2016年上海事业单位考试公共基础知识：第二章

第2章一、填写空白：1、 UltraEdit可以编辑文本，十六进制和ASCII； 2、 Doc文件的头信息为D0CF11E0，PowerPoint文件的头信息为D0CF11E0，Excel文件。标头信息为D0CF11E0； 3、单阴影模式仅为操作系统所在的分区创建图像； 4、阴影系统分为单阴影模式和全阴影模式； 5、 RegSnap工具可用于比较修改前后的注册表。 第3章典型计算机病毒分析一、填写空白1、注册表通常由5个文件组成：默认文件，SAM，安全性，软件和系统。 2、注册表结构包括五个主要类别：常规项，子项，分支，值项和默认值。 3、是否允许修改IE主页设置，注册表项为HKEY_CURRENT_USER \ Software \ Policies \ Microsoft \ Internet Explorer \ Control Panel。 4、注册表中IE的主页设置项是“ Home” = dword 00000001 5、打开注册表编辑器的命令是regedit。 6、网络脚本病毒的特征包括多种病毒变种，更大的破坏力和强大的感染力。

7、 Word的模板文件是Normal.dot。 8、 Office中用于宏的编程语言是VBA（应用程序的Visual Basic）。 9、宏可以保存在当前工作表和通用单词模板中。 1 0、蠕虫的两个特征是感染性和复制功能。 1 1、蠕虫攻击方法包括随机检测，基于列表的随机检测，基于DNS的检测，基于路由的检测和蠕虫攻击模块。 1 2、 windows32 / Baby.worm病毒主要攻击服务器。 1 3、木马分为远程访问木马，密码发送木马，键盘记录木马，破坏性木马和FTP木马。 1 4、木马程序的自动启动使用INI文件和注册表的预关闭程序启动，加入系统启动组，使用系统启动配置文件并将执行与其他程序捆绑在一起。 二、选择1、存储在Office文档中，并且以VB语言编写的病毒程序属于（D）A，引导扇区病毒B，文件病毒C，混合病毒D，宏病毒2、注册表备份文件扩展名是（C）。 A，com B，exe C，reg D，txe 3、用于设置注册表项的API函数为（C）。 A，RegCreateKeyEx（）B，RegQueryValue（）C，RegSetValueEX（）D，RegEnumValue（）4、 Windows中VBScript和Javescript的执行环境为（A）。

A，WSH B，IE C，HTML D，DOS 5、关闭Word文件时自动执行的宏命令为（D）。 A，FileOpen B，AutoOpen C，FileClose D，AutoClose 6、实现正常程序流的溢出和跳转的技术是（C）。 A，陷阱B，跳转C，ShellCode D，溢出7、从（A）中，您可以评估木马程序的强度。 A.有效性B.隐藏C，固执D，易于植入三、问题与解答１、讨论自定义Windows命令的操作方法。答：Windows命令操作通过注册表操作来管理操作系统。通过注册表编辑器进行编辑，备份和还原。执行相关订单。 ２、简要描述Web脚本病毒的技术特征。答：Web脚本病毒使用以脚本语言编写的恶意代码，并利用IEEE的漏洞实施病毒植入。它们利用Windows系统的开放性，并且可以通过调用一些现成的Windows对象和组件来直接控制文件系统，注册表等。 ３、简要描述从后页脚本的病毒入侵中恢复的方法。答：可以通过防病毒软件对其进行扫描和清除。您还可以手动清除病毒，进入安全模式或在纯DOS中清除病毒，打开注册表编辑器删除并还原一些键值以查找带有KJ_start字符串的所有文件，并在末尾删除病毒代码文件。

４、编程实现文件关联，如何双击设置的扩展名，已编程的程序将启动并打开。答：当您首先运行test.exe，然后双击一个thm文件时，该文件将不会在新传输的test.exe中打开，但会与先前运行的test.exe一起打开。这样，仅保留一个实例，如winamp和netant。跑步。目前，我已取得以下学位。双击以打开thm导致了一个新的test.exe实例。在新实例中，如果已经有一个旧实例在运行，我将获得该旧实例的主窗口句柄，我认为通过该句柄，新打开的thm文件的路径将传递到旧实例以使其成为旧实例。负责打开，然后关闭新实例。但是我不知道如何通过窗口句柄传递此路径并触发打开文件的操作。 PostMessage？ ShellExecute？ DDE？ ５、简要描述宏病毒的特征。答：宏病毒传播极快，其生产原理简单，其变种方便且具有破坏性，并且被多个平台交叉感染。 ６、简要描述宏病毒的检测方法。答：检测方法如下：检查模板中是否有宏，无故保存到磁盘，单词功能混乱，无法使用，单词菜单命令消失，单词文档的内容改变了。当用户尝试保存文档时，仅允许将文档另存为文档。模板的格式，文档图标的形状类是模板而不是文档图标。

７、简要介绍如何删除宏病毒。答：有六种删除宏病毒的方法。通过删除宏命令来删除宏病毒。通过复制和粘贴删除宏病毒。通过删除普通。点摆脱宏病毒。通过格式转换清除单词宏病毒。通过高版本的单词来查找宏病毒。以防万一，当打开疑似被宏病毒感染的文档时，请按住键。这样可以防止宏自动运行。如果存在宏病毒，则不会加载宏。 ８、简要描述蠕虫和传统病毒之间的区别。答：蠕虫和病毒之间的最大区别在于，它不需要人工干预，并且可以自行复制和传播。蠕虫程序的工作流程可以分为四个阶段：漏洞扫描，攻击，感染和现场处理。蠕虫程序扫描易受攻击的计算机系统后，它将蠕虫的主体迁移到目标主机。然后，蠕虫程序进入受感染的系统，并对目标主机进行现场处理。工作的现场处理部分包括：隐藏，信息收集等。不同的蠕虫可能采用不同的IP生成策略，甚至可能随机生成。每个步骤的复杂性也不同，有的很复杂，有的很简单９、总结蠕虫的清除方法。答：Ctrl + Alt + Delete会打开任务管理器，并在进程页面中终止所有名为病毒的进程（建议在以下操作中重复此操作，以确保病毒文件不会再次出现）3、。

在开始运行时输入“ regedit”（XP系统）以打开注册表，单击“编辑”-“查找”，在弹出对话框中输入病毒文件名，并在找到时删除所有文件。 4、在“我的电脑”-“文件夹”选项-“视图”-“显示所有文件和文件夹”中，取消选中“隐藏受保护的系统文件”，您将看到带有您提到的文件名的文件。 ，直接删除1 ０、简要描述木马程序的危害。答：木马程序在大多数恶意尝试中都是有害的，例如占用系统资源，降低计算机性能，危害计算机的信息安全性（窃取帐号，游戏帐户甚至银行帐户）以及将计算机用作工具攻击其他设备。 1 １、分析木马和一般病毒的危害。答：木马与病毒不是很相似。病毒主要用于破坏数据。旨在破坏软件和硬件的木马主要用于窃取数据和篡改数据。木马之后，如果您丢失了Internet帐户，各种密码和用户名，则可以远程控制您。远程控制以打开计算机的外围设备。 1 ２、简要描述木马的工作原理。答：“木马”程序是目前比较流行的病毒文件。与普通病毒不同，它不会自我复制或“故意”感染其他文件。它伪装成吸引用户下载和执行。木马提供了一个门户，可以打开计算机，以便播种机可以随意销毁和窃取文件，甚至可以远程控制计算机。

“木马”与计算机网络中经常使用的远程控制软件有些相似，但是由于远程控制软件是“诚信”控制，因此通常不会被隐藏； “木马”则完全相反。是“盗窃”，如果没有强烈的隐藏，那就是“毫无价值”。 １ ３、什么是计算机木马？简要介绍木马攻击技术的原理。答：计算机木马（也称为程序）是一种后门程序，黑客通常将其用作控制远程计算机的工具。英文单词“ Troj”，字面翻译为“ troy”。完整的木马系统由硬件部分，软件部分和特定的连接部分组成。 （1)硬件部分：建立木马连接所需的硬件实体。控制端：远程控制服务器的一方。服务器：由控制端远程控制的一方。INTERNET：控制端远程控制服务器。[2)软件部分：实现远程控制所必需的软件程序。控制终端程序：控制终端用来远程控制服务器终端的程序。木马程序：潜行的程序。进入服务器终端并获得其操作权限木马配置程序：设置木马程序的端口号，触发条件，木马名称等，以便可以将其隐藏在服务器端更隐蔽的程序中。（3)特定的连接部分：通过INTERNET在服务器端和控制端之间建立木马通道的必要元素控制终端IP，服务器IP：即网络控制终端和服务器终端的工作地址，这也是木马进行数据传输的目的地。

控制终端端口，木马端口：控制终端和服务器端的数据条目，通过该条目，数据可以直接到达控制终端程序或木马程序。第4章计算机病毒的预防，免疫和消除技术-填补空白1.病毒的预防分为独立环境和网络环境。 （P15 2) 2.病毒感染模块通常包括两个部分：感染跳转以判断和实施感染。（P15 4) 3.禁止修改显示系统文件的注册表项是HKEY_LOCAL_MACHINE \ Software \ Microft \ Windows \ Current Version \ exporer \ Advanced \ Folder \ Hidden \ SHOWALL（P16 1) 4. FTP访问端口是5554。（P16 1） 二、多项选择计算机免疫方法是（BC）。（P15 5) A.安装防病毒软件以实现病毒免疫B，基于自完整性检查的计算机病毒免疫C，计算机对病毒的免疫D，编写通用病毒免疫程序以实现病毒免疫三、问答1、 ]病毒防护技术的简要说明答案：安装和更新防病毒软件，不能共享软盘或硬盘之类的媒体，无法标准化管理和使用计算机，确定未知文件是否安全，重要的文件应该备份，继续，或下载应输入常规 网站。系统管理及时处理异常情况。 2、简要介绍计算机病毒的检测方法。

答案：您可以使用现象观察方法来观察计算机系统的运行状态。对比方法使用备份和检测到的引导扇区或检测到的文件进行比较。加法和比较法根据程序信息对系统进行比较，以检查校验码是否被更改。在搜索方法中，计算机病毒正文中包含的特定字节字符串将扫描检测到的对象。软件仿真扫描方法。先知扫描法。人工智能陷阱技术和宏病毒陷阱技术。 3、有哪些类型的常见计算机病毒？删除计算机病毒的方法有哪些？答：常见的计算机病毒包括木马，宏病毒，用JAVA编程语言编写的病毒，操作系统文件，窃取密码的病毒和其他信息。如何清理计算机：使用防病毒软件和软禁软件进行清理，并删除无法显示的隐藏文件。病毒，手动清除病毒，例如“ Sasser”？ 4、简要描述如何删除“尾巴”病毒。答：第一种方法：工具杀毒。有很多可以杀死尾巴的工具，例如Rising Tail Kill。 q721ka是3721的反软件专家，专门研究杀死流行的病毒等。第二种方法：手动杀死病毒。查找尾部的病毒文件，将其删除，然后在操作中键入msconfig，然后在启动项中删除病毒名称前面的复选标记。第5章一、填补空白1.主动防御技术主要是通过检测漏洞和攻击来预防未知病毒和未知程序的病毒。 2.启发式检测技术分为静态启发式技术和动态启发式技术。

3.当前，虚拟机处理的对象主要是文件类型的病毒。 4.防病毒软件包括三个部分：应用程序，防病毒引擎和病毒。 5.病毒主要包括病毒签名和防病毒密钥参数。 二、选择1.在下面的描述中，正确的是（A）。 A.防病毒软件通常落后于计算机病毒的出现。B.防病毒软件始终领先于病毒的出现。它可以检测并杀死任何类型的病毒。 C.感染了计算机病毒的计算机对病毒具有免疫力D.计算机病毒可以损害计算机用户的健康2.批处理文件的本质是（C）。 Page 182 A. EXE可执行文件B. Com可执行文件C.操作系统命令集D.特殊应用3.批处理文件的工作平台为（AB）。 Page 182 A. Windows平台B. Dos平台C. Unix平台D. Linux平台三、问答1.简要描述了两种启发式病毒检测技术的优缺点。启发式病毒检测技术是一种主动防御，是当前处理未知病毒的主要方法。按照工作原理，它可以分为静态启发式和动态启发式。启发式是指“自我发现能力”或“使用某种方法或某种方法确定事物的知识和技能”是指防病毒软件可以分析文件代码的逻辑结构是否具有恶意程序特征，或通过虚拟安全环境主动执行代码以确定其是否具有恶意行为。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/shouji/article-367143-1.html