计算机病毒分析与防治简明教 教学课件 作者 978 7 302 16377 0 习题答案.docVIP

习题答案 习题一 1．简述自己在使用计算机时遇到的病毒，该病毒表现特征。 省略。 2．简述文件型病毒和引导型病毒的工作原理。 磁盘引导区传染的病毒主要是用病毒的全部或部分逻辑取代正常的引导记录，而将正常的引导记录隐藏在磁盘的其他地方。由于引导区是磁盘能正常使用的先决条件，因此，这种病毒在运行的一开始（如系统启动）就能获得控制权，其传染性较大。由于在磁盘的引导区内存储着需要使用的重要信息，如果对磁盘上被移走的正常引导记录不进行保护，则在运行过程中就会导致引导记录的破坏。引导区传染的计算机病毒较多，例如，“大麻”和“小球”病毒就是这类病毒。 存在于文件中，被加载后执行。拦截文件操作或主动搜索磁盘文件。 3．简述病毒在计算机系统中存在的位置。 引导扇区、内存、PE文件中、脚本文件中、磁盘未用扇区、数学扇区。 4．简述计算机病毒的传播途径。 1) 软盘、光盘和USB盘。它们作为最常用的交换媒介，在计算机应用的早期对病毒的传播发挥了巨大的作用，因那时计算机应用比较简单，可执行文件和数据文件系统都较小，许多执行文件均通过相互拷贝、安装，这样病毒就能通过这些介质传播文件型病毒；另外，在用它们列目录或引导机器时，引导区病毒会在软盘与硬盘引导区内互相感染。 2) 硬盘。由于带病毒的硬盘在本地或移到其他地方使用、维修等，将干净的软盘、USB盘感染并再次扩散。 3) 网络。非法者设计的个人网页，容易使浏览网页者感染病毒；用于学术研究的病毒样本，可能成为别有用心的人的使用工具；散见于网站上大批病毒制作工具、向导、程序等等，使得无编程经验和基础的人制造新病毒成为可能；聊天工具如QQ的使用，导致有专门针对聊天工具的病毒出现；即使用户没有使用前面的项目，只要计算机在网络上，而系统存在漏洞，针对该漏洞的病毒有可能感染该台机器。 5．简述病毒的工作机制。 病毒的触发机制病毒的传播机制病毒的破坏机制Worm.Blaster.F 等表示。 习题二 试叙述引导型病毒的主要特点。 引导型病毒是一种在ROM BIOS之后，系统引导时出现的病毒，它先于操作系统，依托的环境是BIOS中断服务程序。引导型病毒是利用操作系统的引导模块放在某个固定的位置，并且控制权的转交方式是以物理位置为依据，而不是以操作系统引导区的内容为依据，因而病毒占据该物理位置即可获得控制权，而将真正的引导区内容搬家转移或替换，待病毒程序执行后，将控制权交给真正的引导区内容，使得这个带病毒的系统看似正常运转，而病毒已隐藏在系统中并伺机传染、发作。 2．试验利用Debug编程读出引导扇区，然后反汇编分析。 用a命令编写一段代码，代码调用中断int 13h读。然后用U命令反汇编。 3. 读出一个硬盘的MBR，然后分析磁盘逻辑分区结构。 同上。从0x1be开始分析。 4．试验：先格式化一张软盘，用int 13h修改FAT中的某项为0xFFF7拷贝尽量多文件，验证其对应的簇是否会被文件使用。 不会。因为该表项不为0，表示已经被占用。 5．设计一个自己的引导程序，使程序先提示要输入密码，密码正确才能进入系统，否则死机。思考怎么实现。 .MODEL SMALL .STACK .DATA .CODE .STRARTUP MOV AX, 0201H ；AH=02H,为中断的读扇区数据功能，CL=01H 为读扇区的 个数； MOV BX, 4000H ；BX=4000H,为存放数据缓冲区； MOV CX, 0001H ；CH=00H,为磁道号；CL=01H,为第1扇区号； MOV DX, 0080H ；DL=80H,为第一个硬盘；DH=00H，为磁头号 INT 13H ；调用中断，读取数据 MOV AX, 0301H ；AH=03H,为中断的写扇区数据功能，CL=01H 为读扇区的 个数； MOV BX, 4000H ；BX=4000H,为读取数据缓冲区； MOV CX, 0003H ；CH=00H,为磁道号；CL=03H,为第3扇区号； MOV DX, 0080H ；DL=80H,为第一个硬盘；DH=00H，为磁头号 INT 13H ；调用中断，写入数据 INT 20H ；退出程序 .EXIT 0 END ;File name : boot.asm .model tiny