简述题
1.目前病毒传播的主要方式有哪几种？
答：网页传播（系统漏洞，第三方软件漏洞）
        Arp欺骗传播
        通过移动存储传播(autorun.inf)
        通过感染文件传播（html,exe等文件）
        通讯工具传播（QQ，MSN，E-mail等）
       
2.简述常见盗号木马的杀毒方法（通过sreng日志中可看见的启动项目启动，且不回写）
答：.通过sreng日志等扫描发现可疑文件。
        去掉病毒启动项目(运行msconfig，在启动里找到可疑相关项，取消前面
        勾。 如找不到，运行regedit，打开注册表编辑器，按Ctrl+F,查找可疑相关值，勾选下面的值和数据，找到后右键删除.)
        删除文件(重启进入安全模式，可以使用Icesword,syscheck等工具，以冰刃为例，点开文件找到可疑相关项，删除)

3.简述常见的后门病毒的杀毒方法（通过服务启动）
答：使用sreng禁止可疑服务。重启计算机，删除文件。如删除不了，同样重启进入安全模式，用冰刃删除。

4.感染型病毒通常应该如何识别和清除？
        答：识别从名称上：借助杀毒软件。一般感染文件型病毒都是以Virus开头的。但有些杀毒软件会把virus这个前缀省略，比如瑞星。如果瑞星报的病毒以Win32(代表病毒可存在的操作系统）开头，那么他就是感染型病毒。
        从行为上：在一盘下面的中毒后，一段时间后其他盘符中也出了类似病毒，并可能继而感染全盘。有时重装系统后仍有病毒，其中一个可能的原因是中感染型病毒，在打开了其他盘下面的exe 文件之后病毒又被重新激活，感染新装的系统。
        清除：推荐使用杀毒软件杀毒，注意杀毒的时候选择清除病毒，不要选择删除染毒文件。

5.重装系统后不久发现病毒又出现了，这是什么原因？如何处理？
        答：这样的现象多半是因为病毒具有U盘传播功能的，会在各个盘符根目录下生成autorun.inf,且该autorun.inf指向了病毒文件，双击打开对应盘符又激活了病毒导致。第二种可能就是该病毒是感染型病毒，在打开了其他盘下面的exe 文件之后病毒又被重新激活，感染新装的系统。
        解决方法：重装系统后，不要贸然打开非系统分区。使用winrar的查看功能，查看磁盘根目录下有无autorun.inf等类似的文件。如果有打开该文件，查看里面的内容，把里面指向的病毒删掉。把杀毒软件装到系统分区，使用杀毒软件全盘杀毒。

6.如果某个病毒通过两个进程相互守护，应该如何处理？
答：可以使用冰刃等的禁止进线程守护功能。然后分别结束，用冰刃分别删除病毒文件。

7.简述RootKit hook的两种方式。
        答：hook通常有两种方式，一是直接修改函数地址(SSDT hook)，二是直接修改函数内部代码让其直接跳转到病毒的函数内(inline hook或者叫code hook）

8.某用户会一些简单的手动杀毒，但查看sreng日志未发现明显的病毒进程，也未发现进程中有什么不正常的模块，这可能是由于什么原因导致的？应该如何处理呢？
答：可能是系统正常
也可能病毒可能会启动一个正常的进程，并调用WriteProcessmemory等函数把自身代码完全写进正常进程内存，通常是svchost.exe或 iexplore.exe等进程。这样便使得正常的进程成为病毒的傀儡。你可能看到路径正常，文件也没被感染，但他这个进程里面的代码被完全改写或者覆盖了。这个时候 日志中可能看不出来
        处理:可以借助Process Explorer这个工具。他的一个很好的功能就是进程树功能。比如某个病毒启动了svchost.exe进程，之后删除自身。
        我们可以打开Process explorer查看进程树。svchost.exe一般都是由services.exe启动的，但病毒启动的svchost.exe进程可能在这里面看到是Explorer.exe下面的一个分支。替换文件的 病毒处理可以通过sreng等工具查看该文件是否是被替换。sreng能校验文件的数字签名或者版本信息等等。
找到有问题的文件后用冰刃删除.

用户系统信息：Mozilla/5.0 (Windows; U; Windows NT 6.0; zh-CN; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5

附加题：

样本一：

运行后，样本自删除
打开Process Explorer查看进程树发现异常，病毒启动IEEXPLORER.EXE后自删除。
表明此时IEEXPLORER.EXE已经为傀儡进程，用冰刃查看IEEXPLORER.EXE发现可疑C\WINDOWS\system32\Safe36o.dll注入

打开wsyscheck SSDT检查发现可疑驱动Safe36o.sys,
尝试定位文件无效，手工文件管理进入发现可疑文件
C\WINDOWS\system32\Safe36o.dll
C\WINDOWS\system32\Safe36o.dlx
C\WINDOWS\system32\Safe36o.exe

打开RKU在SSDT扫描中发现可疑模块C\WINDOWS\system32\drivers\Safe36o.sys 
SSDT hook了
NtWriteVirtualMemory
NtQueryDirectoryFile
NtEnumerateKey
NtDeviceIoControlFile 
直接修改函数地址

先结束IEEXPLORER.EXE，再用RKU选中这些函数unhook,然后用冰刃依次去删除
C\WINDOWS\system32\drivers\Safe36o.sys
C\WINDOWS\system32\Safe36o.exe
C\WINDOWS\system32\Safe36o.dlx
C\WINDOWS\system32\Safe36o.dll
用wsyscheck查看lsass.exe中还有Safe36o.dll被注入,但查看上门的可疑模块都被删除，表明在内存中还住存，
怀疑关机回写，断电操作。重新开机检查系统恢复正常





样本二：


  运行后，样本自删除。
  然后出现一个错误窗口，提示 Module name: C:\WINDOWS\Explorer.EXE
  打开Process Explorer查看进程树无异常
  用wsyscheck查看进程发现有可疑SERVERKEY.DLL注入到explorer，
  继续查看发现多个进程被SERVERKEY.DLL注入，甚至其中没有开IE浏览器却发现有IEXPLORER进程并且被SERVERKEY.DLL，Server.dll注入。wsyscheck自身也被SERVERKEY.DLL
  定位文件发现可疑模块
    C:\windows\SERVERKEY.DLL
    C:\windows\Server.exe
    C:\windows\Server.DLL

注入
再打开RKU，到Code Hooks中扫描看到模块SERVERKEY.DLL 类型为Inline Hook,
Hook FingNextFileW, FingNextFileA修改了kernel.dll.
Hook RegEnumKeyExA,RegEnumKeyExW,EnumServicesStatusA,,EnumServicesStatusW 修改了advapi32.dll
Hook NtQuerySystemInformation修改了ntdll.dll
从而实现隐藏自己注入正常进程

用RKU 选取这些函数进行unhook。
用冰刃强制删除，C:\windows\SERVERKEY.DLL
                C:\windows\Server.exe
                C:\windows\Server.DLL
发现删除不了。
用wsyscheck添加到重启删除列表，成功删除