计算机病毒复习资料

2024年3月9日发(作者：)

第一章

1.计算机病毒的定义：计算机病毒是一种人为制造、能够进行自我复制的，具有对计算机资

源的破坏作用的一组程序或指令的集合。

2.计算机病毒的特征与本质：（大概了解）

特性：自我复制能力，很强的感染性，一定的潜伏性，特定的触发性，很大的破坏性。

首先其本质是程序，而且是具有传染性的程序，也即可以反复执行或复制的程序

3.计算机病毒的分类：按寄生对象分为引导型病毒，文件型病毒和混合型病毒。

4根据计算机病毒的命名：

（1）给出病毒的名字，说明根据什么命名（通用命名规则）

a 按病毒的发作时间命名 如：“黑色星期五”（某月的13号且周五）；米开朗基罗病

毒（3.6 米开朗基罗生日）

b 按病毒发作症状命名 如：“小球”病毒，“火炬”病毒，“浏阳河”病毒（9.9

浏阳河，12.26 东方红）等：

c 按病毒的传染方式命名 如：黑色星期五病毒又名为疯狂拷贝病毒（感染.exe时

对文件标记做了错误判断而反复感染）

d 按病毒自身宣布的名称或包含的标志命名

CIH病毒的命名源于其含有“CIH”字符（陈盈豪）

e 按病毒的发现地命名

如“黑色星期五”又称为Jerusalem（耶路撒冷）病毒

f 按病毒的字节长度命名

如黑色星期五病毒又称作1813病毒

（2）估计标准命名方法（三元组命名法则）

计算机病毒英文命名规则也就是国际上对病毒民命的一般惯例为“前缀+病毒名+后

缀”，即三元组命名规则。

三元组中“病毒名”的命名优先级为：病毒的发现者（或制造者）→病毒的发作症状→

病毒的发源地→病毒代码中的特征字符串

5.描述几种计算机病毒的危害

6.描述几种计算机病毒的症状（表现）

7.描述几种计算机病毒的传播方式

（1）通过不可移动的计算机硬件设备进行传播

（2）通过移动存储设备来传播

（3）通过网络传播的方式

（4）通过无线通讯系统传播

8.描述计算机病毒的生命周期

(1)计算机病毒的产生过程可分为：

程序设计→传播→潜伏→触发、运行→实施攻击

（2）计算机病毒是一类特殊的程序，也有生命周期

开发期、传染期、潜伏期、发作期、发现期、消化期、消亡期

第二章

1.硬盘结构：对磁介质的处理分为3个过程

低级格式化（物理格式化，低格）：可以寻址，即将盘面划分成磁道、柱面和扇区

分区：是管理系统指导硬盘有哪些域可以使用。

高级格式化 (逻辑格式化，高格)：建立存储系统。在分区内建立分区引导记录DBR、文

word文档 可自由复制编辑

件分配表FAT、文件目录表FDT和数据区DATA。

2.寻址方式

（1）CHS

a）柱面（Cylinder），磁头（Heuder），扇区（Sector）

b）Cmax=1023，Hmax=255，Smax/磁道=63，且每个扇区一般为512字节。

（2）现代改用等密度结构生产硬盘，外圈磁道的扇区比内圈磁道多。以扇区位单位进行殉

职，即线性寻址LBA(Logic Block Address)。

13H调用的是BIOS提供的磁盘基本输入输出中断调用

4.硬盘数据结构

（1）一个一个硬盘最多可以划分为四个主分区，磁盘中可以作为分区表的只有64个字节，

每个主分区的参数需要占16个字节。

（2）分区以柱面为单位进行，不允许跨柱面，即不可把一个柱面分到不同的分区中。

（3）主引导记录（Master Boot Record，MBR）、磁盘分区表（Disk Partition Table，DPT）。

分区引导记录（DOS Boot Record，DBR），文件分配表（File Allocation Table，FAT）、

文件目录标表（File Directory Table，FDT）

（4）MBR的作用只用于寻找活动问去，并从活动分区装载系统引导程序（启动系统）。

5.文件系统

（1）FAT：文件分配表

（2）FAT12、16、32区别：即文件分配表的位数不同，位数不同，可记录的文件数不同。

（3）FAT：系统以簇为文件存储的基本单位。

（4）剩余扇区：无法成为一个簇（不够一个簇）的那些扇区。

（5）保留扇区（有时候也称作系统扇区，隐藏扇区），是指从分区DBR扇区开始的仅为系

统所有的扇区。

6.计算机的启动过程（了解）

7.中断

（1）定义、分类

（2）中断向量、中断向量表（要知道）。

中断向量表（Interrupt Vectors）：保存着系统所有中断服务程序的入口地址（偏移量和

段地址）的线性表。中断向量表占用内存最低端0000H到03FEH的1KB的地址空间，

存放256个元素即远指针（中断向量），编号从00到255（00~FFH）。每一中断向量

的入口地址占4字节，高2字节存放中断向量的段地址，低2字节存放中断向量的偏

移地址。

（3）确定中断所在的物理地址的方法：

根据终端类型号（中断向量号）计算中断向量入口地址在中断向量表中的偏移：

偏移=中断类型号×4

将其装入IP和CS;

由此则确定中断的物理地址：

物理地址=段地址×16+偏移地址

8.内存管理

在保护模式下的所有应用程序都具有权限级别。按优先次序，PL分为四等：0级、1级、

2级、3级；其中0级权限最高，3级最低、

文件的格式（结合PPT）

（1）PE文件：*.EXE、*.DLL、*.OCX，

(2) PE文件结构：

word文档 可自由复制编辑