计算机病毒复习

lect8-ppt补充。

自含**虚拟机（scce）

自含**虚拟机工作起来象一个真正的cpu。一条指令取自内存，由scce解码，并被传送到相应的模拟这条指令的例程，下一条指令则继续这个循环。虚拟机会包含一个例程来对内存/寄存器寻址操作数进行解码，然后还会包括一个用于模拟每个可能在cpu上执行的指令的例程集。

有限**虚拟机(lce)

有限**虚拟机有点象用于通用解密的虚拟系统所处的级别。lce实际上并非一个虚拟机，因为它并不真正的模拟指令，它只简单地跟踪一段**的寄存器内容，也许会提供一个小的被改动的内存地址表，或是调用过的中断之类的东西。选择使用lce而非更大更复杂的系统的原因，在于即使只对极少数指令的支持便可以在解密原始加密病毒的路上走很远，因为病毒仅仅使用了intel指令集的一小部分来加密其主体。

缓冲**虚拟机(bce)

缓冲**虚拟机是scce的一个缩略版，因为相对于scce它具有较小的尺寸和更快的执行速度。在bce中，一条指令是从内存中取得的，并和一个特殊指令表相比较。如果不是特殊指令，则它被进行简单的解码以求得指令的长度，随后所有这样的指令会被导入到一个可以通用地模拟所有非特殊指令的小过程中。

而特殊指令，只占整个指令集的一小部分，则在特定的小处理程序中进行模拟。

病毒习题补充。

什么是宏病毒？其运作原理如何？

答：宏病毒是一种寄存在文档或模板的宏中的计算机病毒。

宏病毒的运作原理：一旦打开感染了宏病毒的文档，其中的宏就会被执行，于是宏病毒就会被激活，转移到计算机上，并驻留在normal模板上。从此以后，所有自动保存的文档都会“感染”上这种宏病毒，而且如果其他用户打开了感染病毒的文档，宏病毒又会转移到他的计算机上。

什么是脚本病毒和wsh？二者是何关系？

答：脚本病毒通常是j**ascript**编写的恶意**，一般带有广告性质，会修改您的ie首页、修改注册表等信息，造成用户使用计算机不方便。

wsh全称“windowsscriptinghost”,是微软提供的一种基于32位windows平台的、与语言无关的脚本解释机制，它使得脚本能够直接在windows桌面或命令提示符下运行。

脚本病毒和wsh的关系：wsh是脚本病毒的执行环境。

为什么同一个病毒会有多个不同的名称？如何通过病毒的名称识别病毒的类型？

国际上对病毒命名的一般惯例为“前缀+病毒名+后缀”，即三元组命名规则。

1、系统病毒。

系统病毒的前缀为：win32、pe、win95、w32、w95等。

2、蠕虫病毒。

蠕虫病毒的前缀是：worm。

3、木马病毒、黑客病毒。

木马病毒其前缀是：trojan，黑客病毒前缀名一般为hack。

4、脚本病毒。

脚本病毒的前缀是：script。

5、宏病毒。

其实宏病毒是也是脚本病毒的一种，由于它的特殊性，因此在这里单独算成一类。宏病毒的前缀是：macro。

6、后门病毒。

后门病毒的前缀是：backdoor。

7、病毒种植程序病毒。

后门病毒的前缀是：dropper。这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下，由释放出来的新病毒产生破坏。

8．破坏性程序病毒。

破坏性程序病毒的前缀是：harm。这类病毒的公有特性是本身具有好看的图标来**用户点击，当用户点击这类病毒时，病毒便会直接对用户计算机产生破坏。

9．玩笑病毒。

玩笑病毒的前缀是：joke。

10．**机病毒。

**机病毒的前缀是：binder。

查找相关资料，试述计算机病毒发展趋势与特点。

基于windows的计算机病毒越来越多

计算机病毒向多元化发展。

新计算机病毒种类不断涌现，数量急剧增加

计算机病毒传播方式多样化，传播速度更快

计算机病毒造成的破坏日益严重。

病毒技术与黑客技术日益融合。

更多依赖网络、系统漏洞传播，攻击方式多种多样。

硬盘主引导扇区由哪几部分构成？一个硬盘最多可分几个主分区？为什么？fdisk/mbr命令是否会重写整个主引导扇区？

主引导扇区(bootsector)由主引导记录(masterbootrecord，mbr)、主分区表即磁盘分区表(diskpartitiontable，dpt)、引导扇区标记(bootrecordid/signature)三部分组成。一个硬盘最多可分为4个主分区，因为主分区表占用64个字节，记录了磁盘的基本分区信息，其被分为4个分区选项，每项16个字节，分别记录了每个主分区的信息。

dos下的exe文件病毒是如何获取控制权的？感染exe文件，需对宿主作哪些修改？

一般来说，病毒往往先于host程序获得控制权。运行win32病毒的一般流程示意如下：

用户点击或系统自动运行host程序；

装载host程序到内存；

通过pe文件中的addressofentrypoint加imagebase之和，定位第一条语句的位置(程序入口)；

从第一条语句开始执行(这时执行的其实是病毒**)；

病毒主体**执行完毕，将控制权交给host程序原来的入口**；⑥host程序继续执行。

文件型病毒有哪些感染方式？

a寄生感染：文件头部寄生文件尾部寄生插入感染逆插入感染利用空洞——零长度感染。

b无入口点感染：采用入口点模糊(entrypointobscuring，epo)技术采用tsr病毒技术c滋生感染d链式感染。

eobj、lib和源码的感染。

计算机病毒的感染过程是什么？

计算机病毒感染的过程一般有三步：(1)当宿主程序运行时，截取控制权；(2)寻找感染的突破口；

3)将病毒**放入宿主程序。

计算机病毒一般采用哪些条件作为触发条件？

病毒采用的触发条件主要有以下几种：

日期触发时间触发键盘触发。

感染触发启动触发。

访问磁盘次数/调用中断功能触发 cpu型号/主板型号触发打开或预览email附件触发。

随机触发。什么是病毒的重定位？病毒一般采用什么方法进行重定位？

回答一：重定位就是把程序的逻辑地址空间变换成内存中的实际物理地址空间的过程。

病毒不可避免也要用到变量(常量)，当病毒感染host程序后，由于其依附到不同host程序中的位置各有不同，病毒随着host载入内存后，病毒中的各个变量(常量)在内存中的位置自然也会随着发生变化。故而获取病毒变量的地址偏移值和利用该值得到病毒变量在内存中的实际地址的过程，就是病毒的重定位。

回答二：calldelta;这条语句执行之后，堆栈顶端为delta在内存中的真正地址delta:popebp;这条语句将delta在内存中的真正地址存放在ebp寄存器中……

leaeax,[ebp+(offsetvar1-offsetdelta)];这时eax中存放着var1在内存中的真实地址。

如果病毒程序中有一个变量var1，那么该变量实际在内存中的地址应该是ebp＋(offsetvar1－offsetdelta)，即参考量delta在内存中的地址＋其它变量与参考量之间的距离=其它变量在内存中的真正地址。

有时候我们也采用(ebp－offsetdelta)＋offsetvar1的形式进行变量var1的重定位。

编写程序，利用int13h实现引导区的备份与恢复。

备份：debug（回车）

a100xxxx:0100movax,201

xxxx:0103movbx,200

xxxx:0106movcx,1

xxxx:0109movdx,80

xxxx:010cint13

xxxx:010eint3

xxxx:010f

g=100rbx

bx0200:0

rcx；-d2003ff显示hex,注意标志55aa

cx0001:200wq

恢复：debug（回车）

l200a100

xxxx:0100movax,0301

xxxx:0103movbx,0200

xxxx:0106movcx,0001

xxxx:0109movdx,0080

xxxx:010cint13

xxxx:010eint3

xxxx:010f

g=100如何清除引导型病毒？

在恢复引导区之前，应清除内存中的病毒或使内存中的病毒处于灭活状态。用干净软盘引导启动系统，可以清除内存中的病毒，也可采用如下方法将内存中的病毒灭活：1.

在无毒环境下(例如用无毒的同版本系统盘启动)，用无毒的debug将中断向量表取出存在一个文件中。

2.当内存中有病毒时用上述文件覆盖中断向量表。中断向量表恢复正常，内存中通过修改向量表截流盗取中断向量的病毒将无法再激活。

病毒的清除方法比较简单，将病毒备份的扇区内容或感染前我们主动备份的引导扇区/主引导扇区内容，写入软盘引导扇区/硬盘主引导扇区即可。

pe病毒的感染过程是怎样的？如何判断一个文件是否感染了pe病毒(如immunity)？针。

对你的判断依据，采用何种手段可以更好地隐藏pe病毒？编程修复被immunity感染的host_文件。

pe病毒的感染过程。

1．判断目标文件开始的两个字节是否为“mz”。

2．判断pe文件标记“pe”。

3．判断感染标记，如果已被感染过则跳出继续执行host程序，否则继续。

4．获得directory（数据目录）的个数，（每个数据目录信息占8个字节）。

5．得到节表起始位置。(directory的偏移地址+数据目录占用的字节数=节表起始位置)

6．得到目前最后节表的末尾偏移（紧接其后用于写入一个新的病毒节）

节表起始位置+节的个数*(每个节表占用的字节数28h)=目前最后节表的末尾偏移。

计算机病毒复习

计算机病毒与网络安全

计算机网络安全与计算机病毒防范研究

计算机复习

其他用户还读了