简述题（必答）
1.目前病毒传播的主要方式有哪几种？
答：网页传播、arp欺骗传播、移动存储传播、感染文件传播
2.简述常见盗号木马的杀毒方法（通过sreng日志中可看见的启动项目启动，且不回写）
答：去掉病毒启动项目，（重启，重启进入安全模式）删除文件（可以使用Icesword,syscheck等工具）
3.简述常见的后门病毒的杀毒方法（通过服务启动）
答：使用sreng禁止可疑服务。重启计算机，删除文件。
4.感染型病毒通常应该如何识别和清除？
答：感染型病毒的识别：借助杀毒软件。
清除：使用杀毒软件杀毒
  因为杀毒软件通常能修复被感染的文件
  注意杀毒的时候选择清除病毒，不要选择删除染毒文件
  对于打开任意网页都报毒可以安装一个带有防arp欺骗功能的防火墙
  对于顽固份子无法删除可以利用PE系统来清除病毒
5.重装系统后不久发现病毒又出现了，这是什么原因？如何处理？
答：这样的现象多半是因为病毒具有U盘传播功能的，会在各个盘符根目录下生成autorun.inf,且该autorun.inf指向了病毒文件，双击打开对应盘符又激活了病毒导致。第二种可  能就是该病毒是感染型病毒，在打开了其他盘下面的exe 文件之后病毒又被重新激活，感染新装的系统。
  重装系统后，不要贸然打开非系统分区。使用winrar的查看功能，查看磁盘根目录下有无autorun.inf等类似的文件。如果有打开该文件，查看里面的内容，把里面指向的病毒删掉。把杀毒软件装到系统分区，使用杀毒软件全盘杀毒
6.如果某个病毒通过两个进程相互守护，应该如何处理？
答：使用rootkit unhooker恢复相应的API
  可以使用冰刃等的禁止进线程守护功能，回写注册表，回写文件
7.简述RootKit hook的两种方式。
答：一是直接修改函数地址，即SSDT hook二是inline hook或者叫code hook（修改函数里面的内容）。
8.某用户会一些简单的手动杀毒，但查看sreng日志未发现明显的病毒进程，也未发现进程中有什么不正常的模块，这可能是由于什么原因导致的？应该如何处理呢？
答：原因：病毒可以通过挂钩某些 诸如打开句柄 打开进程的函数 使得普通工具无法打开访问它，通过线程守护进程方式。回写注册表，回写文件，关机回写等方式隐藏自己
    处理：可以借助Process Explorer这个工具，查看进程树，使用冰刃，wsyscheck等等。绕过钩子看到被隐藏的进程或者文件。
    使用rootkit unhooker检查某些容易被病毒利用的API函数以及查看SSDT是否被hook，并对其进行恢复。

实践题（选答，附加分）
实验题我电脑最近虚拟机不能用所以不做了
问题：两种病毒隐藏自身的方式有何不同，分别是哪种hook方式?hook的是什么函数？

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; CIBA; MAXTHON 2.0)

1 2分
2 2分
3 2分
4 2分
5 4分
6 2分
7 2分
8 4分
附加分0
总分20

满分是20 吗？

你两个满分了，真羡慕

  呵呵 谢谢