世界之窗论坛 - Powered by Discuz! Board

标题: 几道有关反病毒的试题 [打印本页]

作者: john2008 时间: 2009-4-25 17:37 标题: 几道有关反病毒的试题

一、单项选择题

Windows XP系统自带的任务管理器无法使用快捷键“Ctrl+Shift+Esc”打开，可能是因为下列哪种情况造成的？（）

A、注册表项“HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system”下有一类型为“REG_DWORD”的值“DisableTaskMgr”,值为1。
B、注册表中存在项“HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TaskMgr.exe”；该项下除了为空的默认值外无其他值。
C、“%SystemRoot%\system32”下存在一个名为“TaskMgr.exe”的文件夹，但是不存在“dllcache”目录。
D、注册表项“HKLM\SOFTWARE\Classes\exefile\shell\open\command”仅存在为空的默认值。

二、判断题

在被感染的计算机系统中，我们是不能够直接看到“磁碟机”病毒的注册表启动项的。它是在系统中安装了一个关机消息的钩子，在收到关机消息时，才在注册表中创建启动项的。同样，开机时会先把注册表中的启动项删除掉，这样可以使用户很难去找到它的启动方式，从而达到自我保护的目的。
（）

三、问答题

计算机系统(“Windows XP-SP2 Professional”原版)感染病毒以后，通过我们的分析，发现病毒主程序是一个驱动文件(文件属性正常，没有隐藏起来。并且文件保存在“%SystemRoot%\system32\drivers\”路径下)，也发现了这个驱动病毒的服务启动项(服务启动项没有做驱动保护，也没有做权限保护)，但使用手头上现有的工具都无法去直接删除它们(驱动文件无法删除的原因是加了驱动级保护，非简单的SSDT HOOK技术。服务启动项采用实时重新创建的方式，我们刚一删除后，它就又马上重新创建出来了)。这时，我们该如何处理该病毒？
(要求：1、必须采用手动杀毒的方式进行处理，不能使用杀毒软件或专杀等自动处理软件。
2、至少写出两种处理方法。）

回答：

作者: hukailin 时间: 2009-4-25 17:38

飘过````

作者: 飞天猪 时间: 2009-4-25 17:56

飞过~~~~~~~~~~

作者: 苹果啤酒 时间: 2009-4-25 20:13

比较复杂.....不懂.......

作者: viewer 时间: 2009-4-25 20:53

我不知道，不行就重装

作者: 168 时间: 2009-4-25 21:14

嗯，我也是权衡之后选择了ghost。

作者: zhuzhu2jd 时间: 2009-4-26 05:37

猪猪来回答：
第一题选A
第二题划X
第三题呢。。。
1 先禁用病毒实时创建快捷方式服务，然后禁用病毒启动项，重启，之后删除病毒文件。
2 因为手头工具软件有限，只好试着进入安全模式去删除病毒文件。
3 卸载驱动，删除文件和它的快捷方式，装回驱动（无病毒感染的原版驱动）。

作者: johnubei 时间: 2009-4-26 12:39

直接重装，不用多想。

作者: hukailin 时间: 2009-4-26 14:59

GHOST 还是很方便的!!

作者: zhuzhu2jd 时间: 2009-4-26 17:24