〔计算机病毒及其防范技术〕1.0.doc

第一章 计算机病毒的定义（填空） 计算机病毒是编制或者在计算机程序中插入的破坏计算机功能或者数据，影响计算机使用并且能够自我复制的一组计算机指令或程序代码 计算机病毒的六个特征（填空） 传染性、破坏性、寄生性、隐蔽性、潜伏性（触发性）、不可预见性、针对性、非授权可执行性、衍生性 计算机病毒的发展趋势 七点（问答） ⑴网络化⑵专业化⑶智能化⑷人性化⑸隐蔽化⑹多样化⑺自动化 计算机病毒与医学上的病毒的区别及联系（问答） 计算机病毒不是天然存在的，是某些人利用计算机软、硬件所固有的脆弱性，编制的具有特殊功能的程序。与生物医学上的病毒同样有传染和破坏的特性，因此这一名词是由生物医学上的“病毒”概念引申而来。 第三章 计算机病毒的四大功能模块（填空） 引导模块、感染模块、破坏模块、触发模块 2、 计算机病毒的状态转化（动静态） 处于静态的病毒存在于存储介质中，一般不能执行感染和破坏功能，其传播只能借助第三方活动（例如复制、下载和邮件传输等）实现。当病毒经过引导功能开始进入内存后，便处于活动状态，满足一定触发条件后就开始传染和破坏，从而构成计算机系统和资源的威胁和毁坏。 引导模块的三个过程（问答） ⑴驻留内存 病毒若要发挥其破坏作用，一般要驻留内存。为此就必须开辟所有内存空间或覆盖系统占用的内存空间。其实，有相当多的病毒根本就不用驻留在内存中。 ⑵窃取系统的控制权 在病毒程序驻留内存后，必须使有关部分取代或扩充系统的原有功能，并窃取系统的控制权。此后病毒程序依据其设计思想，隐蔽自己，等待时机，在时机成熟时，再进行传染和破坏。 ⑶恢复系统功能 病毒为隐蔽自己，驻留内存后还要恢复系统，使系统不会死机，只有这样才能等待时机成熟后，进行感染和破坏。 抗分析技术（填空） 自加密技术、反跟踪技术 触发模块的触发条件（填空） 日期触发、时间触发、键盘触发、感染触发、启动触发、访问磁盘次数触发、CPU型号/主板型号触发 6、触发条件与破坏程度之间的关系 可触发性是病毒的攻击性和潜伏性之间的调整杠杆，可以控制病毒感染和破坏的程度，兼顾杀伤力和潜伏性。过于苛刻的触发条件，可能使病毒有好的潜伏性，但不易传播。而过于宽松的触发条件将导致病毒频繁感染与破坏，容易暴露，导致用户做反病毒处理，也不会有大的杀伤力。 病毒变种的定义 当某些计算机病毒编制者通过修改某种计算机病毒的代码而使其能够躲过现有计算机病毒检测程序时，新的病毒技术就出现了，可以称这种新出现的病毒为病毒的变形。当这种变形了的计算机病毒继承了原病毒的主要特征时，它就被称为是其父本计算机病毒的一个变种。 变形病毒的主要特征 当病毒传染到目标后，病毒自身代码和结构在空间上、时间上具有不同的变化。 四类变形病毒 一维变形病毒：具备普通病毒所具有的基本特性，然而，病毒每感染一个目标后，其自身代码与前一被感染目标中的病毒代码几乎没有三个连续的字节是相同的，但这些代码及其相对空间的排列位置是不变动的。 二维变形病毒：。除了具备一维变形病毒的特性外，并且那些变化的代码相互间的排列距离（相对空间位置）也是变化的，有的感染文件的字节数不定。 三维变形病毒：能分裂后分别潜藏在几处，随便某一处的子病毒被激发后都能自我恢复成一个完整的病毒。病毒在附着体上的空间位置是变化的，即潜藏的位置不定。 四维变形病毒：具备三维变形病毒的特性，这些特性随时间动态变化。 10.EPO技术的定义 EPO是Entry Point Obscuring的缩写，即入口模糊技术，该技术改变了传统的通过修改PE头部的入口点而使其指向病毒代码入口的典型方法，实现病毒入口的模糊性。 第四章 1、计算机病毒的分类 2、PE文件型病毒的关键技术，各自可以做什么（问答） ⑴病毒的重定位⑵获取API函数⑶文件搜索⑷内存映射文件⑸病毒如何感染其他文件 ⑹如何返回到宿主程序 病毒重定位的原因 正常程序的变量和函数的相对地址都是预先计算好的。病毒是附加在宿主程序中的程序段，其问题在于：病毒变量和病毒函数的相对地址很难计算。 了解P77~78 代码的效果 第五章 木马的定义 全称是“特洛伊木马” 是一种与远程计算机之间建立起连接，使远程计算机能够通过网路控制用户计算机系统并且能造成用户的信息损失、系统损坏甚至瘫痪的程序。 木马特征 隐蔽性、自动运行性、欺骗性、自动恢复功能、功能的特殊性、能自动打开特别的端口 木马、普通计算机病毒和远程控制程序之间的关系 木马和远程控制软件的最主要区别： 不产生图标、不出现在任务管理器中 木马和控制软件：目的不同、有些木马具有控制软件的所有功能、是否隐藏 木马和普通计算机病毒： 传播性（木马不如病毒）、两者互相融合（木马程序YAI采用了病毒技术，“红色代码”病毒已经具有木马的远程控制功能） 木马系统的组成 硬件（控制端、服务端、I