第六章 Win32 PE病毒分析
一、选择题(每题2分)
1. 一个Win32 PE病毒需要解决如下几个问题( )
A. 病毒的重定位
B. 获取API函数地址
C. 文件搜索
D. 感染其他文件
2. CIH、FunLove、“求职信”等病毒都以感染( )为目标
A. COM文件
B. 引导扇区
C. word文件
D. Windows系统中的PE文件
二、填空题(每空1分)
1. 在Windows 9x、NT、2000下,所有的Win32可执行文件(除了VxD和16位的DLL)都是基于Microsoft设计的一种新的文件格式,即____ 。
答案: Portable Executable File Format(可移植的执行体)
2. 第一例感染Windows95/98环境下PE格式EXE文件的病毒是 。
答案: CIH病毒
3. PE文件的真正内容划分成块,称之为 。
答案: 节或段
三、判断题(每题1分)
1. CIH病毒能够破坏计算机硬件。
答案:正确
2. 被CIH 病毒感染的文件的长度可能会发生变化。
答案:错误
3. CIH病毒是一种文件型病毒,是第一例感染Windows95/98环境下PE格式EXE文件的病毒。
答案:正确
四、简答题
1. 病毒为什么要重定位?
答案:我们写正常程序的时候根本不用去关心变量(常量)的位置,因为源程序在编译的时候它的内存中的位置都被计算好了。程序装入内存时,系统不会为它重定位。编程时我们需要用到变量(常量)的时候直接用变量名访问(编译后就是通过偏移地址访问)就行了。
病毒不可避免也要用到变量(常量),当病毒感染HOST程序后,由于其依附到HOST程序中的位置各有不同,病毒随着HOST载入内存后,病毒中的各个变量(常量)在内存中的位置自然也会随着发生变化(2分)。