《计算机病毒》复习思考题及答案要点

《计算机病毒》复习思考题
第一章计算机病毒概述
1. 简述计算机病毒的定义和特征。

计算机病毒(Computer Virus)，是一种人为制造的、能够进行自我复制的、具有对计算机资源进行破坏作用的一组程序或指令集合。

计算机病毒的可执行性(程序性)、传染性、非授权性、隐蔽性、潜伏性、可触发性、破坏性、攻击的主动性、针对性、衍生性、寄生性(依附性)、不可预见性、诱惑欺骗性、持久性。

2. 计算机病毒有哪些分类方法？根据每种分类方法，试举出一到两个病毒。

3. 为什么同一个病毒会有多个不同的名称？如何通过病毒的名称识别病毒的类型？
国际上对病毒命名的一般惯例为“前缀+病毒名+后缀”，即三元组命名规则。

1、系统病毒
系统病毒的前缀为：Win32、PE、Win95、W32、W95等。

2、蠕虫病毒
蠕虫病毒的前缀是：Worm。

3、木马病毒、黑客病毒
木马病毒其前缀是：Trojan，黑客病毒前缀名一般为Hack 。

4、脚本病毒
脚本病毒的前缀是：Script。

5、宏病毒
其实宏病毒是也是脚本病毒的一种，由于它的特殊性，因此在这里单独算成一类。

宏病毒的前缀是：Macro。

6、后门病毒
后门病毒的前缀是：Backdoor。

7、病毒种植程序病毒
后门病毒的前缀是：Dropper。

这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下，由释放出来的新病毒产生破坏。

8．破坏性程序病毒
破坏性程序病毒的前缀是：Harm。

这类病毒的公有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒便会直接对用户计算机产生破坏。

9．玩笑病毒
玩笑病毒的前缀是：Joke。

10．捆绑机病毒
捆绑机病毒的前缀是：Binder。

4. 简述计算机病毒产生的背景。

5. 计算机病毒有哪些传播途径？
传播途径有两种，一种是通过网络传播，一种是通过硬件设备传播（软盘、U盘、光盘、硬盘、存储卡等）。

网络传播，又分为因特网传播和局域网传播两种。

硬件设备传播：通过不可移动的计算机硬件设备传播、通过移动存储设备传播、通过无线设备传播。

6. 试比较与计算机病毒症状相似的软件故障。

7. 试比较与计算机病毒症状相似的硬件故障。

8. 计算机病毒为什么是可以防治、可以清除的？
9. 分析“新欢乐时光”病毒的源代码及其特性，结合三元组中病毒名命名优先级，分析各杀毒软件商对该病毒存在不同命名的原因。

●查找相关资料，试述计算机病毒发展趋势与特点。

◆基于Windows的计算机病毒越来越多
◆计算机病毒向多元化发展
◆新计算机病毒种类不断涌现，数量急剧增加
◆计算机病毒传播方式多样化，传播速度更快
◆计算机病毒造成的破坏日益严重
◆病毒技术与黑客技术日益融合
◆更多依赖网络、系统漏洞传播，攻击方式多种多样
●研究计算机病毒有哪些基本原则？搭建病毒分析的环境有哪些方法？
回答一：“八字原则”——自尊自爱、自强自律
自尊
尊重自己的人格，不做违法、违纪的事
自爱
爱惜自己的“知识储备”，不随便“发挥自己的聪明才智”，自己对自己负责
自强
刻苦钻研，努力提高防毒、杀毒水平
自律
严以律己、宽以待人，不以任何理由为借口而“放毒”
回答二：可在虚拟环境下进行，比如在VirtualBox 、VMware环境下安装操作系统作为测试研究病毒的环境。

可使用影子系统，在全模式下进行试验。

可在使用硬盘保护卡的环境下进行试验。

可以使用RAMOS（内存操作系统）作为测试研究病毒的环境。

第2章预备知识
1. 硬盘主引导扇区由哪几部分构成？一个硬盘最多可分几个主分区？为什么？
Fdisk/mbr命令是否会重写整个主引导扇区？
主引导扇区(Boot Sector)由主引导记录(Master Boot Record，MBR)、主分区表即磁盘分区表(Disk Partition Table，DPT)、引导扇区标记(Boot Record ID/Signature)三部分组成。

一个硬盘最多可分为4个主分区，因为主分区表占用64个字节，记录了磁盘的基本分区信息，其被分为4个分区选项，每项16个字节，分别记录了每个主分区的信息。

2．低级格式化、高级格式化的功能与作用是什么？高级格式化(FORMAT)能否清除任何计算机病毒？为什么？
回答一：低级格式化的主要目的是将盘面划分成磁道、扇区和柱面。

高级格式化的目的是在分区内建立分区引导记录DBR(DOS Boot Record)、文件分配表FAT(File Allocation Table)、文件目录表FDT(File Directory Table)和数据区DA TA。

回答二：如果主引导区感染了病毒，用格式化程序FORMA T不能清除该病毒(BR病毒可以用FORMA T清除)。

3. DOS下的EXE文件病毒是如何获取控制权的？感染EXE文件，需对宿主作哪些修改？
一般来说，病毒往往先于HOST程序获得控制权。

运行Win32病毒的一般流程示意如下：
①用户点击或系统自动运行HOST程序；
②装载HOST程序到内存；
③通过PE文件中的AddressOfEntryPoint加ImageBase之和，定位第一条语句的位置(程序入口)；
④从第一条语句开始执行(这时执行的其实是病毒代码)；
⑤病毒主体代码执行完毕，将控制权交给HOST程序原来的入口代码；
⑥HOST程序继续执行。

4. 针对PE文件格式，请思考：Win32病毒感染PE文件，须对该文件作哪些修改？
5．简介有哪些常用的磁盘编辑软件、分区软件。

FDISK、DiskGenius、PartitionMagic、Acronis Disk Director
6．简述Windows XP的启动过程。

在基于Intel的计算机上，Windows 2000/XP的启动过程大致可分为8个步骤：
1．预启动
计算机加电自检，读取硬盘的MBR、执行NTLDR(操作系统加载器)文件
2．进行初始化
NTLDR将处理器从实模式转换为32位保护模式
3．读取BOOT.INI文件
BOOT.INI文件其作用是使系统在启动过程中出现选择菜单，由用户选择希望启动的操作系统，若只有一个操作系统则不显示
4．加载文件
由来检测计算机硬件，如并行端口、显示适配器等，并将收集到的硬件列表返回NTLDR用于以后在注册表中注册保存
5．选择硬件配置文件
如果Windows 2000/XP有多个硬件配置文件，此时会出现选择菜单，等待用户确定要使用的硬件配置文件，否则直接跳过此步，启用默认配置
6．装载内核
引导过程装载Windows 2000/XP内核NtOsKrnl.EXE。

随后，硬件抽象层(HAL)被引导进程加载，完成本步骤
7．初始化内核
内核完成初始化，NTLDR将控制权转交Windows 2000/XP内核，后者开始装载并初始化设备驱动程序，并启动Win32子系统和Windows 2000/XP服务
8．用户登录
由Win32子系统启动WinLogon.EXE，并由它启动Local Security Authority (LSASS.EXE)显示登录对话框。

用户登录后，Windows 2000/XP会继续配置网络设备、用户环境，并进行个性化设置。

最后，伴随着微软之声和我们熟悉的个性化桌面，Windows 2000/XP 启动过程完成
7、简述Windows 7的启动过程。

1、开启电源——
计算机系统将进行加电自检(POST)。

如果通过，之后BIOS会读取主引导记录(MBR)——被标记为启动设备的硬盘的首扇区，并传送被Windows 7建立的控制编码给MBR。

——这时，Windows接管启动过程。

接下来：
MBR读取引导扇区-活动分区的第一扇区。

此扇区包含用以启动Windows启动管理器(Windows Boot Manager)程序Bootmgr exe的代码。

2、启动菜单生成——
Windows启动管理器读取“启动配置数据存储(Boot Confi guration Data store）中的信息。

此信息包含已被安装在计算机上的所有操作系统的配置信息。

并且用以生成启动菜单。

3、当您在启动菜单中选择下列动作时：
<1> 如果您选择的是Windows 7（或Windows Vista），Windows 启动管理器(Windows
Boot Manager)运行%SystemRoot%\System32文件夹中的OS loader——Winload.exe。

<2> 如果您选择的是自休眠状态恢复Windows 7 或Vista，那么启动管理器将装载
Winresume.exe并恢复您先前的使用环境。

<3> 如果您在启动菜单中选择的是早期的Windows版本，启动管理器将定位系统安装
所在的卷，并且加载Windows NT风格的早期OS loader(Ntldr.exe)——生成一个由boot.ini内容决定的启动菜单。

4、核心文件加载及登录
Windows7启动时，加载其核心文件Ntoskrnl.exe和hal.dll——从注册表中读取设置并加载驱动程序。

接下来将运行Windows会话管理器(smss.exe)并且启动Windows启动程序(Wininit exe)，本地安全验证(Lsass.exe)与服务(services.exe)进程，完成后，您就可以登录您的系统了。

5、登陆后的开机加载项目
第3章计算机病毒的逻辑结构与基本机制
1. 计算机病毒在任何情况下都具有感染力或破坏力吗？为什么？
不是，因为计算机病毒在传播过程中存在两种状态，即静态和动态。

a.静态病毒，是指存在于辅助存储介质中的计算机病毒，一般不能执行病毒的破坏或表现功能，其传播只能通过文件下载(拷贝)实现。

b.病毒完成初始引导，进入内存后，便处于动态。

动态病毒本身处于运行状态，通过截流盗用系统中断等方式监视系统运行状态或窃取系统控制权。

病毒的主动传染和破坏作用，都是动态病毒的“杰作”
c.内存中的病毒还有一种较为特殊的状态——失活态，它的出现一般是由于用户对病毒的干预(用杀毒软件或手工方法)，用户把中断向量表恢复成正确值，处于失活态的病毒不可能进行传染或破坏
综上所述，计算机病毒只有处于动态才具有感染力或破坏力。

故计算机病毒不是在任何情况下都具有感染力或破坏力
2. 文件型病毒有哪些感染方式？
a寄生感染: 文件头部寄生文件尾部寄生插入感染逆插入感染利用空洞——零长度感染
b无入口点感染: 采用入口点模糊(Entry Point Obscuring，EPO)技术采用TSR病毒技术c 滋生感染
d链式感染
e OBJ、LIB和源码的感染
3．计算机病毒的感染过程是什么？
计算机病毒感染的过程一般有三步：
(1)当宿主程序运行时，截取控制权；
(2)寻找感染的突破口；
(3)将病毒代码放入宿主程序
4．结合病毒的不同感染方式，思考该病毒相应的引导机制。

(老师给的)
（1）驻留内存
病毒若要发挥其破坏作用，一般要驻留内存。

为此就必须开辟所用内存空间或覆盖系统占用的部分内存空间。

有的病毒不驻留内存。

（2）窃取系统控制权
在病毒程序驻留内存后，必须使有关部分取代或扩充系统的原有功能，并窃取系统的控制权。

此后病毒程序依据其设计思想，隐蔽自己，等待时机，在条件成熟时，再进行传染和破坏。

（3）恢复系统功能
病毒为隐蔽自己，驻留内存后还要恢复系统，使系统不会死机，只有这样才能等待时机成熟后，进行感染和破坏的目的。

有的病毒在加载之前进行动态反跟踪和病毒体解密。

4．计算机病毒一般采用哪些条件作为触发条件？
病毒采用的触发条件主要有以下几种：
日期触发
时间触发
键盘触发
感染触发
启动触发
访问磁盘次数/调用中断功能触发
CPU型号/主板型号触发
打开或预览Email附件触发
随机触发
5.一个病毒，试分析其感染机制、触发机制和破坏机制。

感染机制:
A计算机病毒实施感染的过程基本可分为两大类
a.立即传染
病毒在被执行到的瞬间，抢在宿主程序开始执行前，立即感染磁盘上的其他程序，然后再执行宿主程序
b.驻留内存并伺机传染
内存中的病毒检查当前系统环境，在执行一个程序或DIR等操作时感染磁盘上的程序，驻留在系统内存中的病毒程序在宿主程序运行结束后，仍可活动，直至关闭计算机
总之，计算机病毒感染的过程一般有三步：
(1)当宿主程序运行时，截取控制权；
(2)寻找感染的突破口；
(3)将病毒代码放入宿主程序
病毒攻击的宿主程序是病毒的栖身地，宿主程序既是病毒传播的目的地，又是下一次感染的出发点
触发机制：病毒在感染或破坏前，往往要检查某些特定条件是否满足，满足则进行感染或破坏，否则不进行感染或破坏，病毒采用的触发条件主要有以下几种：
日期触发
时间触发
键盘触发
感染触发
启动触发
访问磁盘次数/调用中断功能触发
CPU型号/主板型号触发
打开或预览Email附件触发
随机触发
破坏机制：计算机病毒的破坏机制，在设计原则、工作原理上与传染机制相似，也是通过修改某一中断向量人口地址(一般为时钟中断INT 8H或与时钟中断有关的其他中断，如INT 1CH)，使该中断向量指向病毒程序的破坏模块。

这样，当被加载的程序或系统访问该中断向量时，病毒破坏模块被激活，在判断设定条件满足的情况下，对系统或磁盘上的文件进行破坏
6. 绘出Funlove的流程图，并说明其引导部分的作用。

(计算机难画，根据下面过程就能画出来)
a.病毒程序第一次运行时，按照一定的时间间隔，周期性地检测每一个驱动器以及网络资源中的.EXE、.SCR、.OCX文件，验证后进行感染，被感染文件长度通常会增加4099字节或者更多
b.检测到以下文件名时不感染它们：ALER*、AMON*、_AVP*、A VP3*、A VPM*、F-PR*、NAVW*、SCAN*、SMSS*、DDHE*、DPLA*和MPLA*
c.当染毒程序运行后，该病毒将创建一个名为“FLCSS.EXE”的文件(长度4608字节)，放在当前Windows系统的System目录下(NT系统中为System32)，并同时开启一个线程进行自身的传染
d.如果是在NT的许可权限下运行，FLCSS.EXE会将自身像一个服务程序一样安装到NT 计算机上。

它会以“FLC”显示在标准的NT服务列表中，并且被设置为在每次启动时自动运行此服务。

在Windows 9x下，它像一个隐含程序一样运行，在任务列表中是不可见的
e.尽管Funlove病毒对数据没有直接的破坏性，但是在NT下，该病毒还是对NtOsKrnl.exe 文件做了一个小的修改(Patch)，使得文件的许可请求总是返回允许访问(Access Allowed)，所有的用户都拥有对每一个文件的完全控制访问权
其引导部分的作用：(这是我总结的)
染毒程序运行时，首先运行的是funlove病毒的引导模块
a.检查运行的环境，如确定操作系统类型、内存容量、现行区段、磁盘设置、显示器类型等参数
b.将funlove病毒引入内存，使funlove病毒处于动态，并保护内存中的funlove病毒代码不被覆盖
c.设置funlove病毒的激活条件和触发条件，使funlove病毒处于可激活态，以便funlove病
毒被激活后根据满足的条件调用感染模块或破坏表现模块
试述计算机病毒的逻辑结构。

第4章 DOS病毒的基本原理与DOS病毒分析
1．什么是病毒的重定位？病毒一般采用什么方法进行重定位？
回答一：重定位就是把程序的逻辑地址空间变换成内存中的实际物理地址空间的过程。

病毒不可避免也要用到变量(常量)，当病毒感染HOST程序后，由于其依附到不同HOST 程序中的位置各有不同，病毒随着HOST载入内存后，病毒中的各个变量(常量)在内存中的位置自然也会随着发生变化。

故而获取病毒变量的地址偏移值和利用该值得到病毒变量在内存中的实际地址的过程，就是病毒的重定位。

回答二：
call delta ;这条语句执行之后，堆栈顶端为delta在内存中的真正地址
delta:pop ebp ;这条语句将delta在内存中的真正地址存放在ebp寄存器中……
lea eax,[ebp+(offset var1-offset delta)] ;这时eax中存放着var1在内存中的真实地址
如果病毒程序中有一个变量var1，那么该变量实际在内存中的地址应该是ebp＋(offset var1－offset delta)，即参考量delta在内存中的地址＋其它变量与参考量之间的距离=其它变量在内存中的真正地址。

有时候我们也采用(ebp－offset delta)＋offset var1的形式进行变量var1的重定位。

2. 试述引导型病毒的启动过程。

引导型病毒的触发：
用染毒盘启动计算机时，引导型病毒先于操作系统获取系统控制权(被首次激活)，处于动态因首次激活时修改INT 13H入口地址使其指向病毒中断服务程序，从而处于可激活态
当系统/用户进行磁盘读写时调用INT 13H，调用的实际上是病毒的中断服务程序，从而激活病毒，使病毒处于激活态
病毒被激活之后，即可根据感染条件实施暗地感染、根据爆发破坏条件破坏系统并表现自己3．编写程序，利用INT 13H实现引导区的备份与恢复。

备份：
DEBUG（回车）
-A 100
XXXX:0100 MOV AX,201
XXXX:0103 MOV BX,200
XXXX:0106 MOV CX,1
XXXX:0109 MOV DX,80
XXXX:010C INT 13
XXXX:010E INT 3
XXXX:010F
-G=100
-R BX
BX 0200:0
-R CX ；-D 200 3FF显示Hex,注意标志55AA
CX 0001:200
-N BOOT.ZYD
-W
-Q
恢复：
DEBUG（回车）
-N BOOT.ZYD
-L 200
-A 100
XXXX:0100 MOV AX,0301
XXXX:0103 MOV BX,0200
XXXX:0106 MOV CX,0001
XXXX:0109 MOV DX,0080
XXXX:010C INT 13
XXXX:010E INT 3
XXXX:010F
-G=100
4. 编写程序，利用该程序修复被COM_感染的host_。

5. 试绘出感染EXE文件的示例病毒exe_v的流程图。

6．编写程序，利用该程序修复被exe_感染的文件。

7．试绘出混合型病毒Natas病毒的加密变形流程图。

● 如何清除引导型病毒？
在恢复引导区之前，应清除内存中的病毒或使内存中的病毒处于灭活状态。

用干净软盘引导启动系统，可以清除内存中的病毒，也可采用如下方法将内存中的病毒灭活：
1.在无毒环境下(例如用无毒的同版本系统盘启动)，用无毒的Debug 将中断向量表取出存在一个文件中。

2.当内存中有病毒时用上述文件覆盖中断向量表。

中断向量表恢复正常，内存中通过修改向量表截流盗取中断向量的病毒将无法再激活。

病毒的清除方法比较简单，将病毒备份的扇区内容或感染前我们主动备份的引导扇区/主引导扇区内容，写入软盘引导扇区/硬盘主引导扇区即可。

● 试述文件型病毒的基本原理。

第4章 DOS 病毒的基本原理与DOS 病毒分析
1． 什么是病毒的重定位？病毒一般采用什么方法进行重定位？P158
*2. 试述引导型病毒的启动过程。

答：带毒硬盘引导------>BIOS 将硬盘主引导区读到内存0:7C00处控制权转到主引导程
序(这是千古不变的)(病毒)-------->将0:413单元的值减少1K或nK------->计算可用内存高段地址将病毒移到高段继续执行-------->修改INT13地址,指向病毒传染段,将原INT13地址保存在某一单元------>病毒任务完成，将原引导区调入0:7C00执行------>机器正常引导
*3．编写程序，利用INT 13H实现引导区的备份与恢复。

答：从U盘或光盘启动，进入纯DOS
DEBUG
-A 100
mov ax,0201
mov bx,0200
mov cx,0001
mov dx,0080
int 13
mov ax,0301
mov bx,0200
mov cx,0002
mov dx,0080
int 13
int 3
-g=100
4. 编写程序，利用该程序修复被COM_感染的host_。

5. 试绘出感染EXE文件的示例病毒exe_v的流程图。

P181
6．编写程序，利用该程序修复被exe_感染的文件。

7．试绘出混合型病毒Natas病毒的加密变形流程图。

P181
*8. 如何清除引导型病毒
答：以KV3000为例，只要硬盘本身染上引导区病毒，那么用硬盘本身启动必然是系统本身就带毒，因此调用KVw3000杀毒时不能完全清除，关键就是系统本身带病。

可以使用干净的软盘启动电脑进入系统DOS。

清除引导区病毒KV3000有一个命令KV3000/K。

在执行KV3000/K时可用KV3000/B备份一个硬盘主引导信息，若不KV3000/B那么执行KV3000/K时也会让你备份一主引导信息即HDPT.VIR的文件。

同样软盘上的引导区病毒也用KV3000/K。

*9.试述文件型病毒的基本原理。

P168
答：无论是.COM文件还是.EXE文件，还是操作系统的可执行文件(包括.SYS、.OVL、.PRG、.DLL文件)，当启动已感染文件型病毒的程序(HOST程序)时，
暂时中断该程序，病毒完成陷阱(激活条件)的布置、感染工作后，再继续执行HOST程序，使计算机使用者初期觉得可正常执行，而实际上，在执行期间，病毒已暗做传染的工作，时机成熟时，病毒发作。

第5章 Windows病毒分析
1.PE病毒的感染过程是怎样的？如何判断一个文件是否感染了PE病毒(如Immunity)？针
对你的判断依据，采用何种手段可以更好地隐藏PE病毒？编程修复被Immunity感染的host_pe.exe文件。

PE病毒的感染过程
1．判断目标文件开始的两个字节是否为“MZ”。

2．判断PE文件标记“PE”。

3．判断感染标记，如果已被感染过则跳出继续执行HOST程序，否则继续。

4．获得Directory（数据目录）的个数，（每个数据目录信息占8个字节）。

5．得到节表起始位置。

(Directory的偏移地址+数据目录占用的字节数=节表起始位置)
6．得到目前最后节表的末尾偏移（紧接其后用于写入一个新的病毒节）
节表起始位置+节的个数*(每个节表占用的字节数28H)=目前最后节表的末尾偏移。

7．开始写入节表
2. 查阅MSDN或其他资料，熟悉本章所涉及的API函数的用法。

3. 简要描述CIH病毒的触发机制、感染机制。

如何让系统对CIH病毒具有免疫能力？
触发机制：
CIH病毒的驻留(初始化)
当运行感染了CIH病毒的PE文件时，由于该病毒修改了该程序的入口地址，从而首先调入内存执行，其驻留主要过程：
∙①用SIDT指令取得IDT base address(中断描述符表基地址)，然后把IDT的INT
3H 的入口地址改为指向CIH自己的INT 3H程序入口部分；
∙②执行INT 3H指令，进入CIH自身的INT 3H入口程序，这样，CIH病毒就可
以获得Windows最高级别的权限Ring 0。

病毒在这段程序中首先检查调试寄存
器DR0的值是否为0，用以判断先前是否有CIH病毒已经驻留；
∙③如果DR0的值不为0，则表示CIH病毒程式已驻留，病毒程序恢复原先的INT
3H入口，然后正常退出INT 3H，跳到过程⑨；
④如果DR0值为0，则CIH病毒将尝试进行驻留；
∙⑤如果内存申请成功，则从被感染文件中将原先分成多块的病毒代码收集起来，
并进行组合后放到申请到的内存空间中
∙⑥再次调用INT 3H中断进入CIH病毒体的INT 3H入口程序，调用INT 20H来
完成调用一个IFSMgr_InstallFileSystemApiHook的子程序，在Windows内核中
文件系统处理函数中挂接钩子，以截取文件调用的操作，这样一旦系统出现要
求开启文件的调用，则CIH病毒的传染部分程序就会在第一时间截获此文件；
∙⑦将同时获取的Windows操作系统默认的IFSMgr_Ring0_FileIO(核心文件输入/
输出)服务程序的入口地址保留在DR0寄存器中，以便于CIH病毒调用；
∙⑧恢复原先的IDT中断表中的INT 3H入口，退出INT 3H；
∙⑨根据病毒程序内隐藏的原文件的正常入口地址，跳到原文件正常入口，执行
正常程序
感染机制：
CIH病毒的传染部分实际上是病毒在驻留内存过程中调用Windows 内核底层函数IFSMgr_InstallFileSystemApiHook函数挂接钩子时指针指示的那段程序，其感染过程如
下：
①文件的截获。

②EXE文件的判断。

如何让系统对CIH病毒具有免疫能力：
1、如果没有杀病毒软件，务必请修改系统时间，跳过每个月的
26日。

2、有些电脑系统主板具备BIOS写保护开关，但一般设置均为开，
对系统硬件较为熟悉的用户，可将其拨至关的位置，这样可以防范病
毒改写BIOS信息。

3、配备有效的杀毒软件，定时对系统进行检查。

清除CIH病毒最
好的方法是使用DOS版杀毒软件。

瑞星杀毒软件9．0具有定时自动查杀
功能，可彻底查杀CIH系统毁灭者病毒。

第一次杀毒时，请用瑞星杀毒
软件9．0DOS版，清除病毒后再装入WIN95版。

这是因为在WIN95／98启
动后，有几个文件被系统使用，处于禁写状态。

如果这些文件被感染，
将无法彻底消除病毒。

4、如果尚未得到杀病毒软件，可采用压缩并解压缩文件的方式加
以检查，但用该方法不能判断是否有CIHv1．4病毒。

5、由于病毒对所有硬盘数据彻底破坏，单纯恢复硬盘分区表不可
能恢复文件系统，所以请务必将重要数据进行备份。

4. 脚本病毒有哪些弱点？如何防治和清除脚本病毒？
◆VBS脚本病毒具有如下几个特点：
编写简单
破坏力大
感染力强
传播范围大
病毒源码容易被获取，变种多
欺骗性强
使得病毒生产机实现起来非常容易
◆针对以上提到的VBS脚本病毒的弱点，可以采用如下集中防范措施：
禁用文件系统对象FileSystemObject
卸载WSH
删除VBS、VBE、JS、JSE文件后缀名与应用程序的映射
将WScript.exe更改名称或者删除
自定义安全级别，把与“ActiveX控件及插件”有关的一切设为禁用
禁止OutlookExpress的自动收发邮件功能
显示扩展名，避免病毒利用文件扩展名作文章
将系统的网络连接的安全级别设置至少为“中等”
安装、使用杀毒软件
5．如果脚本病毒对其代码进行了加密，我们能否看到其解密后的源代码？怎样获取解密后的源代码？
vbs脚本病毒，看上去是乱码，一点也看不懂，其实还是有迹可循的。

其思路就是寻找"execute"关键词。

病毒最终，还是要换成机器可以看懂的内容，也就是说，最后一层的execute里面的内容，就是病毒的源代码。

按照这个思路，那么可以知道，解密方法也一定就在这个execute里面。

也就是说：无需明白他是如何加密的，只需要知道，execute出来的是什么。

按照这个思路，可以得到程序的最后一次迭代加密过程前的代码，也就是第一次迭代解密的代码，看上去还是乱码，不过还是同样的道理，总可以找到execute这个关键词。

病毒可能经过多次迭代，不过最终还是可以看懂的。

需要注意的是，execute后面的内容解密出来如果真的用execute执行了，那就中招了，所以这里要注意不能把execute也放进去一起执行。

6. 爱虫病毒对系统有哪些危害？编制一个爱虫病毒的解毒程序。

新“爱虫”（Vbs.Newlove）病毒，同爱虫(Vbs.loveletter)病毒一样，也通过outlook传播，会向地址簿中所有的联系人发送病毒邮件。

如果打开病毒邮件的附件，还会造成更严重的后果。

您会观察到计算机的硬盘灯狂闪，系统速度显著变慢，计算机中出现大量的扩展名为vbs的文件。

所有快捷方式被改变为与系统目录下wscript.exe建立关联，意味着启动所有的文件wscript.exe都会首先运行，会进一步消耗系统资源，造成系统崩溃。

清除病毒后还需要手工恢复文件关联，一般用户很难操作。

7. 宏病毒采用哪些传播方式？如何防治和清除宏病毒？
◆宏病毒的传播方式
在Word或其他Office程序中，宏分成两种
∙在某个文档中包含的内嵌宏，如FileOpen宏
∙属于Word应用程序，所有打开的文档公用的宏，如AutoOpen宏
Word宏病毒一般都首先隐藏在一个指定的Word文档中，一旦打开了这个Word文档，宏病毒就被执行，宏病毒要做的第一件事情就是将自己拷贝到全局宏的区域，使得所有
打开的文档都可使用这个宏
当Word退出的时候，全局宏将被存储在某个全局的模板文档(.dot文件)中，这个文件的名字通常是“normal.dot”，即normal模板
如果全局宏模板被感染，则Word再启动的时候将自动载入宏病毒并且自动执行
◆宏病毒的防御
禁止运行不安全的宏
Word被宏病毒感染之后(实际上是Word使用的模板文档被感染)，可以将其恢复正常∙退出Word，然后先到C盘根目录下查看是否存在Autoexec.dot文件，如果存。