关于杀毒知识的问题

弓虽人

1、下列哪个文件最有可能是简体中文Windows XP系统下的病毒样本？（
）
A、%SystemRoot%\system32\smss.exe。
B、%SystemRoot%\Fonts\simsun.ttc。
C、%SystemRoot%\system32\services.exe。
D、%SystemRoot%\Tasks\iexplore.exe。。

2、下列哪一项说法是错误的？（
）
A、“上兴”变种是远程控制类后门病毒。
B、“机器狗”变种是远程控制类后门病毒。
C、“网络红娘”变种是远程控制类后门病毒。
D、“灰鸽子”变种是远程控制类后门病毒。

3、Windows XP系统自带的任务管理器无法使用快捷键“Ctrl+Shift+Esc”打开，可能是因为下列哪种情况造成的？（
）
A、注册表项“HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system”下有一类型为“REG_DWORD”的值“DisableTaskMgr”,值为1。
B、注册表中存在项“HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TaskMgr.exe”；该项下除了为空的默认值外无其他值。
C、“%SystemRoot%\system32”下存在一个名为“TaskMgr.exe”的文件夹，但是不存在“dllcache”目录。
D、注册表项“HKLM\SOFTWARE\Classes\exefile\shell\open\command”仅存在为空的默认值。

4、具有“沙盒”（Sandbox）技术的江民杀毒软件，如发现系病毒行为，则会执行“回滚”机制，将病毒执行的动作和留下的痕迹抹去，恢复系统到正常状态。从下列那个版本开始，江民杀毒软件正式融入了“沙盒”技术: （
）
A:KV2009
B:KV2008
C:KV2007
D:KV2006

5、下列哪一项说法是正确的？（
）
A、系统中无故出现了ntsd.exe进程，说明系统可能中毒了。
B、系统分区可用磁盘空间越来越小，说明系统肯定中毒了。
C、在U盘图标上点鼠标右键选择“打开(O)”来打开U盘，这样绝对不会中U盘autorun病毒。
D、硬盘各个分区(NTFS格式)根目录下存在无法删除且隐藏的“System Volume Information”文件夹，说明系统中毒了。

6.计算机病毒的最基本特征是（
）
A:潜伏性
B:隐蔽性
C:破坏性
D:传染性

7.通过分析文件中的指令序列，根据统计知识，判断该文件是否具有感染的可能，从而找到可能的未知病毒的方法叫（
）
A:特征码检测
B:启发式扫描
C:行为监测
D:校验和检测

8.下列不属于计算机病毒所造成的破坏的是（
）
A:抢占系统资源
B:影响计算机运行速度
C:破坏计算机上的数据
D:硬盘产生坏道


9.下列哪些类型的文件打开后一般不会引起系统中毒的是（
）
A:".DOC"格式的word文档
B:“.PDF”格式的电子文档
C:“.CHM”格式的帮助文档
D:“.HTM”格式的网页文件
E:".TXT"格式的纯文本文档

10 《中华人民共和国计算机信息系统安全保护条例》中规定，计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。这个说法，对还是错？（
）
A：对
B: 错


二、多项选择
1、计算机系统感染病毒以后，用户发现部分安全软件和部分反病毒工具都无法启动运行(之前是正常的)。试猜想，病毒可能使用了如下哪些技术手段，来实现反安全软件，从而达到自我保护目的的？（
）
A、使用了进程映像劫持(Image File Execution Options)技术，阻止目标程序启动运行。
B、使用了磁盘映像劫持技术，在所有文件夹下创建“autorun.inf”文件(自动播放)，阻止目标进程启动运行。
C、病毒把所有已知安装软件的注册表启动项都给强行删除掉了，所以用户无法通过在安全软件的程序图标上，使用双击的方式来启动运行它。
D、在被感染计算机系统的后台实时遍历所有进程，发现目标进程名称便试图强行结束其进程。
E、使用了BHO劫持(Browser Helper Objects)技术，阻止目标程序启动运行。
F、在被感染计算机系统的后台实时查找目标窗口名称，发现目标后，则向其发送洪水式垃圾消息(消息值的范围为：0x0-0x255)。

2、下列哪些可执行程序，目前不是微软“Windows XP-SP2 Professional”原版操作系统文件(当前计算机系统安装在C盘下)？（
）
A、C:\WINDOWS\system32\svch0st.exe
B、C:\WINDOWS\system32\dllcache\explorer.exe
C、C:\WINDOWS\system32\explorer.exe
D、C:\WINDOWS\explorer.exe
E、C:\WINDOWS\svchost.exe
F、C:\WINDOWS\system32\svchost.exe

3、KV2009标准版中具有下列那些功能：（
）
A:启发式扫描
B:ARP攻击防护
C:网页防马
D:智能主动防御
E:检查压缩包和电子邮件
F:重建操作系统


三、判断题
1、在被感染的计算机系统中，我们是不能够直接看到“磁碟机”病毒的注册表启动项的。它是在系统中安装了一个关机消息的钩子，在收到关机消息时，才在注册表中创建启动项的。同样，开机时会先把注册表中的启动项删除掉，这样可以使用户很难去找到它的启动方式，从而达到自我保护的目的。
（
）

2、计算机系统(“Windows XP-SP2 Professional”原版，没有安装系统还原类软件)刚刚感染了老版本的“机器狗”病毒，该“机器狗”病毒使用了磁盘过滤驱动，以覆盖的方式修改了系统桌面程序“%SystemRoot%\explorer.exe”。在我们还没有重新启动计算机的情况下，使用MD5文件校验工具去校验原“explorer.exe”程序和被覆盖后的“explorer.exe”程序，他们的MD5值肯定不一样。
（
）


四、问答题
1.计算机系统(“Windows XP-SP2 Professional”原版)感染病毒以后，通过我们的分析，发现病毒主程序是一个驱动文件(文件属性正常，没有隐藏起来。并且文件保存在“%SystemRoot%\system32\drivers\”路径下)，也发现了这个驱动病毒的服务启动项(服务启动项没有做驱动保护，也没有做权限保护)，但使用手头上现有的工具都无法去直接删除它们(驱动文件无法删除的原因是加了驱动级保护，非简单的SSDT HOOK技术。服务启动项采用实时重新创建的方式，我们刚一删除后，它就又马上重新创建出来了)。这时，我们该如何处理该病毒？(要求：1、必须采用手动杀毒的方式进行处理，不能使用杀毒软件或专杀等自动处理软件。2、至少写出两种处理方法。
回答：

五、扫描日志分析题
内容请见附件


-------------------------------------------------------------------------------

回答时请下载本附件，，试卷





[ 本帖最后由 弓虽人 于 2009-4-25 14:47 编辑 ]

伊の星

楼主不是弓虽人
而是强人。。。

宝贝要疯疯哦

楼主的题目,没有在江湖上活过5年的,这类题目还真的答不出来

雨宫优子

好强悍~~

solag

大部分不会 百度去了
学海无涯....

雨宫优子

==============================================================================
一、单项选择题(10个小题，每小题4分)
1、下列哪个文件最有可能是简体中文Windows XP系统下的病毒样本？（  D  ）
A、%SystemRoot%\system32\smss.exe。
B、%SystemRoot%\Fonts\simsun.ttc。
C、%SystemRoot%\system32\services.exe。
D、%SystemRoot%\Tasks\iexplore.exe。。

2、下列哪一项说法是错误的？（  B  ）
A、“上兴”变种是远程控制类后门病毒。
B、“机器狗”变种是远程控制类后门病毒。
C、“网络红娘”变种是远程控制类后门病毒。
D、“灰鸽子”变种是远程控制类后门病毒。

3、Windows XP系统自带的任务管理器无法使用快捷键“Ctrl+Shift+Esc”打开，可能是因为下列哪种情况造成的？（  A  ）
A、注册表项“HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system”下有一类型为“REG_DWORD”的值“DisableTaskMgr”,值为1。
B、注册表中存在项“HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TaskMgr.exe”；该项下除了为空的默认值外无其他值。
C、“%SystemRoot%\system32”下存在一个名为“TaskMgr.exe”的文件夹，但是不存在“dllcache”目录。
D、注册表项“HKLM\SOFTWARE\Classes\exefile\shell\open\command”仅存在为空的默认值。

4、具有“沙盒”（Sandbox）技术的江民杀毒软件，如发现系病毒行为，则会执行“回滚”机制，将病毒执行的动作和留下的痕迹抹去，恢复系统到正常状态。从下列那个版本开始，江民杀毒软件正式融入了“沙盒”技术: （无聊）
A:KV2009
B:KV2008
C:KV2007
D:KV2006

5、下列哪一项说法是正确的？（A）
A、系统中无故出现了ntsd.exe进程，说明系统可能中毒了。
B、系统分区可用磁盘空间越来越小，说明系统肯定中毒了。
C、在U盘图标上点鼠标右键选择“打开(O)”来打开U盘，这样绝对不会中U盘autorun病毒。
D、硬盘各个分区(NTFS格式)根目录下存在无法删除且隐藏的“System Volume Information”文件夹，说明系统中毒了。

6.计算机病毒的最基本特征是（D）（其实现在病毒很多样的~~法律上是传染性为基本特征）
A:潜伏性
B:隐蔽性
C:破坏性
D:传染性

7.通过分析文件中的指令序列，根据统计知识，判断该文件是否具有感染的可能，从而找到可能的未知病毒的方法叫（B）
A:特征码检测
B:启发式扫描
C:行为监测
D:校验和检测

8.下列不属于计算机病毒所造成的破坏的是（D）
A:抢占系统资源
B:影响计算机运行速度
C:破坏计算机上的数据
D:硬盘产生坏道

9.下列哪些类型的文件打开后一般不会引起系统中毒的是（E）
A:".DOC"格式的word文档
B:“.PDF”格式的电子文档
C:“.CHM”格式的帮助文档
D:“.HTM”格式的网页文件
E:".TXT"格式的纯文本文档

10 《中华人民共和国计算机信息系统安全保护条例》中规定，计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。这个说法，对还是错？（A）
A：对
B: 错

二、多项选择题(3个小题，每小题4分)
1、计算机系统感染病毒以后，用户发现部分安全软件和部分反病毒工具都无法启动运行(之前是正常的)。试猜想，病毒可能使用了如下哪些技术手段，来实现反安全软件，从而达到自我保护目的的？（A、C、D、F）
A、使用了进程映像劫持(Image File Execution Options)技术，阻止目标程序启动运行。
B、使用了磁盘映像劫持技术，在所有文件夹下创建“autorun.inf”文件(自动播放)，阻止目标进程启动运行。
C、病毒把所有已知安装软件的注册表启动项都给强行删除掉了，所以用户无法通过在安全软件的程序图标上，使用双击的方式来启动运行它。
D、在被感染计算机系统的后台实时遍历所有进程，发现目标进程名称便试图强行结束其进程。
E、使用了BHO劫持(Browser Helper Objects)技术，阻止目标程序启动运行。
F、在被感染计算机系统的后台实时查找目标窗口名称，发现目标后，则向其发送洪水式垃圾消息(消息值的范围为：0x0-0x255)。

2、下列哪些可执行程序，目前不是微软“Windows XP-SP2 Professional”原版操作系统文件(当前计算机系统安装在C盘下)？（A、C、E）
A、C:\WINDOWS\system32\svch0st.exe
B、C:\WINDOWS\system32\dllcache\explorer.exe
C、C:\WINDOWS\system32\explorer.exe
D、C:\WINDOWS\explorer.exe
E、C:\WINDOWS\svchost.exe
F、C:\WINDOWS\system32\svchost.exe

3、KV2009标准版中具有下列那些功能：（无聊）
A:启发式扫描
B:ARP攻击防护
C:网页防马
D:智能主动防御
E:检查压缩包和电子邮件
F:重建操作系统


三、判断题(2个小题，每小题５分)
1、在被感染的计算机系统中，我们是不能够直接看到“磁碟机”病毒的注册表启动项的。它是在系统中安装了一个关机消息的钩子，在收到关机消息时，才在注册表中创建启动项的。同样，开机时会先把注册表中的启动项删除掉，这样可以使用户很难去找到它的启动方式，从而达到自我保护的目的。
（对）

2、计算机系统(“Windows XP-SP2 Professional”原版，没有安装系统还原类软件)刚刚感染了老版本的“机器狗”病毒，该“机器狗”病毒使用了磁盘过滤驱动，以覆盖的方式修改了系统桌面程序“%SystemRoot%\explorer.exe”。在我们还没有重新启动计算机的情况下，使用MD5文件校验工具去校验原“explorer.exe”程序和被覆盖后的“explorer.exe”程序，他们的MD5值肯定不一样。
（错）


四、问答题(2个问答题，每题10分)
1.计算机系统(“Windows XP-SP2 Professional”原版)感染病毒以后，通过我们的分析，发现病毒主程序是一个驱动文件(文件属性正常，没有隐藏起来。并且文件保存在“%SystemRoot%\system32\drivers\”路径下)，也发现了这个驱动病毒的服务启动项(服务启动项没有做驱动保护，也没有做权限保护)，但使用手头上现有的工具都无法去直接删除它们(驱动文件无法删除的原因是加了驱动级保护，非简单的SSDT HOOK技术。服务启动项采用实时重新创建的方式，我们刚一删除后，它就又马上重新创建出来了)。这时，我们该如何处理该病毒？(要求：1、必须采用手动杀毒的方式进行处理，不能使用杀毒软件或专杀等自动处理软件。2、至少写出两种处理方法。
回答：
1、重建安全模式（此步骤可有可无）
2、用DOS删除工具删除驱动
3、进入安全模式删除服务
=========================================================
1、禁用并停止服务
2、重建安全模式（此步骤可有可无）
3、安全模式下删除驱动





五、扫描日志分析题(1篇日志题，本题18分)
日志~~不会看的飘过~~
有时间再看
==========================
汗~~看错题了~~HTM可以中毒的~~

[ 本帖最后由 aarwwefdds 于 2009-4-25 16:58 编辑 ]

a002484

没有答案么？我想知道我做对了没有。。。

llj4862

答对了有奖没？？

基本不难啊

dl123100

江民的有奖活动题目怎么转到这里来了 重复帖！

雨宫优子

1、建议使用XDelBox删除以下文件
复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入,重启删除

c:\windows\system32\comres.dll
c:\windows\fonts\comres.dll
c:\windows\fonts\gth60362.ttf
c:\windows\fonts\gth75360.ttf
c:\windows\system32\08223b03.dll
c:\windows\system32\2ef0d734.dll
c:\windows\system32\56bc86c7.dll
c:\windows\system32\76b9ba7a.dll
c:\windows\system32\a1a6bc2e.dll
c:\windows\system32\skcfujq5edn.dll
c:\windows\system32\mtlrd.dll
c:\windows\system32\e4814792.dll
c:\windows\system32\ed78ab9.dll
c:\windows\system32\efc0c52cc1.dll
c:\windows\system32\erdznufbk0zf.dll
c:\windows\system32\grtzqh5snrhat.dll
c:\windows\system32\nj4gyd3rubj57.dll
c:\windows\system32\vntu2waqucza6.dll
c:\windows\fonts\gth62360.ttf
c:\windows\fonts\gth63360.ttf
c:\windows\fonts\gth64360.ttf
c:\windows\fonts\gth66360.ttf
c:\windows\fonts\gth67335.ttf
c:\windows\fonts\gth68362.ttf
c:\windows\fonts\gth78360.ttf
c:\windows\fonts\gth79360.ttf
c:\windows\fonts\gth80360.ttf
c:\windows\fonts\gth83360.ttf
c:\windows\fonts\gth86360.ttf
c:\windows\fonts\gth92360.ttf
c:\windows\fonts\gth96360.ttf
c:\windows\system32\scvhost.exe
c:\windows\system32\a6.exe
c:\documents and settings\all users\application data\microsoft\media player\wmp\mtlrd.sys

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：
[RsTray]    <C:\WINDOWS\system32\scvhost.exe>
[Ex]    <C:\WINDOWS\system32\a6.exe>
[{669029EE-81FB-496F-9AC4-FE838B16F231}]    <C:\WINDOWS\system32\erdznUfbK0ZF.dll>
[{4E5CFE74-700B-4A8B-B0BF-A6B47D896C18}]    <C:\WINDOWS\system32\GrTZqH5SnRhAt.dll>
[{56BC86C7-0692-4F94-A2C1-6CF1DBF8096C}]    <C:\WINDOWS\system32\56BC86C7.dll>
[{028A997C-4262-4107-BD46-2ABBC6143E8C}]    <C:\WINDOWS\system32\efc0c52cc1.dll>
[{AA4CD878-B510-4508-83EB-DE968E358D15}]    <C:\WINDOWS\system32\Nj4gYd3rUbJ57.dll>
[{08223B03-1B38-4A33-A83A-A4D3CC1D6E4E}]    <C:\WINDOWS\system32\08223B03.dll>
[{76B9BA7A-81D0-4979-8598-8471F2AB5186}]    <C:\WINDOWS\system32\76B9BA7A.dll>
[{A5CA6C70-7185-4466-AB45-B1C34E7A37CA}]    <C:\WINDOWS\system32\ed78ab9.dll>
[{0D267113-499A-4EEF-998D-C45731C1B313}]    <C:\WINDOWS\system32\VnTU2WAqUcZA6.dll>
[{E4814792-EFA3-4C20-93D0-8B130A59F9A8}]    <C:\WINDOWS\system32\E4814792.dll>
[{A1A6BC2E-C6A1-43C1-8884-A31D772F42B8}]    <C:\WINDOWS\system32\A1A6BC2E.dll>
[{76CBCF38-0583-44C7-A1AE-D463DFE625EC}]    <C:\WINDOWS\system32\skcfujQ5EDN.dll>
[{2EF0D734-21FD-4225-A1A2-BCD296182AAF}]    <C:\WINDOWS\system32\2EF0D734.dll>

    启动项目 －－ 服务－－ 驱动程序之如下项禁用：
[mtlrd / mtlrd]    <\??\C:\Documents and Settings\All Users\Application Data\Microsoft\Media Player\wmp\mtlrd.sys>
~~~~~~~~~~~~~~
我真够无聊的~~

[ 本帖最后由 aarwwefdds 于 2009-4-25 16:50 编辑 ]