第一章
一.简述计算机病毒的定义:
编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。
二.简述计算机病毒的主要特征:
1.程序性;2. 隐蔽性;3. 潜伏性;4. 可触发性;5. 表现性 ;6. 破坏性 ;7. 传染性;8.针对 性;9.寄生性;11. 变异性;
三.按寄生方式分类,计算机病毒主要分哪几类?
1.覆盖型病毒(512病毒); 2.代替型病毒(打印病毒); 3.链接型病毒(黑色星期五); 4.填充型病毒(勒海病毒); 5.转储型病毒(小球病毒);
四.计算机病毒产生的主要技术原因有哪些?
1.计算机的体系结构上的缺点; 2.缺乏整体安全性和完整性的设计和检测; 3.安全性和开放性的矛盾;
五.简述计算机发展的主要阶段。
1.DOS引导阶段; 2.DOS可执行阶段; 3.伴随、批次型阶段; 4.幽灵、多形阶段;
5.生成器、变体机阶段; 6.网络、蠕虫阶段; 7.视窗阶段; 8.宏病毒阶段; 9.互联网阶段;
10.Java、邮件炸弹阶段;
六.计算机发展的主要技术。
1.抗分析病毒技术; 2.隐蔽性病毒技术; 3.多态性病毒技术; 4.插入性病毒技术; 5.超级病毒技术; 6.病毒自动生成技术; 7.跨平台病毒技术; 8.Internet病毒技术;
第二章
一.计算机逻辑结构由哪些部分组成?
(1)感染标志,(2)引导模块,(3)传染条件判断模块、实施传染模块,(4)表现或破坏条件判断模块、实施表现后破坏模块。
二.系统型病毒和文件型病毒在存储结构上有哪些不同?
系统型病毒是专门感染操作系统的启动扇区,主要指感染主引导扇区和DOS引导扇区的病毒。 分两部分,第一部分存放在磁盘引导扇区中,第二部分存放在磁盘的其他扇区中。
文件型病毒是指专门感染系统中的可执行文件,即扩展名为COM、EXE的文件或依赖于文件而发作的病毒。 绝大多数文件型病毒属于所谓的外壳病毒。
计算机病毒一般不存在与数据文件中。
三.计算机病毒的生命周期分为那几个阶段?
—开发期—传染期—潜伏期—发作期—发现期—消化期—消亡期—
四.计算机病毒是如何传播的?
1 被动传播:用户在复制磁盘文件时,把一个病毒由一个载体复制到另一个载体上。或者是通过网络上的信息传递,把一个病毒程序从一方传递到另一方。
2 主动传播:以计算机系统的运行以及病毒程序处于激活状态为先决条件。在病毒处于激活的状态下,只要传染条件满足,病毒程序能主动地吧病毒自身传染给另一个载体或另一个系统。
五.计算机病毒在什么情况下会发作?
满足触发条件则发作。
触发条件:1. 日期触发;2. 时间触发; 3.键盘触发; 4.感染触发; 5. 启动触发;6. 访问磁盘次数触发; 7. 调用终端功能触发;8. CPU型号/主板型号触发
六.计算机病毒通常会有哪些破坏作用?
1.攻击系统数据区; 2.攻击文件; 3.攻击内存; 4.干扰系统运行; 5.速度下降; 6.攻击磁盘数据; 7.扰乱屏幕显示; 8.干扰磁盘; 9.扰乱喇叭; 10.攻击CMOS配置信息;
11.干扰打印机; 12.破坏计算机硬件; 13.干扰网络服务。
第三章
一.分析“大麻”病毒的引导过程。
二.分析“黑色星期五”感染模块,给出其感染文件的工作流程。
三.分析“中国黑客”病毒的重定位过程。
四.分析“爱虫”病毒的目标文件的搜索过程、文件感染过程。
五.分析“冲击波”病毒传播功能模块。
六.分析“求职信”病毒网络传播部分和病毒的感染文件、破坏文件部分。
七.病毒、蠕虫、木马在定义上有什么区别?
主要区别:木马没有病毒的繁殖性和自动感染功能,而病毒往往不具备远程控制功能;蠕虫不同于病毒的是不需要宿主文件,而病毒需要宿主文件才能传播扩散。
八.解析宏病毒的一般防护方法(5章)。
(1)要有安全意识; (2)利用软件自身的防护功能; (3)及时对模板进行备份; (4)删除自动宏;
九.脚本病毒有哪些传播方式?(第六章)
(1)通过E-mail传播; (2)通过局域网共享传播; (3)通过感染htm,asp,jsp,php等网页文件传播; (4)通过IRC聊天通道传播;
十.脚本病毒存在哪些弱点?如何利用这些弱点进行脚本病毒的防护?
同第六章第三题。
第四章
一.简述自主访问控制系统和强制访问控制系统的区别与联系。
区别:DAC是由用户来控制资源的访问权限;DAC可以选用访问控制列表(ACL)来基于用户ID或组ID限制对资源的访问。
MAC是根据策略来控制对信息的访问;MAC设计时考虑的是机密性(病毒导致的完整性问题);
DAC和MAC都可以减缓病毒的感染速度,但不能避免感染的发生。
二.简述特征代码扫描技术优缺点。
优点:(1)检测准确,快速; (2)可识别病毒的名称; (3)误报警率低; (4)根据检测结果,可准确杀毒。
缺点:(1)它依赖对已知病毒的精确了解,需要花费很多时间来确定各种病毒的特征代码; (2)如果病毒的特征码是变化的,这种方法就会失效; (3)随着病毒种类的增多,检索时间变长,此类工具的高速性将变得日益困难; (4)内存有病毒时一般不能准确检测病毒。
三.什么是虚警?如何减少虚警?
虚警:把一个本无病毒的程序指证为染毒程序,这就是所谓的查毒程序虚警或谎报现象。
四.如何清除本机的木马病毒?
减少虚警的方法:(1)对于病毒行为的准确把握而给定的关于可疑功能调用集合的精确的定义。 (2)对于常规程序代码的识别能力。 (3)对于特定程序的识别能力。 (4)类似“无罪假定”的功能,首先假定程序和电脑是不韩病毒的。
五.简述计算机病毒防护的基本准则。
1.拒绝访问能力; 2.病毒检测能力; 3.控制病毒传播的能力; 4.清除能力; 5.恢复能力; 6.代替操作。
六.计算机免疫技术的原理是什么?
1.针对某一种病毒进行的计算机病毒免疫
原理:病毒在传染前先检查待传染的扇区或程序内是否含有病毒代码,如果没有找到
则进行传染,如果找到了则不进行传染。
2.基于自我完善性检查的计算机病毒免疫
原理:为可执行程序增加一个免疫外壳,同时在免疫外壳中记录有关用于恢复自身的信息。执行具有免疫功能的程序时,先执行免疫外壳,检查自身程序大小、校验、和生成日期时间等情况。没有发现异常后,在转去执行受保护的程序。
七.针对你的工作单位的计算机系统制定一个详细的病毒防护策略。
八.针对你的家庭计算机制定一个详细的病毒防护策略。
九.谈谈你对今后病毒防护技术发展趋势的看法。
具有:1.实时化立体防护 2.新的体系结构的突破 3.防范未知病毒 4.移动平台
第五章
一.简述PE文件的组织结构及每部分的功能。
(1)DOS头:当程序在DOS下运行的时候DOS可以由此认出文件是个DOS可执行文件从而转到DOS段(DOS stub)中去执行。
(2)PE文件头组成:①PE文件标志 ②印象文件头 ③可选印象头
(3)节表:节表中的每个结构包含了该节的具体信息。病毒在添加病毒节之后必须同
时在节表中添加与之相对应的节表项。
(4)节:包含代码节,数据节,导入函数节,导出函数节,资源节等。
二.PE文件病毒为什么需要重定位?如何实现?
重定位的原因:正常程序的变量和函数的相对地址是预先算好的。病毒是股价在宿主程序中的程序段,其问题在于:病毒变量和病毒函数的相对地址难以计算。
方法:动态寻找一个参考点,然后再根据参照点的地址确定病毒函数和病毒变量的地址获取API函数。
病毒重定位的方法:利用程序(call Vstart Vstart:pop ebx sub ebx , offset Vstart);或用(Vstart:call getvs getvs:call getvs_01 getvs_01:pop ebx sub ebx,offset getvs_01-offset vstart)
三.PE文件病毒为什么需要动态获取API函数的地址?如何获取?这一点与普通的可执行文件有何区别?
动态获取API函数地址的原因:病毒只是一个依附在正常程序中的代码段,没有自己的引入表。
获取方式:首先需要在动态链接库中获得Kernel32.dll的基地址,然后在该模块中搜索需要的API函数的地址。
与普通可执行文件的区别:普通文件里有一个引入函数表。而win32PE文件不存在引
入函数表。
四.谈谈Windows下的PE文件病毒与DOS病毒相比有何特点?
综合性更强,功能更强大。
五.在防治PE文件病毒方面要有哪些准备?为什么防病毒软件不能防范所有病毒?
预防准备:
(1) 经常对硬盘上的重要文件和可执行程序进行备份;
(2) 不要使用来历不明或安全性不确定的程序或邮件附件等;
(3) 在网络上下载程序是最好到一些可靠的站点进行,对于从互联网上下载的文档和电子邮件等,下载后也不厌其烦的做不到扫描。
(4) 对于执行重要工作的电脑要专机专用;对于交换的软件技术局文件要进行检查,确定无不到方可使用。
(5) 一旦发现计算机遭受病毒感染,应立即切断电源连接,并进行病毒查杀,以防止计算机受到更严重的感染或破坏,或者成为传播源感染其他计算机。
(6) 安装反病毒软件对计算机实施实时监控。
(7) 禁用系统中不需要的服务。
(8) 经常升级安全补丁;
(9) 设置复杂的密码。
六.宏病毒与传统的PE文件病毒相比有何特点?
1.传播及快; 2.制作变种方便; 3.破坏性极大; 4.多平台交叉感染;
七.简述宏病毒的传播机制。
宏病毒以“宏”的形式寄生在数据文档或者模板中。一旦打开这样的文档,其中的宏就会被执行,宏病毒就会被激活,转移到计算机上,并驻留在Normal模板上。以后所有自动保存的文档都会感染上这种宏病毒,如果其他用户打开了感染病毒的文档,宏病毒又会转移到他的计算机上。
八.宏病毒产生的根本原因是什么?如何防治?
原因:编制“宏”功能的要求较低,容易编制,而且文档中编程接口是开放的。
防治:(1)要有安全意识;(2)利用软件自身的防护功能;(3)及时对模板进行备份;
(4)删除自动宏;
九.移动介质病毒是如何传播的?
移动介质病毒依赖于Windows的自动运行功能,所谓的自动运行功能是指Windows
系统根据用户的配置文件(autorun.inf文件)能够自动执行指定程序的功能。
十.简述移动介质病毒的检测、清除、与预防方法。
预防:(1)关闭系统的自动运行机制;(2)自动建立autorun.inf免疫文件夹;(3)NTFS权限控制;
检测:如果在磁盘根目录下发现有autorun.inf文件以及与其相对应的可执行文件,并且用鼠标双击磁盘分区图标时,无法打开对应分区窗口或打开缓慢,则断定计算机系统感染了autorun病毒。
清除:(1)如果病毒正在运行,首先应该终止病毒进程的运行。 (2)删除病毒文件。 (3)检查系统启动项等自启动设置,删除病毒残余文件,
第六章
一.简要说明与其他计算机病毒相比,网络病毒表现出来的特点,并说明为什么会表现出这些新特点?
1.传染方式多 2.传染速度快 3.清除难度大 4.破坏性强
原因:
二.简述注册表中键值分成哪几大类?每大类键值在整个计算机系统设置中所起的作用是什么?
Windows的注册表是控制系统启动、运行的最底层设置,其数据保存在文件System.dat和User.dat中,这些文件至关重要,但又极其脆弱。
注册表包括以下5个主要键项:
(1) HKEY_CLASSESE_ROOT:包含启动应用程序所需的全部信息,包括扩展名、应用程序与文档之间的关系,驱动程序名、DDE和OLD信息,类ID编号和应用程序与文档的图标等。
(2) HKEY_CURRENT_USER:包含当前登录用户的配置信息,包括环境变量,个人程序,桌面设置等。
(3) HKEY_LOCAL_MACHINE:包含本地计算机的系统信息,包括硬件和操作系统信息,如设备驱动程序,安全数据和计算机专用的各类软件设置信息。
(4) HKEY_USERS:包含计算机所有用户使用的配置数据,这些数据只有当用户登录系统时才能访问。这些信息告诉当前用户使用的图标】激活的程序组、开始菜单内容以及颜色字体等。
(5) HKEY_CURRENT_CONFIG:存放当前硬件的配置信息,其中的信息是从HKEY_LOCAL_MACHINE映射出来的。
三.脚本病毒由哪些弱点?针对这些弱点,如何采取防范措施?
脚本病毒的弱点:
(1) 绝大部分VBS脚本病毒运行的时候需要用到一个对象:FileSystemObject。
(2) VBScript代码是通过Windows Script Host来解释执行的。
(3) VBS脚本病毒的运行需要其关联程序Wscript.exe的支持。
(4) 通过网页传播的病毒需要ActiveX的支持。
(5) 通过E-mail传播的病毒需要OutlookExpress的自动发送邮件功能的支持,但大部分病毒都是以E-mail为主要传播方式进行传播的。
防范措施:
(1) 禁用文件系统对象FileSystemObject;
(2) 卸载Windows Script Host;
(3) 删除VBS,VBE,JS,JSE文件后缀名与其应用程序的映射;
(4) 在Windows目录中,找到Wscript.exe,更改名称或者删除,如果觉得以后有机会的话,更改名称即可,然后以后还可以重新装上;
(5) 自定义安全级别;
(6) 禁止OutlookExpress的自动收发邮件功能;
(7) 显示扩展名;
(8) 将系统的网络连接安全级别设置为“中等”以上,它可以在一定程度桑预防某些有害的Java程序或者某些ActiveX组件对计算机的危害;
(9) 安全舒勇杀毒软件;
七.简述防范恶意网页病毒的方法,并说明如何清除感染的恶意网页病毒。
针对不同的特点,采取特定的方法来消除病毒;
1.IE浏览器窗口不停的打开,知道最后死机。
(1)Windoes98系统中, “开始/设置/控制面板/—添加/删除程序—Windows安装程序—附件,不勾选 Windows Scriping.exe 项,”最后将其卸载。
(2)Windows XP/2000系统中,“开始/搜索/文件或文件夹”,在系统目录(C:\\WINDOWS\\system.32)下,查找WScript.exe文件,将之删除。
删除之后,重启系统,就会消除这类病毒的破坏。
2.IE的主页设置被屏蔽锁定
通过修改注册表清除病毒。
3.在IE工具栏中有非法添加的按钮
修复方法:选中工具栏上的非法按钮—右键—自定义,找到非法按钮然后删除。
4.IE默认的搜索引擎被篡改
从注册表regedit中修改回原来的网址。
八.简述即时通信软件病毒的工作原理及其特点,并说明如何防范这一类病毒。
IM工作原理:即时通信病毒是利用IM软件的传输漏洞进行传播。
特点:1.更强的隐蔽性; 2.攻击更加便利; 3.更快的传播速度;
防范:(1)尽量不要在公共场合使用IM软件。 (2)随时注意微软公司官方的安全公告,及时下载更新系统漏洞补丁,不给病毒制造者以可乘之机。 (3)养成良好的上网习惯,时刻提高警惕。 (4)制定适合工作环境的内容信息交换规范,严格管理实时监控内部员工IM软件的使用情况。 (5)关闭或者删除系统中不需要的服务,如FTP客户端、Telnet及Web服务等。 (6)建议使用6位以上的复杂密码。 (7)当用户的计算机发现或者异常时,应该立即断网,以防止计算机受到更多的感染,或者成为传播源,再次感染其他计算机。
九.简述网络病毒在防范及清除时需要注意的问题,以及必须采取的相关措施。
网络病毒的防御:首先必须对计算机的安全要有足够的重视,增强防范意识,健全管理制度,加强网络管理,使用合法软件,介绍病毒入侵的机会。
需要加以注意的集中措施:(1)使用无盘工作站; (2)尽量少用超级用户登录; (3)
严格控制用户的网络使用权限; (4)不允许一个用户有对其他用户私人目录的读写和文件扫描的权利; (5)不允许第一个用户对同一目录有读写权利; (6)对某些频繁使用的或者非常重要的文件的属性加以控制,以免病毒传染; (7)对远程工作站的登录权限严格限制。
网络病毒的清除:由于网络病毒的特点,以及网络系统中各计算机之间的关联性,要求必须按照一定的步骤进行,以防止网络病毒的二次感染或者清除不彻底。
第七章
一.什么是计算机木马?
木马是指通过伪装欺骗手段诱使用户安装运行,但不具有复制、传播能力的恶意代码。主要功能是对远端目标主机实现远程控制。
二.木马按照功能划分为哪几类?
(1)密码发送型; (2)信息收集型; (3)远程控制型; (4)破坏型; (5)FTP型; (6)主动对抗型;
三.木马有哪些典型特征?
(1)隐蔽性; (2)自动运行性; (3)欺骗性; (4)自动恢复性; (5)功能的特殊性; (6)危害性;
四.木马的进程隐藏技术有哪些?
(1)进程伪隐藏; (2)进程插入; (3)DLL注入; (4)Rootkit技术;
五.木马是如何获取目标主机信息的?
(1)获取网络信息的主要手段就是通过扫描的方法对主机或网络发送相应探测数据包,根据返回数据确定各种网络信息的特征。 主要方法分为三类:高级ICMP扫描技术、高级TCP扫描技术、高级UDP扫描技术。
六.阐述木马技术的发展趋势。
七个方向:(1)ICMP木马;(2)DLL替换;(3)权限提升;(4)防火墙穿越;(5)模块化设计;(6)隐蔽加载;(7)感染方式多样化;
七.如何预防和清除“冰河”木马?
预防:首先在 控制面板—查看选项卡 里取消系统默认的“隐藏已知文件扩展名”选项。然后在C:/Windows/system的目录下,新建两个TXT文本文件,将文件名(包括“扩展名”)改成Kernel32.exe和Sysexplr.ese,最后将文件属性设为只读、隐藏。 在Windows NT/2000/XP中,如果系统有多个用户,则将访问权限设置为“everyone”都“拒绝访问”,其他继承权限也做相应的设置。
清除:
①除C:Windows/system下的Kernel32.exe和Sysexplr.exe文件。
②“冰河”会在注册表
HKEY_LOCAL_MACHINE/software/Microsoft/windows/Current Verson/Run 下扎根,键值为C:windows/system/Kernel32.exe,删除它。
③在注册表的HKEY_LOCAL_MACHINE/software/Microsoft/windows/Current Verson/Runservices 下,还有键值为C:windows/system/Kernel32.exe的,也要删除。
④最后,改注册表HKEY_CLASSES_ROOT/txtfile/shell/open/command下的默认值,由中木马后的C:windows/system/Sysexplr.exe%1改为正常情况下的C:windows/notepad.exe%1,即可恢复TXT文件的关联功能。
八.木马的防范策略有哪些?
(1)关闭本机不用的端口; (2)修改注册表权限; (3)不要随意打开来历不明的邮件; (4)不要随意下载来历不明的软件; (5)尽量少用共享文件夹; (6)运行实时监控程序; (7)经常升级和更新病毒库;
九.木马的检测方法有哪些?
1.查看开放端口; 2.查看win.ini和system.ini系统配置文件; 3.使用内存监测工具检查; 4.查看自启动文件; 5.查看注册表; 6.查看系统进程; 7.使用检测软件;
十.简述Linux木马的典型特征。
增加超级用户账号,利用系统服务加载,共享库文件注入,rootkit工具包,利用可装载内核模块(LKM)技术
第八章
一.蠕虫与传统意义上的病毒在定义上有哪些不同?
蠕虫是通过网络传播,无需用户干预能够把独立地或者依赖文件共享主动攻击的恶意代码。
病毒是一段代码,能够把自身加到其他程序包括操作系统上。它不能独立运行,需要有他的宿主程序运行来激活它。
最主要的两点区别在于:
(1) 主动性方面:蠕虫的传播具有很强的主动性,他的运行与传播并不需要计算机用户的干预;而病毒则必须要借助计算机用户的某种操作来激活它,这样才能达到其攻击的目的。
(2) 感染对象方面:蠕虫感染的对象是有相应漏洞或者其他脆弱性的计算机系统,而病毒的感染对象则是计算机中的文件系统。
二.请简述蠕虫的的行为特征有哪些?
主动攻击,行踪隐蔽,利用系统,网络应用服务漏洞,造成网络拥塞,降低系统性能,产生安全隐患,反复性,破坏性。
三.如何看待病毒的网络传播特性与蠕虫的传播特性之间的关系?
蠕虫的传播需要进行扫描,病毒的传播不需要;蠕虫的传播通过网络传播,针对用户计算机上的漏洞进行传播,病毒的传播一般只在一台计算机上针对于不同文档等进行传播。但是二者传播都需要复制。
四.我们应该如何预防蠕虫?这和预防病毒有什么区别?
预防:1.加强人的安全意识; 2.提高软件产品的安全性(①安全编码;②非可执行的缓冲区;③数组边间检查;④加强对返回地址的保护;⑤及时打补丁或者升级)。
两者的区别:
病毒的预防采用访问控制、完整性检查和行为阻断。病毒的预防完全是技术层次上的防护。而蠕虫则是针对人和产品的预防。
五.蠕虫检测技术主要有哪些?
1.基于签名的检测技术; 2.蜜罐检测技术; 3.网络黑洞检测技术; 4.基于流量的检测方法。
六.简述蠕虫的扫描策略。
1.选择性随机扫描; 2.顺序扫描; 3.基于目标列表的扫描; 4.基于路由的扫描; 5.基于DNS扫描; 6.分治扫描; 7.被动式扫描;
第九章
一.简述计算机反病毒产品的发展现状。
反病毒产品从特征值扫描法到开发病毒主动防御系统,以行为自动监控、行为自动分析、行为自动诊断为新思路的主动防御型产品。
二.计算机反病毒产品有哪些主要特点?
(1)识别并清除病毒; (2)以特征值扫描法为技术基础; (3)不同软件,只能杀特定病毒; (4)反病毒软件总是落后于病毒的出现。
三.计算机反病毒产品如何检测病毒?
1.严密监控内存RAM区 (1)个跟踪内存容量的异常变化 (2)对中断向量进行监控、检测 (3)对RAM区进行扫描
2.监控磁盘引导扇区 (1)代码和有变,则可能有病毒感染 (2)扫描引导扇区的所有字符串 (3)全方位扫描磁盘文件
四.如何选择合适的计算机反病毒产品?
技术方面:1.能查杀病毒的数量要多,安全可靠性要强; 2.要有实时反病毒的“防火墙”技术; 3.性能要可靠; 4.要能够查杀压缩文件中的病毒; 5.恢复数据能力要强;
使用方面:操作简单;反病毒产品的安装和卸载均以向导形式进行,并提供多种选择;创建急救盘对挽救用户系统也是至关重要的。
服务方面:厂家提供的售后服务是最重要的。
五.简述国内外主流反病毒软件及其技术优势。
国内
瑞星:全球第三家、也是国内唯一一家可以提供全系列信息安全产品和服务的专业厂商。该产品采用了全新的软件架构和最新引擎;全面优化病毒特征库,极大提高运行效率,降低资源占用率;提供集“拦截、防御、查杀、保护”为一体的个人电脑安全整体解决方案。
国外
卡巴斯基:一款家庭及个人用户级的软件,它为用户提供多功能一体的安全解决方案,为用户创建安全无忧的计算环境。
江民:国内最大的信息安全技术开发商与服务提供商,国内首个亚洲反病毒协会会员企业。国内首家研发成功启发式扫描、内核级防御引擎,填补了国内杀毒软件在启发式病毒扫描以及内核级自我保护方面的技技术空白。
360安全卫士:国内第一款免费安全软件。它拥有查杀流行木马、清理恶评及系统插件,管理应用软件,卡巴斯基杀毒,系统实时保护,修复系统漏洞等数个强劲功能,同时还提供系统全面诊断,弹出插件免疫,清理使用痕迹以及系统系统还原等特定辅助功能,并且提供对系统的全面诊断报告,方便用户及时定位问题所在,真正为每一位用户提供全方位系统安全防护。
诺顿:诺顿品牌的产品是左面防护领域的市场领导者,它与多种产品无缝集成,保护客户的计算机免遭受病毒爆发和恶意黑客的攻击。
六.移动设备杀毒软件有哪些新特点?
图书馆--数字资源--电链云
因篇幅问题不能全部显示,请点此查看更多更全内容