《计算机病毒》复习思考题第一章计算机病毒概述1.简述计算机病毒的定义和特征。计算机病毒(ComputerVirus),是一种人为制造的、能够进行自我复制的、具有对计算机资源进行破坏作用的一组程序或指令集合。计算机病毒的可执行性(程序性)、传染性、非授权性、隐蔽性、潜伏性、可触发性、破坏性、攻击的主动性、针对性、衍生性、寄生性(依附性)、不可预见性、诱惑欺骗性、持久性。2.计算机病毒有哪些分类方法?根据每种分类方法,试举出一到两个病毒。3.为什么同一个病毒会有多个不同的名称?如何通过病毒的名称识别病毒的类型?国际上对病毒命名的一般惯例为“前缀+病毒名+后缀”,即三元组命名规则。1、系统病毒系统病毒的前缀为:Win32、PE、Win95、W32、W95等。2、蠕虫病毒蠕虫病毒的前缀是:Worm。3、木马病毒、黑客病毒木马病毒其前缀是:Trojan,黑客病毒前缀名一般为Hack。4、脚本病毒脚本病毒的前缀是:Script。5、宏病毒其实宏病毒是也是脚本病毒的一种,由于它的特殊性,因此在这里单独算成一类。宏病毒的前缀是:Macro。6、后门病毒后门病毒的前缀是:Backdoor。7、病毒种植程序病毒后门病毒的前缀是:Dropper。这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下,由释放出来的新病毒产生破坏。8.破坏性程序病毒破坏性程序病毒的前缀是:Harm。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒便会直接对用户计算机产生破坏。9.玩笑病毒玩笑病毒的前缀是:Joke。10.捆绑机病毒捆绑机病毒的前缀是:Binder。4.简述计算机病毒产生的背景。5.计算机病毒有哪些传播途径?传播途径有两种,一种是通过网络传播,一种是通过硬件设备传播(软盘、U盘、光盘、硬盘、存储卡等)。网络传播,又分为因特网传播和局域网传播两种。硬件设备传播:通过不可移动的计算机硬件设备传播、通过移动存储设备传播、通过无线设备传播。6.试比较与计算机病毒症状相似的软件故障。7.试比较与计算机病毒症状相似的硬件故障。8.计算机病毒为什么是可以防治、可以清除的?9.分析“新欢乐时光”病毒的源代码及其特性,结合三元组中病毒名命名优先级,分析各杀毒软件商对该病毒存在不同命名的原因。查找相关资料,试述计算机病毒发展趋势与特点。基于Windows的计算机病毒越来越多计算机病毒向多元化发展新计算机病毒种类不断涌现,数量急剧增加计算机病毒传播方式多样化,传播速度更快计算机病毒造成的破坏日益严重病毒技术与黑客技术日益融合更多依赖网络、系统漏洞传播,攻击方式多种多样研究计算机病毒有哪些基本原则?搭建病毒分析的环境有哪些方法?回答一:“八字原则”——自尊自爱、自强自律自尊尊重自己的人格,不做违法、违纪的事自爱爱惜自己的“知识储备”,不随便“发挥自己的聪明才智”,自己对自己负责自强刻苦钻研,努力提高防毒、杀毒水平自律严以律己、宽以待人,不以任何理由为借口而“放毒”回答二:可在虚拟环境下进行,比如在VirtualBox、VMware环境下安装操作系统作为测试研究病毒的环境。可使用影子系统,在全模式下进行试验。可在使用硬盘保护卡的环境下进行试验。可以使用RAMOS(内存操作系统)作为测试研究病毒的环境。第2章预备知识1.硬盘主引导扇区由哪几部分构成?一个硬盘最多可分几个主分区?为什么?Fdisk/mbr命令是否会重写整个主引导扇区?主引导扇区(BootSector)由主引导记录(MasterBootRecord,MBR)、主分区表即磁盘分区表(DiskPartitionTable,DPT)、引导扇区标记(BootRecordID/Signature)三部分组成。一个硬盘最多可分为4个主分区,因为主分区表占用64个字节,记录了磁盘的基本分区信息,其被分为4个分区选项,每项16个字节,分别记录了每个主分区的信息。2.低级格式化、高级格式化的功能与作用是什么?高级格式化(FORMAT)能否清除任何计算机病毒?为什么?回答一:低级格式化的主要目的是将盘面划分成磁道、扇区和柱面。高级格式化的目的是在分区内建立分区引导记录DBR(DOSBootRecord)、文件分配表FAT(FileAllocationTable)、文件目录表FDT(FileDirectoryTable)和数据区DATA。回答二:如果主引导区感染了病毒,用格式化程序FORMAT不能清除该病毒(BR病毒可以用FORMAT清除)。3.DOS下的EXE文件病毒是如何获取控制权的?感染EXE文件,需对宿主作哪些修改?一般来说,病毒往往先于HOST程序获得控制权。运行Win32病毒的一般流程示意如下:①用户点击或系统自动运行HOST程序;②装载HOST程序到内存;③通过PE文件中的AddressOfEntryPoint加ImageBase之和,定位第一条语句的位置(程序入口);④从第一条语句开始执行(这时执行的其实是病毒代码);⑤病毒主体代码执行完毕,将控制权交给HOST程序原来的入口代码;⑥HOST程序继续执行。4.针对PE文件格式,请思考:Win32病毒感染PE文件,须对该文件作哪些修改?5.简介有哪些常用的磁盘编辑软件、分区软件。FDISK、DiskGenius、PartitionMagic、AcronisDiskDirector6.简述WindowsXP的启动过程。在基于Intel的计算机上,Windows2000/XP的启动过程大致可分为8个步骤:1.预启动计算机加电自检,读取硬盘的MBR、执行NTLDR(操作系统加载器)文件2.进行初始化NTLDR将处理器从实模式转换为32位保护模式3.读取BOOT.INI文件BOOT.INI文件其作用是使系统在启动过程中出现选择菜单,由用户选择希望启动的操作系统,若只有一个操作系统则不显示4.加载NTDETECT.COM文件由NTDETECT.COM来检测计算机硬件,如并行端口、显示适配器等,并将收集到的硬件列表返回NTLDR用于以后在注册表中注册保存5.选择硬件配置文件如果Windows2000/XP有多个硬件配置文件,此时会出现选择菜单,等待用户确定要使用的硬件配置文件,否则直接跳过此步,启用默认配置6.装载内核引导过程装载Windows2000/XP内核NtOsKrnl.EXE。随后,硬件抽象层(HAL)被引导进程加载,完成本步骤7.初始化内核内核完成初始化,NTLDR将控制权转交Windows2000/XP内核,后者开始装载并初始化设备驱动程序,并启动Win32子系统和Windows2000/XP服务8.用户登录由Win32子系统启动WinLogon.EXE,并由它启动LocalSecurityAuthority(LSASS.EXE)显示登录对话框。用户登录后,Windows2000/XP会继续配置网络设备、用户环境,并进行个性化设置。最后,伴随着微软之声和我们熟悉的个性化桌面,Windows2000/XP启动过程完成7、简述Windows7的启动过程。1、开启电源——计算机系统将进行加电自检(POST)。如果通过,之后BIOS会读取主引导记录(MBR)——被标记为启动设备的硬盘的首扇区,并传送被Windows7建立的控制编码给MBR。——这时,Windows接管启动过程。接下来:MBR读取引导扇区-活动分区的第一扇区。此扇区包含用以启动Windows启动管理器(WindowsBootManager)程序Bootmgrexe的代码。2、启动菜单生成——Windows启动管理器读取“启动配置数据存储(BootConfigurationDatastore)中的信息。此信息包含已被安装在计算机上的所有操作系统的配置信息。并且用以生成启动菜单。3、当您在启动菜单中选择下列动作时:1如果您选择的是Windows7(或WindowsVista),Windows启动管理器(WindowsBootManager)运行%SystemRoot%\System32文件夹中的OSloader——Winload.exe。2如果您选择的是自休眠状态恢复Windows7或Vista,那么启动管理器将装载Winresume.exe并恢复您先前的使用环境。3如果您在启动菜单中选择的是早期的Windows版本,启动管理器将定位系统安装所在的卷,并且加载WindowsNT风格的早期OSloader(Ntldr.exe)——生成一个由boot.ini内容决定的启动菜单。4、核心文件加载及登录Windows7启动时,加载其核心文件Ntoskrnl.exe和hal.dll——从注册表中读取设置并加载驱动程序。接下来将运行Windows会话管理器(smss.exe)并且启动Windows启动程序(Wininitexe),本地安全验证(Lsass.exe)与服务(services.exe)进程,完成后,您就可以登录您的系统了。5、登陆后的开机加载项目第3章计算机病毒的逻辑结构与基本机制1.计算机病毒在任何情况下都具有感染力或破坏力吗?为什么?不是,因为计算机病毒在传播过程中存在两种状态,即静态和动态。a.静态病毒,是指存在于辅助存储介质中的计算机病毒,一般不能执行病毒的破坏或表现功能,其传播只能通过文件下载(拷贝)实现。b.病毒完成初始引导,进入内存后,便处于动态。动态病毒本身处于运行状态,通过截流盗用系统中断等方式监视系统运行状态或窃取系统控制权。病毒的主动传染和破坏作用,都是动态病毒的“杰作”c.内存中的病毒还有一种较为特殊的状态——失活态,它的出现一般是由于用户对病毒的干预(用杀毒软件或手工方法),用户把中断向量表恢复成正确值,处于失活态的病毒不可能进行传染或破坏综上所述,计算机病毒只有处于动态才具有感染力或破坏力。故计算机病毒不是在任何情况下都具有感染力或破坏力2.文件型病毒有哪些感染方式?a寄生感染:文件头部寄生文件尾部寄生插入感染逆插入感染利用空洞——零长度感染b无入口点感染:采用入口点模糊(EntryPointObscuring,EPO)技术采用TSR病毒技术c滋生感染d链式感染eOBJ、LIB和源码的感染3.计算机病毒的感染过程是什么?计算机病毒感染的过程一般有三步:(1)当宿主程序运行时,截取控制权;(2)寻找感染的突破口;(3)将病毒代码放入宿主程序4.结合病毒的不同感染方式,思考该病毒相应的引导机制。(老师给的)(1)驻留内存病毒若要发挥其破坏作用,一般要驻留内存。为此就必须开辟所用内存空间或覆盖系统占用的部分内存空间。有的病毒不驻留内存。(2)窃取系统控制权在病毒程序驻留内存后,必须使有关部分取代或扩充系统的原有功能,并窃取系统的控制权。此后病毒程序依据其设计思想,隐蔽自己,等待时机,在条件成熟时,再进行传染和破坏。(3)恢复系统功能病毒为隐蔽自己,驻留内存后还要恢复系统,使系统不会死机,只有这样才能等待时机成熟后,进行感染和破坏的目的。有的病毒在加载之前进行动态反跟踪和病毒体解密。4.计算机病毒一般采用哪些条件作为触发条件?病毒采用的触发条件主要有以下几种:日期触发时间触发键盘触发感染触发启动触发访问磁盘次数/调用中断功能触发CPU型号/主板型号触发打开或预览Email附件触发随机触发5.一个病毒,试分析其感染机制、触发机制和破坏机制。感染机制:A计算机病毒实施感染的过程基本可分为两大类a.立即传染病毒在被执行到的瞬间,抢在宿主程序开始执行前,立即感染磁盘上的其他程序,然后再执行宿主程序b.驻留内存并伺机传染内存中的病毒检查当前系统环境,在执行一个程序或DIR等操作时感染磁盘上的程序,驻留在系统内存中的病毒程序在宿主程序运行结束后,仍可活动,直至关闭计算机总之,计算机病毒感染的过程一般有三步:(1)当宿主程序运行时,截取控制权;(2)寻找感染的突破口;(3)将病毒代码放入宿主程序病毒攻击的宿主程序是病毒的栖身地,宿主程序既是病毒传播的目的地,又是下一次感染的出发点触发机制:病毒在感染或破坏