篇一:《计算机病毒》复习思考题及答案
《计算机病毒》复习思考题
第一章 计算机病毒概述
1. 简述计算机病毒的定义和特征。
计算机病毒(Computer Virus),是一种人为制造的、能够进行自我复制的、具有对计算机资源进行破坏作用的一组程序或指令集合。
计算机病毒的可执行性(程序性)、传染性、非授权性、隐蔽性、潜伏性、可触发性、破坏性、攻击的主动性、针对性、衍生性、寄生性(依附性)、不可预见性、诱惑欺骗性、持久性。
2. 计算机病毒有哪些分类方法?根据每种分类方法,试举出一到两个病毒。
3. 为什么同一个病毒会有多个不同的名称?如何通过病毒的名称识别病毒的类型? 国际上对病毒命名的一般惯例为“前缀+病毒名+后缀”,即三元组命名规则。
1、系统病毒
系统病毒的前缀为:Win32、PE、Win95、W32、W95等。
2、蠕虫病毒
蠕虫病毒的前缀是:Worm。
3、木马病毒、黑客病毒
木马病毒其前缀是:Trojan,黑客病毒前缀名一般为 Hack 。
4、脚本病毒
脚本病毒的前缀是:Script。
5、宏病毒
其实宏病毒是也是脚本病毒的一种,由于它的特殊性,因此在这里单独算成一类。宏病毒的前缀是:Macro。
6、后门病毒
后门病毒的前缀是:Backdoor。
7、病毒种植程序病毒
后门病毒的前缀是:Dropper。这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下,由释放出来的新病毒产生破坏。
8.破坏性程序病毒
破坏性程序病毒的前缀是:Harm。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒便会直接对用户计算机产生破坏。
9.玩笑病毒
玩笑病毒的前缀是:Joke。
10.捆绑机病毒
捆绑机病毒的前缀是:Binder。
4. 简述计算机病毒产生的背景。
5. 计算机病毒有哪些传播途径?
传播途径有两种,一种是通过网络传播,一种是通过硬件设备传播(软盘、U盘、光盘、硬盘、存储卡等)。
网络传播,又分为因特网传播和局域网传播两种。
硬件设备传播:通过不可移动的计算机硬件设备传播、通过移动存储设备传播、通过无线设备传播。
6. 试比较与计算机病毒症状相似的软件故障。
7. 试比较与计算机病毒症状相似的硬件故障。
8. 计算机病毒为什么是可以防治、可以清除的?
9. 分析“新欢乐时光”病毒的源代码及其特性,结合三元组中病毒名命名优先级,分析各杀毒软件商对该病毒存在不同命名的原因。
? 查找相关资料,试述计算机病毒发展趋势与特点。
? 基于Windows的计算机病毒越来越多
? 计算机病毒向多元化发展
? 新计算机病毒种类不断涌现,数量急剧增加
? 计算机病毒传播方式多样化,传播速度更快
? 计算机病毒造成的破坏日益严重
? 病毒技术与黑客技术日益融合
? 更多依赖网络、系统漏洞传播,攻击方式多种多样
? 研究计算机病毒有哪些基本原则?搭建病毒分析的环境有哪些方法?
回答一:“八字原则”——自尊自爱、自强自律
自尊
尊重自己的人格,不做违法、违纪的事
自爱
爱惜自己的“知识储备”,不随便“发挥自己的聪明才智”,自己对自己负责
自强
刻苦钻研,努力提高防毒、杀毒水平
自律
严以律己、宽以待人,不以任何理由为借口而“放毒”
回答二:可在虚拟环境下进行,比如在VirtualBox 、VMware环境下安装操作系统作为测试研究病毒的环境。
可使用影子系统,在全模式下进行试验。
可在使用硬盘保护卡的环境下进行试验。
可以使用RAMOS(内存操作系统)作为测试研究病毒的环境。
第2章 预备知识
1. 硬盘主引导扇区由哪几部分构成?一个硬盘最多可分几个主分区?为什么?Fdisk/mbr命令是否会重写整个主引导扇区?
主引导扇区(Boot Sector)由主引导记录(Master Boot Record,MBR)、主分区表即磁盘分区表(Disk Partition Table,DPT)、引导扇区标记(Boot Record ID/Signature)三部分组成。 一个硬盘最多可分为4个主分区,因为主分区表占用64个字节,记录了磁盘的基本分区信息,其被分为4个分区选项,每项16个字节,分别记录了每个主分区的信息。
2.低级格式化、高级格式化的功能与作用是什么?高级格式化(FORMAT)能否清除任何计算机病毒?为什么?
回答一:低级格式化的主要目的是将盘面划分成磁道、扇区和柱面。
高级格式化的目的是在分区内建立分区引导记录DBR(DOS Boot Record)、文件分配表FAT(File Allocation Table)、文件目录表FDT(File Directory Table)和数据区DATA。
回答二:如果主引导区感染了病毒,用格式化程序FORMAT不能清除该病毒(BR病毒可以用FORMAT清除)。
3. DOS下的EXE文件病毒是如何获取控制权的?感染EXE文件,需对宿主作哪些修改?
一般来说,病毒往往先于HOST程序获得控制权。运行Win32病毒的一般流程示意如下: ①用户点击或系统自动运行HOST程序;
②装载HOST程序到内存;
③通过PE文件中的AddressOfEntryPoint加ImageBase之和,定位第一条语句的位置(程序入口);
④从第一条语句开始执行(这时执行的其实是病毒代码);
⑤病毒主体代码执行完毕,将控制权交给HOST程序原来的入口代码;
⑥HOST程序继续执行。
4. 针对PE文件格式,请思考:Win32病毒感染PE文件,须对该文件作哪些修改?
5.简介有哪些常用的磁盘编辑软件、分区软件。
FDISK、DiskGenius、PartitionMagic、Acronis Disk Director
6.简述Windows XP的启动过程。
在基于Intel的计算机上,Windows 2000/XP的启动过程大致可分为8个步骤:
1.预启动
计算机加电自检,读取硬盘的MBR、执行NTLDR(操作系统加载器)文件
2.进行初始化
NTLDR将处理器从实模式转换为32位保护模式
3.读取BOOT.INI文件
BOOT.INI文件其作用是使系统在启动过程中出现选择菜单,由用户选择希望启动的操作系统,若只有一个操作系统则不显示
4.加载NTDETECT.COM文件
由NTDETECT.COM来检测计算机硬件,如并行端口、显示适配器等,并将收集到的硬件列表返回NTLDR用于以后在注册表中注册保存
5.选择硬件配置文件
如果Windows 2000/XP有多个硬件配置文件,此时会出现选择菜单,等待用户确定要使用的硬件配置文件,否则直接跳过此步,启用默认配置
6.装载内核
引导过程装载Windows 2000/XP内核NtOsKrnl.EXE。随后,硬件抽象层(HAL)被引导进程加载,完成本步骤
7.初始化内核
内核完成初始化,NTLDR将控制权转交Windows 2000/XP内核,后者开始装载并初始化设备驱动程序,并启动Win32子系统和Windows 2000/XP服务
8.用户登录
由Win32子系统启动WinLogon.EXE,并由它启动Local Security Authority (LSASS.EXE)显示登录对话框。用户登录后,Windows 2000/XP会继续配置网络设备、用户环境,并进行个性化设置。最后,伴随着微软之声和我们熟悉的个性化桌面,Windows 2000/XP启动过程完成
7、简述Windows 7的启动过程。
1、开启电源——
计算机系统将进行加电自检(POST)。如果通过,之后BIOS会读取主引导记录(MBR)——被标记为启动设备的硬盘的首扇区,并传送被Windows 7建立的控制编码给MBR。 ——这时,Windows接管启动过程。接下来:
MBR读取引导扇区-活动分区的第一扇区。此扇区包含用以启动Windows启动管理器(Windows Boot Manager)程序Bootmgr exe的代码。
2、启动菜单生成——
Windows启动管理器读取“启动配置数据存储(Boot Confi guration Data store)中的信息。此信息包含已被安装在计算机上的所有操作系统的配置信息。并且用以生成启动菜单。
3、当您在启动菜单中选择下列动作时:
<1> 如果您选择的是Windows 7(或Windows Vista),Windows 启动管理器(Windows Boot Manager)运行%SystemRoot%\System32文件夹中的OS loader——Winload.exe。
<2> 如果您选择的是自休眠状态恢复Windows 7 或 Vista,那么启动管理器将装载Wiesume.exe并恢复您先前的使用环境。
<3> 如果您在启动菜单中选择的是早期的Windows版本,启动管理器将定位系统安装所在的卷,并且加载Windows NT风格的早期OS loader(Ntldr.exe)——生成一个由boot.ini内容决定的启动菜单。
4、核心文件加载及登录
Windows7启动时,加载其核心文件 Ntoskrnl.exe和hal.dll——从注册表中读取设置并加载驱动程序。接下来将运行Windows会话管理器(smss.exe)并且启动 Windows启动程序(Wininit exe),本地安全验证(Lsass.exe)与服务(services.exe)进程,完成后,您就可以登录您的系统了。
5、登陆后的开机加载项目
第3章 计算机病毒的逻辑结构与基本机制
1. 计算机病毒在任何情况下都具有感染力或破坏力吗?为什么?
不是,因为计算机病毒在传播过程中存在两种状态,即静态和动态。
a.静态病毒,是指存在于辅助存储介质中的计算机病毒,一般不能执行病毒的破坏或表现功能,其传播只能通过文件下载(拷贝)实现。
b.病毒完成初始引导,进入内存后,便处于动态。动态病毒本身处于运行状态,通过截流盗用系统中断等方式监视系统运行状态或窃取系统控制权。病毒的主动传染和破坏作用,都是动态病毒的“杰作”
c.内存中的病毒还有一种较为特殊的状态——失活态,它的出现一般是由于用户对病毒的干预(用杀毒软件或手工方法),用户把中断向量表恢复成正确值,处于失活态的病毒不可能进行传染或破坏
综上所述,计算机病毒只有处于动态才具有感染力或破坏力。故计算机病毒不是在任何情况下都具有感染力或破坏力
2. 文件型病毒有哪些感染方式?
a寄生感染: 文件头部寄生 文件尾部寄生 插入感染 逆插入感染 利用空洞——零长度感染
b无入口点感染: 采用入口点模糊(Entry Point Obscuring,EPO)技术 采用TSR病毒技术 c 滋生感染
d链式感染
e OBJ、LIB和源码的感染
3.计算机病毒的感染过程是什么?
计算机病毒感染的过程一般有三步:
(1)当宿主程序运行时,截取控制权;
(2)寻找感染的突破口;
(3)将病毒代码放入宿主程序
4.结合病毒的不同感染方式,思考该病毒相应的引导机制。(老师给的)
(1)驻留内存
病毒若要发挥其破坏作用,一般要驻留内存。为此就必须开 辟所用内存空间或覆盖系统占用的部分内存空间。有的病毒不驻 留内存。
(2)窃取系统控制权
在病毒程序驻留内存后,必须使有关部分取代或扩充系统的 原有功能,并窃取系统的控制权。此后病毒程序依据其设计思想 ,隐蔽自己,等待时机,在条件成熟时,再进行传染和破坏。
(3)恢复系统功能
病毒为隐蔽自己,驻留内存后还要恢复系统,使系统不会死 机,只有这样才能等待时机成熟后,进行感染和破坏的目的。 有的病毒在加载之前进行动态反跟踪和病毒体解密。
4.计算机病毒一般采用哪些条件作为触发条件?
病毒采用的触发条件主要有以下几种:
? 日期触发
? 时间触发
? 键盘触发
? 感染触发
? 启动触发
? 访问磁盘次数/调用中断功能触发
? CPU型号/主板型号触发
? 打开或预览Email附件触发
? 随机触发
5.一个病毒,试分析其感染机制、触发机制和破坏机制。
感染机制:
A计算机病毒实施感染的过程基本可分为两大类
a.立即传染
病毒在被执行到的瞬间,抢在宿主程序开始执行前,立即感染磁盘上的其他程序,然后再执行宿主程序
b.驻留内存并伺机传染
内存中的病毒检查当前系统环境,在执行一个程序或DIR等操作时感染磁盘上的程序,驻留在系统内存中的病毒程序在宿主程序运行结束后,仍可活动,直至关闭计算机 总之,计算机病毒感染的过程一般有三步:
(1)当宿主程序运行时,截取控制权;
(2)寻找感染的突破口;
(3)将病毒代码放入宿主程序
篇二:计算机病毒课后题
第一章计算机病毒概述
1、什么是计算机病毒?计算机病毒包括哪几类程序?
答编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码被称为计算机病毒(Computer Virus)。具有破坏性,复制性和传染性。
(一)文件类病毒。该病毒在操作系统执行文件时取得控制权并把自己依附在可执行文件上,然后利用这些指令来调用附在文件中某处的病毒代码。当文件执行时,病毒会调出自己的代码来执行,接着又返回到正常的执行序列。通常,这些病毒发作迅速且隐蔽性强,以至于用户并不知道病毒代码已被执行。
(二)引导扇区病毒。它会潜伏在硬盘的引导扇区或主引导记录中。触发引导区病毒的典型事件是系统日期和时间被篡改。
(三)多裂变病毒。多裂变病毒是文件和引导扇区病毒的混合,它能感染可执行文件,从而能在网上迅速传播蔓延。
(四)隐蔽病毒。这种病毒通过挂接中断修改和隐藏真面目,具有很大的欺骗性。因此,当某系统函数被调用时,这些病毒便“伪造”结果,使一切看起来正常。秘密病毒摧毁文件的方式是伪造文件大小和日期,隐藏对引导区的修改,而且使大多数操作重定向。
(五)异形病毒。这是一种能变异的病毒,随着感染时间的不同,改变其不同的形式。不同的感染操作会使病毒在文件中以不同的方式出现,使传统的模式匹配法失效。
(六)宏病毒。宏病毒不只是感染可执行文件,还可感染一般应用软件程序。它会影响系统的性能以及用户的工作效率。宏病毒是利用宏语言编写的,不面向操作系统,所以它不受操作平台的约束,可以在DOS、Win-dows,Unix、Mac甚至在0S/2系统中传播。宏病毒能被传到任何可运行编写宏病毒应用程序的机器中。现在随着E-mail、WWW等强大的互联能力及宏语言的进一步强化,极大地增强了它的传播力。
2 、计算机病毒的发展可以大致划分为几个过程?每个过程的特点?
答DOS引导阶段一般需要通过软盘启动后使用.引导型病毒利用软盘的启动原理工作,它们修改系统启动扇区,在计算机启动时首先取得控制权,减少系统内存,修改磁盘读写中断,影响系统工作效率,在系统存取磁盘时进行传播。 1989年,引导型病毒发展为可以感染硬盘,典型的代表有“石头2”。我国最早出现的计算机病毒是1988年在财政部的计算机上发现的。
DOS可执行阶段 1989年,可执行文件型病毒出现,它们利用DOS系统加载执行文件的机制工作,代表为“耶路撒冷”、“星期天”病毒。病毒代码在系统执行文件时取得控制权,修改DOS中断,在系统调用时进行传染,并将自己附加在可执行文件中,使文件长度增加。 1990年,发展为复合型病毒,可感染COM和EXE文件。伴随批次阶段 1992年,伴随型病毒出现,它们利用DOS加载文件的优先顺序进行工作,具有代表性的是“金蝉”病毒,它感染EXE文件时生成一个和EXE同名但扩展名为COM的伴随体;它感染文件时,改原来的COM文件为同名的EXE文件,再产生一个原名的伴随体,文件扩展名为COM,这样,在DOS加载文件时,病毒就取得控制权.这类病毒的特点是不改变原来的文件内容,日期及属性,解除病毒时只要将其伴随体删除即可。在非DOS操作系统中,一些伴随型病毒利用操作系统的描述语言进行工作,具有典型代表的是“海盗旗”病毒,它在得到执行时,询问用户名称和口令,然后返回一个出错信息,将自身删除。批次型病毒是工作在DOS下的和“海盗旗”病毒类似的一类病毒。
3、计算机病毒特征
答 1)寄生性:计算机病毒寄生在其他程序之中,当执行这个程序时,病毒就起破坏作用,而在未启动这个程序之前,它是不易被人发觉的。(2)传染性:计算机病毒不但本身具有破
坏性,更有害的是具有传染性,一旦病毒被复制或产生变种,其速度之快令人难以预防。(3)潜伏性有些病毒像定时炸弹一样,让它什么时间发作是预先设计好的。比如黑色星期五病毒,不到预定时间一点都觉察不出来,等到条件具备的时候一下子就爆炸开来,对系统进行破坏。
(4)隐蔽性计算机病毒具有很强的隐蔽性,有的可以通过病毒软件检查出来,有的根本就查不出来,有的时隐时现、变化无常,这类病毒处理起来通常很困难。(5)破坏性计算机中毒后,可能会导致正常的程序无法运行,把计算机内的文件删除或受到不同程度的损坏
4、根据寄生的数据存储方式,计算机病毒可以划分为哪三个类型
按寄生方式分为引导型、文件型和复合型病毒
<1>引导型病毒又称操作系统型病毒,其病毒隐藏在操作系统的引导区,在系统启动时进入内存,监视系统运行,待机传染和破坏。常见的有“大麻”,“小球”和“火炬”病毒等。
<2>文件型病毒是寄生在文件中的计算机病毒,这种病毒感染可执行文件或数据文件。常见的有“CIH”,“DIR-2”等。影响Word文档(.doc)和Excle工作簿(.xls)进行打开、存储、关闭和清除等操作的宏病毒也是一种文件型病毒,它目前占全部病毒的80%,是病毒历史上发展最快的病毒。
<3>复合型病毒同时具有引导型和文件型病毒寄生方式的计算机病毒。它既感染磁盘的引导区又感染可执行文件。常见的有“Filp”,“One-half”等病毒.
第二章 Windows文件型病毒
1、简述文件型病毒的特点
文件型病毒是主要感染可执行文件的病毒,它通常隐藏在宿主程序中,执行宿主程序时,将会先执行病毒程序再执行宿主程序。传播方式当宿主程序运行时,病毒程序首先运行,然后驻留在内存中,再伺机感染其它的可执行程序,达到传播的目的。感染对象扩展名是COM或者EXE的文件是文件型病毒感染的主要对象。
2、PE文件中的引入表和引出表的作用有哪些?
加载器首先要知道所加载的程序调用了哪些DLL的哪些函数,然后找出这些函数的地址,把他们添入到.idata的那些DWORD 之中。那么加载器如何知道所加载的程序调用了哪些DLL的哪些函数,这就是Import Table的作用;加载器又是如何找出这些函数的地址呢,这又是Export Table的作用。寻找引入函数的真实地址,那么去哪里找呢?当PE装载器执行一个程序,它将相关DLL都装入该进程的地址空间。然后根据主程序的引入函数信息,查找相关DLL中的真实函数地址来修正主程序。PE装载器搜寻的是DLL中的引出函数,这些引出函数的信息正是放在Exprot Table(引出表)中。
3、如何校验指定文件是否为一个有效的 PE文件/?1. 首先检验文件头部第一个字的值是否等于 IMAGE_DOS_SIGNATURE,是则 DOS MZ header 有效。 2. 一旦证明文件的 DOS header 有效后,就可用e_lfanew来定位 PE header 了。 3. 比较 PE header 的第一个字的值是否等于 IMAGE_NT_HEADER。如果前后两个值都匹配,那我们就认为该文件是一个有效的PE文件。 4、Windows系统使用了几级代码保护?操作系统代码和驱动程序代码运行在那个级别?两级、Ring 0级
第三章木马病毒分析略第四章蠕虫病毒分析略
第五章其他恶意代码分析
1、脚本病毒的传播方式有哪几种
通过E-mail附件、通过局域网共享、通过感染.htm、。Asp、。Jsp、.php等网页文件传播、通过IRC聊天通道传播。
2、注册表中的5个主要键项是什么 HKEY-CLASSES-ROOT HKEY-CURRENT-USER HKEY-LOCAL-MACHINE HKEY-USERS HKEY-CURRENT-CONFIG
3、简述脚本病毒的特点
编写简单:一个以前对病毒一无所知的病毒爱好者可以在很短的时间里编出一个新型病毒来。破坏力大:其破坏力不仅表现在对用户系统文件及性能的破坏。他还可以使邮件服务器崩溃,网络发生严重阻塞。感染力强:由于脚本是直接解释执行,并且它不需要像PE病毒那样,需要做复杂的PE文件格式处理,因此这类病毒可以直接通过自我复制的方式感染其他同类文件,并且自我的异常处理变得非常容易。传播范围大:这类病毒通过htm文档,Email附件或其它方式,可以在很短时间内传遍世界各地。病毒源码容易被获取变种多由于VBS病毒解释执行,其源代码可读性非常强,即使病毒源码经过加密处理后,其源代码的获取还是比较简单。因此,这类病毒变种比较多,稍微改变一下病毒的结构,或者修改一下特征值,很多杀毒软件可能就无能为力。欺骗性强
1. 简述计算机病毒的定义和特征。计算机病毒(Computer Virus),是一种人为制造的、能够进行自我复制的、具有对计算机资源进行破坏作用的一组程序或指令集合。计算机病毒的可执行性(程序性)、传染性、非授权性、隐蔽性、潜伏性、可触发性、破坏性、攻击的主动性、针对性、衍生性、寄生性(依附性)、不可预见性、诱惑欺骗性、持久性。
2. 计算机病毒有哪些分类方法?根据每种分类方法,试举出一到两个病毒。\
3. 为什么同一个病毒会有多个不同的名称?如何通过病毒的名称识别病毒的类型?国际上对病毒命名的一般惯例为“前缀+病毒名+后缀”,即三元组命名规则。
1、系统病毒系统病毒的前缀为:Win32、PE、Win95、W32、W95等。 2、蠕虫病毒蠕虫病毒的前缀是:Worm。 3、木马病毒、黑客病毒木马病毒其前缀是:Trojan,黑客病毒前缀名一般为 Hack 。 4、脚本病毒脚本病毒的前缀是:Script。 5、宏病毒其实宏病毒是也是脚本病毒的一种,由于它的特殊性,因此在这里单独算成一类。宏病毒的前缀是:Macro。
6、后门病毒后门病毒的前缀是:Backdoor。 7、病毒种植程序病毒后门病毒的前缀是:Dropper。这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下,由释放出来的新病毒产生破坏。 8.破坏性程序病毒破坏性程序病毒的前缀是:Harm。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒便会直接对用户计算机产生破坏。 9.玩笑病毒玩笑病毒的前缀是:Joke。 10.捆绑机病毒捆绑机病毒的前缀是:Binder。
4. 简述计算机病毒产生的背景。 5. 计算机病毒有哪些传播途径?传播途径有两种,一种是通过网络传播,一种是通过硬件设备传播(软盘、U盘、光盘、硬盘、存储卡等)。网络传播,又分为因特网传播和局域网传播两种。
硬件设备传播:通过不可移动的计算机硬件设备传播、通过移动存储设备传播、通过无线设备传播。 6. 试比较与计算机病毒症状相似的软件故障。 7. 试比较与计算机病毒症状相似的硬件故障。 8. 计算机病毒为什么是可以防治、可以清除的? 9. 分析“新欢乐时光”病毒的源代码及其特性,结合三元组中病毒名命名优先级,分析各杀毒软件商对该病毒存在不同命名的原因。
? 查找相关资料,试述计算机病毒发展趋势与特点。?基 于Windows的计算机病毒越来越多? 计算机病毒向多元化发展?新 计算机病毒种类不断涌现,数量急剧增加? 计算机病毒传播方式多样化,传播速度更快? 计算机病毒造成的破坏日益严重?病 毒技术与黑客技术日益融合? 更多依赖网络、系统漏洞传播,攻击方式多种多样
篇三:病毒 (1)
计算机病毒
大家经常听说计算机中病毒了,那么计算机病毒到底是什么?是怎么使计算机中病毒的我们就来了解一下。
一、病毒种类:
计算机病毒有十几种,系统病毒、蠕虫病毒 、木马病毒黑客病毒脚本病毒 宏病毒后门病毒病毒种植程序病毒破坏性程序病毒玩笑病毒 捆绑机病毒
1、系统病毒
系统病毒的前缀为:Win32、PE、Win95、W32、W95等。这些病毒的一般公有的特性是可以感染windows操作系统的 *.exe 和 *.dll 文件,并通过这些文件进行传播。如CIH病毒。
2、蠕虫病毒
蠕虫病毒的前缀是:Worm。这种病毒的公有特性是通过网络或者系统漏洞进行传播,很大部分的蠕虫病毒都有向外发送带毒邮件,阻塞网络的特性。比如冲击波(阻塞网络),小邮差(发带毒邮件) 等。
3、木马病毒、黑客病毒
木马病毒其前缀是:Trojan,黑客病毒前缀名一般为 Hack 。木马病毒的公有特性是通过网络或者系统漏洞进入用户的
系统并隐藏,然后向外界泄露用户的信息,而黑客病毒则有一个可视的界面,能对用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的,即木马病毒负责侵入用户的电脑,而黑客病毒则会通过该木马病毒来进行控制。现在这两种类型都越来越趋向于整合了。一般的木马如QQ消息尾巴木马 Trojan.QQ3344 ,还有大家可能遇见比较多的针对网络游戏的木马病毒如 Trojan.LMir.PSW.60 。这里补充一点,病毒名中有PSW或者什么PWD之类的一般都表示这个病毒有盗取密码的功能(这些字母一般都为“密码”的英文“password”的缩写)一些黑客程序如:网络枭雄
(Hack.Nether.Client)等。
4、脚本病毒
脚本病毒的前缀是:Script。脚本病毒的公有特性是使用脚本语言编写,通过网页进行的传播的病毒,如红色代码(Script.Redlof)——可不是我们的老大代码兄哦 ^_^。脚本病毒还会有如下前缀:VBS、JS(表明是何种脚本编写的),如欢乐时光(VBS.Happytime)、十四日(Js.Fortnight.c.s)等。
5、宏病毒
其实宏病毒是也是脚本病毒的一种,由于它的特殊性,因此在这里单独算成一类。宏病毒的前缀是:Macro,第二前缀是:Word、Word97、Excel、Excel97(也许还有别的)其中
之一。凡是只感染WORD97及以前版本WORD文档的病毒采用Word97做为第二前缀,格式是:Macro.Word97;凡是只感染WORD97以后版本WORD文档的病毒采用Word做为第二前缀,格式是:Macro.Word;凡是只感染EXCEL97及以前版本EXCEL文档的病毒采用Excel97做为第二前缀,格式是:Macro.Excel97;凡是只感染EXCEL97以后版本EXCEL文档的病毒采用Excel做为第二前缀,格式是:Macro.Excel,依此类推。该类病毒的公有特性是能感染
OFFICE系列文档,然后通过OFFICE通用模板进行传播,如:著名的美丽莎(Macro.Melissa)。
6、后门病毒
后门病毒的前缀是:Backdoor。该类病毒的公有特性是通过网络传播,给系统开后门,给用户电脑带来安全隐患。如54很多朋友遇到过的IRC后门Backdoor.IRCBot 。
7、病毒种植程序病毒
这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下,由释放出来的新病毒产生破坏。如:冰河播种者(Dropper.BingHe2.2C)、MSN射手
(Dropper.Worm.Smibag)等。
8.破坏性程序病毒
破坏性程序病毒的前缀是:Harm。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒
时,病毒便会直接对用户计算机产生破坏。如:格式化C盘(Harm.formatC.f)、杀手命令(Harm.Command.Killer)等。
9.玩笑病毒
玩笑病毒的前缀是:Joke。也称恶作剧病毒。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒会做出各种破坏操作来吓唬用户,其实病毒并没有对用户电脑进行任何破坏。如:女鬼
(Joke.Girlghost)病毒:这个女鬼病毒是用VB语言写的,需要一个VB的动态链接库,有些用户系统上可能没有这个文件,病毒因此就无法被激活。该女鬼病毒在感染用户系统后,会不定时的在电脑上出现恐怖的女鬼,并伴有阴森恐怖的鬼哭狼嚎的声音。女鬼每次出现大约停留30秒钟,低垂着脑袋,披头散发,两眼还射出红光,加上阴森的恐怖之声,使人在夜间开电脑时,不禁毛骨悚然,吓到腿软。
10.捆绑机病毒
捆绑机病毒的前缀是:Binder。这类病毒的公有特性是病毒作者会使用特定的捆绑程序将病毒与一些应用程序如QQ、IE捆绑起来,表面上看是一个正常的文件,当用户运行这些捆绑病毒时,会表面上运行这些应用程序,然后隐藏运行捆绑在一起的病毒,从而给用户造成危害。如:捆绑QQ(Binder.QQPass.QQBin)、系统杀手(Binder.killsys)等
二、病毒定义: 计算机病毒(Computer Virus)是编制者在计算机程序中插入的破坏计算机功能或者数据的代码,能影响计算机使用,能自我复制的一组计算机指令或者程序代码。
三、病毒特点:
计算机病毒具有传播性、隐蔽性、感染性、潜伏性、可激发性、表现性或破坏性。计算机病毒的生命周期:开发期
《捆绑机病毒传播途径》
由:免费论文网互联网用户整理提供,链接地址:
http://m.csmayi.cn/meiwen/35680.html
转载请保留,谢谢!
- 上一篇:清明节广东周边游
- 下一篇:广西动物卫生监督网