计算机病毒防治课后答案参考

第二章
一、填空：
1、UltraEdit可以实现文字、Hex、ASCII的编辑；
2、Doc文件的文件头信息是D0CF11E0,PowerPoint文件的文件头信息是
D0CF11E0,Excel文件的文件头信息是D0CF11E0；
3、单一影子模式仅为操作系统所在分区创建影像；
4、影子系统分为单一影子模式和完全影子模式；
5、对注册表修改前后进行对比可使用RegSnap工具软件；
第三章典型计算机病毒剖析
一、填空
1、注册表一般Default、SAM、Security、Software、System5个文件组成。

2、注册表结构一般键、子键、分支、值项、默认值5个大类组成。

3、是否允许修改IE的主页设置的注册表表项是
HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet
Explorer\Control Panel。

4、注册表中IE的主页设置项是“Home Page”=dword 00000001
5、打开注册表编辑器的命令是regedit。

6、网页脚本病毒的特点有病毒变种多、破坏力较大、感染能力强。

7、Word的模版文件是Normal.dot。

8、Office中宏使用的编程语言是VBA（Visual Basic for Application)。

9、宏可保存在当前工作表、word通用模版中。

10、蠕虫的两个特征是传染性和复制功能。

11、蠕虫病毒的攻击方式有随机探测方式、基于列表的随机探测方式、基于DNS 探测方式、基于路由的探测方式、蠕虫攻击模块。

12、windows32/Baby.worm病毒主要攻击服务器。

13、木马分为远程访问型木马、密码发送型木马、键盘记录型木马、毁坏型木马、FTP型木马。

14、木马程序自动启动的方式利用INI文件、注册表的先关程序启动，加入系统启动组，利用系统启动配置文件和与其他程序捆绑执行。

二、选择
1、寄存在Office文档中，用VB语言编写的病毒程序属于（ D ）
A、引导区型病毒 B文件型病毒
C、混合型病毒
D、宏病毒
2、注册表备份文件的扩展名是（ C ）。

A、com
B、exe
C、reg
D、txe
3、设置注册表键值的API函数是（ C ）。

A、RegCreateKeyEx()
B、RegQueryValue()
C、RegSetValueEX()
D、RegEnumValue()
4、Windows中VBScript和Javescript的执行环境是（ A ）。

A、WSH
B、IE
C、HTML
D、DOS
5、Word文件在关闭时自动执行的宏命令是（ D ）。

A、FileOpen
B、AutoOpen
C、FileClose
D、AutoClose
6、实现正常程序流程的溢出、跳转的技术是（ C ）。

A、Trap
B、Jump
C、ShellCode
D、OverFlow
7、从（Ａ）可以评价木马程序的强弱。

Ａ、有效性Ｂ、隐蔽性Ｃ、顽固性Ｄ、易植入性
三、问答
１、论述自定义Ｗｉｎｄｏｗｓ命令的操作方法。

答：ｗｉｎｄｏｗｓ命令操作通过注册表操作对操作系统进行管理。

通过注册表的编辑器的编辑、备份、恢复。

进行相关命令进行。

２、简述网页脚本病毒的技术特点。

答：网页脚本病毒使用脚本语言编写的恶意代码，利用ＩＥ的漏洞以实现病毒的植入。

它们利用Windows系统的开放性特点，通过调用一些现成的Windows对象、组件，可以直接对文件系统、注册表等进行控制。

３、简述背网页脚本病毒入侵后恢复的方法。

答：可以通过杀毒软件进行扫描清。

也可以通过手动方式清除病毒，进入安全模式或纯ＤＯＳ中清除，打开注册表编辑器进行删除和恢复某些键值才找所有存在ＫＪ＿ｓｔａｒｔ字符串的文件，删除文件尾部的病毒代码。

４、编程实现文件关联，如何双击某个设定的扩展名后，编写的程序会启动并打开它。

答：先运行test.exe,然后双击某个thm文件时,不在新调起的test.exe中打开,而是用先前运行的test.exe打开它.
这样就象winamp,netant那样只保持一个实例运行.目前我做到了以下的程度,双击打开thm引起了新的test.exe实例.在新实例中判断出如果已经有一个老实例在运行了,我就得到老实例的主窗口handle,我想通过这个handle把新打开的thm文件的路径传给老实例让它负责打开,然后关闭新实例.但是我不知道该怎
么样通过一个窗口handle传递这个路径并引发打开文件的动作.PostMessage? ShellExecute?
DDE?
５、简述宏病毒的特点。

答：宏病毒传播极快，其制作原理简单，变种方便破坏力极强，多平台交叉感染。

６、简述宏病毒的检测方法。

答：检测方法有：通过模板中是否出现宏，无故出现存盘操作，ｗｏｒｄ功能混乱，无法使用，ｗｏｒｄ菜单命令消失，ｗｏｒｄ文档内容发生了改变，当用户尝试保存文档时，只允许文档保存为文档模板的格式，文档图标的外形类是模板而非文档图标。

７、简述宏病毒的清除方法。

答：有六种方法来删除宏病毒。

通过删除宏命令的形式删除宏病毒。

通过复制粘贴方式清除宏病毒。

通过删除Ｎｏｒｍａｌ．Ｄｏｔ来除掉宏病毒。

通过格式转换清除ｗｏｒｄ宏病毒。

通过高版本的ｗｏｒｄ来发现宏病毒。

为防万一，在打开怀疑感染了宏病毒的文档是按住，＜ｓｈｉｆ＞键，这样可以避免宏自动运行，如果有宏病毒，这不会加载宏。

８、简述蠕虫病毒与传统病毒的区别。

答：蠕虫与病毒的最大不同在于它不需要人为干预，且能够自主不断地复制和传播。

蠕虫程序的工作流程可以分为漏洞扫描、攻击、传染、现场处理四个阶段。

蠕虫程序扫描到有漏洞的计算机系统后，将蠕虫主体迁移到目标主机。

然后，蠕
虫程序进入被感染的系统，对目标主机进行现场处理。

现场处理部分的工作包括：隐藏、信息搜集等。

不同的蠕虫采取的IP生成策略可能并不相同，甚至随机生成。

各个步骤的繁简程度也不同，有的十分复杂，有的则非常简单
９、总结蠕虫病毒的清除方法。

答：按Ctrl+Alt+Delete调出任务管理器，在进程页面中结束掉所有名称为病毒的进程（建议在后面的操作中反复此操作，以确保病毒文件不会反复发作）。

3、在开始－－运行中输入“regedit”（XP系统）打开注册表，点“编辑”——“查找”，在弹出的对话框中输入病毒文件名，找到后全删。

4、在我的电脑－工具－文件夹选项－查看－显示所有文件和文件夹，把“隐藏受保护的系统文件”的勾去掉，你会看到出现了你所说的文件名的文件，直接删除
１０、简述木马程序的危害。

答：木马程序危害在于多数有恶意企图，例如占用系统资源，降低电脑效能，危害本机信息安全（盗取QQ帐号、游戏帐号甚至银行帐号），将本机作为工具来攻击其他设备等。

１１、分析木马与一般病毒的危害。

答：木马同病毒不是很一样病毒主要以破坏数据，破坏软硬件为目的木马则主要以偷窃数据，篡改数据为目的中木马后有可能对丢失上网帐号，各种口令和用户名，远程控制你的电脑，远程控制开启你机器的外围设备。

１２、简述木马的工作原理。

答：“木马”程序是目前比较流行的病毒文件，与一般的病毒不同，它不会自我繁殖，也并不“刻意”地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种者电脑的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种者的电脑。

“木马”与计算机网络中常常要用到的远程控制软件有些相似，但由于远程控制软件是“善意”的控制，因此通常不具有隐蔽性；“木马”则完全相反，木马要达到的是“偷窃”性的远程控制，如果没有很强的隐蔽性的话，那就是“毫无价值”的。

１３、什么是计算机木马？简述木马攻击技术的原理。

答：计算机木马（又名间谍程序）是一种后门程序，常被黑客用作控制远程计算机的工具。

英文单词“Troj”，直译为“特洛伊”。

一个完整的木马系统由硬件部分，软件部分和具体连接部分组成。

(1)硬件部分：建立木马连接所必须的硬件实体。

控制端：对服务端进行远程控制的一方。

服务端：被控制端远程控制的一方。

INTERNET：控制端对服务端进行远程控制，数据传输的网络载体。

(2)软件部分：实现远程控制所必须的软件程序。

控制端程序：控制端用以远程控制服务端的程序。

木马程序：潜入服务端内部，获取其操作权限的程序。

木马配置程序：设置木马程序的端口号，触发条件，木马名称等，使其在服务端藏得更隐蔽的程序。

(3)具体连接部分：通过INTERNET在服务端和控制端之间建立一条木马通道所必须的元素。

控制端IP，服务端IP：即控制端，服务端的网络地址，也是木马进行数据传输的目的地。

控制端端口，木马端口：即控制端，服务端的数据入口，通过这个入口，数据可直达控制端程序或木马程序。

第四章计算机病毒防范、免疫与清除技术
—、填空
1.病毒防范分为单机环境和网络环境。

(P152)
2.病毒的传染模块一般包括传染跳进判断和实施传染两个部分。

(P154)
3.禁止修改显示系统文件的注册表键项是
HKEY_LOCAL_MACHINE\Software\Microft\Windows\Current
Version\exporer\Advanced\Folder\Hidden\SHOWALL (P161)
4.FTP的访问端口是5554。

（P161）
二、选择题
计算机的免疫方法有（BC）。

(P155)
A、安装防毒软件实现病毒免疫
B、基于自我完整性检查的计算机病毒的免疫
C、针对某一病毒进行计算机病毒免疫
D、编制万能病毒免疫程序实现病毒免疫
三、问答
1、简述防范病毒技术
答：安装并更新杀毒软件，不能共享软盘或硬盘等介质、规范管理使用计算机，判断不明文件是否安全，重要文件应该备份，上网，或下载是应进入正规网站。

系统管理及时处理异常情况。

2、简述计算机病毒的检测方法。

答：可以用现象观察法，观察计算机系统运行状态。

对比法，用备份的与被检测的引导扇区或被检测的文件进行对比。

加和对比法根据程序的信息对比系统观察检查码是否更改。

搜索法，计算机病毒体含有的特定字节串对被检测的对象进行扫描。

软件仿真扫描法。

先知扫描法。

人工智能陷进技术和宏病毒陷进技术。

3、常见的计算机病毒有哪些类型？清除计算机病毒的方法有哪些？
答：常见的计算机病毒有Trojan、宏病毒、JAVA程序语言编写的病毒、操作系统文件的病毒、窃取密码等信息的木……清除计算机的方法：用杀毒软禁进行清除，清除无法显示的隐藏文件病毒、手工清楚病毒如“震荡波”……
4、简述“QQ尾巴”病毒的清除方法。

答：第一种方法：工具杀毒
有很多工具都可以杀QQ尾巴，如瑞星QQ尾巴专杀．
qqkav,3721的反间谍专家，流行病毒专杀等等．
第二种方法：手工杀毒
找到QQ尾巴的病毒文件，删除，然后，在运行里打msconfig,在启动项里把病毒名前面的勾打掉．
第五章
一、填空
1.主动防御技术主要是从未知病毒和未知程序和通过对漏洞攻击行为进行检测两方面防范病毒。

2.启发式查毒技术分为静态启发技术和动态启发技术。

3.目前虚拟机处理的对象主要是文件型病毒。

4.反病毒软件由应用程序、反病毒引擎和病毒库三部分构成。

5.病毒库主要包括病毒特征串库和杀毒关键性参数库。

二、选择
1.下列叙述中，正确的是（ A ）。

A．反病毒软件通常滞后于计算机病毒的出现
B．反病毒软件总是超前于病毒的出现，它可以查、杀任何种类的病毒
C．感染过的计算机病毒的计算机具有该病毒的免疫性
D．计算机病毒会危害计算机用户的健康
2.批处理文件其实质是（C）。

182页
A．EXE可执行文件
B．Com可执行文件
C．操作系统命令集合
D．专门的应用程序
3.批处理文件的工作平台是（AB）。

182页
A．Windows平台
B．Dos平台
C．Unix平台
D．Linux平台
三、问答
1.简述启发式查毒技术的两种方法的优、缺点。

启发式查毒技术属于主动防御的一种，是当前对付未知病毒的主要手段，从工作原理上可分为静态启发和动态启发两种。

启发式指“自我发现的能力”或“运用某种方式或方法去判定事物的知识和技能”，是杀毒软件能够分析文件代码的逻辑结构是否含有恶意程序特征，或者通过在一个虚拟的安全环境中前摄性的执行代码来判断其是否有恶意行为。

在业界前者被称为静态代码分析，后者被成为动态虚拟机。

静态启发技术指的是在静止状态下通过病毒的典型指令特征识别病毒的方法，是对传统特征码扫描的一种补充。

由于病毒程序与正常的应用程序在启动时有很多区别，通常一个应用程序在最初的指令，是检查命令行输入有无参数项、清屏和保存原来屏幕显示等，而病毒程序则通常是最初的指令是直接写盘操作、解码指令，或搜索某路径下的可执行程序等相关操作指令序列，静态启发式就是通过简单的反编译，在不运行病毒程序的情况下，核对病毒头静态指令从而确定病毒的一种技术。

而相比静态启发技术，动态启发技术要复杂和先进很多。

动态启发式通过杀软内置的虚拟机技术，给病毒构建一个仿真的运行环境，诱使病毒在杀软的模拟缓冲区中运行，如运行过程中检测到可疑的动作，则判定为危险程序并进行拦截。

这种方法更有助于识别未知病毒，对加壳病毒依然有效，但如果控制得不好，会出现较多误报的情况。

动态启发因为考虑资源占用的问题，因此目前只能使用比较保守的虚拟机技术。

尽管如此，由于动态启发式判断技术具有许多不可替代的优势，因此仍然是目前检测未知病毒最有效、最可靠的方法之一，并在各大杀软产品中得到了广泛的应用。

由于诸多传统技术无法企及的强大优势，必将得到普遍的应用和迅速的发展。

纯粹的启发式代码分析技术的应用(不借助任何事先的对于被测目标病毒样本的研究和了解)，已能达到80%以上的病毒检出率，而其误报率极易控制在0.1%之下，这对于仅仅使用传统的基于对已知病毒的研究而抽取“特征字串”的特征扫描技术的查毒软件来说，是不可想象的，启发式杀毒技术代表着未来反病毒技术发展的必然趋势，具备某种人工智能特点的反毒技术，向我们展示了一种通用的、
不依赖于升级的病毒检测技术和产品的可能性。

作为启发式杀毒软件的代表产品ESET NOD32，以其完善的启发式引擎ThreatSense，超过68%的未知病毒检测率以及低于0.1%的误报率闻名遐迩。

成为业界的最高水准。

2.设“欢乐时光”的特征码是“VBS.Haptime.A @mm”，怎样编写专杀工具，怎样避免误杀？
主线程显示过程与结果。

子线程搜索文件，寻找字符串，匹配则覆盖。

如用空格覆盖。

3.简述反病毒技术的发展阶段。

第一代反病毒技术是采取单纯的病毒特征代码分析，将病毒从带毒文件中清除掉。

这种方式可以准确地清除病毒，可靠性很高。

后来病毒技术发展了，特别是加密和变形技术的运用，使得这种简单的静态扫描方式失去了作用。

随之而来的反病毒技术也发展了一步。

第二代反病毒技术是采用静态广谱特征扫描方法检测病毒，这种方式可以更多地检测出变形病毒，但另一方面误报率也提高，尤其是用这种不严格的特征判定方式去清除病毒带来的风险性很大，容易造成文件和数据的破坏。

所以说静态防病毒技术也有难以克服的缺陷。

第三代反病毒技术的主要特点是将静态扫描技术和动态仿真跟踪技术结合起来，将查找病毒和清除病毒合二为一，形成一个整体解决方案，能够全面实现防、查、杀等反病毒所必备的各种手段，以驻留内存方式防止病毒的入侵，凡是检测到的病毒都能清除，不会破坏文件和数据。

随着病毒数量的增加和新型病毒技术的发展，静态扫描技术将会使反毒软件速度降低，驻留内存防毒模块容易产生误报。

第四代反病毒技术则是针对计算机病毒的发展而基于病毒家族体系的命名规则、基于多位CRC校验和扫描机理，启发式智能代码分析模块、动态数据还原模块（能查出隐蔽性极强的压缩加密文件中的病毒）、内存解毒模块、自身免疫模块等先进的解毒技术，较好的解决了以前防毒技术顾此失彼、此消彼长的状态。

4.简述启发式扫描技术特点。

P174
任何一个病毒总存在与普通程序不一样的地方，譬如格式化硬盘、重定位、改回文件时间、修改文件大小、传染等。

这样就可以对每一类病毒特征进行加权，譬如重定位得3分，格式化硬盘得15分，传染得10分等。

如果一个程序拥有这3个功能，它就得到了28分。

如果设定判断一个病毒的标准是20分，那么当在这个程序遇到采用了启发式扫描技术的杀毒软件时，杀毒软件就会报警发现了新病毒。

5.简述病毒的发展趋势和引擎的发展趋势。

P176
病毒的发展趋势：
1、病毒更新换代，向多元化发展；
2、依赖网络进行传播；
3、攻击方式多样；
4、利用系统漏洞成为病毒有利的传播方式；
5、病毒与黑客技术相融合；
6、隐蔽性增强；
7、更新速度快；
引擎的发展趋势：
1、多层面立体防护体系；
2、进一步发展未知病毒的检测技术；
3、主动修复技术；
4、更可靠的数据备份和灾难恢复技术；
5、与其他安全产品的联动；
6、完善的应急响应系统。

第六章
一、填空
1.网络分为网关、服务器、桌面 3个层次。

2.趋势科技的防毒C片主要针对 U盘进行防护。

3.OfficeScan企业版可以为桌面和移动客户端提供综合病毒保护。

4.InterScan邮件安全版（InterScan MSS）可以封堵试图通过电子邮件服务器进入内部环境的因特网威胁。

5.IWSA 2500/5000 在网关处针对基于 Web方式的威胁为企业网络提供动态的、集成式的安全保护。

二、问答
1.病毒的防治战略有哪些？
1.多层保护战略
一个多层次的保护战略应该能够将防毒软件安装在所有这三个网络层中，提供对计算机病毒的集中保护。

一个多层的战略可以由一个厂商的产品实施，也可以由多个厂商的产品共同实施。

（1）单个厂商产品
一个单厂商多层次的战略即在网络的三个层次（网关、服务器、桌面）中部署来自同一厂商的产品。

由于单个厂商经常成套出售他们的产品，因此，这种方案可能会比多厂商方案更加经济。

不仅如此，单厂商策略在产品上易于管理。

（2）多厂商产品
一个多厂商多层次的战略即在网络的三个层次上分别部署来自两个或多个厂商的产品。

这个方案可能会产生兼容性的问题或难于管理。

2.基于点的保护战略
同多层次方案不同，一个基于点的保护战略只会将产品置入网络中已知的进入点。

桌面防毒产品就是其中的一个例子，它不负责保护服务器或网关。

这个战略比多层次方案更有针对性，也更加经济。

但应该注意，CodeRed和Nimda这样的混合型病毒经常会攻击网路中多个进入点。

一个基于点的战略可能无法提供应付这种攻击的有效防护。

同时，基于点的防毒产品还存在着管理上的问题，因为这些产品不能够从一个集中的位置进行管理3.集成方案战略
一个集成方案可以将多层次的保护和基于点的方法相结合来提供抵御计算
机病毒的最广泛的保护。

许多防毒产品包都是根据这个战略设计而成的。

另外，一个集成的方案通过提供一个中央控制台还会提高管理水平，尤其是在使用单厂商的产品包时更是如此。

4.被动型战略和主动型战略
被动型战略：只是在系统被感染以后，他们才会对抗恶意代码的问题。

这个过程很耽误时间，进而造成生产效率和数据的损失。

主动型战略：是在病毒发生之前便准备好对抗病毒的方法，具体就是定期获得最新的代码文件，并进行日常的恶意代码扫描。

5.基于订购的防毒支持服务
采取主动型方案的公司通常会订购防毒支持服务。

这些服务由防毒厂商提供，包括定期更新的代码文件以及有关新病毒的最新消息，对减少病毒感染的建议，提供解决病毒问题的解决方案。

2.简述IWSS的特点。

趋势科技的InterScan Web Security Suite(IWSS) ，提供高效能、具备扩充弹性的Web 安全解决方案，在HTTP 和FTP 网关端即可对病毒进行有效围堵。

它可以大幅改进因为扫毒而造成信息传输速度降低的使用不便。

(1）提供稳定及高效能的HTTP 和FTP 扫毒，改进传输速度与使用的便利性。

（2）提供多种扫瞄功能，系统管理人员可以自订企业管理原则的安全等级。

（3）支持独立扫瞄和ICAP 通讯协议扫瞄两种版本。

ICAP 版提供快取装置，具有更大的扩充弹性。

（4）可纾解流量拥塞的情形。