计算机病毒防治后答案参考.docVIP

第二章 一、填空： UltraEdit可以实现文字、Hex、ASCII的编辑； Doc文件的文件头信息是D0CF11E0,PowerPoint文件的文件头信息是D0CF11E0,Excel文件的文件头信息是D0CF11E0； 单一影子模式仅为操作系统所在分区创建影像； 影子系统分为单一影子模式和完全影子模式； 对注册表修改前后进行对比可使用RegSnap工具软件； 第三章 典型计算机病毒剖析 填空 注册表一般Default、SAM、Security、Software、System5个文件组成。 注册表结构一般键、子键、分支、值项、默认值5个大类组成。 是否允许修改IE的主页设置的注册表表项是HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel。 注册表中IE的主页设置项是“Home Page”=dword 打开注册表编辑器的命令是regedit。 6、网页脚本病毒的特点有病毒变种多、破坏力较大、感染能力强。 7、Word的模版文件是Normal.dot 。 8、Office中宏使用的编程语言是VBA（Visual Basic for Application)。 9、宏可保存在当前作表它们利用Windows系统的开放性特点，通过调用一些现成的Windows对象、组件，可以直接对文件系统、注册表等进行控制先运行test.exe,然后双击某个thm文件时,不在新调起的test.exe中打开,而是用先前运行的test.exe打开它.这样就象winamp,netant那样只保持一个实例运行.目前我做到了以下的程度,双击打开thm引起了新的test.exe实例.在新实例中判断出如果已经有一个老实例在运行了,我就得到老实例的主窗口handle,我想通过这个handle把新打开的thm文件的路径传给老实例让它负责打开,然后关闭新实例.但是我不知道该怎么样通过一个窗口handle传递这个路径并引发打开文件的动作.PostMessage?ShellExecute?DDE? 简述宏病毒的特点。 答：宏病毒传播极快，其制作原理简单，变种方便破坏力极强，多平台交叉感染。 简述宏病毒的检测方法。 答：检测方法有：通过模板中是否出现宏，无故出现存盘操作，ｗｏｒｄ功能混乱，无法使用，ｗｏｒｄ菜单命令消失，ｗｏｒｄ文档内容发生了改变，当用户尝试保存文档时，只允许文档保存为文档模板的格式，文档图标的外形类是模板而非文档图标。 简述宏病毒的清除方法。 答：有六种方法来删除宏病毒。通过删除宏命令的形式删除宏病毒。通过复制粘贴方式清除宏病毒。通过删除Ｎｏｒｍａｌ．Ｄｏｔ来除掉宏病毒。通过格式转换清除ｗｏｒｄ宏病毒。通过高版本的ｗｏｒｄ来发现宏病毒。为防万一，在打开怀疑感染了宏病毒的文档是按住，＜ｓｈｉｆ＞键，这样可以避免宏自动运行，如果有宏病毒，这不会加载宏。 简述蠕虫病毒与传统病毒的区别。 答：蠕虫与病毒的最大不同在于它不需要人为干预，且能够自主不断地复制和传播。蠕虫程序的工作流程可以分为漏洞扫描、攻击、传染、现场处理四个阶段。蠕虫程序扫描到有漏洞的计算机系统后，将蠕虫主体迁移到目标主机。然后，蠕虫程序进入被感染的系统，对目标主机进行现场处理。现场处理部分的工作包括：隐藏、信息搜集等。不同的蠕虫采取的IP生成策略可能并不相同，甚至随机生成。各个步骤的繁简程度也不同，有的十分复杂，有的则非常简单按Ctrl+Alt+Delete调出任务管理器，在进程页面中结束掉所有名称为病毒的进程（建议在后面的操作中反复此操作，以确保病毒文件不会反复发作）。 3、在开始－－运行中输入“regedit”（XP系统）打开注册表，点“编辑”——“查找”，在弹出的对话框中输入病毒文件名，找到后全删。 4、在我的电脑－工具－文件夹选项－查看－显示所有文件和文件夹，把“隐藏受保护的系统文件”的勾去掉，你会看到出现了你所说的文件名的文件，直接删除 木马程序危害在于多数有恶意企图，例如占用系统资源，降低电脑效能，危害本机信息安全（盗取QQ帐号、游戏帐号甚至银行帐号），将本机作为工具来攻击其他设备等。 木马同病毒不是很一样 病毒主要以破坏数据，破坏软硬件为目的 木马则主要以偷窃数据，篡改数据为目的 中木马后有可能对丢失上网帐号，各种口令和用户名，远程控制你的电脑，远程控制开启你机器的外围设备 简述木马的工作原理。 答：“木马”程序是目前比较流行的病毒文件，与一般的病毒不同，它不会自我繁殖，也并不“刻意”地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种者电脑的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种者的电脑。