病毒。第六章典型病毒的防范技术5.分析宏病毒的表现形式，如何手工清楚宏病毒？表现形式：目前发现的几种主要病毒有：wazzu,concept,13号病毒。13号病毒运行在中文WORD上，其发作时间为每月13号，用户打开文件时出一道四则运算题，如果答对，则进行宏病毒的问答，如“我是宏病毒，如何预防我”，答案是“不要看我”。如果有一个地方答错，则创建20个文档，并不断截取硬盘和内存空间，直至系统瘫痪。如果全部答对，系统才能进入正常。Wazzu、Concept主要运行于西文Word中。Wazzu病毒在正常的Word文件中加入Wazzu字符，并将格式打乱，从而损坏用户的文件。Concept病毒也采用同样的方式，在正常文件中加入其特征字符，从而影响用户正常工作。II手工清除把文件保存成RTF或者文本格式，就自动清楚了宏病毒。针对宏病毒的特点，可以通过将常用的Word模板文件改为只读属性、禁止自动执行宏功能等办法来预防。6.分析木马病毒的来源和操作方式7.简述后门计算机病毒的原理和实现后门是程序或系统内的一种功能，它允许没有帐号的用户或普通受限用户使用高权限甚至完全控制系统。实现方式：1.通过反弹木马开放一个随机端口2.通过Tunnel入侵3.使用特殊的ICMP携带数据的后门。第七章3.如何对恶意代码做有效处理？4.你对加强系统安全有什么切身体会？1）不轻易运行不明真相的程序2）屏蔽cookie信息3）不同的地方用不同的口令4）屏蔽ActiveX控件5）定期