计算机病毒复习题
1、选择题:(红字参考附件计算机病毒考试范围(修正版).doc)
1、为什么说蠕虫是独立式的?(C)二、2
A、蠕虫不进行复制
B、蠕虫不向其他计算机进行传播
C、蠕虫不需要宿主计算机来传播
D、蠕虫不携带有效负载
2、哪种恶意代码通过召集互联网上的服务器来通过发送大量的业务量攻击目标服务器?(D)
A、蠕虫
B、特洛伊木马
C、DOS攻击
D、DDOS攻击
3、哪一项不是特洛伊木马所窃取的信息?(D)
A、计算机名字
B、硬件信息
C、QQ用户密码
D、系统文件
4、哪一项不是特洛伊木马的常见名字?(C)二、4
A、TROJ_WIDGET.46
B、TROJ_FLOOD.BLDR
C、I-WORM.KLEZ.H
D、TROJ_DKIY.KI.58
5、哪一项不是蠕虫病毒的传播方式及特性?(B)二、2
A、通过进行传播
B、通过光盘、软盘等介质进行传播
C、通过共享文件进行传播
D、不需要再用户的参与下进行传播
6、哪一项不是蠕虫病毒的常用命名规则?(D)二、4
A、W32/KLEZ-G
B、I-WORM.KLEZ.H
C、W32.KLEZ.H
D、TROJ_DKIY.KI.58
7、下面对后门特征和行为的描述正确的是?(A)一、14
A、为计算机系统秘密开启访问入口的程序
杨梅怎么保存时间长B、大量占用计算机的系统资源,造成计算机瘫痪
C、对互联网的目标主机进行攻击
D、寻的地址进行发送垃圾邮件
8、哪一项不是后门的传播方式?(B)一、14
A、
B、光盘、软盘等介质
C、WEB下载
D、IRC
A、计算机不在从软盘中引导
B、对此类型病毒采取了足够的防范
C、软盘不再是共享信息的主要途径
D、程序的编写者不在编写引导扇区病毒
A、文件大小增加
B、文件大小减少
C、减缓处理速度
D、内存降低
11、哪种病毒能够占据内存,然后感染引导扇区和系统中的所有可执行文件?(D)二、1
A、引导扇区病毒
B、宏病毒
C、Windows病毒
D、复合型病毒
12、引导扇区病毒感染计算机上的哪一项信息?(B)二、1
A、DATA
B、MBR
C、E-mail
D、WORD
13、关于引导扇区病毒的传播步骤错误的是?(B)二、8
A、病毒进入引导扇区
B、病毒破坏引导扇区信息
C、计算机将病毒加载到存储
D、病毒感染其它磁盘
14、引导扇区病毒特征和特性的描述错误的是?(C)二、1
A、会将原始的引导扇区以及部分病毒代码复制到磁盘的另一个地方
B、引导扇区病毒的设计缺陷可能会导致在读取软件时会产生偶尔的写保护错误
C、引导扇区病毒在特定的时间对硬盘进行格式化操作
电影普罗米修斯D、引导扇区病毒不在像以前那样造成威胁
15、使用互联网下载进行传播的病毒是?(A)
A、爱情谚语JAVA病毒
B、DOS病毒
C、WINDOWS病毒
D、宏病毒
16、下列关于复合型病毒描述错误的是?(B)
A、采用多种技术来感染一个系统
B、会对互联网上的主机发起DOS攻击
C、复合型病毒会占据内存,然后感染引导扇区和所有可执行的文件
D、通过多种途径来传播
17、PE_CIHVI1.2病毒会感染哪一种操作系统?(C)二、4
A、DOS
B、UNIX
C、WINDOWS
D、LINUX
18、下列哪一项不是计算机病毒的种类?(B)二、1
A、启动型
B、硬件型
C、文件型
D、复合型
19、下列哪一项不是我们常见的网络病毒?(A)
A、DOS病毒
B、蠕虫病毒
C、多态病毒
D、伙伴病毒
20、下列哪一项不足够说明病毒是网络攻击的有效载体?(D)二、3
A、网络攻击程序可以通过病毒经由多种渠道传播
B、攻击程序可以利用病毒的隐蔽性来逃兵检测程序
C、病毒的潜伏性和可触发性使网络攻击防不胜防
D、黑客直接通过病毒对目标主机发起攻击
2、填空题:
1、计算机病毒按寄生方式和感染途径可分为 引导型病毒 、 文件型病毒 和 混合型病毒。
2、引导型病毒感染软盘中的引导区,蔓延到用户硬盘,并能感染到用户盘中的 主引导记录。
3、引导型病毒按其寄生对象的不同又可分为两类:MBR(主引导区)病毒和BR(引导区)病毒。
4、文件型病毒分为源码型病毒、嵌入型病毒和外壳型病毒。
5、混合型病毒,也称综合型、复合型病毒,同时具备引导型和文件型病毒的特征,即这种病毒既可以感染磁盘引导扇区,又可以感染可执行文件。
6、计算机病毒按照链接方式分类可分为 源码型病毒 、 嵌入型病毒 、 外壳型病毒 、 操作系统型病毒。
7、按计算机病毒的表现(破坏)情况分类可分为 良性病毒 和 恶性病毒。
8、按计算机病毒的传播媒介分类可分为 单机病毒 和 网络病毒 。
9、与一般病毒不同,蠕虫不需要将其自身附着到宿主程序,它是一种 独立智能程序。根据蠕虫的传播、运作方式,可以将蠕虫分为两类:主机蠕虫 与 网络蠕虫。动物的成语
10、网络蠕虫利用 、远程执行、远程登录 等进行传播。
11、计算机病毒的基本特征为 非法性 、传染性 、隐藏性 、潜伏性 、可触发性 、破坏性 、衍生性不可预见性 。其中,隐藏性 是计算机病毒最基本的特征。
12、计算机病毒侵入系统后,一般不立即发作,而是有一定的 潜伏期。
13、计算机病毒因某个事件或数值的出现,诱使病毒实施感染或进行攻击的特性,称为 可触发性。
14、计算机病毒造成的最显著的后果是 破坏计算机系统。
15、病毒的传染、破坏部分被其他掌握原理的人以其个人的企图进行任意改动,从而又衍生出一种不同于原版本的新的计算机病毒(也称为变种),这就是计算机病毒的 衍生性。
16、通过有线网络系统进行传播的方式有 、WWW浏览 、FTP文件传输 、BBS 、网络聊天工具 。
17、硬盘基本使用的寻址方式有6种,分别是 寄存器寻址 、寄存器间接寻址方式 、变址寻址 、基址加变址寻址方式 、立即寻址 、直接寻址。其中,最快的存取方式为 立即寻址。
18、在寄存器间接寻址方式中,操作数放在存储器中,而操作数的EA在指令所指明的寄存器中,即寄存器的内容为操作数的 EA。
19、基本INT 13H使用的就是CHS寻址方式,最大只能访问8GB左右的硬盘,而扩展INT 1
3H采用 线性寻址方式 存取硬盘,所以突破了8G的限制,而且还加入了对可拆卸介质(如移动硬盘、优盘)的支持。
计算机病毒在传播中有两种状态: 静态 和 动态。如果病毒处于辅助存储介质,如硬盘、DVD上时,称其为 静态病毒;如果病毒位于内存中,则称之为 动态病毒。其中,静态病毒是没有危害性的。
20、病毒从静态转变为动态的过程,就是病毒和操作系统监察机制相对抗的过程,称为 病毒的启动。
21、能激活态 是一种准备状态,是指存在于内存中的动态病毒可以被正常的运行机制执行。激活态 则是正在被执行的病毒。此时它拥有系统的控制权,时时刻刻监视系统的一举一动,一旦条件符合,就执行相应的传染、破坏等动作。处于 失活态 的病毒是没有任何活动能力的,不能传播也不能做出破坏性动作,因此是我们很愿意看见的。
22、主机蠕虫 的所有部分均包含在其所运行的计算机中,它们利用网络连接仅仅是为了将其自身拷贝到其他计算机中。网络蠕虫 由许多部分(Segment,也称为段)组成,每一个
部分运行在不同的计算机中(可能执行不同的动作),并且使用网络的目的是为了进行各部分之间的通信以及传播。
23、改进的扫描策略一般是:(1)在IP地址段的选择上,主要针对 当前主机 所在的网段扫描,对 外网段 则随机选择几个小的IP地址段进行扫描;(2)对 扫描次数 进行限制,只进行有限次扫描;(3)把扫描分散在 不同的时间段 进行。
三、简述题:
1、 简述PE文件的组成结构:
(1)DOS部分,包括DOS文件头和DOS块;(2)PE文件头,包括PE文件头标志,PE文件表头,PE文件头可选部分;(3)节表;(4)节数据;
2、 狭义的计算机病毒与蠕虫病毒的区别:
3、 计算机病毒有哪些传播途径?
答:(1)通过移动存储设备进行传播 :磁带、软盘、光盘、U盘、移动硬盘等。
(2)通过不可移动的计算机硬件设备进行传播:通过计算机的专用ASIC芯片等传播。
(3)通过有线网络系统进行传播:,WWW浏览 ,FTP文件传输 ,BBS ,网络聊天工具 等。
(4)通过无线通信系统进行传播 :由于未来有更多手机通过无线通信系统和互联网连接,手机已成为病毒的新的攻击目标。
大s档案4、 低级格式化、高级格式化的功能和作用是什么?高级格式化(FORMAT)能否清除任何计算机病毒?为什么?
答:回答一:低级格式化的主要目的是将盘面划分成磁道、扇区和柱面。高级格式化的目的是在分区内建立分区引导记录DBR(DOS Boot Record)、文件分配表FAT(File Allocation Table)、文件目录表FDT(File Directory Table)和数据区DATA。
回答二:如果主引导区感染了病毒,用格式化程序FORMAT不能清除该病毒。
5、文件型病毒有哪些感染方式?
(1)寄生感染:文件头部寄生、文件尾部寄生、插入感染、逆插入感染、利用空洞——零长度感染;
(2)无入口点感染:采用入口点模糊(Entry Point obscuring,EPO)技术,采用TSR病毒技术;
(3)滋生感染;
(4)链式感染;
(5)OBJ、LIB和源码的感染。
6、计算机病毒的感染过程是什么?
答:(1)档宿主程序运行时,截取控制权;
(2)寻感染的突破口;
(3)将病毒代码放入宿主程序。
7、试述计算机病毒的逻辑结构。
8、简述蠕虫的工作方式
答:蠕虫的工作方式一般是“扫描→攻击→复制”
▪ 扫描
• 由蠕虫的扫描功能模块负责探测存在漏洞的主机。当程序向某个主机发送探测漏洞的信息并收到成功的反馈信息后,就得到一个可传播(攻击)的对象。
▪ 攻击
• 攻击模块按漏洞攻击步骤自动攻击步骤(1)中到的对象,取得该主机的权限(一般为管理员权限),获得一个shell,对Windows 2000来说就是,得到这个shell后就拥有了对整个系统的控制权。于冠华儿子于竞超
▪ 复制
• 繁殖模块通过原主机和新主机的交互将蠕虫程序复制到新主机并启动。
9、简述特洛伊木马的基本原理。
答:特洛伊木马包括客户端和服务器端两个部分,攻击者通常利用一种称为绑定程序(exe-binder)的工具将木马服务器绑定到某个合法软件上,诱使用户运行合法软件。只要用户运行该软件,特洛伊木马
的服务器就在用户毫无察觉的情况下完成了安装过程,攻击者要利用客户端远程监视、控制服务器,必需先建立木马连接;而建立木马连接,必需先知道网络中哪一台计算机中了木
马,获取到木马服务器的信息之后,即可建立木马服务器和客户端程序之间的联系通道,攻击者就可以利用客户端程序向服务器程序发送命令,达到操控用户计算机的目的。
10、简述文件型病毒和引导型病毒的工作原理。
答:磁盘引导区传染的病毒主要是用病毒的全部或部分逻辑取代正常的引导记录,而将正常的引导记录隐藏在磁盘的其他地方。由于引导区是磁盘能正常使用的先决条件,因此,这种病毒在运行的一开始(如系统启动)就能获得控制权,其传染性较大。由于在磁盘的引导区内存储着需要使用的重要信息,如果对磁盘上呗移走的正常引导记录不进行保护,则在运行过程中就会导致引导记录的破坏。
发布评论