发布时间 : 星期六 文章计算机病毒考试题型更新完毕开始阅读dff5fc12a8114431b80dd807
对下面几点进行补充:
关于计算机病毒,有两点需要注意:
一、最后计算题有关PE文件的,我觉得最有可能考的是地址。需要用到的知识点如下: (1)计算机病毒如何得知一个文件是不是PE文件?
答:最基本、简答的方法就是先看该文件的前两个字节是不是4D5A,如果不是,则已经说明不是PE文件,如果是,那么我们可以再DOS程序头中的偏移3CH处的四个字节找到PE字串的偏移位置(e_ifanew)。然后察看该偏移位置的四个字节是否是50\\45\\00\\00,如果不是,说明不是PE文件,如果是,那么我们认为它是一个PE文件。当然为了准确还需要再加上其它一些判断条件。
(2)实际内存地址=基地址(即ImageBase值)+相对虚地址(RVA)。
(3)节表起始位置=Directory(数据目录)的偏移地址+数据目录占用的字节数;最后节表的末尾偏移(紧接其后用于写入一个新的病毒节)=节表起始位置+节的个数*(每个节表占用的字节数)。
他可能告诉你Directory(数据目录)的偏移地址、数据目录占用的字节数、节的个数以及每个节表占用的字节数,让你计算新插入的病毒节的位置。
二、对下面几点进行补充:
(1)INT 13H调用可以完成磁盘(包括硬盘和软盘)的复位、读写、校验、定位、诊断、格式化等功能。
(2)简述一下嵌入文件的隐藏技术。(之前那道文件病毒的隐藏技巧答案是错的,给的答案是引导型病毒的隐藏技巧)
答:宏病毒的隐藏技术比引导型病毒要简单很多,只要在Word/Excel中禁止菜单:“文件”—>“模板”或者“工具”—>“宏”就可以隐藏病毒了,可以通过宏病毒代码删除菜单项,或者宏病毒用自己的File Templates和ToolsMacro宏替代体统缺省的宏。
当然,宏病毒还有其他一些隐藏技术,这在前面宏病毒一节已经有所介绍。还有一些高级的病毒隐藏技术,需要大家细细揣摩。
除了宏病毒,由于现在各种格式文件之间的交叉引用越来越多,例如在Word文档中插入恶意图片,或者将JavaScript恶意代码插入PDF文档,并在打开文档时运行中。利用这样的方式,就可以很好地隐藏恶意代码,并完成恶意行为,而不被用户感知。 (3)简述一下蠕虫的行为特征。
答:1、主动攻击;2、行踪隐藏;3、利用系统、网络应用服务漏洞;4、造成网络拥塞;5、降低系统性能;6、产生安全隐患;7、反复性;8、破坏性。
13