吴佳元 - 2009-1-20 19:47:00
流行病毒概况以及手动查杀方法作业
简述题(必答)
1.目前病毒传播的主要方式有哪几种?
答:共有4种,分别是网页传播、ARP欺骗传播、移动存储传播和感染文件传播。
2.简述常见盗号木马的杀毒方法(通过sreng日志中可看见的启动项目启动,且不回写)
答:根据Sreng日志,清除病毒的启动项目,重启计算机,进入安全模式删除病毒文件(用冰刃)。
3.简述常见的后门病毒的杀毒方法(通过服务启动)
答:使用sreng禁止可疑服务。重启计算机,用冰刃删除文件。
4.感染型病毒通常应该如何识别和清除?
答:一般使用杀毒软件杀毒识别,再使用杀毒软件清除病毒。
5.重装系统后不久发现病毒又出现了,这是什么原因?如何处理?
答:这样的现象多半是因为病毒具有U盘传播功能的,会在各个盘符根目录下生成autorun.inf,且该autorun.inf指向了病毒文件,双击打开对应盘符又激活了病毒导致。第二种可能就是该病毒是感染型病毒,在打开了其他盘下面的exe 文件之后病毒又被重新激活,感染新装的系统。
处理方法:重装系统后,不要贸然打开非系统分区。使用winrar的查看功能,查看磁盘根目录下有无autorun.inf等类似的文件。如果有打开该文件,查看里面的内容,把里面指向的病毒删掉。把杀毒软件装到系统分区,使用杀毒软件全盘杀毒。
6.如果某个病毒通过两个进程相互守护,应该如何处理?
答:先使用冰刃禁止进程守护功能,再清除病毒。
7.简述RootKit hook的两种方式。
答:一是直接修改函数地址,如SSDT hook,在调用Ring 3层的WriteFile函数时候,SSDT会提供出来一个地址。这个地址就是内核中真正负责写文件的相关API的地址,也就是NtWriteFile的地址。系统服务分发器会根据这个服务号调用真正的NtWriteFile函数,实现文件的写操作。SSDT hook原理就是把这个表中的内容修改了,由于SSDT是一个地址表,那么他被修改了之后,当ring3级别相关函数再向他发送请求调用ring0的函数执行一些操作时候,就会被引导一个错误的地址上,(通常是病毒处理函数的地址),病毒就可以对该请求进行任意操作。
二是inline hook或者叫code hook(修改函数里面的内容)。也就是直接修改函数内部代码让其直接跳转到病毒的函数内。通常是把相关函数内的前5个字节改为Jmp XXX。
8.某用户会一些简单的手动杀毒,但查看sreng日志未发现明显的病毒进程,也未发现进程中有什么不正常的模块,这可能是由于什么原因导致的?应该如何处理呢?
答:原因是用户计算机中的病毒可能利用了rootkit技术隐藏自身和保护自身,包括隐藏文件、进程以及注册表键值。
处理方法:使用Process Explorer这个工具,这个工具可以显示进程树,这样就很容易找到病毒到藏身之处。
实践题(选答,附加分)
第二个猜是hook SSDT方式,函数FindFirstFile FindNextFile,没有虚拟机,不敢多试.
用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MAXTHON 2.0)
newcenturymoon - 2009-2-17 20:35:00
1 2分
2 2分
3 2分
4 2分
5 4分
6 2分
7 2分
8 2分
附加分 0
总分 18分
© 2000 - 2026 Rising Corp. Ltd.