《计算机病毒》复习思考题及答案

《计算机病毒》复习思考题

第一章 计算机病毒概述

1. 简述计算机病毒的定义和特征。

计算机病毒(Computer Virus)，是一种人为制造的、能够进行自我复制的、具有对计算机资源进行破坏作用的一组程序或指令集合。

计算机病毒的可执行性(程序性)、传染性、非授权性、隐蔽性、潜伏性、可触发性、破坏性、攻击的主动性、针对性、衍生性、寄生性(依附性)、不可预见性、诱惑欺骗性、持久性。 2. 计算机病毒有哪些分类方法？根据每种分类方法，试举出一到两个病毒。

3. 为什么同一个病毒会有多个不同的名称？如何通过病毒的名称识别病毒的类型？ 国际上对病毒命名的一般惯例为“前缀+病毒名+后缀”，即三元组命名规则。 1、系统病毒

系统病毒的前缀为：Win32、PE、Win95、W32、W95等。 2、蠕虫病毒

蠕虫病毒的前缀是：Worm。 3、木马病毒、黑客病毒

木马病毒其前缀是：Trojan，黑客病毒前缀名一般为 Hack 。 4、脚本病毒

脚本病毒的前缀是：Script。 5、宏病毒

其实宏病毒是也是脚本病毒的一种，由于它的特殊性，因此在这里单独算成一类。宏病毒的前缀是：Macro。 6、后门病毒

后门病毒的前缀是：Backdoor。 7、病毒种植程序病毒

后门病毒的前缀是：Dropper。这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下，由释放出来的新病毒产生破坏。 8．破坏性程序病毒

破坏性程序病毒的前缀是：Harm。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒便会直接对用户计算机产生破坏。 9．玩笑病毒

玩笑病毒的前缀是：Joke。 10．捆绑机病毒

捆绑机病毒的前缀是：Binder。 4. 简述计算机病毒产生的背景。 5. 计算机病毒有哪些传播途径？

传播途径有两种，一种是通过网络传播，一种是通过硬件设备传播（软盘、U盘、光盘、硬盘、存储卡等）。

网络传播，又分为因特网传播和局域网传播两种。

硬件设备传播：通过不可移动的计算机硬件设备传播、通过移动存储设备传播、通过无线设备传播。

6. 试比较与计算机病毒症状相似的软件故障。

7. 试比较与计算机病毒症状相似的硬件故障。 8. 计算机病毒为什么是可以防治、可以清除的？

9. 分析“新欢乐时光”病毒的源代码及其特性，结合三元组中病毒名命名优先级，分析各杀毒软件商对该病毒存在不同命名的原因。

? 查找相关资料，试述计算机病毒发展趋势与特点。

? 基于Windows的计算机病毒越来越多 ? 计算机病毒向多元化发展

? 新计算机病毒种类不断涌现，数量急剧增加 ? 计算机病毒传播方式多样化，传播速度更快 ? 计算机病毒造成的破坏日益严重 ? 病毒技术与黑客技术日益融合

? 更多依赖网络、系统漏洞传播，攻击方式多种多样

? 研究计算机病毒有哪些基本原则？搭建病毒分析的环境有哪些方法？

回答一：“八字原则”——自尊自爱、自强自律 自尊

尊重自己的人格，不做违法、违纪的事 自爱

爱惜自己的“知识储备”，不随便“发挥自己的聪明才智”，自己对自己负责 自强

刻苦钻研，努力提高防毒、杀毒水平 自律

严以律己、宽以待人，不以任何理由为借口而“放毒”

回答二：可在虚拟环境下进行，比如在VirtualBox 、VMware环境下安装操作系统作为测试研究病毒的环境。

可使用影子系统，在全模式下进行试验。 可在使用硬盘保护卡的环境下进行试验。

可以使用RAMOS（内存操作系统）作为测试研究病毒的环境。

第2章 预备知识

1. 硬盘主引导扇区由哪几部分构成？一个硬盘最多可分几个主分区？为什么？Fdisk/mbr命令是否会重写整个主引导扇区？

主引导扇区(Boot Sector)由主引导记录(Master Boot Record，MBR)、主分区表即磁盘分区表(Disk Partition Table，DPT)、引导扇区标记(Boot Record ID/Signature)三部分组成。 一个硬盘最多可分为4个主分区，因为主分区表占用64个字节，记录了磁盘的基本分区信息，其被分为4个分区选项，每项16个字节，分别记录了每个主分区的信息。 2．低级格式化、高级格式化的功能与作用是什么？高级格式化(FORMAT)能否清除任何计算机病毒？为什么？

回答一：低级格式化的主要目的是将盘面划分成磁道、扇区和柱面。

高级格式化的目的是在分区内建立分区引导记录DBR(DOS Boot Record)、文件分配表FAT(File Allocation Table)、文件目录表FDT(File Directory Table)和数据区DATA。

回答二：如果主引导区感染了病毒，用格式化程序FORMAT不能清除该病毒(BR病毒可以用FORMAT清除)。

3. DOS下的EXE文件病毒是如何获取控制权的？感染EXE文件，需对宿主作哪些修改？

一般来说，病毒往往先于HOST程序获得控制权。运行Win32病毒的一般流程示意如下： ①用户点击或系统自动运行HOST程序； ②装载HOST程序到内存；

③通过PE文件中的AddressOfEntryPoint加ImageBase之和，定位第一条语句的位置(程序入口)；

④从第一条语句开始执行(这时执行的其实是病毒代码)；

⑤病毒主体代码执行完毕，将控制权交给HOST程序原来的入口代码； ⑥HOST程序继续执行。

4. 针对PE文件格式，请思考：Win32病毒感染PE文件，须对该文件作哪些修改？

5．简介有哪些常用的磁盘编辑软件、分区软件。

FDISK、DiskGenius、PartitionMagic、Acronis Disk Director 6．简述Windows XP的启动过程。

在基于Intel的计算机上，Windows 2000/XP的启动过程大致可分为8个步骤： 1．预启动

计算机加电自检，读取硬盘的MBR、执行NTLDR(操作系统加载器)文件 2．进行初始化

NTLDR将处理器从实模式转换为32位保护模式 3．读取BOOT.INI文件

BOOT.INI文件其作用是使系统在启动过程中出现选择菜单，由用户选择希望启动的操作系统，若只有一个操作系统则不显示 4．加载NTDETECT.COM文件

由NTDETECT.COM来检测计算机硬件，如并行端口、显示适配器等，并将收集到的硬件列表返回NTLDR用于以后在注册表中注册保存 5．选择硬件配置文件

如果Windows 2000/XP有多个硬件配置文件，此时会出现选择菜单，等待用户确定要使用的硬件配置文件，否则直接跳过此步，启用默认配置 6．装载内核

引导过程装载Windows 2000/XP内核NtOsKrnl.EXE。随后，硬件抽象层(HAL)被引导进程加载，完成本步骤 7．初始化内核

内核完成初始化，NTLDR将控制权转交Windows 2000/XP内核，后者开始装载并初始化设备驱动程序，并启动Win32子系统和Windows 2000/XP服务 8．用户登录

由Win32子系统启动WinLogon.EXE，并由它启动Local Security Authority (LSASS.EXE)显示登录对话框。用户登录后，Windows 2000/XP会继续配置网络设备、用户环境，并进行个性化设置。最后，伴随着微软之声和我们熟悉的个性化桌面，Windows 2000/XP启动过程完成

7、简述Windows 7的启动过程。 1、开启电源——

计算机系统将进行加电自检(POST)。如果通过，之后BIOS会读取主引导记录(MBR)——被标记为启动设备的硬盘的首扇区，并传送被Windows 7建立的控制编码给MBR。 ——这时，Windows接管启动过程。接下来：

MBR读取引导扇区-活动分区的第一扇区。此扇区包含用以启动Windows启动管理器(Windows Boot Manager)程序Bootmgr exe的代码。 2、启动菜单生成—— Windows启动管理器读取“启动配置数据存储(Boot Confi guration Data store）中的信息。此信息包含已被安装在计算机上的所有操作系统的配置信息。并且用以生成启动菜单。 3、当您在启动菜单中选择下列动作时：

<1> 如果您选择的是Windows 7（或Windows Vista），Windows 启动管理器(Windows Boot Manager)运行%SystemRoot%\\System32文件夹中的OS loader——Winload.exe。 <2> 如果您选择的是自休眠状态恢复Windows 7 或 Vista，那么启动管理器将装载Winresume.exe并恢复您先前的使用环境。

<3> 如果您在启动菜单中选择的是早期的Windows版本，启动管理器将定位系统安装所在的卷，并且加载Windows NT风格的早期OS loader(Ntldr.exe)——生成一个由boot.ini内容决定的启动菜单。 4、核心文件加载及登录 Windows7启动时，加载其核心文件 Ntoskrnl.exe和hal.dll——从注册表中读取设置并加载驱动程序。接下来将运行Windows会话管理器(smss.exe)并且启动 Windows启动程序(Wininit exe)，本地安全验证(Lsass.exe)与服务(services.exe)进程，完成后，您就可以登录您的系统了。

5、登陆后的开机加载项目

第3章 计算机病毒的逻辑结构与基本机制

1. 计算机病毒在任何情况下都具有感染力或破坏力吗？为什么？ 不是，因为计算机病毒在传播过程中存在两种状态，即静态和动态。

a.静态病毒，是指存在于辅助存储介质中的计算机病毒，一般不能执行病毒的破坏或表现功能，其传播只能通过文件下载(拷贝)实现。

b.病毒完成初始引导，进入内存后，便处于动态。动态病毒本身处于运行状态，通过截流盗用系统中断等方式监视系统运行状态或窃取系统控制权。病毒的主动传染和破坏作用，都是动态病毒的“杰作”

c.内存中的病毒还有一种较为特殊的状态——失活态，它的出现一般是由于用户对病毒的干预(用杀毒软件或手工方法)，用户把中断向量表恢复成正确值，处于失活态的病毒不可能进行传染或破坏

综上所述，计算机病毒只有处于动态才具有感染力或破坏力。故计算机病毒不是在任何情况下都具有感染力或破坏力

2. 文件型病毒有哪些感染方式？

a寄生感染: 文件头部寄生 文件尾部寄生 插入感染 逆插入感染 利用空洞——零长度感染

b无入口点感染: 采用入口点模糊(Entry Point Obscuring，EPO)技术 采用TSR病毒技术 c 滋生感染 d链式感染

e OBJ、LIB和源码的感染

3．计算机病毒的感染过程是什么？ 计算机病毒感染的过程一般有三步： (1)当宿主程序运行时，截取控制权； (2)寻找感染的突破口；

(3)将病毒代码放入宿主程序

4．结合病毒的不同感染方式，思考该病毒相应的引导机制。(老师给的) （1）驻留内存

病毒若要发挥其破坏作用，一般要驻留内存。为此就必须开 辟所用内存空间或覆盖系统占用的部分内存空间。有的病毒不驻 留内存。 （2）窃取系统控制权

在病毒程序驻留内存后，必须使有关部分取代或扩充系统的 原有功能，并窃取系统的控制权。此后病毒程序依据其设计思想 ，隐蔽自己，等待时机，在条件成熟时，再进行传染和破坏。

（3）恢复系统功能

病毒为隐蔽自己，驻留内存后还要恢复系统，使系统不会死 机，只有这样才能等待时机成熟后，进行感染和破坏的目的。 有的病毒在加载之前进行动态反跟踪和病毒体解密。 4．计算机病毒一般采用哪些条件作为触发条件？ 病毒采用的触发条件主要有以下几种：

? 日期触发 ? 时间触发 ? 键盘触发 ? 感染触发 ? 启动触发

? 访问磁盘次数/调用中断功能触发 ? CPU型号/主板型号触发 ? 打开或预览Email附件触发 ? 随机触发

5.一个病毒，试分析其感染机制、触发机制和破坏机制。 感染机制:

A计算机病毒实施感染的过程基本可分为两大类 a.立即传染

病毒在被执行到的瞬间，抢在宿主程序开始执行前，立即感染磁盘上的其他程序，然后再执行宿主程序

b.驻留内存并伺机传染

内存中的病毒检查当前系统环境，在执行一个程序或DIR等操作时感染磁盘上的程序，驻留在系统内存中的病毒程序在宿主程序运行结束后，仍可活动，直至关闭计算机 总之，计算机病毒感染的过程一般有三步： (1)当宿主程序运行时，截取控制权； (2)寻找感染的突破口；

(3)将病毒代码放入宿主程序

病毒攻击的宿主程序是病毒的栖身地，宿主程序既是病毒传播的目的地，又是下一次感染的出发点

触发机制：病毒在感染或破坏前，往往要检查某些特定条件是否满足，满足则进行感染或破坏，否则不进行感染或破坏，病毒采用的触发条件主要有以下几种：

? 日期触发 ? 时间触发 ? 键盘触发 ? 感染触发 ? 启动触发

? 访问磁盘次数/调用中断功能触发 ? CPU型号/主板型号触发 ? 打开或预览Email附件触发 ? 随机触发

破坏机制：计算机病毒的破坏机制，在设计原则、工作原理上与传染机制相似，也是通过修改某一中断向量人口地址(一般为时钟中断INT 8H或与时钟中断有关的其他中断，如INT 1CH)，使该中断向量指向病毒程序的破坏模块。这样，当被加载的程序或系统访问该中断向量时，病毒破坏模块被激活，在判断设定条件满足的情况下，对系统或磁盘上的文件进行破坏

6. 绘出Funlove的流程图，并说明其引导部分的作用。 (计算机难画，根据下面过程就能画出来)

a.病毒程序第一次运行时，按照一定的时间间隔，周期性地检测每一个驱动器以及网络资源中的.EXE、.SCR、.OCX文件，验证后进行感染，被感染文件长度通常会增加4099字节或者更多

b.检测到以下文件名时不感染它们：ALER*、AMON*、_AVP*、AVP3*、AVPM*、F-PR*、NAVW*、SCAN*、SMSS*、DDHE*、DPLA*和MPLA*

c.当染毒程序运行后，该病毒将创建一个名为“FLCSS.EXE”的文件(长度4608字节)，放在当前Windows系统的System目录下(NT系统中为System32)，并同时开启一个线程进行自身的传染

d.如果是在NT的许可权限下运行，FLCSS.EXE会将自身像一个服务程序一样安装到NT计算机上。它会以“FLC”显示在标准的NT服务列表中，并且被设置为在每次启动时自动运行此服务。在Windows 9x下，它像一个隐含程序一样运行，在任务列表中是不可见的 e.尽管Funlove病毒对数据没有直接的破坏性，但是在NT下，该病毒还是对NtOsKrnl.exe文件做了一个小的修改(Patch)，使得文件的许可请求总是返回允许访问(Access Allowed)，所有的用户都拥有对每一个文件的完全控制访问权

其引导部分的作用：(这是我总结的)

染毒程序运行时，首先运行的是funlove病毒的引导模块

a.检查运行的环境，如确定操作系统类型、内存容量、现行区段、磁盘设置、显示器类型等参数

b.将funlove病毒引入内存，使funlove病毒处于动态，并保护内存中的funlove病毒代码不被覆盖

c.设置funlove病毒的激活条件和触发条件，使funlove病毒处于可激活态，以便funlove病

毒被激活后根据满足的条件调用感染模块或破坏表现模块

? 试述计算机病毒的逻辑结构。 感染标志 计 引导模块算 机 激活感染功能的判断部分 病 感染模块毒 传染功能的实施部分程 序 触发破坏表现功能的判断部分 破坏表现模块 破坏表现功能的实施部分

第4章 DOS病毒的基本原理与DOS病毒分析

1． 什么是病毒的重定位？病毒一般采用什么方法进行重定位？

回答一：重定位就是把程序的逻辑地址空间变换成内存中的实际物理地址空间的过程。 病毒不可避免也要用到变量(常量)，当病毒感染HOST程序后，由于其依附到不同HOST程序中的位置各有不同，病毒随着HOST载入内存后，病毒中的各个变量(常量)在内存中的位置自然也会随着发生变化。故而获取病毒变量的地址偏移值和利用该值得到病毒变量在内存中的实际地址的过程，就是病毒的重定位。 回答二：

call delta ;这条语句执行之后，堆栈顶端为delta在内存中的真正地址 delta:pop ebp ;这条语句将delta在内存中的真正地址存放在ebp寄存器中 ……

lea eax,[ebp+(offset var1-offset delta)] ;这时eax中存放着var1在内存中的真实地址

如果病毒程序中有一个变量var1，那么该变量实际在内存中的地址应该是ebp＋(offset var1－offset delta)，即参考量delta在内存中的地址＋其它变量与参考量之间的距离=其它变量在内存中的真正地址。

有时候我们也采用(ebp－offset delta)＋offset var1的形式进行变量var1的重定位。

2. 试述引导型病毒的启动过程。 引导型病毒的触发：

用染毒盘启动计算机时，引导型病毒先于操作系统获取系统控制权(被首次激活)，处于动态 因首次激活时修改INT 13H入口地址使其指向病毒中断服务程序，从而处于可激活态

当系统/用户进行磁盘读写时调用INT 13H，调用的实际上是病毒的中断服务程序，从而激活病毒，使病毒处于激活态 病毒被激活之后，即可根据感染条件实施暗地感染、根据爆发破坏条件破坏系统并表现自己 3．编写程序，利用INT 13H实现引导区的备份与恢复。 备份：

DEBUG（回车） -A 100

XXXX:0100 MOV AX,201 XXXX:0103 MOV BX,200 XXXX:0106 MOV CX,1 XXXX:0109 MOV DX,80 XXXX:010C INT 13 XXXX:010E INT 3 XXXX:010F -G=100 -R BX

BX 0200:0

-R CX ；-D 200 3FF显示Hex,注意标志55AA CX 0001:200 -N BOOT.ZYD -W -Q 恢复：

DEBUG（回车） -N BOOT.ZYD -L 200 -A 100

XXXX:0100 MOV AX,0301 XXXX:0103 MOV BX,0200 XXXX:0106 MOV CX,0001 XXXX:0109 MOV DX,0080 XXXX:010C INT 13 XXXX:010E INT 3 XXXX:010F -G=100

4. 编写程序，利用该程序修复被COM_V.COM感染的host_com.com。

5. 试绘出感染EXE文件的示例病毒exe_v的流程图。 6．编写程序，利用该程序修复被exe_v.com感染的文件。 7．试绘出混合型病毒Natas病毒的加密变形流程图。

? 如何清除引导型病毒？

在恢复引导区之前，应清除内存中的病毒或使内存中的病毒处于灭活状态。 用干净软盘引导启动系统，可以清除内存中的病毒，也可采用如下方法将内存中的病毒灭活： 1.在无毒环境下(例如用无毒的同版本系统盘启动)，用无毒的Debug将中断向量表取出存在一个文件中。

2.当内存中有病毒时用上述文件覆盖中断向量表。中断向量表恢复正常，内存中通过修改向量表截流盗取中断向量的病毒将无法再激活。

病毒的清除方法比较简单，将病毒备份的扇区内容或感染前我们主动备份的引导扇区/主引导扇区内容，写入软盘引导扇区/硬盘主引导扇区即可。 提取引导区 C:\\>debug -L100 盘号 0 1 -n dosboot.62s -rcx CX 0000 :200 -W -Q

? 试述文件型病毒的基本原理。

覆盖引导区 C:\\>debug -n dosboot.62s -L -w100 盘号 0 1 -q

第4章 DOS病毒的基本原理与DOS病毒分析

1． 什么是病毒的重定位？病毒一般采用什么方法进行重定位？P158

*2. 试述引导型病毒的启动过程。

答：带毒硬盘引导------>BIOS将硬盘主引导区读到内存0:7C00处控制权转到主引导程

序(这是千古不变的)(病毒)-------->将0:413单元的值减少1K或nK------->计算可用内存高段地址将病毒移到高段继续执行-------->修改INT13地址,指向病毒传染段,将原INT13地址保存在某一单元------>病毒任务完成，将原引导区调 入0:7C00执行------>机器正常引导

*3．编写程序，利用INT 13H实现引导区的备份与恢复。

答：从U盘或光盘启动，进入纯DOS

DEBUG -A 100

mov ax,0201 mov bx,0200 mov cx,0001 mov dx,0080 int 13

mov ax,0301 mov bx,0200 mov cx,0002 mov dx,0080 int 13 int 3

-g=100

4. 编写程序，利用该程序修复被COM_V.COM感染的host_com.com。

5. 试绘出感染EXE文件的示例病毒exe_v的流程图。P181

6．编写程序，利用该程序修复被exe_v.com感染的文件。

7．试绘出混合型病毒Natas病毒的加密变形流程图。P181 *8. 如何清除引导型病毒

答：以KV3000为例，只要硬盘本身染上引导区病毒，那么用硬盘本身启动必然是系统本身就带毒，因此调用KVw3000杀毒时不能完全清除，关键就是系统本身带病。可以使用干净的软盘启动电脑进入系统DOS。清除引导区病毒KV3000有一个命令KV3000/K。在执行KV3000/K时可用KV3000/B备份一个硬盘主引导信息，若不KV3000/B那么执行KV3000/K时也会让你备份一主引导信息即HDPT.VIR的文件。同样软盘上的引导区病毒也用KV3000/K。

*9.试述文件型病毒的基本原理。P168

答：无论是.COM文件还是.EXE文件，还是操作系统的可执行文件(包括.SYS、.OVL、.PRG、.DLL文件)，当启动已感染文件型病毒的程序(HOST程序)时，

暂时中断该程序，病毒完成陷阱(激活条件)的布置、感染工作后，再继续执行HOST程序，使计算机使用者初期觉得可正常执行，而实际上，在执行期间，病毒已暗做传染的工作，时机成熟时，病毒发作。

第5章 Windows病毒分析

1. PE病毒的感染过程是怎样的？如何判断一个文件是否感染了PE病毒(如Immunity)？针

对你的判断依据，采用何种手段可以更好地隐藏PE病毒？编程修复被Immunity感染的host_pe.exe文件。 PE病毒的感染过程

1．判断目标文件开始的两个字节是否为“MZ”。 2．判断PE文件标记“PE”。

3．判断感染标记，如果已被感染过则跳出继续执行HOST程序，否则继续。 4．获得Directory（数据目录）的个数，（每个数据目录信息占8个字节）。 5．得到节表起始位置。(Directory的偏移地址+数据目录占用的字节数=节表起始位置) 6．得到目前最后节表的末尾偏移（紧接其后用于写入一个新的病毒节）

节表起始位置+节的个数*(每个节表占用的字节数28H)=目前最后节表的末尾偏移。 7．开始写入节表

2. 查阅MSDN或其他资料，熟悉本章所涉及的API函数的用法。

3. 简要描述CIH病毒的触发机制、感染机制。如何让系统对CIH病毒具有免疫能力？ 触发机制：

? CIH病毒的驻留(初始化)

? 当运行感染了CIH病毒的PE文件时，由于该病毒修改了该程序的入口地址，从而首先

调入内存执行，其驻留主要过程：

? ?

①用SIDT指令取得IDT base address(中断描述符表基地址)，然后把IDT的INT 3H 的入口地址改为指向CIH自己的INT 3H程序入口部分；

②执行INT 3H指令，进入CIH自身的INT 3H入口程序，这样，CIH病毒就可以获得Windows最高级别的权限Ring 0。病毒在这段程序中首先检查调试寄存器DR0的值是否为0，用以判断先前是否有CIH病毒已经驻留； ?

③如果DR0的值不为0，则表示CIH病毒程式已驻留，病毒程序恢复原先的INT 3H入口，然后正常退出INT 3H，跳到过程⑨； ④如果DR0值为0，则CIH病毒将尝试进行驻留； ?

⑤如果内存申请成功，则从被感染文件中将原先分成多块的病毒代码收集起来，并进行组合后放到申请到的内存空间中

?

⑥再次调用INT 3H中断进入CIH病毒体的INT 3H入口程序，调用INT 20H来完成调用一个IFSMgr_InstallFileSystemApiHook的子程序，在Windows内核中文件系统处理函数中挂接钩子，以截取文件调用的操作，这样一旦系统出现要求开启文件的调用，则CIH病毒的传染部分程序就会在第一时间截获此文件； ? ? ?

感染机制：

? CIH病毒的传染部分实际上是病毒在驻留内存过程中调用Windows 内核底层函数

IFSMgr_InstallFileSystemApiHook函数挂接钩子时指针指示的那段程序，其感染过程如下：

? ①文件的截获。 ? ②EXE文件的判断。

如何让系统对CIH病毒具有免疫能力：

⑦将同时获取的Windows操作系统默认的IFSMgr_Ring0_FileIO(核心文件输入/输出)服务程序的入口地址保留在DR0寄存器中，以便于CIH病毒调用； ⑧恢复原先的IDT中断表中的INT 3H入口，退出INT 3H；

⑨根据病毒程序内隐藏的原文件的正常入口地址，跳到原文件正常入口，执行正常程序

1、如果没有杀病毒软件，务必请修改系统时间，跳过每个月的

26日。

2、有些电脑系统主板具备BIOS写保护开关，但一般设置均为开， 对系统硬件较为熟悉的用户，可将其拨至关的位置，这样可以防范病 毒改写BIOS信息。

3、配备有效的杀毒软件，定时对系统进行检查。清除CIH病毒最 好的方法是使用DOS版杀毒软件。瑞星杀毒软件9．0具有定时自动查杀 功能，可彻底查杀CIH系统毁灭者病毒。第一次杀毒时，请用瑞星杀毒 软件9．0DOS版，清除病毒后再装入WIN95版。这是因为在WIN95／98启 动后，有几个文件被系统使用，处于禁写状态。如果这些文件被感染， 将无法彻底消除病毒。

4、如果尚未得到杀病毒软件，可采用压缩并解压缩文件的方式加 以检查，但用该方法不能判断是否有CIHv1．4病毒。

5、由于病毒对所有硬盘数据彻底破坏，单纯恢复硬盘分区表不可 能恢复文件系统，所以请务必将重要数据进行备份。

4. 脚本病毒有哪些弱点？如何防治和清除脚本病毒？

? VBS脚本病毒具有如下几个特点：

? 编写简单 ? 破坏力大 ? 感染力强 ? 传播范围大

? 病毒源码容易被获取，变种多 ? 欺骗性强

? 使得病毒生产机实现起来非常容易

? 针对以上提到的VBS脚本病毒的弱点，可以采用如下集中防范措施：

? 禁用文件系统对象FileSystemObject

? ? ? ? ? ? ? ? 卸载WSH

删除VBS、VBE、JS、JSE文件后缀名与应用程序的映射 将WScript.exe更改名称或者删除

自定义安全级别，把与“ActiveX控件及插件”有关的一切设为禁用 禁止OutlookExpress的自动收发邮件功能 显示扩展名，避免病毒利用文件扩展名作文章 将系统的网络连接的安全级别设置至少为“中等” 安装、使用杀毒软件

5．如果脚本病毒对其代码进行了加密，我们能否看到其解密后的源代码？怎样获取解密后的源代码？

vbs脚本病毒，看上去是乱码，一点也看不懂，其实还是有迹可循的。其思路就是寻 找\关键词。病毒最终，还是要换成机器可以看懂的内容，也就是说，最后一层的execute里面的内容，就是病毒的源代码。按照这个思路，那么可以知道，解密方法也一定就在这个execute里面。 也就是说：无需明白他是如何加密的，只需要知道，execute出来的是什么。

按照这个思路，可以得到程序的最后一次迭代加密过程前的代码，也就是第一次迭代解密的代码，看上去还是乱码，不过还是同样的道理，总可以找到execute这个关键词。病毒可能经过多次迭代，不过最终还是可以看懂的。

需要注意的是，execute后面的内容解密出来如果真的用execute执行了，那就中招了，所以这里要注意不能把execute也放进去一起执行。

6. 爱虫病毒对系统有哪些危害？编制一个爱虫病毒的解毒程序。

新“爱虫”（Vbs.Newlove）病毒，同爱虫(Vbs.loveletter)病毒一样，也通过outlook传播，会向地址簿中所有的联系人发送病毒邮件。如果打开病毒邮件的附件，还会造成更严重的后果。您会观察到计算机的硬盘灯狂闪，系统速度显著变慢，计算机中出现大量的扩展名为vbs的文件。所有快捷方式被改变为与系统目录下wscript.exe建立关联，意味着启动所有的文件wscript.exe都会首先运行，会进一步消耗系统资源，造成系统崩溃。清除病毒后还需要手工恢复文件关联，一般用户很难操作。

7. 宏病毒采用哪些传播方式？如何防治和清除宏病毒？

? 宏病毒的传播方式

? 在Word或其他Office程序中，宏分成两种

? ?

在某个文档中包含的内嵌宏，如FileOpen宏

属于Word应用程序，所有打开的文档公用的宏，如AutoOpen宏

? Word宏病毒一般都首先隐藏在一个指定的Word文档中，一旦打开了这个Word文档，

宏病毒就被执行，宏病毒要做的第一件事情就是将自己拷贝到全局宏的区域，使得所有打开的文档都可使用这个宏

? 当Word退出的时候，全局宏将被存储在某个全局的模板文档(.dot文件)中，这个文件的

名字通常是“normal.dot”，即normal模板

? 如果全局宏模板被感染，则Word再启动的时候将自动载入宏病毒并且自动执行

? 宏病毒的防御

? 禁止运行不安全的宏

? Word被宏病毒感染之后(实际上是Word使用的模板文档被感染)，可以将其恢复正常

?

退出Word，然后先到C盘根目录下查看是否存在Autoexec.dot文件，如果存

在，而你又不知道它是什么时侯出现的，删除之 ? ? ?

找到Normal.dot文件，用先前的干净备份替换之或干脆删除之

查看Normal.dot所在目录是否还存在其他模板文件，如果存在且不是你自己拷贝进去的，删除之

重新启动Word，已经恢复正常

8．如何查看宏病毒的源代码？如果代码被加密呢？

为了了解宏病毒，就必须读它的原代码，可是有时候宏是加密的，（Execute-only Macro),

1。 重命名Normal.dot。起动word。 // 防止word启动时就带上了宏病毒

2。 新建一个宏，专门用于读带毒文件中的宏代码（只是原理） Sub Main

DisableAutoMacros //很关键，防止引入宏病毒 Dim D As FileOpen GetCurValue D Diolog D

FileOpen D //这一段用于打开带毒文件

MacroCopy D.Name+\ MacroCopy D.Name+\ ...

//以CAP宏病毒为例，将宏代码拷贝到normal.dot //其中参数0表示可编辑，非0表示加密 FileClose 2 Sub End

3。 运行上面的宏，将宏代码拷贝到normal.dot //注意要改变宏的名字 4。 阅读宏代码

5。 关闭word，恢复原来的 normal.dot

9. 在MSDN中查阅有关FileSystemObject的信息，了解其各种方法及属性。

FileSystemObject DriveExists(divespec) GetDrive(divespec) GetDriveName(divespec)

BuildPath(path,name) 向现有路径后添加名称

CopyFile source, destination[, overwrite] 将一个或多个文件从某位置自制到另一位置 CopyFolder source, destination[, overwrite] 将文件夹从某位置递归复制到另一位置 CreateFolder(foldername) 创建文件夹

OpenTextFile(filename[, iomode[, create[, format]]]) 打开指定的文件并返回一个TextStream对象，可以

读取、写入此对象或将其追加到文件

CreateTextFile 创建指定文件并返回TextStream对象,该对象可用于读或定创建的文件 DeleteFile filespec[, force] 删除指定的文件 DeleteFolde 删除指定的文件夹

FileExists(filespec) 如果指定的文件存在返回True,否则返回False FolderExits(folderspec) 如果指定的文件夹存在返回True,否则返回False GetAbsolutePathName(pathspec) 从提供的指定路径中返回完整含义明确的路径 GetBaseName(path) 返回字符串，包含文件的基本名，或者路径说明的文件夹 GetExtensionName(path) 返回字符串，包含路径最后一个组成部分的扩展名 GetFile(filespec) 返回与指定路径中某文件相应的File对象

GetFolder(folderspec) 返回与指定的路径中某文件夹相应的Folder对象

GetFileName(pathspec) 返回指定路径(不是指定路径驱动器路径部分)的最后一个文件或文件夹 GetTempName 返回随机生成的临时文件或文件夹的名称，用于执行要求临时文件夹或文件的操 GetSpecialFolder(folderspec) 返回指定的特殊文件夹

GetParentFolderName 返回指定的路径中最后一个文件或才文件夹的父文件夹 MoveFile source, destination 将一个或多个文件从某位置移动到另一位置 Drives集合 只读所有可用驱动器的集合 filesystemobject.Drives

Folders集合 包含在一个Folder对象的所有Folder对象集合 filesystemobject.SubFolders

Files集合 文件夹中所有File对象的集合 filesystemobject.Files Drive

AvailableSpace 可用空间的大小 DriveLetter 返回驱动器号 DriveType 描述驱动器类型的值 FileSystem 文件系统的类型 FreeSpace 对用户的可用空间大小

IdReady 指定的驱动器就绪与否,返回True/False Path 返回指定文件、文件夹或驱动器的路径

RootFolder 返回一个Folder对象,表示指定驱动器的根文件夹. SerialNumber 返回十进制序列号,用于唯一标识一个磁盘卷 TotalSize 返回驱动器或网络共享的总字节数

VolumeName 设置或返回指定驱动器的卷标(盘符说明) ShareName 返回指定的驱动器的网络共享名

Folder(File)

Attributes 设置或返回文件或文件夹的属性

DateCreated 返回指定的文件或文件夹的创建日期和时间。只读

DateLastAccessed 返回指定的文件或文件夹的上次访问日期(和时间)。只读 DateLastModified 返回指定的文件或文件夹的上次修改日期和时间。只读 Drive 返回指定的文件夹或文件夹所在的驱动器的驱动器号。只读 Files 返回指定文件夹中所有File对象(系统或隐藏)组成的Files集合 IsRootFolder 如果指定的文件夹是根文件夹，返回True;否则返回False Name 设置或返回指定的文件或文件夹的名称。可读写 ParentFolder 返回指定文件或文件夹的父文件夹。只读 ShortName 返回按照早期8.3文件命名约定转换的短文件名 ShortPath 返回按照早期8.3命名约定转换的短路径名

Size 对于文件返回指定文件的字节数；对于文件夹，返回文件夹所有的文件夹和子文件夹的字节数 SubFolders 返回由指定文件夹中所有子文件夹组成的Folders集合 Type 返回文件或文件夹的类型信息。 Path 返回指定文件、文件夹或驱动器的路径

10．查阅相关资料，了解Windows各版本设备驱动程序的编写方法

? WSH中，Windows和DOS下的文件名分别是什么？如何禁止文件系统对象。

文件名为WScript.exe(若是在DOS命令提示符下，则为CScript.exe，命令格式：CScript FileName.vbs)

用regsvr32 scrrun.dll /u禁止了文件系统对象，在执行包含脚本的则提示失败 ? 用VB Script脚本编写解除注册表和任务管理器禁用的脚本文件。试写出其相应的REG、

BAT、INF文件。

Reg：那就通过批处理或vbs脚本，或组策略 或者专门的软件来解决！ 发一个vbs脚本来处理这个问题吧，你可以参考一下： Dim unlock

Set unlock = Wscrīpt.CreateObject(\ unlock.Popup \你的注册表已成功解除，谢谢使用！\ unlock.RegWrite

\WORD\

将以上内容用记事本另存为 .vbs文件，双击即可！

Dim unlock

Set unlock = Wscrīpt.CreateObject(\ unlock.Popup \你的任务管理器已经可以使用！\

unlock.RegWrite\m\\DisableTaskMgr\

将以上内容用记事本另存为 .vbs文件，双击即可 Bat：

可以在桌面建立个\新文本文件.txt\把下面的代码复制到\新文本文件.txt\保存, 然后把\新文本文件.txt\改名为\新文本文件.bat\双击 \新文本文件.bat\便可以了

reg delete \ersion\\Image File Execution Options\\taskmgr.exe\

@echo off title regedit :start color f1

mode con: cols=30 lines=18 echo 请选择

echo 『1.锁定注册表』 echo 『2.解锁注册表』 echo 『3.退出』

set /p a=请选择输入(1,2,3)回车: if /i \if /i \if /i \:1

@reg add \DisableRegistryTools /t reg_dword /d 00000001 /f cls

set /p a==start

if %a%==1 call :Menu&goto start echo ERRORINPUT pause goto :start exit :2

@reg add \DisableRegistryTools /t reg_dword /d 00000000 /f start regedit cls goto :start :3 exit

INF:

将“＝”号以内的代码复制到记事本，保存为TaskMgr_Unlock.inf，然后点击右键选安装即可。 ＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝ [Version]

Signature=\AddReg=1_AddReg[1_AddReg]

hkcu,\

001,0

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝恢复被禁用的注册表编辑器

将“＝”号以内的代码复制到记事本，保存为Reg_Unlock.inf，然后点击右键选安装即可。 ＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝ [Version]

Signature=\AddReg=1_AddReg[1_AddReg]

hkcu,\0010001,0

? 预防恶意网站可采取哪些措施？

1、禁止修改注册表。

2、及时打系统补丁，尤其是及时把IE升级到最新版本,可以在很大程度上避免IE漏洞带来的安全隐患。 3、用360浏览器或 Firefox 浏览网页。

4、下载安装微软最新的Microsoft Windows Script，可以很大程度上预防恶意修改。

5、相当多的恶意网页是含有有害代码的ActiveX网页文件，因此在IE设置中将ActiveX插件和控件、Java脚本等禁止，或者把WSH（Windows Scripting Host）删除就在很大程度上避免中标。 1)禁止脚本运行 2)删除WSH

6、安装杀毒软件并打开网页监控、文件监控和内存监控。

7、把fdisk.exe、deltree.exe、format.com等危险的命令文件改名，以免被恶意代码利用，造成不必要的损失。 8、不要轻易访问浏览一些自己不了解的站点，特别是那些看上去美丽诱人的网址，否则吃亏的往往是我们。 9、为WINDOWS系统文件夹里的HOSTS文件设置只读属性。 10、禁止访问已知的恶意网页／站点。

? 如何手工修复IE？需要用到哪些辅助工具？需要注意哪些问题？

如何手工修复IE？

1、IE默认连接首页被修改

IE浏览器上方的标题栏被改成“欢迎访问******网站”的样式，这是最常见的篡改手段，受害者众多。

受到更改的注册表项目为：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Internet Explorer\\Main\\Start Page HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Main\\Start Page 通过修改“Start Page”的键值，来达到修改浏览者IE默认连接首页的目的，如浏览“*****”就会将你的IE默认连接首页修改为 http://ppw.****.com ”，即便是出于给自己的主页做广告的目的，也显得太霸道了一些，这也是这类网页惹人厌恶的原因。

解决办法： A. 注册表法

①在Windows启动后，点击“开始”→“运行”菜单项，在“打开”栏中键入regedit，然后按“确定”键； ②展开注册表到

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Internet Explorer\\Main下，在右半部

分窗口中找到串值“Start Page”双击 ，将Start Page的键值改为“about:blank”即可； ③同理，展开注册表到 HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Main

在右半部分窗口中找到串值“Start Page”，然后按②中所述方法处理。 ④退出注册表编辑器，重新启动计算机，一切OK了！

特殊例子：当IE的起始页变成了某些网址后，就算你通过选项设置修改好了，重启以后又会变成他们的网址啦，十分的难缠。其实他们是在你机器里加了一个自运行程序，它会在系统启动时将你的IE起始页设成他们的网站。

解决办法：

运行注册表编辑器regedit.exe，然后依次展开

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\Current Version\\Run主键，然后将其下的registry.exe子键删除，然后删除自运行程序c:\\Program Files\\registry.exe，最后从IE选项中重新设置起始页就好了。

2、篡改IE的默认页

有些IE被改了起始页后，即使设置了“使用默认页”仍然无效，这是因为IE起始页的默认页也被篡改啦。具体说来就是以下注册表项被修改：

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Internet Explorer\\

Main\\Default_Page_URL“Default_Page_URL”这个子键的键值即起始页的默认页。

解决办法：

A.运行注册表编辑器，然后展开上述子键，将“Default_Page_UR”子键的键值中的那 些篡改网站的网址改掉就好了，或者设置为IE的默认值。

B.msconfig 有的还是将程序写入硬盘中，重启计算机后 首页设置又被改了回去，这时可使用“系统配置实用程序”来解决。开始-运行，键入msconfig点击“确定”，在弹出的窗口中切换到“启动”选项卡，禁用可疑程序启动项。

3、修改IE浏览器缺省主页，并且锁定设置项，禁止用户更改回来。

主要是修改了注册表中IE设置的下面这些键值(DWORD值为1时为不可选)： [HKEY_CURRENT_USER\\Software\\Policies\\Microsoft\\Internet Explorer\\Control Panel]\

[HKEY_CURRENT_USER\\Software\\Policies\\Microsoft\\Internet

Explorer\\Control

Panel]\

[HKEY_CURRENT_USER\\Software\\Policies\\Microsoft\\Internet Explorer\\Control Pan el]\

解决办法：

将上面这些DWORD值改为“0”即可恢复功能。

需要用到哪些辅助工具？

可选用360安全卫士、IE修复工具、黄山IE修复专家 需要注意哪些问题

a.当IE的起始页变成了某些网址后，就算你通过选项设置修改好了，重启以后又会变成他们的网址啦，十分的难缠。其实他们是在你机器里加了一个自运行程序，它会在系统启动时将你的IE起始页设成他们的网站。

b.重启计算机后 首页设置又被改了回去

? 简述PE病毒的基本原理。

1．病毒的重定位

2．获取API函数地址 3．搜索文件 4．内存映射文件 5．病毒感染其他文件 6．病毒返回到Host程序

? PE病毒修改PE文件有哪几种方法，写出实现要点。

1 插入节方式修改PE （尾部） 2 加长某一节修改PE

第6章 网络蠕虫及防治

*1. 试述蠕虫与病毒的差别和联系。 病 毒 蠕 虫 存在形式 复制机制 寄生 插入到宿主程序(文件)中 宿主程序运行 独立个体 自身的拷贝 传染机制 系统存在漏洞(Vulnerability) 主要针对网络上的其它计算机 搜索机制(传染目标) 主要是针对本地文件

SREngLOG智能分析助手，是一款用bat代码编写的工具，我们能够用它来智能分析SrengLOG.log并能够一键生成分析报告。。

Unlocker1.8.5顽固软件删除工具：强制删除文件 Unlocker 1.8.5 删除顽固文件

USBCleaner6.0Build20071109：USBCleaner是一种纯绿色的辅助杀毒工具,具有检测查杀70余种U盘病毒,U盘病毒广谱扫描,U盘病毒免疫,修复显示隐藏文件及系统文件,安全卸载移动盘盘符等功能,全方位一体化修复杀除U盘病毒.同时USBCleaner能迅速对新出现的U盘病毒进行处理.

Wsyscheck：一款强大的系统检测维护工具,进程和服务驱动检查,SSDT强化检测,文件查询,注册表操作,DOS删除等一应俱全.该作品为wangsea近期的主打作品,其他比较好的作品还有系统安全盾、syscheck,大家应该不会陌生.特别说明一下,SysCheck现在已经不更新了,WSysCheck可以说是SysCheck的升级版或强化版.

XDelBox1.6：文件删除终结者 -- XDelBox 简介：

1、dos级文件删除方式，打造病毒清除新模式 2、无须进入安全模式，即可删除所有病毒文件 3、支持一次重启批量删除多个文件

4、复制路径的删除添加方式更适用于网络求助(支持拖曳)

软件特别适合用SREng扫描日志后，寻求网络技术支持，把所有恶意文件都添加进去，一次性全部删除无需进入安全模式就可以直接删除任意文件了同时对于某些内核文件，用unlocker,icesword,killbox无法正常删除的，在DOS下自动执行一个批处理删除.

? 思考：当Windows下的winlogon.exe或lsass.exe进程被关闭时，系统将进入60秒倒计

时，如何避免重启？

出现倒计时，可以马上开始-运行-输入cmd-输入shutdown -a回车，

? 简述制作安全U盘的原理与步骤。

原理：安全U盘，采用授权管理、访问控制数据加解密系统，实现了U盘数据的全盘数据加密保护

和安全区数据开启的口令控制。其自带的网络监控系统可以随时监测U盘所在网络的状态，实现了外网阻断。有效防止U盘交叉使用，阻止U盘木马和病毒危害。从根本上杜绝了U盘泄密的途径，净化了U盘的使用环境。

步骤：看老师给的“打造安全u盘”的文档。

? 试述打造安全稳定的操作系统的要点。 1.尽量安装英文版原版的操作系统 2.不安装无用的组件

一般用不到的组件，尽量不要安装。比如不需要使用Internet信息服务（IIS）的，就不要装了。可以避免诸如 .PRINTER、 .IDQ、.IDA、WEBDEV等等通过IIS来进行的外部攻击。 3.选择使用NTFS文件管理系统，其可以详细地设置系统中每个用户对该逻辑盘的访问权限。 而尽量避免使用FAT32。 4.定制系统服务

多余的系统服务只能增加系统负荷和不稳定性。Remote Registry Service、Telnet等几个高风险的服务是一定要停止的，设置为“手动”或“禁止”即可。

5.设置足够健壮的系统账号和密码。对于那些系统自带的用户账号，最好也设置密码，避免被恶意程序或者攻击者利用。 6.定制安全日志和审核策略

运行“Gpedit.msc”命令，在组策略窗口中，定制需要的各种策略。 7. 使用Internet防火墙来保证系统安全。根据需要配置防火墙，以便防火墙能更高效地工作。 8. 安装第三方的杀毒程序、防火墙程序及上网安全保护程序。 9.自动更新安全软件、杀毒软件。

触发传染 计算机使用者 程序自身 影响重点 文件系统 能 网络性能、系统性计算机使用者角色 防治措施 病毒传播中的关键环节 从宿主程序中摘除 无关 为系统打补丁(Patch) 2. 在你看来，Nimda是病毒还是蠕虫？为什么？

答：Nimda（尼姆达）病毒是一个新型蠕虫病毒，由JavaScript脚本语言编写，通过email、共享网络资源、IIS服务器传播。

*3. 如何预防蠕虫、检测蠕虫？这与预防病毒有什么区别？ 答：预防：计算机蠕虫防治的方案可以从两个角度来考虑

从它的实体结构来考虑，如果破坏了它的实体组成的一个部分，则破坏了其完整性，使其不能正常工作，从而达到阻止其传播的目的 从它的功能组成来考虑，如果使其某个功能组成部分不能正常工作，也同样能达到阻止其传播的目的

具体可以分为如下一些措施

(1) 修补系统漏洞 (2)分析蠕虫行为 (3)重命名或删除命令解释器(Interpreter) (4)防火墙

(Firewall) (5)公告 6.更深入的研究防。

检测：有多种方法可以对未知蠕虫进行检测，比较通用的方法有对流量异常的统计分析、对TCP连接异常的分析、对ICMP(Internet Control Message Protocol，互联网控制报文协议)数据异常的分析。 区别：

4. 如何看待病毒的网络传播特性与蠕虫的传播特性之间的关系？

*5．简述蠕虫的工作方式。

答：蠕虫的工作方式一般是“扫描→攻击→复制”

6．蠕虫传播过程中，如何优化搜索目标主机的策略？P271

答：(1)、IP地址段的选择上，可以主要针对当前主机所在的网段进行扫描，对外网段则随机选择几个小的IP地址段进行扫描

(2)、对扫描次数进行限制，只进行几次扫描 (3)、把扫描分散在不同的时间段进行

*7.毒有哪些传播方式？是如何传播的？P268，P269 答：传播方式：

(1)、通过邮件传播：利用MIME漏洞传播

(2)、通过网页传播：利用IFrame漏洞和MIMEld传播 (3)、通过系统漏洞传播： ?

*8.动杀蠕虫的基本步骤。 P279 答：①给计算机打上最新的补丁

②打开任务管理器，查看是否存在名为avserve2.exe的进程，存在则终止之 ③打开注册表编辑器，删除启动键值(如果存在的话) ④删除%WINDOWS%\\avserve2.exe

第7章 特洛伊木马

1． 简述特洛伊木马的基本原理。

特洛伊木马包括客户端和服务器端两个部分，攻击者通常利用一种称为绑定程序(exe-binder)的工具将木马服务器绑定到某个合法软件上，诱使用户运行合法软件。只要用户运行该软件，特洛伊木马的服务器就在用户毫无察觉的情况下完成了安装过程,攻击者要利用客户端远程监视、控制服务器，必需先建立木马连接；而建立木马连接，必需先知道网络中哪一台计算机中了木马,获取到木马服务器的信息之后，即可建立木马服务器和客户端程序之间的联系通道，攻击者就可以利用客户端程序向服务器程序发送命令，达到操控用户计算机的目的。

2．如何理解木马与病毒的关系？

3．木马有哪些伪装方式、隐藏方式、自动启动方式？

伪装方式： 修改图标，捆绑文件，出错提示，自我销毁，木马更名。

隐藏方式：在任务栏里隐藏，在任务管理器里隐藏，定制端口，隐藏通讯，新型隐身技术。 自动启动方式：加载程序到启动组，写程序启动路径到注册表的自动启动键值，修改Boot.ini，通过注册表里的输入法键值直接挂接启动，通过修改Explorer.exe启动参数等方法。

4．针对木马利用Windows注册表实现自动启动的各种途径(诸键值)，查阅与注册表操作相关的API函数，编程实现敏感键值的监视与自动清除或恢复。

5．如何预防木马？结合木马的藏身之所、隐藏技术，总结清除木马的方法。 预防木马：1、不要随便打开别人给你发过来的文件，（这个要小心，最好是打开病毒防火墙） 2、不要点一些不健康的网页，因为这些网页是最容易放一些不明的代码，也就是恶意代码； 3、就是系统了，你要把你的管理员帐号密码设置的相对麻烦一些，当然要好记咯。长度最好不要小于8位，也不要太长了。也不要太简单。大小写、特别的字符等等都 可以的。还有要关心一些官方网站发布的SP，及时打上SP，网络设置要好一些，不要开一些不必要的通讯端口。 总之，自己勤奋一些，养成一个好的上网、护理系统的习惯。 ? 手动查杀木马的主要步骤及系统命令的使用。 端口(netstat,FPort)?PID、调用DLL、EXE文件(Tasklist)?依据DLL查找对应的进程或服务(Tasklist,IceSword)?停止进程或服务?删除相关的DLL、EXE文件，清除临时文件?修复注册表，清理注册表启动项?免疫，使用策略（gpedit.msc），禁止指定的应用程序运行。

? 简述木马传播途径。

木马的传播方式主要有两种：一种是通过E-MAIL，控制端将木马程序以附件的形式夹在邮件中发送出去，收信人只要打开附件系统就会感染木马；另一种是软件下载，一些非正规的网站以提供软件下载为名义，将木马捆绑在软件安装程序上，下载后，只要一运行这些程序，木马就会自动安装。

途径：1、捆绑欺骗，2.网页木马法。 3、QQ冒名欺骗4、邮件冒名欺骗。5、危险下载点。6、文件夹惯性点击。

? 查找相关资料，简述黑客攻击的步骤、应对攻击的方法。

答：(1). 攻击身份和位置隐藏。隐藏自己的身份和主机位置，可以通过利用该公司某台主机作为跳板、利用电话转接技术、盗用他人账户上网、伪IP，假冒用户账户等技术实现。 (2). 目标系统信息收集。收集该公司和该公司系统的相关信息，包括系统的一般信息，比如，软/硬件平台、用户、服务、应用等，系统及服务的管理、配置情况，系统口令安全性，系统提供服务的安全性等信息。

(3). 弱点信息挖掘分析。根据收集到的目标信息来提取可使用的漏洞信息，包括系统和应用服务软件漏洞、主机信任关系漏洞、目标网络使用者漏洞、通信协议、网络业务系统漏洞等。

(4). 目标使用权限获取。获取该公司系统的普通或特权账户权限。获取系统管理员口令、利用系统管理上的漏洞获取控制权、令系统运行木马窃听账户口令输入等。

(5). 攻击行为隐藏。隐藏在目标系统的操作，防止攻击行为被发现。可以通过连接隐藏、冒充其他用户、修改logname环境变量、修改utmp日志文件、IP SPOOF实现；隐藏进程，使用重定向技术ps给出的信息、利用木马代替ps程序；文件隐藏；利用操作系统可加载模块特性，隐藏攻击时产生的信息等。

(6). 攻击实施。开始对该公司系统实施攻击。 (7). 开辟后门。在该系统中开辟后门。

(8). 攻击痕迹清除。清除攻击痕迹，逃避攻击取证。

第9章 计算机病毒的检测、清除与免疫

1. 熟悉各种杀毒软件、病毒防火墙的安装、配置和使用。

2. 本章给出了一些病毒预防措施，在单机、网络等特定环境下，如何预防病毒？P372

3. 基于特征码的静态扫描技术，适合于查杀何种类型的计算机病毒？为什么？ 4．简述启发式扫描技术的基本思想。P380

5．查毒虚拟机与VMware等虚拟软件有何区别？P386-P389病毒采用什么技术对抗虚拟机技术？P389我们又该如何查杀这类病毒？P389-390

6．Windows 9x下的实时监控，主要采用哪些技术？Windows NT/2000下的实时监控，主要采用哪些技术？为什么会存在这些差别？P391

Windows 9x下病毒实时监控的实现主要依赖于以下三项技术 虚拟设备驱动(VxD)编程

可安装文件系统钩子(IFSHook)

VxD与Ring3下客户程序的通信(APC/EVENT)

Windows NT/2000下病毒实时监控的实现主要依赖于以下三项技术 NT内核模式驱动编程(Windows NT/2000下不再支持VxD) 拦截IRP

驱动与Ring3下客户程序的通信(命名的事件与信号量对象)

7．清除计算机病毒的一般方法和步骤是什么对清除计算机病毒，你有什么经验和建议？？P393

? 病毒、蠕虫与特洛伊木马之间有什么区别。

计算机病毒(Computer Virus)，是一种人为制造的、能够进行自我复制的、具有对计算机资源进行破坏作用的一组程序或指令集合

特洛伊木马是具有欺骗性的文件（宣称是良性的，但事实上是恶意的）。特洛伊木马与病毒的重大区别是特洛伊木马并不像病毒那样复制自身。 蠕虫是不使用驻留文件即可在系统之间复制自身的程序。这点与病毒不同，病毒需要传播受感染的驻留文件。

? 端口、系统服务、系统进程概念。 端口可分为三类

公认端口（Well Known Ports）：从0到1023，它们紧密绑定于一些服务。通常这些端口的通讯明确表明了某种服务的协议。例如：80端口实际上总是HTTP通讯。

注册端口（Registered Ports）：从1024到4Array151。它们松散地绑定于一些服务。也就是说有许多服务绑定于这些端口，这些端口同样用于许多其它目的。例如：许多系统处理动态端口从1024左右开始。 动态和/或私有端口（Dynamic and/or Private Ports）：从4Array152到65535。理论上，不应为服务分配这些端口。实际上，机器通常从1024起分配动态端口。但也有例外：SUN的RPC端口从

32768开始 系统服务

在Windows 2000/XP/2003系统中，服务是指执行指定系统功能的程序、例程或进程，以便支持其他程序，尤其是低层(接近硬件)程序。通过网络提供服务时，服务可以在Active Directory(活动目录)中发布，从而促进了以服务为中心的管理和使用。

凡是用于完成操作系统的各种功能的进程就是系统进程，它们就是处于运行状态下的操作系统本身。

? 根据自己的实践及查找相关资料，试述实现操作系统长期稳定、流畅运行的方法。

? 上网查阅相关资料，了解计算机主动防御系统。什么是HIPS（主机入侵防御系统），主

要功能是什么？在预防计算机病毒中有何作用。

HIPS是一种能监控你电脑中文件的运行和文件运用了其他的文件以及文件对注册表的修改，并向你报告请求允许的的软件。如果你阻止了，那么它将无法运行或者更改。比如你双击了一个病毒程序，HIPS软件跳出来报告而你阻止了，那么病毒还是没有运行的。引用一句话：”病毒天天变种天天出新，使得杀软可能跟不上病毒的脚步，而HIPS能解决这些问题。”。 HIPS是以后系统安全发展的一种趋势，只要你有足够的专业水平，你可以只用HIPS而不需杀毒软件。但是HIPS并不能称为防火墙，最多只能叫做系统防火墙，它不能阻止网络上其他计算机对你计算机的攻击行为。

我们个人用的HIPS可以分为3D： AD(Application Defend)--应用程序防御体系、RD(Registry Defend)注册表防御体系、FD(File Defend)文件防御体系。它通过可定制的规则对本地的运行程序、注册表的读写操作、以及文件读写操作进行判断并允许或禁止。

? ① ② ?

1. 堆栈溢出防范 2. 信息篡改保护 3. 木马后门防范 4. 进程中止保护 5. 超级权限分割

木马、蠕虫实现自启动有哪些方法？

通过修改注册表中的RUN键值来实现自启动

添加系统服务的工具很多，最典型的就是netservice，也可以手工添加系统服务。 常用的病毒分析、手动查杀病毒有哪些工具软件？简述其功能。（包括Windows自带的及第三方提供的）

Autoruns-v9.0H：autoruns是Sysinternals公司出品一款出色的启动项目管理工具，它的功能十分强大，

不仅可以对各启动项目进行管理，还能直接控制注册表，此外软件可以直接利用google和MSN进行网上搜索。它也可以直接管理不同的登陆帐户，随时把操作的记录保存为文件。

HijackThis1.99.1：首页绑架克星 - HijackThis，它能够将绑架您浏览器的程序揪出来！并且移除之！或许您只是浏览某个网站、安装了某个软件，就发现浏览器设定已经被绑架了，一般常见的绑架方式莫过于强制窜改您的浏览器首页设定、搜寻页设定，现在有了这个工具，可以将所有可疑的程序全抓出来，再让您判断哪个程序是肇祸者！把它给杀了！

IceSword冰刃1.22：冰刃IceSword是一斩断黑手的利刃。冰刃IceSword软件适用于Windows 2000/XP/2003/Vista操作系统，用于查探系统中的幕后黑手(木马后门)并作出处理，当然使用它需要用户有一些操作系统的知识。

在对软件做讲解之前，首先说明第一注意事项 ：

此程序运行时不要激活内核调试器(如softice)，否则系统可能即刻崩溃。 另外使用前请保存好您的数据，以防万一未知的Bug带来损失。

冰刃IceSword软件目前只为使用32位的x86兼容CPU的系统设计，另外运行IceSword需要管理员权限。

如果您使用过老版本，请一定注意，使用新版本前要重新启动系统，不要交替使用二者。

冰刃IceSword软件内部功能是十分强大的。可能您也用过很多类似功能的软件，比如一些进程工具、端口工具，但是现在的系统级后门功能越来越强，一般都可轻而易举地隐藏进程、端口、注册表、文件信息，一般的工具根本无法发现这些”幕后黑手”。IceSword使用大量新颖的内核技术，使得这些后门躲无所躲。

sreng2.5：扫描日志、删除和编辑注册表启动、禁用和删除服务（驱动程序）、删除浏览器加载项、

等其它系统修复功能。System Repair Engineer，简称 SREng，是 KZTechs.COM 网站站长 Smallfrogs 开发的一款计算机安全辅助和系统维护辅助软件。主要用于发现、发掘潜在的系统故障和大多数由于计算机病毒造成的破坏，并提供一系列的修改建议和自动修复方法。

System Repair Engineer 的开发目的是：提供一个能够较快诊断出系统常见故障的工具。 能够修复大多数常见的故障。 能够生成一个扫描报告。 能够运行于多种操作系统平台下，支持多语言界面。 具备一定的自动检测修复能力。 便于扩充并且能够以最小的代价进行扩充。

在 System Repair Engineer (SREng) 的帮助下，可以自己诊断操作系统里面可能存在的普遍性问题，即使是计算机的初学者，也可以使用 System Repair Engineer (SREng) 的智能扫描功能将系统的概况生成一份简要的日志，然后将该日志传送给对操作系统熟悉的朋友或网友，在他们的帮助下解决您系统可能存在的问题。

SREngLog分析助手：SREngLog日志分析助手功能： 1。自动分离日志各部分，读取分析

2。公司 “N/A或空” 者排序靠前，使用右键取消或删除文件 3。点击分析选择后，自动生成分析报告，获取分析报告

SREngLOG智能分析助手，是一款用bat代码编写的工具，我们能够用它来智能分析SrengLOG.log并能够一键生成分析报告。。

Unlocker1.8.5顽固软件删除工具：强制删除文件 Unlocker 1.8.5 删除顽固文件

USBCleaner6.0Build20071109：USBCleaner是一种纯绿色的辅助杀毒工具,具有检测查杀70余种U盘病毒,U盘病毒广谱扫描,U盘病毒免疫,修复显示隐藏文件及系统文件,安全卸载移动盘盘符等功能,全方位一体化修复杀除U盘病毒.同时USBCleaner能迅速对新出现的U盘病毒进行处理.

Wsyscheck：一款强大的系统检测维护工具,进程和服务驱动检查,SSDT强化检测,文件查询,注册表操作,DOS删除等一应俱全.该作品为wangsea近期的主打作品,其他比较好的作品还有系统安全盾、syscheck,大家应该不会陌生.特别说明一下,SysCheck现在已经不更新了,WSysCheck可以说是SysCheck的升级版或强化版.

XDelBox1.6：文件删除终结者 -- XDelBox 简介：

1、dos级文件删除方式，打造病毒清除新模式 2、无须进入安全模式，即可删除所有病毒文件 3、支持一次重启批量删除多个文件

4、复制路径的删除添加方式更适用于网络求助(支持拖曳)

软件特别适合用SREng扫描日志后，寻求网络技术支持，把所有恶意文件都添加进去，一次性全部删除无需进入安全模式就可以直接删除任意文件了同时对于某些内核文件，用unlocker,icesword,killbox无法正常删除的，在DOS下自动执行一个批处理删除.

? 思考：当Windows下的winlogon.exe或lsass.exe进程被关闭时，系统将进入60秒倒计

时，如何避免重启？

出现倒计时，可以马上开始-运行-输入cmd-输入shutdown -a回车，

? 简述制作安全U盘的原理与步骤。

原理：安全U盘，采用授权管理、访问控制数据加解密系统，实现了U盘数据的全盘数据加密保护

和安全区数据开启的口令控制。其自带的网络监控系统可以随时监测U盘所在网络的状态，实现了外网阻断。有效防止U盘交叉使用，阻止U盘木马和病毒危害。从根本上杜绝了U盘泄密的途径，净化了U盘的使用环境。

步骤：看老师给的“打造安全u盘”的文档。

? 试述打造安全稳定的操作系统的要点。 1.尽量安装英文版原版的操作系统 2.不安装无用的组件

一般用不到的组件，尽量不要安装。比如不需要使用Internet信息服务（IIS）的，就不要装了。可以避免诸如 .PRINTER、 .IDQ、.IDA、WEBDEV等等通过IIS来进行的外部攻击。 3.选择使用NTFS文件管理系统，其可以详细地设置系统中每个用户对该逻辑盘的访问权限。 而尽量避免使用FAT32。 4.定制系统服务

多余的系统服务只能增加系统负荷和不稳定性。Remote Registry Service、Telnet等几个高风险的服务是一定要停止的，设置为“手动”或“禁止”即可。

5.设置足够健壮的系统账号和密码。对于那些系统自带的用户账号，最好也设置密码，避免被恶意程序或者攻击者利用。 6.定制安全日志和审核策略

运行“Gpedit.msc”命令，在组策略窗口中，定制需要的各种策略。 7. 使用Internet防火墙来保证系统安全。根据需要配置防火墙，以便防火墙能更高效地工作。 8. 安装第三方的杀毒程序、防火墙程序及上网安全保护程序。 9.自动更新安全软件、杀毒软件。

本文来源：https://www.bwwdw.com/article/25b2.html