注：12.19更新第三章第2題、第5題的感染機制答案

《計算機病毒》復習思索題

第一章計算機病毒概述

I.簡述計算機病毒的定義和特征C

計算機病毒（CompulerVirus）,是一種人為制造的、能夠進行自我復制的、具有對計算機資

源進行破壞作用的一組程序或指令集合。

計算機病毒的可執行性（程序性）、傳染性、非授權性、隱蔽性、埋伏性、可觸發性、破壞性、

攻擊的主動性、針對性、衍生性、寄生性（依附性）、不行預見性、誘惑哄騙性、長久性。

2.計算機病毒有哪些分類方法？依據每種分類方法，試舉出一到兩個病毒。

3.為什么同一個病毒會有多個不同的名稱？如何通過病毒的名稱識別病毒的類型？

國際上對病毒命名的一般慣例為“前綴+病毒名+后綴”，即三元組命名規章。

1、系統病毒

系統病毒的前綴為：Win32、PE、Win95、W32、W95等。

2、蠕蟲病毒

蠕蟲病毒的前綴是：Wormo

3、木馬病毒、黑客病毒

木馬病毒其前綴是：Trojan,黑客病毒前綴名一般為Hack。

4、腳本病毒

腳本病毒的前綴是：Scripto

5、宏病毒

其實宏病毒是也是腳本病毒的一種，由于它的特殊性，因此在這里單獨算成一類。宏病毒的

前綴是：Macroo

后門病毒

后門病毒的前綴是：Backdooro

7、病毒種植程序病毒

后門病毒的前綴是：Droppero這類病毒的公有特性是運行時會從體內釋放出一個或幾個新

的病毒到系統名目下，由釋放出來的新病毒產生破壞。

8.破壞性程序病毒

破壞性程序病毒的前綴是：Harm。這類病毒的公有特性是本身具有好看的圖標來誘惑用戶

點擊，當用戶點擊這類病毒時，病毒便會直接對用戶計算機產生破壞。

9.玩笑病毒

玩笑病毒的前綴是：Joke。

10.捆綁機病毒

捆綁機病毒的前綴是：Binder.

4.簡述計算機病毒產生的背景。

5.計算機病毒有哪些傳播途徑？

傳播途徑有兩種，一種是通過網絡傳播，一種是通過硬件設施傳播（軟盤、U盤、光盤、硬

盤、存儲卡等）。

網絡傳播，又分為因特網傳播和局域網傳播兩種。

硬件設施傳播：通過不行移動的計算機硬件設施傳播、通過移動存儲設施傳播、通過無線設

施傳播。

6.試比較與計算機病毒癥狀相像的軟件故障。

7.試比較與計算機病毒癥狀相像的硬件故障。

8.計算機病毒為什么是可以防治、可以清除的？

9.分析“新歡快時間”病毒的源代碼及其特性，結合三元組中病毒名命名優先級，分析各殺

毒軟件商對該病毒存在不同命名的緣由。

?查找相關資料，試述計算機病毒進展趨勢與特點。

?基于Windows的計算機病毒越來越多

?計算機病毒向多元化進展

?新計算機病毒種類不斷涌現，數量急劇增加

?計算機病毒傳播方式多樣化，傳播速度更快

?計算機病毒造成的破壞日益嚴峻

?病毒技術與黑客技術日益融合

?更多依靠網絡、系統漏洞傳播，攻擊方式多種多樣

?討論計算機病毒有哪些基本原則？搭建病毒分析的環境有哪些方法？

回答■：“八字原則”——自尊自愛、自強自律

自尊

敬重自己的人格，不做違法、違紀的事

自愛

疼惜自己的“學問儲備”，不任憑“發揮自己的聰慧才智”，自己對自己負責

自強

刻苦鉆研，努力提高防毒、殺毒水平

自律

嚴以律己、寬以待人，不以任何理由為借口而“放毒”

回答二：可在虛擬環境下進行，比如在VirtualBox、VMware環境下安裝操作系統作為

測試討論病毒的環境。

可使用影子系統，在全模式下進行試驗。

可在使用硬盤愛護卡的環境下進行試驗。

可以使用RAMOS(內存操作系統)作為測試討論病毒的環境。

第2章預備學問

1.硬盤主引導扇區由哪幾部分構成？一個硬盤最多可分幾個主分區？為什么？

Fdisk/mbr命令是否會重寫整個主引導扇區？

主引導扇區(BootSector)由主引導紀錄(MasterBootRecord,MBR)、主分區表即磁盤分

區表(DiskPartitionTable,DPT)^引導扇區標記(BootRecordID/Signature)三部分組成。

一個硬盤最多可分為4個主分區，由于主分區表占用64個字節，紀錄了磁盤的基本分

區信息，其被分為4個分區選項，每項16個字節，分別紀錄了每個主分區的信息。

2.低級格式化、高級格式化的功能與作用是什么？高級格式化(FORMAT)能否清除任

何計算機病毒？為什么？

回答一：低級格式化的主要目的是將盤面劃分成磁道、扇區和柱面。

高級格式化的目的是在分區內建立分區引導紀錄DBR(DOSBootRecord)、文件安排表

FAT(FileAllocationTable)>文件名目表FDT(FileDirectoryTable)和數據區DATA。

回答二：假如主引導區感染了病毒，用格式化程序FORMAT不能清除該病毒(BR病毒

可以用FORMAT清除)。

3.DOS下的EXE文件病毒是如何獵取掌握權的？感染EXE文件，需對宿主作哪些修

改？

一般來說,病毒往往先于HOST程序獲得掌握權。運行Win32病毒的一般流程示意如下：

①用戶點擊或系統自動運行HOST程序；

②裝載HOST程序到內存；

③通過PE文件中的AddressOfEntryPoint加ImageBase之和，定位第一條語句的位置(程

序入口)；

④從第一條語句開頭執行(這時執行的其實是病毒代碼)；

⑤病毒主體代碼執行完畢，將掌握權交給HOST程序原來的入口代碼；

?HOST程序連續執行。

4.針對PE文件格式，請思索：Win32病毒感染PE文件，須對該文件作哪些修改？

5.簡介有哪些常用的磁盤編輯軟件、分區軟件。

FDISK、DiskGenius、PartitionMagic>AcronisDiskDirector

6.簡述WindowsXP的啟動過程。

在基于Intel的計算機上，Windows2000/XP的啟動過程大致可分為8個步驟：

1.預啟動

計算機加電自檢，讀取硬盤的MBR、執行NTLDR(操作系統加載器)文件

2.進行初始化

NTLDR將處理器從實模式轉換為32位愛護模式

3.讀取BOOT.INI文件

BOOT.INI文件其作用是使系統在啟動過程中消失選擇菜單，由用戶選擇盼望啟動的操

作系統，若只有一個操作系統則不顯示

4.加載NTDETECT.COM文件

由NTDETECT.COM來檢測計算機硬件，如并行端口、顯示適配器等，并將收集到的硬

件列表返回NTLDR用于以后在注冊表中注冊保存

5.選擇硬件配置文件

假如Windows2000/XP有多個硬件配置文件，此時會消失選擇菜單，等待用戶確定要使

用的硬件配置文件，否則直接跳過此步，啟用默認配置

6.裝載內核

引導過程裝載Windows2000/XP內核NtOsKrnl.EXE。隨后，硬件油象層(HAL)被引導進

程加載，完成本步驟

7.初始化內核

內核完成初始化，NTLDR將掌握權轉交Windows2000/XP內核，后者開頭裝載并初始

化設施驅動程序，并啟動Win32子系統和Windows2000/XP服務

8.用戶登錄

由Win32子系統啟動WinLogon.EXE,并由它啟動LocalSecurityAuthority(LSASS.EXE)

顯示登錄對話框。用戶登錄后，Windows2000/XP會連續配置網絡設施、用戶環境，并

進行共性化設置。最終，伴隨著微軟之聲和我們熟識的共性化桌面，Windows2000/XP

啟動過程完成

7、簡述Windows7的啟動過程。

1、開啟電源

計算機系統將進行加電自檢(POST)。假如通過，之后BIOS會讀取主引導紀錄(MBR)一

一被標記為啟動設施的硬盤的首扇區，并傳送被Windows7建立的掌握編碼給MBR。

這時，Windows接管啟動過程。接下來：

MBR讀取引導扇區-活動分區的第一扇區。此扇區包含用以啟動Windows啟動管理器

(WindowsBootManager)程序Bootmgrexe的代碼。

2^啟動菜單生成

Windows啟動管理器讀取“啟動配置數據存儲(BootConfigurationDatastore)中的信息。

此信息包含已被安裝在計算機上的全部操作系統的配置信息。并且用以生成啟動菜單。

3、當您在啟動菜單中選擇下列動作時：

<1>假如您選擇的是Windows7(或WindowsVista),Windows啟動管理器(Windows

BootManager)運行％SyslemRooi%\System32文件夾中的OSloaderWinload.exe。

<2>假如您選擇的是自休眠狀態恢復Windows7或Vista,那么啟動管理器將裝載

Winresume.exe并恢復您從前的使用環境。

<3>假如您在啟動菜單中選擇的是早期的Windows版本，啟動管理器將定位系統安裝

所在的卷，并且加載WindowsNT風格的早期OSloadei(Ntldr.exe)——生成個由

boot.ini內容打算的啟動菜單。

4、核心文件加載及登錄

Windows7啟動時，加載其核心文件Ntoskrnl.exe和hal.dll從注冊表中讀取設置并加

載驅動程序。接下來將運行Windows會話管理器(smss.exe)并且啟動Windows啟動程序

(Wininitexe),本地平安驗證(Lsass.exe)與服務(services.exe)進程，完成后，您就可以登

錄您的系統了。

5、登陸后的開機加載項目

第3章計算機病毒的規律結構與基本機制

1.計算機病毒在任何狀況下都具有感染力或破壞力嗎？為什么？

不是，由于計算機病毒在傳播過程中存在兩種狀態，即靜態和動態。

a.靜態病毒，是指存在于幫助存儲介質中的計算機病毒，一般不能執行病毒的破壞或表現功

能，其傳播只能通過文件下載(拷貝)實現。

b.病毒完成初始引導，進入內存后，便處于動態。動態病毒本身處于運行狀態，通過截流盜

用系統中斷等方式監視系統運行狀態或竊取系統掌握權。病毒的主動傳染和破壞作用，都

是動態病毒的“杰作”

c.內存中的病毒還有一種較為特殊的狀態——失活態，它的消失一般是由于用戶對病毒的干

預(用殺毒軟件或手工方法)，用戶把中斷向量表恢復成正確值，處于失活態的病毒不行能進

行傳染或破壞

綜上所述，計算機病毒只有處于動態才具有感染力或破壞力。故計算機病毒不是在任何狀

況下都具有感染力或破壞力

2.文件型病毒有哪些感染方式？

a寄生感染：文件頭部寄生文件尾部寄生插入感染逆插入感染采用空洞一一零長度感

染

b無入口點感染：采納入口點模糊(EmryPointObscuring,EPO)技術采納TSR病毒技術

c滋生感染

d鏈式感染

eOBJ、LIB和源碼的感染

3.計算機病毒的感染過程是什么？

計算機病毒感染的過程一般有三步：

(1)當宿主程序運行時，截取掌握權；

⑵查找感染的突破口；

(3)將病毒代碼放入宿主程序

4.結合病毒的不同感染方式，思索該病毒相應的引導機制。(老師給的)

(1)駐留內存

病毒若要發揮其破壞作用，一般要駐留內存。為此就必需開辟所用內存空間或掩蓋系統占

用的部分內存空間。有的病毒不駐留內存。

(2)竊取系統掌握權

在病毒程序駐留內存后，必需使有關部分取代或擴充系統的原有功能，并竊取系統的掌握

權。此后病毒程序依據其設計思想，隱蔽自己，等待時機，在條件成熟時，再進行傳染和

破壞。

(3)恢復系統功能

病毒為隱蔽自己，駐留內存后還要恢復系統，使系統不會死機，只有這樣才能等待時

機成熟后，進行感染和破壞的目的.有的病毒在加載之前進行動態反跟蹤和病毒體解密。

4.計算機病毒一般采納哪些條件作為觸發條件？

病毒采納的觸發條件主要有以下幾種：

??日期觸發

??時間觸發

?鍵盤觸發

??感染觸發

??啟動觸發

??訪問磁盤次數/調用中斷功能觸發

??CPU型號/主板型號觸發

??打開或預覽Email附件觸發

??隨機觸發

5.一個病毒，試分析其感染機制、觸發機制和破壞機制。

感染機制：

A計算機病毒實施感染的過程基本可分為兩大類

a.馬上傳染

病毒在被執行到的瞬間，搶在宿主程序開頭執行前，馬上感染磁盤上的其他程序，然后再

執行宿主程序

b.駐留內存并伺機傳染

內存中的病毒檢查當前系統環境，在執行一個程序或DIR等操作時感染磁盤上的程序，駐

留在系統內存中的病毒程序在宿主程序運行結束后，仍可活動，直至關閉計算機

總之，計算機病毒感染的過程一般有三步：

(1)當宿主程序運行時，截取掌握權；

⑵查找感染的突破口；

（3）將病毒代碼放入宿主程序

病毒攻擊的宿主程序是病毒的棲身地，宿主程序既是病毒傳播的目的地，又是下一次感染

的動身點

觸發機制：病毒在感染或破壞前，往往要檢查某些特定條件是否滿意，滿意則進行感染或

破壞，否則不進行感染或破壞，病毒采納的觸發條件主要有以下幾種：

??日期觸發

??時間觸發

??鍵盤觸發

??感染觸發

??啟動觸發

??訪問磁盤次數/調用中斷功能觸發

??CPU型號/主板型號觸發

??打開或預覽Email附件觸發

??隨機觸發

破壞機制：計算機病毒的破壞機制，在設計原則、工作原理上與傳染機制相像，也是通過

修改某一中斷向量人口地址（一般為時鐘中斷INT8H或與時鐘中斷有關的其他中斷，如INT

1CH）,使該中斷向量指向病毒程序的破壞模塊。這樣，當被加載的程序或系統訪問該中斷

向量時，病毒破壞模塊被激活，在推斷設定條件滿意的狀況下，對系統或磁盤上的文件進

行破壞

6.繪出Funlove的流程圖，并說明其引導部分的作用。

（計算機難畫，依據下面過程就能畫出來）

a.病毒程序第一次運行時，依據肯定的時間間隔，周期性地檢測每一個驅動器以及網絡資源

中的.EXE、.SCR、.OCX文件，驗證后進行感染，被感染文件長度通常會增加4099字節或

者更多

b.檢測到以下文件名時不感染它們：ALER*、AMON*、_AVP*、AVP3*>AVPM*.F-PR*、

NAVW*、SCAN*、SWISS*、DDHE*>DPLA*和MPLA*

c.當染毒程序運行后，該病毒將創建一個名為“FLCSS.EXE”的文件（長度4608字節），放在

當前Windows系統的System名目下（NT系統中為Systcm32）,并同時開啟一個線程進行自

身的傳染

d.假如是在NT的許可權限下運行，FLCSS.EXE會將自身像一個服務程序一樣安裝到NT

計算機上。它會以“FLC”顯示在標準的NT服務列表中，并且被設置為在每次啟動時自動運

行此服務。在Windows9x下，它像一個隱含程序一樣運行，在任務列表中是不行見的

e.盡管Funlove病毒對數據沒有直接的破壞性，但是在NT下，該病毒還是對NtOsKrnl.exe

文件做了一個小的修改（Patch）,使得文件的許可懇求總是返回允許訪問（AccessAllowed）,

全部的用戶都擁有對每一個文件的完全掌握訪問權

其引導部分的作用：（這是我總結的）

染毒程序運行時，首先運行的是funlove病毒的引導模塊

a.檢查運行的環境，如確定操作系統類型、內存容量、現行區段、磁盤設置、顯示器類型等

參數

b.將funlove病毒引入內存，使funlove病毒處于動態，并愛護內存中的funlove病毒代碼不

被掩蓋

C.設置funlove病毒的激活條件和觸發條件，使funlove病毒處于可激活態，以便funlove病

毒被激活后依據滿意的條件調用感染模塊或破壞表現模塊

?試述計算機病毒的規律結構。

計

算

機

病激活感染功能的判斷部分

毒

程傳染功能的實施部分

序

觸發破壞表現功能的判斷通

破壞表現模塊

破壞表現功能的實施部分

第4章DOS病毒的基本原理與DOS病毒分析

1.什么是病毒的重定位？病毒一般采納什么方法進行重定位？

回答一：重定位就是把程序的規律地址空間變換成內存中的實際物理地址空間的過程。

病毒不行避開也要用到變量(常量)，當病毒感染HOST程序后，由于其依附到不同HOST

程序中的位置各有不同，病毒隨著HOST載入內存后，病毒中的各個變量(常量)在內存

中的位置自然也會隨著發生變化。故而獵取病毒變量的地址偏移值和采用該值得到病毒

變量在內存中的實際地址的過程，就是病毒的重定位。

回答二：

calldelta;這條語句執行之后，堆棧頂端為delta在內存中的真正地址

delta:popebp;這條語句將delta在內存中的真正地址存放在ebp寄存器中

leaeax,[ebp+(offsetvarl-offsetdelta)];這時eax中存放著varl在內存中的真實地址

假如病毒程序中有一個變量varl,那么該變量實際在內存中的地址應當是ebp+(offset

varl—offsetdelta).即參考量delta在內存中的地址+其它變量與參考量之間的距離二其

它變量在內存中的真正地址。

有時候我們也采納（ebp-offse:delta）+offsetvarl的形式進行變量varl的重定位。

2.試述引導型病毒的啟動過程。

引導型病毒的觸發：

用染毒盤啟動計算機時，引導型病毒先于操作系統獵取系統掌握權（被首次激活），處于動態

因首次激活時修改INT13H入口地址使其指向病毒中斷服務程序，從而處于可激活態

當系統/用戶進行磁盤讀寫時調用INT13H,調用的實際上是病毒的中斷服務程序，從而激

活病毒，使病毒處于激活態

病毒被激活之后，即可依據感染條件實施暗地感染、依據爆發破壞條件破壞系統并表現自己

3.編寫程序，采用INTI3H實現引導區的備份與恢亞。

備份：

DEBUG（回車）

-A100

XXXX:0100MOVAX,201

XXXX:0103MOVBX,200

XXXX:0106MOVCX,1

XXXX;0109MOVDX,80

XXXX:010CINT13

XXXX:010EINT3

XXXX:010F

-G=100

-RBX

BX0200:0

-RCX；-D2003FF顯示Hex,留意標志55AA

CX0001:200

-NBOOT.ZYD

-W

-Q

恢復：

DEBUG（回車）

-NBOOT.ZYD

-L200

-A100

XXXX:0100MOVAX,0301

XXXX:0103MOVBX,0200

XXXX:0106MOVCX,0001

XXXX:0109MOVDX,0080

XXXX:010CINT13

XXXX:010EINT3

XXXX:010F

-G=l00

4.編寫程序，采用該程序修復被COM_V.COM感染的host_,

5.試繪出感染EXE文件的示例病毒exe_v的流程圖。

6.編寫程序，采用該程序修復被exe_感染的文件。

7.試繪出混合型病毒Natas病毒的加密變形流程圖。

?如何清除引導型病毒？

在恢復引導區之前，應清除內存中的病毒或使內存中的病毒處于滅活狀態。

用潔凈軟盤引導啟動系統，可以清除內存中的病毒,也可采納如下方法將內存中的病毒滅活:

1.在無毒環境下（例如用無毒的同版本系統盤啟動），用無毒的Debug將中斷向量表取出存在

一個文件中。

2.當內存中有病毒時用上述文件掩蓋中斷向量表。中斷向量表恢復正常，內存中通過修改向

量表截流盜取中斷向量的病毒將無法再激活。

病毒的清除方法比較簡潔，將病毒備份的扇區內容或感染前我們主動備份的引導扇區/主引

導扇區內容，寫入軟盤引導扇區/硬盤主引導扇區即可。

提取引導區掩蓋引導區

C:\>debugC:\>debug

-L100盤號01-ndosboot.62s

-ndosboot.62s-L

-rex-wlOO盤號01

CX0000-M

:200

-W

-Q

?試述文件型病毒的基本原理。

第4章DOS病毒的基本原理與DOS病毒分析

1.什么是病毒的重定位？病毒一般采納什么方法進行重定位？P158

*2.試述引導型病毒的啟動過程。

答：帶毒硬盤引導＞BIOS將硬盤主引導區讀到內存0:7C00處掌握權轉到主引導程

序（這是千古不變的）（病毒））將（）:413單元的值削減1K或nK＞計算可用內存

高段地址將病毒移到高段連續執行＞修改INT13地址，指向病毒傳染段，將原INT13

地址保存在某一單元＞病毒任務完成，將原引導區調入0:7C00執行--一＞機器正

常引導

*3.編寫程序，采用INTI3H實現引導區的備份與恢復。

答：從U盤或光盤啟動，進入純DOS

DEBUG

-A100

movax,0201

movbx,02（X）

movex,0001

movdx,0080

int13

movax,0301

movbx,0200

movex,0002

movdx,0080

int13

int3

-g=100

4.編寫程序，采用該程序修復被COM_V.COM感染的host_。

5.試繪出感染EXE文件的示例病毒exe_v的流程圖。P181

6.編寫程序，采用該程序修復被cxc_感染的文件。

7.試繪出混合型病毒Natas病毒的加密變形流程圖。P181

*8.如何清除引導型病毒

答：以KV3000為例，只要硬盤本身染上引導區病毒，那么用硬盤本身啟動必定是系統

本身就帶毒，因此調用KVW3000殺毒時不能完全清除，關鍵就是系統本身帶病。可以

使用潔凈的軟盤啟動電腦進入系統DOSo清除引導區病毒KV3000有一個命令

KV3000/K。在執行KV3000/K時可用KV3000/B備份一個硬盤主引導信息，若不

KV3000/B那么執行KV3000/K時也會讓你備份一主引導信息即HDPT.VIR的文件。同

樣軟盤上的引導區病毒也用KV3000/K。

東9.試述文件型病毒的基本原理。P168

答：無論是.COM文件還是.EXE文件，還是操作系統的可執行文件（包

括.SYS、QVL、.PRG、.DLL文件），當啟動已感染文件型病毒的程序（HOST程序）時，

臨時中斷該程序，病為完成陷阱（激活條件）的布置、感染工作后，再連續執行HOST程

序，使計算機使用者初期覺得可正常執行，而實際上，在執行期間，病毒已暗做傳染的

工作，時機成熟時，病毒發作。

第5章Windows病毒分析

1.PE病毒的感染過程是怎樣的？如何推斷?個文件是否感染了PE病毒（如Immunity）?針

對你的推斷依據，采納何種手段可以更好地隱蔽PE病毒？編程修復被Immunity感染的

host_pe.exe文件。

PE病毒的感染過程

1.推斷目標文件開頭的兩個字節是否為“MZ、

2.推斷PE文件標記“PE"。

3.推斷感染標記，假如已被感染過則跳出連續執行HOST程序，否則連續。

4.獲得Directory（數據名目）的個數，（每個數據名目信息占8個字節）。

5.得到節表起始位置。（Directory的偏移地址+數據名目占用的字節數=節表起始位置）

6.得到目前最終節表的末尾偏移（緊接其后用于寫入一個新的病毒節）

節表起始位置+節的個數*（每個節表占用的字節數28H）=目前最終節表的末尾偏移。

7.開頭寫入節表

2.查閱MSDN或其他資料，熟識本章所涉及的API函數的用法。

3.簡要描述CIH病毒的觸發機制、感染機制。如何讓系統對CIH病毒具有免疫力量？

觸發機制：

?CIH病毒的駐留（初始化）

??當運行感染了CIH病毒的PE文件時，由于該病毒修改了該程序的入口地址，從而首先

調入內存執行，其駐留主要過程：

?①用SIDT指令取得IDTbaseaddress（中斷描述符表基地址）,然后把IDT的INT

3H的入口地址改為指向CIH自己的INT3H程序入口部分；

?②執行INT3H指令，進入CIH自身的INT3H入口程序，這樣，CIH病毒就可

以獲得Windows最高級別的權限Ring0。病毒在這段程序中首先檢查調試寄存

器DR0的值是否為0,用以推斷從前是否有CIH病毒已經駐留；

?③假如DR0的值不為0,則表示CIH病毒程式已駐留,病毒程序恢復原先的INT

3H入口，然后正常退出INT3H,跳到過程⑨；

④假如DR0值為0,則CIH病毒將嘗試進行駐留：

?⑤假如內存申請勝利，則從被感染文件中將原先分成多塊的病毒代碼收集起來，

并進行組合后放到申請到的內存空間中

?⑥再次調用INT3H中斷進入CIH病毒體的INT3H入口程序，調用INT20H來

完成調用一個IFSMgr_InstallFileSystemApiHook的子程序，在Windows內核中

文件系統處理函數中掛接鉤子，以截取文件調用的操作，這樣一旦系統消失要

求開啟文件的調用，則CIH病毒的傳染部分程序就會在第一時間截獲此文件；

?⑦將同時獵取的Windows操作系統默認的IFSMgr_RingO_FileIO（核心文件輸入/

輸出）服務程序的入口地址保留在DR0寄存器中，以便于CIH病毒調用；

?⑧恢復原先的IDT中斷表中的INT3H入口，退出INT3H：

?⑨依據病毒程序內隱蔽的原文件的正常入口地址，跳到原文件正常入口，執行

正常程序

感染機制：

??CIH病毒的傳染部分實際上是病毒在駐留內存過程中調用Windows內核底層函數

IFSMgr_InstallFileSystemApiHook函數排接鉤子時指針指示的那段程序，其感染過程如

下：

2①文件的截獲。

??②EXE文件的推斷。

如何讓系統對CIH病毒具有免疫力量：

1、假如沒有殺病毒軟件，務必請修改系統時間，跳過每個月的

26日。

2、有些電腦系統主板具備BIOS寫愛護開關，但儂設置均為開，

對系統硬件較為熟識的用戶，可將其撥至關的位宜，這樣可以防范病

毒改寫BIOS信息。

3、配備有效的殺毒軟件，定時對系統進行檢查。清除CIH病毒最

好的方法是使用DOS版殺毒軟件。瑞星殺毒軟件9.0具有定時自動查殺

功能，可徹底查殺CIH系統毀滅者病毒。第一次殺毒時，請用瑞星殺毒

軟件9.ODOS版，清除病毒后再裝入WN95版。這是由于在WIN95/98啟

動后，有幾個文件被系統使用，處于禁寫狀態。假如這些文件被感染，

將無法徹底消退病毒?

4、假如尚未得到殺病毒軟件，可采納壓縮并解壓縮文件的方式加

以檢查，但用該方法不能推斷是否;行CIHvl.4病毒。

5、由于病毒對全部硬盤數據徹底破壞，單純恢復硬盤分區表不行

能恢復文件系統，所以請務必將重要數據進行備份。

4.腳本病毒有哪些弱點？如何防治和清除腳本病毒？

?VBS腳本病毒具有如下幾個特點：

??編寫簡潔

?破壞力大

??感染力強

?＞傳播范圍大

??病毒源碼簡潔被獵取，變種多

??哄騙性強

??使得病毒生產機實現起來特別簡潔

?針對以上提到的VBS腳本病毒的弱點，可以采納如下集中防范措施：

??禁用文件系統對象FileSystemObject

H卸載WSH

??刪除VBS、VBE、JS、JSE文件后綴名與應用程序的映射

??將WScript.exe更改名稱或者刪除

H自定義平安級別，把與“ActiveX控件及插件”有關的一切設為禁用

??禁止OutlookExpress的自動收發郵件功能

??顯示擴展名，避開病毒采用文件擴展名作文章

?將系統的網絡連接的平安級別設置至少為“中等”

??安裝、使用殺毒軟件

5.假如腳本病毒對其代碼進行了加密，我們能否看到其解密后的源代碼？怎樣獵取解密后

的源代碼？

vbs腳本病毒，看上去是亂碼，一點也看不懂，其實還是有跡可循的。其思路就是尋找"execute?'關鍵詞。

病毒最終，還是要換成機器可以看懂的內容，也就是說，最終一層的execute里面的內容，就是病毒的源

代碼。依據這個思路，那么可以知道，解密方法也肯定就在這個execute里面。

也就是說：無需明白他是如何加密的，只需要知道，execute出來的是什么。

依據這個思路，可以得到程序的最終一次迭代加密過程前的代碼，也就是第一次迭代解密的代碼，看上去

還是亂碼，不過還是同樣的道理，總可以找到execute這個關鍵詞。病毒可能經過多次迭代，不過最終還

是可以看懂的。

需要留意的是，execute后面的內容解巒出來假如真的用execute執行了，那就中招了，所以這里要留意

不能把execute也放進去一起執行。

6.愛蟲病毒對系統有哪些危害？編制-■個愛蟲病毒的解毒程序。

新"愛蟲”(Vbs.Ncwlove)病毒，同受蟲(Vbs.lovclclicr)病毒一樣，也通過oullook傳播，會向地址

簿中全部的聯系人發送病毒郵件。假如打開病毒郵件的附件，還會造成更嚴峻的后果。您會觀看

到計算機的硬盤燈狂閃，系統速度顯著變慢，計算機中消失大量的擴展名為vbs的文件。全部快

捷方式被轉變為與系統名目下wscript.exe建立關聯，意味著啟動全部的文件wscript.exe都會首先

運行，會進一步消耗系統資源，造成系統崩潰。清除病毒后還需要手工恢復文件關聯，一般用戶

很難操作。

7.宏病毒采納哪些傳播方式？如何防治和清除宏病毒？

?宏病毒的傳播方式

??在Word或其他Office程序中，宏分成兩種

?在某個文檔中包含的內嵌宏，如FileOpen宏

?屬于Word應用程序，全部打開的文檔公用的宏，如AutoOpen宏

??Word宏病毒一般都苜先隱蔽在一個指定的Word文檔中，一旦打開了這個Word文檔,

宏病毒就被執行，宏病毒要做的第一件事情就是將自己拷貝到全局宏的區域，使得全部

打開的文檔都可使用這個宏

??當Word退出的時候，全局宏將被存儲在某個全局的模板文檔(.dot文件)中，這個文件的

名字通常是“nornial.dot"，即normal模板

?假如全局宏模板被感染，則Word再啟動的時候將自動載入宏病毒并且自動執行

?宏病毒的防備

??禁止運行擔心全的宏

??Word被宏病毒感染之后(實際上是Word使用的模板文檔被感染)，可以將其恢復正常

?退出Word,然后先到C盤根名目下查看是否存在Autoexec.dot文件，假如存

在，而你又不知道它是什么時侯消失的，刪除之

?找到Normal.dot文件，用從前的潔凈備份替換之或干脆刪除之

?查看NormaLdot所在名目是否還存在其他模板文件，假如存在且不是你自己拷

貝進去的，刪除之

?重新啟動Word,已經恢復正常

8.如何查看宏病毒的源代碼？假如代碼被加密呢？

為了了解宏病毒，就必需讀它的原代碼，可是有時候宏是加密的，(Execute-only

Macro),

1o重命名Normal.dot：起動word。

//防止word啟動時就帶上了宏病毒

2。新建一個宏，特地用于讀帶毒文件中的宏代碼(只是原理)

SubMain

DisableAutoMacros〃很關鍵，防止引入宏病毒

DimDAsFileOpen

GetCurValueD

DiologD

FileOpenD〃這一段用于打開帶毒文件

MacroCopyD.Name+":"+"CAP","sourceCAP'^O

MacroCopyD.Name+":"+"AutoOpen","notAuotOpen",0

〃以CAP宏病毒為例，將宏代碼拷貝到normal.dot

〃其中參數0表示可編輯，非。表示加密

FileClose2

SubEnd

3。運行上面的宏，將宏代碼拷貝到normal.dot

〃留意要轉變宏的名字

40閱讀宏代碼

5?關閉word,恢復原來的normal.dot

9.在MSDN中查閱有關FileSystemObject的信息，了解其各種方法及屬性。

FileSystemObject

DriveExists(divespec)

GetDrive(divespec)

GetDriveName(divespec)

BuildPath{path,name)向現有路徑后添加名稱

CopyFilesource,destination!,overwrite］將一個或多個文件從某位置自制到另一位置

CopyFoldersource,destination［,overv/rite］將文件夾從某位置遞歸復制到另一位置

CreateFolder(foldername)創建文件夾

OpenTextFile(filename(,iomode[.createf.format]]])打開指定的文件并返回一個Textstream對象，可以

讀取、寫入此對象或將其追加到文件

CreateTextFile創建指定文件并返回Textstream對象，該對象可用于讀或定倉J建的文件

DeleteFilefilespec[,force]刪除指定的文件

DeleteFolde刪除指定的文件夾

FileExists(filespec)假如指定的文件存在返回True,否則返回False

FolderExits(folderspec)假如指定的文件夾存在返回True,否則返回False

GetAbsolutePathName(pathspec)從供應的指定路徑中返回完整含義明確的路徑

GetBaseName(path)返回字符串，包含文件的基本名，或者路徑說明的文件夾

GetExtensionName(path)返回字符串，包含路徑最終?個組成部分的擴展名

GetFile(filespec)返回與指定路徑中某文件相應的File對象

GetFolder(folderspec)返同與指定的路徑中某文件夾相應的Folder對象

GetFileName(pathspec)返回指定路徑(不是指定路徑驅動器路徑部分)的最終一個文件或文件夾

GetTempName返回隨機生成的臨時文件或文件夾的名稱，用于執行要求臨時文件夾或文件的操

GetSpecialFolder(folderspec)返回指定的特殊文件夾

GetParentFolderName返回指定的路徑中最終一個文件或才文件夾的父文件夾

MoveFilesource,destination將一個或多個文件從某位置移動到另一位置

Drives集合只讀全部可用驅動器的集合

filesystemobject.Drives

Folders集合包含在一個Folder對象的全部Folder對象集合

filesystemobject.SubFolders

Files集合文件夾中全部File對象的集合

filesystemobject.Files

Drive

AvailableSpace可用空間的大小

Driveletter返回驅動器號

DriveType描述驅動器類型的值

FileSystem文件系統的類型

FreeSpace對用戶的可用空間大小

IdReady指定的驅動器就緒與否，返回True/False

Path返回指定文件、文件夾或驅動器的路徑

RootFolder返回一個Folder對象，表示指定驅動器的根文件夾.

SerialNumber返回十進制序列號，用于唯一標識一個磁盤卷

TotalSize返回驅動器或網絡共享的總字節數

VolumeName設置或返回指定驅動器的卷標（盤符說明）

ShareName返回指定的驅動器的網絡共享名

Folder（File）

Attributes設置或返回文件或文件夾的屬性

DateCreated返回指定的文件或文件夾的創建H期和時間。只讀

DateLastAccessed返回指定的文件或文件夾的上次訪問日期（和時間）。只讀

DateLastModified返回指定的文件或文件夾的上次修改日期和時間。只讀

Drive返回指定的文件夾或文件夾所在的驅動器的驅動器號。只讀

Files返回指定文件夾中全部File對象（系統或隱蔽）組成的Files集合

IsRootFolder假如指定的文件夾是根文件夾，返回True;否則返回False

Name設置或返回指定的文件或文件夾的名稱。可讀寫

ParentFolder返回指定文件或文件夾的父文件夾。只讀

ShortName返回依據早期8.3文件命名商定轉換的短文件名

ShortPath返回依據早期8.3命名商定轉換的短路徑名

Size對于文件返回指定文件的字節數；對于文件夾，返回文件夾全部的文件夾和子文件夾的字節數

SubFolders返何由指定文件夾中全部子文件夾組成的Folders集合

Type返回文件或文件夾的類型信息。

Path返回指定文件、文件夾或驅動器的路徑

10.查閱相關資料，了解Windows各版本設施驅動程序的編寫方法

?WSH中，Windows和DOS下的文件名分別是什么？如何禁止文件系統對象。

文件名為WScript.exe（若是在DOS命令提示符下，則為CScript.exe,命令格式:CScript

FileName.vbs）

用regsvr32scrrun.dll/u禁止了文件系統對象，在執行包含腳本的則提示失敗

?用VBScript腳本編寫解除注冊表和任務管理器禁用的腳本文件。試寫出其相應的REG、

BAT、INF文件。

Reg：那就通過批處理或vbs腳本，或組策略或者特地的軟件來解決！

發一個vbs腳原來處理這個問題吧，你可以參考一下：

Dimunlock

Setunlock=WscrTpt.CreateObject（"Wscript.Shell"）

unlock.Popup"你的注冊表已勝利解除，感謝使用！"

unlock.RegWrite

"HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools",0,"REG_D

WORD"

將以上內容用記事本另存為.vbs文件，雙擊即可！

Dimunlock

Setunlock=WscrTpt.CreateObject（"WscrTpt.Shell"）

unlock.Popup"你的任務管理器已經可以使用！"

unlock.RegWrite"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\syste

m\DisableTaskMgr",0,"REG_DWORD,

將以上內容用記事本另存為.vbs文件，雙擊即可

Bat：

可以在桌面建立個"新文本文件.1X1”,把下面的代碼復制到"新文本文件.1X1",保存,然后把"新文本文件.1X1”改

名為”新文本文件.bat”,雙擊"新文本文件.bat”便可以了

regdelete"HKLM\SOFTWARE\Mi3rosoft\WindowsNT\CurrentVersion\ImageFileExecution0

ptions\taskmgr.exe"/f

?echooff

titleregedit

:start

colorfl

modecon:cols=30lines=18

echo請選擇

echo11.鎖定注冊衣」

echo12.解鎖注冊表」

echo『3.退出』

set/pa=請選擇輸入（1,2,3）回車：

if/i飛a%"=Tgoto1

if/i*%a%*=*2*goto2

if/i飛a%"=="3"goto3

:1

@regadd*HKEYCURRENTUSER\Software\Microsoft\Windows\CurrentVersion\Po1icies\System*/v

DisableRegistryTools/treg_dword/d00000001/f

cis

set/pa==start

if%a%==lcall:Menu&gotostart

echoERRORINPUT

pause

goto:start

exit

:2

@rcgadd*HKEY_CURRENT_USER\Softwarc\Microsoft\Windows\CurrontVersion\Polieies\Sys/v

DisableRegistryTools/treg_dword/d00000000/f

startregedit

cis

goto:start

:3

exit

INF:

將號以內的代碼復制到記事本，保存為TaskMgjUnlock.inf,然后點擊右鍵選安裝即可。

[Version]

Signature="$CHICAGO$,'[DefaultInstall]

AddReg=1_AddReg[1_AddRegJ

hkcu,"Software\Microsoft\Windows\CurrentVersion\PoIicies\System"."DisableTaskMgr",0x00010

001,0

恢復被禁用的注冊表編輯器

將“=”號以內的代碼復制到記事本，保存為Reg_Unlock.inf,然后點擊右鍵選安裝即可。

(Version]

Signature=',$CHICAGO$"[DefaultInstall]

AddRcg=l_AddRcg[l_AddRcg]

hkcu,"Software\Microsoft\Windows\CuirentVersion\Policies\System","DisableRegistryTools",OxO

0010001,0

?預防惡意網站可實行哪些措施？

1、禁止修改注朋表。

2、準時打系統補丁，尤其是準時把IE升級到最新版本，可以在很大程度上避開IE漏洞帶來的平安隱患。

3、用360掃瞄器或Firefox掃瞄網頁。

4,下載安裝微軟最新的MicrosoftWindowsScript,可以很大程度上預防惡意修改。

5、相當多的惡意網頁是含有有害代碼的AcliveX網頁文件，因此在IE設置中將ActiveX插件和控件、Java

腳本等禁止，或者把WSH(WindowsScriptingHost)刪除就在很大程度上避開中標。

1)禁止腳本運行

2)刪除WSH

6、安裝殺毒軟件并打開網頁監控、文件監控和內存監控。

7、把fdisk.exe、deltree.exe、等危急的命令文件改名，以免被惡意代碼采用，造成不必要的損失。

8、不要輕易訪問掃瞄一些自己不了解的站點，特殊是那些看上去漂亮迷人的網址，否則吃虧的往往是我們。

9、為WINDOWS系統文件夾里的HOSTS文件設置只讀屬性。

10、禁止訪問已知的惡意網頁/站點。

?如何手工修好IE?需要用到哪些幫助工具？需要留意哪些問題？

如何手工修復IE?

1、IE默認連接首頁被修改

IE掃瞄器上方的標題欄被改成“歡迎訪問******網站''的樣式，這是最常見的篡改手段，受

害者眾多。

受到更改的注冊表項目為：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Main\StartPage

HKEY_CURRENT_USER'Software\Microsoft\IntcmetExplorcr\Main\StartPage

通過修改“StartPage”的鍵值，來達到修改掃瞄者IE默認連接首頁的目的，如掃瞄

******''就會將你的IE默認連接首頁修改為http://ppw.****.com"，即便是出于給自己的主

頁做廣告的目的，也顯得太霸道了一些，這也是這類網頁惹人厭惡的緣由。

解決方法：

A.注冊表法

①在Windows啟動后，點擊“開頭"運行”菜單項，在“打開”欄中鍵入regedil,然后

按“確定”鍵：

②綻開注冊表到

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Main下，在右半部

分窗口中找到串值“StartPage”雙擊，將StartPage的健值改為“about:blank”即可；

③同理，綻開注冊表到HKEY_CURRENT_USER\Software\Microsoft\Intemet

Explorer\Main

在右半部分窗口中找到串道“SlartPage”，然后按②中所述方法處理。

④退出注冊表編輯器，重新啟動計算機，一切OK了！

特殊例子：當正的起始頁變成了某些網址后，就算你通過選項設置修改好了，重啟以后又

會變成他們的網址啦，特別的難纏。其實他們是在你機器里加了一個自運行程序，它會在

系統啟動時將你的IE起始頁設成他們的網站。

解決方法：

運行注期表編輯器regeditexe,然后依次綻開

HKEY_LOCAL_MACHINE\Softwaie\Microsoft\Windows\CurrentVersion\Run主鍵，然后

將其下的registry.exe子鍵刪除，然后刪除自運行程序c:\ProgramFiles\registry.exe,最終從

IE選項中重新設置起始頁就好了。

2、篡改IE的默認頁

有些IE被改了起始頁后，即使設置了“使用默認頁”仍舊無效，這是由于IE起始頁的默

認頁也被篡改啦。具體說來就是以下注冊表項被修改：

HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\

Main\Default_PagjURL“Default_Pagc_URL”這個子鍵的鍵值即起始頁的默認頁。

解決方法：

A.運行注冊表編輯器，然后綻開上述子鍵，將“Degult_Page_UR”子鍵的鍵值中的那

些篡改網站的網址改掉就好了，或者設置為正的默認值。

B.msconfig有的還是將程序寫入硬盤中，重啟計算機后首頁設置又被改了回去，這時

可使用“系統配置有用程序”來解決。開頭-運行，鍵入msconfig點擊“確定”，在彈出的窗口

中切換到“啟動”選項卡，禁用可疑程序啟動項。

3、修改IE掃瞄器缺省主頁，并且鎖定設置項，禁止用戶更改回來。

主要是修改了注冊表中IE設置的下面這些鍵值（DWORD值為1時為不行選）：

[HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorerXControl

Panel]"Settings"=dword:1

[HKEY_CURRENT_USER\Soflware\Policies\Microsoft\IntemetExplorerXControl

Panel]"Links"=dword:1

[HKEY_CURRENT_USER\Software\PoIicies\Microsoft\InternetExplorerXControlPan

eI]"SecAddSites"=dword:1

解決方法：

將上面這些DWORD值改為“0”即可恢復功能。

需要用到哪些幫助工具？

可選用360平安衛士、IE修復工具、黃山IE修復專家

需要留意哪些問題

a.當IE的起始頁變成了某些網址后，就算你通過選項設置修改好了，重啟以后又會變成他們的

網址啦，特別的難纏。其實他們是在你機器里加了一個自運行程序，它會在系統啟動時將你的

IE起始頁設成他們的網站。

b.重啟計算機后首頁設置乂被改了回去

?簡述PE病毒的基本原理。

1.病毒的重定位

2.獵取API函數地址

3.搜尋文件

4.內存映射文件

5.病毒感染其他文件

6.病毒返回到Host程序

?PE病毒修改PE文件有哪幾種方法，寫出實現要點。

1插入節方式修改PE（尾部）

2加長某一節修改PE

第6章網絡蠕蟲及防治

*1.試述蠕蟲與病毒的差別和聯系。

病毒蠕蟲

存在形式