admin 管理员组

文章数量: 1086019


2024年4月24日发(作者:属性空值得培养吗)

复习资料

名词解释:8/16

1.恶意程序:

未经授权便干扰或破坏计算系统/网络的程序或代码称之为恶意

程序/恶意代码

2.无入口点技术:

无入口点病毒并不是真正没有入口点,而是采用入口点模糊

(Entry Point Obscuring,EPO)技术,即病毒在不修改宿主原入口点的前提下,

通过在宿主代码体内某处插入跳转指令来使病毒获得控制权

3.主机蠕虫:

主机蠕虫的所有部分均包含在其所运行的计算机中,在任意给定

的时刻,只有一个蠕虫的拷贝在运行,也称作“兔子”(Rabbit)

4.网络蠕虫:

网络蠕虫由许多部分(称为段,Segment)组成,而且每一个部分运

行在不同的计算机中(可能执行不同的动作),网络蠕虫具有一个主segment,

该主segment用以协调其他segment的运行,这种蠕虫有时也称作“章鱼”。

5.脚本病毒:

用脚本语言所编写的病毒

6.动态嵌入技术:

动态嵌入技术是指将自己的代码嵌入正在运行的进程中的技

术。

7远程线程技术:

是指通过在一个正在运行的进程中创建远程线程的方法进入

该进程的内存地址空间。

8.主动传染:当病毒处于激活态时,只要传染条件满足,病毒程序就能主动

地把病毒

自身传染给另一个载体或另一个系统。这种传染方式称作计算机病毒的主

动传染

9.被动传染:

用户在进行拷贝磁盘或文件时,把一个病毒由一个载体复制到另

一个载体上;或者是通过网络上的信息传递,把一个病毒程序从一方传递

到另一方。这种传染方式称作计算机病毒的被动传染。

10.假隐藏:

指程序的进程仍然存在,只不过是让他消失在进程列表中

11.真隐藏:

程序彻底地消失,不是以一个进程或者服务的方式工作

12.空洞:

具有足够长度的全部为零的程序数据区或堆栈区

13.混合感染:

病毒既感染引导扇区又感染文件

14.交叉感染:

一台计算机中常常会同时染上多种病毒。当一个无毒的宿主程序

在此计算机上运行时,便会在一个宿主程序上感染多种病毒,称为交叉感

染。

15.链式感染:

病毒在感染时,完全不改动宿主程序本体,而是改动或利用与宿

主程序相关的信息,将病毒程序与宿主程序链成一体,这种感染方式称作

链式感染

16.逻辑炸弹:

辑炸弹可以理解为在特定逻辑条件满足时实施破坏的计算机程

序。与病毒相比,逻辑炸弹强调破坏作用本身,而实施破坏的程序不会传播。

论述题 3/8

1. 简单叙述PE文件的基本组成?

PE文件头部首先第一部分是DOS头,DOS头部有两个部分构成,第一部分是MZ文件头,

紧跟MZ文件头后面的是一个DOS可执行文件。正是由于DOS头的存在,使得所有PE文

件向上兼容,使得所有PE文件都是合法的MS-DOS可执行文件。PE文件第二个部分是PE

文件头,PE文件头有三个组成部分:PE文件标志、映像文件头、可选映像头。其中可选映

像头中包含了数据目录表。这四个部分的具体介绍请阅读本文其后部分。PE文件的第三个

部分是节表,节表与节是一一对应的,提供了每个节具体信息,可以认为节表是节的索引。

PE文件的第四个部分是节,节中存在着文件真正的内容。在PE头的最后是调试信息,顾

名思义,调试信息是用以调试的一些信息的汇总。

2. PE病毒的感染过程?

1.判断目标文件开始的两个字节是否为“MZ”。

2.判断PE文件标记“PE”。

3.判断感染标记,如果已被感染过则跳出继续执行HOST程序,否则继续。

4.获得Directory(数据目录)的个数,(每个数据目录信息占8个字节)。

5.得到节表起始位置。(Directory的偏移地址+数据目录占用的字节数=节表起始位置)

6.得到目前最后节表的末尾偏移(紧接其后用于写入一个新的病毒节)

节表起始位置+节的个数*(每个节表占用的字节数28H)=目前最后节表的末尾偏移。

7.开始写入节表

3.叙述PE病毒从API函数名称查找API函数的地址过程?

(1)定位到PE文件头。

(2)从PE文件头中的可选文件头中取出数据目录表的第一个数据目录,得到导出表的地

址。

(3)从导出表的NumberOfNames字段得到以命名函数的总数,并以这个数字做微循环的

次数来构造一个循环。

(4)从AddressOfNames字段指向的函数名称地址表的第一项开始,在循环中将每一项定

义的函数名与要查找的函数名比较,如果没有任何一个函数名符合,说明文件中没有指定名

称的函数。

(5)如果某一项定义的函数名与要查找的函数名符合,那么记住这个函数名在字符串地址

表中的索引值(如x),然后在AddressOfNameOrdinals指向的数组中以同样的索引值x去找

数组项中的值,假如该值为m。

(6)以m值作为索引值,在AddressOfFunctions字段指向的函数入口地址表中获取的RVA

就是函数的入口地址,当函数被装入内存后,这个RVA值加上模块实际装入的基址

(ImageBase),就得到了函数真正的入口地址。

4. DOS下的EXE文件病毒是如何获取控制权的?感染EXE文件,需对宿主作哪些修改?

一般来说,病毒往往先于HOST程序获得控制权。运行Win32病毒的一般流程示意

如下: ①用户点击或系统自动运行HOST程序; ②装载HOST程序到内存; ③通过

PE文件中的AddressOfEntryPoint加ImageBase之和,定位第一条语句的位置(程序入口);

④从第一条语句开始执行(这时执行的其实是病毒代码); ⑤病毒主体代码执行完毕,

将控制权交给HOST程序原来的入口代码; ⑥HOST程序继续执行


本文标签: 文件 病毒 程序 函数 感染

版权声明:本文标题:恶意代码参考答案 内容由网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:http://roclinux.cn/b/1713960655a659425.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。