世界之窗论坛 » 灌水区 » 几道有关反病毒的试题

返回列表发帖

Rank: 6 Rank: 6

UID: 113239
帖子: 384
精华: 1
贡献: 8
推广: 0
有效BUG: 0
注册时间: 2008-5-7

1^# 跳转到 » 倒序看帖

字体大小: tT

发表于 2009-4-25 17:37 | 只看该作者

几道有关反病毒的试题

反病毒, 试题

一、单项选择题

Windows XP系统自带的任务管理器无法使用快捷键“Ctrl+Shift+Esc”打开，可能是因为下列哪种情况造成的？（）

A、注册表项“HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system”下有一类型为“REG_DWORD”的值“DisableTaskMgr”,值为1。
B、注册表中存在项“HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TaskMgr.exe”；该项下除了为空的默认值外无其他值。
C、“%SystemRoot%\system32”下存在一个名为“TaskMgr.exe”的文件夹，但是不存在“dllcache”目录。
D、注册表项“HKLM\SOFTWARE\Classes\exefile\shell\open\command”仅存在为空的默认值。

二、判断题

在被感染的计算机系统中，我们是不能够直接看到“磁碟机”病毒的注册表启动项的。它是在系统中安装了一个关机消息的钩子，在收到关机消息时，才在注册表中创建启动项的。同样，开机时会先把注册表中的启动项删除掉，这样可以使用户很难去找到它的启动方式，从而达到自我保护的目的。
（）

三、问答题

计算机系统(“Windows XP-SP2 Professional”原版)感染病毒以后，通过我们的分析，发现病毒主程序是一个驱动文件(文件属性正常，没有隐藏起来。并且文件保存在“%SystemRoot%\system32\drivers\”路径下)，也发现了这个驱动病毒的服务启动项(服务启动项没有做驱动保护，也没有做权限保护)，但使用手头上现有的工具都无法去直接删除它们(驱动文件无法删除的原因是加了驱动级保护，非简单的SSDT HOOK技术。服务启动项采用实时重新创建的方式，我们刚一删除后，它就又马上重新创建出来了)。这时，我们该如何处理该病毒？
(要求：1、必须采用手动杀毒的方式进行处理，不能使用杀毒软件或专杀等自动处理软件。
2、至少写出两种处理方法。）

回答：

为什么我的签名档[img] 代码禁用？？

Rank: 11

UID: 16317
帖子: 2004
精华: 0
贡献: 0
推广: 0
有效BUG: 0
注册时间: 2006-8-7

2^#

发表于 2009-4-25 17:38 | 只看该作者

飘过````

Rank: 4

UID: 196236
帖子: 142
精华: 0
贡献: 0
推广: 0
有效BUG: 0
来自: 水军督察院
注册时间: 2009-4-22

3^#

发表于 2009-4-25 17:56 | 只看该作者

飞过~~~~~~~~~~

飞天遁地，无所不能；恁也耐不住寂寞，论坛灌水来也！

Rank: 14

UID: 140047
帖子: 11048
精华: 0
贡献: 0
推广: 0
有效BUG: 0
注册时间: 2008-8-21

4^#

发表于 2009-4-25 20:13 | 只看该作者

比较复杂.....不懂.......

Rank: 14

UID: 30681
帖子: 7627
精华: 0
贡献: 15
推广: 0
有效BUG: 0
注册时间: 2006-11-27

5^#

发表于 2009-4-25 20:53 | 只看该作者

我不知道，不行就重装

zzZzzzZzzzzZ在沉睡中沉思

Rank: 11

UID: 42643
帖子: 2920
精华: 0
贡献: 0
推广: 0
有效BUG: 0
来自: 公元前一世纪
注册时间: 2007-1-29

6^#

发表于 2009-4-25 21:14 | 只看该作者

嗯，我也是权衡之后选择了ghost。

Rank: 14

UID: 174578
帖子: 26433
精华: 0
贡献: 1
推广: 0
有效BUG: 0
来自: 光棍猪窝
注册时间: 2009-1-19

7^#

发表于 2009-4-26 05:37 | 只看该作者

猪猪来回答：
第一题选A
第二题划X
第三题呢。。。
1 先禁用病毒实时创建快捷方式服务，然后禁用病毒启动项，重启，之后删除病毒文件。
2 因为手头工具软件有限，只好试着进入安全模式去删除病毒文件。
3 卸载驱动，删除文件和它的快捷方式，装回驱动（无病毒感染的原版驱动）。

我是光棍我怕谁。

Rank: 4

UID: 56975
帖子: 121
精华: 0
贡献: 0
推广: 0
有效BUG: 0
来自: 上海
注册时间: 2007-4-28

8^#

发表于 2009-4-26 12:39 | 只看该作者

直接重装，不用多想。

不知道Phoenix Studio怎么想……
http://bbs.ioage.com/cn/attachment.php?aid=52234&noupdate=yes

Rank: 11

UID: 16317
帖子: 2004
精华: 0
贡献: 0
推广: 0
有效BUG: 0
注册时间: 2006-8-7

9^#

发表于 2009-4-26 14:59 | 只看该作者

GHOST 还是很方便的!!

Rank: 14

UID: 174578
帖子: 26433
精华: 0
贡献: 1
推广: 0
有效BUG: 0
来自: 光棍猪窝
注册时间: 2009-1-19

10^#

发表于 2009-4-26 17:24 | 只看该作者

把电脑扔了买部新的~~

我是光棍我怕谁。

用户名错误

Rank: 14

UID: 3785
帖子: 17685
精华: 0
贡献: 1
推广: 0
有效BUG: 0
注册时间: 2005-10-21

11^#

发表于 2009-4-26 17:28 | 只看该作者

学点技术有什么不好？

Rank: 11

UID: 16317
帖子: 2004
精华: 0
贡献: 0
推广: 0
有效BUG: 0
注册时间: 2006-8-7

12^#

发表于 2009-4-26 17:33 | 只看该作者

技术不是人人都学得会的!!