病毒复习重点浅谈.docVIP

病毒复习重点 一、选择题（20分） 二、判断题（10分） 三、名词解释（5道 20分） 四、简答题 （5道 30分） 五、分析题（2道 20分） 第一章：计算机病毒概述 一、计算机病毒的定义（狭义、广义） （1）广义计算机病毒：凡是能够引起计算机故障、破坏计算机数据的程序统称为计算机病毒。 （2）狭义：计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。 二、计算机病毒的命名规则（常见的一些前缀含义） （1）通用命名规则： 1.按病毒发作的时间命名（如“黑色星期五”） 2.按病毒发作症状命名（如“小球”病毒） 3.按病毒的传染方式命名（如黑色星期五病毒，又命名为疯狂拷贝病毒） 4.按病毒自身宣布的名称或包含的标志命名（CIH病毒的命名源于其含有“CIH”字符） 5.按病毒发现地命名（如“黑色星期五”又称Jerusalem(耶路撒冷)病毒） 6.按病毒的字节长度命名（如黑色星期五病毒又称作1813病毒） （2）国际上对病毒命名的惯例 计算机病毒英文命名规则也就是国际上对病毒命名的一般惯例为“前缀+病毒名+后缀”，即三元组命名规则： 前缀表示该病毒发作的操作平台或者病毒的类型，而DOS下的病毒一般是没有前缀。 病毒名为该病毒的名称及其家族。 后缀一般可以不要，只是以此区别在该病毒家族中各病毒的不同，可以为字母，或者为数字以说明此病毒的大小。 （4）病毒前缀：ppt （5）病毒名由以下6字段组成：1.主行为类型；2.子行为类型；3.宿主文件类型；4.主名称；5.版本信息；6.主名称变种 第二章：Windows文件型病毒 一、PE的概念、PE文件包含哪些？.exe、.dll、.sys 、.scr （1）PE的意思就是Portable Executable(可移植、可执行)，它是Win32可执行文件的标准格式。 （2）在Win32系统中，PE文件可以认为.exe、.dll、.sys 、.scr类型的文件，这些文件在磁盘上存贮的格式都是有一定规律的。 二、PE的名词：入口点、文件偏移地址、RVA、基地址 （1）入口点（entry point）：程序执行的第一行代码。 （2）文件偏移地址（File offset）：PE文件存储在磁盘上，各数据段的地址称为文件偏移地址或物理地址（raw offset）。文件偏移地址从PE文件的第一个字节开始计数，起始值为0。 （3）基地址（Image base）：文件执行时将被映射到指定的内存地址，这个初始内存地址称为基地址，该值由PE文件本身决定。默认，EXE：0 DLL:0x1000000。用链接程序的/BASE选项改变该值。 （4）虚拟地址（Virtual Address， VA）：386保护模式下，程序访问存储器所使用的逻辑地址称为虚拟地址（VA），也称内存偏移地址（memory offset）。 （5）相对虚拟地址（Relative Virtual Address，RVA）：指内存中相对于PE文件装入地址（基地址）的偏移量（RVA=VA – imagebase）。 三、PE文件的总体层次结构、PE HEADER的结构： 四、病毒往往先于HOST程序获得控制权。运行Win32病毒的一般流程 （1）重定位；（2）截获API函数地址；（3）搜索感染目标文件；（4）内存文件映射；（5）实施感染 五、魔术数字 USHORT e_magic; // 魔术数字 六、病毒感染PE文件的基本步骤 （1）判断目标文件开始的两个字节是否为“MZ”； （2）判断PE文件标记“PE”； （3）判断感染标记，如果已被感染过则跳出继续执行HOST程序，否则继续； （4）获得Directory(数据目录)的个数，每个数据目录信息占8个字节； （5）得到节表起始位置：Directory的偏移地址+数据目录占用的字节数=节表起始位置； （6）得到目前最后节表的末尾偏移(紧接其后用于写入一个新的病毒节)： 节表起始位置+节的个数×(每个节表占用的字节数28H)=目前最后节表的末尾偏移； （7）开始写入节表 ①写入节名(8字节)； ②写入节的实际字节数(4字节)； ③写入新节在内存中的开始偏移地址(4字节)，同时可以计算出病毒入口位置： 上节在内存中的开始偏移地址+(上节大小/节对齐+1)×节对齐=本节在内存中的开始偏移地址； ④写入本节(即病毒节)在文件中对齐后的大小； ⑤写入本节在文件中的开始位置： 上节在文件中的开始位置+上节对齐后的大小=本节(即病毒)在文件中的开始位置； （8）修改映像文件头中的节表数目； （9）修改AddressOfEntryPoint(即程序入口点指向病毒入口位置)，同时保存旧的AddressOfEntryPoi