如何预防木马结合木马的藏身之所隐藏技术总结清除木马的方法Word文件下载.docx

如何预防木马结合木马的藏身之所隐藏技术总结清除木马的方法Word文件下载.docx

《如何预防木马结合木马的藏身之所隐藏技术总结清除木马的方法Word文件下载.docx》由会员分享，可在线阅读，更多相关《如何预防木马结合木马的藏身之所隐藏技术总结清除木马的方法Word文件下载.docx（16页珍藏版）》请在冰豆网上搜索。

感染EXE文件，需对宿主作哪些修改？

4.针对PE文件格式，请思考：

win32病毒感染PE文件，须对该文件作哪些修改？

第3章计算机病毒的逻辑结构与基本机制

1.文件型病毒有哪些感染方式？

2．计算机病毒的感染过程是什么？

3．计算机病毒一般采用哪些条件作为触发条件？

试述计算机病毒的逻辑结构。

第4章doS病毒的基本原理与doS病毒分析

1.试述引导型病毒的启动过程。

2．编写程序，利用inT13H实现引导区的备份与恢复。

3.试绘出感染EXE文件的示例病毒exe_v的流程图。

如何清除引导型病毒？

试述文件型病毒的基本原理。

第5章windows病毒分析

1.脚本病毒有哪些弱点？

如何防治和清除脚本病毒？

2.宏病毒采用哪些传播方式？

如何防治和清除宏病毒？

wSH中，windows和doS下的文件名分别是什么？

如何禁止文件系统对象。

用VBScript脚本编写解除注册表和任务管理器禁用的脚本文件。

试写出其相应的REG、

BaT、inF文件。

预防恶意网站可采取哪些措施？

如何手工修复iE？

需要用到哪些辅助工具？

需要注意哪些问题？

简述PE病毒的基本原理。

PE病毒修改PE文件有哪几种方法，写出实现要点。

第6章网络蠕虫及防治

1.试述蠕虫与病毒的差别和联系。

2.如何预防蠕虫、检测蠕虫？

这与预防病毒有什么区别？

3．简述蠕虫的工作方式。

蠕虫病毒有哪些传播方式？

是如何传播的？

试述手动杀蠕虫的基本步骤。

第7章特洛伊木马

1．简述特洛伊木马的基本原理。

2．木马有哪些伪装方式、隐藏方式、自动启动方式？

3．如何预防木马？

结合木马的藏身之所、隐藏技术，总结清除木马的方法。

手动查杀木马的主要步骤及系统命令的使用。

简述木马传播有哪些途径。

查找相关资料，简述黑客攻击的步骤、应对攻击的方法。

第8章计算机病毒常用技术综述（略）

第9章计算机病毒的检测、清除与免疫

1.熟悉各种杀毒软件、病毒防火墙的安装、配置和使用。

2.本章给出了一些病毒预防措施，在单机、网络等特定环境下，如何预防病毒？

3．清除计算机病毒的一般方法和步骤是什么？

对清除计算机病毒，你有什么经验和建议？

综合内容：

1.端口、系统服务、系统进程概念。

2.根据自己的实践及查找相关资料，试述实现操作系统长期稳定、流畅运行的方法。

3.上网查阅相关资料，了解计算机主动防御系统。

什么是HiPS（主机入侵防御系统），主

要功能是什么？

在预防计算机病毒中有何作用。

4.木马、蠕虫实现自启动有哪些方法？

5.常用的病毒分析、手动查杀病毒有哪些工具软件？

简述其功能。

（包括windows自带的

及第三方提供的）

6.当windows下的winlogon.exe或lsass.exe进程被关闭时，系统将进入60秒倒计时，如

何避免重启？

7.简述制作安全U盘的原理与步骤。

8.试述打造安全稳定的操作系统的要点。

9.试从定义、主要特征、传播途径、触发条件、预防措施、清除要点、主动与被动传播、

寄生性与独立性及影响重点等方面，分析病毒、蠕虫、木马的区别与联系。

10.试述广义上的病毒的触发机制及预防措施。

11.试述木马攻击的详细步骤及应对措施。

12.查阅相关资料，在windows操作系统中，试说明hosts文件的工作方式及其作用，在防

治计算机病毒中有何作用。

13.试述检测木马的步骤。

篇二：

计算机病毒复习资料

Lect8-PPT补充

自含代码虚拟机（SccE）

自含代码虚拟机工作起来象一个真正的cPU。

一条指令取自内存，由SccE解码，并被传送到相应的模拟这条指令的例程，下一条指令则继续这个循环。

虚拟机会包含一个例程来对内存/寄存器寻址操作数进行解码，然后还会包括一个用于模拟每个可能在cPU上执行的指令的例程集。

有限代码虚拟机（LcE）

有限代码虚拟机有点象用于通用解密的虚拟系统所处的级别。

LcE实际上并非一个虚拟机，因为它并不真正的模拟指令，它只简单地跟踪一段代码的寄存器内容，也许会提供一个小的被改动的内存地址表，或是调用过的中断之类的东西。

选择使用LcE而非更大更复杂的系统的原因，在于即使只对极少数指令的支持便可以在解密原始加密病毒的路上走很远，因为病毒仅仅使用了inTEL指令集的一小部分来加密其主体。

缓冲代码虚拟机（BcE）

缓冲代码虚拟机是SccE的一个缩略版,因为相对于SccE它具有较小的尺寸和更快的执行速度。

在BcE中，一条指令是从内存中取得的，并和一个特殊指令表相比较。

如果不是特殊指令，则它被进行简单的解码以求得指令的长度，随后所有这样的指令会被导入到一个可以通用地模拟所有非特殊指令的小过程中。

而特殊指令，只占整个指令集的一小部分，则在特定的小处理程序中进行模拟。

病毒习题补充

什么是宏病毒？

其运作原理如何？

答：

宏病毒是一种寄存在文档或模板的宏中的计算机病毒。

宏病毒的运作原理：

一旦打开感染了宏病毒的文档，其中的宏就会被执行，于是宏病毒就会被激活，转移到计算机上，并驻留在normal模板上。

从此以后，所有自动保存的文档都会“感染”上这种宏病毒，而且如果其他用户打开了感染病毒的文档，宏病毒又会转移到他的计算机上。

什么是脚本病毒和wSH？

二者是何关系？

脚本病毒通常是JavaScript代码编写的恶意代码，一般带有广告性质，会修改您的iE首页、修改注册表等信息，造成用户使用计算机不方便。

wSH全称“windowsScriptingHost”,是微软提供的一种基于32位windows平台的、与语言无关的脚本解释机制，它使得脚本能够直接在windows桌面或命令提示符下运行。

脚本病毒和wSH的关系：

wSH是脚本病毒的执行环境

为什么同一个病毒会有多个不同的名称？

如何通过病毒的名称识别病毒的类型？

国际上对病毒命名的一般惯例为“前缀+病毒名+后缀”，即三元组命名规则。

1、系统病毒

系统病毒的前缀为：

win32、PE、win95、w32、w95等。

2、蠕虫病毒

蠕虫病毒的前缀是：

worm。

3、木马病毒、黑客病毒

木马病毒其前缀是：

Trojan，黑客病毒前缀名一般为Hack。

4、脚本病毒

脚本病毒的前缀是：

Script。

5、宏病毒

其实宏病毒是也是脚本病毒的一种，由于它的特殊性，因此在这里单独算成一类。

宏病毒的前缀是：

macro。

6、后门病毒

后门病毒的前缀是：

Backdoor。

7、病毒种植程序病毒

dropper。

这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下，由释放出来的新病毒产生破坏。

8．破坏性程序病毒

破坏性程序病毒的前缀是：

Harm。

这类病毒的公有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒便会直接对用户计算机产生破坏。

9．玩笑病毒

玩笑病毒的前缀是：

Joke。

10．捆绑机病毒

捆绑机病毒的前缀是：

Binder。

基于windows的计算机病毒越来越多

计算机病毒向多元化发展新计算机病毒种类不断涌现，数量急剧增加

计算机病毒传播方式多样化，传播速度更快

计算机病毒造成的破坏日益严重病毒技术与黑客技术日益融合更多依赖网络、系统漏洞传播，攻击方式多种多样

硬盘主引导扇区由哪几部分构成？

主引导扇区（BootSector）由主引导记录（masterBootRecord，mBR）、主分区表即磁盘分区表（diskPartitionTable，dPT）、引导扇区标记（BootRecordid/Signature）三部分组成。

一个硬盘最多可分为4个主分区，因为主分区表占用64个字节，记录了磁盘的基本分区信息，其被分为4个分区选项，每项16个字节，分别记录了每个主分区的信息。

doS下的EXE文件病毒是如何获取控制权的？

一般来说，病毒往往先于HoST程序获得控制权。

运行win32病毒的一般流程示意如下：

①用户点击或系统自动运行HoST程序；

②装载HoST程序到内存；

③通过PE文件中的addressofEntryPoint加imageBase之和，定位第一条语句的位置（程序入口）；

④从第一条语句开始执行（这时执行的其实是病毒代码）；

⑤病毒主体代码执行完毕，将控制权交给HoST程序原来的入口代码；

⑥HoST程序继续执行。

文件型病毒有哪些感染方式？

a寄生感染:

文件头部寄生文件尾部寄生插入感染逆插入感染利用空洞——零长度感染

b无入口点感染:

采用入口点模糊（EntryPointobscuring，EPo）技术采用TSR病毒技术c滋生感染d链式感染

eoBJ、LiB和源码的感染

计算机病毒的感染过程是什么？

计算机病毒感染的过程一般有三步：

（1）当宿主程序运行时，截取控制权；

（2）寻找感染的突破口；

（3）将病毒代码放入宿主程序

计算机病毒一般采用哪些条件作为触发条件？

病毒采用的触发条件主要有以下几种：

日期触发

感染触发

随机触发

什么是病毒的重定位？

病毒一般采用什么方法进行重定位？

回答一：

重定位就是把程序的逻辑地址空间变换成内存中的实际物理地址空间的过程。

病毒不可避免也要用到变量（常量），当病毒感染HoST程序后，由于其依附到不同HoST程序中的位置各有不同，病毒随着HoST载入内存后，病毒中的各个变量（常量）在内存中的位置自然也会随着发生变化。

故而获取病毒变量的地址偏移值和利用该值得到病毒变量在内存中的实际地址的过程，就是病毒的重定位。

回答二：

calldelta;

这条语句执行之后，堆栈顶端为delta在内存中的真正地址delta:

popebp;

这条语句将delta在内存中的真正地址存放在ebp寄存器中?

leaeax,[ebp+（offsetvar1-offsetdelta）];

这时eax中存放着var1在内存中的真实地址

如果病毒程序中有一个变量var1，那么该变量实际在内存中的地址应该是ebp＋（offsetvar1－offsetdelta），即参考量delta在内存中的地址＋其它变量与参考量之间的距离=其它变量在内存中的真正地址。

有时候我们也采用（ebp－offsetdelta）＋offsetvar1的形式进行变量var1的重定位。

编写程序，利用inT13H实现引导区的备份与恢复。

备份：

dEBUG（回车）时间触发启动触发cPU型号/主板型号触发打开或预览Email附件触发键盘触发访问磁盘次数/调用中断功能触发

-a100

XXXX:

0100moVaX,201

0103moVBX,200

0106moVcX,1

0109moVdX,80

010cinT13

010EinT3

010F

-G=100

-RBX

BX0200:

-RcX；

-d20XXFF显示Hex,注意标志55aa

cX0001:

200

-nBooT.zYd

-w

-Q

恢复：

dEBUG（回车）

-L200

0100moVaX,0301

0103moVBX,0200

0106moVcX,0001

0109moVdX,0080

010F-G=100

在恢复引导区之前，应清除内存中的病毒或使内存中的病毒处于灭活状态。

用干净软盘引导启动系统，可以清除内存中的病毒，也可采用如下方法将内存中的病毒灭活：

1.在无毒环境下（例如用无毒的同版本系统盘启动），用无毒的debug将中断向量表取出存在一个文件中。

2.当内存中有病毒时用上述文件覆盖中断向量表。

中断向量表恢复正常，内存中通过修改向量表截流盗取中断向量的病毒将无法再激活。

病毒的清除方法比较简单，将病毒备份的扇区内容或感染前我们主动备份的引导扇区/主引导扇区内容，写入软盘引导扇区/硬盘主引导

扇区即可。

PE病毒的感染过程是怎样的？

如何判断一个文件是否感染了PE病毒（如immunity）？

针

对你的判断依据，采用何种手段可以更好地隐藏PE病毒？

编程修复被immunity感染的host_pe.exe文件。

PE病毒的感染过程

1．判断目标文件开始的两个字节是否为“mz”。

2．判断PE文件标记“PE”。

3．判断感染标记，如果已被感染过则跳出继续执行HoST程序，否则继续。

4．获得directory（数据目录）的个数，（每个数据目录信息占8个字节）。

5．得到节表起始位置。

（directory的偏移地址+数据目录占用的字节数=节表起始位置）

6．得到目前最后节表的末尾偏移（紧接其后用于写入一个新的病毒节）

节表起始位置+节的个数*（每个节表占用的字节数28H）=目前最后节表的末尾偏移。

7．开始写入节表

脚本病毒有哪些弱点？

（1）VBS脚本病毒具有如下几个特点：

编写简单破坏力大感染力强传播范围大

病毒源码容易被获取，变种多欺骗性强

使得病毒生产机实现起来非常容易

（2）针对以上提到的VBS脚本病毒的弱点，可以采用如下集中防范措施：

禁用文件系统对象

FileSystemobject卸载wSH删除VBS、VBE、JS、JSE文件后缀名与应用程序的映射

将wScript.exe更改名称或者删除自定义安全级别，把与“activeX控件及插件”有关的一切设为禁用

禁止outlookExpress的自动收发邮件功能

显示扩展名，避免病毒利用文件扩展名作文章

安装、使用杀毒软件将系统的网络连接的安全级别设置至少为“中等”

宏病毒采用哪些传播方式？

（1）宏病毒的传播方式

在word或其他office程序中，宏分成两种

①在某个文档中包含的内嵌宏，如Fileopen宏

②属于word应用程序，所有打开的文档公用的宏，如autoopen宏

word宏病毒一般都首先隐藏在一个指定的word文档中，一旦打开了这个word文档，

宏病毒就被执行，宏病毒要做的第一件事情就是将自己拷贝到全局宏的区域，使得所有打开的文档都可使用这个宏

当word退出的时候，全局宏将被存储在某个全局的模板文档（.dot文件）中，这个文件的

名字通常是“normal.dot”，即normal模板

如果全局宏模板被感染，则word再启动的时候将自动载入宏病毒并且自动执行

（2）宏病毒的防御

①禁止运行不安全的宏

②word被宏病毒感染之后（实际上是word使用的模板文档被感染），可以将其恢复正常

退出word，然后先到c盘根目录下查看是否存在autoexec.dot文件，如果存在，而你又不知道它是什么时侯出现的，删除之找到normal.dot文件，用先前的干净备份替换之或干脆删除之查看normal.dot所在目录是否还存在其他模板文件，如果存在且不是你自己拷贝进去的，删除之重新启动word，已经恢复正常

1、禁止修改注册表。

2、及时打系统补丁，尤其是及时把iE升级到最新版本,可以在很大程度上避免iE漏洞带来的安全隐患。

3、用360浏览器或Firefox浏览网页。

4、下载安装微软最新的microsoftwindowsScript，可以很大程度上预防恶意修改。

5、相当多的恶意网页是含有有害代码的activeX网页文件，因此在iE设置中将activeX插件和控件、Java脚本等禁止，或者把wSH（windowsScriptingHost）删除就在很大程度上避免中标。

1）禁止脚本运行2）删除wSH

6、安装杀毒软件并打开网页监控、文件监控和内存监控。

7、把fdisk.exe、deltree.exe、等危险的命令文件改名，以免被恶意代码利用，造成不必要的损失。

8、不要轻易访问浏览一些自己不了解的站点，特别是那些看上去美丽诱人的网址，否则吃亏的往往是我们。

9、为windowS系统文件夹里的HoSTS文件设置只读属性。

10、禁止访问已知的恶意网页／站点。

如何预防木马？

预防木马：

1、不要随便打开别人给你发过来的文件，（这个要小心，最好是打开病毒防火墙）2、不要点一些不健康的网页，因为这些网页是最容易放一些不明的代码，也就是恶意代码；

3、就是系统了，你要把你的管理员帐号密码设置的相对麻烦一些，当然要好记咯。

长度最好不要小于8位，也不要太长了。

也不要太简单。

大小写、特别的字符等等都可以的。

还有要关心一些官方网站发布的SP，及时打上SP，网络设置要好一些，不要开一些不必要的通讯端口。

总之，自己勤奋一些，养成一个好的上网、护理系统的习惯。

端口（netstat,FPort）

运行。

简述木马传播途径。

木马的传播方式主要有两种：

一种是通过E-maiL，控制端将木马程序以附件的形式夹在邮件中发送出去，收信人只要打开附件系统就会感染木马；

另一种是软件下载，一些非正规的网站以提供软件下载为名义，将木马捆绑在软件安装程序上，下载后，只要一运行这些程序，木马就会自动安装。

途径：

1、捆绑欺骗，2.网页木马法。

3、QQ冒名欺骗4、邮件冒名欺骗。

5、危险下载点。

6、文件夹惯性点击。

简述一下多态病毒的六个级别

根据病毒使用多态技术的复杂程度，多态病毒大致可以划分为6个级别：

（1）半多态:

病毒拥有一组解密算法，感染的时候从其中随机选择一种算法进行加密和感染。

（2）具有不动点的多态:

病毒有一条或几条语句是不变的（把这些不变的语句叫做不动点），其他病毒指令都是可变的。

（3）带有填充物的多态:

解密代码中包含一些没有实际用途的代码来干扰分析者的视线。

（4）算法固定的多态:

解密代码所使用的算法是固定的，但是实现这个算法的指令和指令的次序是可变的。

（5）算法可变的多态:

使用了上面所有的技术，同时解密的算法也是可以部分或者全部改变的。

（6）完全多态:

算法多态，同时病毒体可以随机分布在感染文件的各个位置，但是在运行的时候能够进行拼装，并且可以正常工作。

计算机病毒如何得知一个文件是不是PE文件？

最基本、简答的方法就是先看该文件的前两个字节是不是4d5a，如果不是，则已经说明不是PE文件，如果是，那么我们可以再doS程序头中的偏移3cH处的四个字节找到PE字串的偏移位置（e_ifanew）。

然后察看该偏移位置的四个字节是否是50\45\00\00，如果不是，说明不是PE文件，如果是，那么我们认为它是一个PE文件。

当然为了准确还需要再加上其它一些判断条件。

实际内存地址=基地址（即imageBase值）+相对虚地址（RVa）。

节表起始位置=directory（数据目录）的偏移地址+数据目录占用的字节数；

最后节表的末尾偏移（紧接其后用于写入一个新的病毒节）=节表起始位置+节的个数*（每个节表占用的字节数）。

简述一下嵌入文件的隐藏技术。

宏病毒的隐藏技术比引导型病毒要简单很多，只要在word/Excel中禁止菜单：

“文件”—>

“模板”或者“工具”—>

“宏”就可以隐藏病毒了，可以通过宏病毒代码删除菜单项，或者宏病毒用自己的FileTemplates和Toolsmacro宏替代体统缺省的宏。

当然，宏病毒还有其他一些隐藏技术，这在前面宏病毒一节已经有所介绍。

还有一些高级的病毒隐藏技术，需要大家细细揣摩。

除了宏病毒，由于现在各种格式文件之间的交叉引用越来越多，例如在word文档中插入恶意图片，或者将JavaScript恶意代码插入PdF文档，并在打开文档时运行中。

利用这样的方式，就可以很好地隐藏恶意代码，并完成恶意行为，而不被用户感知。

阐述计算机病毒的检测方法？

并分析哪种检测方法是最有效的？

特征码检测法、校验和检测法、感染实验法。

感染实验法是一种简单实用的检测病毒方法，这种方式的原理是利用病毒的最重要的基本特征感染性，所有的病毒都会感染，如果不会感染就不成其为病毒，如果系统中有异常行为，最新版本的检测工具也是检测不出来的，就可以做感染实验。

Pid、调用dLL、EXE文件（Tasklist）dLL查找对应的进程或服务

（Tasklist,iceSword）gpedit.msc），禁止指定的应用程序除相关的dLL、EXE

篇三：

木马通用的激活方式和清除方法

木马取自古希腊神话的特洛伊木马记，是一种基于远程控制的黑客工具，具有很强的隐藏性和危害性。

为了达到控制服务端主机的目的，木马往往要采用各种手段达到激活自己，加载运行的目的。

这里，我们简要的介绍一下木马通用的激活方式，它们的藏身地，并通过一些实例来让您体会一下手动清除木马的方法。

●在win.ini中启动木马：

在win.ini的[windows]小节中有启动命令“load=”和“run=”，在一般的情况下“=”后面是空的，如果后面跟有程序，比如：

run=c:

windowsile.exe

load=c:

则这个file.exe很有可能就是木马程序。

●在windowsXP注册表中修改文件关联：

修改注册表中的文件关联是木马常用的手段，如何修改的方法已在本系列的前几文中有过阐述。

举个例子，在正常情况下txt文件的打开方式为notepad.exe（记事本），但一旦感染了文件关联木马，则txt文件就变成条用木马程序打开了。

如著名的国产木马“冰河”，就是将注册表HKEY_cLaSSES_RooTxtfileshellopencommand子键分支下的键值项“默认”的键值“c:

windowsotepad.exe%1”修改为“c:

windowsSystemSysexplr.exe”，这样