《计算机病毒防治课后答案参考.doc》由会员分享,可在线阅读,更多相关《计算机病毒防治课后答案参考.doc(8页珍藏版)》请在金锄头文库上搜索。
1、第二章一、填空:1、 UltraEdit可以实现文字、Hex、ASCII的编辑;2、 Doc文件的文件头信息是D0CF11E0,PowerPoint文件的文件头信息是D0CF11E0,Excel文件的文件头信息是D0CF11E0;3、 单一影子模式仅为操作系统所在分区创建影像;4、 影子系统分为单一影子模式和完全影子模式;5、 对注册表修改前后进行对比可使用RegSnap工具软件;第三章 典型计算机病毒剖析一、 填空1、 注册表一般Default、SAM、Security、Software、System5个文件组成。2、 注册表结构一般键、子键、分支、值项、默认值5个大类组成。3、 是否允许修
2、改IE的主页设置的注册表表项是HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerControl Panel。4、 注册表中IE的主页设置项是“Home Page”=dword 000000015、 打开注册表编辑器的命令是regedit。6、网页脚本病毒的特点有病毒变种多、破坏力较大、感染能力强。7、Word的模版文件是Normal.dot。8、Office中宏使用的编程语言是VBA(Visual Basic for Application)。9、宏可保存在当前工作表、word通用模版中。10、蠕虫的两个特征是传染性和复制功能
3、。11、蠕虫病毒的攻击方式有随机探测方式、基于列表的随机探测方式、基于DNS探测方式、基于路由的探测方式、蠕虫攻击模块。12、windows32/Baby.worm病毒主要攻击服务器。13、木马分为远程访问型木马、密码发送型木马、键盘记录型木马、毁坏型木马、FTP型木马。14、木马程序自动启动的方式利用INI文件、注册表的先关程序启动,加入系统启动组,利用系统启动配置文件和与其他程序捆绑执行。二、选择1、寄存在Office文档中,用VB语言编写的病毒程序属于( D )A、引导区型病毒 B文件型病毒C、混合型病毒 D、宏病毒2、 注册表备份文件的扩展名是( C )。A、 com B、exe C、
4、reg D、txe3、 设置注册表键值的API函数是( C )。A、 RegCreateKeyEx() B、RegQueryValue()C、RegSetValueEX() D、RegEnumValue()4、 Windows中VBScript和Javescript的执行环境是( A )。A、 WSH B、IE C、HTML D、DOS5、 Word文件在关闭时自动执行的宏命令是( D )。A、 FileOpen B、AutoOpen C、FileClose D、AutoClose6、 实现正常程序流程的溢出、跳转的技术是( C )。A、 Trap B、Jump C、ShellCode D、O
5、verFlow7、 从( )可以评价木马程序的强弱。、有效性、隐蔽性、顽固性、易植入性三、 问答、 论述自定义命令的操作方法。答:命令操作通过注册表操作对操作系统进行管理。通过注册表的编辑器的编辑、备份、恢复。进行相关命令进行。、 简述网页脚本病毒的技术特点。答:网页脚本病毒使用脚本语言编写的恶意代码,利用的漏洞以实现病毒的植入。它们利用Windows系统的开放性特点,通过调用一些现成的Windows对象、组件,可以直接对文件系统、注册表等进行控制。、 简述背网页脚本病毒入侵后恢复的方法。答:可以通过杀毒软件进行扫描清。也可以通过手动方式清除病毒,进入安全模式或纯中清除,打开注册表编辑器进行删
6、除和恢复某些键值才找所有存在字符串的文件,删除文件尾部的病毒代码。、 编程实现文件关联,如何双击某个设定的扩展名后,编写的程序会启动并打开它。答:先运行test.exe,然后双击某个thm文件时,不在新调起的test.exe中打开,而是用先前运行的test.exe打开它.这样就象winamp,netant那样只保持一个实例运行.目前我做到了以下的程度,双击打开thm引起了新的test.exe实例.在新实例中判断出如果已经有一个老实例在运行了,我就得到老实例的主窗口handle,我想通过这个handle把新打开的thm文件的路径传给老实例让它负责打开,然后关闭新实例.但是我不知道该怎么样通过一个
7、窗口handle传递这个路径并引发打开文件的动作.PostMessage?ShellExecute?DDE?、 简述宏病毒的特点。答:宏病毒传播极快,其制作原理简单,变种方便破坏力极强,多平台交叉感染。、 简述宏病毒的检测方法。答:检测方法有:通过模板中是否出现宏,无故出现存盘操作,功能混乱,无法使用,菜单命令消失,文档内容发生了改变,当用户尝试保存文档时,只允许文档保存为文档模板的格式,文档图标的外形类是模板而非文档图标。、 简述宏病毒的清除方法。答:有六种方法来删除宏病毒。通过删除宏命令的形式删除宏病毒。通过复制粘贴方式清除宏病毒。通过删除来除掉宏病毒。通过格式转换清除宏病毒。通过高版本的
8、来发现宏病毒。为防万一,在打开怀疑感染了宏病毒的文档是按住,键,这样可以避免宏自动运行,如果有宏病毒,这不会加载宏。、 简述蠕虫病毒与传统病毒的区别。答:蠕虫与病毒的最大不同在于它不需要人为干预,且能够自主不断地复制和传播。蠕虫程序的工作流程可以分为漏洞扫描、攻击、传染、现场处理四个阶段。蠕虫程序扫描到有漏洞的计算机系统后,将蠕虫主体迁移到目标主机。然后,蠕虫程序进入被感染的系统,对目标主机进行现场处理。现场处理部分的工作包括:隐藏、信息搜集等。不同的蠕虫采取的IP生成策略可能并不相同,甚至随机生成。各个步骤的繁简程度也不同,有的十分复杂,有的则非常简单、 总结蠕虫病毒的清除方法。答:按Ctr
9、l+Alt+Delete调出任务管理器,在进程页面中结束掉所有名称为病毒的进程(建议在后面的操作中反复此操作,以确保病毒文件不会反复发作)。 3、在开始运行中输入“regedit”(XP系统)打开注册表,点“编辑”“查找”,在弹出的对话框中输入病毒文件名,找到后全删。 4、在我的电脑工具文件夹选项查看显示所有文件和文件夹,把“隐藏受保护的系统文件”的勾去掉,你会看到出现了你所说的文件名的文件,直接删除 、 简述木马程序的危害。答: 木马程序危害在于多数有恶意企图,例如占用系统资源,降低电脑效能,危害本机信息安全(盗取QQ帐号、游戏帐号甚至银行帐号),将本机作为工具来攻击其他设备等。、 分析木马
10、与一般病毒的危害。答:木马同病毒不是很一样 病毒主要以破坏数据,破坏软硬件为目的 木马则主要以偷窃数据,篡改数据为目的 中木马后有可能对丢失上网帐号,各种口令和用户名,远程控制你的电脑,远程控制开启你机器的外围设备。、 简述木马的工作原理。答:“木马”程序是目前比较流行的病毒文件,与一般的病毒不同,它不会自我繁殖,也并不“刻意”地去感染其他文件,它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种者电脑的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种者的电脑。“木马”与计算机网络中常常要用到的远程控制软件有些相似,但由于远程控制软件是“善意”的控制,因此通常不具有隐蔽性;
11、“木马”则完全相反,木马要达到的是“偷窃”性的远程控制,如果没有很强的隐蔽性的话,那就是“毫无价值”的。 、 什么是计算机木马?简述木马攻击技术的原理。答:计算机木马(又名间谍程序)是一种后门程序,常被黑客用作控制远程计算机的工具。英文单词“Troj”,直译为“特洛伊”。 一个完整的木马系统由硬件部分,软件部分和具体连接部分组成。 (1)硬件部分:建立木马连接所必须的硬件实体。 控制端:对服务端进行远程控制的一方。 服务端:被控制端远程控制的一方。 INTERNET:控制端对服务端进行远程控制,数据传输的网络载体。 (2)软件部分:实现远程控制所必须的软件程序。 控制端程序:控制端用以远程控制
12、服务端的程序。 木马程序:潜入服务端内部,获取其操作权限的程序。 木马配置程序:设置木马程序的端口号,触发条件,木马名称等,使其在服务端藏得更隐蔽的程序。 (3)具体连接部分:通过INTERNET在服务端和控制端之间建立一条木马通道所必须的元素。 控制端IP,服务端IP:即控制端,服务端的网络地址,也是木马进行数据传输的目的地。 控制端端口,木马端口:即控制端,服务端的数据入口,通过这个入口,数据可直达控制端程序或木马程序。 第四章 计算机病毒防范、免疫与清除技术、填空1. 病毒防范分为 单机环境 和 网络环境 。(P152)2. 病毒的传染模块一般包括 传染跳进判断 和实施传染两个部分。(P
13、154)3. 禁止修改显示系统文件的注册表键项是HKEY_LOCAL_MACHINESoftwareMicroftWindowsCurrent VersionexporerAdvancedFolderHiddenSHOWALL (P161)4. FTP的访问端口是5554。(P161)二、 选择题计算机的免疫方法有(BC )。(P155)A、 安装防毒软件实现病毒免疫B、 基于自我完整性检查的计算机病毒的免疫C、 针对某一病毒进行计算机病毒免疫D、 编制万能病毒免疫程序实现病毒免疫三、 问答1、 简述防范病毒技术答:安装并更新杀毒软件,不能共享软盘或硬盘等介质、规范管理使用计算机,判断不明文件
14、是否安全,重要文件应该备份,上网,或下载是应进入正规网站。系统管理及时处理异常情况。2、 简述计算机病毒的检测方法。答:可以用现象观察法,观察计算机系统运行状态。对比法,用备份的与被检测的引导扇区或被检测的文件进行对比。加和对比法根据程序的信息对比系统观察检查码是否更改。搜索法,计算机病毒体含有的特定字节串对被检测的对象进行扫描。软件仿真扫描法。先知扫描法。人工智能陷进技术和宏病毒陷进技术。3、 常见的计算机病毒有哪些类型?清除计算机病毒的方法有哪些?答:常见的计算机病毒有Trojan、宏病毒、JAVA程序语言编写的病毒、操作系统文件的病毒、窃取密码等信息的木清除计算机的方法:用杀毒软禁进行清
15、除,清除无法显示的隐藏文件病毒、手工清楚病毒如“震荡波”4、 简述“QQ尾巴”病毒的清除方法。答:第一种方法:工具杀毒有很多工具都可以杀QQ尾巴,如瑞星QQ尾巴专杀qqkav,3721的反间谍专家,流行病毒专杀等等第二种方法:手工杀毒找到QQ尾巴的病毒文件,删除,然后,在运行里打msconfig,在启动项里把病毒名前面的勾打掉第五章一、填空1.主动防御技术主要是从 未知病毒 和 未知程序 和通过对漏洞攻击行为进行检测两方面防范病毒。2.启发式查毒技术分为 静态启发技术 和 动态启发技术 。3.目前虚拟机处理的对象主要是 文件型 病毒。4.反病毒软件由 应用程序 、 反病毒引擎 和 病毒库 三部分构成。5.病毒库主要包括 病毒特征串库 和 杀毒关键性参数库
