计算机病毒考试范围(修正版).doc

一、简述题： 计算机病毒的生命周期 开发期：今天有一点计算机编程知识的人都可以制造一个病毒。 传染期：在一个病毒制造出来后，病毒的编写者将其拷贝分发出去并确认其已被传播出去。 （3）潜伏期：一个设计良好的病毒可以在它活化前的很长时期里被复制。这就给了它充裕的传播时间。 发作期：带有破坏机制的病毒会在满足某一特定条件时发作。 （5）发现期：通常情况下，一个病毒被检测到并被隔离出来后，它会被送到计算机安全协会或反病毒厂家，在那里病毒被通报和描述给反病毒研究工作者。 消化期：在这一阶段，反病毒开发人员修改他们的软件以使其可以检测到新发现的病毒。 （7）消亡期：有一些病毒在消失之前有一个很长的消亡期。 2、高级格式化 硬盘分区后还不能直接使用，要在每个分区内建立完整的存储系统后才能正常使用。建立存储系统的工作一般由FORMAT程序来完成，这个过程称为高级格式化。 高级格式化的目的是在分区内建立分区引导记录DBR(DOS Boot Record)、文件分配表FAT(File Allocation Table)、文件目录表FDT(File Directory Table)和数据区DATA。 特洛伊木马 特洛伊木马（也叫黑客程序或后门）是指隐藏在正常程序中的一段具有特殊功能的恶意代码，一旦侵入用户的计算机，就悄悄在宿主计算机上运行，在用户毫无觉察的情况下，让攻击者获得远程访问和控制系统的权限，进而在用户计算机中破坏或删除文件、修改注册表、记录键盘，或窃取用户信息，可能造成用户系统被破坏，甚至瘫痪。木马是一种基于远程控制的黑客工具，是一种恶意程序，具备计算机病毒的特征，我们常把它看作广义病毒的一个子类。目前很多木马程序为了在更大范围内传播，与计算机病毒相结合，因此，木马程序也可以看做一种伪装潜伏的网络病毒。 4、病毒的多态 所谓病毒的多态，就是指一个病毒的每个样本的代码都不相同，它表现为多种状态。采用多态技术的病毒由于病毒代码不固定，这样就很难提取出该病毒的特征码，所以只采用特征码查毒法的杀毒软件是很难对这种病毒进行查杀的。 多态病毒是改进了的加密病毒，由变化的解密头和加密的代码组成。多态病毒运行时，先执行的是解密代码，对加密代码解密，然后执行刚解密的代码，也就是实现传播的主体代码。 5、PE文件格式 定义：32位Windows可执行文件的格式称为PE（Portable Executable），是一种比上述两种格式复杂得多的运行于Windows环境下的可执行程序文件。 结构：PE文件结构的总体层次分布如图所示，所有 PE文件，包括32位的DLL文件，都必须以一个简单的MZ EXE文件头（DOS MZ Header）开始，这个文件头在前面已经有过详细的介绍。它的作用就是标识出这是一个有效的可执行文件。这里还保存着PE文件的起始偏移量，当PE文件被执行时，PE装载器就从中找到PE Header的起始偏移量，从而跳过DOS Stub，找到真正的文件头——PE Header。 6、引导型病毒和文件型病毒 引导型病毒寄生在主引导区、引导区，病毒利用操作系统的引导模块放在某个固定的位置， 并且控制权的转交方式是以物理位置为依据，而不是以操作系统引导区的内容为依据，因而病毒占据该物理位置即可获得控制权，而将真正的引导区内容搬家转移，待病毒程序执行后，将控制权交给真正的引导区内容，使得这个带病毒的系统看似正常运转，而病毒已隐藏在系统中并伺机传染、发作。 我们把所有通过操作系统的文件系统进行感染的病毒都称作文件病毒文件型病毒系计算机病毒的一种，主要通过感染计算机中的可执行文件（.exe）和命令文件(.com)。文件型病毒是对计算机的源文件进行修改，使其成为新的带毒文件。一旦计算机运行该文件就会被感染，从而达到传播的目的。文件型病毒分两类：一种是将病毒加在COM前部,一种是加在文件尾部。文件型病毒传染的对象主要是.COM和.EXE文件。 计算机寄生计算机病毒是一种可直接或间接执行的文件, 是依附于系统特点的文件, 是没有文件名的秘密程序, 但它的存在却不能以独立文件的形式存在, 它必须是以附着在现有的硬软件资源上的形式而存在的计算机寄生病毒，是指病毒码附加在主程序上，一旦程序被执行，病毒也就被激活，编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码，具有破坏性，复制性和传染性。 Word文档）。 8、文件型病毒的隐藏技巧 文件型病毒通过替换DOS或者基本输入输出系统（BIOS）的文件系统的相关调用，在打开文件的时候将文件的内容恢复成未被感染时的状态，在关闭文件的时候重新进行感染。 因为操作系统访问文件的方式、方法非常多，所以实现文件型病毒的完全隐藏是一件非常困难的事情，一套比较完整