计算机病毒考的试题型.docVIP

1、为什么说蠕虫是独立式的？（C） 蠕虫不进行复制 蠕虫不向其他计算机进行传播 蠕虫不需要宿主计算机来传播 蠕虫不携带有效负载 哪一项不是特洛伊木马所窃取的信息？（D） 计算机名字 硬件信息 QQ用户密码 系统文件 哪一项不是特洛伊木马的常见名字？（C） TROJ_WIDGET.46 TROJ_FLOOD.BLDR I-WORM.KLEZ.H TROJ_DKIY.KI.58 哪一项不是蠕虫病毒的传播方式及特性？（B） 通过电子邮件进行传播 通过光盘、软盘等介质进行传播 通过共享文件进行传播 不需要再用户的参与下进行传播 哪一项不是蠕虫病毒的常用命名规则？（D） W32/KLEZ-G I-WORM.KLEZ.H W32.KLEZ.H TROJ_DKIY.KI.58 使用互联网下载进行传播的病毒是？（A） JAVA病毒 DOS病毒 WINDOWS病毒 宏病毒 PE_CIHVI1.2病毒会感染哪一种操作系统？（C） ＤＯＳ UNIX WINDOWS LINUX 下列哪一项不是我们常见的网络病毒？（A） DOS病毒 蠕虫病毒 多态病毒 计算机病毒按寄生方式和感染途径可分为 引导型病毒 、 文件型病毒 和 混合型病毒。 计算机病毒的基本特征为 非法性 、传染性 、隐藏性 、潜伏性 、可触发性 、破坏性 、衍生性不可预见性 。其中，隐藏性 是计算机病毒最基本的特征。 计算机病毒侵入系统后，一般不立即发作，而是有一定的 潜伏期。 计算机病毒造成的最显著的后果是 破坏计算机系统。 病毒的传染、破坏部分被其他掌握原理的人以其个人的企图进行任意改动，从而又衍生出一种不同于原版本的新的计算机病毒（也称为变种），这就是计算机病毒的 衍生性。 通过有线网络系统进行传播的方式有 电子邮件 、WWW浏览 、FTP文件传输 、BBS 、网络聊天工具 。 三、简述题： 简述PE文件的组成结构： （1）DOS部分，包括DOS文件头和DOS块；（2）PE文件头，包括PE文件头标志，PE文件表头，PE文件头可选部分；（3）节表;（4）节数据； 狭义的计算机病毒与蠕虫病毒的区别： 简述蠕虫的工作方式 答：蠕虫的工作方式一般是“扫描→攻击→复制” 9、简述特洛伊木马的基本原理。 答：特洛伊木马包括客户端和服务器端两个部分，攻击者通常利用一种称为绑定程序(exe-binder)的工具将木马服务器绑定到某个合法软件上，诱使用户运行合法软件。只要用户运行该软件，特洛伊木马 的服务器就在用户毫无察觉的情况下完成了安装过程,攻击者要利用客户端远程监视、控制服务器，必需先建立木马连接；而建立木马连接，必需先知道网络中哪一台计算机中了木马,获取到木马服务器的信息之后，即可建立木马服务器和客户端程序之间的联系通道，攻击者就可以利用客户端程序向服务器程序发送命令，达到操控用户计算机的目的。 什么是特洛伊木马？ 答：特洛伊木马（也叫黑客程序或后门）是指隐藏在正常程序中的一段具有特殊功能的恶意代码，一旦侵入用户的计算机，就悄悄在宿主计算机上运行，在用户毫无觉察的情况下，让攻击者获得远程访问和控制系统的权限，进而在用户计算机中破坏或删除文件、修改注册表、记录键盘，或窃取用户信息，可能造成用户系统被破坏，甚至瘫痪。木马是一种基于远程控制的黑客工具，是一种恶意程序，具备计算机病毒的特征，我们常把它看作广义病毒的一个子类。目前很多木马程序为了在更大范围内传播，与计算机病毒相结合，因此，木马程序也可以看做一种伪装潜伏的网络病毒。 什么是病毒的多态？ 答：所谓病毒的多态，就是指一个病毒的每个样本的代码都不相同，它表现为多种状态。采用多态技术的病毒由于病毒代码不固定，这样就很难提取出该病毒的特征码，所以只采用特征码查毒法的杀毒软件是很难对这种病毒进行查杀的。 多态病毒是改进了的加密病毒，由变化的解密头和加密的代码组成。多态病毒运行时，先执行的是解密代码，对加密代码解密，然后执行刚解密的代码，也就是实现传播的主体代码。 计算题 病毒感染PE文件，须对该文件作哪些修改？（相关内容参考另一个附件，带补充） 给PE文件增加一个新节，病毒在添加新节时，都会将新添加的节的属性设置为可读、可写、可执行 在新节中添加可执行的代码 修改文件头，使得入口地址指向刚添加的节 将全部节未对齐大小设置为对齐后的大小，制造 PE病毒的感染过程： 1．判断目标文件开始的两个字节是否为“MZ”。 2．判断PE文件标记“PE”。 3．判断感染标记，如果已被感染过则跳出继续执行HOST程序，否则继续。 4．获得Directory（数据目录）的个数，（每个数据目录信息占8个字节）。 5．得到节表起始位置。(Directory的偏移地址+数据目录占用的字节数=节表起始位置) 6．得到目前最后节表的末尾偏移（紧接其后用于写入一个新的