第二章
一、填空:
1、UltraEdit可以实现文字、Hex、ASCII的编辑;
2、Doc文件的文件头信息是D0CF11E0,PowerPoint文件的文件头信息是D0CF11E0,Excel文件的文件头信息是D0CF11E0
3、单一影子模式仅为操作系统所在分区创建影像;
4、影子系统分为单一影子模式完全影子模式
5、对注册表修改前后进行对比可使用RegSnap工具软件;
第三章  典型计算机病毒剖析
一、填空
1、注册表一般DefaultSAMSecuritySoftwareSystem5个文件组成。
2、注册表结构一般子键分支值项默认值5个大类组成。
3、是否允许修改IE的主页设置的注册表表项是HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel
4、注册表中IE的主页设置项是“Home Page=dword
5、打开注册表编辑器的命令是regedit
cf怎么进不去
6、网页脚本病毒的特点有病毒变种多破坏力较大感染能力强
7、Word的模版文件是Normal.dot
8、Office中宏使用的编程语言是VBA(Visual Basic for Application)
9、宏可保存在作表word通用模版中。
10、蠕虫的两个特征是传染性复制功能
11、蠕虫病毒的攻击方式有随机探测方式基于列表的随机探测方式基于DNS探测方式
基于路由的探测方式蠕虫攻击模块
12、windows32/Baby.worm病毒主要攻击服务器
13、木马分为远程访问型木马密码发送型木马键盘记录型木马毁坏型木马FTP型木马
14、木马程序自动启动的方式利用INI文件、注册表的先关程序启动,加入系统启动组,利用系统启动配置文件和与其他程序捆绑执行
二、选择
1、寄存在Office文档中,用VB语言编写的病毒程序属于( D
A、引导区型病毒            B文件型病毒
C、混合型病毒              D、宏病毒
2、注册表备份文件的扩展名是( C )。
A、com    B、exe      C、reg      D、txe
3、设置注册表键值的API函数是( C
A、RegCreateKeyEx()        B、RegQueryValue()
C、RegSetValueEX()          D、RegEnumValue()
4、Windows中VBScript和Javescript的执行环境是( A )。
A、WSH    B、IE    C、HTML      D、DOS
5、Word文件在关闭时自动执行的宏命令是( D )。
A、FileOpen    B、AutoOpen  C、FileClose  D、AutoClose
6、实现正常程序流程的溢出、跳转的技术是( C )。
A、Trap      B、Jump      C、ShellCode      D、OverFlow
7、从( )可以评价木马程序的强弱。
A、有效性   B、隐蔽性  C、顽固性  D、易植入性
三、问答
1、论述自定义Windows命令的操作方法。
答:windows命令操作通过注册表操作对操作系统进行管理。通过注册表的编辑器的编辑、备份、恢复。进行相关命令进行。
2、简述网页脚本病毒的技术特点。
答:网页脚本病毒使用脚本语言编写的恶意代码,利用IE的漏洞以实现病毒的植入。它们利用Windows系统的开放性特点,通过调用一些现成的Windows对象、组件,可以直接对文件系统、注册表等进行控制
3、简述背网页脚本病毒入侵后恢复的方法。
答:可以通过杀毒软件进行扫描清。也可以通过手动方式清除病毒,进入安全模式或纯DOS中清除,打开注册表编辑器进行删除和恢复某些键值才所有存在KJ_start字符
串的文件,删除文件尾部的病毒代码。
4、编程实现文件关联,如何双击某个设定的扩展名后,编写的程序会启动并打开它。
答:先运行,然后双击某个thm文件时,不在新调起的中打开,而是用先前运行的打开它.
这样就象winamp,netant那样只保持一个实例运行.目前我做到了以下的程度,双击打开thm引起了新的实例.在新实例中判断出如果已经有一个老实例在运行了,我就得到老实例的主窗口handle,我想通过这个handle把新打开的thm文件的路径传给老实例让它负责打开,然后关闭新实例.但是我不知道该怎么样通过一个窗口handle传递这个路径并引发打开文件的动作.PostMessage?
ShellExecute?
DDE?
5、简述宏病毒的特点。
答:宏病毒传播极快,其制作原理简单,变种方便破坏力极强,多平台交叉感染
6、简述宏病毒的检测方法。
答:检测方法有:通过模板中是否出现宏,无故出现存盘操作,word功能混乱,无法使用,word菜单命令消失,word文档内容发生了改变,当用户尝试保存文档时,只允许文档保存为文档模板的格式,文档图标的外形类是模板而非文档图标。
7、简述宏病毒的清除方法。
答:有六种方法来删除宏病毒。通过删除宏命令的形式删除宏病毒。通过复制粘贴方式清除宏病毒。通过删除Normal.Dot来除掉宏病毒。通过格式转换清除word宏病毒。通过高版本的word来发现宏病毒。为防万一,在打开怀疑感染了宏病毒的文档是按住,<shif>键,这样可以避免宏自动运行,如果有宏病毒,这不会加载宏。
8、简述蠕虫病毒与传统病毒的区别。
答:蠕虫与病毒的最大不同在于它不需要人为干预,且能够自主不断地复制和传播。蠕虫程序的工作流程可以分为漏洞扫描、攻击、传染、现场处理四个阶段。蠕虫程序扫描到有漏洞的计算机系统后,将蠕虫主体迁移到目标主机。然后,蠕虫程序进入被感染的系统,对目标
主机进行现场处理。现场处理部分的工作包括:隐藏、信息搜集等。不同的蠕虫采取的IP生成策略可能并不相同,甚至随机生成。各个步骤的繁简程度也不同,有的十分复杂,有的则非常简单
9、总结蠕虫病毒的清除方法。
答:按Ctrl+Alt+Delete调出任务管理器,在进程页面中结束掉所有名称为病毒的进程(建议在后面的操作中反复此操作,以确保病毒文件不会反复发作)。  3、在开始--运行中输入“regedit”(XP系统)打开注册表,点“编辑”——“查”,在弹出的对话框中输入病毒文件名,到后全删。  4、在我的电脑-工具-文件夹选项-查看-显示所有文件和文件夹,把“隐藏受保护的系统文件”的勾去掉,你会看到出现了你所说的文件名的文件,直接删除
10、简述木马程序的危害。
答: 木马程序危害在于多数有恶意企图,例如占用系统资源,降低电脑效能,危害本机信息安全(盗取QQ帐号、游戏帐号甚至银行帐号),将本机作为工具来攻击其他设备等。
11、分析木马与一般病毒的危害。
答:木马同病毒不是很一样  病毒主要以破坏数据,破坏软硬件为目的  木马则主要以偷窃数据,篡改数据为目的  中木马后有可能对丢失上网帐号,各种口令和用户名,远程控制你的电脑,远程控制开启你机器的外围设备 
12、简述木马的工作原理。
答:“木马”程序是目前比较流行的病毒文件,与一般的病毒不同,它不会自我繁殖,也并不“刻意”地去感染其他文件,它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种者电脑的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种者的电脑。“木马”与计算机网络中常常要用到的远程控制软件有些相似,但由于远程控制软件是“善意”的控制,因此通常不具有隐蔽性;“木马”则完全相反,木马要达到的是“偷窃”性的远程控制,如果没有很强的隐蔽性的话,那就是“毫无价值”的。
13、什么是计算机木马?简述木马攻击技术的原理。
答:计算机木马(又名间谍程序)是一种后门程序,常被黑客用作控制远程计算机的工具。英文单词“Troj”,直译为“特洛伊” 一个完整的木马系统由硬件部分,软件部分和具体连接部
分组成。  (1)硬件部分:建立木马连接所必须的硬件实体。 控制端:对服务端进行远程控制的一方。 服务端:被控制端远程控制的一方。 INTERNET:控制端对服务端进行远程控制,数据传输的网络载体。  (2)软件部分:实现远程控制所必须的软件程序。 控制端程序:控制端用以远程控制服务端的程序。 木马程序:潜入服务端内部,获取其操作权限的程序。 木马配置程序:设置木马程序的端口号,触发条件,木马名称等,使其在服务端藏得更隐蔽的程序。  (3)具体连接部分:通过INTERNET在服务端和控制端之间建立一条木马通道所必须的元素。 控制端IP,服务端IP:即控制端,服务端的网络地址,也是木马进行数据传输的目的地。 控制端端口,木马端口:即控制端,服务端的数据入口,通过这个入口,数据可直达控制端程序或木马程序。  
第四章 计算机病毒防范、免疫与清除技术
—、填空
1.病毒防范分为 单机环境 网络环境  。(P152)
2.病毒的传染模块一般包括  传染跳进判断 实施传染两个部分。(P154)
3.禁止修改显示系统文件的注册表键项是HKEY_LOCAL_MACHINE\Software\Microft\Windows\Current Version\exporer\Advanced\Folder\Hidden\SHOWALL (P161)
4.FTP的访问端口是5554。(P161)
二、选择题
计算机的免疫方法有(BC )。(P155)
A、安装防毒软件实现病毒免疫
B、基于自我完整性检查的计算机病毒的免疫
C、针对某一病毒进行计算机病毒免疫
D、编制万能病毒免疫程序实现病毒免疫
三、问答
1、简述防范病毒技术
答:安装并更新杀毒软件,不能共享软盘或硬盘等介质、规范管理使用计算机,判断不明文件是否安全,重要文件应该备份,上网,或下载是应进入正规网站。系统管理及时处理异常情况。
2、简述计算机病毒的检测方法。
答:可以用现象观察法,观察计算机系统运行状态。对比法,用备份的与被检测的引导扇区或被检测的文件进行对比。加和对比法根据程序的信息对比系统观察检查码是否更改。搜索法,计算机病毒体含有的特定字节串对被检测的对象进行扫描。软件仿真扫描法。先知扫描法。人工智能陷进技术和宏病毒陷进技术。
3、常见的计算机病毒有哪些类型?清除计算机病毒的方法有哪些?
答:常见的计算机病毒有Trojan宏病毒JAVA程序语言编写的病毒操作系统文件的病毒窃取密码等信息的木……清除计算机的方法:用杀毒软禁进行清除,清除无法显示的隐藏文件病毒、手工清楚病毒如“震荡波”……
4、简述“QQ尾巴”病毒的清除方法。
答:第一种方法:工具杀毒
有很多工具都可以杀QQ尾巴,如瑞星QQ尾巴专杀.
qqkav,3721的反间谍专家,流行病毒专杀等等.
第二种方法:手工杀毒
到QQ尾巴的病毒文件,删除,然后,在运行里打msconfig,在启动项里把病毒名前面的勾打掉.