第二章
一、填空:
1、 UltraEdit可以实现文字、Hex、ASCII的编辑;
2、 Doc文件的文件头信息是D0CF11E0,PowerPoint文件的文件头信息是D0CF11E0,Excel文件的文件头信息是D0CF11E0;
3、 单一影子模式仅为操作系统所在分区创建影像;
4、 影子系统分为单一影子模式和完全影子模式;
5、 对注册表修改前后进行对比可使用RegSnap工具软件;
第三章 典型计算机病毒剖析
1、填空
1、注册表一般Default、SAM、Security、Software、System5个文件组成。
2、注册表结构一般键、子键、分支、值项、默认值5个大类组成。
3、是否允许修改IE的主页设置的注册表表项是HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel。
4、注册表中IE的主页设置项是“Home Page”=dword 00000001
5、打开注册表编辑器的命令是regedit。
6、网页脚本病毒的特点有病毒变种多、圣诞节寄语破坏力较大、感染能力强。
7、Word的模版文件是Normal.dot。
8、Office深圳怎样注册公司中宏使用的编程语言是VBA(Visual Basic for Application)。
9、宏可保存在当前工作表、word通用模版中。
10、蠕虫的两个特征是传染性和复制功能。
11、蠕虫病毒的攻击方式有随机探测方式、基于列表的随机探测方式、基于DNS探测方式
、基于路由的探测方式、蠕虫攻击模块。
12、windows32/Baby.worm病毒主要攻击服务器。
13、木马分为远程访问型木马、密码发送型木马、键盘记录型木马、毁坏型木马、FTP型木马。
14、木马程序自动启动的方式利用INI文件、注册表的先关程序启动,加入系统启动组,利用系统启动配置文件和与其他程序捆绑执行。
二、选择
1、寄存在Office文档中,用VB语言编写的病毒程序属于( D )
A、引导区型病毒 B文件型病毒
C、混合型病毒 D、宏病毒
2、注册表备份文件的扩展名是( C )。
A、com B、exe C、reg D、txe
3、设置注册表键值的API函数是( C )。
A、RegCreateKeyEx() B、RegQueryValue()
C、RegSetValueEX() D、RegEnumValue()
4、Windows中VBScript和Javescript的执行环境是( A )。
A、WSH B、IE C、HTML D、DOS
5、Word文件在关闭时自动执行的宏命令是( D )。
A、FileOpen B、AutoOpen C、FileClose D、AutoClose
6、实现正常程序流程的溢出、跳转的技术是( C )。
A、Trap B、Jump C、ShellCode D、OverFlow
7、从( A )可以评价木马程序的强弱。
A、有效性 B、隐蔽性 C、顽固性 D、易植入性
3、问答
1、论述自定义Windows命令的操作方法。
答:windows命令操作通过注册表操作对操作系统进行管理。通过注册表的编辑器的编辑、备份、恢复。进行相关命令进行。
2、简述网页脚本病毒的技术特点。
答:网页脚本病毒使用脚本语言编写的恶意代码,利用IE的漏洞以实现病毒的植入。它们利用Windows系统的开放性特点,通过调用一些现成的Windows对象、组件,可以直接对文件系统、注册表等进行控制。
3、简述背网页脚本病毒入侵后恢复的方法。
答:可以通过杀毒软件进行扫描清。也可以通过手动方式清除病毒,进入安全模式或纯DOS中清除,打开注册表编辑器进行删除和恢复某些键值才所有存在KJ_start
字符串的文件,删除文件尾部的病毒代码。
4、编程实现文件关联,如何双击某个设定的扩展名后,编写的程序会启动并打开它。
答:先运行,然后双击某个thm文件时部分地方绿码有星要隔离14天,不在新调起的中打开,而是用先前运行的打开它.
这样就象winamp,netant那样只保持一个实例运行.目前我做到了以下的程度,双击打开thm引起了新的怎样做茯苓饼实例.在新实例中判断出如果已经有一个老实例在运行了,我就得到老实例的主窗口handle,我想通过这个handle把新打开的thm文件的路径传给老实例让它负责打开,然后关闭新实例.但是我不知道该怎么样通过一个窗口handle传递这个路径并引发打开文件的动作.PostMessage?
ShellExecute?
DDE?
这样就象winamp,netant那样只保持一个实例运行.目前我做到了以下的程度,双击打开thm引起了新的怎样做茯苓饼实例.在新实例中判断出如果已经有一个老实例在运行了,我就得到老实例的主窗口handle,我想通过这个handle把新打开的thm文件的路径传给老实例让它负责打开,然后关闭新实例.但是我不知道该怎么样通过一个窗口handle传递这个路径并引发打开文件的动作.PostMessage?
ShellExecute?
DDE?
5、简述宏病毒的特点。
答:宏病毒传播极快,其制作原理简单,变种方便破坏力极强,多平台交叉感染。
6、简述宏病毒的检测方法。
答:检测方法有:通过模板中是否出现宏,无故出现存盘操作,word功能混乱,无法使用,word菜单命令消失,word文档内容发生了改变,当用户尝试保存文档时,只允许文档保存为文档模板的格式,文档图标的外形类是模板而非文档图标。
7、简述宏病毒的清除方法。
答:有六种方法来删除宏病毒。通过删除宏命令的形式删除宏病毒。通过复制粘贴方式清除宏病毒。通过删除Normal.Dot来除掉宏病毒。通过格式转换清除word宏病毒。通过高版本的word来发现宏病毒。为防万一,在打开怀疑感染了宏病毒的文档是按住,<shif>键,这样可以避免宏自动运行,如果有宏病毒,这不会加载宏。
8、简述蠕虫病毒与传统病毒的区别。
答:蠕虫与病毒的最大不同在于它不需要人为干预,且能够自主不断地复制和传播。蠕虫程序的工作流程可以分为漏洞扫描、攻击、传染、现场处理四个阶段。蠕虫程序扫描到有漏洞的计算机系统后,将蠕虫主体迁移到目标主机。然后,蠕虫程序进入被感染的系统,
对目标主机进行现场处理。现场处理部分的工作包括:隐藏、信息搜集等。不同的蠕虫采取的IP生成策略可能并不相同,甚至随机生成。各个步骤的繁简程度也不同,有的十分复杂,有的则非常简单
9、总结蠕虫病毒的清除方法。
答:按Ctrl+Alt+Delete调出任务管理器,在进程页面中结束掉所有名称为病毒的进程(建议在后面的操作中反复此操作,以确保病毒文件不会反复发作)。 3、在开始--运行中输入“regedit”(XP系统)打开注册表,点“编辑”——“查”,在弹出的对话框中输入病毒文件名,到后全删。 4、在我的电脑-工具-文件夹选项-查看-显示所有文件和文件夹,把“隐藏受保护的系统文件”的勾去掉,你会看到出现了你所说的文件名的文件,直接删除
10、简述木马程序的危害。
答: 木马程序危害在于多数有恶意企图,例如占用系统资源,降低电脑效能,危害本机信息安全(盗取QQ帐号、游戏帐号甚至银行帐号),将本机作为工具来攻击其他设备等。
11、分析木马与一般病毒的危害。
答:木马同病毒不是很一样 病毒主要以破坏数据,破坏软硬件为目的 木马则主要以偷窃数据,篡改数据为目的 中木马后有可能对丢失上网帐号,各种口令和用户名,远程控制你的电脑,远程控制开启你机器的外围设备。
12、简述木马的工作原理。
答:“木马”程序是目前比较流行的病毒文件,与一般的病毒不同,它不会自我繁殖,也并不“刻意如何扑灭初期火灾”地去感染其他文件,它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种者电脑的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种者的电脑。“木马”与计算机网络中常常要用到的远程控制软件有些相似,但由于远程控制软件是“善意”的控制,因此通常不具有隐蔽性;“木马”则完全相反,木马要达到的是“偷窃”性的远程控制,如果没有很强的隐蔽性的话,那就是“毫无价值”的。
13、什么是计算机木马?简述木马攻击技术的原理。
答:计算机木马(又名间谍程序)是一种后门程序,常被黑客用作控制远程计算机的工具。
英文单词“Troj”,直译为“特洛伊”。 一个完整的木马系统由硬件部分,软件部分和具体连接部分组成。 (1)硬件部分:建立木马连接所必须的硬件实体。 控制端:对服务端进行远程控制的一方。 服务端:被控制端远程控制的一方。 INTERNET:控制端对服务端进行远程控制,数据传输的网络载体。 (2)软件部分:实现远程控制所必须的软件程序。 控制端程序:控制端用以远程控制服务端的程序。 木马程序:潜入服务端内部,获取其操作权限的程序。 木马配置程序:设置木马程序的端口号,触发条件,木马名称等,使其在服务端藏得更隐蔽的程序。 (3)具体连接部分:通过INTERNET在服务端和控制端之间建立一条木马通道所必须的元素。 控制端IP,服务端IP:即控制端,服务端的网络地址,也是木马进行数据传输的目的地。 控制端端口,木马端口:即控制端,服务端的数据入口,通过这个入口,数据可直达控制端程序或木马程序。
第四章 计算机病毒防范、免疫与清除技术
—、填空
1.病毒防范分为 单机环境 和 网络环境 。(P152)
2.病毒的传染模块一般包括 传染跳进判断 和实施传染两个部分。(P154)
3.禁止修改显示系统文件的注册表键项是HKEY_LOCAL_MACHINE\Software\Microft\Windows\Current Version\exporer\Advanced\Folder\Hidden\SHOWALL (P161)
4.FTP的访问端口是5554。(P161)
2、选择题
计算机的免疫方法有(BC )。(P155)
A、安装防毒软件实现病毒免疫
B、基于自我完整性检查的计算机病毒的免疫
C、针对某一病毒进行计算机病毒免疫
D、编制万能病毒免疫程序实现病毒免疫
3、问答
1、简述防范病毒技术
答:安装并更新杀毒软件,不能共享软盘或硬盘等介质、规范管理使用计算机,判断不明文件是否安全,重要文件应该备份,上网,或下载是应进入正规网站。系统管理及时处理异常情况。
2、简述计算机病毒的检测方法。
答:可以用现象观察法,观察计算机系统运行状态。对比法,用备份的与被检测的引导扇区或被检测的文件进行对比。加和对比法根据程序的信息对比系统观察检查码是否更改。搜索法,计算机病毒体含有的特定字节串对被检测的对象进行扫描。软件仿真扫描法。先知扫描法。人工智能陷进技术和宏病毒陷进技术。
3、常见的计算机病毒有哪些类型?清除计算机病毒的方法有哪些?
答:常见的计算机病毒有Trojan、宏病毒、JAVA程序语言编写的病毒、操作系统文件的病毒、窃取密码等信息的木……清除计算机的方法:用杀毒软禁进行清除,清除无法显示的隐藏文件病毒、手工清楚病毒如“震荡波”……
4、简述“QQ尾巴”病毒的清除方法。
答:第一种方法:工具杀毒
有很多工具都可以杀QQ尾巴,如瑞星QQ尾巴专杀.
qqkav,3721的反间谍专家,流行病毒专杀等等.
第二种方法:手工杀毒
到QQ尾巴的病毒文件,删除,然后,在运行里打msconfig,在启动项里把病毒名前面的勾打掉.
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论