计算机病毒与防御技术课后习题.pdfVIP

第一章计算机病毒概述 1、什么是计算机病毒？计算机病毒包括哪几类程序？ 答 编制者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够 自我复制的一组计算机指令或者程序代码被称为计算机病毒（Computer Virus）。具有破坏性， 复制性和传染性。 (一)文件类病毒。该病毒在操作系统执行文件时取得控制权并把自己依附在可执行文件 上，然后利用这些指令来调用附在文件中某处的病毒代码。当文件执行时，病毒会调出自己 的代码来执行，接着又返回到正常的执行序列。通常，这些病毒发作迅速且隐蔽性强，以至 于用户并不知道病毒代码已被执行。 (二)引导扇区病毒。它会潜伏在硬盘的引导扇区或主引导记录中。触发引导区病毒的典 型事件是系统日期和时间被篡改。 (三)多裂变病毒。多裂变病毒是文件和引导扇区病毒的混合，它能感染可执行文件，从 而能在网上迅速传播蔓延。 (四)隐蔽病毒。这种病毒通过挂接中断修改和隐藏真面目，具有很大的欺骗性。因此， 当某系统函数被调用时，这些病毒便“伪造”结果，使一切看起来正常。秘密病毒摧毁文件 的方式是伪造文件大小和日期，隐藏对引导区的修改，而且使大多数操作重定向。 (五)异形病毒。这是一种能变异的病毒，随着感染时间的不同，改变其不同的形式。不 同的感染操作会使病毒在文件中以不同的方式出现，使传统的模式匹配法失效。 (六)宏病毒。宏病毒不只是感染可执行文件，还可感染一般应用软件程序。它会影响系 统的性能以及用户的工作效率。宏病毒是利用宏语言编写的，不面向操作系统，所以它不受 操作平台的约束，可以在DOS、Win-dows,Unix、Mac 甚至在0S ／2 系统中传播。宏病毒能 被传到任何可运行编写宏病毒应用程序的机器中。现在随着 E-mail、WWW 等强大的互联 能力及宏语言的进一步强化，极大地增强了它的传播力。 2 、计算机病毒的发展可以大致划分为几个过程？每个过程的特点？ 答 在病毒的发展史上，病毒的出现是有规律的，一般情况下一种新的病毒技术出现后，病 毒迅速发展，接着反病毒技术的发展会抑制其流传。操作系统升级后，病毒也会调整为新的 方式，产生新的病毒技术。它可划分为： DOS 引导阶段 1987 年，计算机病毒主要是引导型病毒，具有代表性的是“小球”和“石头”病毒。当时 的计算机硬件较少，功能简单，一般需要通过软盘启动后使用.引导型病毒利用软盘的启动 原理工作，它们修改系统启动扇区，在计算机启动时首先取得控制权，减少系统内存，修改 磁盘读写中断，影响系统工作效率，在系统存取磁盘时进行传播。 1989 年，引导型病毒发展为可以感染硬盘，典型的代表有“石头2 ”。 我国最早出现的计算机病毒是1988 年在财政部的计算机上发现的。 DOS 可执行阶段 1989 年，可执行文件型病毒出现，它们利用DOS 系统加载执行文件的机制工作，代表为“耶 路撒冷”、“星期天”病毒。病毒代码在系统执行文件时取得控制权，修改DOS 中断，在系 统调用时进行传染，并将自己附加在可执行文件中，使文件长度增加。 1990 年，发展为复合型病毒，可感染COM 和EXE 文件。 伴随批次阶段 1992 年，伴随型病毒出现，它们利用DOS 加载文件的优先顺序进行工作，具有代表性的是 “金蝉”病毒，它感染EXE 文件时生成一个和EXE 同名但扩展名为COM 的伴随体；它感 染文件时,改原来的COM 文件为同名的EXE 文件，再产生一个原名的伴随体，文件扩展名 为COM，这样，在DOS 加载文件时，病毒就取得控制权.这类病毒的特点是不改变原来的 文件内容，日期及属性，解除病毒时只要将其伴随体删除即可。在非DOS 操作系统中，一 些伴随型病毒利用操作系统的描述语言进行工作，具有典型代表的是“海盗旗”病毒，它在 得到执行时，询问用户名称和口令，然后返回一个出错信息，将自身删除。批次型病毒是工 作在DOS 下的和“海盗旗”病毒类似的一类病毒。 3、计算机病毒特征 答 1）寄生性：计算机病毒寄生在其他程序之中，当执行这个程序时，病毒就起破坏作用， 而在未启动这个程序之前，它是不易被人发觉的。 （2 ）传染性：计算机病毒不但本身具有破坏性，更有害的是具有传染性，一旦病毒被复制 或产生变种，其速度之快令人难以预防。 （3 ） 潜伏性 有些病毒像定时炸弹一样，让它什么时间发作是预先设计好的。比如黑色星期五病毒， 不到预定时间一点都觉察不出来，等到条件具备的时候一下子就爆炸开来，对系统进行破坏。 （4 ） 隐蔽性