第7 章 计算机病毒与恶意代码

一、识记

1、计算机病毒的定义

答：计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影 响计算机使用，并能自我复制的一组计算机指令或者程序代码。

2、计算机病毒的主要危害

**答：①直接破坏计算机数据信息；②占用磁盘空间和对信息的破坏；③抢占系统资源； ④影响计算机运行速度；⑤计算机病毒错误与不可预见的危害；⑥计算机病毒的兼容性对系 统运行的影响；⑦给用户造成严重的心理压力。

3、计算机病毒的防范手段**

答：①特征代码法；②检验和法；③行为监测法；④软件模拟法。

4、恶意代码的特征与分类

答：①恶意的目的；②本身是程序；③通过执行发生作用。

5、恶意代码的防范措施

答：①及时更新系统，修补安全漏洞；②设置安全策略，限制脚本程序的运行；③启用 防火墙，过滤不必要的服务和系统信息；④养成良好的上 习惯。

二、领会

1、计算机病毒的特征

答：根据计算机病毒的产生、传染和破坏行为的分析，计算机病毒一般具有以下特征： ①非授权可执行性；②隐蔽性；③传染性；④潜伏性；⑤表现性或破坏性；⑥可触发性。

2、计算机病毒的分类

答：计算机病毒的分类有：（1）按照病毒攻击的系统分类 ①攻击DOS 系统的病毒；②攻击Windows 系统的病毒；③攻击UNIX 系统的病毒； ④攻击OS/2 系统的病毒。 （2）按照病毒的攻击机型分类 ①攻击微型计算机的病毒；②攻击小型机的计算机病毒；③攻击工作站的计算机病 毒。 （3）按照病毒的链接方式分类 ①源码型病毒；②嵌入型病毒；③外壳型病毒；④操作系统型病毒。 （4）按照病毒的破坏情况分类 ①良性计算机病毒；②恶性计算机病毒。 （5）按照病毒的寄生方式分类 ①引导型病毒；②文件型病毒；③复合型病毒。 （6）按照病毒的传播媒介分类 ①单机病毒；② 络病毒。

3、常用计算机病毒检测手段的基本原理

答：（1）特征代码法。实现步骤：①采集已知病毒样本；②在病毒样本中，抽取特征代 码。③打开被检测文件，在文件中搜索，检查文件中是否有病毒数据库中的病毒特征代码。 特征代码法的特点：①速度慢；②误 警率低；③不能检查多形性病毒；④不能对付隐 蔽性病毒。 （2）检验和法。将正常文件的内容，计算其校验和，将该检验和写入文件中或写入别的 文件中保存。在文件使用过程中，定期地或每次使用前，检查文件现在内容算出的校验和与 原来保存的校验和是否一致，因而可以发现文件是否感染，这种方法称为校验和法，这既可 以发现已知病毒，又可以发现未知病毒。 （3）行为监测法。利用病毒特有行为特征来监测病毒的方法，称为行为监测法。通过对 病毒多年的观察、研究，有一些行为是病毒的共同行为，而且比较特殊。在正常程序中，这 些行为比较罕见。当程序运行时，监视其行为，如果发现了病毒行为，立即 警。 （4）软件模拟法。多态性病毒每次感染都变化其病毒密码，对付这种病毒，特征代码法 失效。因为多态性病毒代码实施密码化，而且每次所用密钥不同，把染毒的病毒代码相互比 较，也无法找出相同的可能用为特征的稳定代码。虽然行为检测法可以检测多态性病毒，但 是在检测出病毒后，因为不知道病毒的种类，难于进行消毒处理。 软件模拟法可以检测多态性病毒，这是一种软件分析器，用软件方法来模拟和分析程序 的运行。新型检测工具纳入了软件模拟法，该类工具开始运行时，使用特征代码法检测病毒， 如果发现隐蔽病毒或多态性病毒嫌疑时，启动软件模拟模块，监视病毒的运行，待病毒自身 的密码译码后，再运行特征代码法来识别病毒的种类。

4、恶意代码的关键技术

答：恶意代码的主要关键技术有： ①生存技术。主要包括 4 个方面：反跟踪技术、加密技术、模糊变换技术和自动生产技 术。 ②攻击技术。常见攻击技术包括：进程注入技术、三线程技术、端口复用技术、对抗检 测技术、端口反向连接技术和缓冲区溢出攻击技术等。 ③隐藏技术。隐藏技术通常包括本地隐藏和通信隐藏。本地隐藏主要有文件隐藏、进程 隐藏、 络连接隐藏和内核模块隐藏等；通信隐藏主要包括通信内容隐藏和传输通道隐藏。

文章知识点与官方知识档案匹配，可进一步学习相关知识 络技能树认识身边的计算机 络常见的 络设备22379 人正在系统学习中