1. 当主引导记录结束标志为(A)时,表示该主引导记录是一个有效的记录,它可用来引导硬盘系统
A. AA55H B. 80H C. 00H D. 4D5AH 2. DOS系统加载COM文件时,指令指针IP的值被设置为(B)
A. 0000H B. 0100H C. 0200H D. FFFFH
3. 根目录下的所有文件及子目录的FDT中都有一个目录项,每个目录项占用(C)个字节,分为8个区域
A. 12 B. 22 C. 32 D. 42 4. DOS系统下,EXE文件加载时,IP寄存器的值设定为(D)
A. 0000H B. 0100H
C. FFFFH D. EXE文件头中存储的初始IP值
5. DOS系统启动自检通过后,则把硬盘上的主引导记录读入内存地址(D),并把控制权交给主引导程序中的第一条指令
A F000:0000H B.FFFF:0000H C. FFF0:FFFFH D. 0000:7C00H 6. 下面关于病毒的描述不正确的是(C)
A. 病毒具有传染性 B. 病毒能损坏硬件
C. 病毒可加快运行速度 D. 带毒文件长度可能不会增加 7. (A)是感染引导区的计算机病毒常用的
A. INT 13H B. INT 21H C. INT 24H D. INT 16H 8. 我国首例的计算机病毒是(D)
A. 黑色星期五 B.中国炸弹病毒 C. 雨点病毒 D. 小球病毒 9. 计算机病毒是指(D)
A. 腐化的计算机程序 B. 编制有错误的计算机程序
C. 计算机的程序已被破坏 D. 以危害系统为目的的特殊的计算机程序 10. 危害极大的计算机病毒CIH发作的典型日期是(D)
A. 6月4日 B. 4月1日 C. 5月26日 D. 4月26日 11. 硬盘的分区表中,自检标志为 (B)表示该分区是当前活动分区,可引导
A. AAH B. 80H C. 00H D. 55H
1 / 8
12. 下列4项中,(A ) 不属于计算机病毒特征
A. 继承性 B. 传染性 C. 可触发性 D. 潜伏性
13. DOS系统组成部分中最后调入内存的模块是(D), 它负责接收和解释用户输入的命令,可以执行DOS的所有内、外部命令和批处理命令
A. 引导程序(BOOT) B. ROM BIOS模块
C. 输入输出管理模块IO.SYS D. 命令处理COMMAND.COM模块 14. 按计算机病毒寄生方式和感染途径分类,计算机病毒可分为 (A)
A. 引导型、文件型、混合型
B. DOS系统的病毒、Windows系统的病毒 C. 单机病毒、网络病毒 D. 良性病毒、恶性病毒
15. 复合型病毒的传染方式既具有文件型病毒特点又具有系统引导型病毒特点,这种病毒的原始状态一般是依附在(D)上
A. 硬盘主引导扇区 B. 硬盘DOS引导扇区 C. 软盘引导扇区 D. 可执行文件
16. 文件型病毒传染.COM文件修改的是文件首部的三个字节的内容,将这三个字节改为一个(A)指令,使控制转移到病毒程序链接的位置
A. 转移 B. 重启 C. NOP D. HALT
17. 当计算机内喇叭发出响声,并在屏幕上显示“Your PC is now stoned!”时,计算机内发作的是(C)
A. 磁盘杀手病毒 B. 巴基斯坦病毒 C. 大麻病毒 D. 雨点病毒 18. 程序段前缀控制块(PSP),其长度为 (C)字节
A. 100字节 B. 200字节 C. 256字节 D. 300字节 19. 引导型病毒的隐藏有两种基本方法,其中之一是改变BIOS中断(B)的入口地址
A. INT 9H B. INT 13H C. INT 20H D. INT 21H 20. 宏病毒一般(C)
A. 存储在RTF文件中 B. 存储在DOC文件中 C. 存储在通用模版Normal.dot文件中 D. 存储在内存中 21. DOS系统中,中断向量的入口地址占 (4) 个字节
2 / 8
22. 病毒占用系统程序使用空间来驻留内存的方式又称为(A)
A. 程序覆盖方法 B. 插入法 C. 链接法 D. 替代法 23. 文件型病毒一般存储在 (C)
A. 内存
B. 系统文件的首部、尾部或中间 C. 被感染文件的首部、尾部或中间 D. 磁盘的引导扇区
24. 蠕虫与病毒的最大不同在于它(A),且能够自主不断地复制和传播
A. 不需要人为干预 B. 需要人为干预 C. 不是一个独立的程序 D. 是操作系统的一部分
25. DOS操作系统组成部分中(B)的模块提供对计算机输入/输出设备进行管理的程序,是计算机硬件与软件的最底层的接口
A. 引导程序 B. ROM BIOS程序 C. 输入输出管理程序 D. 命令处理程序 26. 计算机病毒通常容易感染带有(B)扩展名的文件
A. TXT B. COM C. GIF D. BAT 27. 病毒最先获得系统控制的是它的(A)模块
A. 引导模块 B. 传染模块 C. 破坏模块 D. 感染条件判断模块 28. 下列说法错误的是 (A)
A. 用杀毒软件将一张软盘杀毒后,该软盘就没有病毒了
B. 计算机病毒在某种条件下被激活了之后,才开始起干扰和破坏作用 C. 计算机病毒是人为编制的计算机程序
D. 尽量做到专机专用或安装正版软件,才是预防计算机病毒的有效措施 29. 首次提出计算机病毒的人是(A)
A.冯.诺伊曼 B. Frederick Cohen C. 莫里斯 D.大卫.斯丹博士 30. 下列中断服务程序中,文件型病毒主要截留盗用的中断为 (D)
A. INT 10H B. INT 13H C. INT 19H D. INT 21H
3 / 8
31. 病毒程序的加载过程 (C)
A. 完全是系统加载 B. 完全依附正常文件加载 C. 包括系统加载、病毒附加的加载 D. 完全由人工完成 32. 公有(全局)宏病毒一般(C)
A. 单独以文件的形式存储 B. 存储在DOC文件中 C. 存储在通用模版Normal.dot文件中 D. 存储在内存中
33. 多个病毒对 (同一目标的不同部位)进行感染,称为并行感染;对(同一目标的同一部)位进行感染且病毒间互不干扰叫做交叉感染。 34. 病毒程序在内存驻留的关键是 (A)
A. 如何有效选择存储空间,使病毒程序受到保护而不被覆盖 B. 修改中断向量 C. 释放内存 D. 恢复系统功能
35. (B)年计算机界确认计算机病毒存在。(11月3日的美国计算机安全学术讨论会)
A.1942 B. 1983 C. 1987 D. 1988 36. 黑客是指(C)的人
A. 匿名上网 B. 总在晚上上网 C. 擅自入侵他人计算机系统 D. 通过网络进行犯罪
1. 简述FAT16,FAT32含义及其与磁盘容量的关系。
FAT表即文件分配表用于存放每个文件在磁盘上分布的信息,即登记文件区中所有磁盘簇号的分配使用情况.,16和32分别表示表中每个表项的位数,16为16位,32为32位。 若磁盘以簇为单位则FAT16磁盘容量=216 x 簇大小
2. 简述中断、中断向量表的概念及文件型病毒常用的中断。
中断是CPU处理外部突发事件的一个重要技术。它能使CPU在运行过程中对外部事件发出的中断请求及时地进行处理, 处理完成后又立即返回断点,继续进行CPU原来的工作。存放256个中断向量的内存区域,即存放中断服务程序入口地址的内存区域称为中断向量表。文件型病毒常用 中断INT 21H。
1. 试述计算机病毒产生的主要因素。
1、 计算机系统、因特网的脆弱性 2、 计算机的广泛应用
3、 特殊的政治、经济、军事目的4、研究、游戏、恶作剧、表现欲、挑战等原因
4 / 8
2. 简述计算机病毒产生的来源。
1、 研究、兴趣等目的
2、 游戏、恶作剧、表现欲等目的 3、 软件保护目的 4、 破坏、报复目的 5、 军事目的
3. 简述计算机病毒与正常程序的异同。
1、 正常程序是具有应用功能的完整程序,以文件形式存在,具有合法的文件名;而病毒一般
不以文件形式存在,一般没有文件名隐藏在正常的数据和程序中。是一种非正常程序 2、 正常程序依照用户的命令执行,完全在用户的意愿下完成某种操作,也不会自身复制;而
病毒在用户完全不知的情况下运行将自身复制到其他正常程序中;
4. 简述计算机病毒的结构组成及其作用。
病毒一般包含三大模块:即引导模块、感染模块和表现(破坏)模块。其中后两个模块都包含一般触发条件检查程序段,它们分别检查是否满足触发条件和是否满足表现(破坏)的条件,一旦相应的条件得到满足,病毒就会进行感染和表现(破坏)。各模块的功能分别是:引导模块:将病毒程序引入内存并使其后面的两个模块处于激活状态。感染模块:在感染条件满足时把病毒感染到所攻击的对象上。表现(破坏)模块:在病毒发作条件(表现、破坏条件)满足时,实施对系统的感染和破坏活动。 5. 简述计算机病毒的主要行为特征。
占有INT 13H;占用内存高端;修改内存容量;对COM、EXE文件做写入动作;病毒程序与宿主程序的切换
6. 简述计算机病毒的主要破坏行为。
1、 对计算机数据信息直接进行破坏2、抢占系统资源3、影响计算机执行速度 4、对计算机硬件进行破坏5、衍生破坏行为等 1、阐述计算机病毒中常采用的触发条件。
1、 日期触发2、时间触发3、键盘触发4、感染触发5、启动触发6、访问磁盘数触发7、调
用中断功能触发8、CPU型号/主板型号触发
2、简述宏病毒的运行机制。
利用MS Office的开放性即Word或Excel中提供的Word Basic/Excel Basic编程接口,专门制作的一个或多个具有病毒特点的宏的集合,这种病毒宏的集合影响到计算机使用,并能通过doc文档及dot模板进行自我复制及传播. 3、简述计算机病毒的加载过程。
.病毒加载包括:1) 系统加载过程:通常指读入病毒的引导部分,并将系统控制权转交病毒引导程序2) 病毒附加的加载过程:由病毒引导程序完成,主要用来完成对病毒程序的完整读入和安装.
4、简述木马病毒的基本原理。
木马是一个包含在一个合法程序中的非法的程序。是一种黑客程序,本身不破坏数据,一般有客户端和服务器端两个执行程序,攻击者通常利用一种称为绑定程序的工具将木马服务器绑定到某个合法软件上,诱使用户运行合法软件。只要用户运行该软件,木马的服务器就在用户毫无察觉的情况下完成了安装过程,黑客利用建立木马连接其远程操纵受害计算机。
5 / 8
5、试述计算机病毒与黑客技术的异同。
相同点:它们都是在用户非授权的情况下对目标机进行操纵,监控,对系统造成破坏;
不同点:病毒是人为编制的恶意代码,潜伏在宿主机内实施破坏,具有传染性,可触发性,破坏性;黑客技术是针对计算机系统和网络的漏洞及缺陷实施的攻击技术。 1. 简述特征代码检测法的实现步骤。
采集已知病毒样本;抽取特征代码;(原则:特殊性、唯一性、完整性);将特征代码纳入病毒数据库;打开被检测文件,搜索、检查文件中是否含有病毒数据库中的病毒特征代码 2. 在病毒的实时监控法中,作为检测病毒的主要行为特征包括哪些。 占有INT 13H (磁盘输入输出中断);改DOS系统为数据区的内存总量 (为了防止DOS系统将病毒覆盖);对COM、EXE文件做写入动作;病毒程序与宿主程序的切换 3.简述计算机病毒检测方法中系统数据对比法的基本原理。 主要比较硬盘的主引导扇区、DOS分区引导扇区、软盘的引导扇区、FAT表、设备驱动程序头,与正常的内容进行比较,或用以上内容的备份与当前的数据比较,如发现异常,则可能染毒;查看系统的总内存量,与正常情况进行比较,检查系统高端内存的内容,判断其中的代码是否可疑;中断向量指针不应该指向基本内存高端,非驻留程序执行后不改变中断向量,不申请内存驻留,正常程序不修改中断向量对应地址的内容。
4. 简述计算机病毒检测中主动内核技术的基本思想。 主动内核技术将已经开发的各种网络防病毒技术从源程序级嵌入到操作系统或网络系统内核中,实现网络防病毒产品与操作系统的无缝连接。 5. 试述COM及EXE文件型病毒的检测方法。 文件完整性对比法:文件基本属性对比;校验和对比;文件头部字节对比;文件是否增加了长度;检查第一条指令是否为转移指令;
感染实验法;结合对运行系统的监视或数据对比来检测。 6. 简述WORD宏病毒的基本检测方法。 通用模板中出现不常见的宏;无故出现存盘操作;word功能混乱,无法使用;Word菜单命令消失;Word文档内容变化。
7. 简述引导型和文件型病毒的常用检测方法。 引导型:常规内存法、系统数据比较法
文件型:文件属性对比法、校验和对比、感染实验法 1. 简述计算机病毒清除的基本步骤。
1用写保护的原始系统盘启动;2用工具软件和扫描程序检测病毒;3分析病毒,确定病毒种类、感染病毒部位和感染方法;4确定具体的清除措施;5运行病毒清除程序或手工清除;6资源回收,整理。
2. 写出清除.EXE文件中计算机病毒的具体步骤和方法。
将exe文件重命名,用Debug打开;找回原文件头参数,重写;丢掉病毒程序代码;交叉、重复感染的可直接通过重写原文件头参数,丢掉病毒代码来恢复。 3、让程序自动运行的方法
1、加载程序到启动组,写程序启动路径到注册表的自动启动键值;2、修改Boot.ini3、通过注册表里的输入法键值直接挂接启动
4、通过修改Explorer.exe启动参数等方法
6 / 8
3. 结合COM文件的结构,说明COM文件型病毒的清除方法。 用Debug调入需清除的病毒文件程序,通过计算机病毒程序来查找合法程序的文件头; 对于链接于头部的计算机病毒,可用合法文件移到文件偏移0100H处后存盘清除。若文件长度小于病毒长度,则通过设置CX寄存器并存盘清除。对于链接于尾部的病毒,将正常文件头写入染毒的文件头,并通过设置CX寄存器并存盘清除。对内存中的病毒,可直接关机用干净系统重启,或者用备份或同版本的中断向量表取代内存中的中断向量表即可。对交叉感染或重复感染的病毒,需找出感染顺序,从后往前逐个清除。
4. 阐述Windows环境下脚本病毒的常用清除方法。
破解病毒的破坏性功能模块;破解病毒的潜伏性及触发性功能模块:1卸载 Windows Scripting Host,2删除JBS,VBE,JS,JSE文件后缀名与应用程序的映射,3将WScript.exe和Jscript.exe改名或删除。破解病毒的自我复制功能模块;破解病毒的传播性功能模块
5、设某主引导型病毒的特征代码为D3 20 F2 Q9,利用DEBUG工具实现病毒的检测。
-a
xxxx:0100 mov ax,0201
xxxx:0103 mov bx,1000H ;读入某段1000开始玩位置 xxxx:0106 mov cx,0001 xxxx:0109 mov dx,0080 xxxx:010C int 13 xxxx:010E int 3 xxxx:010E -g=100
-s 1000H 11FEH \"D320F2Q9\"
1. 说明计算机病毒预防的主要策略。 1安装杀毒软件2重要系统、文件备份;3重要文件盘赋予只读功能;4新软件用前查毒;5备好写保护的启动盘;6不随意在网上下载软件;7不随意打开可疑邮件;8避免在无杀毒软件电脑上使用可移动存储介质。
2. 阐述计算机病毒预防中文件加密方法的基本思想及其优缺点。 将系统中可执行文件加密,若释放病毒者不能在加密之前得到该文件,或不能破解加密算法,则混入病毒的文件不能执行。即使病毒在可执行文件加密前感染了该文件,该文件解码后,病毒也不能在其他可执行文件间传播,从而杜绝了病毒的复制。优点:有效性高;缺点:开销大,较复杂。
3. 简述宏病毒预防的基本方法。
预防:打开word时禁止所有自动宏;时常检查是否有可疑的宏;备份normal.dot模版以便恢复;提示保存normal.dot模版以便模版修改时可以及时发现。
检测清除:在没有打开任何文件下启动word;打开宏管理器/宏方案;删除列表中除自己定义外的所有宏;关闭对话框;选择工具宏,若有AutoOpen,AutoNew,AutoClose等宏则删除。
7 / 8
1. 设A.COM被某一病毒感染,其文件结构如下。利用DEBUG工具,写出病毒的清除步骤。
病毒程序(810H字节)
原程序 MsDos
被感染的A.COM文件
文件长度减去810H得到原文件长度L,再从910H处开始存盘,存L长度 A>Debug test.com -R
AX=0000 BX=0000 CX = 16D3 ;CX代表文件长度 -H 16D3 810 ;减去810H 1DE3 0FC3
-R CX ;重新设置cx 16D3 FC3
-W 910H ;从810H+100H处写回 -Q
2. 设TEST.EXE文件感染了文件型病毒,病毒的开始代码为E9 92 00 73 55。结合EXE文件型病毒的清除,请说明下面命令中每一步操作的含义及作用。
被修改的文件头
原程序 病毒程序(710H字节)
A> ren test.exe test A> debug test -R
-D 100 -S cs:0 fff0 E9 92 00 73 55 2038:12C0
计算得到有关结果: 12C0 –100=11C0H mod(11c0H/200H)=1C0H (11C0H/200H) + 1 = 9
// 显示文件头
// 原文件长 // 最后一个扇区的字节数 // 文件占用扇区的总数
3. 已知某硬盘被两种病毒先后感染,并且两种病毒都会截获INT 13H,感染两种病毒后硬盘的引导扇区结构形式如图所示,结合该图说明病毒感染时中断链的形成过程,并说明当硬盘启动时INT 13H的执行顺序。
形成:先感染B病毒,再感染A病毒 执行:先执行A病毒,修改系统INT 13H,读入B引导部分, 执行B病毒,然后修改INT 13H
8 / 8
因篇幅问题不能全部显示,请点此查看更多更全内容