《恶意代码基础与防范（微课版）》-章节习题及答案 第三章 传统计算机病毒.docx

判断题

新买回来的从未格式化的U盘可能会带有计算机病毒。（√）

网络防火墙主要用于防止网络中的计算机病毒。（×）

计算机病毒只会破坏磁盘上的数据和文件。（×）

发现计算机病毒后，比较彻底的清除方式是格式化磁盘.（√）

计算机病毒是一种具有自我复制功能的指令序列。（√）

选择题

1、宏病毒与普通病毒不同，他只感染（A）

A、文档文件B、EXE文件C、COM文件D、NE文件

2、最简单的可执行文件是（C）

A、文档文件B、EXE文件C、COM文件D、NE文件

3、COM文件是一种（B）文件，其执行文件代码和执行时内存映像完全相同

A、多段执行结构B、单段执行结构C、双段执行结构D、半段执行结构

4、Windows操作系统运行在保护模式，保护模式将指令执行分为（D）个特权级

A、1B、2C、3D、4

5、为加载一个COM程序，DOS试图分配内存，因为COM程序必须位于一个（B）的段中，所以COM文件的大小不能超过65024B

A、32B、64C、128D、256

填空题

计算机病毒是编制或者在计算机程序中插入的破坏_或者_，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。（计算机功能；破坏数据）

计算机病毒的特征包括_、_、_、_、_。(传染性、破坏性、寄生性、隐蔽性、

潜伏性)

宏病毒的特点是_、_、_、地域性问题、版本问题、破坏可能性极大。（传播极快；制作方便；多平台交叉感染）

在DOS操作系统时代，计算机病毒可以分成_和_两大类。(引导区病毒；可执行文件型病毒)

特洛伊木马作为一种特殊的计算机病毒，其首要特征是_。(没有传染性)

论述题

1.请简述引导型病毒感染过程、在引导操作系统之前病毒的工作：（53页）

参考答案：（1）过程：引导型病毒首先感染软盘的引导区，然后再蔓延至硬盘并感染硬盘的主引导记录，然后试图感染软驱中的软盘引导区；（2）病毒的工作：①减少系统可用最大内存量，以供自己使用②修改必要的中断向量，以便传播③读入病毒的其他部分，进行病毒的拼装。

2.请简述什么是宏、宏病毒的特点：（73、74页）

参考答案：（1）宏就是一些命令组织在一起，作为一个单独单元完成一个特定任务；（2）特点：①宏病毒不感染EXE文件和COM文件，也不需要通过引导区传播，只感染文档文件②传播快、制作方便，变种多、破坏可能性大③多平台交叉感染④存在地域性问题和版本问题。

简答题

1、什么是引导型病毒

引导型病毒是感染软盘的引导区,然后蔓延至硬盘并感染硬盘的主引导记录

或

引导型病毒指寄生在磁盘引导区或主引导区的计算机病毒

2、引导型病毒的工作过程

由于病毒隐藏在软盘的第一扇区,使它可以在系统文件装入内存之前,先进入内存,从而获得对操作系统的完全控制,这就使它得以传播并造成危害。

3、COM文件病毒的感染过程

先将开始的3个字节保存在orgcode中，并将这3个字节更改为0E9H和COM文件的实际大小的二进制编码。然后在病毒的返回部分，将3个字节改为0E9H和表达式（当前地址－COM文件的实际大小+病毒代码大小）的二进制编码，以便在执行完病毒后转向执行原程序，最后将病毒写入原COM文件的后边。

4、什么是PE文件及其功能

PE（可移植的执行体）是Win32环境自身所带的可执行文件格式。它的一些特性继承自Unix的Coff文件格式。可移植的执行体意味着此文件格式是跨win32平台的，即使Windows运行在非Intel的CPU上，任何win32平台的PE装载器都能识别和使用该文件格式。

5、简述宏病毒的特点

传播极快，制作、变种方便，破坏可能性极大，多平台交叉感染，地域性问题，版本问题