《计算机病毒》课程
期末复习资料第1章恶意代码分析入门
1.1 计算机病毒的定义和类型
1.2 计算机病毒分析的目标
1.3 计算机病毒分析技术概述
第2章静态分析技术基础
2.1 杀毒软件
2.2 哈希值
2.3 特征字符串
2.4 加壳与混淆
2.5 PE文件格式
2.6 链接库与函数
第3章在虚拟机中分析恶意代码
3.1 虚拟机的结构
3.2 创建虚拟机
3.3 使用虚拟机
第4章动态分析技术
4.1 沙箱分析
4.2 运行病毒和使用进程监视
4.3 Process Explorer和Regshot
4.4 网络模拟
第5章 X86反汇编
5.1 逆向工程
5.2 X86体系结构
5.3 CPU汇编指令
5.4 汇编指令
5.5 栈操作
第6章 IDA pro
6.1 加载可执行文件
6.2 IDA pro的窗口
6.3 IDA pro导航
6.4 交叉引用
6.5 函数分析
6.6 使用图形选项
6.7 增强反汇编
第7章识别汇编语言中的C语言代码结构
7.1 识别汇编中的C语言代码结构
7.2 识别if分支结构
7.3 识别循环
7.4 识别函数调用
7.5 识别switch结构美化
7.6 识别数组、结构体、链表
第8章分析恶意Windows程序
8.1 Windows API
8.2 Windows 注册表
8.3 网络API
8.4 跟踪病毒运行
8.5 互斥量
8.6 异常处理、模式、Native API
第9章动态调试
9.1 调试器介绍
9.2 使用调试器
9.3 用断点暂停执行
9.4 断点类型
9.5 异常
9.6 修改可执行程序
第10章 OllyDbg
10.1 Ollydbg加载恶意代码
10.2 Ollydbg的窗口美化
10.3 内存映射
10.4 查看线程、栈、代码
10.5 断点
10.6 加载DLL、跟踪
10.7 异常处理、修补
10.8 分析shellcode、协助功能
10.9 插件、脚本调试
第11章使用WinDbg调试内核
11.1 驱动与内核代码
11.2 使用WinDbg
11.3 微软符号表
11.4 Windows注册表
11.5 Rootkit
第12章恶意代码行为
12.1 下载器、启动器、后门
12.2 远程控制和僵尸网络
12.3 窃取登陆凭证
12.4 存活机制
12.5 特洛伊木马化二进制文件
12.6 DLL加载顺序劫持
12.7 权限提升与用户态Rootkit
第13章隐蔽的恶意代码启动
13.1 启动器与进程注入
13.2 进程替换
13.3 Hook注入
13.4 Detours与APC注入
第14章数据加密
14.1 加密算法的目的和简单的加密算法
14.2 简单的加密策略
14.3 常见的加密算法
14.4 自定义加密
14.5 解密
一、客观部分:
★考核知识点: 计算机病毒的定义和类型
参见讲稿章节:1.1
单选题:恶意代码指的是()。
A.计算机病毒
B.间谍软件
C.内核嵌套
D.任何对用户、计算机或网络造成破坏的软件
单选题:病毒、()和木马是可导致计算机和计算机上的信息损坏的恶意程序。A.程序B.蠕虫C.代码D.数据
单选题:病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组()。
A.计算机指令
B.程序代码
C.文件
D.计算机指令或者程序代码
判断题:病毒必须能自我执行和自我复制。()
判断题:蠕虫是利用文件寄生来通过网络传播的恶性病毒。()
★考核知识点:计算机病毒分析的目标
参见讲稿章节:1.2
单选题:以下不是恶意代码分析的目标的是()。
A.确定一个可疑的二进制程序到底可以做什么
B.如何在网络上检测它
C.恶意代码本身的特性
D.如何衡量并消除它所带来的损害
判断题:病毒特征码关注是恶意代码对系统做什么,而主机特征码关注恶意代码本身的特性。()
判断题:网络特征码可以在没有进行恶意代码分析时创建,但在恶意代码分析帮助下提取的特征码往往更加有效的,可以提供更高的检测率和更少的误报。()
★考核知识点: 计算机病毒分析技术概述
参见讲稿章节:1.3
单选题:下列属于静态高级分析技术的描述是()。
A. 检查可执行文件但不查看具体指令的一些技术分析的目标
B. 动态分析基础技术涉及运行恶意代码并观察系统上的行为,以移除感染,产生有效的检测特征码,或者两者
C. 主要是对恶意代码内部机制的逆向工程,通过将可执行文件装载到反汇编器中,查看程序指令,来发现恶意代码到底做了什么
D. 动态分析高级技术则使用调试器来检查一个恶意可执行程序运行时刻的内部状态
判断题:静态分析基础技术是非常简单,同时也可以非常快速应用的,但它在针对复杂的恶意代码时很大程度上是无效的,而且它可能会错过一些重要的行为。()
★考核知识点: 静态分析技术
参见讲稿章节:2.1
单选题:反病毒软件主要是依靠()来分析识别可疑文件。
A文件名 B病毒文件特征库 C文件类型 D病毒文件种类
参见讲稿章节:2.3
单选题:Strings程序搜索()或以上连续的ASCII或Unicode字符,并以终结符结尾的可打印字符串。A.2个 B 3个 C 1个 D 0个
判断题:Strings程序检测到的一定是真正的字符串。()
判断题:当加壳的程序运行时,会首先运行一小段脱壳程序,来解压缩加壳的文件,然后再运行脱壳的文件。()
判断题:当一个程序被加壳后,你必须对它进行脱壳,才能够执行进一步分析。()
★考核知识点:虚拟机的结构
参见讲稿章节:3.1
判断题:虚拟机是运行在ring0级。()
多选题:以下哪些是常用的虚拟机软件()。
A.VMware Player
B.VMware Station
C.VMware Fusion
D.VirtualBox
★考核知识点: 创建虚拟机
参见讲稿章节:3.2
单选题:以下那种互联网连接模式在宿主机和客户机之间创建了一个隔离的私有局域网()。
A.bridged
https://www.doczj.com/doc/9817172845.html,
C.Host-only
D.Custom
判断题:未知的计算机病毒不存在不确定性。()
★考核知识点: X86反汇编
参见讲稿章节:5.1
单选题:计算机体系结构中,()层是由十六进制形式的操作码组成,用于告诉处理器你想它干什么。
A 微指令 B机器码 C低级语言 D高级语言
单选题:在获取不到高级语言源码时,()是从机器码中能可信并保持一致地还原得到的最高一层语言。
A 机器指令 B微指令 C汇编语言 D机器码
参见讲稿章节:5.2
判断题:IP地址127.0.0.1在小端字节序下,表示为0x7F000001。()
判断题:操作数指向感兴趣的值所在的内存地址,一般由方括号内包含值、寄存器或方程式组成,如[eax]。()
★考核知识点: 加载可执行文件
参见讲稿章节:6.1
判断题:在合法的PE文件中,可以带有可执行文件。()
判断题:在进程中加载的DLL的位置和在IDA Pro中的地址不同,这可能是及地址重定向的结果。()
判断题:在默认情况下,IDA Pro的反汇编代码中包含PE头或资源节。()
★考核知识点: 识别汇编中的C语言代码结构
参见讲稿章节:7.1
单选题:下列表明是全局变量的汇编代码是()。
A.mov eax,dword_40CF60
B.mov eax,[ebp-4]
C.mov eax,[ebp+var_4]
D.mov dword_40CF60,eax
单选题:对应a++的汇编代码是()。
A.move eax,[ebp+var_4]
B.sub eax,[ebp+var_8]
C.sub eax,1
D.add eax,1
判断题:全局变量可以被一个程序中的任意函数访问和使用,在栈中局部变量只能在它被定义的函数中访问,在内存上。()
★考核知识点: 识别if分支结构
参见讲稿章节:7.2
单选题:对下面指令分析不正确的是()。
A.要跳转的决定是基于一个比较(cmp)语句来做的
B.调剂跳转(jnz),如果这两个值不相等,这个跳转就会发生
C.代码跳转(jump)保证了只有一条代码路径会被执行
D.对于一个if语句必定有一个条件跳转,所有条件跳转也都对应if语句
★考核知识点: 识别循环
参见讲稿章节:7.3
判断题:switch语句被程序员用来做一个基于字符或者整数的决策。例如,后门通常使用单一的字节值从一系列动作中选择一个。switch语句通常以两种方式被编译:使用if方式或使用跳转表。()
★考核知识点: 识别函数调用
参见讲稿章节:7.4
单选题:函数调用约定中,参数是从右到左按序被压入栈,当函数完成时由被调用函数清理栈,并且将返回值保存在EAX中的是()。
A.cdel
B.stdcall
C.fastcall
D.压栈与移动
多选题:微软fastcall约定备用的寄存器是()。
A.EAX
B.ECX
C.EDX
D.EBX
多选题:()是Windows API的标准调用约定。
A.cdecl
B.stdcall
C.fastcall
D.压栈与移动
判断题:在stdcall中,前一些参数(典型的是前两个)被传到寄存器中,备用的寄存器是EDX和ECX(微软fastcall约定)。如果需要的话,剩下的参数再以从右到左的次序被加载到栈上。通常使用fastcall比其他约定更高效,因为代码不需要涉及过多的栈操作。()
判断题:微软Visual Studio和GNU编译集合(GCC)。前者,adder函数和printf 的函数在调用前被压到栈上。而后者,参数在调用之前被移动到栈上。()
★考核知识点: 识别switch结构美化
参见讲稿章节:7.5
多选题:下列说法正确的是()。
A. IDA Pro有一个在识别结构方面很有用的图形化工具
B. 从反汇编代码来看,很难知道原始代码是一个switch语句还是一个if语句序列
C. switch中各无条件跳转相互影响
D. 使用了一个跳转表,来更加高效地运行switch结构汇编代码
判断题:switch语句被程序员用来做一个基于字符或者整数的决策。例如,后门通常使用单一的字节值从一系列动作中选择一个。switch语句通常以两种方式被编译:使用if方式或使用跳转表。()
参见讲稿章节:7.6
★考核知识点: 识别数组、结构体、链表
单选题:下列论述错误的是。()
A.数组是相似数据项的有序集合
B.结构体和数组相似,但是它们包括不同类型的元素
C.一个链表是包含一个数据记录序列的数据结构,并且每一个记录都包括一个对序列中下一个记录的引用(链接)域。使用一个链表,被链接项的访问次序与数据项被保存在内存或磁盘上的次序必须一样
D.在汇编代码中,数组是通过使用一个基地址作为起始点来进行访问的。每一个元素的大小通常并不总是明显的,但是它可以通过看这个数组是否被索引的来进行判断
单选题:()被定义为一个相似数据项的有序集合。
A.数组
B.结构体
C.链表
D.变量
判断题:结构体通过一个作为起始指针的基地址来访问。要判断附近的数据字节类型是同一结构的组成部分,还是只是凑巧相互挨着是比较困难的,这依赖于这个结构体的上下文。()
判断题:结构体通过一个作为起始指针的基地址来访问。要判断附近的数据字节类型是同一结构的组成部分,还是只是凑巧相互挨着是比较困难的,这依赖于这个结构体的上下文。()
判断题:结构体通过一个作为起始指针的基地址来访问。要判断附近的数据字节类型是同一结构的组成部分,还是只是凑巧相互挨着是比较困难的,这依赖于这个结构体的上下文。()
★考核知识点: 分析恶意Windows程序
参见讲稿章节:8.1
单选题:以下Windows API类型中()是描述一个双字节、32位的无符号数值。
A WORD
B DWORD
C handles
D Callback
单选题:以下Windows API类型中()是表示一个将会被Windows API调用的函数。
A WORD
B DWORD
C handles
D Callback
判断题:句柄在它们引用一个对象或其他某个位置这个点上和指针是完全一样的。()
判断题:在文件系统函数中CreateFile这个函数被用来创建和打开文件。()
参见讲稿章节:8.1
多选题:恶意代码作者如何使用DLL()。
A保存恶意代码
B通过使用Windows DLL
C控制内存使用DLL
D通过使用第三方DLL
★考核知识点: 调试器介绍
参见讲稿章节:9.1
判断题:只有软件调试器,没有硬件调试器。()
判断题:内核调试只需要在一个系统上进行。()
选择题:能调试内核的调试器是()。
A.OllyDbg
B.IDA Pro
C.WinDbg
D.Process Explorer
★考核知识点: 使用调试器
参见讲稿章节:9.2
判断题:单步执行代码时,调试器每执行一条指令就会产生一次中断。()
选择题:单步调试是通过()实现的。
A.每条代码之前添加软件断点
B.每条代码之前添加硬件断点
C.标志寄存器中的陷阱标志( trap flag)
D.标志寄存器中的zf标志位
★考核知识点: 断点类型
参见讲稿章节:9.4
选择题:当调试可以修改自身的代码的代码时,应该设置什么类型的断点()。A.软件执行断点 B.硬件执行断点 C.条件断点 D.非条件断点
★考核知识点: 修改可执行程序
参见讲稿章节:9.6
多选题:调试器可以用来改变程序的执行方式。可以通过修改()方式来改变程序执行的方式。
A.修改控制标志 B.修改指令指针 C.修改程序本身 D.修改文件名
★考核知识点: Ollydbg加载恶意代码
参见讲稿章节:10.1
单选题:下列关于OllyDbg运行恶意代码说法错误的是。()
A. OllyDbg有几种调试恶意代码的方法。可以用它直接加载可执行文件,甚至加载DLL程序
B. 如果恶意代码已经在系统上运行,可以通过附加进程的方式调试它
C. OllyDbg是一个灵活的调试系统,可以用命令行选项运行恶意代码,甚至支持执行DLL中某个函数
D. 可以在在加载恶意代码程序之前给OllyDbg传入命令行参数
判断题:当你想要调试一个正在运行的恶意代码时,OllyDbg也支持附加到一个正在运行的进程,此刻OllyDbg会立即暂停这个程序以及它所有的线程。()
★考核知识点: 内存映射
参见讲稿章节:10.3
多选题:下列概念说法正确的是()
A. OllyDbg内存映射窗口(View→Memory)显示了被调用程序分配的使用内存块
B. 基地址重定位是指Windows中的一个模块没有被加载到其预定基地址时发生的情况
C. Windows中的所有PE文件都有一个预定的基地址,它在PE文件头中被称为映像基地址
D. 使用相对地址,无论被加载到内存的哪个位置,所有指令都能正常工作
单选题:数据访问指令将使用一个绝对地址来访问内存,这个文件被加载到预定基地址之外的另一个地址,访问这个地址就会错。如果将这个文件载入到一个不同的地址,就需要改变这条指令。因此,多数DLL会在PE头的()打包一个修订位置的列表
A..text节
B..date节
C..rsrc节
D..reloc节
判断题:DLL在exe载入后以任意顺序加载。这意味着如果DLL的基地址被重定位了,通常情况下不能预测DLL会被定位到内存的什么位置。DLL的重定位节也可以被移除,一个缺乏重定位节的DLL不能被加载到它的预定基地址,因此它也就不能被加载。()
★考核知识点:查看线程、栈、代码
参见讲稿章节:10.4
单选题:下列说法错误的是()。
A. 恶意代码经常使用多线程。你可以通过选择View-Threads,调出线程面板窗口,查看一个程序的当前线程
B. 单击主工具栏中的暂停按钮,可以暂停所有活动的线程
C. 给定进程中的每个线程有自己的栈,通常情况下,线程的重要数据都保存在栈中。可以使用OllyDbg的内存映射,来查看内存中栈的内容
D. 由于OllyDbg是多线程的,可能需要你先暂停所有的线程,设置一个断点后,继续运行程序,这样可以确保在一个特定线程模式内调试
判断题:Run to Selection选项表示在到达选择的指令之前一直运行。如果选择的指令不被执行,则被调试程序会一直运行下去。()
★考核知识点:断点
参见讲稿章节:10.5
多选题:以下对各断点说法正确的是()。
A. 查看堆栈中混淆数据内容的唯一方法时:待字符串解码函数执行完成后,查看字符串的内容。在字符串解码函数的结束位置设置软件断点。但是,这种方法只能在程序使用字符串时识别出他们
B. 条件断点是软件断点中的一种,只有某些条件得到满足时这个断点才能中断执行程序。OllyDbg调试器允许使用表达式,来设置断点,每当断点命中时,都会先计算表达式的值,如果其值不等于0,断点生效,程序运行中断
C. 硬件断点非常强大,它可以在不改变你的代码、堆栈以及任何目标资源的前提下进行调试。硬件断点的问题是调试进程时,它会降低代码的执行速度
D. OllyDbg只允许你一次设置一个内存断点,如果你设置了一个新的内存断点,那么之前设置的内存断点就会被移除
判断题:对于调用频繁的API函数,仅当特定参数传给它时才中断程序执行,这种情况下内存断点特别有用。()
判断题:OllyDbg中内存断点一次只能设置一个,而硬件断点可以设置4个。()
★考核知识点:分析shellcode、协助功能
参见讲稿章节:10.8
多选题:OllyDbg提供了多种机制来帮助分析,包括下面几种()。
A.日志
B.监视
C.帮助
D.标注
★考核知识点:使用WinDbg调试内核
参见讲稿章节:11.1
判断题:用户调试比起内核调试模式来说更加复杂,因为进行用户调试时,操作系统将被冻。()判断题:用户态应用程序到内核态驱动的调用由操作系统完成,这种调用难以被跟踪。()
★考核知识点: 下载器、启动器、后门
参见讲稿章节:12.1
判断题:启动器通常包含一个它要加载的恶意代码()。
多选题:以下的恶意代码行为中,属于后门的是()。
https://www.doczj.com/doc/9817172845.html,cat反向shell
B.windows反向shell
C.远程控制工具
D.僵尸网络
判断题:下载器通常会与漏洞利用打包在一起。()
★考核知识点: 远程控制和僵尸网络
参见讲稿章节:12.2
判断题:客户端运行在一个被植入恶意代码的受害主机上。服务器端作为攻击者远程操纵运行命令和控制的单元。()
★考核知识点: 存活机制
参见讲稿章节:12.4
判断题:所有服务都存在于注册表中,如果一个服务的注册表键被移除,则这个服务依旧能能启动。()
多选题:恶意代码的存活机制有()。
A.修改注册表
B.特洛伊二进制文件
C.DLL加载顺序劫持
D.自我消灭
★考核知识点: 启动器与进程注入
参见讲稿章节:13.1
单选题:直接将恶意代码注入到远程进程中的是()。
A.进程注入
B.DLL注入
C.钩子注入
D.直接注入
多选题:下面说法正确的是()。
A. 启动器通常在text节存储恶意代码,当启动器运行时,它在运行嵌入的可执行程序或者DLL程序之前,从该节将恶意代码提取出来
B. 隐藏启动的最流行技术是进程注入。顾名思义,这种技术是将代码注入到另外一个正在运行的进程中,而被注入的进程会不知不觉地运行注入的代码
C. DLL注入是进程注入的一种形式,它强迫一个远程进程加载恶意DLL程序,同时它也是最常使用的秘密加载技术
D. 直接注入比DLL注入更加灵活,但是要想注入的代码在不对宿主进程产生副作用的前提下成功运行,直接注入需要大量的定制代码。这种技术可以被用来注入编译过的代码,但更多的时候,它用来注入shellcode
判断题:最常用的方法是使用WindowsAPI函数CreateToolhe1p32Snapshot、Process32First和Process32Next,来查找进程列表中的目标进程。一旦发现目标进程,启动器会提取目标进程的进程标识(PID),然后用提取的PID调用createRemoteThread函数,以获取目标进程的句柄。()
★考核知识点:进程注入
参见讲稿章节:13.2
单选题:进程替换的关键是以()创建一个进程。
A.等待状态
B.就绪状态
C.运行状态
D.挂起状态
判断题:当恶意代码编写者想要将恶意代码伪装成一个合法进程,可以使用一种被称为进程注入的方法,将一个可执行文件重写到一个运行进程的内存空间。()判断题:这种进程替换技术让恶意代码与被替换进程拥有相同的特权级。()
★考核知识点: Hook注入
参见讲稿章节:13.3
单选题:()常被一种叫做击键记录器的恶意程序所使用,被用来记录击键。A.DLL注入 B.直接注入C.APC注入 D.钩子注入
判断题:恶意的应用程序会挂钩一个经常使用的Windows消息。()
★考核知识点: Detours与APC注入
参见讲稿章节:13.4
单选题:线程创建需要系统开销,()能够调用一个现有的线程。
A.进程注入
B.直接注入
C.Hook注入
D.APC注入
单选题:APC可以让一个线程在它正常的执行路径运行之前执行一些其他的代码。每一个线程都有一个附加的APC队列,它们在线程处于()时被处理。
A.阻塞状态
B.计时等待状态
C.可警告的等待状态
D.被终止状态
★考核知识点:数据加密
参见讲稿章节:14.1
多选题:以下是分析加密算法的目的是()。
A 隐藏配置文件信息。例如,命令和控制服务器域名
B窃取信息的时候将它保存到一个永久文件
C存储需要使用的字符串,并在使用前对其解密
D将恶意代码伪装成一个合法的工具,隐藏恶意代码活动中使用的字符串
参见讲稿章节:14.2
判断题:由于单字节加密的弱点,许多恶意代码编写者采用稍微复杂的编码方案,从而使得暴力探测不那么容易且仍能比较简单的实现。()
判断题:原始数据转换成Base64的过程相当标准。它使用12位的块。()
参见讲稿章节:14.3
多选题:以下方法中是识别标准加密算法的方法是()。
A识别涉及加密算法使用的字符串
B识别引用导入的加密函数
C搜索常见加密常量的工具
D 查找高熵值的内容
二、主观部分:
★考核知识点: 计算机病毒的定义和类型
参见讲稿章节:1.1
填空题:蠕虫病毒是一种常见的计算机病毒,它利用网络进行(),传染途径是通过()。
简答题:简述病毒的概念。
★考核知识点: 计算机病毒分析技术概述
参见讲稿章节:1.3
填空题:恶意代码分析技术分析包括(),(),(),()。
简答题:计算机病毒分析内容?
★考核知识点: 静态分析技术
参见讲稿章节:2.1
填空题:蠕虫病毒是一种常见的计算机病毒,它利用网络进行(),传染途径是通过()。
填空题:木马与病毒的重大区别是(),它并不能像病毒那样(),也并不“刻意”地去感染其他文件,它主要通过将(),吸引用户下载执行。
填空题:恶意代码分析技术分析包括()、()、动态分析基础技术、动态分析高级技术。
1.简答题:病毒必须满足的两个条件是?
★考核知识点: X86反汇编
参见讲稿章节:5.2
简答题:简述操作数说明指令要使用的数据,有哪几种。
★考核知识点: 识别汇编中的C语言代码结构
参见讲稿章节:7.1
填空题:用户编制程序时使用的地址称为()或(),其对应的存储空间称为()或()。
★考核知识点: 识别循环
参见讲稿章节:7.3
填空题:for循环总是有4个组件:(),(),(),()。
★考核知识点: 识别switch结构美化
参见讲稿章节:7.5
简答题:跳转表的概念。
★考核知识点: 分析恶意Windows程序
参见讲稿章节:8.1
简答题:简述Windows API的作用。
★考核知识点: 调试器介绍
参见讲稿章节:9.1
简答题:进行内核模式调试的步骤?
填空题:Windows使用两种处理器特权级别:()模式和()模式。
★考核知识点: 用断点暂停执行
参见讲稿章节:9.3
填空题:断点被用来暂停程序的运行并让你查看程序的状态。程序在断点处暂停运行被称为()。
★考核知识点: 断点类型
参见讲稿章节:9.4
简答题:简要介绍两种调试程序的方法。
★考核知识点: 异常
参见讲稿章节:9.5
填空题:调试器取得控制权的基本方式是()。
★考核知识点:断点
参见讲稿章节:10.5
填空题:OllyDbg断点包括()(),内存断点包括()()。
简答题:说明各种断点的功能和优缺点。
★考核知识点:使用WinDbg调试内核
参见讲稿章节:11.1
填空题:调试内核的常用方法是使用()。
★考核知识点:Rootkit
参见讲稿章节:11.5
填空题:现在大部分Rootkit都是通过采用某种方式修改()来工作的。
填空题:Rootkit会使用()来干扰系统事件。
简答题:简述Rootkit是如何修改SSDT系统描述符表,来挂钩系统内部函数。
★考核知识点: 远程控制和僵尸网络
参见讲稿章节:12.2
简答题:使用cmd.exe作为 Windows系统中的反向 shell,,有两种简单的恶意编码实现,都有那两种,都怎么实现的?
简答题:在远程控制工具与僵尸网络之间有哪些不同?
★考核知识点:进程注入
参见讲稿章节:13.2
简答题:简述进程注入和进程替换的异同点。
★考核知识点: Hook注入
参见讲稿章节:13.3
填空题:有两种类型的Windows钩子,()被用来观察和操纵发往进程内部的消息。()被用来观察和操纵发往一个远程进程的消息(系统中的另一个进程)。填空题:远程钩子有两种形式:上层和底层。上层的远程挂钩要求钩子例程是DLL程序的一个()。它被操作系统映射到被挂钩线程或者系统所有线程的()。底层远程钩子则要求钩子例程被保护在()的进程中。这个例程在操作系统获得处理事件的机会前被通知。
简答题:
★考核知识点: Detours与APC注入
参见讲稿章节:13.4
简答题:简述APC注入的两种存在形式。
简答题:使用Detours实现计算机病毒隐蔽启动的原理
★考核知识点:数据加密
参见讲稿章节:14.2
填空题:Base64加密用()格式表示二进制数据。
简答题:简述Base64加密的特点。
参见讲稿章节:14.5
填空题:无论算法是否已知,让程序正常活动期间自己完成解密,我们称这种方法为()。
计算机病毒解析与防范-计算机病毒论文-计算机论文 ——文章均为WORD文档,下载后可直接编辑使用亦可打印—— 计算机技术日新月异,社会的诸多行业都需要计算机的使用来实现自动化生产。个人也应用计算机来满足自身工作、学习、生活的需要。在计算机发明创造初期,人们把计算机用来科学领域的科学计算,后来计算机技术又应用于军事。在二战期间,早期的计算机就已经为美国的战争中重要的计算和资料存储设备。计算机在经济、、军事、商业等诸多领域发挥着越来越重要的作用。 一、计算机对现代人生活的影响 (一)计算机在不联网状态下的使用 计算机在社会发展中的角色地位逐步攀升,在计算机不与外界联网的状态下,计算机用户可以通过计算机中的软件来完成自己的文档编辑、软件编程与工业设计、图片的优化、影视等视频资料的欣赏、音乐、游戏、电子书籍的应用等,基本满足了人们日常生活、工作的需要。很多技术型宅男,在家中利用计算机软件设计动漫产品、电子书籍等,给人们带来了新的体验,也让人们改变了以往办公室朝九晚五的工作
方式。计算机的应用使得一部分IT技术人才的工作状态更加灵活。平板电脑、智能手机的使用大量节省了很多商业活动的筹备工作的手续和准备资料的繁琐。计算机对当代社会生活的改变和冲击效果非常显著。 (二)计算机在联网状态下的使用 计算机在联网状态下的使用,使得计算机的作用,发挥的更加淋漓尽致。计算机网络是21世纪网络经济高速发展的基础。在世界上的各个国家,现在都重视互联网的应用和计算机技术的创新。在计算机网络广泛使用的年代,一个行业没有计算机的使用,没有网络的推广和使用,很难在当今社会激烈的竞争中生存下来。计算机的联网为国家、企业还是个人提供了自由通信的平台,也为很多网络用户提供了大量的网络资源。大众通过计算机联网获得信息的量,远远超过传统媒介。近年来一些社交网站和电子商务网站的兴起,也逐步改变了人与人交往和购物消费的方式和习惯。 (三)智能系统使得计算机的应用领域更加广泛 老百姓在生活中广泛使用计算机,潜移默化的丰富着我们的生活内容。智能系统的广泛应用也提高了计算机的应用更加广泛。现在很多家电生产商也给家电配置了智能系统,现在的电器,例如电视机、冰箱、
一.专业病毒分析师对提交的可疑文件进行分析的流程: 1.通过虚拟机模拟可疑文件的运行,检测他的动作。 2.反编译程序,通过汇编语言判断程序的性质 3.病毒分析师需要有熟练的各种分析软件的操作能力,还需要有强的汇编言知识,还需要对windows中程序底层运行方式有一定的了解 二.病毒的行为大致上分为4种: 1.对文件的操作 2.对注册表的的操作 3.对进程的操作 4.联网行为 所以,就要有分析这4种行为的工具. 三.具体分析过程 No.1 监视方法分析病毒. 分析过程中用到了大量的工具,这些工具分为专一型的,综合型的. ◆专一型的监视工具: 文件监视:FileMon 注册表监视:RegMon、Regsnap 进程监视:ProcView 网络监视:TcpView ◆综合型的监视工具: SSM:文件、注册表、进程、网络监视 E盾:文件、注册表、进程、网络监视 ProcMonitor:文件、注册表、进程监视 ◆内核分析、监视工具: 由于病毒大都会用内核方法隐藏自己,所以需要内核分析工具,常用的内核分析工具有下面的: IceSword SnipeSword Wsyscheck (推荐) ◆系统辅助分析工具: 其实有很多杀毒软件附带的工具就是很好的分析工具,举几个软件说下: 360安全卫士
卡卡上网安全助手 金山清理专家 ◆系统诊断工具: Sreng扫描报告 360安全卫士诊断工具 卡卡上网安全助手 瑞星听诊器 No.2反编译、调试方法分析病毒. 这种方法需要有更多的基础知识,需要了解系统内部工作原理和汇编语言.并且工具的运用也需要很多的训练… ※查壳工具 Peid FFI ※脱壳工具 FFI 各种壳的专用脱壳工具 ※反编译工具 W32dasm C32asm IDA pro ※文件hash校验工具 Hash HashCalc ※动态调试工具 OllyDbg SoftIce(这个比较难用) ※文件编辑工具
计算机病毒的特点有哪些 计算机病毒也是一台电脑一台电脑的传染,也有他的传播途径,比如现在大部分恶意病毒(有些其实不能算病毒,算是恶意程序)通过下载传播的,一起来看看计算机病毒的特点有哪些,欢迎查阅! 计算机病毒的特征、分类与防治 1计算机病毒的概念 计算机病毒(Computer Viruses CV):是一种人为编制的具有破坏作用的计算机程序。2计算机病毒的的特征(特点) 破坏性 传染性 隐蔽性 潜伏性 可激发性 3计算机病毒的分类 ①根据病毒存在的媒体分类 根据病毒存在的媒体,病毒可以划分为网络病毒,文件病毒,引导型病毒 ②根据病毒破坏的能力分类 无害型:除了传染时减少磁盘的可用空间外,对系统没有其它影响。 无危险型:这类病毒仅仅是减少内存、显示图像、发出声音及同类音响。 危险型:这类病毒在计算机系统操作中造成严重的错误。 非常危险型:这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。 ③根据病毒特有的算法分类 伴随型病毒:这一类病毒并不改变文件本身,它们根据算法产生EXE文件的伴随体,具有同样的名字和不同的扩展名(COM),例如:XCOPY.EXE的伴随体是 https://www.doczj.com/doc/9817172845.html,。 “蠕虫”型病毒:通过计算机网络传播,不改变文件和资料信息,利用网络从一台机器的内存传播到其它机器的内存,计算网络地址,将自身的病毒通过网络发送。有时它们在系统存在,一般除了内存不占用其它资源。
寄生型病毒:除了伴随和“蠕虫”型,其它病毒均可称为寄生型病毒,它们依附在系统 的引导扇区或文件中,通过系统的功能进行传播,按算法分为: 练习型病毒:病毒自身包含错误,不能进行很好的传播,例如一些病毒在调试阶段, 还不具备发作的条件。 诡秘型病毒:它们一般不直接修改DOS中断和扇区数据,而是通过设备技术和文件 缓冲区等DOS内部修改,不易看到资源,使用比较高级的技术。利用DOS空闲的数 据区进行工作。 变型病毒(又称幽灵病毒):这一类病毒使用一个复杂的算法,使自己每传播一份都具 有不同的内容和长度。 4计算机病毒的防治。 ①病毒的防范 计算机病毒的传播途径主要有两个:软盘和网络。要防止病毒的侵入,就要以预防为主,堵塞病毒的传播途径。 ②病毒的检测和消除 检测和消除病毒的方法有两种,一是人工检测和消除,一是软件检测和消除。 计算机病毒的特点 01 计算机病毒的程序性。计算机病毒与其他合法程序一样,是一段可执行程序,但它不 是一个完整的程序,而是寄生在其他可执行程序上,因此它享有一切程序所能得到的权力。在病毒运行时,与合法程序争夺系统的控制权。计算机病毒只有当它在计算机 内得以运行时,才具有传染性和破坏性等活性。 02 计算机病毒的传染性。在生物界,病毒通过传染从一个生物体扩散到另一个生物体。 在适当的条件下,它会大量繁殖,井使被感染的生物体表现出病症甚至死亡。同样, 计算机病毒也会通过各种渠道从已被感染的计算机扩散到未被感染的计算机,在某些 情况下造成被感染的计算机工作失常甚至瘫痪。 03 计算机病毒的潜伏性。一个编制精巧的计算机病毒程序,进入系统之后一般不会马上 发作,可以在几周或者几个月内甚至几年内隐藏在合法文件中,对其他系统进行传染,
认识和预防计算机病毒》教学设计 一、教学内容分析: 本专题内容是广东教育出版社出版的初中信息技术第一册第一章第六节的 部分内容。教材中的内容只是简单的介绍了一下病毒防治软件Norton Antivirus 清除病毒的方法。鉴于初中学生对计算机病毒已有耳闻,而且如今家庭电脑已是日益普及,计算机病毒更是让人防不胜防,在初一年级就有意识地介绍有关计算机病毒的基本常识(如计算机病毒的概念、特征、危害等)和杀毒软件的使用,对于乐此不疲的中学生来说是十分重要的一课,有利于帮助学生树立安全防范意识,在使用电脑过程中时刻关注计算机安全,学会防治病毒。 二、教学对象分析: 随着信息技术的日益发展,网络的广泛普及,在学生中进行网络安全教育显得尤为重要。本节内容的教学对象是初一年级的学生。学生都有相当一段时间的网龄,对网络和计算机安全有一定的认识,有一定的安全意识,但是还比较模糊,需要教师进一步引导。 三、教学目标: 知识与技能: (1)了解计算机病毒的概念,知道它是一种人为制作的程序。 (2)了解计算机病毒的一般特征、传播方式。 (3) 了解病毒对计算机信息安全的危害。 (4) 知道防治病毒的方法。 过程与方法: 通过让学生感受大量的事例,让学生深刻体会到采取安全防范措施的重要性。通过模拟使用瑞星杀毒软件,让学生懂得常用杀毒软件的使用,并学会下载、安装、升级杀毒软件。 情感态度与价值观: (1)帮助学生树立防范病毒意识,负责任、安全、健康地使用信息技术。(2)促进学生信息文化、道德修养与健康人格的育成。 四、教学重点及难点 了解计算机病毒的特征及其对计算机信息安全的危害。
五、教学策略 情境创设法,头脑风暴法、模拟试验法六、教学媒体选择 教材、powerpoint课件、flash动画七、教学过程设计 教学环节教师活动学生活动 设计意图 情景创设 相信很多同学和我一样,曾经收到这样类似的信 息: 由于跟这位朋友很熟,因此我就随手点了那个链 接,可我并没有看到什么,紧接着,我的电脑就开始 变得异常缓慢,不断弹出对话框: 究竟发生了什么事?我的电脑怎么了?(学生回 答:电脑中病毒了) 小调查:我们班有多少同学有过电脑中病毒的 经历呢? 提问:电脑中毒后有什么异常的现象呢? 学生发言、分享自己电脑中毒经历。 学生倾听老师 的经历,唤醒 记忆中相似的 情形; 积极思考,回 答问题。 积极举手,参与 调查 创设一个计算 机中毒过程的 情景,激起学 生的共鸣,引 发学生学习的 兴趣。 通过调查使学 生意识到:计 算机感染病毒 的比率很高。
计算机病毒知识测试题(单选) 姓名得分: 注:每题5分,满分100分 1.下面是关于计算机病毒的两种论断,经判断______ (1)计算机病毒也是一种程序,它在某些条件上激活,起干扰破坏作用,并能传染到其他程序中去;(2)计算机病毒只会破坏磁盘上的数据. A)只有(1)正确B)只有(2)正确 C)(1)和(2)都正确D)(1)和(2)都不正确 2.通常所说的“计算机病毒”是指______ A)细菌感染B)生物病毒感染 C)被损坏的程序D)特制的具有破坏性的程序 3.对于已感染了病毒的U盘,最彻底的清除病毒的方法是_____ A)用酒精将U盘消毒B)放在高压锅里煮 C)将感染病毒的程序删除D)对U盘进行格式化 4.计算机病毒造成的危害是_____ A)使磁盘发霉B)破坏计算机系统 C)使计算机内存芯片损坏D)使计算机系统突然掉电 5.计算机病毒的危害性表现在______ A)能造成计算机器件永久性失效 B)影响程序的执行,破坏用户数据与程序 C)不影响计算机的运行速度 D)不影响计算机的运算结果,不必采取措施 6.计算机病毒对于操作计算机的人,______ A)只会感染,不会致病B)会感染致病 C)不会感染D)会有厄运 7.以下措施不能防止计算机病毒的是_____ A)保持计算机清洁 B)先用杀病毒软件将从别人机器上拷来的文件清查病毒 C)不用来历不明的U盘 D)经常关注防病毒软件的版本升级情况,并尽量取得最高版本的防毒软件 8.下列4项中,不属于计算机病毒特征的是______ A)潜伏性B)传染性C)激发性D)免疫性 9.下列关于计算机病毒的叙述中,正确的一条是______ A)反病毒软件可以查、杀任何种类的病毒
历史上经典的计算机病毒有哪些 在当今历史上一些经典的计算机病毒有哪些呢?小编告诉你,有很多经典实例,下面由小编给你做出详细的历史上经典的计算机病毒介绍!希望对你有帮助! 历史上经典的计算机病毒介绍: 一、微软WMF漏洞被黑客广泛利用,多家网站被挂马 二、敲诈者 三、病毒假冒工行电子银行升级 四、魔鬼波病毒爆发 五、光大证券网站多款软件被捆绑木马 六、威金病毒大闹互联网 磁碟机、熊猫烧香、AV终结者、机器狗、灰鸽子,
电脑中毒了解决方法: 解释下用正版瑞星杀毒以后很多.exe的文件都被删除掉了 很多病毒都是感染可执行程序的破坏后使文件损坏 病毒一般不感染小型文件,病毒的源代码内有很多变量可控比如熊猫烧香的源代码(楼主去网上看看,蛮经典的--有分析) 杀毒的时候提示:windows 无法访问指定设备,路径或文件。您可能没有合适的权限访问这个项目。 只是由于病毒破坏了系统文件的缘故(建议备份重要文件后重新安装) 而且卡卡助手经常提示阻止了一些网页后缀都是.down的! 很明显这是木马下载器在向指定的网站下载病毒和木马
重装系统后C盘的病毒就没有了,但是其他盘可能有病毒的残留。但病毒已经不会随系统进程启动了。下载360后便可清除病毒残留 重新做系统也没用!各种版本的XP全试了!真郁闷~! 引导区的病毒会导致这种情况,用瑞星最新更新的病毒库因该可以搞定 重做系统没用,你用GHOST还原搞的吗?还是安装盘? 如果使还原系统一般不可靠,病毒会感染还原软件 我看你好像没什么重要文件,先把全部硬盘格式化后再安装系统比较理想。系统装好后下个杀软全盘杀一遍 (到安全模式中也行) 就这么多了,因该可以解决
计算机病毒的分析与防范 1.计算机病毒的引入 1983 年11 月3 日,弗雷德·科恩(Fred Cohen) 博士研制出一种在运行过程中可以复制自身的破坏性程序(该程序能够导致UNIX系统死机)伦·艾德勒曼(Len Adleman) 将它命名为计算机病毒(computer viruses),并在每周一次的计算机安全讨论会上正式提出。 2.计算机病毒发展史 1987年世界各地的计算机用户几乎同时发现了形形色色的计算机病毒,如大麻、IBM圣诞树、黑色星期五等等。 1989年全世界的计算机病毒攻击十分猖獗,其中“米开朗基罗”病毒给许多计算机用户造成极大损失。 1991年在“海湾战争”中,美军第一次将计算机病毒用于实战。 1992年出现针对杀毒软件的“幽灵”病毒,如One-half。 1997年1997年被公认为计算机反病毒界的“宏病毒”年。 1998年出现针对Windows95/98系统的病毒,如CIH(1998年被公认为计算机反病毒界的CIH病毒年)。 1999年Happy99等完全通过Internet传播的病毒的出现标志着Internet病毒将成为病毒新的增长点。 2000年出现了拒绝服务(Denial of Service)和恋爱邮件(Love Letter) 这次拒绝服务袭击规模巨大,致使雅虎,亚马逊书店等主要网站服务瘫痪。 2002年多变的混合式病毒求职信(Klez)及FunLove病毒席卷全球。 2003年,冲击波(Blaster)病毒于8月开始爆发。 2004年,MyDoom、网络天空(NetSky)及震荡波(Sasser)病毒出现。3.基础知识——计算机病毒的本质 计算机病毒一词是从生物医学病毒概念中引申而来的。在生物界,病毒(Virus)是一种没有细胞结构、只有由蛋白质的外壳和被包裹着的一小段遗传物质两部分组成的比细菌还要小的病原体生物,如大肠杆菌、口蹄疫、狂犬病毒、天花病毒、肺结核病毒、禽流感病毒等。绝大多数的病毒只能在显微镜下才能看
计算机病毒解析与防范技术研究 摘要 伴随着计算机系统的不断发展,目前计算机病毒已成为系统以及网络安全的巨大威胁。因此要对计算机病毒常见类型以及基础常识进行把握,在这样的前提下如果遭遇病毒不会变的束手无策。基于此,本文对计算机病毒的定义、传播方式以及受到感染之后的现象进行详细分析,并分析了计算机病毒的传播方式,主要包括基于网络的病毒传播模式、计算机常见病毒、几个经典的计算机病毒传播模型,进一步研究了计算机病毒防御方法,包括基于主机的检测方案、基于网络的检测策略、创建一套完善的病毒防护机制、对防治技术进行不断完善,同时对病毒检测手段进行升级,最后对病毒防范措施进行详细分析,除了漏洞扫描以及防火墙等技术之外,还包括反病毒、计算机病毒免疫技术,以便最大限度地减少计算机病毒造成的危害。 关键词:计算机病毒;计算机病毒传播途径;预防计算机病毒
Abstract With the continuous development of computer systems, computer viruses have become a great threat to system and network security. Therefore, we should grasp the common types of computer viruses and basic common sense, under such a premise, if encounter viruses will not change at a loss. Based on this, this paper makes a detailed analysis of the definition, mode of transmission and the phenomena after infection of computer viruses, and analyses the mode of transmission of computer viruses, mainly including network-based virus transmission mode, common computer viruses, several classical computer virus transmission models, and further studies the methods of computer virus defense, including host-based detection. Measuring scheme, network-based detection strategy, establishing a set of perfect virus protection mechanism, improving prevention and control technology, and upgrading virus detection means. Finally, the virus prevention measures are analyzed in detail. In addition to vulnerability scanning and firewall technologies, anti-virus and computer virus immune technologies are also included in order to minimize the number of computers. The harm caused by virus.. KEY WORDS: Computer viruses; Computer virus transmission route; Prevention of computer viruses
阅读精选(1): 计算机病毒的特点有:寄生性、传染性、潜伏性、隐蔽性、破坏性、可触发性等,本文将为您详细介绍计算机病毒的特点以及预防措施。 寄生性 计算机病毒寄生在其他程序之中,当执行这个程序时,病毒就起破坏作用,而在 未启动这个程序之前,它是不易被人发觉的。 传染性 潜伏性 有些病毒像定时炸弹一样,让它什么时间发作是预先设计好的。比如黑色星期五 病毒,不到预定时间一点都觉察不出来,等到条件具备的时候一下子就爆炸开来,对系统进行破坏。一个编制精巧的计算机病毒程序,进入系统之后一般不会立刻发作,因此病毒能够静静地躲在磁盘或磁带里呆上几天,甚至几年,一旦时机成熟,得到运行机会,就又要四处繁殖、扩散,继续为害。潜伏性的第二种表现是指,计算机病毒的内部往往有一种触发机制,不满足触发条件时,计算机病毒除了传染外不做什么破坏。触发条件一旦得到满足,有的在屏幕上显示信息、图形或特殊标识,有的则执行破坏系统的操作,如格式化磁盘、删除磁盘文件、对数据文件做加密、封锁键盘以及使系统死锁等; 隐蔽性 计算机病毒具有很强的隐蔽性,有的能够透过病毒软件检查出来,有的根本就查 不出来,有的时隐时现、变化无常,这类病毒处理起来通常很困难。 破坏性 计算机中毒后,可能会导致正常的程序无法运行,把计算机内的文件删除或受到 不一样程度的损坏。通常表现为:增、删、改、移。 可触发性 病毒因某个事件或数值的出现,诱使病毒实施感染或进行攻击的特性称为可触发性。为了隐蔽自我,病毒务必潜伏,少做动作。如果完全不动,一向潜伏的话,病毒既不能感染也不能进行破坏,便失去了杀伤力。病毒既要隐蔽又要维持杀伤力,它务必具有可触发性。病毒的触发机制就是用来控制感染和破坏动作的频率的。病毒具有预定的触发条件,这些条件可能是时间、日期、文件类型或某些特定数据等。病毒运行时,触发机制检查预定条件是否满足,如果满足,启动感染或破坏动作,使病毒进行感染或攻击;如果不满足,使病毒继续潜伏。 阅读精选(2): 计算机病毒一般具有以下特性: 1.计算机病毒的程序性(可执行性) 计算机病毒与其他合法程序一样,是一段可执行程序,但它不是一个完整的程序,而是寄生在其他可执行程序上,
《缉拿真凶──计算机病毒》教学案例 随着信息时代的到来,计算机已经走入千家万户,在我们使用的过程中,肯定出现过许多异常现象。到底是什么原因引起计算机工作异常呢?相信大部分学生都比较感兴趣。因此以此为切入点,引入新课。 但本课的容理论性较强,对于五年级的学生来说,如果用常规教学的模式来讲,就会显得枯燥无味。而且小学生一堂课上的注意力时间很短,所以本节课采取了角色扮演的形式,小组分工协作的方法,利用网络平台自主获取信息,处理信息的学习方式贯穿本节课。 【教学目标】 ·计算机病毒的定义。 ·了解计算机病毒的特点和危害。 ·当前计算机病毒传播的途径。 ·掌握预防计算机病毒的方法。 【教学重点】 ·了解计算机病毒的特点 ·知道计算机病毒的传播算途径 【教学难点】
掌握预防计算机病毒的方法 【课外延伸】 了解病毒、木马、黑客的关系。 【教学方法】 1.角色扮演 2.利用网络进行自主学习。 3.小组合作、互助。 【教学模式】 引课──小组分工──上网自主学习──小组获取信息、加工处理信息──各组汇报结果──师评、生评──归纳总结──德育渗透 【情感目标】 ·培养学生的信息安全意识。 ·培养学生正确的网络道德观。 ·培养学生团队合作精神。 【能力目标】 ·培养学生获取信息的能力、处理信息的能力。
·培养学生利用网络自主学习的能力。 【教学课时】 1课时 课前:在课间准备活动时,学生按顺序走进教室,播放杜娟唱歌的音乐,给学生制造轻松的气氛,并且预示大家准备上课了。 一、引课 师:同学们好 生:老师好 师:我有一个愿望,想与你们做朋友,因为你们的眼神告诉我你们很会学习,会捕获知识,而且你们是一个团结的集体,这让我非常喜欢们。 师:我呢,平时,喜欢在网上学习,下载软件,欣赏动漫。昨天我下载了一首我儿时最喜欢的歌曲,今天要与你们一起欣赏。 (播放课件,蓝精灵MV)----(播放到一半,突然计算机报错,提示需重新启动)(冲击波病毒症状) 师:嗯?怎么回事?谁的眼睛最亮,能不能告诉我们大家,刚才发生了什么奇怪的现象? 生:回答刚才看到的奇怪现象。
本科毕业论文 论文题目:计算机病毒解析及防范 学生姓名: 学号: 专业:计算机科学及技术 指导教师: 学院: 年 X 月 X 日 毕业论文(设计)内容介绍
计算机病毒解析及防范 李静文 (山东师范大学历山学院计算机科学及技术2008级1班) 摘要:计算机病毒被喻为21世纪计算机犯罪的五大手段之一,并排序为第二。计算机病毒的攻击性,在于它能够破坏各种程序并蔓延于应用领域。目前世界上上亿用户受着计算机病毒的困扰,有些还陷入极度的恐慌之中。因为计算机病毒不仅破坏文件,删除有用数据,还可导致整个计算机系统瘫痪,给计算机用户造成了巨大的损失。事实上人们产生上述不安的主要原因,在于对计算机病毒的误解,广大计算机用户有必要对计算机病毒的一些知识有比较明确的认识和全面的科学态度。 关键词:计算机病毒;解析;防范措施。 中图分类号: ( , ) : 21 , , , . . : . 1. 引言 随着计算机时代的来领,我们进入了信息社会。计算机虽然给人们的工作和生活带来了便利和效率,然而计算机系统并不安全。计算
机病毒就是最不安全的因素之一,它会造成资源和财富的巨大损失,人们称计算机病毒为“21世纪最大的祸患”。目前由于计算机软件的脆弱性及互联网的开放性,我们将及病毒长期共存。因此,研究计算机病毒及防范技术具有重要意义。(1)基于“视窗”的计算机病毒越来越多;(2)新病毒层出不穷,感染发作有增无减;(3)网络成为计算机病毒传播的主要媒介;(4)病毒的破坏性不断增加。近年来,中国计算机病毒的发病率高达55%。特别是在互联网时代,病毒的传播范围越来越广。目前的计算机病毒厂商的消除方面,都是发现新一个病毒后,立即分析它的运行机制,感染原理,编制程序进行查杀,最后加入到反病毒软件中,或放在网上供用户下载。 2. 计算机病毒的解析 2.1计算机病毒的定义及特征 .计算病毒的定义 计算机病毒()在《中华人民共和国计算机信息系统安全保护条例》中被明确定义,病毒指“编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。及医学上的“病毒”不同,计算机病毒不是天然存在的,是某些人利用计算机软件和硬件所固有的脆弱性编制的一组指令集或程序代码。它能通过某种途径潜伏在计算机的存储介质(或程序)里,当达到某种条件时即被激活,通过修改其他程序的方法将自己的精确拷贝或者可能演化的形式放入其他程序中,从而感染其他程序,对计算机资源进行破坏,所谓的病毒就是人为造成的,对其他用户的危害性很大[1]!
2012.4 37 计算机病毒行为特征的 检测分析方法 谢辰 国际关系学院 北京 100091 摘要:在研究计算机病毒之前,如果我们能先对被研究病毒的行为特征有足够的了解,那么对于之后的反汇编代码分析以及查杀工作都会起到事半功倍的效果。本文先介绍了计算机病毒行为特征,然后通过实验的方法,利用虚拟机和软件分析技术,从动态和静态两个角度,以new orz.exe 病毒为例,来阐述和总结检测分析计算机病毒行为特征的方法。 关键词:计算机病毒;行为特征;虚拟机;软件分析技术 0 引言 随着互联网技术的日渐普及和高速发展,全球化通信网络已经成为大势所趋。但网络在提供巨大便利的同时,也存在种种安全隐患和威胁,其中危害最大影响最广的莫过于计算机病毒。在网络带宽不断升级的今天,计算机病毒的传播速度和变种速度也随之加快,问题也越来越严重,引起了人们的广泛关注,并成为当前计算机安全技术研究的热点。据国内外各大反病毒公司统计,2008 年截获的各类新病毒样本数已经超过1000万,日均截获病毒样本数万。对于现如今计算机病毒变种的不断增加,反计算机病毒的一个研究方向便是怎样在不对病毒汇编代码分析的前提下,分析出已知或未知的计算机病毒的全部行为特征。 1 计算机病毒行为特征 (1) 传染性 传染性是计算机病毒最重要的特征,是判断一段程序代码是否为计算机病毒的依据。计算机病毒是一段人为编制的计算机程序代码,这段程序代码一旦进入计算机并得以执行,它会搜寻其他符合其传染条件的程序或存储介质,确定目标后再将自身代码插入其中,达到自我繁殖的目的。是否具有传染性是判别一个程序是否为计算机病毒的重要条件。 (2) 非授权性 病毒隐藏在合法程序中,当用户调用合法程序时窃取到系统的控制权,先于合法程序执行,病毒的动作、目的对用户是未知的,是未经用户允许的。 (3) 隐蔽性 病毒一般是具有很高编程技巧、短小精悍的程序,它们一般附着在合法程序之中,也有个别的以隐含文件形式出现,目的是不让用户发现它的存在。如果不经过代码分析,病毒程序与合法程序是不容易区别开来的。 (4) 潜伏性 大部分的病毒传染系统之后一般不会马上发作,它可长期隐藏在系统中,只有在满足其特定条件时才启动破坏模块。如著名的在每月26日发作的CIH 病毒。 (5) 破坏性 病毒可分为良性病毒与恶性病毒。良性病毒多数都是编制者的恶作剧,它对文件、数据不具有破坏性,但会浪费系统资源。而恶性病毒则会破坏数据、删除文件或加密磁盘、格式化磁盘等。 (6) 不可预见性 从对病毒检测方面看,病毒还有不可预见性。不同种类的病毒,它们的代码千差万别。虽然反病毒技术在不断发展,但是病毒的制作技术也在不断的提高,病毒总是先于相应反病毒技术出现。 (7) 可触发性 计算机病毒一般都有一个或者几个触发条件。如果满足其触发条件,将激活病毒的传染机制进行传染,或者激活病毒的表现部分或破坏部分。病毒的触发条件越多,则传染性越强。
《计算机病毒原理及防范技术》----秦志光张凤荔刘峭著 43.8万字 第1章计算机病毒概述 1.1.1计算机病毒的起源----第一种为科学幻想起源说,第二种为恶作剧,第三种为戏程序(70年代,贝尔实验室,Core War), 第四种为软件商保护软件起源说。 1.计算机病毒的发展历史-----第一代病毒,传统的病毒, 第二代病毒(1989-1991年),混合型病毒(或“超级病毒”),采取了自我保护措施(如加密技术,反跟踪技术);第三代病毒(1992-1995年)多态性病毒(自我变形病毒)首创者Mark Washburn-----“1260病毒”;最早的多态性的实战病毒----“黑夜复仇者”(Dark Avenger)的变种MutationDark Avenger ;1992年第一个多态性计算机病毒生成器MtE,第一个计算机病毒构造工具集(Virus Construction Sets)----“计算机病毒创建库”(Virus Create Library), ”幽灵”病毒;第四代病毒(1996-至今),使用文件传输协议(FTP)进行传播的蠕虫病毒,破坏计算机硬件的CIH,远程控制工具“后门”(Bank Orifice),”网络公共汽车”(NetBus)等。 2.计算机病毒的基本特征----1.程序性(利用计算机软、硬件所固有的弱点所编制的、具有特殊功能的程序),2、传染性,3、隐蔽性(兼容性、程序不可见性)4、潜伏性(“黑色星期五”,“上海一号”,CIH),5、破坏性,6、可触发性,7、不可预见性,8、针对性,9、非授权可执行性,10、衍生性。 1.2.2.计算机病毒在网络环境下表现的特征------1.电子邮件成主要媒介(QQ,MSN等即时通讯软件,可移动存储设备,网页,网络主动传播,网络,“钓鱼”),2.与黑客技术相融合(“Nimda”,CodeRed,”求职信”),3.采取了诸多的自我保护机制(逃避、甚至主动抑制杀毒软件),4.采用压缩技术(压缩变形----特征码改变,压缩算法,“程序捆绑器”),5.影响面广,后果严重,6.病毒编写越来越简单,7.摆脱平台依赖性的“恶意网页”。 1.2.3.计算机病毒的生命周期----1.孕育期(程序设计,传播),2.潜伏感染期,3.发病期,4.发现期,5.消化期,6.消亡期。 第2章计算机病毒的工作机制 2.1.1计算机病毒的典型组成三大模块-----1.引导模块(将病毒引入计算机内存,为传染模块和表现模块设置相应的启动条件),2.感染模块(两大功能-----1.依据引导模块设置的传染条件,做判断;2启动传染功能), 3.表现模块(两大功能----依据引导模块设置的触发条件,做判断;或者说表现条件判断子模块 2.1启动病毒,即表现功能实现子模块) 2.2.1计算机病毒的寄生方式-----1.替代法(寄生在磁盘引导扇区);2.链接法(链接在正常程序的首部、尾部、或中间)。 2.2.2.计算病毒的引导过程-----1。驻留内存,2.获得系统控制权, 3.恢复系统功能。 2.4.1.计算机病毒的触发机制----1.日期,2.时间, 3.键盘 4.感染触发, 5.启动, 6.访问磁盘次数, 7.调用中断功能触发, 8.CPU型号/主板型号触发。 第三章计算机病毒的表现 3.1.计算机病毒发作前的表现----1.经常无故死机,操作系统无法正常启动,运行速度异常, 4.内存不足的错误, 5.打印、通信及主机接口发生异常, 6.无意中要求对软盘进行写操作, 7.以前能正常运行的应用程序经常死机或者出现非法错误, 8.系统文件的时、日期和大小发生变化, 9.宏病毒的表现现象,10、磁盘空间迅速减少,11.网络驱动器卷或者共享目录无法调用,陌生人发来的电子邮件,13.自动链接到一些陌生的网站。
题目:计算机病毒解析与防范
摘要 计算机病毒被喻为21世纪计算机犯罪的五大手段之一,并排序为第二。计算机病毒的攻击性,在于它能够破坏各种程序并蔓延于应用领域。目前世界上上亿用户受着计算机病毒的困扰,有些还陷入极度的恐慌之中。事实上人们产生上述不安的原因,在与对计算机病毒的误解,广大计算机用户有必要对计算机病毒的一些知识有一个比较明确的认识和全面的科学态度。 关键词: 计算机病毒病毒的困扰病毒的误解病毒的认识
目录 1 绪论 (1) 2 计算机病毒的概述 (2) 2.1 计算机病毒的定义 (2) 2.2 计算机病毒的特性 (2) 3 计算机病毒的分类 (4) 3.1 计算机病毒的基本分类 (4) 4 计算机病毒防范和清除的基本原则和技术 (6) 4.1 计算机病毒防范的概念和原则 (6) 4.2 计算机病毒防范基本技术 (6) 4.3 清除计算机病毒的基本方法 (6) 4.4 典型计算机病毒的原理、防范和清除 (6) 5 “熊猫烧香”病毒剖析 (10) 总结 (11) 致谢 (12) 参考文献 (12)
1 绪论 入了信息社会,创造了计算机,计算机虽然给人们的工作和生活带来了便利和效率,然而计算机系统并不安全,计算机病毒就是最不安全的因素之一,它会造成资源和财富的巨大浪费,人们称计算机病毒为“21世纪最大的隐患”,目前由于计算机软件的脆弱性与互联网的开放性,我们将与病毒长期共存。因此,研究计算机病毒及防范措施技术具有重要的意义。
2 计算机病毒的概述 随着社会的不断进步,科学的不断发展,计算机病毒的种类也越来越多, 但终究万变不离其宗! 2.1 计算机病毒的定义 一般来讲,只要能够引起计算机故障,或者能够破坏计算机中的资源的 代码,统称为计算机病毒。而在我国也通过条例的形式给计算机病毒下了一 个具有法律性、权威性的定义:“计算机病毒,是指编制或者在计算机程序 中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的 一组计算机指令或者程序代码。”这就是计算机病毒。 2.2 计算机病毒的特性 2.2.1 隐藏性与潜伏性 计算机病毒是一种具有很高编程技巧、短精悍的可执行程序。它通常内 附在正常的程序中,用户启动程序同时也打开了病毒程序。计算机病毒程序 经运行取得系统控制权,可以在不到1秒钟的时间里传染几百个程序。而 且在传染操作成后,计算机系统仍能运行,被感染的程序仍能执行,这就是 计机病毒传染的隐蔽性……计算机病毒的潜伏性则是指,某些编制巧的计算 机病毒程序,进入系统之后可以在几周或者几个月甚至年内隐藏在合法文件中,对其它系统文件进行传染,而不被人发现。 2.2.2 传染性 计算机病毒可通过各种渠道(磁盘、共享目录、邮件)从已被感染的计算机扩散到其他机器上,感染其它用户.在某情况下导致计算机工作失常。 2.2.3 表现性和破坏性 任何计算机病毒都会对机器产生一定程的影响,轻者占用系统资源,导致系统运行速度大幅降低.重者除文件和数据,导致系统崩溃。 2.2.4 可触发性病毒 具有预定的触发条件,可能是时间、日期、文类型或某些特定数据等。一旦满足触发条件,便启动感染或破坏作,使病毒进行感染或攻击;如不满足,继续潜伏。有些病毒针对特定的操作系统或特定的计算机。
计算机病毒简答题 一、名词解释 1、计算机病毒:编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。 2、特洛伊木马:是一种与远程计算机之间建立起连接,使远程计算机能够通过网络控制用户计算机系统并且可能造成用户的信息损失、系统损坏甚至瘫痪的程序。 3、Word宏病毒:是一些制作病毒的专业人员利用Microsoft Word的开放性专门制作的一个或多个具有病毒特点的宏的集合,这种病毒宏的集合影响到计算机的使用,并能通过DOC文档及DOT模板进行自我复制及传播。 4、手机病毒:以手机为感染对象,以手机网络和计算机网络为平台,通过病毒短信等形式,对手机进行攻击,从而造成手机异常的一种新型病毒。 5、蠕虫:是一种通过网络传播的恶性病毒,它具有病毒的一些共性,如传播性、隐蔽性和破坏性等,同时蠕虫还具有自己特有的一些特征,如不利用文件寄生(有的只存在于内存中),对网络造成拒绝服务,以及和黑客技术相结合等。 6、流氓软件:是介于病毒和正规软件之间,同时具备正常功能(下载、媒体播放等)和恶意行为(弹广告、开后门)的软件,给用户带来实质危害。 7、僵尸网络:是指控制者采用一种或多种传播手段,将Bot程序(僵尸程序)传播给大批计算机,从而在控制者和被感染计算机之间所形成的一个可一对多控制的网络。
8、计算机病毒的预防技术:是指通过一定的技术手段防止计算机病毒对系统进行传染和破坏,实际上它是一种预先的特征判定技术。 9、网络钓鱼:利用欺骗性的电子邮件和伪造的Web站点进行诈骗活动,受骗者往往会泄露自己的重要数据,如信用卡号、账户用户名、口令和社保编号等内容。 10、计算机病毒抗分析技术:是针对病毒的分析技术提出的,目的是使病毒分析者难以分析清楚病毒原理,主要有加密技术、反跟踪技术等。 二、简答题 1、根据计算机病毒的发展趋势和最新动向,你认为现有哪些病毒代表了 这些趋势? 答:计算机病毒的发展趋与计算机技术的发展相关。根据近期病毒的特征,可以看出新世纪纪电脑病毒具有以下新特点:网络化、专业化、智能化、人性化、隐蔽化、多样化和自动化。一些蠕虫病毒、木马病毒、恶意程序等代表了这些趋势。 2、计算机病毒包含四大功能模块,并且在系统中病毒表现为静态和动态两个状态,请叙述四大功能模块之间的关系,以及状态的转换过程。 答:计算机病毒一般由感染模块、触发模块、破坏模块(表现模块)和引导模块(主控模块)四大部分组成。根据是否被加载到内存,计算机病毒又分为静态和动态。处于静态的病毒存于存储介质中,一般不能执行感染和破坏功能,其传播只能借助第三方活动(例如:复制、下载和邮件传输等)实现。当病毒经过引导功能开始进入内存后,便处于活动状态(动态),满足一定触发条件后就开始进行传染和破坏,从而构成对计算机系统和资源的威胁和毁坏。 3、请简述木马和远程控制程序之间的关系。
计算机病毒安全培训 一、什么计算机病毒 计算机病毒(Computer Virus)在《中华人民共和国计算机信息系统安全保护条例》中被明确定义,病毒指“编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。 二、计算机病毒的产生 计算机病毒的产生:病毒不是来源于突发或偶然的原因.一次突发的停电和偶然的错误,会在计算机的磁盘和内存中产生一些乱码和随机指令,但这些代码是无序和混乱的,病毒则是一种比较完美的,精巧严谨的代码,按照严格的秩序组织起来,与所在的系统网络环境相适应和配合起来,病毒不会通过偶然形成,并且需要有一定的长度,这个基本的长度从概率上来讲是不可能通过随机代码产生的。现在流行的病毒是由人为故意编写的,多数病毒可以找到作者和产地信息,从大量的统计分析来看,病毒作者主要情况和目的是:一些天才的程序员为了表现自己和证明自己的能力,处于对上司的不满,为了好奇,为了报复,为了祝贺和求爱,为了得到控制口令,为了软件拿不到报酬预留的陷阱等.当然也有因政治,军事,宗教,民族.专利等方面的需求而专门编写的,其中也包括一些病毒研究机构和黑客的测试病毒。 三、计算机病毒的特点 计算机病毒的特点: (1)寄生性计算机病毒寄生在其他程序之中,当执行这个程序时,病毒就起破坏作用,而在未启动这个程序之前,它是不易被人发觉的。 (2)传染性计算机病毒不但本身具有破坏性,更有害的是具有传染性,一旦病毒被复制或产生变种,其速度之快令人难以预防。传染性是病毒的基本特征。计算机病毒也会通过各种渠道从已被感染的计算机扩散到未被感染的计算机,在某些情况下造成被感染的计算机工作失常甚至瘫痪。与生物病毒不同的是,计算机病毒是一段人为编制的计算机程序代码,这段程序代码一旦进入计算机井得以执行,它就会搜寻其他符合其传染条件的程序或存储介质,确定目标后再将自身代码插入其中,达到自我繁殖的目的。正常的计算机程序一般是不会将自身的代码强行连接到其他程序之上的。而病毒却能使自身的代码强行传染到一切符合其传染条件的未受到传染的程序之上。是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。病毒程序通过修改磁盘扇区信息或文件内容并把自身嵌入到其中的方法达到病毒的传染和扩散。被嵌入的程序叫做宿主程序。
计算机病毒的特征 1.传染性 计算机病毒的传染性是指病毒具有把自身复制到其他程序中的特性。计算机病毒是一段人为编制的计算机程序代码,这段程序代码一旦进入计算机并得以执行,它会搜寻其他符合其传染条件的程序或存储介质,确定目标后再将自身代码插入其中,达到自我繁殖的目的。只要一台计算机染毒,如不及时处理,那么病毒会在这台机子上迅速扩散,其中的大量文件(一般是可执行文件)会被感染。而被感染的文件又成了新的传染源,再与其他机器进行数据交换或通过网络接触,病毒会继续进行传染。 正常的计算机程序一般是不会将自身的代码强行连接到其它程序之上的。而病毒却能使自身的代码强行传染到一切符合其传染条件的未受到传染的程序之上。计算机病毒可通过各种可能的渠道,如软盘、计算机网络去传染其它的计算机。当你在一台机器上发现了病毒时,往往曾在这台计算机上用过的软盘已感染上了病毒,而与这台机器相联网的其它计算机也许也被该病毒侵染上了。是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。 2.非授权性 一般正常的程序是由用户调用,再由系统分配资源,完成用户交给的任务。其目的对用户是可见的、透明的。而病毒具有正常程序的一切特性,它隐藏再正常程序中,当用户调用正常程序时窃取到系统的控制权,先于正常程序执行,病毒的动作、目的对用户时未知的,是未经用户允许的。 3.隐蔽性 病毒一般是具有很高编程技巧、短小精悍的程序。通常附在正常程序中或磁盘较隐蔽的地方,也有个别的以隐含文件形式出现。目的是不让用户发现它的存在。如果不经过代码分析,病毒程序与正常程序是不容易区别开来的。一般在没有防护措施的情况下,计算机病毒程序取得系统控制权后,可以在很短的时间里传染大量程序。而且受到传染后,计算机系统通常仍能正常运行,使用户不会感到任何异常。试想,如果病毒在传染到计算机上之后,机器马上无法正常运行,那么它本身便无法继续进行传染了。正是由于隐蔽性,计算机病毒得以在用户没有察觉的情况下扩散到上百万台计算机中。 大部分的病毒的代码之所以设计得非常短小,也是为了隐藏。病毒一般只有几百或1k字节,而PC机对DOS文件的存取速度可达每秒几百KB以上,所以病毒转瞬之间便可将这短短的几百字节附着到正常程序之中,使人非常不易被察觉。 4.潜伏性 大部分的病毒感染系统之后一般不会马上发作,它可长期隐藏在系统中,只有在满足其特定条件时才启动其表现(破坏)模块。只有这样它才可进行广泛地传播。如“PETER-2”在每年2月27日会提三个问题,答错后会将硬盘加密。著名的“黑色星期五”在逢13号的星期五发作。国内的“上海一号”会在每年三、六、九月的13日发作。当然,最令人难忘的便是26日发作的CIH。这些病毒在平时会隐藏得很好,只有在发作日才会露出本来面目。 5.破坏性 任何病毒只要侵入系统,都会对系统及应用程序产生程度不同的影响。轻者会降低计算机工作效率,占用系统资源,重者可导致系统崩溃。由此特性可将