《病毒分析与防范》学习资料概要1.docVIP

填空： 计算机病毒与生物病毒一样，有其自身的病毒体和寄生体。 我们称原合法程序为宿主或宿主程序，存储染有病毒的宿主程序的存储介质为存储介质宿主；当染有病毒的宿主程序在计算机系统中运行时或运行后就驻留于内存中，此时这一系统就称为病毒宿主系统。 计算机病毒构成的最基本原则：必须有正确系统不可遏制的传染性，具有一定的破坏性或干扰性，具有特殊的非系统承认的或不以用户意志所决定的隐蔽形式，每个病毒程序都应具备标志唯一性、加载特殊性、传播隐蔽性和引发条件性。 病毒引导模块的主要作用是将静态病毒激活，使之成为动态病毒。 动态病毒是指要么已进入内存处于活动状态的病毒，要么能通过调用某些中断而获得运行权，从而可以随心所欲的病毒。 系统加载过程通常读入病毒程序的引导部分，并将系统控制权转交病毒引导程序。 病毒的存在和加载都是由操作系统的功能调用或ROM BIOS调用加载的。不论何种病毒，都需要在适当的时机夺取系统的控制权，并利用控制权来执行感染和破坏功能。 DOS系统的病毒程序的加载有3种方式：参与系统的启动过程，依附正常文件加载，直接运行病毒的程序。 具体来说，病毒加载过程，主要由3个步骤组成：开辟内存空间，使得病毒可以驻留内存对病毒定位，保持病毒程序的一贯性，并取得系统控制权借以进行传染和发作。恢复系统功能，使得被感染系统能继续有效运行。 被动感染过程是：随着拷贝磁盘或文件工作的进行而进行的。 主动感染过程是：在系统运行时，病毒通过病毒的载体即系统外存储器进入系统的内存储器，常驻内存，并在系统内存中监视系统的运行。 计算机病毒的感染可分为两大类：立即感染，驻留内存并伺机感染。 病毒体：病毒程序。寄生体：可供病毒寄生的合法程序。 计算机病毒的感染模块有：感染条件判断模块，实施感染模块。 计算机病毒表现模块有：表现条件判断模块，实施表现模块。 感染模块的功能是：在感染条件满足时把病毒感染到所攻击的对象。 表现模块：在病毒发作条件满足时，实施对系统的干扰和破坏活动。 病毒的隐藏技巧，贯穿于3个模块引导、感染、表现之中。 病毒的发作部分应具备两个特征：程序要有一定的隐藏性及潜伏性、病毒发作的条件性和多样性。 一个简单的病毒包含的机制有：触发机制、传播机制、表现机制。 表现模块发作时破坏的目标和攻击的部位有：系统数据区、文件内存、系统运行、磁盘、屏幕显示、键盘、喇叭、打印机、CMOS、主板等。 病毒修改或破坏INT 1H 和3H 这两个中断向量入口地址的方法，使DEBUG中的T命令和G命令不能正常执行。 病毒加密的目的主要是防止跟踪或掩盖有关特征等。 所有的计算机病毒都具有混合型特征，集文件感染、蠕虫、木马、黑客程序的特点于一身。 当前流行病毒更加呈现综合性的特点，功能越来越强大，它可以感染引导区、可执行文件，更主要的是与网络结合。 病毒的一般逻辑结构即由两大模块组成：感染模块和表现模块。 表现模块主要完成病毒的表现或破坏功能，也称这病毒的载体模块，是计算机病毒的主体模块。 计算机病毒的一般检查方法是：外观、对比检查法和特征串有哪些信誉好的足球投注网站法。 几乎所有的引导型病毒在传染时都要修改中断向量INT 13H。 DOS病毒是最常见的一种病毒，根据病毒所感染文件结构一般分为引导型病毒、文件型病毒和混合型病毒三种。 广义可执行文件病毒包括通常所说的可执行文件病毒、源码病毒，甚至BAT病毒和WORD宏病毒。 病毒程序代码一般分为3个模块：初始设置模块、感染模块和破坏模块。 文件型病毒要感染COM文件有两种方法，一种是将病毒加载在文件前部，另一种是加在文件尾部。 文件型病毒的程序诊断法分为：传统文件备份比较法，数据完整性标记检测法，外壳程序免疫法。 计算机病毒的检测方法有手工检测和自动检测。 WORD宏病毒通过DOC文档和DOT模板进行自我复制及传播。 宏病毒是由专业人员利用WORD提供的WORD BASIC编程接口而制作的一个或多个具有病毒特点的集合。 宏病毒的特点及危害包括：传播速度快，制作变种方便，破坏可能性大，多平台交叉感染。 计算机病毒具有感染性、潜伏性、可触发性和破坏性等基本特征。 病毒预定的触发条件可能是：时间、日期、文件类型、击键动作、开启邮件或某些特定数据等。 选择题： 1、下列不属于病毒防治软件常用的策略的是（）BA）病毒码扫描法 B）人工查毒 C）校验和法 D）软件仿真扫描法 2、不是计算机病毒的技术预防措施的是（）CA）单机预防 B）网络防毒 C）硬盘预防 D）小型网预防 3、不是反病毒技术的是（）DA）实时监视技术 B）自动解压缩技术 C）全平台反病毒技术 D）数据代码分离技术 4、以下哪个不是预防电子邮件病毒的方法（）AA）控制用户权限 B）使用可靠的防毒软件 C）定时升级病毒库 D）不轻易打开附件 5、对文件型病毒