计算机病毒与反病毒技术 课后习题答案

1、注：1219更新第三章第2题、第5题的感染机制答案计算机病毒复习思索题第一章计算机病毒概述.简述计算机病毒的定义和特征。计算机病毒（Computer Virus）,是一种人为制造的、能够进行自我复制的、具有对计算机资 源进行破坏作用的一组程序或指令集合。计算机病毒的可执行性（程序性）、传染性、非授权性、隐蔽性、埋伏性、可触发性、破坏性、 攻击的主动性、针对性、衍生性、寄生性（依附性）、不行预见性、诱惑哄骗性、长久性。.计算机病毒有哪些分类方法？依据每种分类方法，试举出一到两个病毒。.为什么同一个病毒会有多个不同的名称？如何通过病毒的名称识别病毒的类型？国际上对病毒命名的一般惯例为“前缀+病毒名

2、+后缀”，即三元组命名规章。1 系统病毒系统病毒的前缀为：Win32 PE、Win95、W32、W95等。2、蠕虫病毒蠕虫病毒的前缀是：Wormo3、木马病毒、黑客病毒木马病毒其前缀是：Trojan,黑客病毒前缀名一般为Hack。4、脚本病毒脚本病毒的前缀是：Scripto5、宏病毒其实宏病毒是也是脚本病毒的一种，由于它的特殊性，因此在这里单独算成一类。宏病毒的 前缀是：Macroo6、后门病毒后门病毒的前缀是：Backdooro7、病毒种植程序病毒后门病毒的前缀是：Droppero这类病毒的公有特性是运行时会从体内释放出一个或几个新 的病毒到系统名目下，由释放出来的新病毒产生破坏。.破坏性程

3、序病毒破坏性程序病毒的前缀是：Harmo这类病毒的公有特性是本身具有好看的图标来诱惑用户 点击，当用户点击这类病毒时，病毒便会直接对用户计算机产生破坏。.玩笑病毒玩笑病毒的前缀是：Joke。.捆绑机病毒捆绑机病毒的前缀是：Bindero.简述计算机病毒产生的背景。.计算机病毒有哪些传播途径？传播途径有两种，一种是通过网络传播，一种是通过硬件设施传播（软盘、U盘、光盘、硬 盘、存储卡等）。网络传播，又分为因特网传播和局域网传播两种。硬件设施传播：通过不行移动的计算机硬件设施传播、通过移动存储设施传播、通过无线设*2,试述引导型病毒的启动过程。答：带毒硬盘引导一一BIOS将硬盘主引导区读到内存0:

4、7C00处掌握权转到主引导程序（这是千古不变的）（病毒）将0:413单元的值削减1K或nK计算可用内存高段地址将病毒移到高段连续执行修改INT13地此指向病毒传染段，将原INT13 地址保存在某一单元一-病毒任务完成，将原引导区调 入0:7C00执行一机器正 常引导*3,编写程序，采用INTI3H实现引导区的备份与恢复。答：从U盘或光盘启动，进入纯DOSDEBUG-A 100mov ax,0201mov bx,0200mov ex,0001mov dx,0080int 13mov ax,0301mov bx,0200mov ex,0002mov dx,0080int 13int 3-g=100

5、.编写程序，采用该程序修复被COM_V 感染的host_com 。.试绘出感染EXE文件的例如病毒exe_v的流程图。P181.编写程序，采用该程序修复被exe_v 感染的文件。.试绘出混合型病毒Natas病毒的加密变形流程图。P181*8.如何清除引导型病毒答：以KV3000为例，只要硬盘本身染上引导区病毒，那么用硬盘本身启动必定是系统 本身就带毒，因此调用KVW3000杀毒时不能完全清除，关键就是系统本身带病。可以 使用洁净的软盘启动电脑进入系统DOSo清除引导区病毒KV3000有一个命令 KV3000/Ko在执行KV3000/K时可用KV3000/B备份一个硬盘主引导信息，假设不 KV3

6、000/B那么执行KV3000/K时也会让你备份一主引导信息即HDPT.VIR的文件。同 样软盘上的引导区病毒也用KV3000/Ko*9试述文件型病毒的基本原理。P168答：无论是 文件还是.EXE文件，还是操作系统的可执行文件（包 括.SYS、QVL、.PRG、.DLL文件），当启动已感染文件型病毒的程序（HOST程序）时， 临时中断该程序，病毒完成陷阱（激活条件）的布置、感染工作后，再连续执行HOST程 序，使计算机使用者初期觉得可正常执行，而实际上，在执行期间，病毒已暗做传染的 工作，时机成熟时，病毒发作。第5章W i ndows病毒分析1. PE病毒的感染过程是怎样的？如何推断一个文件

7、是否感染了 PE病毒（如Immunity）?针 对你的推断依据，采纳何种手段可以更好地隐蔽PE病毒？编程修复被Immunity感染的 host_pe.exe 文件。PE病毒的感染过程.推断目标文件开头的两个字节是否为“MZ”。.推断PE文件标记“PE”。.推断感染标记，假如已被感染过那么跳出连续执行HOST程序，否那么连续。.获得Directory （数据名目）的个数，（每个数据名目信息占8个字节）。.得到节表起始位置。（Directory的偏移地址+数据名目占用的字节数二节表起始位置）.得到目前最终节表的末尾偏移（紧接其后用于写入一个新的病毒节）节表起始位置+节的个数*（每个节表占用的字节数

8、28H）=目前最终节表的末尾偏移。.开头写入节表.查阅MSDN或其他资料，熟识本章所涉及的API函数的用法。.简要描述CIH病毒的触发机制、感染机制。如何让系统对CIH病毒具有免疫力量？ 触发机制： CIH病毒的驻留（初始化）当运行感染了 CIH病毒的PE文件时，由于该病毒修改了该程序的入口地址，从而首先 调入内存执行，其驻留主要过程：用SIDT指令取得IDT base address（中断描述符表基地址）,然后把IDT的INT 3H的入口地址改为指向CIH自己的INT3H程序入口局部；执行INT 3H指令，进入CIH自身的INT 3H入口程序，这样，CIH病毒就可 以获得Windows最高级

9、别的权限Ring 0。病毒在这段程序中首先检查调试寄存 器DR0的值是否为0,用以推断从前是否有CIH病毒已经驻留；假如DR0的值不为0,那么表示CIH病毒程式已驻留,病毒程序恢复原先的INT 3H入口，然后正常退出INT3H,跳到过程；假如DR0值为0,那么CIH病毒将尝试进行驻留；假如内存申请胜利，那么从被感染文件中将原先分成多块的病毒代码收集起来, 并进行组合后放到申请到的内存空间中再次调用INT 3H中断进入CIH病毒体的INT 3H入口程序，调用INT 20H来 完成调用一个IFSMgjInstaHFileSystemApiHook的子程序，在 Windows内核中 文件系统处理函数

10、中挂接钩子，以截取文件调用的操作，这样一旦系统消失要 求开启文件的调用，那么CIH病毒的传染局部程序就会在第一时间截获此文件；将同时猎取的Windows操作系统默认的IFSMgr_RingO_FileIO（核心文件输入/ 输出）服务程序的入口地址保存在DR0寄存器中，以便于CIH病毒调用；恢复原先的IDT中断表中的INT 3H入口，退出INT3H；依据病毒程序内隐蔽的原文件的正常入口地址，跳到原文件正常入口，执行 正常程序感染机制： CIH病毒的传染局部实际上是病毒在驻留内存过程中调用Windows内核底层函数 IFSMgr_InstallFileSysteinApiHook函数挂接钩子时指针

11、指示的那段程序，其感染过程如 下：文件的截获。EXE文件的推断。如何让系统对CIH病毒具有免疫力量：1、假如没有杀病毒软件，务必请修改系统时间，跳过每个月的26日。2、有些电脑系统主板具备BIOS写保护开关，但一般设置均为开， 对系统硬件较为熟识的用户，可将其拨至关的位置，这样可以防范病 毒改写BIOS信息。3、配备有效的杀毒软件，定时对系统进行检查。清除CIH病毒最 好的方法是使用DOS版杀毒软件。瑞星杀毒软件9. 0具有定时自动查杀 功能，可彻底查杀CIH系统毁灭者病毒。第一次杀毒时，请用瑞星杀毒 软件9. ODOS版，清除病毒后再装入WIN95版。这是由于在WIN95 / 98启 动后，

12、有几个文件被系统使用，处于禁写状态。假如这些文件被感染， 将无法彻底消退病毒。4、假如尚未得到杀病毒软件，可采纳压缩并解压缩文件的方式加 以检查，但用该方法不能推断是否有CIHvl. 4病毒。5、由于病毒对全部硬盘数据彻底破坏，单纯恢复硬盘分区表不行 能恢复文件系统，所以请务必将重要数据进行备份。4.脚本病毒有哪些弱点？如何防治和清除脚本病毒? VBS脚本病毒具有如下几个特点：编写简洁破坏力大感染力强传播范围大病毒源码简洁被猎取，变种多哄骗性强使得病毒生产机实现起来特别简洁针对以上提到的VBS脚本病毒的弱点，可以采纳如下集中防范措施：禁用文件系统对象FileSystemObject卸载WSH删

13、除VBS、VBE、JS、JSE文件后缀名与应用程序的映射将WScriptexe更改名称或者删除自定义平安级别，把与“ActiveX控件及插件”有关的一切设为禁用禁止OutlookExpress的自动收发邮件功能显示扩展名，避开病毒采用文件扩展名作文章将系统的网络连接的平安级别设置至少为“中等”安装、使用杀毒软件.假如脚本病毒对其代码进行了加密，我们能否看到其解密后的源代码？怎样猎取解密后 的源代码？vbs脚本病毒，看上去是乱码，一点也看不懂，其实还是有迹可循的。其思路就是寻找“execute”关键词。 病毒最终，还是要换成机器可以看懂的内容，也就是说，最终一层的execute里面的内容，就是病

14、毒的源 代码。依据这个思路，那么可以知道，解密方法也肯定就在这个execute里面。也就是说：无需明白他是如何加密的，只需要知道，execute出来的是什么。依据这个思路，可以得到程序的最终一次迭代加密过程前的代码，也就是第一次迭代解密的代码，看上去 还是乱码，不过还是同样的道理，总可以找到execute这个关键词。病毒可能经过屡次迭代，不过最终还 是可以看懂的。需要留意的是，execute后面的内容解密出来假如真的用execute执行了，那就中招了，所以这里要留意 不能把execute也放进去一起执行。.爱虫病毒对系统有哪些危害？编制一个爱虫病毒的解毒程序。新爱虫”(Vbs.Newlove)

15、病毒，同爱虫(Vbs.loveletter)病毒一样，也通过outlook传播，会向地址 簿中全部的联系人发送病毒邮件。假如翻开病毒邮件的附件，还会造成更严峻的后果。您会观看 到计算机的硬盘灯狂闪，系统速度显著变慢，计算机中消失大量的扩展名为vbs的文件。全部快 捷方式被转变为与系统名目下wscript.exe建立关联，意味着启动全部的文件wscript.exe都会首先 运行，会进一步消耗系统资源，造成系统崩溃。清除病毒后还需要手工恢复文件关联，一般用户 很难操作。.宏病毒采纳哪些传播方式？如何防治和清除宏病毒？宏病毒的传播方式在Word或其他Office程序中，宏分成两种在某个文档中包含的内

16、嵌宏，如FileOpen宏属于Word应用程序，全部翻开的文档公用的宏，如AutoOpen宏 Word宏病毒一般都首先隐蔽在一个指定的Word文档中，一旦翻开了这个Word文档, 宏病毒就被执行，宏病毒要做的第一件事情就是将自己拷贝到全局宏的区域，使得全部 翻开的文档都可使用这个宏当Word退出的时候，全局宏将被存储在某个全局的模板文档(.dot文件)中，这个文件的 名字通常是“normal.dot”，即normal模板假如全局宏模板被感染，那么Word再启动的时候将自动载入宏病毒并且自动执行宏病毒的防范禁止运行担忧全的宏 Word被宏病毒感染之后（实际上是Word使用的模板文档被感染），可以

17、将其恢复正常退出Word,然后先到C盘根名目下查看是否存在Autoexec.dot文件，假如存 在，而你又不知道它是什么时侯消失的，删除之找到Normal.dot文件，用从前的洁净备份替换之或干脆删除之查看Normal.dot所在名目是否还存在其他模板文件,假如存在且不是你自己拷 贝进去的，删除之重新启动Word,已经恢复正常8.如何查看宏病毒的源代码？假如代码被加密呢？为了了解宏病毒，就必需读它的原代码，可是有时候宏是加密的，（Execute-only Macro）,1 o 重命名 Normaldot。起动 word。/防止word启动时就带上了宏病毒2o新建一个宏，特地用于读带毒文件中的宏

18、代码（只是原理）Sub MainDisableAutoMacros 很关键，防止引入宏病毒Dim D As FileOpenGetCurValue DDiolog DFileOpen D 这一段用于翻开带毒文件MacroCopy D.Name+”:+”CAPsourceCAP”,0MacroCopy D.Name+:+,AutoOpen, notAuotOpen,0a 以CAP宏病毒为例，将宏代码拷贝到normal.dot其中参数0表示可编辑，非0表示加密FileClose 2Sub End3o运行上面的宏，将宏代码拷贝到normal.dot留意要转变宏的名字4o阅读宏代码5o关闭word,恢

19、复原来的normal. dot.在MSDN中查阅有关FileSystemObject的信息，了解其各种方法及属性。FileSystemObjectDriveExists(divespec)GetDrive(divespec)GetDriveName(divespec)BuildPath(path,name)向现有路径后添加名称CopyFile source, destination, overwrite将一个或多个文件从某位置自制到另一位置CopyFolder source, destination!，overwrite将文件夹从某位置递归复制到另一位置CreateFolder(foldern

20、ame)创立文件夹OpenTextFile(filename, iomode, create, format)翻开指定的文件并返回一个 Textstream 对象，可以 读取、写入此对象或将其追加到文件 CreateTextFile创立指定文件并返回Textstream对象，该对象可用于读或定创立的文件DeleteFile filespec, force删除指定的文件 DeleteFolde册U除指定的文件夹FileExists(filespec)假如指定的文件存在返回True,否那么返回FalseFolderExits(folderspec)假如指定的文件夹存在返回True,否那么返回Fal

21、seGetAbsolutePathName(pathspec)从供应的指定路径中返回完整含义明确的路径GetBaseName(path) 返回字符串，包含文件的基本名，或者路径说明的文件夹 GetExtensionName(path)返回字符串，包含路径最终一个组成局部的扩展名GetFile(filespec)返回与指定路径中某文件相应的File对象GetFolder(folderspec)返回与指定的路径中某文件夹相应的Folder对象GetFileName(pathspec)返回指定路径(不是指定路径驱动器路径局部)的最终一个文件或文件夹GetTempName返回随机生成的临时文件或文件夹

22、的名称，用于执行要求临时文件夹或文件的操GetSpecialFolder(folderspec) 返回指定的特殊文件夹 GetParentFolderName返回指定的路径中最终一个文件或才文件夹的父文件夹MoveFile source, destination将一个或多个文件从某位置移动到另一位置Drives集合 只读全部可用驱动器的集合 filesystemobject.Drives Folders集合 包含在一个Folder对象的全部Folder对象集合 filesystemobject.SubFolders Files集合 文件夹中全部File对象的集合 filesystemobjec

23、t.FilesDriveAvailableSpace可用空间的大小 DriveLetter返回驱动器号 DriveType描述驱动器类型的值 FileSystem文件系统的类型 FreeSpace对用户的可用空间大小 IdReady指定的驱动器就绪与否，返回True/False Path返回指定文件、文件夹或驱动器的路径 RootFolder返回一个Folder对象，表示指定驱动器的根文件夹. SerialNumber返回十进制序列号，用于唯一标识一个磁盘卷 TotalSize返回驱动器或网络共享的总字节数VolumeName设置或返回指定驱动器的卷标（盘符说明）ShareName返回指定的驱

24、动器的网络共享名Folder（File）Attributes设置或返回文件或文件夹的属性DateCreated返回指定的文件或文件夹的创立日期和时间。只读DateLastAccessed返回指定的文件或文件夹的上次访问日期（和时间）。只读DateLastModified返回指定的文件或文件夹的上次修改日期和时间。只读Drive 返回指定的文件夹或文件夹所在的驱动器的驱动器号。只读Files返回指定文件夹中全部File对象（系统或隐蔽）组成的Files集合IsRootFolder假如指定的文件夹是根文件夹，返回True;否那么返回FalseName 设置或返回指定的文件或文件夹的名称。可读写Pa

25、rentFolder返回指定文件或文件夹的父文件夹。只读ShortName返回依据早期8.3文件命名商定转换的短文件名ShortPath返回依据早期8.3命名商定转换的短路径名Size 对于文件返回指定文件的字节数；对于文件夹，返回文件夹全部的文件夹和子文件夹的字节数SubFolders返回由指定文件夹中全部子文件夹组成的Folders集合Type 返回文件或文件夹的类型信息。Path 返回指定文件、文件夹或驱动器的路径.查阅相关资料，了解Windows各版本设施驱动程序的编写方法 WSH中，Windows和DOS下的文件名分别是什么？如何禁止文件系统对象。文件名为WScript.exe（假设

26、是在DOS命令提示符下，那么为CScript.exe,命令格式:CScriptFileName.vbs）用regsvr32 scrrun.dll /u禁止了文件系统对象，在执行包含脚本的那么提示失败用VBScript脚本编写解除注册表和任务管理器禁用的脚本文件。试写出其相应的REG、BAT、INF 文件。Reg：那就通过批处理或vbs脚本，或组策略或者特地的软件来解决！发一个vbs脚原来处理这个问题吧，你可以参考一下：Dim unlockSet unlock = WscrTpt.CreateObject（,Wscript.Sheir,）unlock.Popup ”你的注册表已胜利解除，感谢使用

27、！”unlock.RegWriteHKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystemDisableRegistryToolsH,0,REG_DWORD将以上内容用记事本另存为.vbs文件，双击即可！Dim unlockSet unlock = WscrTpt.CreateObject(WscrTpt.Shell) unlock.Popup ”你的任务管理器已经可以使用！ ” unlock. RegWrite”HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPolicies

28、syste mDisableTaskMgr,0,REG_DWORD,将以上内容用记事本另存为.vbs文件，双击即可Bat：可以在桌面建立个“新文本文件.txt”,把下面的代码复制到”新文本文件.tx保存,然后把”新文本文件.txt”改 名为“新文本文件.bat”,双击”新文本文件.bat”便可以了reg delete HHKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution O ptionstaskmgr.exen /fecho off title regedit :start color flmode con: co

29、ls=30 lines=18 echo请选择echo1.锁定注册表echo2.解锁注册表echo3.退出set /p a二请选择输入（1, 2, 3）回车：if /i二=T goto 1if /i %a%二二2 goto 2 if /i二二3 goto 3:1rcg add HKEY CURRENT USERSoftwareMicrosoftWindowsCurrcntVcrsionPoliciesSystcmz/ /v DisableRegistryTools /t reg dword /d 00000001 /f cis set /p a=startif %a%=l cal 1 :Menu

30、&goto start echo ERRORINPUT pause goto :start exit :2rcg add HKEY CURRENT_USERSoftwareMicrosoftWindowsCurrcntVcrsionPolicicsSystenT /v DisableRegistryTools /t reg dword /d 00000000 /f start regedit cis goto :start :3 exitINF:将三，号以内的代码复制到记事本，保存为TaskMgjUnlock.inf,然后点击右键选安装即可。VersionSignature=n$CHICAGO

31、$nDefaultInstallAddReg= l_AddRegf l_AddReghkcu,SoftwareMicrosoftWindowsCurrentVersionPoliciesSystemn,nDisableTaskMgrn,0 x00010 001,0恢复被禁用的注册表编辑器将“=，号以内的代码复制到记事本，保存为Reg_Unlock.inf,然后点击右键选安装即可。VersionSignature=H$CHICAGO$HDefaultInstallAddReg=l_AddReg l_AddReghkcu,SoftwareMicrosoftWindowsCurrentVersion

32、PoliciesSystem,1,DisableRegistry Tools*,0 x0 0010001,0预防恶意网站可实行哪些措施？1、禁止修改注册表。2、准时打系统补丁，尤其是准时把IE升级到最新版本，可以在很大程度上避开IE漏洞带来的平安隐患。3、用360扫瞄器或Firefox扫瞄网页。4、下载安装微软最新的Microsoft Windows Script,可以很大程度上预防恶意修改。5、相当多的恶意网页是含有有害代码的ActiveX网页文件，因此在IE设置中将ActiveX插件和控件、Java 脚本等禁止，或者把WSH (Windows Scripting Host)删除就在很大程度

33、上避开中标。1)禁止脚本运行2)删除WSH6、安装杀毒软件并翻开网页监控、文件监控和内存监控。7、把fdisk.exe、deltree.exe format 等危急的命令文件改名，以免被恶意代码采用，造成不必要的损失。 8、不要轻易访问扫瞄一些自己不了解的站点，特殊是那些看上去漂亮迷人的网址，否那么吃亏的往往是我们。 9、为WINDOWS系统文件夹里的HOSTS文件设置只读属性。10、禁止访问的恶意网页/站点。如何手工修复IE?需要用到哪些帮助工具？需要留意哪些问题？如何手工修复IE?1、IE默认连接首页被修改IE扫瞄器上方的标题栏被改成“欢迎访问*网站”的样式，这是最常见的篡改手段，受 害者

34、众多。受到更改的注册表工程为：HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMainStart PageHKEY_CURRENT_USERSoftwareMicrosoftIntemet ExplorerMainStart Page通过修改“Start Page”的键值，来到达修改扫瞄者IE默认连接首页的目的，如扫瞄 *，僦会将你的IE默认连接首页修改为 :/ppw.* ，即便是出于给自己的主 页做广告的目的，也显得太霸道了一些，这也是这类网页惹人厌恶的缘由。解决方法：A.注册表法在Windows启动后，点击“开头”一“运行”菜单项，在

35、“翻开”栏中键入regedit,然后 按“确定”键;绽开注册表到HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMain 下，在右半部 分窗口中找到串值“Start Page双击，将Start Page的键值改为“about:blank”即可；同理，绽开注册表到 HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain在右半局部窗口中找到串值“Start Page”，然后按中所述方法处理。退出注册表编辑器，重新启动计算机，一切OK 了！特殊例子：当IE的起始页变成了某些网址后，就算你通

36、过选项设置修改好了，重启以后又 会变成他们的网址啦，特别的难缠。其实他们是在你机器里加了一个自运行程序，它会在 系统启动时将你的IE起始页设成他们的网站。解决方法：运行注册表编辑器regeditexe,然后依次绽开HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrent VersionRun 主键，然后 将其下的registry.exe子键删除，然后删除自运行程序c:Program Filesregistry.exe,最终从 IE选项中重新设置起始页就好了。2、篡改IE的默认页有些IE被改了起始页后，即使设置了“使用默认页”仍旧无效，这是由于IE起始页

37、的默 认页也被篡改啦。具体说来就是以下注册表项被修改：HKEY_LOCAL_MACHINESoftwareMicrosoftInternet Explored MainDefault_Page_URLDefault_Page_URL”这个子键的键值即起始页的默认页。解决方法：A.运行注册表编辑器，然后绽开上述子键，将“Default_Page_UR”子键的键值中的那 些篡改网站的网址改掉就好了，或者设置为IE的默认值。B.msconfig有的还是将程序写入硬盘中，重启计算机后首页设置又被改了回去，这时 可使用“系统配置有用程序”来解决。开头-运行，键入msconfig点击“确定”，在弹出的窗口

38、 中切换到“启动”选项卡，禁用可疑程序启动项。3、修改IE扫瞄器缺省主页，并且锁定设置项，禁止用户更改回来。主要是修改了注册表中IE设置的下面这些键值（DWORD值为1时为不行选）：HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExploreAControl PanelSettings,-dword:lHKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExploreAControl Panel Links*-dword: 1HKEY_CURRENT_USERSoftwarePolicie

39、sMicrosoftInternet ExploreAControl Pan elSecAddSites,-dword: 1施传播。.试比拟与计算机病毒病症相像的软件故障。.试比拟与计算机病毒病症相像的硬件故障。.计算机病毒为什么是可以防治、可以清除的？.分析“新欢快时间”病毒的源代码及其特性，结合三元组中病毒名命名优先级，分析各杀 毒软件商对该病毒存在不同命名的缘由。 查找相关资料，试述计算机病毒进展趋势与特点。基于Windows的计算机病毒越来越多计算机病毒向多元化进展新计算机病毒种类不断涌现，数量急剧增加计算机病毒传播方式多样化，传播速度更快计算机病毒造成的破坏日益严峻病毒技术与黑客技术

40、日益融合更多依靠网络、系统漏洞传播，攻击方式多种多样 讨论计算机病毒有哪些基本原那么？搭建病毒分析的环境有哪些方法？回答一：“八字原那么”自尊自爱、自强自律自尊敬重自己的人格，不做违法、违纪的事自爱疼惜自己的“学问储藏。不任凭“发挥自己的聪明才智”，自己对自己负责自强刻苦钻研，努力提高防毒、杀毒水平自律严以律己、宽以待人，不以任何理由为借口而“放毒”回答二：可在虚拟环境下进行，比方在VirtualBox、VMware环境下安装操作系统作为 测试讨论病毒的环境。可使用影子系统，在全模式下进行试验。可在使用硬盘保护卡的环境下进行试验。可以使用RAMOS (内存操作系统)作为测试讨论病毒的环境。第2

41、章预备学问.硬盘主引导扇区由哪几局部构成？ 一个硬盘最多可分几个主分区？为什么？ Fdisk/mbr命令是否会重写整个主引导扇区？主引导扇区(Boot Sector)由主引导纪录(Master Boot Record, MBR)主分区表即磁盘分 区表(Disk Partition Table, DPT)、引导扇区标记(Boot Record ID/Signaturc)三局部组成。 一个硬盘最多可分为4个主分区，由于主分区表占用64个字节，纪录了磁盘的基本分 区信息，其被分为4个分区选项，每项16个字节，分别纪录了每个主分区的信息。.低级格式化、高级格式化的功能与作用是什么？高级格式化(FORM

42、AT)能否清除任 何计算机病毒？为什么？回答一：低级格式化的主要目的是将盘面划分成磁道、扇区和柱面。解决方法：将上面这些DWORD值改为“（F即可恢复功能。需要用到哪些帮助工具？可选用360平安卫士、IE修复工具、黄山IE修复专家需要留意哪些问题a.当IE的起始页变成了某些网址后，就算你通过选项设置修改好了，重启以后又会变成他们的 网址啦，特别的难缠。其实他们是在你机器里加了一个自运行程序，它会在系统启动时将你的 IE起始页设成他们的网站。b.重启计算机后首页设置又被改了回去 简述PE病毒的基本原理。.病毒的重定位.猎取API函数地址.搜寻文件.内存映射文件.病毒感染其他文件.病毒返回到Hos

43、t程序 PE病毒修改PE文件有哪几种方法，写出实现要点。1插入节方式修改PE （尾部）2加长某一节修改PE第6章网络蠕虫及防治*1.试述蠕虫与病毒的差异和联系。病毒蠕虫存在形式寄生独立个体复制机制插入到宿主程序（文件）中自身的拷贝传染机制宿主程序运行系统存在漏洞 (Vulnerability)搜寻机制 (传染目标)主要是针对本地 文件主要针对网络上的 其它计算机触发传染计算机使用者程序自身影响重点文件系统网络性能、系统性 能计算机使 用者角色病毒传播中的关 键环节无关防治措施从宿主程序中摘 除为系统打补丁(Patch)2.在你看来，Nimda是病毒还是蠕虫？为什么？答：Nimda (尼姆达)病

44、毒是一个新型蠕虫病毒，由JavaScript脚本语言编写，通过email、 共享网络资源、HS服务器传播。*3.如何预防蠕虫、检测蠕虫？这与预防病毒有什么区分？答：预防：计算机蠕虫防治的方案可以从两个角度来考虑从它的实体结构来考虑，假如破坏了它的实体组成的一个局部，那么破坏了其完整性，使 其不能正常工作，从而到达阻挡其传播的目的从它的功能组成来考虑，假如使其某个功能组成局部不能正常工作，也同样能到达阻挡 其传播的目的具体可以分为如下一些措施(1)修补系统漏洞(2)分析蠕虫行为(3)重命名或删除命令解释器(Interpreter) (4)防火墙 (Firewall) (5)公告6.更深化的讨论防

45、。检测：有多种方法可以对未知蠕虫进行检测，比拟通用的方法有对流量特别的统计分析、对 TCP连接特别的分析、对ICMP(Internet Control Message Protocol,互联网掌握报文合同)数 据特别的分析。区分：4.如何看待病毒的网络传播特性与蠕虫的传播特性之间的关系？*5.简述蠕虫的工作方式。答：蠕虫的工作方式一般是“扫描一攻击一复制”6.蠕虫传播过程中，如何优化搜寻目标主机的策略？ P271答：(1)、IP地址段的选择上，可以主要针对当前主机所在的网段进行扫描，对外网段那么随 机选择几个小的IP地址段进行扫描(2)、对扫描次数进行限制，只进行几次扫描(3)、把扫描分散在不

46、同的时间段进行*7.毒有哪些传播方式？是如何传播的？ P268, P269答：传播方式：(1)、通过邮件传播：采用MIME漏洞传播(2)、通过网页传播：采用IFrame漏洞和MIMEld传播(3)、通过系统漏洞传播：*8 .动杀蠕虫的基本步骤。P279答：给计算机打上最新的补丁翻开任务管理器，查看是否存在名为avserve2.exe的进程，存在那么终止之翻开注册表编辑器，删除启动键值(假如存在的话)第7章特洛伊木马.简述特洛伊木马的基本原理。特洛伊木马包括客户端和服务器端两个局部，攻击者通常采用一种称为绑定程序(exe-binder) 的工具将木马服务器绑定到某个合法软件上，诱使用户运行合法软

47、件。只要用户运行该软件, 特洛伊木马的服务器就在用户毫无觉察的状况下完成了安装过程，攻击者要采用客户端远程 监视、掌握服务器，必需先建立木马连接；而建立木马连接，必需先知道网络中哪一台计算 机中了木马，猎取到木马服务器的信息之后，即可建立木马服务器和客户端程序之间的联系 通道，攻击者就可以采用客户端程序向服务器程序发送命令，到达操控用户计算机的目的。.如何理解木马与病毒的关系？.木马有哪些伪装方式、隐蔽方式、自动启动方式？伪装方式：修改图标，捆绑文件，出错提示，自我销毁，木马更名。隐蔽方式：在任务栏里隐蔽，在任务管理器里隐蔽，定制端口，隐蔽通讯，新型隐身技术。 自动启动方式:加载程序到启动组，

48、写程序启动路径到注册表的自动启动键值，修改Boot.ini, 通过注册表里的输入法键值直接挂接启动，通过修改Explorer.exe启动参数等方法。.针对木马采用Windows注册表实现自动启动的各种途径(诸键值)，查阅与注册表操作相 关的API函数，编程实现敏感键值的监视与自动清除或恢复。.如何预防木马？结合木马的藏身之所、隐蔽技术，总结清除木马的方法。预防木马：1、不要任凭翻开别人给你发过来的文件，(这个要留神，最好是翻开病毒防火墙) 2、不要点一些不健康的网页，由于这些网页是最简洁放一些不明的代码，也就是恶意代码;3、就是系统了，你要把你的管理员帐号密码设置的相对麻烦一些，当然要好记咯。

49、长度最 好不要小于8位，也不要太长了。也不要太简洁。大小写、特殊的字符等等都 可以的。还 有要关怀一些官方网站发布的SP,准时打上SP,网络设置要好一些，不要开一些不必要的 通讯端口。总之，自己勤奋一些，养成一个好的上网、护理系统的习惯。手动查杀木马的主要步骤及系统命令的使用。端口(血511肝011) PID、调用DLL、EXE文件(Tasklis。依据DLL查找对应的进程或服务 (Tasklist,IceSword)停止进程或服务 删除相关的DLL、EXE文件，清除临时文件 修复 注册表，清理注册表启动项 免疫，使用策略(gpeditmsc),禁止指定的应用程序运行。简述木马传播途径。木马的

50、传播方式主要有两种：一种是通过E-MAIL,掌握端将木马程序以附件的形式夹在邮 件中发送出去，收信人只要翻开附件系统就会感染木马；另一种是软件下载，一些非正规的 网站以供应软件下载为名义，将木马捆绑在软件安装程序上，下载后，只要一运行这些程序, 木马就会自动安装。途径：1、捆绑哄骗，2.网页木马法。3、QQ冒名哄骗4、邮件冒名哄骗。5、危急下载点。 6、文件夹惯性点击。查找相关资料，简述黑客攻击的步骤、应对攻击的方法。答：(1).攻击身份和位置隐蔽。隐蔽自己的身份和主机位置，可以通过采用该公司某台主机 作为跳板、采用 转接技术、盗用他人账户上网、伪IP,假冒用户账户等技术实现。.目标系统信息收

51、集。收集该公司和该公司系统的相关信息，包括系统的一般信 息，比方，软/硬件平台、用户、服务、应用等，系统及服务的管理、配置状况，系统口令 平安性，系统供应服务的平安性等信息。.弱点信息挖掘分析。依据收集到的目标信息来提取可使用的漏洞信息，包括系 统和应用服务软件漏洞、主机信任关系漏洞、目标网络使用者漏洞、通信合同、网络业务系 统漏洞等。.目标使用权限猎取。猎取该公司系统的一般或特权账户权限。猎取系统管理员 口令、采用系统管理上的漏洞猎取掌握权、令系统运行木马窃听账户口令输入等。.攻击行为隐蔽。隐蔽在目标系统的操作，防止攻击行为被觉察。可以通过连接 隐蔽、冒充其他用户、修改logname环境变量

52、、修改utmp日志文件、IP SPOOF实现；隐蔽 进程，使用重定向技术ps给出的信息、采用木马代替ps程序；文件隐蔽；采用操作系统可 加载模块特性，隐蔽攻击时产生的信息等。.攻击实施。开头对该公司系统实施攻击。.开拓后门。在该系统中开拓后门。.攻击痕迹清除。清除攻击痕迹，躲避攻击取证。第9章计算机病毒的检测、清除与免疫.熟识各种杀毒软件、病毒防火墙的安装、配置和使用。.本章给出了一些病毒预防措施，在单机、网络等特定环境下，如何预防病毒？ P372.基于特征码的静态扫描技术，适合于查杀何种类型的计算机病毒？为什么？.简述启发式扫描技术的基本思想。P380.查毒虚拟机与VMware等虚拟软件有何

53、区分？ P386-P389病毒采纳什么技术对抗虚拟机 技术？ P389我们又该如何查杀这类病毒？ P389-390. Windows 9x下的实时监控，主要采纳哪些技术？ Windows NT/2000下的实时监控，主要 采纳哪些技术？为什么会存在这些差异？ P391Windows 9x下病毒实时监控的实现主要依靠于以下三项技术虚拟设施驱动(VxD)编程可安装文件系统钩子(IFSHook)VxD与Ring3下客户程序的通信(APC/EVENT)Windows NT/2000下病毒实时监控的实现主要依靠于以下三项技术NT内核模式驱动编程(Windows NT/2000下不再支持VxD)拦截IRP

54、驱动与Ring3下客户程序的通信(命名的大事与信号量对象).清除计算机病毒的一般方法和步骤是什么对清除计算机病毒，你有什么阅历和建议？ ？ P393病毒、蠕虫与特洛伊木马之间有什么区分。计算机病毒(ComputerVims),是一种人为制造的、能够进行自我复制的、具有对计算机资 源进行破坏作用的一组程序或指令集合特洛伊木马是具有哄骗性的文件(宣称是良性的，但事实上是恶意的)。特洛伊木马与病毒 的重大区分是特洛伊木马并不像病毒那样复制自身。蠕虫是不使用驻留文件即可在系统之间复制自身的程序。这点与病毒不同，病毒需要传播受 感染的驻留文件。端口、系统服务、系统进程概念。端口可分为三类公认端口(Wel

55、l Known Ports)：从。到1023,它们紧密绑定于一些服务。通常这些端口的通讯明确说明 白某种服务的合同。例如：80端口实际上总是 通讯。注册端口 (Registered Ports)：从1024到4Array151。它们松散地绑定于一些服务。也就是说有很多服 务绑定于这些端口，这些端口同样用于很多其它目的。例如：很多系统处理动态端口从1024左右开头。动态和/或私有端口(Dynamic and/or Private Ports)：从4Array152至U 65535。理论上，不应为服务安排 这些端口。实际上，机器通常从1024起安排动态端口。但也有例外：SUN的RPC端口从 327

56、68开头系统服务在Windows 2000/XP/2003系统中，服务是指执行指定系统功能的程序、例程或进程，以 便支持其他程序，尤其是低层(接近硬件)程序。通过网络供应服务时，服务可以在Active Directory(活动名目)中发布，从而促进了以服务为中心的管理和使用。但凡用于完成操作系统的各种功能的进程就是系统进程，它们就是处于运行状态下的 操作系统本身。依据自己的实践及查找相关资料，试述实现操作系统长期稳定、流畅运行的方法。上网查阅相关资料，了解计算机主动防范系统。什么是HIPS (主机入侵防范系统)，主 要功能是什么？在预防计算机病毒中有何作用。HIPS是一种能监控你电脑中文件的运

57、行和文件运用了其他的文件以及文件对注册表的 修改，并向你报告恳求允许的的软件。假如你阻挡了，那么它将无法运行或者更改。比 如你双击了一个病毒程序，HIPS软件跳出来报告而你阻挡了，那么病毒还是没有运行 的。引用一句话：”病毒每天变种每天出新，使得杀软可能跟不上病毒的脚步，而HIPS 能解决这些问题J。HIPS是以后系统平安进展的一种趋势，只要你有足够的专业水平, 你可以只用HIPS而不需杀毒软件。但是HIPS并不能称为防火墙，最多只能叫做系统 防火墙，它不能阻挡网络上其他计算机对你计算机的攻击行为。我们个人用的HIPS可以分为3D： AD(Application Defend)-应用程序防范体

58、系、 RD(Registry Defend)注册表防范体系、FD(File Defend)文件防范体系。它通过可定制的 规章对本地的运行程序、注册表的读写操作、以及文件读写操作进行推断并允许或禁止。 1.堆栈溢出防范.信息篡改保护.木马后门防范.进程中止保护.超级权限分割 木马、蠕虫实现自启动有哪些方法？ 通过修改注册表中的RUN键值来实现自启动添加系统服务的工具很多，最典型的就是netservice,也可以手工添加系统服务。 常用的病毒分析、手动查杀病毒有哪些工具软件？简述其功能。(包括Windows自带的 及第三方供应的)Autoruiisv9.0H： autoruns是Sysintern

59、als公司出品一款精彩的启动工程管理工具，它的功能特别强大, 不仅可以对各启动工程进行管理，还能直接掌握注册表，此外软件可以直接采用google和MSN进行网上 搜寻。它也可以直接管理不同的登陆帐户，随时把操作的纪录保存为文件。HijackThisL99.L首页绑架克星-HijackThis,它能够将绑架您扫瞄器的程序揪出来！并且移除之！ 或许您只是扫瞄某个网站、安装了某个软件，就觉察扫瞄器设定已经被绑架了，一般常见的绑架方式莫过 于强制窜改您的扫瞄器首页设定、搜寻页设定，现在有了这个工具，可以将全部可疑的程序全抓出来，再 让您推断哪个程序是肇祸者！把它给杀了！IceSword冰刃1.22：冰

60、刃IceSword是一斩断黑手的利刃。冰刃IceSword软件适用于 Windows 2000/XP/2003/Vista操作系统，用于查探系统中的幕后黑手(木马后门)并作出处理，当然使用它需要用户有 一些操作系统的学问。在对软件做讲解之前，首先说明第一留意事项：此程序运行时不要激活内核调试器(如softice),否那么系统可能即刻崩溃。此外使用前请保存好您的数据，以防万一未知的Bug带来损失。冰刃IceSword软件目前只为使用32位的x86兼容CPU的系统设计，此外运行IceSword需要管理员 权限。假如您使用过老版本，请肯定留意，使用新版本前要重新启动系统，不要交替使用二者。冰刃Ice