“计算机病毒” 2011年复习问题(2)

P185 PE病毒具有几种修改PE文件并编写实现要点的方法. P191第6章网络蠕虫和预防1.描述蠕虫和病毒之间的区别和联系. P266 2.您认为Nimda是病毒还是蠕虫？为什么？ P274是蠕虫. 由于IE浏览器（IFRAMEEXECCOMMAND）的漏洞，无需手动打开附件即可激活感染“ Nimya”病毒的邮件. 并且它将搜索以前的IIS蠕虫留下的后门，并实现从客户端到WEB服务器的传播. 即使清除了留在文件系统中的任何痕迹，即使计算机系统漏洞未得到修补，重新连接到网络的计算机仍将再次受到蠕虫的攻击. 3.如何预防蠕虫并检测蠕虫？这与预防病毒有何不同？从主机程序中删除了P276-P277病毒预防措施；蠕虫的预防措施是对系统进行修补. 4.如何处理病毒的网络传播特性与蠕虫的传播特性之间的关系？ P29 P274 5.简要描述蠕虫如何工作. P270-P271 6.在蠕虫传播期间，如何优化目标主机的搜索策略？ P271蠕虫病毒有哪些传播途径？它如何传播？ P267说明手动杀死蠕虫的基本步骤. 终止蠕虫程序的第一步是找到蠕虫进程，提升其权限，然后终止蠕虫程序.

第二步是删除相关的注册表项. 第三步是删除蠕虫文件. 除了通过环境变量获取病毒体路径外，还可以使用两个API GetWindowsDirectory（）或GetSystemDirectory（）分别找到Windows目录和System32目录. 更一般而言，如果要在整个磁盘上进行搜索，则需要遍历更为复杂的FindFirstFile（）和FindNextFile（）对. 第四步是重启机器. 第7章木马1.简要描述木马的基本原理. P294 2.如何理解木马与病毒之间的关系？ P290-P291 3.木马的伪装方法，隐藏方法和自动启动方法是什么？ P300-P304 4. 针对木马使用Windows注册表自动启动的各种方式（密钥），请参阅与注册表操作相关的API函数，并通过程序来实现对敏感密钥的监视和自动清除或恢复. 5.如何预防木马？结合木马的藏身处和藏身技术，总结了木马的清除方法. 首先，安装防病毒软件和个人防火墙，并及时升级. 其次，建立具有良好安全级别的个人防火墙，以防止未知程序传输数据. 第三，考虑使用具有更高安全性的浏览器和电子邮件客户端工具.

第四，如果使用IE浏览器，则应安装Kaka Security Assistant或360安全浏览器，以防止恶意网站在其计算机上安装未知的软件和浏览器插件，以避免被木马入侵. 与一般的病毒和木马相比，检查和杀死DLL木马更加困难. 建议用户经常检查系统启动项中是否有莫名其妙的项. 这是DLL Trojan Loader可能存在的地方之一. 手动杀死木马程序和使用系统命令的主要步骤. P321①断开网络连接，以防止黑客通过网络攻击您②检查端口（netstat –a）以查看意外打开了哪个端口，并记下PID，③进入任务管理器以结束PID进程. ④查看系统配置实用程序（在Windows运行中输入“ Msconfig”），编辑win.ini，将下面的[WINDOWS]更改为“ run =“和“ load =”，编辑system.ini，将下面的[boot]更改为“ shell = explorer.exe”⑤修改注册表（在Windows操作中输入“ regedit”），现在在HKEY-LOCAL-MACHINE \ Software \ Microsoft \ Windows \ currentVersion \ run下找到Trojan的文件名，然后搜索并在整个注册表中替换Trojan程序.

⑥在第三步中，记住木马的名称和目录，找到木马文件并将其删除. ⑦重新启动计算机. ⑧在注册表中删除Trojan文件的所有密钥. 简要描述木马的传播途径. P295查找相关信息，简要描述黑客攻击的步骤以及应对攻击的方法. 第8章第9章通用计算机病毒技术概述（略）计算机病毒的检测，清除和免疫1.熟悉各种防病毒软件和病毒防火墙的安装，配置和使用. 2.本章提供一些病毒预防措施. 如何在独立环境和网络等特定环境中预防病毒？ P372 3.基于签名的静态扫描技术适合杀死哪种类型的计算机病毒？为什么？ 4.简要描述启发式扫描技术的基本思想. P380 5.病毒检测虚拟机与VMware等虚拟软件有什么区别？ P386-P389病毒对虚拟机技术使用什么技术？ P389我们如何杀死此类病毒？ P389-390 6. Windows 9x下主要用于实时监视的技术是什么？ Windows NT / 2000下主要用于实时监视的技术是什么？为什么会有这些差异？ P391在Windows 9x下对病毒进行实时监视主要依赖以下三种技术: 虚拟设备驱动程序（VxD）编程，可安装文件系统挂钩（IFSHook），Ring3（APC / EVENT）下VxD与客户端程序之间的通信， Windows NT / 2000实时监视的实现主要取决于以下三种技术: NT内核模式驱动程序编程（在Windows NT / 2000下不再支持VxD）在Ring3下IRP驱动程序与客户端程序之间的通信截获（命名事件和事件）. 信号对象）7.删除计算机病毒的一般方法和步骤是什么？您对删除计算机病毒有何经验和建议？ ？ P393病毒，蠕虫和木马有什么区别？

计算机病毒（Computer Virus）是一组人造的，自我复制的，计算机生成的计算机病毒，一组人造的文件型病毒有哪些，自我复制的和破坏性的源程序或指令集木马是具有欺骗性的文件（声称是良性的，但实际上是恶意的）. 木马和病毒之间的主要区别是木马不会像病毒那样自我复制. 蠕虫是一种程序，可以在不使用驻留文件的情况下在系统之间复制自身. 这不同于病毒，后者需要传播受感染的驻留文件. 端口，系统服务，系统过程概念. 端口可以​​分为三种类型的知名端口（Well Known Ports）: 从0到1023，它们与某些服务紧密绑定. 通常，这些端口的通信清楚地指示了某种服务的协议. 例如: 端口80始终始终是HTTP通信. 注册端口: 从1024到4Array151. 它们被松散地绑定到某些服务. 换句话说，有许多服务绑定到这些端口，这些服务也用于许多其他目的. 例如: 许多系统处理的动态端口大约从1024开始. 动态和/或专用端口: 从4Array152到65535.

理论上，这些端口不应分配给服务. 实际上，机器通常分配从1024开始的动态端口. 但是有例外: SUN的RPC端口从32768开始. 系统服务在Windows 2000 / XP / 2003系统中，服务指的是在Windows 2000 / XP / 2003系统中执行指定系统功能的程序，例程或进程. 为了支持其他程序，特别是低级（接近硬件）程序. 通过网络提供服务时，可以在Active Directory（Active Directory）中发布服务，从而促进以服务为中心的管理和使用. 用于完成操作系统各种功能的所有进程都是系统进程，它们是处于运行状态的操作系统本身. 根据您自己的实践并找到相关信息，尝试描述实现操作系统长期稳定和平稳运行的方法. 检查相关信息以了解计算机主动防御系统. 什么是HIPS（主机入侵防御系统），其主要功能是什么？它在预防计算机病毒方面起什么作用. 木马和蠕虫自动启动的方式有哪些？ ①通过修改注册表中的RUN键值来实现自启动②有很多添加系统服务的工具，最典型的是netservice，也可以手动添加系统服务. 哪些工具通常用于病毒分析和手动杀毒？简要描述其功能. （包括Windows和第三方）思考: 关闭Windows下的winlogon.exe或lsass.exe进程时，系统将进入60秒倒计时，如何避免重新启动？倒计时发生时，您可以立即开始运行-输入cmd-输入shutdown -a并按Enter键以简要描述制作安全USB驱动器的原理和步骤. 尝试描述构建安全稳定的操作系统的要点.

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-283895-2.html