1、第第14章章 恶意代码与计算机恶意代码与计算机14.1 恶意代码恶意代码14.2 计算机病毒计算机病毒14.3 防治措施防治措施14.4 本章小结本章小结习题习题代码是指计算机程序代码,可以被执行完成特定功代码是指计算机程序代码,可以被执行完成特定功能。黑客编写的具有破坏作用的计算机程序,这就能。黑客编写的具有破坏作用的计算机程序,这就是恶意代码。是恶意代码。14.1 恶意代码恶意代码 14.1.1 恶意代码的概念恶意代码的概念恶意代码可以按照两种分类标准,从两个角度进行恶意代码可以按照两种分类标准,从两个角度进行直交分类。一种分类标准是,恶意代码是否需要宿直交分类。一种分类标准是,恶意代码是
2、否需要宿主,即特定的应用程序、工具程序或系统程序。需主,即特定的应用程序、工具程序或系统程序。需要宿主的恶意代码具有依附性,不能脱离宿主而独要宿主的恶意代码具有依附性,不能脱离宿主而独立运行;不需宿主的恶意代码具有独立性,可不依立运行;不需宿主的恶意代码具有独立性,可不依赖宿主而独立运行。另一种分类标准是,恶意代码赖宿主而独立运行。另一种分类标准是,恶意代码是否能够自我复制。不能自我复制的恶意代码是不是否能够自我复制。不能自我复制的恶意代码是不感染的;能够自我复制的恶意代码是可感染的。感染的;能够自我复制的恶意代码是可感染的。14.1.2 恶意代码的分类恶意代码的分类表表14-1 恶意代码的分
3、类方法恶意代码的分类方法分类标准分类标准需要宿主需要宿主无需宿主无需宿主不能自我复制不能自我复制不感染的依附性恶意代码不感染的依附性恶意代码不感染的独立性恶意代码不感染的独立性恶意代码能够自我复制能够自我复制可感染的依附性恶意代码可感染的依附性恶意代码可感染的独立性恶意代码可感染的独立性恶意代码表表14-2 恶意代码的分类实例恶意代码的分类实例类别类别实例实例不感染的依附性恶意代码不感染的依附性恶意代码特洛伊木马(特洛伊木马(Trojan horseTrojan horse)逻辑炸弹(逻辑炸弹(Logic bombLogic bomb)后门(后门(BackdoorBackdoor)或陷门()或
4、陷门(TrapdoorTrapdoor)不感染的独立性恶意代码不感染的独立性恶意代码点滴器(点滴器(DropperDropper)繁殖器(繁殖器(GeneratorGenerator)恶作剧(恶作剧(HoaxHoax)可感染的依附性恶意代码可感染的依附性恶意代码病毒(病毒(VirusVirus)可感染的独立性恶意代码可感染的独立性恶意代码蠕虫(蠕虫(WormWorm)细菌(细菌(GermGerm)1.不感染的依附性恶意代码不感染的依附性恶意代码(1)特洛伊木马特洛伊木马特洛伊木马是一段能实现有用的或必需的功能的程序,但特洛伊木马是一段能实现有用的或必需的功能的程序,但是同时还完成一些不为人知的
5、功能,这些额外的功能往往是同时还完成一些不为人知的功能,这些额外的功能往往是有害的。是有害的。特洛伊木马经常伪装成游戏软件、搞笑程序、屏保、非法特洛伊木马经常伪装成游戏软件、搞笑程序、屏保、非法软件、色情资料等,上载到电子新闻组或通过电子邮件直软件、色情资料等,上载到电子新闻组或通过电子邮件直接传播,很容易被不知情的用户接收和继续传播。接传播,很容易被不知情的用户接收和继续传播。(2)逻辑炸弹逻辑炸弹逻辑炸弹(逻辑炸弹(Logic bomb)是一段具有破坏性的代码,事先)是一段具有破坏性的代码,事先预置于较大的程序中,等待某扳机事件发生触发其破坏行预置于较大的程序中,等待某扳机事件发生触发其破
6、坏行为。一旦逻辑炸弹被触发,就会造成数据或文件的改变或为。一旦逻辑炸弹被触发,就会造成数据或文件的改变或删除、计算机死机等破坏性事件。删除、计算机死机等破坏性事件。(3)后门或陷门后门或陷门后门(后门(backdoor)或陷门()或陷门(trapdoor)是进入系统)是进入系统或程序的一个秘密入口,它能够通过识别某种特定或程序的一个秘密入口,它能够通过识别某种特定的输入序列或特定账户,使访问者绕过访问的安全的输入序列或特定账户,使访问者绕过访问的安全检查,直接获得访问权利,并且通常高于普通用户检查,直接获得访问权利,并且通常高于普通用户的特权。多年来,程序员为了调试和测试程序一直的特权。多年来
7、,程序员为了调试和测试程序一直合法地使用后门,但当程序员或他所在的公司另有合法地使用后门,但当程序员或他所在的公司另有企图时,后门就变成了一种威胁。企图时,后门就变成了一种威胁。2.不感染的独立性恶意代码不感染的独立性恶意代码(1)点滴器点滴器点滴器(点滴器(dropper)是为传送和安装其他恶意代码)是为传送和安装其他恶意代码而设计的程序,它本身不具有直接的感染性和破坏而设计的程序,它本身不具有直接的感染性和破坏性。点滴器专门对抗反病毒检测,使用了加密手段,性。点滴器专门对抗反病毒检测,使用了加密手段,以阻止反病毒程序发现它们。当特定事件出现时,以阻止反病毒程序发现它们。当特定事件出现时,它
8、便启动,将自身包含的恶意代码释放出来。它便启动,将自身包含的恶意代码释放出来。(2)繁殖器繁殖器繁殖器(繁殖器(generator)是为制造恶意代码而设计的程)是为制造恶意代码而设计的程序,通过这个程序,把某些已经设计好的恶意代码序,通过这个程序,把某些已经设计好的恶意代码模块按照使用者的选择组合起来而已,没有任何创模块按照使用者的选择组合起来而已,没有任何创造新恶意代码的能力。因此,检测由繁殖器产生的造新恶意代码的能力。因此,检测由繁殖器产生的任何病毒都比较容易,只要通过搜索一个字符串,任何病毒都比较容易,只要通过搜索一个字符串,每种组合都可以被发现。每种组合都可以被发现。(3)恶作剧恶作剧
9、恶作剧(恶作剧(hoax)是为欺骗使用者而设计的程序,它)是为欺骗使用者而设计的程序,它侮辱使用者或让其做出不明智的举动。恶作剧通过侮辱使用者或让其做出不明智的举动。恶作剧通过“心理破坏心理破坏”达到达到“现实破坏现实破坏”。3.可感染的依附性恶意代码可感染的依附性恶意代码计算机病毒(计算机病毒(viru)是一段附着在其他程序上的可)是一段附着在其他程序上的可以进行自我繁殖的代码。由此可见,计算机病毒是以进行自我繁殖的代码。由此可见,计算机病毒是既有依附性,又有感染性。既有依附性,又有感染性。4.可感染的独立性恶意代码可感染的独立性恶意代码(1)蠕虫蠕虫计算机蠕虫(计算机蠕虫(worm)是一种
10、通过计算机网络能够)是一种通过计算机网络能够自我复制和扩散的程序。蠕虫与病毒的区别在于自我复制和扩散的程序。蠕虫与病毒的区别在于“附着附着”。蠕虫不需要宿主,感染的是系统环境。蠕虫不需要宿主,感染的是系统环境(如操作系统或邮件系统)。(如操作系统或邮件系统)。蠕虫利用一些网络工具复制和传播自身,其中包括:蠕虫利用一些网络工具复制和传播自身,其中包括:电子邮件蠕虫会把自身的副本邮寄到其他系统中;电子邮件蠕虫会把自身的副本邮寄到其他系统中;远程执行蠕虫能够执行在其他系统中的副本;远程执行蠕虫能够执行在其他系统中的副本;远程登录蠕虫能够像用户一样登录到远程系统中,远程登录蠕虫能够像用户一样登录到远程
11、系统中,然后使用系统命令将其自身从一个系统复制到另一然后使用系统命令将其自身从一个系统复制到另一个系统中。个系统中。根据启动方式可分为几种。根据启动方式可分为几种。自动启动蠕虫(自动启动蠕虫(Self-Launching Worm)不需要与)不需要与受害者交互而自动执行,如受害者交互而自动执行,如Morris Worm;用户启动蠕虫(用户启动蠕虫(User-Launched Worm)必须由使)必须由使用者来执行,因此需要一定的伪装,如用者来执行,因此需要一定的伪装,如CHRISTMA EXEC;混合启动蠕虫(混合启动蠕虫(Hybrid-Launch Worm)包含上述)包含上述两种启动方式。
12、两种启动方式。(2)细菌细菌计算机细菌(计算机细菌(germ)是一种在计算机系统中不断)是一种在计算机系统中不断复制自己的程序。以指数形式膨胀,最终会占用全复制自己的程序。以指数形式膨胀,最终会占用全部的处理器时间和内存或磁盘空间,从而导致计算部的处理器时间和内存或磁盘空间,从而导致计算资源耗尽无法为用户提供服务。细菌通常发生在多资源耗尽无法为用户提供服务。细菌通常发生在多用户系统和网络环境中,目的就是占用所有的资源。用户系统和网络环境中,目的就是占用所有的资源。计算机病毒是一种可感染的依附性恶意代码。计算机病毒是一种可感染的依附性恶意代码。计算机病毒具有纯粹意义上的病毒特征外,还带有计算机病
13、毒具有纯粹意义上的病毒特征外,还带有其他类型恶意代码的特征。其他类型恶意代码的特征。蠕虫病毒就是最典型和最常见的恶意代码,它是蠕蠕虫病毒就是最典型和最常见的恶意代码,它是蠕虫和病毒的混合体。虫和病毒的混合体。14.2 计算机病毒计算机病毒中华人民共和国计算机信息系统安全保护条例中华人民共和国计算机信息系统安全保护条例中的定义为:中的定义为:“计算机病毒是指编制者在计算机程计算机病毒是指编制者在计算机程序中插入的破坏计算机功能或者数据,影响计算机序中插入的破坏计算机功能或者数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序使用并且能够自我复制的一组计算机指令或者程序代码。代码。”14.
14、2.1 计算机病毒的概念计算机病毒的概念计算机病毒(简称病毒)具有以下特征:计算机病毒(简称病毒)具有以下特征:(1)传染性传染性病毒通过各种渠道从已被感染的计算机扩散到未被病毒通过各种渠道从已被感染的计算机扩散到未被感染的计算机。所谓感染的计算机。所谓“感染感染”,就是病毒将自身嵌,就是病毒将自身嵌入到合法程序的指令序列中,致使执行合法程序的入到合法程序的指令序列中,致使执行合法程序的操作会招致病毒程序的共同执行或以病毒程序的执操作会招致病毒程序的共同执行或以病毒程序的执行取而代之。行取而代之。(2)隐蔽性隐蔽性病毒一般是具有很高编程技巧的、短小精悍的一段病毒一般是具有很高编程技巧的、短小精
15、悍的一段代码,躲在合法程序当中。如果不经过代码分析,代码,躲在合法程序当中。如果不经过代码分析,病毒程序与正常程序是不容易区别开来的。病毒程序与正常程序是不容易区别开来的。(3)潜伏性潜伏性病毒进入系统之后一般不会马上发作,默默地进行病毒进入系统之后一般不会马上发作,默默地进行传染扩散而不被人发现。病毒的内部有一种触发机传染扩散而不被人发现。病毒的内部有一种触发机制,一旦触发条件得到满足,病毒便开始表现,有制,一旦触发条件得到满足,病毒便开始表现,有的只是在屏幕上显示信息、图形或特殊标识,有的的只是在屏幕上显示信息、图形或特殊标识,有的则执行破坏系统的操作。触发条件可能是预定时间则执行破坏系统
16、的操作。触发条件可能是预定时间或日期、特定数据出现、特定事件发生等。或日期、特定数据出现、特定事件发生等。(4)多态性多态性病毒试图在每一次感染时改变它的形态,使对它的病毒试图在每一次感染时改变它的形态,使对它的检测变得更困难。检测变得更困难。(5)破坏性破坏性病毒一旦被触发而发作就会造成系统或数据的损伤病毒一旦被触发而发作就会造成系统或数据的损伤甚至毁灭。病毒的破坏程度主要取决于病毒设计者甚至毁灭。病毒的破坏程度主要取决于病毒设计者的目的,如果病毒设计者的目的在于彻底破坏系统的目的,如果病毒设计者的目的在于彻底破坏系统及其数据,那么这种病毒对于计算机系统进行攻击及其数据,那么这种病毒对于计算
17、机系统进行攻击造成的后果是难以想像的,它可以毁掉系统的部分造成的后果是难以想像的,它可以毁掉系统的部分或全部数据并使之无法恢复。或全部数据并使之无法恢复。计算机病毒主要由潜伏机制、传染机制和表现机制计算机病毒主要由潜伏机制、传染机制和表现机制构成。在程序结构上由实现这构成。在程序结构上由实现这3种机制的模块组成种机制的模块组成(见图(见图14.1)。)。若某程序被定义为计算机病毒,只有传染机制是强若某程序被定义为计算机病毒,只有传染机制是强制性的,潜伏机制和表现机制是非强制性的。制性的,潜伏机制和表现机制是非强制性的。14.2.2 计算机病毒的结构计算机病毒的结构图图14.1 计算机病毒程序结
18、构计算机病毒程序结构1.潜伏机制潜伏机制潜伏机制的功能包括初始化、隐藏和捕捉。潜伏机潜伏机制的功能包括初始化、隐藏和捕捉。潜伏机制模块随着感染的宿主程序的执行进入内存,首先,制模块随着感染的宿主程序的执行进入内存,首先,初始化其运行环境,使病毒相对独立于宿主程序,初始化其运行环境,使病毒相对独立于宿主程序,为传染机制做好准备。然后,利用各种可能的隐藏为传染机制做好准备。然后,利用各种可能的隐藏方式,躲避各种检测,欺骗系统,将自己隐蔽起来。方式,躲避各种检测,欺骗系统,将自己隐蔽起来。最后,不停地捕捉感染目标交给传染机制,不停地最后,不停地捕捉感染目标交给传染机制,不停地捕捉触发条件交给表现机制
19、。捕捉触发条件交给表现机制。2.传染机制传染机制传染机制的功能包括判断和感染。传染机制先是判传染机制的功能包括判断和感染。传染机制先是判断候选感染目标是否已被感染,感染与否通过感染断候选感染目标是否已被感染,感染与否通过感染标记来判断,感染标记是计算机系统可以识别的特标记来判断,感染标记是计算机系统可以识别的特定字符或字符串。一旦发现作为候选感染目标的宿定字符或字符串。一旦发现作为候选感染目标的宿主程序中没有感染标记,就对其进行感染,也就是主程序中没有感染标记,就对其进行感染,也就是将病毒代码和感染标记放入宿主程序之中。将病毒代码和感染标记放入宿主程序之中。3.表现机制表现机制表现机制的功能包
20、括判断和表现。表现机制首先对表现机制的功能包括判断和表现。表现机制首先对触发条件进行判断,然后根据不同的条件决定什么触发条件进行判断,然后根据不同的条件决定什么时候表现、如何表现。表现内容多种多样,然而不时候表现、如何表现。表现内容多种多样,然而不管是炫耀、玩笑、恶作剧,还是故意破坏,或轻或管是炫耀、玩笑、恶作剧,还是故意破坏,或轻或重都具有破坏性。表现机制反映了病毒设计者的意重都具有破坏性。表现机制反映了病毒设计者的意图,是病毒间差异最大的部分。潜伏机制和传染机图,是病毒间差异最大的部分。潜伏机制和传染机制是为表现机制服务的。制是为表现机制服务的。防治病毒,防治病毒,“防防”是主动的,是主动
21、的,“治治”是被动的。是被动的。首先要积极地首先要积极地“防防”,尽量避免病毒入侵。对于入,尽量避免病毒入侵。对于入侵的病毒当然要努力地侵的病毒当然要努力地“治治”,以尽量减少和挽回,以尽量减少和挽回病毒造成的损失,。因此,病毒防治应采取病毒造成的损失,。因此,病毒防治应采取“以防以防为主、与治结合、互为补充为主、与治结合、互为补充”的策略,不可偏废任的策略,不可偏废任何一方面。何一方面。14.3 防治措施防治措施如上所述,病毒防治技术分为如上所述,病毒防治技术分为“防防”和和“治治”两部两部分。分。“防防”毒技术包括预防技术和免疫技术;毒技术包括预防技术和免疫技术;“治治”毒技术包括检测技术
22、和消除技术。毒技术包括检测技术和消除技术。14.3.1 病毒防治的技术病毒防治的技术1.病毒检测技术病毒检测技术病毒检测就是采用各种检测方法将病毒识别出来。病毒检测就是采用各种检测方法将病毒识别出来。目前,对已知病毒的识别主要采用特征判定技术,目前,对已知病毒的识别主要采用特征判定技术,即静态判定技术,对未知病毒的识别除了特征判定即静态判定技术,对未知病毒的识别除了特征判定技术外,还有行为判定技术,即动态判定技术。技术外,还有行为判定技术,即动态判定技术。4.病毒消除技术病毒消除技术病毒消除的目的是清除受害系统中的病毒,恢复系病毒消除的目的是清除受害系统中的病毒,恢复系统的原始无毒状态。具体来
23、讲,就是针对系统统的原始无毒状态。具体来讲,就是针对系统中的病毒寄生场所或感染对象进行一一杀毒。中的病毒寄生场所或感染对象进行一一杀毒。有效的病毒防治部署是采用基于网络的多层次的病有效的病毒防治部署是采用基于网络的多层次的病毒防御体系。该体系在整个网络系统的各组成环节毒防御体系。该体系在整个网络系统的各组成环节处,包括客户端、服务器、处,包括客户端、服务器、Internet网关和防火墙,网关和防火墙,设置防线,形成多道防线。即使病毒突破了一道防设置防线,形成多道防线。即使病毒突破了一道防线,还有第二、第三道防线拦截,因此,能够有效线,还有第二、第三道防线拦截,因此,能够有效地遏制病毒在网络上的
24、扩散。地遏制病毒在网络上的扩散。14.3.2 病毒防治的部署病毒防治的部署病毒防治不仅是技术问题,更是社会问题、管理问病毒防治不仅是技术问题,更是社会问题、管理问题和教育问题。题和教育问题。要做到以下几点:要做到以下几点:建立和健全相应的国家法律和法规;建立和健全相应的国家法律和法规;建立和健全相应的管理制度和规章;建立和健全相应的管理制度和规章;加强和普及相应的知识宣传和培训。加强和普及相应的知识宣传和培训。14.3.3 病毒防治的管理病毒防治的管理1.病毒防治软件的类型病毒防治软件的类型病毒防治软件按其查毒杀毒机制可分为以下病毒防治软件按其查毒杀毒机制可分为以下3种类种类型:型:(1)病毒
25、扫描型病毒扫描型病毒扫描型软件采用特征扫描法。这类软件具有检病毒扫描型软件采用特征扫描法。这类软件具有检测速度快、误报率低和准确度高的优点,正因为能测速度快、误报率低和准确度高的优点,正因为能准确识别已知病毒,所以对被已知病毒感染的程序准确识别已知病毒,所以对被已知病毒感染的程序和数据一般都能恢复。要保证病毒防治的有效性,和数据一般都能恢复。要保证病毒防治的有效性,病毒特征码库和扫描引擎必须经常升级。病毒特征码库和扫描引擎必须经常升级。14.3.4 病毒防治软件病毒防治软件(2)完整性检查型完整性检查型完整性检查型软件采用比较法和校验和法,监视观完整性检查型软件采用比较法和校验和法,监视观察对
26、象(包括引导扇区和计算机文件等)的属性察对象(包括引导扇区和计算机文件等)的属性(包括大小、时间、日期和校验和等)和内容是否(包括大小、时间、日期和校验和等)和内容是否发生改变,如果检测出变化,则观察对象极有可能发生改变,如果检测出变化,则观察对象极有可能已遭病毒感染。已遭病毒感染。(3)行为封锁型行为封锁型行为封锁型软件采用驻留内存在后台工作的方式,行为封锁型软件采用驻留内存在后台工作的方式,监视可能因病毒引起的异常行为,如果发现异常行监视可能因病毒引起的异常行为,如果发现异常行为,便及时警告用户,由用户决定该行为是否继续。为,便及时警告用户,由用户决定该行为是否继续。这类软件试图阻止任何病
27、毒的异常行为,因此可以这类软件试图阻止任何病毒的异常行为,因此可以防止新的未知病毒的传播和破坏。当然,有的防止新的未知病毒的传播和破坏。当然,有的“可可疑行为疑行为”是正常的,所以出现是正常的,所以出现“误诊误诊”总是难免的。总是难免的。2.病毒防治软件的选购病毒防治软件的选购选购病毒防治软件时,需要注意的指标包括检测速选购病毒防治软件时,需要注意的指标包括检测速度、识别率、清除效果、可管理性、操作界面友好度、识别率、清除效果、可管理性、操作界面友好性、升级难易度、技术支持水平等诸多方面。性、升级难易度、技术支持水平等诸多方面。(1)检测速度检测速度(2)识别率识别率(3)清除效果清除效果恶意
28、代码是指黑客编写的扰乱社会和他人甚至起着恶意代码是指黑客编写的扰乱社会和他人甚至起着破坏作用的计算机程序,计算机病毒是恶意代码中破坏作用的计算机程序,计算机病毒是恶意代码中最常见的一种。为了保障计算机系统和网络的正常最常见的一种。为了保障计算机系统和网络的正常运行,有必要懂得恶意代码与计算机病毒的基本概运行,有必要懂得恶意代码与计算机病毒的基本概念、工作原理和防止措施。念、工作原理和防止措施。14.4 本章小结本章小结恶意代码按照是否需要宿主和是否能够自我复制分恶意代码按照是否需要宿主和是否能够自我复制分为为4大类:大类:(1)不感染的依附性恶意代码,包括特洛伊木马、不感染的依附性恶意代码,包
29、括特洛伊木马、逻辑炸弹、后门或陷门等。逻辑炸弹、后门或陷门等。(2)不感染的独立性恶意代码,包括点滴器、繁不感染的独立性恶意代码,包括点滴器、繁殖器、恶作剧等。殖器、恶作剧等。(3)可感染的依附性恶意代码,主要是病毒。可感染的依附性恶意代码,主要是病毒。(4)可感染的独立性恶意代码,包括蠕虫、细菌可感染的独立性恶意代码,包括蠕虫、细菌等。等。计算机病毒的基本特征有传染性、隐蔽性、潜伏性、计算机病毒的基本特征有传染性、隐蔽性、潜伏性、多态性和破坏性。计算机病毒主要由潜伏机制、传多态性和破坏性。计算机病毒主要由潜伏机制、传染机制和表现机制构成。染机制和表现机制构成。恶意代码或计算机病毒的防治应采取
30、恶意代码或计算机病毒的防治应采取“以防为主,以防为主,与治结合,互为补充与治结合,互为补充”的策略,不可偏废任何一方的策略,不可偏废任何一方面。病毒防治技术包括预防技术、免疫技术、检测面。病毒防治技术包括预防技术、免疫技术、检测技术和消除技术。有效的病毒防治部署采用基于网技术和消除技术。有效的病毒防治部署采用基于网络的多层次的病毒防御体系。络的多层次的病毒防御体系。病毒防治不仅是技术问题,更是社会问题、管理问病毒防治不仅是技术问题,更是社会问题、管理问题和教育问题,应建立和健全相应的国家法律和法题和教育问题,应建立和健全相应的国家法律和法规,建立和健全相应的管理制度和规章,加强和普规,建立和健
31、全相应的管理制度和规章,加强和普及相应的知识宣传和培训。及相应的知识宣传和培训。病毒防治软件按其查毒杀毒机制分为病毒扫描型、病毒防治软件按其查毒杀毒机制分为病毒扫描型、完整性检查型和行为封锁型。选购病毒防治软件时,完整性检查型和行为封锁型。选购病毒防治软件时,需要注意的指标包括检测速度、识别率、清除效果、需要注意的指标包括检测速度、识别率、清除效果、可管理性、操作界面友好性、升级难易度、技术支可管理性、操作界面友好性、升级难易度、技术支持水平等诸多方面。持水平等诸多方面。14-1画出下面恶意代码类别与实例的对应关系。类画出下面恶意代码类别与实例的对应关系。类别别A.不感染、依附性不感染、依附性
32、B.不感染、独立性不感染、独立性C.可感染、依附性可感染、依附性D.可感染、独立性实例可感染、独立性实例习题习题a.后门(后门(backdoor)b.点滴器(点滴器(dropper)c.繁殖器(繁殖器(generator)d.细菌(细菌(germ)e.恶作剧(恶作剧(hoax)f.逻辑炸弹(逻辑炸弹(Logic Bomb)g.陷门(陷门(trapdoor)h.特洛伊木马(特洛伊木马(Trojan Horse)i.病毒(病毒(virus)j.蠕虫(蠕虫(worm)14-2 计算机病毒有哪些基本特征?计算机病毒有哪些基本特征?14-3 计算机病毒主要由()机制、()机制和()计算机病毒主要由()机
33、制、()机制和()机制构成。机制构成。14-4 计算机病毒按连接方式分为()、()、()计算机病毒按连接方式分为()、()、()和(),按破坏性质分为()和(),按感染方式和(),按破坏性质分为()和(),按感染方式分为()、()和()。分为()、()和()。A.良性病毒良性病毒 B.源码型病毒源码型病毒 C.恶性病毒恶性病毒D.嵌入型病毒嵌入型病毒 E.引导型病毒引导型病毒 F.外壳型病毒外壳型病毒G.文件型病毒文件型病毒 H.混合型病毒混合型病毒 I.操作系统型操作系统型病毒病毒14-5 宏病毒属于哪种类型的病毒?宏病毒属于哪种类型的病毒?14-6 病毒防治技术分为病毒防治技术分为“防防”
34、和和“治治”两部分。两部分。“防防”毒技术包括()技术和()技术;毒技术包括()技术和()技术;“治治”毒毒技术包括()技术和()技术。技术包括()技术和()技术。14-7 计算机病毒特征判定技术有()法、()法、计算机病毒特征判定技术有()法、()法、()法和()法。()法和()法。14-8 基于网络的多层次的病毒防御体系中设置的多基于网络的多层次的病毒防御体系中设置的多道防线包括()防线、()防线、()防线和()道防线包括()防线、()防线、()防线和()防线。防线。14-9 病毒防治不仅是技术问题,更是()问题、()病毒防治不仅是技术问题,更是()问题、()问题和()问题。问题和()问题。14-10 病毒防治软件的类型分为()型、()型和病毒防治软件的类型分为()型、()型和()型。()型。
