計(jì)算機(jī)病毒與反病毒技術(shù) 課后習(xí)題答案

注：12.19更新第三章第2題、第5題的感染機(jī)制答案

《計(jì)算機(jī)病毒》復(fù)習(xí)思索題

第一章計(jì)算機(jī)病毒概述

I.簡(jiǎn)述計(jì)算機(jī)病毒的定義和特征C

計(jì)算機(jī)病毒（CompulerVirus）,是一種人為制造的、能夠進(jìn)行自我復(fù)制的、具有對(duì)計(jì)算機(jī)資

源進(jìn)行破壞作用的一組程序或指令集合。

計(jì)算機(jī)病毒的可執(zhí)行性（程序性）、傳染性、非授權(quán)性、隱蔽性、埋伏性、可觸發(fā)性、破壞性、

攻擊的主動(dòng)性、針對(duì)性、衍生性、寄生性（依附性）、不行預(yù)見性、誘惑哄騙性、長(zhǎng)久性。

2.計(jì)算機(jī)病毒有哪些分類方法？依據(jù)每種分類方法，試舉出一到兩個(gè)病毒。

3.為什么同一個(gè)病毒會(huì)有多個(gè)不同的名稱？如何通過(guò)病毒的名稱識(shí)別病毒的類型？

國(guó)際上對(duì)病毒命名的一般慣例為“前綴+病毒名+后綴”，即三元組命名規(guī)章。

1、系統(tǒng)病毒

系統(tǒng)病毒的前綴為：Win32、PE、Win95、W32、W95等。

2、蠕蟲病毒

蠕蟲病毒的前綴是：Wormo

3、木馬病毒、黑客病毒

木馬病毒其前綴是：Trojan,黑客病毒前綴名一般為Hack。

4、腳本病毒

腳本病毒的前綴是：Scripto

5、宏病毒

其實(shí)宏病毒是也是腳本病毒的一種，由于它的特殊性，因此在這里單獨(dú)算成一類。宏病毒的

前綴是：Macroo

后門病毒

后門病毒的前綴是：Backdooro

7、病毒種植程序病毒

后門病毒的前綴是：Droppero這類病毒的公有特性是運(yùn)行時(shí)會(huì)從體內(nèi)釋放出一個(gè)或幾個(gè)新

的病毒到系統(tǒng)名目下，由釋放出來(lái)的新病毒產(chǎn)生破壞。

8.破壞性程序病毒

破壞性程序病毒的前綴是：Harm。這類病毒的公有特性是本身具有好看的圖標(biāo)來(lái)誘惑用戶

點(diǎn)擊，當(dāng)用戶點(diǎn)擊這類病毒時(shí)，病毒便會(huì)直接對(duì)用戶計(jì)算機(jī)產(chǎn)生破壞。

9.玩笑病毒

玩笑病毒的前綴是：Joke。

10.捆綁機(jī)病毒

捆綁機(jī)病毒的前綴是：Binder.

4.簡(jiǎn)述計(jì)算機(jī)病毒產(chǎn)生的背景。

5.計(jì)算機(jī)病毒有哪些傳播途徑？

傳播途徑有兩種，一種是通過(guò)網(wǎng)絡(luò)傳播，一種是通過(guò)硬件設(shè)施傳播（軟盤、U盤、光盤、硬

盤、存儲(chǔ)卡等）。

網(wǎng)絡(luò)傳播，又分為因特網(wǎng)傳播和局域網(wǎng)傳播兩種。

硬件設(shè)施傳播：通過(guò)不行移動(dòng)的計(jì)算機(jī)硬件設(shè)施傳播、通過(guò)移動(dòng)存儲(chǔ)設(shè)施傳播、通過(guò)無(wú)線設(shè)

施傳播。

6.試比較與計(jì)算機(jī)病毒癥狀相像的軟件故障。

7.試比較與計(jì)算機(jī)病毒癥狀相像的硬件故障。

8.計(jì)算機(jī)病毒為什么是可以防治、可以清除的？

9.分析“新歡快時(shí)間”病毒的源代碼及其特性，結(jié)合三元組中病毒名命名優(yōu)先級(jí)，分析各殺

毒軟件商對(duì)該病毒存在不同命名的緣由。

?查找相關(guān)資料，試述計(jì)算機(jī)病毒進(jìn)展趨勢(shì)與特點(diǎn)。

?基于Windows的計(jì)算機(jī)病毒越來(lái)越多

?計(jì)算機(jī)病毒向多元化進(jìn)展

?新計(jì)算機(jī)病毒種類不斷涌現(xiàn)，數(shù)量急劇增加

?計(jì)算機(jī)病毒傳播方式多樣化，傳播速度更快

?計(jì)算機(jī)病毒造成的破壞日益嚴(yán)峻

?病毒技術(shù)與黑客技術(shù)日益融合

?更多依靠網(wǎng)絡(luò)、系統(tǒng)漏洞傳播，攻擊方式多種多樣

?討論計(jì)算機(jī)病毒有哪些基本原則？搭建病毒分析的環(huán)境有哪些方法？

回答■：“八字原則”——自尊自愛、自強(qiáng)自律

自尊

敬重自己的人格，不做違法、違紀(jì)的事

自愛

疼惜自己的“學(xué)問(wèn)儲(chǔ)備”，不任憑“發(fā)揮自己的聰慧才智”，自己對(duì)自己負(fù)責(zé)

自強(qiáng)

刻苦鉆研，努力提高防毒、殺毒水平

自律

嚴(yán)以律己、寬以待人，不以任何理由為借口而“放毒”

回答二：可在虛擬環(huán)境下進(jìn)行，比如在VirtualBox、VMware環(huán)境下安裝操作系統(tǒng)作為

測(cè)試討論病毒的環(huán)境。

可使用影子系統(tǒng)，在全模式下進(jìn)行試驗(yàn)。

可在使用硬盤愛護(hù)卡的環(huán)境下進(jìn)行試驗(yàn)。

可以使用RAMOS(內(nèi)存操作系統(tǒng))作為測(cè)試討論病毒的環(huán)境。

第2章預(yù)備學(xué)問(wèn)

1.硬盤主引導(dǎo)扇區(qū)由哪幾部分構(gòu)成？一個(gè)硬盤最多可分幾個(gè)主分區(qū)？為什么？

Fdisk/mbr命令是否會(huì)重寫整個(gè)主引導(dǎo)扇區(qū)？

主引導(dǎo)扇區(qū)(BootSector)由主引導(dǎo)紀(jì)錄(MasterBootRecord,MBR)、主分區(qū)表即磁盤分

區(qū)表(DiskPartitionTable,DPT)^引導(dǎo)扇區(qū)標(biāo)記(BootRecordID/Signature)三部分組成。

一個(gè)硬盤最多可分為4個(gè)主分區(qū)，由于主分區(qū)表占用64個(gè)字節(jié)，紀(jì)錄了磁盤的基本分

區(qū)信息，其被分為4個(gè)分區(qū)選項(xiàng)，每項(xiàng)16個(gè)字節(jié)，分別紀(jì)錄了每個(gè)主分區(qū)的信息。

2.低級(jí)格式化、高級(jí)格式化的功能與作用是什么？高級(jí)格式化(FORMAT)能否清除任

何計(jì)算機(jī)病毒？為什么？

回答一：低級(jí)格式化的主要目的是將盤面劃分成磁道、扇區(qū)和柱面。

高級(jí)格式化的目的是在分區(qū)內(nèi)建立分區(qū)引導(dǎo)紀(jì)錄DBR(DOSBootRecord)、文件安排表

FAT(FileAllocationTable)>文件名目表FDT(FileDirectoryTable)和數(shù)據(jù)區(qū)DATA。

回答二：假如主引導(dǎo)區(qū)感染了病毒，用格式化程序FORMAT不能清除該病毒(BR病毒

可以用FORMAT清除)。

3.DOS下的EXE文件病毒是如何獵取掌握權(quán)的？感染EXE文件，需對(duì)宿主作哪些修

改？

一般來(lái)說(shuō),病毒往往先于HOST程序獲得掌握權(quán)。運(yùn)行Win32病毒的一般流程示意如下：

①用戶點(diǎn)擊或系統(tǒng)自動(dòng)運(yùn)行HOST程序；

②裝載HOST程序到內(nèi)存；

③通過(guò)PE文件中的AddressOfEntryPoint加ImageBase之和，定位第一條語(yǔ)句的位置(程

序入口)；

④從第一條語(yǔ)句開頭執(zhí)行(這時(shí)執(zhí)行的其實(shí)是病毒代碼)；

⑤病毒主體代碼執(zhí)行完畢，將掌握權(quán)交給HOST程序原來(lái)的入口代碼；

?HOST程序連續(xù)執(zhí)行。

4.針對(duì)PE文件格式，請(qǐng)思索：Win32病毒感染PE文件，須對(duì)該文件作哪些修改？

5.簡(jiǎn)介有哪些常用的磁盤編輯軟件、分區(qū)軟件。

FDISK、DiskGenius、PartitionMagic>AcronisDiskDirector

6.簡(jiǎn)述WindowsXP的啟動(dòng)過(guò)程。

在基于Intel的計(jì)算機(jī)上，Windows2000/XP的啟動(dòng)過(guò)程大致可分為8個(gè)步驟：

1.預(yù)啟動(dòng)

計(jì)算機(jī)加電自檢，讀取硬盤的MBR、執(zhí)行NTLDR(操作系統(tǒng)加載器)文件

2.進(jìn)行初始化

NTLDR將處理器從實(shí)模式轉(zhuǎn)換為32位愛護(hù)模式

3.讀取BOOT.INI文件

BOOT.INI文件其作用是使系統(tǒng)在啟動(dòng)過(guò)程中消失選擇菜單，由用戶選擇盼望啟動(dòng)的操

作系統(tǒng)，若只有一個(gè)操作系統(tǒng)則不顯示

4.加載NTDETECT.COM文件

由NTDETECT.COM來(lái)檢測(cè)計(jì)算機(jī)硬件，如并行端口、顯示適配器等，并將收集到的硬

件列表返回NTLDR用于以后在注冊(cè)表中注冊(cè)保存

5.選擇硬件配置文件

假如Windows2000/XP有多個(gè)硬件配置文件，此時(shí)會(huì)消失選擇菜單，等待用戶確定要使

用的硬件配置文件，否則直接跳過(guò)此步，啟用默認(rèn)配置

6.裝載內(nèi)核

引導(dǎo)過(guò)程裝載Windows2000/XP內(nèi)核NtOsKrnl.EXE。隨后，硬件油象層(HAL)被引導(dǎo)進(jìn)

程加載，完成本步驟

7.初始化內(nèi)核

內(nèi)核完成初始化，NTLDR將掌握權(quán)轉(zhuǎn)交Windows2000/XP內(nèi)核，后者開頭裝載并初始

化設(shè)施驅(qū)動(dòng)程序，并啟動(dòng)Win32子系統(tǒng)和Windows2000/XP服務(wù)

8.用戶登錄

由Win32子系統(tǒng)啟動(dòng)WinLogon.EXE,并由它啟動(dòng)LocalSecurityAuthority(LSASS.EXE)

顯示登錄對(duì)話框。用戶登錄后，Windows2000/XP會(huì)連續(xù)配置網(wǎng)絡(luò)設(shè)施、用戶環(huán)境，并

進(jìn)行共性化設(shè)置。最終，伴隨著微軟之聲和我們熟識(shí)的共性化桌面，Windows2000/XP

啟動(dòng)過(guò)程完成

7、簡(jiǎn)述Windows7的啟動(dòng)過(guò)程。

1、開啟電源

計(jì)算機(jī)系統(tǒng)將進(jìn)行加電自檢(POST)。假如通過(guò)，之后BIOS會(huì)讀取主引導(dǎo)紀(jì)錄(MBR)一

一被標(biāo)記為啟動(dòng)設(shè)施的硬盤的首扇區(qū)，并傳送被Windows7建立的掌握編碼給MBR。

這時(shí)，Windows接管啟動(dòng)過(guò)程。接下來(lái)：

MBR讀取引導(dǎo)扇區(qū)-活動(dòng)分區(qū)的第一扇區(qū)。此扇區(qū)包含用以啟動(dòng)Windows啟動(dòng)管理器

(WindowsBootManager)程序Bootmgrexe的代碼。

2^啟動(dòng)菜單生成

Windows啟動(dòng)管理器讀取“啟動(dòng)配置數(shù)據(jù)存儲(chǔ)(BootConfigurationDatastore)中的信息。

此信息包含已被安裝在計(jì)算機(jī)上的全部操作系統(tǒng)的配置信息。并且用以生成啟動(dòng)菜單。

3、當(dāng)您在啟動(dòng)菜單中選擇下列動(dòng)作時(shí)：

<1>假如您選擇的是Windows7(或WindowsVista),Windows啟動(dòng)管理器(Windows

BootManager)運(yùn)行％SyslemRooi%\System32文件夾中的OSloaderWinload.exe。

<2>假如您選擇的是自休眠狀態(tài)恢復(fù)Windows7或Vista,那么啟動(dòng)管理器將裝載

Winresume.exe并恢復(fù)您從前的使用環(huán)境。

<3>假如您在啟動(dòng)菜單中選擇的是早期的Windows版本，啟動(dòng)管理器將定位系統(tǒng)安裝

所在的卷，并且加載WindowsNT風(fēng)格的早期OSloadei(Ntldr.exe)——生成個(gè)由

boot.ini內(nèi)容打算的啟動(dòng)菜單。

4、核心文件加載及登錄

Windows7啟動(dòng)時(shí)，加載其核心文件Ntoskrnl.exe和hal.dll從注冊(cè)表中讀取設(shè)置并加

載驅(qū)動(dòng)程序。接下來(lái)將運(yùn)行Windows會(huì)話管理器(smss.exe)并且啟動(dòng)Windows啟動(dòng)程序

(Wininitexe),本地平安驗(yàn)證(Lsass.exe)與服務(wù)(services.exe)進(jìn)程，完成后，您就可以登

錄您的系統(tǒng)了。

5、登陸后的開機(jī)加載項(xiàng)目

第3章計(jì)算機(jī)病毒的規(guī)律結(jié)構(gòu)與基本機(jī)制

1.計(jì)算機(jī)病毒在任何狀況下都具有感染力或破壞力嗎？為什么？

不是，由于計(jì)算機(jī)病毒在傳播過(guò)程中存在兩種狀態(tài)，即靜態(tài)和動(dòng)態(tài)。

a.靜態(tài)病毒，是指存在于幫助存儲(chǔ)介質(zhì)中的計(jì)算機(jī)病毒，一般不能執(zhí)行病毒的破壞或表現(xiàn)功

能，其傳播只能通過(guò)文件下載(拷貝)實(shí)現(xiàn)。

b.病毒完成初始引導(dǎo)，進(jìn)入內(nèi)存后，便處于動(dòng)態(tài)。動(dòng)態(tài)病毒本身處于運(yùn)行狀態(tài)，通過(guò)截流盜

用系統(tǒng)中斷等方式監(jiān)視系統(tǒng)運(yùn)行狀態(tài)或竊取系統(tǒng)掌握權(quán)。病毒的主動(dòng)傳染和破壞作用，都

是動(dòng)態(tài)病毒的“杰作”

c.內(nèi)存中的病毒還有一種較為特殊的狀態(tài)——失活態(tài)，它的消失一般是由于用戶對(duì)病毒的干

預(yù)(用殺毒軟件或手工方法)，用戶把中斷向量表恢復(fù)成正確值，處于失活態(tài)的病毒不行能進(jìn)

行傳染或破壞

綜上所述，計(jì)算機(jī)病毒只有處于動(dòng)態(tài)才具有感染力或破壞力。故計(jì)算機(jī)病毒不是在任何狀

況下都具有感染力或破壞力

2.文件型病毒有哪些感染方式？

a寄生感染：文件頭部寄生文件尾部寄生插入感染逆插入感染采用空洞一一零長(zhǎng)度感

染

b無(wú)入口點(diǎn)感染：采納入口點(diǎn)模糊(EmryPointObscuring,EPO)技術(shù)采納TSR病毒技術(shù)

c滋生感染

d鏈?zhǔn)礁腥?/p>

eOBJ、LIB和源碼的感染

3.計(jì)算機(jī)病毒的感染過(guò)程是什么？

計(jì)算機(jī)病毒感染的過(guò)程一般有三步：

(1)當(dāng)宿主程序運(yùn)行時(shí)，截取掌握權(quán)；

⑵查找感染的突破口；

(3)將病毒代碼放入宿主程序

4.結(jié)合病毒的不同感染方式，思索該病毒相應(yīng)的引導(dǎo)機(jī)制。(老師給的)

(1)駐留內(nèi)存

病毒若要發(fā)揮其破壞作用，一般要駐留內(nèi)存。為此就必需開辟所用內(nèi)存空間或掩蓋系統(tǒng)占

用的部分內(nèi)存空間。有的病毒不駐留內(nèi)存。

(2)竊取系統(tǒng)掌握權(quán)

在病毒程序駐留內(nèi)存后，必需使有關(guān)部分取代或擴(kuò)充系統(tǒng)的原有功能，并竊取系統(tǒng)的掌握

權(quán)。此后病毒程序依據(jù)其設(shè)計(jì)思想，隱蔽自己，等待時(shí)機(jī)，在條件成熟時(shí)，再進(jìn)行傳染和

破壞。

(3)恢復(fù)系統(tǒng)功能

病毒為隱蔽自己，駐留內(nèi)存后還要恢復(fù)系統(tǒng)，使系統(tǒng)不會(huì)死機(jī)，只有這樣才能等待時(shí)

機(jī)成熟后，進(jìn)行感染和破壞的目的.有的病毒在加載之前進(jìn)行動(dòng)態(tài)反跟蹤和病毒體解密。

4.計(jì)算機(jī)病毒一般采納哪些條件作為觸發(fā)條件？

病毒采納的觸發(fā)條件主要有以下幾種：

??日期觸發(fā)

??時(shí)間觸發(fā)

?鍵盤觸發(fā)

??感染觸發(fā)

??啟動(dòng)觸發(fā)

??訪問(wèn)磁盤次數(shù)/調(diào)用中斷功能觸發(fā)

??CPU型號(hào)/主板型號(hào)觸發(fā)

??打開或預(yù)覽Email附件觸發(fā)

??隨機(jī)觸發(fā)

5.一個(gè)病毒，試分析其感染機(jī)制、觸發(fā)機(jī)制和破壞機(jī)制。

感染機(jī)制：

A計(jì)算機(jī)病毒實(shí)施感染的過(guò)程基本可分為兩大類

a.馬上傳染

病毒在被執(zhí)行到的瞬間，搶在宿主程序開頭執(zhí)行前，馬上感染磁盤上的其他程序，然后再

執(zhí)行宿主程序

b.駐留內(nèi)存并伺機(jī)傳染

內(nèi)存中的病毒檢查當(dāng)前系統(tǒng)環(huán)境，在執(zhí)行一個(gè)程序或DIR等操作時(shí)感染磁盤上的程序，駐

留在系統(tǒng)內(nèi)存中的病毒程序在宿主程序運(yùn)行結(jié)束后，仍可活動(dòng)，直至關(guān)閉計(jì)算機(jī)

總之，計(jì)算機(jī)病毒感染的過(guò)程一般有三步：

(1)當(dāng)宿主程序運(yùn)行時(shí)，截取掌握權(quán)；

⑵查找感染的突破口；

（3）將病毒代碼放入宿主程序

病毒攻擊的宿主程序是病毒的棲身地，宿主程序既是病毒傳播的目的地，又是下一次感染

的動(dòng)身點(diǎn)

觸發(fā)機(jī)制：病毒在感染或破壞前，往往要檢查某些特定條件是否滿意，滿意則進(jìn)行感染或

破壞，否則不進(jìn)行感染或破壞，病毒采納的觸發(fā)條件主要有以下幾種：

??日期觸發(fā)

??時(shí)間觸發(fā)

??鍵盤觸發(fā)

??感染觸發(fā)

??啟動(dòng)觸發(fā)

??訪問(wèn)磁盤次數(shù)/調(diào)用中斷功能觸發(fā)

??CPU型號(hào)/主板型號(hào)觸發(fā)

??打開或預(yù)覽Email附件觸發(fā)

??隨機(jī)觸發(fā)

破壞機(jī)制：計(jì)算機(jī)病毒的破壞機(jī)制，在設(shè)計(jì)原則、工作原理上與傳染機(jī)制相像，也是通過(guò)

修改某一中斷向量人口地址（一般為時(shí)鐘中斷INT8H或與時(shí)鐘中斷有關(guān)的其他中斷，如INT

1CH）,使該中斷向量指向病毒程序的破壞模塊。這樣，當(dāng)被加載的程序或系統(tǒng)訪問(wèn)該中斷

向量時(shí)，病毒破壞模塊被激活，在推斷設(shè)定條件滿意的狀況下，對(duì)系統(tǒng)或磁盤上的文件進(jìn)

行破壞

6.繪出Funlove的流程圖，并說(shuō)明其引導(dǎo)部分的作用。

（計(jì)算機(jī)難畫，依據(jù)下面過(guò)程就能畫出來(lái)）

a.病毒程序第一次運(yùn)行時(shí)，依據(jù)肯定的時(shí)間間隔，周期性地檢測(cè)每一個(gè)驅(qū)動(dòng)器以及網(wǎng)絡(luò)資源

中的.EXE、.SCR、.OCX文件，驗(yàn)證后進(jìn)行感染，被感染文件長(zhǎng)度通常會(huì)增加4099字節(jié)或

者更多

b.檢測(cè)到以下文件名時(shí)不感染它們：ALER*、AMON*、_AVP*、AVP3*>AVPM*.F-PR*、

NAVW*、SCAN*、SWISS*、DDHE*>DPLA*和MPLA*

c.當(dāng)染毒程序運(yùn)行后，該病毒將創(chuàng)建一個(gè)名為“FLCSS.EXE”的文件（長(zhǎng)度4608字節(jié)），放在

當(dāng)前Windows系統(tǒng)的System名目下（NT系統(tǒng)中為Systcm32）,并同時(shí)開啟一個(gè)線程進(jìn)行自

身的傳染

d.假如是在NT的許可權(quán)限下運(yùn)行，F(xiàn)LCSS.EXE會(huì)將自身像一個(gè)服務(wù)程序一樣安裝到NT

計(jì)算機(jī)上。它會(huì)以“FLC”顯示在標(biāo)準(zhǔn)的NT服務(wù)列表中，并且被設(shè)置為在每次啟動(dòng)時(shí)自動(dòng)運(yùn)

行此服務(wù)。在Windows9x下，它像一個(gè)隱含程序一樣運(yùn)行，在任務(wù)列表中是不行見的

e.盡管Funlove病毒對(duì)數(shù)據(jù)沒(méi)有直接的破壞性，但是在NT下，該病毒還是對(duì)NtOsKrnl.exe

文件做了一個(gè)小的修改（Patch）,使得文件的許可懇求總是返回允許訪問(wèn)（AccessAllowed）,

全部的用戶都擁有對(duì)每一個(gè)文件的完全掌握訪問(wèn)權(quán)

其引導(dǎo)部分的作用：（這是我總結(jié)的）

染毒程序運(yùn)行時(shí)，首先運(yùn)行的是funlove病毒的引導(dǎo)模塊

a.檢查運(yùn)行的環(huán)境，如確定操作系統(tǒng)類型、內(nèi)存容量、現(xiàn)行區(qū)段、磁盤設(shè)置、顯示器類型等

參數(shù)

b.將funlove病毒引入內(nèi)存，使funlove病毒處于動(dòng)態(tài)，并愛護(hù)內(nèi)存中的funlove病毒代碼不

被掩蓋

C.設(shè)置funlove病毒的激活條件和觸發(fā)條件，使funlove病毒處于可激活態(tài)，以便funlove病

毒被激活后依據(jù)滿意的條件調(diào)用感染模塊或破壞表現(xiàn)模塊

?試述計(jì)算機(jī)病毒的規(guī)律結(jié)構(gòu)。

計(jì)

算

機(jī)

病激活感染功能的判斷部分

毒

程傳染功能的實(shí)施部分

序

觸發(fā)破壞表現(xiàn)功能的判斷通

破壞表現(xiàn)模塊

破壞表現(xiàn)功能的實(shí)施部分

第4章DOS病毒的基本原理與DOS病毒分析

1.什么是病毒的重定位？病毒一般采納什么方法進(jìn)行重定位？

回答一：重定位就是把程序的規(guī)律地址空間變換成內(nèi)存中的實(shí)際物理地址空間的過(guò)程。

病毒不行避開也要用到變量(常量)，當(dāng)病毒感染HOST程序后，由于其依附到不同HOST

程序中的位置各有不同，病毒隨著HOST載入內(nèi)存后，病毒中的各個(gè)變量(常量)在內(nèi)存

中的位置自然也會(huì)隨著發(fā)生變化。故而獵取病毒變量的地址偏移值和采用該值得到病毒

變量在內(nèi)存中的實(shí)際地址的過(guò)程，就是病毒的重定位。

回答二：

calldelta;這條語(yǔ)句執(zhí)行之后，堆棧頂端為delta在內(nèi)存中的真正地址

delta:popebp;這條語(yǔ)句將delta在內(nèi)存中的真正地址存放在ebp寄存器中

leaeax,[ebp+(offsetvarl-offsetdelta)];這時(shí)eax中存放著varl在內(nèi)存中的真實(shí)地址

假如病毒程序中有一個(gè)變量varl,那么該變量實(shí)際在內(nèi)存中的地址應(yīng)當(dāng)是ebp+(offset

varl—offsetdelta).即參考量delta在內(nèi)存中的地址+其它變量與參考量之間的距離二其

它變量在內(nèi)存中的真正地址。

有時(shí)候我們也采納（ebp-offse:delta）+offsetvarl的形式進(jìn)行變量varl的重定位。

2.試述引導(dǎo)型病毒的啟動(dòng)過(guò)程。

引導(dǎo)型病毒的觸發(fā)：

用染毒盤啟動(dòng)計(jì)算機(jī)時(shí)，引導(dǎo)型病毒先于操作系統(tǒng)獵取系統(tǒng)掌握權(quán)（被首次激活），處于動(dòng)態(tài)

因首次激活時(shí)修改INT13H入口地址使其指向病毒中斷服務(wù)程序，從而處于可激活態(tài)

當(dāng)系統(tǒng)/用戶進(jìn)行磁盤讀寫時(shí)調(diào)用INT13H,調(diào)用的實(shí)際上是病毒的中斷服務(wù)程序，從而激

活病毒，使病毒處于激活態(tài)

病毒被激活之后，即可依據(jù)感染條件實(shí)施暗地感染、依據(jù)爆發(fā)破壞條件破壞系統(tǒng)并表現(xiàn)自己

3.編寫程序，采用INTI3H實(shí)現(xiàn)引導(dǎo)區(qū)的備份與恢亞。

備份：

DEBUG（回車）

-A100

XXXX:0100MOVAX,201

XXXX:0103MOVBX,200

XXXX:0106MOVCX,1

XXXX;0109MOVDX,80

XXXX:010CINT13

XXXX:010EINT3

XXXX:010F

-G=100

-RBX

BX0200:0

-RCX；-D2003FF顯示Hex,留意標(biāo)志55AA

CX0001:200

-NBOOT.ZYD

-W

-Q

恢復(fù)：

DEBUG（回車）

-NBOOT.ZYD

-L200

-A100

XXXX:0100MOVAX,0301

XXXX:0103MOVBX,0200

XXXX:0106MOVCX,0001

XXXX:0109MOVDX,0080

XXXX:010CINT13

XXXX:010EINT3

XXXX:010F

-G=l00

4.編寫程序，采用該程序修復(fù)被COM_V.COM感染的host_,

5.試?yán)L出感染EXE文件的示例病毒exe_v的流程圖。

6.編寫程序，采用該程序修復(fù)被exe_感染的文件。

7.試?yán)L出混合型病毒Natas病毒的加密變形流程圖。

?如何清除引導(dǎo)型病毒？

在恢復(fù)引導(dǎo)區(qū)之前，應(yīng)清除內(nèi)存中的病毒或使內(nèi)存中的病毒處于滅活狀態(tài)。

用潔凈軟盤引導(dǎo)啟動(dòng)系統(tǒng)，可以清除內(nèi)存中的病毒,也可采納如下方法將內(nèi)存中的病毒滅活:

1.在無(wú)毒環(huán)境下（例如用無(wú)毒的同版本系統(tǒng)盤啟動(dòng)），用無(wú)毒的Debug將中斷向量表取出存在

一個(gè)文件中。

2.當(dāng)內(nèi)存中有病毒時(shí)用上述文件掩蓋中斷向量表。中斷向量表恢復(fù)正常，內(nèi)存中通過(guò)修改向

量表截流盜取中斷向量的病毒將無(wú)法再激活。

病毒的清除方法比較簡(jiǎn)潔，將病毒備份的扇區(qū)內(nèi)容或感染前我們主動(dòng)備份的引導(dǎo)扇區(qū)/主引

導(dǎo)扇區(qū)內(nèi)容，寫入軟盤引導(dǎo)扇區(qū)/硬盤主引導(dǎo)扇區(qū)即可。

提取引導(dǎo)區(qū)掩蓋引導(dǎo)區(qū)

C:\>debugC:\>debug

-L100盤號(hào)01-ndosboot.62s

-ndosboot.62s-L

-rex-wlOO盤號(hào)01

CX0000-M

:200

-W

-Q

?試述文件型病毒的基本原理。

第4章DOS病毒的基本原理與DOS病毒分析

1.什么是病毒的重定位？病毒一般采納什么方法進(jìn)行重定位？P158

*2.試述引導(dǎo)型病毒的啟動(dòng)過(guò)程。

答：帶毒硬盤引導(dǎo)＞BIOS將硬盤主引導(dǎo)區(qū)讀到內(nèi)存0:7C00處掌握權(quán)轉(zhuǎn)到主引導(dǎo)程

序（這是千古不變的）（病毒））將（）:413單元的值削減1K或nK＞計(jì)算可用內(nèi)存

高段地址將病毒移到高段連續(xù)執(zhí)行＞修改INT13地址，指向病毒傳染段，將原INT13

地址保存在某一單元＞病毒任務(wù)完成，將原引導(dǎo)區(qū)調(diào)入0:7C00執(zhí)行--一＞機(jī)器正

常引導(dǎo)

*3.編寫程序，采用INTI3H實(shí)現(xiàn)引導(dǎo)區(qū)的備份與恢復(fù)。

答：從U盤或光盤啟動(dòng)，進(jìn)入純DOS

DEBUG

-A100

movax,0201

movbx,02（X）

movex,0001

movdx,0080

int13

movax,0301

movbx,0200

movex,0002

movdx,0080

int13

int3

-g=100

4.編寫程序，采用該程序修復(fù)被COM_V.COM感染的host_。

5.試?yán)L出感染EXE文件的示例病毒exe_v的流程圖。P181

6.編寫程序，采用該程序修復(fù)被cxc_感染的文件。

7.試?yán)L出混合型病毒Natas病毒的加密變形流程圖。P181

*8.如何清除引導(dǎo)型病毒

答：以KV3000為例，只要硬盤本身染上引導(dǎo)區(qū)病毒，那么用硬盤本身啟動(dòng)必定是系統(tǒng)

本身就帶毒，因此調(diào)用KVW3000殺毒時(shí)不能完全清除，關(guān)鍵就是系統(tǒng)本身帶病。可以

使用潔凈的軟盤啟動(dòng)電腦進(jìn)入系統(tǒng)DOSo清除引導(dǎo)區(qū)病毒KV3000有一個(gè)命令

KV3000/K。在執(zhí)行KV3000/K時(shí)可用KV3000/B備份一個(gè)硬盤主引導(dǎo)信息，若不

KV3000/B那么執(zhí)行KV3000/K時(shí)也會(huì)讓你備份一主引導(dǎo)信息即HDPT.VIR的文件。同

樣軟盤上的引導(dǎo)區(qū)病毒也用KV3000/K。

東9.試述文件型病毒的基本原理。P168

答：無(wú)論是.COM文件還是.EXE文件，還是操作系統(tǒng)的可執(zhí)行文件（包

括.SYS、QVL、.PRG、.DLL文件），當(dāng)啟動(dòng)已感染文件型病毒的程序（HOST程序）時(shí)，

臨時(shí)中斷該程序，病為完成陷阱（激活條件）的布置、感染工作后，再連續(xù)執(zhí)行HOST程

序，使計(jì)算機(jī)使用者初期覺得可正常執(zhí)行，而實(shí)際上，在執(zhí)行期間，病毒已暗做傳染的

工作，時(shí)機(jī)成熟時(shí)，病毒發(fā)作。

第5章Windows病毒分析

1.PE病毒的感染過(guò)程是怎樣的？如何推斷?個(gè)文件是否感染了PE病毒（如Immunity）?針

對(duì)你的推斷依據(jù)，采納何種手段可以更好地隱蔽PE病毒？編程修復(fù)被Immunity感染的

host_pe.exe文件。

PE病毒的感染過(guò)程

1.推斷目標(biāo)文件開頭的兩個(gè)字節(jié)是否為“MZ、

2.推斷PE文件標(biāo)記“PE"。

3.推斷感染標(biāo)記，假如已被感染過(guò)則跳出連續(xù)執(zhí)行HOST程序，否則連續(xù)。

4.獲得Directory（數(shù)據(jù)名目）的個(gè)數(shù)，（每個(gè)數(shù)據(jù)名目信息占8個(gè)字節(jié)）。

5.得到節(jié)表起始位置。（Directory的偏移地址+數(shù)據(jù)名目占用的字節(jié)數(shù)=節(jié)表起始位置）

6.得到目前最終節(jié)表的末尾偏移（緊接其后用于寫入一個(gè)新的病毒節(jié)）

節(jié)表起始位置+節(jié)的個(gè)數(shù)*（每個(gè)節(jié)表占用的字節(jié)數(shù)28H）=目前最終節(jié)表的末尾偏移。

7.開頭寫入節(jié)表

2.查閱MSDN或其他資料，熟識(shí)本章所涉及的API函數(shù)的用法。

3.簡(jiǎn)要描述CIH病毒的觸發(fā)機(jī)制、感染機(jī)制。如何讓系統(tǒng)對(duì)CIH病毒具有免疫力量？

觸發(fā)機(jī)制：

?CIH病毒的駐留（初始化）

??當(dāng)運(yùn)行感染了CIH病毒的PE文件時(shí)，由于該病毒修改了該程序的入口地址，從而首先

調(diào)入內(nèi)存執(zhí)行，其駐留主要過(guò)程：

?①用SIDT指令取得IDTbaseaddress（中斷描述符表基地址）,然后把IDT的INT

3H的入口地址改為指向CIH自己的INT3H程序入口部分；

?②執(zhí)行INT3H指令，進(jìn)入CIH自身的INT3H入口程序，這樣，CIH病毒就可

以獲得Windows最高級(jí)別的權(quán)限Ring0。病毒在這段程序中首先檢查調(diào)試寄存

器DR0的值是否為0,用以推斷從前是否有CIH病毒已經(jīng)駐留；

?③假如DR0的值不為0,則表示CIH病毒程式已駐留,病毒程序恢復(fù)原先的INT

3H入口，然后正常退出INT3H,跳到過(guò)程⑨；

④假如DR0值為0,則CIH病毒將嘗試進(jìn)行駐留：

?⑤假如內(nèi)存申請(qǐng)勝利，則從被感染文件中將原先分成多塊的病毒代碼收集起來(lái)，

并進(jìn)行組合后放到申請(qǐng)到的內(nèi)存空間中

?⑥再次調(diào)用INT3H中斷進(jìn)入CIH病毒體的INT3H入口程序，調(diào)用INT20H來(lái)

完成調(diào)用一個(gè)IFSMgr_InstallFileSystemApiHook的子程序，在Windows內(nèi)核中

文件系統(tǒng)處理函數(shù)中掛接鉤子，以截取文件調(diào)用的操作，這樣一旦系統(tǒng)消失要

求開啟文件的調(diào)用，則CIH病毒的傳染部分程序就會(huì)在第一時(shí)間截獲此文件；

?⑦將同時(shí)獵取的Windows操作系統(tǒng)默認(rèn)的IFSMgr_RingO_FileIO（核心文件輸入/

輸出）服務(wù)程序的入口地址保留在DR0寄存器中，以便于CIH病毒調(diào)用；

?⑧恢復(fù)原先的IDT中斷表中的INT3H入口，退出INT3H：

?⑨依據(jù)病毒程序內(nèi)隱蔽的原文件的正常入口地址，跳到原文件正常入口，執(zhí)行

正常程序

感染機(jī)制：

??CIH病毒的傳染部分實(shí)際上是病毒在駐留內(nèi)存過(guò)程中調(diào)用Windows內(nèi)核底層函數(shù)

IFSMgr_InstallFileSystemApiHook函數(shù)排接鉤子時(shí)指針指示的那段程序，其感染過(guò)程如

下：

2①文件的截獲。

??②EXE文件的推斷。

如何讓系統(tǒng)對(duì)CIH病毒具有免疫力量：

1、假如沒(méi)有殺病毒軟件，務(wù)必請(qǐng)修改系統(tǒng)時(shí)間，跳過(guò)每個(gè)月的

26日。

2、有些電腦系統(tǒng)主板具備BIOS寫愛護(hù)開關(guān)，但儂設(shè)置均為開，

對(duì)系統(tǒng)硬件較為熟識(shí)的用戶，可將其撥至關(guān)的位宜，這樣可以防范病

毒改寫B(tài)IOS信息。

3、配備有效的殺毒軟件，定時(shí)對(duì)系統(tǒng)進(jìn)行檢查。清除CIH病毒最

好的方法是使用DOS版殺毒軟件。瑞星殺毒軟件9.0具有定時(shí)自動(dòng)查殺

功能，可徹底查殺CIH系統(tǒng)毀滅者病毒。第一次殺毒時(shí)，請(qǐng)用瑞星殺毒

軟件9.ODOS版，清除病毒后再裝入WN95版。這是由于在WIN95/98啟

動(dòng)后，有幾個(gè)文件被系統(tǒng)使用，處于禁寫狀態(tài)。假如這些文件被感染，

將無(wú)法徹底消退病毒?

4、假如尚未得到殺病毒軟件，可采納壓縮并解壓縮文件的方式加

以檢查，但用該方法不能推斷是否;行CIHvl.4病毒。

5、由于病毒對(duì)全部硬盤數(shù)據(jù)徹底破壞，單純恢復(fù)硬盤分區(qū)表不行

能恢復(fù)文件系統(tǒng)，所以請(qǐng)務(wù)必將重要數(shù)據(jù)進(jìn)行備份。

4.腳本病毒有哪些弱點(diǎn)？如何防治和清除腳本病毒？

?VBS腳本病毒具有如下幾個(gè)特點(diǎn)：

??編寫簡(jiǎn)潔

?破壞力大

??感染力強(qiáng)

?＞傳播范圍大

??病毒源碼簡(jiǎn)潔被獵取，變種多

??哄騙性強(qiáng)

??使得病毒生產(chǎn)機(jī)實(shí)現(xiàn)起來(lái)特別簡(jiǎn)潔

?針對(duì)以上提到的VBS腳本病毒的弱點(diǎn)，可以采納如下集中防范措施：

??禁用文件系統(tǒng)對(duì)象FileSystemObject

H卸載WSH

??刪除VBS、VBE、JS、JSE文件后綴名與應(yīng)用程序的映射

??將WScript.exe更改名稱或者刪除

H自定義平安級(jí)別，把與“ActiveX控件及插件”有關(guān)的一切設(shè)為禁用

??禁止OutlookExpress的自動(dòng)收發(fā)郵件功能

??顯示擴(kuò)展名，避開病毒采用文件擴(kuò)展名作文章

?將系統(tǒng)的網(wǎng)絡(luò)連接的平安級(jí)別設(shè)置至少為“中等”

??安裝、使用殺毒軟件

5.假如腳本病毒對(duì)其代碼進(jìn)行了加密，我們能否看到其解密后的源代碼？怎樣獵取解密后

的源代碼？

vbs腳本病毒，看上去是亂碼，一點(diǎn)也看不懂，其實(shí)還是有跡可循的。其思路就是尋找"execute?'關(guān)鍵詞。

病毒最終，還是要換成機(jī)器可以看懂的內(nèi)容，也就是說(shuō)，最終一層的execute里面的內(nèi)容，就是病毒的源

代碼。依據(jù)這個(gè)思路，那么可以知道，解密方法也肯定就在這個(gè)execute里面。

也就是說(shuō)：無(wú)需明白他是如何加密的，只需要知道，execute出來(lái)的是什么。

依據(jù)這個(gè)思路，可以得到程序的最終一次迭代加密過(guò)程前的代碼，也就是第一次迭代解密的代碼，看上去

還是亂碼，不過(guò)還是同樣的道理，總可以找到execute這個(gè)關(guān)鍵詞。病毒可能經(jīng)過(guò)多次迭代，不過(guò)最終還

是可以看懂的。

需要留意的是，execute后面的內(nèi)容解巒出來(lái)假如真的用execute執(zhí)行了，那就中招了，所以這里要留意

不能把execute也放進(jìn)去一起執(zhí)行。

6.愛蟲病毒對(duì)系統(tǒng)有哪些危害？編制-■個(gè)愛蟲病毒的解毒程序。

新"愛蟲”(Vbs.Ncwlove)病毒，同受蟲(Vbs.lovclclicr)病毒一樣，也通過(guò)oullook傳播，會(huì)向地址

簿中全部的聯(lián)系人發(fā)送病毒郵件。假如打開病毒郵件的附件，還會(huì)造成更嚴(yán)峻的后果。您會(huì)觀看

到計(jì)算機(jī)的硬盤燈狂閃，系統(tǒng)速度顯著變慢，計(jì)算機(jī)中消失大量的擴(kuò)展名為vbs的文件。全部快

捷方式被轉(zhuǎn)變?yōu)榕c系統(tǒng)名目下wscript.exe建立關(guān)聯(lián)，意味著啟動(dòng)全部的文件wscript.exe都會(huì)首先

運(yùn)行，會(huì)進(jìn)一步消耗系統(tǒng)資源，造成系統(tǒng)崩潰。清除病毒后還需要手工恢復(fù)文件關(guān)聯(lián)，一般用戶

很難操作。

7.宏病毒采納哪些傳播方式？如何防治和清除宏病毒？

?宏病毒的傳播方式

??在Word或其他Office程序中，宏分成兩種

?在某個(gè)文檔中包含的內(nèi)嵌宏，如FileOpen宏

?屬于Word應(yīng)用程序，全部打開的文檔公用的宏，如AutoOpen宏

??Word宏病毒一般都苜先隱蔽在一個(gè)指定的Word文檔中，一旦打開了這個(gè)Word文檔,

宏病毒就被執(zhí)行，宏病毒要做的第一件事情就是將自己拷貝到全局宏的區(qū)域，使得全部

打開的文檔都可使用這個(gè)宏

??當(dāng)Word退出的時(shí)候，全局宏將被存儲(chǔ)在某個(gè)全局的模板文檔(.dot文件)中，這個(gè)文件的

名字通常是“nornial.dot"，即normal模板

?假如全局宏模板被感染，則Word再啟動(dòng)的時(shí)候?qū)⒆詣?dòng)載入宏病毒并且自動(dòng)執(zhí)行

?宏病毒的防備

??禁止運(yùn)行擔(dān)心全的宏

??Word被宏病毒感染之后(實(shí)際上是Word使用的模板文檔被感染)，可以將其恢復(fù)正常

?退出Word,然后先到C盤根名目下查看是否存在Autoexec.dot文件，假如存

在，而你又不知道它是什么時(shí)侯消失的，刪除之

?找到Normal.dot文件，用從前的潔凈備份替換之或干脆刪除之

?查看NormaLdot所在名目是否還存在其他模板文件，假如存在且不是你自己拷

貝進(jìn)去的，刪除之

?重新啟動(dòng)Word,已經(jīng)恢復(fù)正常

8.如何查看宏病毒的源代碼？假如代碼被加密呢？

為了了解宏病毒，就必需讀它的原代碼，可是有時(shí)候宏是加密的，(Execute-only

Macro),

1o重命名Normal.dot：起動(dòng)word。

//防止word啟動(dòng)時(shí)就帶上了宏病毒

2。新建一個(gè)宏，特地用于讀帶毒文件中的宏代碼(只是原理)

SubMain

DisableAutoMacros〃很關(guān)鍵，防止引入宏病毒

DimDAsFileOpen

GetCurValueD

DiologD

FileOpenD〃這一段用于打開帶毒文件

MacroCopyD.Name+":"+"CAP","sourceCAP'^O

MacroCopyD.Name+":"+"AutoOpen","notAuotOpen",0

〃以CAP宏病毒為例，將宏代碼拷貝到normal.dot

〃其中參數(shù)0表示可編輯，非。表示加密

FileClose2

SubEnd

3。運(yùn)行上面的宏，將宏代碼拷貝到normal.dot

〃留意要轉(zhuǎn)變宏的名字

40閱讀宏代碼

5?關(guān)閉word,恢復(fù)原來(lái)的normal.dot

9.在MSDN中查閱有關(guān)FileSystemObject的信息，了解其各種方法及屬性。

FileSystemObject

DriveExists(divespec)

GetDrive(divespec)

GetDriveName(divespec)

BuildPath{path,name)向現(xiàn)有路徑后添加名稱

CopyFilesource,destination!,overwrite］將一個(gè)或多個(gè)文件從某位置自制到另一位置

CopyFoldersource,destination［,overv/rite］將文件夾從某位置遞歸復(fù)制到另一位置

CreateFolder(foldername)創(chuàng)建文件夾

OpenTextFile(filename(,iomode[.createf.format]]])打開指定的文件并返回一個(gè)Textstream對(duì)象，可以

讀取、寫入此對(duì)象或?qū)⑵渥芳拥轿募?/p>

CreateTextFile創(chuàng)建指定文件并返回Textstream對(duì)象，該對(duì)象可用于讀或定倉(cāng)J建的文件

DeleteFilefilespec[,force]刪除指定的文件

DeleteFolde刪除指定的文件夾

FileExists(filespec)假如指定的文件存在返回True,否則返回False

FolderExits(folderspec)假如指定的文件夾存在返回True,否則返回False

GetAbsolutePathName(pathspec)從供應(yīng)的指定路徑中返回完整含義明確的路徑

GetBaseName(path)返回字符串，包含文件的基本名，或者路徑說(shuō)明的文件夾

GetExtensionName(path)返回字符串，包含路徑最終?個(gè)組成部分的擴(kuò)展名

GetFile(filespec)返回與指定路徑中某文件相應(yīng)的File對(duì)象

GetFolder(folderspec)返同與指定的路徑中某文件夾相應(yīng)的Folder對(duì)象

GetFileName(pathspec)返回指定路徑(不是指定路徑驅(qū)動(dòng)器路徑部分)的最終一個(gè)文件或文件夾

GetTempName返回隨機(jī)生成的臨時(shí)文件或文件夾的名稱，用于執(zhí)行要求臨時(shí)文件夾或文件的操

GetSpecialFolder(folderspec)返回指定的特殊文件夾

GetParentFolderName返回指定的路徑中最終一個(gè)文件或才文件夾的父文件夾

MoveFilesource,destination將一個(gè)或多個(gè)文件從某位置移動(dòng)到另一位置

Drives集合只讀全部可用驅(qū)動(dòng)器的集合

filesystemobject.Drives

Folders集合包含在一個(gè)Folder對(duì)象的全部Folder對(duì)象集合

filesystemobject.SubFolders

Files集合文件夾中全部File對(duì)象的集合

filesystemobject.Files

Drive

AvailableSpace可用空間的大小

Driveletter返回驅(qū)動(dòng)器號(hào)

DriveType描述驅(qū)動(dòng)器類型的值

FileSystem文件系統(tǒng)的類型

FreeSpace對(duì)用戶的可用空間大小

IdReady指定的驅(qū)動(dòng)器就緒與否，返回True/False

Path返回指定文件、文件夾或驅(qū)動(dòng)器的路徑

RootFolder返回一個(gè)Folder對(duì)象，表示指定驅(qū)動(dòng)器的根文件夾.

SerialNumber返回十進(jìn)制序列號(hào)，用于唯一標(biāo)識(shí)一個(gè)磁盤卷

TotalSize返回驅(qū)動(dòng)器或網(wǎng)絡(luò)共享的總字節(jié)數(shù)

VolumeName設(shè)置或返回指定驅(qū)動(dòng)器的卷標(biāo)（盤符說(shuō)明）

ShareName返回指定的驅(qū)動(dòng)器的網(wǎng)絡(luò)共享名

Folder（File）

Attributes設(shè)置或返回文件或文件夾的屬性

DateCreated返回指定的文件或文件夾的創(chuàng)建H期和時(shí)間。只讀

DateLastAccessed返回指定的文件或文件夾的上次訪問(wèn)日期（和時(shí)間）。只讀

DateLastModified返回指定的文件或文件夾的上次修改日期和時(shí)間。只讀

Drive返回指定的文件夾或文件夾所在的驅(qū)動(dòng)器的驅(qū)動(dòng)器號(hào)。只讀

Files返回指定文件夾中全部File對(duì)象（系統(tǒng)或隱蔽）組成的Files集合

IsRootFolder假如指定的文件夾是根文件夾，返回True;否則返回False

Name設(shè)置或返回指定的文件或文件夾的名稱?？勺x寫

ParentFolder返回指定文件或文件夾的父文件夾。只讀

ShortName返回依據(jù)早期8.3文件命名商定轉(zhuǎn)換的短文件名

ShortPath返回依據(jù)早期8.3命名商定轉(zhuǎn)換的短路徑名

Size對(duì)于文件返回指定文件的字節(jié)數(shù)；對(duì)于文件夾，返回文件夾全部的文件夾和子文件夾的字節(jié)數(shù)

SubFolders返何由指定文件夾中全部子文件夾組成的Folders集合

Type返回文件或文件夾的類型信息。

Path返回指定文件、文件夾或驅(qū)動(dòng)器的路徑

10.查閱相關(guān)資料，了解Windows各版本設(shè)施驅(qū)動(dòng)程序的編寫方法

?WSH中，Windows和DOS下的文件名分別是什么？如何禁止文件系統(tǒng)對(duì)象。

文件名為WScript.exe（若是在DOS命令提示符下，則為CScript.exe,命令格式:CScript

FileName.vbs）

用regsvr32scrrun.dll/u禁止了文件系統(tǒng)對(duì)象，在執(zhí)行包含腳本的則提示失敗

?用VBScript腳本編寫解除注冊(cè)表和任務(wù)管理器禁用的腳本文件。試寫出其相應(yīng)的REG、

BAT、INF文件。

Reg：那就通過(guò)批處理或vbs腳本，或組策略或者特地的軟件來(lái)解決！

發(fā)一個(gè)vbs腳原來(lái)處理這個(gè)問(wèn)題吧，你可以參考一下：

Dimunlock

Setunlock=WscrTpt.CreateObject（"Wscript.Shell"）

unlock.Popup"你的注冊(cè)表已勝利解除，感謝使用！"

unlock.RegWrite

"HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools",0,"REG_D

WORD"

將以上內(nèi)容用記事本另存為.vbs文件，雙擊即可！

Dimunlock

Setunlock=WscrTpt.CreateObject（"WscrTpt.Shell"）

unlock.Popup"你的任務(wù)管理器已經(jīng)可以使用！"

unlock.RegWrite"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\syste

m\DisableTaskMgr",0,"REG_DWORD,

將以上內(nèi)容用記事本另存為.vbs文件，雙擊即可

Bat：

可以在桌面建立個(gè)"新文本文件.1X1”,把下面的代碼復(fù)制到"新文本文件.1X1",保存,然后把"新文本文件.1X1”改

名為”新文本文件.bat”,雙擊"新文本文件.bat”便可以了

regdelete"HKLM\SOFTWARE\Mi3rosoft\WindowsNT\CurrentVersion\ImageFileExecution0

ptions\taskmgr.exe"/f

?echooff

titleregedit

:start

colorfl

modecon:cols=30lines=18

echo請(qǐng)選擇

echo11.鎖定注冊(cè)衣」

echo12.解鎖注冊(cè)表」

echo『3.退出』

set/pa=請(qǐng)選擇輸入（1,2,3）回車：

if/i飛a%"=Tgoto1

if/i*%a%*=*2*goto2

if/i飛a%"=="3"goto3

:1

@regadd*HKEYCURRENTUSER\Software\Microsoft\Windows\CurrentVersion\Po1icies\System*/v

DisableRegistryTools/treg_dword/d00000001/f

cis

set/pa==start

if%a%==lcall:Menu&gotostart

echoERRORINPUT

pause

goto:start

exit

:2

@rcgadd*HKEY_CURRENT_USER\Softwarc\Microsoft\Windows\CurrontVersion\Polieies\Sys/v

DisableRegistryTools/treg_dword/d00000000/f

startregedit

cis

goto:start

:3

exit

INF:

將號(hào)以內(nèi)的代碼復(fù)制到記事本，保存為TaskMgjUnlock.inf,然后點(diǎn)擊右鍵選安裝即可。

[Version]

Signature="$CHICAGO$,'[DefaultInstall]

AddReg=1_AddReg[1_AddRegJ

hkcu,"Software\Microsoft\Windows\CurrentVersion\PoIicies\System"."DisableTaskMgr",0x00010

001,0

恢復(fù)被禁用的注冊(cè)表編輯器

將“=”號(hào)以內(nèi)的代碼復(fù)制到記事本，保存為Reg_Unlock.inf,然后點(diǎn)擊右鍵選安裝即可。

(Version]

Signature=',$CHICAGO$"[DefaultInstall]

AddRcg=l_AddRcg[l_AddRcg]

hkcu,"Software\Microsoft\Windows\CuirentVersion\Policies\System","DisableRegistryTools",OxO

0010001,0

?預(yù)防惡意網(wǎng)站可實(shí)行哪些措施？

1、禁止修改注朋表。

2、準(zhǔn)時(shí)打系統(tǒng)補(bǔ)丁，尤其是準(zhǔn)時(shí)把IE升級(jí)到最新版本，可以在很大程度上避開IE漏洞帶來(lái)的平安隱患。

3、用360掃瞄器或Firefox掃瞄網(wǎng)頁(yè)。

4,下載安裝微軟最新的MicrosoftWindowsScript,可以很大程度上預(yù)防惡意修改。

5、相當(dāng)多的惡意網(wǎng)頁(yè)是含有有害代碼的AcliveX網(wǎng)頁(yè)文件，因此在IE設(shè)置中將ActiveX插件和控件、Java

腳本等禁止，或者把WSH(WindowsScriptingHost)刪除就在很大程度上避開中標(biāo)。

1)禁止腳本運(yùn)行

2)刪除WSH

6、安裝殺毒軟件并打開網(wǎng)頁(yè)監(jiān)控、文件監(jiān)控和內(nèi)存監(jiān)控。

7、把fdisk.exe、deltree.exe、等危急的命令文件改名，以免被惡意代碼采用，造成不必要的損失。

8、不要輕易訪問(wèn)掃瞄一些自己不了解的站點(diǎn)，特殊是那些看上去漂亮迷人的網(wǎng)址，否則吃虧的往往是我們。

9、為WINDOWS系統(tǒng)文件夾里的HOSTS文件設(shè)置只讀屬性。

10、禁止訪問(wèn)已知的惡意網(wǎng)頁(yè)/站點(diǎn)。

?如何手工修好IE?需要用到哪些幫助工具？需要留意哪些問(wèn)題？

如何手工修復(fù)IE?

1、IE默認(rèn)連接首頁(yè)被修改

IE掃瞄器上方的標(biāo)題欄被改成“歡迎訪問(wèn)******網(wǎng)站''的樣式，這是最常見的篡改手段，受

害者眾多。

受到更改的注冊(cè)表項(xiàng)目為：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Main\StartPage

HKEY_CURRENT_USER'Software\Microsoft\IntcmetExplorcr\Main\StartPage

通過(guò)修改“StartPage”的鍵值，來(lái)達(dá)到修改掃瞄者IE默認(rèn)連接首頁(yè)的目的，如掃瞄

******''就會(huì)將你的IE默認(rèn)連接首頁(yè)修改為http://ppw.****.com"，即便是出于給自己的主

頁(yè)做廣告的目的，也顯得太霸道了一些，這也是這類網(wǎng)頁(yè)惹人厭惡的緣由。

解決方法：

A.注冊(cè)表法

①在Windows啟動(dòng)后，點(diǎn)擊“開頭"運(yùn)行”菜單項(xiàng)，在“打開”欄中鍵入regedil,然后

按“確定”鍵：

②綻開注冊(cè)表到

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Main下，在右半部

分窗口中找到串值“StartPage”雙擊，將StartPage的健值改為“about:blank”即可；

③同理，綻開注冊(cè)表到HKEY_CURRENT_USER\Software\Microsoft\Intemet

Explorer\Main

在右半部分窗口中找到串道“SlartPage”，然后按②中所述方法處理。

④退出注冊(cè)表編輯器，重新啟動(dòng)計(jì)算機(jī)，一切OK了！

特殊例子：當(dāng)正的起始頁(yè)變成了某些網(wǎng)址后，就算你通過(guò)選項(xiàng)設(shè)置修改好了，重啟以后又

會(huì)變成他們的網(wǎng)址啦，特別的難纏。其實(shí)他們是在你機(jī)器里加了一個(gè)自運(yùn)行程序，它會(huì)在

系統(tǒng)啟動(dòng)時(shí)將你的IE起始頁(yè)設(shè)成他們的網(wǎng)站。

解決方法：

運(yùn)行注期表編輯器regeditexe,然后依次綻開

HKEY_LOCAL_MACHINE\Softwaie\Microsoft\Windows\CurrentVersion\Run主鍵，然后

將其下的registry.exe子鍵刪除，然后刪除自運(yùn)行程序c:\ProgramFiles\registry.exe,最終從

IE選項(xiàng)中重新設(shè)置起始頁(yè)就好了。

2、篡改IE的默認(rèn)頁(yè)

有些IE被改了起始頁(yè)后，即使設(shè)置了“使用默認(rèn)頁(yè)”仍舊無(wú)效，這是由于IE起始頁(yè)的默

認(rèn)頁(yè)也被篡改啦。具體說(shuō)來(lái)就是以下注冊(cè)表項(xiàng)被修改：

HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\

Main\Default_PagjURL“Default_Pagc_URL”這個(gè)子鍵的鍵值即起始頁(yè)的默認(rèn)頁(yè)。

解決方法：

A.運(yùn)行注冊(cè)表編輯器，然后綻開上述子鍵，將“Degult_Page_UR”子鍵的鍵值中的那

些篡改網(wǎng)站的網(wǎng)址改掉就好了，或者設(shè)置為正的默認(rèn)值。

B.msconfig有的還是將程序?qū)懭胗脖P中，重啟計(jì)算機(jī)后首頁(yè)設(shè)置又被改了回去，這時(shí)

可使用“系統(tǒng)配置有用程序”來(lái)解決。開頭-運(yùn)行，鍵入msconfig點(diǎn)擊“確定”，在彈出的窗口

中切換到“啟動(dòng)”選項(xiàng)卡，禁用可疑程序啟動(dòng)項(xiàng)。

3、修改IE掃瞄器缺省主頁(yè)，并且鎖定設(shè)置項(xiàng)，禁止用戶更改回來(lái)。

主要是修改了注冊(cè)表中IE設(shè)置的下面這些鍵值（DWORD值為1時(shí)為不行選）：

[HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorerXControl

Panel]"Settings"=dword:1

[HKEY_CURRENT_USER\Soflware\Policies\Microsoft\IntemetExplorerXControl

Panel]"Links"=dword:1

[HKEY_CURRENT_USER\Software\PoIicies\Microsoft\InternetExplorerXControlPan

eI]"SecAddSites"=dword:1

解決方法：

將上面這些DWORD值改為“0”即可恢復(fù)功能。

需要用到哪些幫助工具？

可選用360平安衛(wèi)士、IE修復(fù)工具、黃山IE修復(fù)專家

需要留意哪些問(wèn)題

a.當(dāng)IE的起始頁(yè)變成了某些網(wǎng)址后，就算你通過(guò)選項(xiàng)設(shè)置修改好了，重啟以后又會(huì)變成他們的

網(wǎng)址啦，特別的難纏。其實(shí)他們是在你機(jī)器里加了一個(gè)自運(yùn)行程序，它會(huì)在系統(tǒng)啟動(dòng)時(shí)將你的

IE起始頁(yè)設(shè)成他們的網(wǎng)站。

b.重啟計(jì)算機(jī)后首頁(yè)設(shè)置乂被改了回去

?簡(jiǎn)述PE病毒的基本原理。

1.病毒的重定位

2.獵取API函數(shù)地址

3.搜尋文件

4.內(nèi)存映射文件

5.病毒感染其他文件

6.病毒返回到Host程序

?PE病毒修改PE文件有哪幾種方法，寫出實(shí)現(xiàn)要點(diǎn)。

1插入節(jié)方式修改PE（尾部）

2加長(zhǎng)某一節(jié)修改PE

第6章網(wǎng)絡(luò)蠕蟲及防治

*1.試述蠕蟲與病毒的差別和聯(lián)系。

病毒蠕蟲

存在形式