广技师-计算机病毒防治考试重点讲解.docVIP

第一章 计算机病毒概述 1.※计算机病毒定义 计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用，并能自我复制的一组计算机指令或者程序代码。 2.※计算机病毒的特性 破坏性　传染性　寄生性　隐蔽性　触发（潜伏）性 3.※计算机病毒的发展趋势是什么？哪些病毒代表了这些趋势？ 病毒发展趋势：网络化 专业化 简单化 多样化 自动化 犯罪化 代表病毒：蠕虫、木马 4. ※计算机病毒的主要危害 直接危害： （1） 病毒激发对计算机数据信息的直接破坏作用 （2） 占用磁盘空间和对信息的破坏 （3） 抢占系统资源 （4） 影响计算机运行速度 （5） 计算机病毒错误与不可预见的危害 （6） 计算机病毒的兼容性对系统运行的影响 间接危害： （1） 计算机病毒给用户造成严重的心理压力 （2） 造成业务上的损失 （3） 法律上的问题 5. ※计算机病毒和医学上的病毒相似之处是什么？区别又是什么？ 相似之处：与生物医学上的病毒同样有寄生、传染和破坏的特性，因此这一名词是由生物医学上的“病毒”概念引申而来 区别：不是天然存在，是某些人利用计算机软、硬件所固有的脆弱性，编制的具有特殊功能的程序。 6．（了解）木马病毒（闪盘窃密者、证券大盗、外挂陷阱、我的照片我正向外闪 ） 7．※计算机病毒的命名规则 1991年计算机反病毒组织(CARO)提出了一套命名规则，病毒的命名包括五个部分： ? 家族名? 组名? 大变种? 小变种? 修改者 CARO规则的一些附加规则包括： ? 不用地点命名 ? 不用公司或商标命名 ? 如果已经有了名字就不再另起别名 ? 变种病毒是原病毒的子类 举例说明： 精灵（Cunning）是瀑布（Cascade）的变种，它在发作时能奏乐，因此被命名为Cascade.1701.A。Cascade是家族名，1701是组名。因为Cascade病毒的变种的大小不一（1701, 1704, 1621等），所以用大小来表示组名。A 表示该病毒是某个组中的第一个变种。 业界补充： 反病毒软件商们通常在CARO命名的前面加一个前缀来标明病毒类型。比如，WM表示MS Word宏病毒；Win32指32位Windows病毒；VBS指VB脚本病毒。如Happy 99蠕虫就被称为Win32.Happy99.Worm。 第二章 计算机病毒及其防范模型 1.※基于哪种模型设计的计算机是百毒不侵的？ 随机访问计算机模型是一种带有累加器的计算机模型，并且在该计算机中指令不能修改自身。RAM由一个只读输入带、一个只写输入带以及一个程序和一台存储器所构成。在RAM模型中，由于程序并不是存储在RAM的存储器中，因此它不能自我修改，当然，也不可能被计算机病毒感染。 2.※F.Cohen提出四个病毒预防理论模型：基本隔离、分隔、流、限制解释 3.※在没有外来侵扰时，种群数量服从微分系统分布 4.※讨论互联网蠕虫病毒传播的三种数学模型的特点。 某种群中不存在流行病时： 其种群（N ）的生长服从微分系统，SI(Susceptible[ 易受感染的]-Infected)模型。 有疾病传播时： （1）流行病的传播服从双线形传染率的SIS(Susceptible-Infected-Susceptible)模型。（2）SIR(Susceptible-Infected-Removed)模型两个假设： 已被病毒感染的文件（档）具有免疫力。 病毒的潜伏期很短，近似地认为等于零。 第三章 计算机病毒结构分析 1. ※计算机病毒的工作机制 2. ※病毒四大模块 引导、感染、破坏、触发 引导区病毒引导过程 搬迁系统引导程序-〉替代为病毒引导程序 启动时-〉病毒引导模块-〉加载传染、破坏和触发模块到内存-〉使用常驻技术 最后，转向系统引导程序-〉引导系统 破坏模块的破坏对象：系统数据区、文件、内存、系统运行速度、磁盘、CMOS、主板和网络等。 静态到动态引导过程 ? 驻留内存 ? 窃取系统控制权 ? 恢复系统功能 3．常见计算机病毒的技术特征 （1）驻留内存 （2）病毒变种 （3） EPO（Entry Point Obscuring）技术 （4） 抗分析技术（加密、反跟踪） （5） 隐蔽性病毒技术 （6） 多态性病毒技术 （7） 插入型病毒技术 （8） 超级病毒技术 （9） 破坏性感染技术 （10）网络病毒技术 4．※多态病毒的级别 半多态、完全多态、具有不动点、带有填充物、算法固定、算法可变 5．※计算机病毒的攻击性和潜伏性的辩证关系？ 计算机病毒在传染和发作之前，往往要判断某些特定条件是否满足，满足则传染或发作，否则不传染或不发作或只传染不发作，这个条件就是计算机病毒的触发条件。 触发模块的目的是调节病毒的攻击性和潜伏性之间的平衡。大范围的感染行为、频繁的破坏