计算机病毒与恶意代码（第4版）期末复习

写在最前面，解释一下，小标题后面的括号代表该问题在书中所处的页码，有.的猜测是选择题或判断题；有+的是简答题；综合题会另外再写一篇博客。仅代表个人猜测，未压中勿喷。 另附：课后题答案链接（也可QQ私聊）

在未被授权的情况下，以破坏软硬件设备、窃取用户信息、扰乱用户心理、干扰用户正常使用为目的而编制的软件或代码片段。这个定义涵盖的范围非常广泛，它包含了所有敌意、插入、干扰、讨厌的程序和源代码。一个软件被看作是恶意代码主要是依据创作者的意图，而不是恶意代码本身的特征。

软盘、光盘、硬盘、Internet、无线通信系统

（1） 硬件故障

（2）软件故障

从制作结构上分析，传统计算机病毒一般包括引导模块、感染模块、破坏模块、触发模块四大功能模型。

计算机病毒的引导过程：

（1）触发条件：

（2）触发模块的目的是调节病毒的攻击性和潜伏性之间的平衡：

ENIAC完全符合RAM模型，是一款不能被病毒感染的电子计算机。

（1）判断目标文件开始的两个字节是否为MZ。 （2）判断PE文件标记“PE”。 （3）判断感染标记，如果已被感染过则跳出继续执行宿主程序，否则继续。 （4）获得Data Directory（数据目录）的个数，（每个数据目录信息占8个字节）。 （5）得到节表起始位置。(数据目录的偏移地址+数据目录占用的字节数=节表起始位置) （6）得到节表的末尾偏移（紧接其后用于写入一个新的病毒节信息，节表起始位置+节的个数*每个节表占用的字节数28H=节表的末尾偏移）。 （7）开始写入节表。 （8）在新添加的节中写入病毒代码。 （9）将当前文件位置设为文件末尾。

Windows操作系统运行在保护模式，保护模式将指令执行分为4个特权级：Ring0,Ring1,Ring2,Ring3。Ring0级别最高，可以执行特权指令；Ring3级别最低，通常应用程序运行于Ring3。

宏病毒是利用系统的开放性专门制作的一个或多个具有病毒特点的宏的集合，这种病毒宏的集合影响到计算机的使用，并能通过文档及模板进行自我复制及传播。 经典宏病毒：美丽莎（Melissa）、台湾NO.1B、O97M.Tristate.C病毒

一种与远程计算机之间建立起连接，使远程计算机能够通过网络控制用户计算机系统并且可能造成用户的信息损失、系统损坏甚至瘫痪的程序。

（1）硬件部分：控制端、服务端、Internet （2）软件部分：控制端程序、木马程序、木马配置程序 （3）具体连接部分：控制端IP和服务端IP、控制端端口和服务端端口

欺骗性、隐蔽性（首要特征）、自动运行性、自动恢复性、功能的特殊性

攻击者通过在正常的页面中（通常是网站的主页）插入一段代码。浏览者在打开该页面的时候，这段代码被执行，然后下载并运行某木马的服务器端程序，进而控制浏览者的主机.

木马为了生存，使用许多技术隐藏自己的行为（进程、连接和端口）； 主要隐藏技术有：反弹式木马技术、用ICMP方法隐藏连接、隐藏端口

蠕虫（Worm）是恶意代码的一种，它的传播通常不需要所谓的激活。它通过分布式媒介进行图传播.

自定义加密算法、对称加密算法（AES）、对称-非对称加密算法（RSA-AES）、非对称加密算法（RSA）

Rootkit是一种特殊的恶意软件，它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息，比较多见到的是Rootkit一般都和木马、后门等其他恶意程序结合使用。Rootkit是攻击者用来隐藏自己的踪迹和保留root访问权限的工具。

（1）高级性：

（1）检测：利用静态检测、动态检测技术，通过手工检测或自动检测方法来识别恶意代码； （2）清除：根据恶意代码的类型，选择不同的方法来清除恶意代码； （3）预防：通过安装防火墙等软件来阻止恶意代码进入系统（被动）； （4）免疫：同防范类似，不过是主动的。 （5）数据备份及恢复：及时对数据进行备份、遇到故障时保证数据可恢复； （6）防范策略

查杀能力、防范新恶意代码的能力、备份和恢复能力、实时监控能力、升级能力、智能安装能、简单易用、资源占用情况、兼容性、价格、厂商的实力

（1）国家层面：

（2）单机用户：