多态病毒是改进了的加密病毒,由变化的解密头和加密的代码组成。多态病毒运行时,先执行的是解密代码,对加密代码解密,然后执行刚解密的代码,也就是实现传播的主体代码。
15、试述计算机病毒的寄生和链式感染
答:计算机病毒的寄生:是指病毒码附加在主程序上,一旦程序被执行,病毒也就被激活,编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。
计算机病毒的链式感染:病毒在感染时,完全不改动宿主程序本体,而是改动或利用与宿主程序相关的信息,将病毒程序与宿主程序链成一体。病毒必须与计算机系统内可能被执行的文件建立链接。这些被链接的文件可能是操作系统文件,可能是以各种程序设计语言编写的应用程序,也可能是应用程序所用到的数据文件(如Word文档)
16、试述一下文件型病毒的隐藏技巧
答:文件型病毒通过替换DOS或者基本输入输出系统(BIOS)的文件系统的相关调用,在打开文件的时候将文件的内容恢复成未被感染时的状态,在关闭文件的时候重新进行感染。
17、简述一下多态病毒的六个级别
答:根据病毒使用多态技术的复杂程度,多态病毒大致可以划分为6个级别:
(1)半多态 :病毒拥有一组解密算法,感染的时候从其中随机选择一种算法进行加密和感染。 (2)具有不动点的多态:病毒有一条或几条语句是不变的(把这些不变的语句叫做不动点),其他病毒指令都是可变的。
(3)带有填充物的多态:解密代码中包含一些没有实际用途的代码来干扰分析者的视线。
11
(4)算法固定的多态:解密代码所使用的算法是固定的,但是实现这个算法的指令和指令的次序是可变的。 (5)算法可变的多态:
使用了上面所有的技术,同时解密的算法也是可以部分或者全部改变的。
(6)完全多态 :算法多态,同时病毒体可以随机分布在感染文件的各个位置,但是在运行的时候能够进行拼装,并且可以正常工作。
四、计算题
病毒感染PE文件,须对该文件作哪些修改?(相关内容参考另一个附件,带补充)
(1) 给PE文件增加一个新节,病毒在添加新节时,都会将新添加的节的属性设置为可
读、可写、可执行
(2) 在新节中添加可执行的代码
(3) 修改文件头,使得入口地址指向刚添加的节
(4) 将全部节未对齐大小设置为对齐后的大小,制造不存在空洞的假象
PE病毒的感染过程:
1.判断目标文件开始的两个字节是否为“MZ”。 2.判断PE文件标记“PE”。 3.判断感染标记,如果已被感染过则跳出继续执行HOST程序,否则继续。 4.获得Directory(数据目录)的个数,(每个数据目录信息占8个字节)。 5.得到节表起始位置。(Directory的偏移地址+数据目录占用的字节数=节表起始位置) 6.得到目前最后节表的末尾偏移(紧接其后用于写入一个新的病毒节) 节表起始位置+节的个数*(每个节表占用的字节数28H)=目前最后节表的末尾偏移。 7.开始写入节表
PE病毒的基本原理。 1.病毒的重定位 2.获取API函数地址 3.搜索文件 4.内存映射文件 5.病毒感染其他文件 6.病毒返回到Host程序
关于计算机病毒,有两点需要注意:
一、最后计算题有关PE文件的,我觉得最有可能考的是地址。需要用到的知识点如下: (1)计算机病毒如何得知一个文件是不是PE文件?
答:最基本、简答的方法就是先看该文件的前两个字节是不是4D5A,如果不是,则已经说明不是PE文件,如果是,那么我们可以再DOS程序头中的偏移3CH处的四个字节找到PE字串的偏移位置(e_ifanew)。然后察看该偏移位置的四个字节是否是50\\45\\00\\00,如果不是,说明不是PE文件,如果是,那么我们认为它是一个PE文件。当然为了准确还需要再加上其它一些判断条件。
(2)实际内存地址=基地址(即ImageBase值)+相对虚地址(RVA)。
(3)节表起始位置=Directory(数据目录)的偏移地址+数据目录占用的字节数;最后节表的末尾偏移(紧接其后用于写入一个新的病毒节)=节表起始位置+节的个数*(每个节表占用的字节数)。
他可能告诉你Directory(数据目录)的偏移地址、数据目录占用的字节数、节的个数以及每个节表占用的字节数,让你计算新插入的病毒节的位置。
12
对下面几点进行补充:
关于计算机病毒,有两点需要注意:
一、最后计算题有关PE文件的,我觉得最有可能考的是地址。需要用到的知识点如下: (1)计算机病毒如何得知一个文件是不是PE文件?
答:最基本、简答的方法就是先看该文件的前两个字节是不是4D5A,如果不是,则已经说明不是PE文件,如果是,那么我们可以再DOS程序头中的偏移3CH处的四个字节找到PE字串的偏移位置(e_ifanew)。然后察看该偏移位置的四个字节是否是50\\45\\00\\00,如果不是,说明不是PE文件,如果是,那么我们认为它是一个PE文件。当然为了准确还需要再加上其它一些判断条件。
(2)实际内存地址=基地址(即ImageBase值)+相对虚地址(RVA)。
(3)节表起始位置=Directory(数据目录)的偏移地址+数据目录占用的字节数;最后节表的末尾偏移(紧接其后用于写入一个新的病毒节)=节表起始位置+节的个数*(每个节表占用的字节数)。
他可能告诉你Directory(数据目录)的偏移地址、数据目录占用的字节数、节的个数以及每个节表占用的字节数,让你计算新插入的病毒节的位置。
二、对下面几点进行补充:
(1)INT 13H调用可以完成磁盘(包括硬盘和软盘)的复位、读写、校验、定位、诊断、格式化等功能。
(2)简述一下嵌入文件的隐藏技术。(之前那道文件病毒的隐藏技巧答案是错的,给的答案是引导型病毒的隐藏技巧)
答:宏病毒的隐藏技术比引导型病毒要简单很多,只要在Word/Excel中禁止菜单:“文件”—>“模板”或者“工具”—>“宏”就可以隐藏病毒了,可以通过宏病毒代码删除菜单项,或者宏病毒用自己的File Templates和ToolsMacro宏替代体统缺省的宏。
当然,宏病毒还有其他一些隐藏技术,这在前面宏病毒一节已经有所介绍。还有一些高级的病毒隐藏技术,需要大家细细揣摩。
除了宏病毒,由于现在各种格式文件之间的交叉引用越来越多,例如在Word文档中插入恶意图片,或者将JavaScript恶意代码插入PDF文档,并在打开文档时运行中。利用这样的方式,就可以很好地隐藏恶意代码,并完成恶意行为,而不被用户感知。 (3)简述一下蠕虫的行为特征。
答:1、主动攻击;2、行踪隐藏;3、利用系统、网络应用服务漏洞;4、造成网络拥塞;5、降低系统性能;6、产生安全隐患;7、反复性;8、破坏性。
13
百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读,免费范文网,提供经典小说综合文库计算机病毒考试题型(3)在线全文阅读。
相关推荐: