第五章 DOS病毒分析
一、选择题(每题2分)
1. 在DOS状态下,当输入一个可执行文件名或在运行中的程序中通过EXEC子功能加载一个程序时,COMMAND确定当前内存空间的最低端作为被加载程序的段起点,在该处建立一个所谓的程序段前缀控制块PSP,PSP中存放有关被加载程序运行时所必需的一些重要信息和其它有关内容,长度为( )个字节,
A. 100
B. 1024
C. 256
D. 16
2. 大麻病毒是( )病毒
A. 文件型
B. 引导型
C. PE
D. Windows
3. MOV AH,2A
INT 21
这两条汇编语句执行以后实现的功能是
A.读取系统的日期
B.读取系统的时间
C.向某个硬盘的扇区写入内容
D.从某个硬盘的扇区读取内容
4. 耶路撒冷病毒又称为( )
A. 黑色星期五病毒
B. 红色代码
C. 大麻病毒
D. 欢乐时光病毒
5. “耶路撒冷”病毒感染COM文件时,将病毒程序插入到该文件的( )
A. 开头
B. 末尾
C. 中间
D. 随机的位置
二、填空题(每空1分)
1. 由于感染主引导记录的病毒先于操作系统执行,因而不能使用操作系统的功能调用,而只能使用 的功能调用或者使用直接的I/O设计。
答案: BIOS
2. 大麻病毒的表现模块是在用感染了大麻病毒的磁盘启动系统时,有 分之一的可能被调用,此时PC喇叭鸣响,屏幕上出现“Your PC is Now Stoned”。
答案: 八
3. 大麻病毒会修改磁盘中断 的中断向量,使其指向病毒程序传染部分的入口,以便在读写磁盘操作时进行传染。
答案: INT13H
4. 病毒要感染COM文件一般采用两种方式:一种是将病毒加在COM文件头部,另一种是将病毒加在文件 。
答案: 尾部
5. 大麻病毒会将系统可用内存空间减少 ,以保护病毒程序长期驻留内存。
答案: 2K
三、判断题(每题1分)
1. “耶路撒冷”病毒感染COM文件时使文件增加的字节数与感染EXE文件时使文件增加的字节数不一样。
答案:正确
2. 当生成一个EXE文件时,存放在磁盘上的可执行代码凡是涉及到段地址的操作数都未确定,在加载该程序时,需要根据当前内存空间的起始值,对每一个段进行重定位,使这些段操作数具有确定的段地址。
答案:正确
3. “大麻”病毒包括引导模块、传染模块、表现模块3个部分。
答案:正确
4. “耶路撒冷”病毒在感染一个可执行文件时,如果被感染的文件是COM文件,则病毒程序插入到该文件的开头;如果被感染的文件是EXE文件,则病毒程序将附着在该文件的末尾,并修改原来文件的第一条指令,使其首先转入病毒程序执行。
答案:正确
5. “大麻”病毒首先在澳大利亚被发现。
答案:错误
四、简答题
1. 试列举大麻病毒的破坏作用
答案:文件丢失(1分);
文件被破坏或文件残缺不全(1分);
机器不能启动(2分);
启动速度明显减慢(1分)。