恶意代码参考答案.docVIP

复习资料 名词解释：8/16 恶意程序:未经授权便干扰或破坏计算系统/网络的程序或代码称之为恶意程序/恶意代码 2.无入口点技术:无入口点病毒并不是真正没有入口点，而是采用入口点模糊(Entry Point Obscuring，EPO)技术，即病毒在不修改宿主原入口点的前提下，通过在宿主代码体内某处插入跳转指令来使病毒获得控制权 3.主机蠕虫:主机蠕虫的所有部分均包含在其所运行的计算机中，在任意给定的时刻，只有一个蠕虫的拷贝在运行，也称作“兔子”(Rabbit) 4.网络蠕虫:网络蠕虫由许多部分(称为段，Segment)组成，而且每一个部分运行在不同的计算机中(可能执行不同的动作)，网络蠕虫具有一个主segment，该主segment用以协调其他segment的运行，这种蠕虫有时也称作“章鱼”。 5.脚本病毒:用脚本语言所编写的病毒 6.动态嵌入技术:动态嵌入技术是指将自己的代码嵌入正在运行的进程中的技术。 7远程线程技术:是指通过在一个正在运行的进程中创建远程线程的方法进入该进程的内存地址空间。 8.主动传染:当病毒处于激活态时，只要传染条件满足，病毒程序就能主动地把病毒自身传染给另一个载体或另一个系统。这种传染方式称作计算机病毒的主动传染 9.被动传染:用户在进行拷贝磁盘或文件时，把一个病毒由一个载体复制到另一个载体上；或者是通过网络上的信息传递，把一个病毒程序从一方传递到另一方。这种传染方式称作计算机病毒的被动传染。 10.假隐藏:指程序的进程仍然存在，只不过是让他消失在进程列表中 11.真隐藏:程序彻底地消失，不是以一个进程或者服务的方式工作 12.空洞:具有足够长度的全部为零的程序数据区或堆栈区 13.混合感染:病毒既感染引导扇区又感染文件 14.交叉感染:一台计算机中常常会同时染上多种病毒。当一个无毒的宿主程序在此计算机上运行时，便会在一个宿主程序上感染多种病毒，称为交叉感染。 15.链式感染:病毒在感染时，完全不改动宿主程序本体，而是改动或利用与宿主程序相关的信息，将病毒程序与宿主程序链成一体，这种感染方式称作链式感染 16.逻辑炸弹:辑炸弹可以理解为在特定逻辑条件满足时实施破坏的计算机程序。与病毒相比,逻辑炸弹强调破坏作用本身,而实施破坏的程序不会传播。 论述题 3/8 简单叙述PE文件的基本组成？ PE文件头部首先第一部分是DOS头，DOS头部有两个部分构成，第一部分是MZ文件头，紧跟MZ文件头后面的是一个DOS可执行文件。正是由于DOS头的存在，使得所有PE文件向上兼容，使得所有PE文件都是合法的MS-DOS可执行文件。PE文件第二个部分是PE文件头，PE文件头有三个组成部分:PE文件标志、映像文件头、可选映像头。其中可选映像头中包含了数据目录表。这四个部分的具体介绍请阅读本文其后部分。PE文件的第三个部分是节表，节表与节是一一对应的，提供了每个节具体信息，可以认为节表是节的索引。PE文件的第四个部分是节，节中存在着文件真正的内容。在PE头的最后是调试信息，顾名思义，调试信息是用以调试的一些信息的汇总。 2. PE病毒的感染过程？? 1．判断目标文件开始的两个字节是否为“MZ”。? 2．判断PE文件标记“PE”。? 3．判断感染标记，如果已被感染过则跳出继续执行HOST程序，否则继续。? 4．获得Directory（数据目录）的个数，（每个数据目录信息占8个字节）。 ?5．得到节表起始位置。(Directory的偏移地址+数据目录占用的字节数=节表起始位置) ?6．得到目前最后节表的末尾偏移（紧接其后用于写入一个新的病毒节） 节表起始位置+节的个数*(每个节表占用的字节数28H)=目前最后节表的末尾偏移。? 7．开始写入节表 3.叙述PE病毒从API函数名称查找API函数的地址过程？ （1）定位到PE文件头。 （2）从PE文件头中的可选文件头中取出数据目录表的第一个数据目录，得到导出表的地址。 （3）从导出表的NumberOfNames字段得到以命名函数的总数，并以这个数字做微循环的次数来构造一个循环。 （4）从AddressOfNames字段指向的函数名称地址表的第一项开始，在循环中将每一项定义的函数名与要查找的函数名比较，如果没有任何一个函数名符合，说明文件中没有指定名称的函数。 （5）如果某一项定义的函数名与要查找的函数名符合，那么记住这个函数名在字符串地址表中的索引值（如x），然后在AddressOfNameOrdinals指向的数组中以同样的索引值x去找数组项中的值，假如该值为m。 （6）以m值作为索引值，在AddressOfFunctions字段指向的函数入口地址表中获取的RVA就是函数的入口地址，当函数被装入内存后，这个RVA值加上模块实际装