“计算机病毒” 2011年复习问题

“计算机病毒”复习题计算机病毒第1章计算机病毒概述1.简要描述计算机病毒的定义和特征. （一般狭义P1-2，11个特征P3--6）2.计算机病毒的分类方法是什么？根据每种分类方法，尝试列出一种或两种病毒. （8个分类，P8-11，示例书）3.为什么同一病毒具有多个不同的名称？如何通过其名称识别病毒类型？ （P16，P16，P20）4.简要描述计算机病毒的背景. P35—37 — 5.传播计算机病毒的方式是什么？ （P29上有五个要点）6.尝试比较类似于计算机病毒症状的软件故障. （P26上有九点）7.尝试比较类似于计算机病毒症状的硬件故障. （P25-26有五个要点）8.为什么可以预防和消除计算机病毒？ （P41）9.分析“新欢乐时光”病毒的源代码和特征，结合三元组中病毒名的命名优先级，并分析不同的防病毒软件供应商对病毒进行不同命名的原因. 查找相关信息，尝试描述计算机病毒的发展趋势（P35-37）和特征. （P37-38）研究计算机病毒的基本原理是什么？ （P42）建立病毒分析环境的方法是什么？它可以在虚拟环境中执行，也可以在虚拟环境中执行，例如在VirtualBox或VMware环境中安装操作系统作为测试和研究病毒的环境.

调查病毒的环境. 您可以使用阴影系统在完整模式下进行测试. 阴影系统可用于以全模式进行实验. 可以在使用硬盘保护卡的环境下进行测试. 可以在使用硬盘保护卡的环境下进行测试. 您可以将RAMOS（内存操作系统）用作测试和研究病毒的环境. （内存操作系统）作为测试和研究病毒的环境. 第2章准备工作硬盘的主要引导扇区是什么？ （P51）硬盘驱动器可以分为几个主分区？ 1.哪些部分组成了硬盘的主引导扇区？ （P51）硬盘可以分为多少个主分区？为什么？ （最多4个）为什么？主分区（也称为主磁盘分区）是一种分区类型，例如扩展分区和逻辑分区. 主分区无法划分为其他类型的分区，因此每个主分区都等效于一个逻辑磁盘（此时，主分区和逻辑分区非常相似，但是主分区直接在硬盘上划分，逻辑分区必须内置扩展分区）. 由于硬盘仅为分区表保留64个字节的存储空间，并且每个分区的参数需要占用16个字节，因此整个引导扇区只能存储4个分区的数据. （16 * 4 = 64）换句话说，物理硬盘只能划分为4个逻辑磁盘. 在特定的应用程序中，四个逻辑磁盘通常无法满足实际需求.

为了创建更多的逻辑磁盘以供操作系统使用，引入了扩展分区和逻辑分区，原始分区类型称为主分区. 扩展分区也像主分区一样占用16个字节，因此硬盘也可以分为三个主分区和一个扩展分区！扩展分区可以分为多个逻辑分区，这可以打破多达4个区域的瓶颈！ Fdisk / mbr命令会重写整个主引导扇区吗？ （是P51）低级格式化和高级格式化的功能和功能是什么？ P48，P51）2. 低级格式化和高级格式化有哪些功能？ （P48，P51）高级格式（FORMAT）可以删除任何计算机病毒吗？没有为什么？ （FORMAT）可以清除任何计算机病毒吗？ （不能）为什么？ P52可以清除任何计算机病毒吗？高级格式化是与操作系统相关的操作，清除硬盘上的数据，高级格式化是与操作系统相关的操作，清除硬盘上的数据，生成引导区的字母形式和标记逻辑错误它不能被重写，信息，初始化的FAT表和标记的逻辑坏扇区. 由于无法重写MBR，因此可能会感染病毒. 可能. 3. DOS下的EXE文件病毒如何获得控制？ （在P85上有四个要点）如果感染了EXE文件，如何控制文件病毒？ （有四点）对文件的主要更改是什么？主要变化是什么？ （P85）4.对于PE文件格式，文件格式，请考虑: Win32病毒感染PE文件，文件，应对此文件进行哪些修改？请考虑: 必须对此文档进行哪些更改？ P86）（）5. 介绍什么是常用的磁盘编辑软件（WinHex）分区软件: （Fdisk文件型病毒有哪些，Partition Magic）. 常用的磁盘编辑软件简介（）分区软件: （，）.

6. 简要描述Windows XP的启动过程. P71-72）启动过程. . （—）7.简要描述Windows 7的启动过程. ，（）第三章计算机病毒的逻辑结构和基本机制1.计算机病毒在任何情况下是否具有传染性或破坏性？为什么？不必要. 由于病毒在传播过程中具有两种状态，即静态和动态. 病毒的主动感染和破坏是动态病毒的“杰作”. 因此，当普通病毒是静态病毒时，只能通过文件下载（复制）来实现其传播，因为静态病毒尚未加载且尚未进入内存，因此无法获得系统的执行权限，没有传染性和破坏力. 内存中的病毒具有特殊状态，即非活动状态，在这种状态下，病毒无法感染或销毁. 2.文件病毒有哪些感染方法？ P115-P121寄生虫感染，无切入点感染，繁殖感染，链条感染，OBJ，LIB和源代码感染. 3.计算机病毒的感染过程是什么？ P113 4.结合病毒的不同感染方法，考虑病毒的相应引导机制. P112-P113 4. 计算机病毒通常将什么条件用作触发条件？ P122-P123 5.找到病毒并尝试分析其感染机制，触发机制和破坏机制. Funlove是一种文件型病毒感染机制: 6.绘制Funlove流程图并解释其指导部分的作用.

P125描述计算机病毒的逻辑结构. P109第4章DOS病毒的基本原理和DOS病毒的分析什么是病毒重定位？病毒通常使用什么方法进行迁移？ P158 2.描述启动病毒的启动过程. P160 3.编写一个程序，并使用INT 13H备份和还原引导区. P161 4.编写程序以使用该程序修复受COM_V.COM感染的host_com.com. P176 5.尝试绘制感染了EXE文件的示例exe_v病毒的流程图. P178-179 6.编写程序并将其用于修复exe_v.com感染的文件. P181 7.尝试绘制混合病毒Natas病毒的加密和转换流程图. 如何清除启动病毒？ P168尝试描述文件病毒的基本原理. 第5章Windows病毒分析P168-P169 1. PE病毒的感染过程是什么？ p191-P193如何判断文件是否感染了PE病毒（例如Immunity）？ p212-213当普通病毒感染EXE文件时，它将修改文件的PE头（代表EXE某些信息的文件头），将其自身的病毒体附加到原始EXE文件的末尾，然后修改PE标头的内容以更改程序，将的条目更改为您自己的病毒的条目. 某些病毒体也会调用原始EXE文件的条目，因此EXE仍然可以发挥原始作用.

通过这种方式，当运行EXE文件时，该病毒实际上首先运行. 根据您的判断，可以使用什么方法更好地隐藏PE病毒？以编程方式修复被Immunity感染的host_pe.exe文件. 2.请查阅MSDN或其他材料以熟悉本章涉及的API函数的用法. 3.简要描述CIH病毒的触发机制和感染机制. P216-P218如何使系统对CIH病毒免疫？ 4.脚本病毒的弱点是什么？如何预防和清除脚本病毒？ P235 5.如果脚本病毒对其代码进行加密，我们可以看到解密的源代码吗？如何获得解密的源代码？ P232 6.爱虫病毒对系统有什么危害？为爱虫病毒准备一个排毒程序. P236 7.传播宏病毒的方法有哪些？ P251如何预防和清除宏病毒？ P255 8.如何查看宏病毒的源代码？如果代码被加密怎么办？ （要了解宏病毒，您必须阅读其原始代码，但有时会对宏进行加密，（仅执行宏），1.重命名Normal.dot. 启动单词. //防止单词在宏出现时带来宏启动病毒2. 创建一个新的宏，专门用于读取有毒文件中的宏代码（仅原理上）Sub Main DisableAutoMacros //防止宏病毒的引入非常重要Dim D作为FileOpen GetCurValue D Diolog D FileOpen D //使用本段打开中毒的文件MacroCopy D.Name +“: ” +“ CAP”，“ sourceCAP”，0 MacroCopy D.Name +“: ” +“ AutoOpen”，“ notAuotOpen”，0 ... //以CAP宏病毒为例，将宏代码复制到normal.dot //参数0表示可编辑，非零表示加密的FileClose 2 Sub End 3.

运行上面的宏并将宏代码复制到normal.dot ///注意，您需要更改宏名称4.读取宏代码5.关闭word并恢复原始的normal.dot）9.检查信息有关MSDN中FileSystemObject的知识，以了解其各种方法和属性. 10.请查阅相关信息，以了解如何为各种Windows版本编写设备驱动程序. 在WSH中，Windows和DOS下的文件名是什么？如何禁止文件系统对象. 您自己编写了一个脚本文件，例如带有.vbs或.js后缀的文件，然后双击以在Windows下执行它. 此时，系统将自动调用适当的程序来解释和执行该程序. 该程序是Windows脚本宿主，程序执行文件名是Wscript.exe（如果在命令行上，则为Cscript.exe）. 使用regsvr32 scrrun.dll / u命令禁用文件系统对象. 使用VB脚本编写禁用注册表和任务管理器的脚本文件. 尝试写出相应的REG，BAT，INF文件. 取消在错误继续时禁用下一步接下来使用WScript.CreateObject（“ WScript.Shell”）WSHShell.RegDelete“ HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ DisableRegistryTools”设置WSHShell = WScript.CreateObject（“ WScript.Shell”）以WSHShell.POPUP结尾（“成功解锁了注册表”）REG文件REGEDIT4 [HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System]“ DisableRegistryTools” = INF文件[Version]签名=“ $ CHICAGO $” [DefaultInstall] ADDREG = lockreg [lockreg];解锁注册表编辑器HKCU，Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System，DisableRegistryT ools，1,0个BAT文件@reg，添加“ HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System “ / v DisableRegistryTools / t reg_dword / d 00000000 / f start regedit禁用任务管理器在错误恢复时禁用下一步使用WScript.CreateObject（” WScript.Shell“）设置Ws = createobject（” Wscript.Shell“）Ws.regwrite” HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ DisableTaskMgr“，0，” REG_ DWORD”以REG文件Regedit4结尾[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Cur rentVersion \ Policie \ System]“ DisableTaskmgr” = dword: 00000000 BAT文件REG添加HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System / v DisableTaskMgr / t REG_DWORD / d 0 / F> nul Taskmgr INF文件[Version]签名=“ $ CHICAGO $” [DefaultInstall] ADDREG = lockreg [lockreg];禁用任务管理器HKCU，“ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System”，“ DisableTaskMg r”，“ 0x00000000”，“ 0”以防止恶意网站可以做什么？备份注册表以阻止msconfig条目使用FC检测“恶意”文件恶意网站标识如何手动修复IE？需要哪些辅助工具？需要注意哪些问题？简要介绍PE病毒的基本原理.

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-283895-1.html