第二章
一、填空:
1、 UltraEdit可以实现文字、Hex、ASCII的编辑;
2、 Doc文件的文件头信息是D0CF11E0,PowerPoint文件的文件头信息是
D0CF11E0,Excel文件的文件头信息是D0CF11E0; 3、 单一影子模式仅为操作系统所在分区创建影像; 4、 影子系统分为单一影子模式和完全影子模式;
5、 对注册表修改前后进行对比可使用RegSnap工具软件;
第三章 典型计算机病毒剖析
一、填空
1、注册表一般Default、SAM、Security、Software、System5个文件组成。 2、注册表结构一般键、子键、分支、值项、默认值5个大类组成。 3、是否允许修改IE的主页设置的注册表表项是
HKEY_CURRENT_USER\\Software\\Policies\\Microsoft\\Internet Explorer\\Control Panel。
4、注册表中IE的主页设置项是“Home Page”=dword 00000001
5、打开注册表编辑器的命令是regedit。
6、网页脚本病毒的特点有病毒变种多、破坏力较大、感染能力强。 7、Word的模版文件是Normal.dot。
8、Office中宏使用的编程语言是VBA(Visual Basic for Application)。 9、宏可保存在当前工作表、word通用模版中。 10、蠕虫的两个特征是传染性和复制功能。
11、蠕虫病毒的攻击方式有随机探测方式、基于列表的随机探测方式、基于DNS探测方式、基于路由的探测方式、蠕虫攻击模块。 12、windows32/Baby.worm病毒主要攻击服务器。 13、木马分为远程访问型木马、密码发送型木马、键盘记录型木马、毁坏型木马、FTP型木马。
14、木马程序自动启动的方式利用INI文件、注册表的先关程序启动,加入系统启动组,利用系统启动配置文件和与其他程序捆绑执行。 二、选择
1、寄存在Office文档中,用VB语言编写的病毒程序属于( D ) A、引导区型病毒 B文件型病毒 C、混合型病毒 D、宏病毒 2、注册表备份文件的扩展名是( C )。
A、com B、exe C、reg D、txe 3、设置注册表键值的API函数是( C )。
A、RegCreateKeyEx() B、RegQueryValue() C、RegSetValueEX() D、RegEnumValue()
4、Windows中VBScript和Javescript的执行环境是( A )。 A、WSH B、IE C、HTML D、DOS
5、Word文件在关闭时自动执行的宏命令是( D )。
A、FileOpen B、AutoOpen C、FileClose D、AutoClose
6、实现正常程序流程的溢出、跳转的技术是( C )。
A、Trap B、Jump C、ShellCode D、OverFlow 7、从( A )可以评价木马程序的强弱。
A、有效性 B、隐蔽性 C、顽固性 D、易植入性 三、问答
1、论述自定义Windows命令的操作方法。 答:windows命令操作通过注册表操作对操作系统进行管理。通过注册表的编辑器的编辑、备份、恢复。进行相关命令进行。 2、简述网页脚本病毒的技术特点。 答:网页脚本病毒使用脚本语言编写的恶意代码,利用IE的漏洞以实现病毒的植入。它们利用Windows系统的开放性特点,通过调用一些现成的Windows对象、组件,可以直接对文件系统、注册表等进行控制。 3、简述背网页脚本病毒入侵后恢复的方法。
答:可以通过杀毒软件进行扫描清。也可以通过手动方式清除病毒,进入安全模式或纯DOS中清除,打开注册表编辑器进行删除和恢复某些键值才找所有存在KJ_start字符串的文件,删除文件尾部的病毒代码。 4、编程实现文件关联,如何双击某个设定的扩展名后,编写的程序会启动并打开它。 答:先运行test.exe,然后双击某个thm文件时,不在新调起的test.exe中打开,而是用先前运行的test.exe打开它.
这样就象winamp,netant那样只保持一个实例运行.目前我做到了以下的程度,双击打开thm引起了新的test.exe实例.在新实例中判断出如果已经有一个老实例在运行了,我就得到老实例的主窗口handle,我想通过这个handle把新打开的thm文件的路径传给老实例让它负责打开,然后关闭新实例.但是我不知道该怎么样通过一个窗口handle传递这个路径并引发打开文件的动作.PostMessage? ShellExecute? DDE?
5、简述宏病毒的特点。 答:宏病毒传播极快,其制作原理简单,变种方便破坏力极强,多平台交叉感染。 6、简述宏病毒的检测方法。
答:检测方法有:通过模板中是否出现宏,无故出现存盘操作,word功能混乱,无法使用,word菜单命令消失,word文档内容发生了改变,当用户尝试保存文档时,只允许文档保存为文档模板的格式,文档图标的外形类是模板而非文档图标。
7、简述宏病毒的清除方法。
答:有六种方法来删除宏病毒。通过删除宏命令的形式删除宏病毒。通过复制粘贴方式清除宏病毒。通过删除Normal.Dot来除掉宏病毒。通过格式转换清除word宏病毒。通过高版本的word来发现宏病毒。为防万一,在打开怀疑感染了宏病毒的文档是按住,<shif>键,这样可以避免宏自动运行,如果有宏病毒,这不会加载宏。
8、简述蠕虫病毒与传统病毒的区别。 答:蠕虫与病毒的最大不同在于它不需要人为干预,且能够自主不断地复制和传播。蠕虫程序的工作流程可以分为漏洞扫描、攻击、传染、现场处理四个阶段。蠕虫程序扫描到有漏洞的计算机系统后,将蠕虫主体迁移到目标主机。然后,蠕
虫程序进入被感染的系统,对目标主机进行现场处理。现场处理部分的工作包括:隐藏、信息搜集等。不同的蠕虫采取的IP生成策略可能并不相同,甚至随机生成。各个步骤的繁简程度也不同,有的十分复杂,有的则非常简单 9、总结蠕虫病毒的清除方法。 答:按Ctrl+Alt+Delete调出任务管理器,在进程页面中结束掉所有名称为病毒的进程(建议在后面的操作中反复此操作,以确保病毒文件不会反复发作)。 3、在开始--运行中输入“regedit”(XP系统)打开注册表,点“编辑”——“查找”,在弹出的对话框中输入病毒文件名,找到后全删。 4、在我的电脑-工具-文件夹选项-查看-显示所有文件和文件夹,把“隐藏受保护的系统文件”的勾去掉,你会看到出现了你所说的文件名的文件,直接删除 10、简述木马程序的危害。
答: 木马程序危害在于多数有恶意企图,例如占用系统资源,降低电脑效能,危害本机信息安全(盗取QQ帐号、游戏帐号甚至银行帐号),将本机作为工具来攻击其他设备等。
11、分析木马与一般病毒的危害。 答:木马同病毒不是很一样 病毒主要以破坏数据,破坏软硬件为目的 木马则主要以偷窃数据,篡改数据为目的 中木马后有可能对丢失上网帐号,各种口令和用户名,远程控制你的电脑,远程控制开启你机器的外围设备。 12、简述木马的工作原理。
答:“木马”程序是目前比较流行的病毒文件,与一般的病毒不同,它不会自我繁殖,也并不“刻意”地去感染其他文件,它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种者电脑的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种者的电脑。“木马”与计算机网络中常常要用到的远程控制软件有些相似,但由于远程控制软件是“善意”的控制,因此通常不具有隐蔽性;“木马”则完全相反,木马要达到的是“偷窃”性的远程控制,如果没有很强的隐蔽性的话,那就是“毫无价值”的。
13、什么是计算机木马?简述木马攻击技术的原理。
答:计算机木马(又名间谍程序)是一种后门程序,常被黑客用作控制远程计算机的工具。英文单词“Troj”,直译为“特洛伊”。 一个完整的木马系统由硬件部分,软件部分和具体连接部分组成。 (1)硬件部分:建立木马连接所必须的硬件实体。 控制端:对服务端进行远程控制的一方。 服务端:被控制端远程控制的一方。 INTERNET:控制端对服务端进行远程控制,数据传输的网络载体。 (2)软件部分:实现远程控制所必须的软件程序。 控制端程序:控制端用以远程控制服务端的程序。 木马程序:潜入服务端内部,获取其操作权限的程序。 木马配置程序:设置木马程序的端口号,触发条件,木马名称等,使其在服务端藏得更隐蔽的程序。 (3)具体连接部分:通过INTERNET在服务端和控制端之间建立一条木马通道所必须的元素。 控制端IP,服务端IP:即控制端,服务端的网络地址,也是木马进行数据传输的目的地。 控制端端口,木马端口:即控制端,服务端的数据入口,通过这个入口,数据可直达控制端程序或木马程序。
第四章 计算机病毒防范、免疫与清除技术
—、填空
1.病毒防范分为 单机环境 和 网络环境 。(P152)
2.病毒的传染模块一般包括 传染跳进判断 和实施传染两个部分。(P154)
3.禁止修改显示系统文件的注册表键项是
HKEY_LOCAL_MACHINE\\Software\\Microft\\Windows\\Current Version\\exporer\\Advanced\\Folder\\Hidden\\SHOWALL (P161) 4.FTP的访问端口是5554。(P161) 二、选择题
计算机的免疫方法有(BC )。(P155) A、安装防毒软件实现病毒免疫
B、基于自我完整性检查的计算机病毒的免疫 C、针对某一病毒进行计算机病毒免疫 D、编制万能病毒免疫程序实现病毒免疫 三、问答
1、简述防范病毒技术
答:安装并更新杀毒软件,不能共享软盘或硬盘等介质、规范管理使用计算机,判断不明文件是否安全,重要文件应该备份,上网,或下载是应进入正规网站。系统管理及时处理异常情况。 2、简述计算机病毒的检测方法。
答:可以用现象观察法,观察计算机系统运行状态。对比法,用备份的与被检测的引导扇区或被检测的文件进行对比。加和对比法根据程序的信息对比系统观察检查码是否更改。搜索法,计算机病毒体含有的特定字节串对被检测的对象进行扫描。软件仿真扫描法。先知扫描法。人工智能陷进技术和宏病毒陷进技术。 3、常见的计算机病毒有哪些类型?清除计算机病毒的方法有哪些?
答:常见的计算机病毒有Trojan、宏病毒、JAVA程序语言编写的病毒、操作系统文件的病毒、窃取密码等信息的木??清除计算机的方法:用杀毒软禁进行清除,清除无法显示的隐藏文件病毒、手工清楚病毒如“震荡波”?? 4、简述“QQ尾巴”病毒的清除方法。 答:第一种方法:工具杀毒
有很多工具都可以杀QQ尾巴,如瑞星QQ尾巴专杀. qqkav,3721的反间谍专家,流行病毒专杀等等. 第二种方法:手工杀毒
找到QQ尾巴的病毒文件,删除,然后,在运行里打msconfig,在启动项里把病毒名前面的勾打掉.
第五章
一、填空
1.主动防御技术主要是从 未知病毒 和 未知程序 和通过对漏洞攻击行为进行检测两方面防范病毒。
2.启发式查毒技术分为 静态启发技术 和 动态启发技术 。 3.目前虚拟机处理的对象主要是 文件型 病毒。
4.反病毒软件由 应用程序 、 反病毒引擎 和 病毒库 三部分构成。 5.病毒库主要包括 病毒特征串库 和 杀毒关键性参数库 。 二、选择
1.下列叙述中,正确的是( A )。
A.反病毒软件通常滞后于计算机病毒的出现
B.反病毒软件总是超前于病毒的出现,它可以查、杀任何种类的病毒 C.感染过的计算机病毒的计算机具有该病毒的免疫性 D.计算机病毒会危害计算机用户的健康 2.批处理文件其实质是( C )。182页 A.EXE可执行文件 B.Com可执行文件 C.操作系统命令集合 D.专门的应用程序
3.批处理文件的工作平台是( AB )。182页 A.Windows平台 B.Dos平台 C.Unix平台 D.Linux平台 三、问答
1.简述启发式查毒技术的两种方法的优、缺点。
启发式查毒技术属于主动防御的一种,是当前对付未知病毒的主要手段,从工作原理上可分为静态启发和动态启发两种。
启发式指 “自我发现的能力”或“运用某种方式或方法去判定事物的知识和技能”, 是杀毒软件能够分析文件代码的逻辑结构是否含有恶意程序特征,或者通过在一个虚拟的安全环境中前摄性的执行代码来判断其是否有恶意行为。在业界前者被称为静态代码分析,后者被成为动态虚拟机。
静态启发技术指的是在静止状态下通过病毒的典型指令特征识别病毒的方法,是对传统特征码扫描的一种补充。由于病毒程序与正常的应用程序在启动时有很多区别,通常一个应用程序在最初的指令,是检查命令行输入有无参数项、清屏和保存原来屏幕显示等,而病毒程序则通常是最初的指令是直接写盘操作、解码指令,或搜索某路径下的可执行程序等相关操作指令序列,静态启发式就是通过简单的反编译,在不运行病毒程序的情况下,核对病毒头静态指令从而确定病毒的一种技术。
而相比静态启发技术,动态启发技术要复杂和先进很多。动态启发式通过杀软内置的虚拟机技术,给病毒构建一个仿真的运行环境,诱使病毒在杀软的模拟缓冲区中运行,如运行过程中检测到可疑的动作,则判定为危险程序并进行拦截。这种方法更有助于识别未知病毒,对加壳病毒依然有效,但如果控制得不好,会出现较多误报的情况。
动态启发因为考虑资源占用的问题,因此目前只能使用比较保守的虚拟机技术。尽管如此,由于动态启发式判断技术具有许多不可替代的优势,因此仍然是目前检测未知病毒最有效、最可靠的方法之一,并在各大杀软产品中得到了广泛的应用。
由于诸多传统技术无法企及的强大优势,必将得到普遍的应用和迅速的发展。纯粹的启发式代码分析技术的应用(不借助任何事先的对于被测目标病毒样本的研究和了解),已能达到80%以上的病毒检出率,而其误报率极易控制在0.1%之下,这对于仅仅使用传统的基于对已知病毒的研究而抽取“特征字串”的特征扫描技术的查毒软件来说,是不可想象的,启发式杀毒技术代表着未来反病毒技术发展的必然趋势,具备某种人工智能特点的反毒技术,向我们展示了一种通用的、
计算机病毒防治课后答案参考
