《计算机病毒与恶意代码》期末重点总结

💡 期末考试重点复习与押题（自用）

💡 题目为老师提到的重点，内容为教材上对应的知识点。

一、重点复习

1.恶意代码的共同特征

1. 目的性——基本特征
2. 传播性
3. 破坏性——表现手段

2.命名规则

（1）家族名（2）组名（3）大变种 （4）小变种 （5）修改者

3.蠕虫的工作方式⭐⭐⭐

（1）随机产生一个IP地址。

（2）判断对应此IP地址的计算机是否可被感染。

（3）如果可被感染，则感染之。

（4）重复上述三步m次，m为蠕虫产生的繁殖副本数量。

4."四模型"理论

（1）基本隔离模型——取消信息共享

（2）分隔模型

（3）流模型

（4）限制解释模型

5.计算机病毒的组成

（1）引导模块 （2）感染模块 （3）破坏模块 （4）触发模块

两个状态：静态和动态

5.1引导模块

引导过程：

（1）驻留在内存中（准备）

（2）窃取系统控制权（等待）

（3）恢复系统功能（隐蔽）

5.2感染模块

• 主动传染
• 被动传染

5.3破坏模块

5.4触发模块

• 日期触发
• 时间触发
• 键盘触发
• 感染触发
• 启动触发
• CPU型号/主板型号触发

6.如何感染其他文件⭐⭐⭐

1. 判断目标文件开始的两个字节是否为MZ
2. 判断PE文件标记PE
3. 判断感染标记，如果已被感染过则跳出，继续执行宿主文件，否则继续
4. 获得数据目录的个数
5. 得到节表起始位置
6. 得到节表的末尾偏移
7. 开始写入节表
8. 在新添加的节中写入病毒代码
9. 将当前文件位置设为文件末尾

7.Ring3到Ring0的简述

Windows操作系统运行在保护模式，保护模式将指令执行分为4个特权级，分别是：

Ring0、Ring1、Ring2、Ring3

Ring0级别更高，可以执行特权指令（OS使用）；Ring3级别最低，应用程序使用。

8.宏病毒

8.1概念

宏病毒是一种寄存在文档或模板中的宏的计算机病毒。一旦打开这样的文档，其中的宏就会被执行，于是宏病毒就会被激活，转移到计算机上，并且驻留在Normal模板上。

宏病毒只感染文档文件，不感染EXE文件和COM文件，也不需要通过引导区传播。

8.2特点

1. 传播极快
2. 制作方便，变种多
3. 破坏可能性极大
4. 多平台交互感染
5. 地域性问题
6. 版本问题

8.3经典例子

• 美丽莎
• 台湾NO.1B
• O97M. Tristate. C

9.Linux病毒分类

• Shell恶意脚本
• 蠕虫
• 基于欺骗库函数恶意代码
• 与平台兼容的恶意代码

10.ELF格式文件感染原理

10.1无关ELF格式的感染方法——简单感染

• 覆盖式感染

强行覆盖程序的某一部分，将自身代码嵌入其中，以达到不改变被感染文件长度的目的，被这样的病毒覆盖掉的代码无法复原，从而这种病毒是无法被安全杀除的。

感染过程：

1. 查找当前目录下的可执行文件；
2. 找到可执行文件test后，先将其复制一份到隐藏文件；
3. 修改病毒体，使病毒执行结束后能够执行test，即交还控制权给宿主文件；
4. 复制病毒体到test，覆盖部分宿主文件；
5. 执行当前文件的原始文件备份替换当前进程，完成原文件功能。

缺点：增加了额外文件，增大被发现的可能性。

• 追加式感染

将病毒体直接追加到宿主文件中，或者将宿主文件追加到病毒体之后，并不存在覆盖宿主文件的行为，从而宿主文件被感染成单纯的病毒体和原宿主文件的合体，在病毒文件执行后将控制权交还给宿主文件。

感染过程：

1. 查找当前目录下的可执行文件找到可执行文件test后；
2. 修改病毒体，使病毒执行结束后能够提取宿主文件到一个新文件，然后执行这个新文件进行进程映像替换，即交还控制权给宿主文件；
3. 合并病毒体到test，不覆盖宿主文件，但放在宿主文件内容之前。

10.2利用ELF格式的感染方法——复杂感染

与ELF格式相关的感染方法，需要根据ELF格式来改变ELF文件内容，从而使病毒代码和宿主代码共存并且病毒代码执行结束后能顺利交接控制权给宿主。向ELF文件中插入寄生病毒代码要求宿主文件和病毒体都是完整的，因此插入的病毒代码会造成段的使用大小增加。

利用填充区：

• 文本段之后填充
• 数据段之后插入感染
• 文本段之前插入感染
• 利用函数对齐填充区感染

利用.note节：

• 利用NOTE段或者拓展.note节

11.木马系统的组成

11.1硬件部分

建立木马连接所必需的硬件实体。

• 控制端
• 服务端
• Internet

11.2软件部分

实现与远程控制所必需的软件程序

• 控制端程序
• 木马程序
• 木马配置程序

11.3具体连接部分

• 控制端IP和服务端IP
• 控制端端口和木马端口

12.木马的基本特征

1. 欺骗性
2. 隐蔽性——首要特征

隐蔽性体现在不在任务栏产生图标，不出现在任务管理器中。

1. 自动运行性
2. 自动恢复功能
3. 功能的特殊性

13.病毒和木马的区别⭐⭐

1. 病毒会传染，而木马不会传染——最基本的区别。
2. 病毒入侵电脑后会有感觉，而木马不会，主要原因是便其开展后续“工作”。
3. 病毒是以“破坏”著称，而木马主要是用来盗取用户信息。

14.木马程序的关键技术

• 植入技术

• • 常用植入技术

• • • 邮件植入
    • IM传播
    • 漏洞植入
    • U盘植入

• • 首次运行（以诱导或欺骗方式）

• • • 冒充图像文件
    • 程序绑定欺骗
    • 伪装成应用程序扩展组件

• • 网站挂马的关键技术

• • • 框架挂马
    • js挂马
    • 图片伪装挂马
    • 网络钓鱼挂马
    • 伪装挂马

• • 反弹式木马

• 自启动技术
• 隐藏技术

15.移动终端和手机病毒定义

• 移动终端：移动终端恶意代码以移动终端为感染对象，以移动终端网络和计算机网络为平台，通过无线或有线通信等方式，对移动终端进行攻击，从而造成移动终端异常的各种不良程序代码。
• 手机：手机病毒以手机为感染对象，以手机网络和计算机网络为平台，通过病毒短信等形式，对手机进行攻击，从而造成手机异常。

16.蠕虫的分类

• 面向企业用户和局域网的：利用系统漏洞，主动进行攻击，可以使整个因特网瘫痪。

特点：主动攻击性强

例如：红色代码、尼姆达、SQL蠕虫王

• 针对个人用户的：通过网络（主要是电子邮件、恶意网页形式）迅速传播。

特点：传播方式复杂

例如：爱虫、求职信

17.蠕虫和传统计算机病毒的区别与联系

区别：

比较项目	传统病毒	蠕虫
存在形式	寄存文件	独立程序
传染机制	宿主程序运行	主动攻击
传染对象	本地文件	计算机

1. 不采取利用PE格式插入文件的方法；
2. 普通病毒的传染只针对计算机内的文件系统；
3. 蠕虫传染目标是网络中的所有计算机。

联系：

具有病毒共性：

1. 1. 传播性
   2. 隐蔽性
   3. 破坏性

18.蠕虫的特征

1. 利用漏洞主动进行攻击
2. 与黑客技术相结合
3. 传染方式多
4. 传播速度快
5. 清除难度大
6. 破坏性强
7. 具有自我复制的能力、很强的传播性、一定的潜伏性、特定的触发性、很强的破坏性。

19.勒索型软件的两种方式

• 数据加密
• 限制访问

20.勒索型的预防措施

1. 部署电子邮件防护产品，对电子邮件附件进行病毒扫描。
2. 不随意下载不可信资源，不打开垃圾邮件和可疑邮件，不轻信社交网络平台上的链接。
3. 备份重要文件。
4. 采取支持SSL监测的防护手段，检测SSL加密会话中存在的威胁。
5. 采取有效的网络隔离措施，将关键的业务服务程序、数据和设备隔离到独立的网络中，防止来自网络的感染。
6. 更新软件和安装补丁。

21.流氓软件的定义

21.1第一个定义

流氓软件是指具有一定的使用价值但具备计算机恶意代码和黑客的部分行为特征的软件。它处在合法软件与恶意代码之间的灰色地带，使用户无法卸载，并强行弹出广告和窃取用户私人信息等。

21.2第二个定义

流氓软件是介于恶意代码和正规软件之间，同时具备正常功能（下载、媒体播放等）和恶意行为（弹广告、开后门）的软件，给用户带来实质危害。

22.流氓软件的主要特征

1. 强迫性安装
2. 无法卸载或卸载困难
3. 干扰正常使用
4. 具有恶意代码和黑客特征

23.僵尸网络的概念

僵尸网络（Botnet）是指控制者采用一种或多种传播手段，将Bot程序传播给大批计算机，从而在控制者和被感染计算机之间所形成的一个可一对多控制的网络。

24.僵尸网络的特点

• 分布性
• 恶意传播
• 一对多控制

25.僵尸网络工作过程

（1）传播阶段

在传播阶段，Botnet把Bot程序传播到尽可能多的主机上去。Botnet需要的是具有一定规模的被控计算机，而这个规模是随着Bot程序的扩散形成的。

（2）加入阶段

在加入阶段，每一台被感染主机都会随着隐藏在自身上的Bot程序的发作而加入到Botnet中去，加入的方式根据控制方式和通信协议的不同而有所不同。

（3）控制阶段

在控制阶段，攻击者通过中心服务器发送预先定义好的控制指令，让僵尸计算机执行恶意行为。

26.僵尸网络的危害

1. 可能导致整个基础信息网络或者重要应用系统瘫痪
2. 可能导致大量机密或个人隐私泄露
3. 可能会被用来从事网络欺诈等违法犯罪活动

27.APT（高级持续性威胁）的攻击过程⭐⭐⭐

1. 第一阶段：定向信息搜集

有针对性的搜集特定组织的网络系统和员工信息。

1. 第二阶段：单点攻击突破

采用一切可以利用的手段攻击组织员工的个人计算机，设法实现单点突破。

1. 第三阶段：构建通道

建立长期的联系通道，以通过该通道发送攻击指令、传输数据等。

1. 第四阶段：横向渗透

以员工个人计算机为跳板，在系统内部进行横向渗透，以攻陷更多个人计算机和服务器。

1. 第五阶段：目标行动

获得有价值的数据并偷运到由攻击者控制的外部系统

28.APT的特征

• 高级性
• 持续性

29.恶意代码的防范思路

检测、清除、预防、免疫、数据备份及恢复、防范策略

1. 检测技术：利用静态检测、动态检测等技术，通过手工检测或自动检测等方法来识别恶意代码。
2. 清除技术：根据恶意代码的类型，选择不同的方法来清除恶意代码。
3. 预防技术：通过个人防火墙和系统加固技术来防止恶意代码对系统进行传染和破坏。
4. 免疫技术：通过计算机系统本身的技术增加自己的防范能力，是一种主动的预防技术。
5. 数据备份及恢复：及时对数据进行备份，遇到故障时保证数据可恢复。
6. 防范策略：以单位实际情况为主要依据形成一套好的管理制度和策略。

30.特征码和扫描引擎

基于特征码扫描法的自动诊断程序至少要包括两部分：特征码库和扫描引擎。

31.引导性病毒的清除⭐⭐

第一种：硬盘主引导扇区感染（可修复）

修复步骤：

1. 1. 用干净的软盘启动系统；
   2. 寻找一台同类型、硬盘分区相同的无毒计算机，将其硬盘主引导扇区写入一张软盘中；
   3. 将此软盘插入被感染的计算机，将其中采集的主引导扇区数据写入染毒硬盘，即可修复。

第二种：硬盘、软盘BOOT扇区染毒（可修复）

修复步骤：

1. 1. 寻找与染毒盘相同版本的干净系统软盘；
   2. 执行SYS命令。

第三种：目录区修复（不可修复）

第四种：占用空间的回收（空间可回收）

32.交叉感染病毒的清除

分清楚病毒感染的先后顺序，从离宿主程序远的病毒开始由外向里清除，否则会把宿主程序 "杀死"。

33.数据备份的策略

1. 个人PC备份策略
2. 系统级备份策略

1. 1. 存储备份技术

1. 1. 1. 完全备份
      2. 增量备份
      3. 差分备份

	完全备份	增量备份	差分备份
空间使用	最多	最少	少于完全备份
备份速度	最慢	最快	快于完全备份
恢复速度	最快	最慢	快于增量备份

34.数据恢复

• 正常数据恢复
• 灾难数据恢复

35.杀毒软件必备功能

1. 查杀能力
2. 防范新恶意代码的能力
3. 备份和恢复能力
4. 实时监控能力
5. 升级能力
6. 智能安装能力
7. 简单易用
8. 资源占用情况
9. 兼容性
10. 价格
11. 厂商的实力

36.防治策略⭐⭐⭐

36.1国家层面防治策略

1. 完善相关法律法规及其贯彻落实工作。
2. 在各主干网络建立恶意代码预警系统。
3. 建立多层次恶意代码应急体系。
4. 建立动态的系统风险评估措施。
5. 建立恶意代码事故分析制度。
6. 制定完备的备份和恢复计划。
7. 提高国内运营商自身的安全性。
8. 加强信息安全培训。
9. 加强技术防范措施。

36.2单机用户防治策略

36.2.1一般技术措施

1. 新电脑安装完成操作系统后，第一时间进行系统升级。
2. 使用高强度的口令，并定期更换。
3. 及时安装系统补丁。
4. 重要数据应当留有备份。
5. 选择并安装经过权威机构认证的安全防范软件。
6. 使用网络防火墙保障系统的安全性。
7. 当不需要使用网络时，不要接入互联网，或者断开网络连接。
8. 设置杀毒软件的邮件自动杀毒功能。
9. 正确配置恶意代码防治产品。
10. 充分利用系统提供的安全机制，正确配置系统。
11. 定期检查敏感文件。

36.2.2个人用户上网基本策略

1. 关闭浏览器Cookie选项。
2. 使用个人防火墙。
3. 浏览电子商务网站时尽可能使用安全的连接方式。
4. 不透露关键信息。
5. 避免使用过于简单的密码。
6. 不要随意打开电子邮件附件。
7. 定期扫描计算机并查找安全漏洞。
8. 使用软件的稳定版本并及时安装补丁程序。
9. 尽量关闭不需要的组件和服务程序。
10. 尽量使用代理服务器上网。

二、可能考的题

1.小题

1. 关于恶意代码的预防理论体系，F. Cohen 提出了基本隔离模型、分隔模型、流模型和限制解释模型4个预防理论模型。
2. 从制作结构上分析，传统计算机病毒一般包括引导模块、触发模块、破坏模块和感染模块四大功能模型。
3. 传统计算机病毒生命周期中，存在静态和动态两种状态。
4. 在DOS操作系统时代，计算机病毒可以分成引导性病毒和可执行文件两大类。
5. 能够感染EXE文件和COM文件的病毒属于文件型病毒。
6. 第一个真正意义的宏病毒起源于Lotus 1-2-3应用程序。
7. Linux可执行文件的前四个字符保存一个魔术数，用来确定该文件是否为可执行的目标文件。
8. 第一个跨Windows和Linux平台的病毒是W32. Winux。
9. 特洛伊木马作为一种特殊的计算机病毒，其首要特征是隐蔽性。
10. 从编程框架上来看，特洛伊木马是一种基于C/S模式的远程控制程序，而不对其连接进行检查。
11. 著名特洛伊木马"网络神偷"采用的是反弹式木马技术隐藏技术。
12. 移动终端恶意代码以移动终端为感染对象，以移动终端网络和计算机网络为平台，通过无线或有线通信等方式，对移动终端进行攻击，从而造成移动终端异常的各种不良程序代码。
13. 手机病毒以手机为感染对象，以手机网络和计算机网络为平台，通过病毒短信等形式，对手机进行攻击，从而造成手机异常。
14. 蠕虫和传统计算机病毒的主要区别主要体现在存在形式、传染机制和传染对象上。
15. 勒索型恶意代码是一种以勒索为目的的恶意软件——黑客使用技术手段劫持用户设备或数据资产，并以此为条件向用户勒索钱财的一种恶意攻击手段。
16. 勒索型恶意代码有两种形式，分别是数据加密和限制访问。
17. 僵尸网络的主要特征是分布性和恶意传播和一对多控制。
18. APT的两个主要特征包括高级性和持续性。
19. 病毒扫描软件由两部分组成：一部分是特征码库，含有经过特别选定的各种恶意代码的特征串；另一部分是扫描引擎，负责在程序中查找这些特征串。
20. 从技术角度讲，数据备份的策略主要包括完全备份、增量备份和差分备份。

2.大题（简答题和思考题）

1. 蠕虫的工作方式⭐⭐⭐
2. 病毒感染其他文件的步骤⭐⭐⭐
3. ELF格式文件感染原理⭐
4. 病毒和木马的区别⭐⭐
5. 勒索型恶意代码的预防措施⭐
6. 流氓软件的定义⭐
7. 僵尸网络的工作过程⭐
8. APT的攻击过程⭐⭐⭐
9. 恶意代码的防范思路⭐
10. 引导型病毒的清除⭐⭐
11. 恶意代码的防治策略⭐⭐⭐