1、.1. 病毒的對抗和檢測方式病毒的檢測方式：1、特征碼掃描（缺點：幾乎不能檢測新的病毒種類）2、 啟發式掃描（缺點：誤報）3、 虛擬機技術4、 主動防御技術5、 自免疫技術（完整性檢查、審計分析）病毒的對抗方式：1、未知病毒查殺技術2、 防病毒立體化技術3、 流掃描技術4、 云安全技術2. 硬盤尋址方式，病毒的CHS到線性地址的轉換公式（P22）C為當前柱面號，H為當前磁頭號，Cs表示起始柱面號，Hs表示起始磁頭號，Ss表示起始扇區號，PS表示每磁道有多少個扇區，PH表示每柱面有多少個磁道LBA=(C-Cs)*PH*PS+(H-Hs)*PS+(S-Ss)C=LBA/(PH*PS)+CsH=(L

2、BA/PS)modPH+HsS=LBA mod PS+Ss注：CHS扇區編號是從1-63 ,LBA扇區編號是從0開始3. 主引導扇區結構，擴展分區的概念作用，主分區的字段表項引導扇區在每個分區里都存在，但是我們常說的*主引導扇區*是硬盤的第一物理扇區。它由兩個部分組成：即主引導記錄MBR和硬盤分區表DPT。在總共512字節的主引導分區里其中MBR占446個字節(偏移0-偏移1BDH)，DPT占64個字節(偏移1BEH-偏移1FDH),最后兩個字節“55，AA”(偏移1FEH偏移1FFH)是分區的結束標志。大致的結構如下圖： 擴展分區的概念，作用主引導記錄中的分區表最多只能包含4個分區記錄，為了

3、有效地解決這個問題，DOS的分區命令FDISK允許用戶創建一個擴展分區，并且在擴展分區內在建立最多23個邏輯分區，其中的每個分區都單獨分配一個盤符，可以被計算機作為獨立的物理設備使用。關于邏輯分區的信息都被保存在擴展分區內，而主分區和擴展分區的信息被保存在硬盤的MBR內。這也就是說無論硬盤有多少個分區，其主啟動記錄中只包含主分區(也就是啟動分區)和擴展分區兩個分區的信息。主分區表的字段表項分區表由四個分區項構成，每一項結構如下：BYTE State：分區狀態，0=未激活，0x80=激活（注意此項）；BYTE StartHead：分區起始磁頭號；WORD StartSC：分區起始扇區和柱面號，底

4、字節的底6位為扇區號，高2位為柱面號的第9，10位，高字節為柱面號的低8位；BYTE Type：分區類型，如0x0B=FAT32，0x83=Linux等，00表示此項未用；BYTE EndHead：分區結束磁頭號；WORD EndSC：分區結束扇區和柱面號，定義同前；DWORD Relative：在線性尋址方式下的分區相對扇區地址（對于基本分區即為絕對地址）；DWORD Sectors：分區大小（總扇區數）。在DOS或Windows系統下，基本分區必須以柱面為單位劃分（Sectors*Heads個扇區），如對于CHS為764/256/63的硬盤，分區的最小尺寸為256*63*512/10485

5、76=7.875MB.由于硬盤的第一個扇區已經被引導扇區占用，所以一般來說，硬盤的第一個磁道（0頭0道）的其余62個扇區是不會被分區占用的。某些分區軟件甚至將第一個柱面全部空出來。4. PE文件節和節表，引入表和引出表 【重點】5.病毒重定位技術病毒不可避免也要用到變量，在病毒感染HOST程序后，由于依附到HOST程序中的位置各不相同，因此病毒隨著HOST載入內存后，病毒中的各個變量在內存中的位置會隨著HOST程序的位置而發生變化，因此，病毒程序需要正常使用變量就需要采用重定位技術。重定位過程的一般步驟：1、 用CALL指令跳轉到下一條指令，使下一條指令感染后在內存中的實際地址進棧。2、 用P

6、OP或MOV EXX，ESP指令取出棧頂的內存，這樣就得到了感染后下一條指令在內存中的實際地址。3、 領V_start為感染前call指令的下一條執行的地址，Var_Lable為感染前變量的地址，則感染后該變量Var的實際地址為Base+（OffSet Var_Lable -OffSet V_start）6.Dos下的.com文件的格式和特點.com文件中的程序代碼只在一個段內運行，文件長度不超過64k字節，.com文件調入時dos將全部可用內存分配給用戶程序，四個寄存器DS數據段、CS代碼段、ES附加段、SS堆棧段。全部指向程序段前綴PSP的段地址。PSP程序代碼數據堆棧.com文件型病毒比

7、較簡單，病毒要感染.com文件一般采用兩種方式：一種是將病毒加在COM文件前部，一種是加在文件尾部。7. 緩沖區溢出shellcode的特點？ Shellcode:能完成特殊任務的自包含的二進制代碼，根據不同任務發出系統調用或建立一個高權限的shell,目的是獲取目標機器的控制權。Shellcode是作為數據形式發送給服務器，制造溢出得以執行代碼并獲取控制權。特點：1.長度受限 2.不能使用特殊符號，例如xoo,xff 3.具有重定位能力（沒有PE頭，使用的API和數據必須由自己進行重定位） 4.一定的兼容性8. 病毒程序模塊的基本結構。包含哪些模塊、功能？邏輯結構：觸發模塊：根據預定條件滿足

8、與否，控制病毒的傳播或破壞動作。1）檢查預定觸發條件是否滿足 2）如果滿足返回真值 3）如果不滿足返回假值傳播模塊：負責實現傳播機制。1）尋找一個感染目標2）檢查該目標中是否有感染標記3）如果沒有感染標記，進行感染，講病毒代碼傳播到目標破壞模塊（表現模塊）：負責實施病毒的破壞動作1）判斷破壞的條件2）執行破壞的功能主控模塊：總體上控制病毒的運行。1）調用感染模塊進行感染2）調用觸發模塊，接受其值返回3）如果返回真值，執行破壞模塊4）如果返回假值，執行后續程序磁盤儲存結構：主引導記錄區，引導記錄區，文件分配表，目錄區，數據區9. 病毒、蠕蟲、木馬多方面的對比、區別和聯系1.蠕蟲和病毒都具有傳播性

9、和破壞性。木馬不具有傳染性，無復制機制。2.病毒的存在形式：寄生，復制機制：插入到宿主文件中，傳染機制：宿主程序運行，傳染目標：針對本地文件，觸發傳染：計算機使用者，影響重點：文件系統，計算機使用角色：傳播的關鍵，防止措施：從宿主文件中摘除，對抗主體：計算機使用者和反病毒廠商3.蠕蟲的存在形式：獨立個體，復制機制：自身的拷貝，傳染機制：系統存在漏洞，傳染目標：針對網絡上其他計算機，觸發傳染：程序自身，影響重點：網絡性能系統性能，計算機使用角色：無關，防止措施：為系統打補丁，對抗主體：網管和系統提供商4.木馬主要是通過自身偽裝起來吸引用戶下載執行，以竊取用戶相關信息為目的，而病毒是以破壞為目的1

10、0.緩沖區溢出中棧溢出的C語言編程、堆棧過程中溢出的變化修改鄰接變量：#include<stdio.h>#include<string.h>Char shellcode=”xebx1fx”;Char large_string128;Int main(int argc,char*argv)Char buffer96;Int i;Long*long_ptr=(long*)large_string;For(i=0;i<32;i+)*(long_ptr+i)=（int）buffer;For(i=0;i<(int)strlen(shellcode);i+)Large_

11、stringi=shellcodei;Strcpy(buffer,large_string)Return 0;簡單密碼驗證程序，構造了棧溢出漏洞#include<stdio.h>#define PASSWORD “1234567”Int verify_password(char*password)Int authenticated;Char buffer8;Authenticated=strcmp(password,PASSWORD);Strcpy(buffer,password);Return authenticatedMain()int valid_flag=0;Char pa

12、ssword1024;While(1)Printf(“please input password:”);Scanf(“%s,password”);Valid_flag=verify_password(password);If(valid_flag)Printf(“incorrect password!nn”);ElsePrintf(“congratulation! You have passed the verification!n”);Break;11. 病毒的感染標記有什么作用？病毒程序進行感染時要寫入感染標記作為被感染程序已被感染的標記，用來判斷程序是否已被感染。13.PE文件的DOC頭

13、、NT映像頭、文件頭MZ文件頭和DOS插樁程序實際上就是一個在DOS環境下顯示信息的程序，MZ文件格式中，開始兩個字節是4D5A，計算機病毒判斷PE文件的第一步就是判斷文件前兩個字節是否是4D5A，第二步是判斷DOS程序頭中的偏移3CH處的四個字節找到PE字串的偏移位置，然后查看偏移位置的四字節是否是50450000。NT映像頭分為：1.字串PE00(4H)，它標志著NT映像頭的開始，也是PE文件中與WINDOWS有關內容的開始，可以再DOS程序頭中偏移3CH處的四個字節找到給該字符串的偏移位置。2.映像文件頭(14H)是映像頭的主要部分，它包含PE文件的最基本信息。Numberofsecti

14、ons文件中節表個數，sizeofoptionalheader可選頭的大小，這兩個對計算機病毒來說非常重要，知道可選文件頭的大小就可以知道節表的開始位置，通過節表的開始位置和節表的個數就可以確定節表的末尾地址(每個節是28H個字節)，這樣在添加新節時我們就可以找到新節表應該所在的位置。3.可選映像頭包含了PE文件的邏輯分布信息，該結構共有31個域。Sizeofcode代碼總尺寸，是所有代碼加起來的總和，并且這個值是向上對齊某個值的整數倍；addressofentrypoint程序開始執行的地方，是一個RVA；baseofcode代碼節開始的RVA一般為1000H；imagebase可執行文件的默認裝入基地址，如果程序裝入時這個值做基地址則裝入時不需要重定位，對于EXE文件，這個值一般是400000H；filealignment文件中節的對齊值；siz