计算机病毒学复习大纲
“黑星期五”在逢13号的星期五发作。中国的“上海一号”在每年3月、6月及9月的13日发作。CHI病毒:v1.2版本的发作日期是每年的4月26日,v1.3版本是每年的6月26号,v1.4版本是每月的26日。Happytime(欢乐时光)病毒发作的条件是月份与日期之和等于13。“求职信”病毒在单月的6日和13日发作。(P3)
根据寄生的数据存储方式计算机病毒可划分为三种类型:引导区型、文件型、混合型。(P7)
宏病毒是一种寄存于文档或模板的宏中的计算机病毒。宏病毒一般用Visual Basic编写,是寄存在Microsoft Office文档上的宏代码。(P12)
PE文件:Protable Executable File Format(可移植的执行体)。最有名的PE格式的病毒是CIH病毒。(P31)
VxD:虚拟设备驱动程序(P32)。
木马系统软件一般由:木马配置程序、控制程序和木马程序(服务器程序)3部分组成。(P53)
大多数特洛伊木马包括包括客户端和服务器端两个部分。
DDoS:分布式拒绝服务攻击。
“灰鸽子”是国内一款著名木马病毒。(P57)
蠕虫病毒通常由两部分组成:一个主程序和一个引导程序。(P64)
蠕虫病毒与普通病毒的区别:一般的病毒是寄生的,可以通过其指令的执行,将自己的指令代码写到其他程序体内,而被感染的文件就被称为“宿主”。蠕虫一般不采取利用PE格式插入文件的方法,而是通过复制自身在Internet环境下进行传播。病毒的传染能力主要是针对计算机内的文件系统而言,而蠕虫病毒的感染目标是Internet内的所有计算机。(P65)
几种典型的蠕虫病毒:“尼姆达”(nimda)病毒、“震荡波”病毒、“红代码”病毒、“SCO”病毒、“斯文”病毒、“熊猫烧香”病毒。(P66)
“震荡波”病毒利用Windows的LSASS中存在一个缓冲区溢出漏洞进行攻击,监听TCP  5554端口。(P66)
“冲击波”病毒利用了微软的RPC漏洞进行传播,它也是一种典型的蠕虫病毒。(P92)
1.从蠕虫程序的功能来看,不是它们的基本功能模块的是___B_____
A.目标定位模块    B.通信模块    C.攻击模块  D.信息搜集模块
2.___B______是目前网络蠕虫的最佳扫描策略。
计算机病毒的定义
A.顺序扫描      B.路由扫描    C.随机扫描    D.分治扫描
3.下列_____B______计算机病毒不是蠕虫病毒。
A.“尼姆达”    B.CIH      C.“红代码”      D.“冲击波”
4.和普通病毒相比,蠕虫的最重要的特点是__________。
A.蠕虫可以传播的更为广泛
B.和没有生命的病毒相比,蠕虫是一种有繁殖能力的小虫子
C.蠕虫的比病毒更经常删除注册表键值和更改系统文件
D.蠕虫更有可能损害被感染的系统
5.蠕虫的定义中强调了自身副本的____A______,这也是区分蠕虫和病毒的重要因素。(P110)
A.完整性和独立性              B.传染性和寄生性
C.独立性和攻击性              D.隐藏性和衍生性
WSH是Windows Scripting Host的缩写,含义为:“Windows脚本宿主”。它内嵌于Windows操作系统中的脚本语言工作环境,主要负责脚本的解释和执行。(P112)
Happytime病毒的发作日期是“月+日”=13,第一次发作是2001年5月8日。(P118)
IM是英文Instant Message的缩写,可以翻译成“即时通信”。主流即时通信软件有:ICQ、MSN、腾讯QQ等。(P125)
网络钓鱼(Phishing)一词是Fishing和Phone的结合体。(P134)
“流氓软件”的概念:(P139)。“飘雪”(piaoxue或feixue)是典型的流氓软件。
恶意代码生存技术:反跟踪技术、加密技术、模糊变换技术、自动生产技术。
恶意代码常见攻击技术:进程注入技术、三线程技术、端口复用技术、超级管理技术、断口反向连接技术、缓冲区溢出攻击技术。
隐藏技术分为本地隐藏和网络隐藏。
模糊变换技术有:指令替换技术、指令压缩技术、指令扩展技术、伪指令技术、重编译技术。
本地隐藏:文件隐藏(定制文件名)、进程隐藏(附着或替换系统进程,修改进程列表程序,修改命令行参数)、网络连接隐藏(端口复用)、编译器隐藏(恶意代码自带编译器)、Rootkit隐藏(用户模式/内核模式)。
网络隐藏分为:通信内容隐藏(加密)和传输通道隐藏(存储隐藏通道+时间隐藏通道)。
存储隐藏通道:一个进程能够直接或间接访问某个存储空间,而该存储空间又能能另一个进程访问;
时间隐藏通道:一个进程对系统性能产生的影响可以被另一个进程观察到并且可以利用一个时间基准进行测量。(以防有误,具体参考老师给的PPT)
寡型病毒的定义:这些病毒体内有多种加密算法,但是在每次产生新的副本时,仅使用其中一种,有些算法被使用的几率很小,以至于不完整分析该病毒,将无法彻底防御该病毒。(P150)
多态变形病毒:通常是指在自我复制的过程中,能够大幅度改变自身代码变现形式、存储形式的计算机病毒。(P151)
静态分析一般纯粹利用反汇编工具,对计算机病毒二进制代码进行反汇编,并通过阅读这些汇编指令来了解该病毒的真正意图。
动态分析则会引入商用虚拟机、测试器等辅助软件,对计算机病毒代码进行调试跟踪,充分了解计算机病毒执行时的状态,最终明确该病毒的真正意图。(P154)
入口点隐蔽技术:EPO:entry-point obscuring(P157)
计算机病毒的传统检测方法:特征码检测法、校验和检测法、感染实验法(P169)
启发式代码扫描技术中的几个关键问题如下:
(1)、代码数据库的建立
(2)、病毒特征权值的设定
(3)、权值阙值的设置(P172)
(重点)虚拟机技术:(P174)
反病毒软件由应用程序、反病毒引擎和病毒库三部分组成。
引擎的主要功能是:对应用程序转入的扫描对象进行格式分析和病毒扫描,并将扫描的中间结果和最终结果通过应用程序回调借口返回给应用程序,根据应用程序的返回结果进行相应的处理。引擎本身还负责病毒库的加载、管理、升级、遍历和卸载。(P182)
1989年7月,中国公安部计算机管理监察局监察处病毒研究小组编制出了中国最早的杀毒软件——Kill(版本6.0)。(P190)
诺顿杀毒软件——赛门铁克公司(P196)
(这是自己对照肯本和老师上课讲的整理出来的,如有什么问题还请大家见谅啊!希望能给大家的复习有所帮助)