第十一章 反病毒技术
一、选择题(每题2分)
1. 行为监测法是病毒检测的一种方法,以下哪些行为可以作为病毒的行为特征( )?
A. 占用INT 13H中断
B. 修改操作系统数据区的内存总量
C. 对COM、EXE文件还有写入动作
D. 病毒程序与宿主程序之间进行切换
答案:A,B,C,D
二、填空题(每空1分)
1. CIH病毒不可以用______方法检测。
答案: 长度检测法
2. 方法最适合于检测多态性病毒。
答案: 软件模拟法
3. _______检测法不可以检测未知病毒。
答案: 特征代码检测法
4. 虚拟机查毒的目的是为了对付_______病毒。
答案: 加密变形
三、判断题(每题1分)
1. 用传统的静态特征码扫描技术无法检测加密变形病毒。
答案:正确
2. 现在的反病毒技术不能检测变形病毒。
答案:错误
3. 国产木马“冰河”修改HKEY_CLASSES_ROOT\txtfile\shell\open\command下的键值,将“c:\windows\system\sysexplr.exe %”修改为“c:\windows\notepad.exe %1”。
答案:错误
四、简答题
1. 试列举目前广泛使用的检测病毒方法五种以上。
答案:长度检测法。病毒感染文件后一般会引起宿主程序增长(1分)。
病毒签名(病毒感染标记)是宿主程序已被感染的标记(1分)。
特征代码检测法。对病毒的特征代码进行检测(1分)。
校验和法。在文件使用过程中,定期地或每次使用文件时,检查文件现在内容算出的校验和与原来保存的校验和是否一致(1分)。
行为检测法。利用病毒的特有行为特性检测病毒(1分)。
软件模拟法。为了检测多态性病毒,反病毒专家研制了新的检测方法——软件模拟法(1分)。感染实验法(1分)。 (每个关键知识点1分)
2. 简述预防计算机病毒的原则。(不少于5点,每知识点1分)
答案:(1)购买的计算机要先用查毒杀毒工具进行检查,或经格式化,重新安装系统后再使用,以免机器带毒。
(2)写保护所有系统盘,绝不把用户数据或程序写到系统盘上。至少应准备一份格式化硬盘时使用的原始DOS盘,并写保护,一旦系统受“病毒”侵犯,就应先用该DOS盘引导系统,并视情况,诊治、消除病毒,恢复后备文件,必要时也便于对盘格式化。
(3)经常性地制作文件备份,以备硬盘遭破坏、无意的格式化操作以及病毒的蓄意侵害时能立即恢复文件,免受损失。存有重要资料的软盘一定要写保护。
(4)如果有硬盘,不要用软盘开机引导系统;如果没有硬盘,引导软件盘应写保护。绝不用外来的软盘引导系统,因为引导型病毒只有通过引导染毒盘才能将病毒传染给硬盘。
(5)开机时不要把一个非引导的数据盘放在A驱,虽然数据盘不能引导系统,但引导型病毒却可能从数据盘启动时立即感染硬盘。要使用原版软件,尽可能少用游戏软件、公共软件,要尽可能从第一作者处获得共享软件、自由软件、公共软件。绝不运行来历不明的软件和盗版软件。
(6)要尽可能使用多种最新的查杀毒软件来检查外来的软件。未经检查的可执行文件不能拷入硬盘。绝不使用未作病毒检查的软件。
(7)安装真正有效的防毒软件或防病毒卡。
(8)必须保持忧患意识,并且要为计算机系统感染病毒作出一些应变计划,如学习如何查毒杀毒和救回数据,训练经常使用计算机的人,要有正确的防毒杀毒知识,另外留意与一些反病毒专家保持联系,以便及时获得新病毒防治信息。
(9)作为一个单位组织,建议专门安排一台独立的计算机供测试病毒,给无法确认是否被病毒感染的新软件操作使用,或者检查磁盘有否带毒等。
3. 简述病毒特征代码检测法的原理。
答案:采集已知病毒样本(1分)。
在病毒样本中,抽取特征代码(1分)。
将特征代码纳入病毒数据库(1分)。
打开被检测文件,在文件中搜索、检查文件中是否含有病毒数据库中的病毒特征代码(1分)。
如果发现病毒特征代码,由于特征代码与病毒一一对应,便可以断定,被查文件中患有何种病毒(1分)。
4.简述病毒签名检测法的原理及其特点。
答案:病毒签名是宿主程序已被感染的标记。
不同病毒感染宿主程序时,在宿主程序的不同位置放入特殊的感染标记。
这些标记是一些数字或者字符串。
不同病毒的签名内容不同、位置不同。经过剖析病毒样本,掌握了病毒签名的内容和位置之后,可以在可疑程序的特定位置搜索病毒签名。
如果找到了病毒签名,那么可以断定可疑程序中有病毒,是何种病毒。
该方法的特点是:必须预先知道病毒签名的内容和位置,要把握各种病毒的签名,必须剖析病毒;可能虚假报警。