病毒检测技术复习题含答案.doc

一、填空 程序性决定了计算机病毒的可防治性、可清除性，反病毒技术就是要提前取得计算机系统的控制权，识别出计算机病毒的代码和行为，阻止其取得系统控制权，并及时将其清除。 是否具有传染性，是判别一个程序是否为计算机病毒的首要条件。 计算机病毒因某个事件或数值的出现，诱使病毒实施感染或进行攻击的特性称为可触发性 病毒程序嵌入到宿主程序中，依赖于宿主程序的执行而生存，这就是计算机病毒的寄生性、病毒的最大特点是其传染性，而传染性的原因是其自身程序不断复制的结果，即程序本身复制到其他程序中或简单地在某一系统中不断地复制自己 计算机病毒按寄生对象分为引导型病毒文件型病毒混合型病毒 蠕虫(Worm)是一种独立的可执行程序，主要由主程序和引导程序两部分组成 蠕虫程序的工作流程可以分为漏洞扫描、攻击、传染、现场处理四个阶段 特洛伊木马(Trojan house，简称木马)是指表面上是有用的软件、实际目的却是危害计算机安全并导致严重破坏的计算机程序，是一种在远程计算机之间建立连接，使远程计算机能通过网络控制本地计算机的非法程序 一般的木马都有客户端和服务器端两个程序 客户端是用于攻击者远程控制已植入木马的计算机的程序 服务器端程序就是在用户计算机中的木马程序 计算机病毒英文命名规则也就是国际上对病毒命名的一般惯例为“前缀+病毒名+后缀”，即三元组命名规则 计算机病毒的产生过程可分为：程序设计→传播→潜伏→触发、运行→实施攻击 计算机病毒是一类特殊的程序，也有生命周期 开发期 传染期 潜伏期 发作期 发现期 消化期 消亡期 在学习、研究计算机病毒的过程中，在遵守相关法律法规的前提下，应严格遵守以下“八字原则”——自尊自爱、自强自律 BIOS INT 13H 调用是BIOS 提供的磁盘基本输入输出中断调用，它可以完成磁盘( 包括硬盘和软盘) 的复位、读写、校验、定位、诊断、格式化等功能，完全不用考虑被操作硬盘安装的是什么操作系统 现代大容量硬盘一般采用LBA(Logic Block Address) 线性地址来寻址，以替代CHS 寻址。 高级格式化的目的是在分区内建立分区引导记录DBR(DOS Boot Record)、文件分配表FAT(File Allocation Table)、文件目录表FDT(File Directory Table)和数据区DATA 主引导记录(Master Boot Record，MBR) 主分区表即磁盘分区表(Disk Partition Table，DPT) 引导扇区标记(Boot Record ID/Signature) 通过主引导记录定义的硬盘分区表，最多只能描述4个分区 FAT32最早是出于FAT16不支持大分区、单位簇容量大以至于空间急剧浪费等缺点设计的 NTFS是一个比FAT更复杂的系统。在NTFS中，磁盘上的任何事物都为文件 NTFS文件系统中，小文件和文件夹( 典型的如1023 字节或更少) 将全部存储在文件的MFT 记录里 中断(Interrupt)，就是CPU暂停当前程序的执行，转而执行处理紧急事务的程序，并在该事务处理完成后能自动恢复执行原先程序的过程 中断向量表(Interrupt Vectors)是一个特殊的线性表，它保存着系统所有中断服务程序的入口地址(偏移量和段地址) 设计扩展INT 13H接口的目的是为了扩展BIOS的功能，使其支持多于1024柱面的硬盘， 以及可移动介质的锁定、解锁及弹出等功能 INT 13H磁盘输入输出中断，引导型病毒用于传染病毒和格式化磁盘 在保护模式下，所有的应用程序都具有权限级别(Privilege Level ，PL) 。PL 按优先次序分为四等：0 级、1 级、2 级、3 级，其中0 级权限最高，3 级最低 ， 目前只用到Ring 0 和Ring 3 两个级别 操作系统核心层运行在Ring 0级，而Win32子系统运行在Ring 3级，为运行在Ring 3级的应用程序提供接口 计算机病毒总是想方设法窃取Ring 0的权限(如CIH病毒)，以实施更大范围的破坏 DOS可执行文件以英文字母“MZ”开头，通常称之为MZ文件 在Windows 3.0/3.1的可执行文件，在MZ文件头之后又有一个以“NE”开始的文件头，称之为NE文件 在Win32位平台可执行文件格式：可移植的可执行文件(Portable Executable File)格式，即PE格式。MZ文件头之后是一个以“PE”开始的文件头 PE的意思就是Portable Executable(可移植、可执行)，它是Win32可执行文件的标准格式 PE文件的真正内容划分成块，称之为Section(节)，紧跟在节表之后 引入函数节.idata引入函数节可能被病毒用来直接获取API函数地址 引出