惡意代碼概述一、選擇題下列不是各種惡意代碼明顯的共同特征的是？（C）。A、目的性 B、傳播性 C、應(yīng)用性 D、破壞性2、以下哪種程序不屬于惡意代碼？（A）。

A．widget

B．特洛伊木馬

C．僵尸程序

D．網(wǎng)絡(luò)蠕蟲3、不是惡意代碼流行特征的是（D）。A.通過網(wǎng)絡(luò)傳播 B.傳染面越來越廣 C.新惡意代碼越來越多 D.感染W(wǎng)ORD文件4、下面哪種方式可能導(dǎo)致感染惡意代碼?（D）A、瀏覽網(wǎng)頁 B、使用移動存儲設(shè)備 C、收發(fā)郵件 D、以上都是5、惡意代碼發(fā)作后的表現(xiàn)現(xiàn)象是？（D）A、無法啟動系統(tǒng) B、系統(tǒng)文件丟失 C、目錄結(jié)構(gòu)混亂 D、以上都是二．填空題計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。馮·諾依曼是現(xiàn)代計(jì)算機(jī)之父。Brain是第一個感染PC的惡意代碼。首例破壞計(jì)算機(jī)硬件的病毒是CIH病毒。一個完整的木馬系統(tǒng)由硬件部分、軟件部分和具體連接部分組成。三、判斷題1、惡意代碼的定義是運(yùn)行在目標(biāo)計(jì)算機(jī)上，使系統(tǒng)按照攻擊者意愿執(zhí)行任務(wù)的一組指令。對2、蠕蟲病毒最早出現(xiàn)在2010年6月，是世界上第一個包含PLCRootkit的計(jì)算機(jī)蠕蟲。對3、普通計(jì)算機(jī)病毒主要包括文件型病毒以及綜合型病毒。錯惡意代碼的擴(kuò)散與傳輸媒體的變化沒有太大的關(guān)系。錯惡意代碼的種類繁多，入侵后引發(fā)的異?，F(xiàn)象也千奇百怪，因此不可能一一列舉。對四、簡答題1、計(jì)算機(jī)病毒的定義。（P1）答：計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。2、惡意代碼3個明顯的共同特征，并加以簡單分析。（P3）答：1.目的性：目的性是惡意代碼的基本特征，是判別一個程序或代碼片段是否為惡意代碼的最重要的特征，也是法律上判斷惡意代碼的標(biāo)準(zhǔn)。2.傳播性：傳播性是惡意代碼體現(xiàn)其生命力的重要手段。3.破壞性：破壞性是惡意代碼的表現(xiàn)手段。3、惡意代碼的主要傳播途徑有哪些？（P14）答：軟盤；光盤；硬盤；Internet；無線通信系統(tǒng)4、根據(jù)CARO命名規(guī)則，每一種惡意代碼的命名包括哪5個部分？CARO規(guī)則有哪些附加內(nèi)容？（P20）答：1（1）家族民（2）組名（3）大變種（4）小變種（5）修改者（1）不用地點(diǎn)命名。（2）不用公司或商標(biāo)命名。（3）如果已經(jīng)有了名稱就不再另定義別名。（4）變種是子類。5、簡述惡意代碼當(dāng)前的發(fā)展趨勢。（P22）答：1.網(wǎng)絡(luò)化發(fā)展2.專業(yè)化發(fā)展3.簡單化發(fā)展4.多樣化發(fā)展5.自動化發(fā)展6.犯罪化發(fā)展五、論述題1、惡意代碼的概念和其3個明顯的共同特征。惡意代碼的定義描述為：惡意代碼是在未被授權(quán)的情況下，以破壞軟硬件設(shè)備、竊聽用戶信息、擾亂用戶心理、干擾用戶正常使用為目的而編制的軟件或代碼片段。這個定義涵蓋的范圍非常廣泛，它包含了所有敵意、插入、干擾、討厭的程序和源代碼。一個軟件被看作是惡意主要是依據(jù)創(chuàng)作者的意圖，而不是惡意代碼本身的特征。根據(jù)上述定義，惡意代碼將包括計(jì)算機(jī)病毒、蠕蟲、特洛伊、Rookit、間諜軟件、惡意廣告、流氓軟件、邏輯炸彈、后門、僵尸網(wǎng)絡(luò)、網(wǎng)絡(luò)釣魚、惡意腳本、垃圾信息、智能終端惡意代碼等惡意或討厭的軟件及代碼片段。惡意代碼的3個明顯的共同特征：1.目的性：目的性是惡意代碼的基本特征，是判別一個程序或代碼片段是否為惡意代碼的最重要的特征，也是法律上判斷惡意代碼的標(biāo)準(zhǔn)。2傳播性：傳播性是惡意代碼體現(xiàn)其生命力的重要手段。3破壞性：破壞性是惡意代碼的表現(xiàn)手段。2、惡意代碼的表現(xiàn)現(xiàn)象。惡意代碼的表現(xiàn)現(xiàn)象分為三大類：發(fā)作前、發(fā)作時和發(fā)作后的表現(xiàn)現(xiàn)象。惡意代碼發(fā)作前主要是以潛伏、傳播為主，會用各種手段隱藏自己，并同時進(jìn)行傳播。表現(xiàn)出的現(xiàn)象為：陌生人發(fā)來的電子郵件、磁盤空間迅速減少、計(jì)算機(jī)突然死機(jī)、無法正常開機(jī)、運(yùn)行速度變慢、部分軟件出現(xiàn)內(nèi)存不足、應(yīng)用程序經(jīng)常死機(jī)或非法錯誤、系統(tǒng)文件屬性發(fā)生變化、無法對磁盤進(jìn)行寫操作、網(wǎng)絡(luò)驅(qū)動器或共享目錄無法調(diào)用。惡意代碼發(fā)作時是滿足發(fā)作條件，進(jìn)行破壞行為。常見現(xiàn)象為：硬盤燈持續(xù)閃爍、無故播放音樂、不相干的提示、無故出現(xiàn)特定圖像、突然出現(xiàn)算法游戲、改變Windows桌面圖標(biāo)、計(jì)算機(jī)突然死機(jī)或重啟、自動發(fā)送電子文件、鼠標(biāo)指針無故一點(diǎn)。惡意代碼發(fā)作后后給計(jì)算機(jī)系統(tǒng)帶來破壞性后果。主要表現(xiàn)后果為：無法啟動系統(tǒng)、系統(tǒng)文件丟失或被破壞、部分BIOS程序混亂、部分文檔丟失或被破壞、部分文檔自動加密、目錄結(jié)構(gòu)出現(xiàn)混亂、網(wǎng)絡(luò)無法提供正常服務(wù)、瀏覽器自動訪問非法網(wǎng)絡(luò)。一、填空題目前病毒采用的觸發(fā)條件主要有：（1）日期觸發(fā)（2）時間觸發(fā)（3）鍵盤觸發(fā)（4）感染觸發(fā)（5）啟動觸發(fā)（6）訪問磁盤次數(shù)觸發(fā)（7）CPU型號/主板型號觸發(fā)。傳統(tǒng)計(jì)算機(jī)病毒一般由感染模塊、觸發(fā)模塊、破壞模塊和引導(dǎo)模塊四大部分組成。關(guān)于惡意代碼的預(yù)防理論體系，F(xiàn).Cohen提出了（1）基本隔離模型（2）分隔模型（3）流模型（4）限制解釋模型圖靈機(jī)是基于有限狀態(tài)自動機(jī)提出的，也就是說，在讀寫附加磁盤帶的同時TM修改自己的實(shí)際狀態(tài)。如果病毒在傳播期間附加在可執(zhí)行的文件上，那么稱這種方式為直接的傳播方式。如果病毒在傳播期間附加在不可執(zhí)行文件上，那么稱這種方式為間接的傳播模式。判斷題任何一種輸入導(dǎo)致破壞以及破壞的形式都與被感染的程序有關(guān)，與病毒本身無關(guān)。（×）計(jì)算機(jī)病毒的寄生方式有三種。（×）計(jì)算機(jī)病毒的傳染方式基本可分為兩大類。（√）計(jì)算機(jī)病毒寄生的目的是找機(jī)會執(zhí)行引導(dǎo)模塊。（√）傳染是病毒的本質(zhì)。（√）選擇題（B）提出了基于圖靈機(jī)模型的計(jì)算機(jī)病毒理論，該理論非常適合探討病毒和現(xiàn)有計(jì)算機(jī)體系之間的關(guān)系。

A.Cohen

B.Ferenc

C.Adleman

D.Turing2、當(dāng)病毒只能以專用計(jì)算機(jī)的傳播方式進(jìn)行傳播時，該病毒便被稱為（A）。

A.專用計(jì)算機(jī)的病毒

B.獨(dú)立于計(jì)算機(jī)的病毒

C.專用操作系統(tǒng)的病毒

D.獨(dú)立于操作系統(tǒng)的病毒

3、當(dāng)病毒具有多形態(tài)傳播方式，卻很少使用多形態(tài)性時，該病毒被稱為（C）。

A.多態(tài)型病毒

B.少態(tài)型病毒

C.不活躍的多態(tài)型病毒

D.不活躍的少態(tài)型病毒

4、以下哪個不屬于計(jì)算機(jī)病毒的引導(dǎo)過程（D）。

A.駐留于內(nèi)存中

B.竊取系統(tǒng)操作權(quán)

C.恢復(fù)系統(tǒng)功能

D.將病毒自身從一方傳遞到另一方

5、以下哪個不屬于F.Cohen提出的“四模型”理論。（D）

A.基本隔離模型

B.分隔模型

C.限制解釋模型

D

類IPM模型簡單題1、計(jì)算機(jī)病毒的引導(dǎo)過程一般包括哪三個方面？（1）駐留在內(nèi)存中；（2）竊取系統(tǒng)控制權(quán)；（3）恢復(fù)系統(tǒng)功能。2、F.Cohen提出的“四模型”理論中，“四模型”是指哪四個模型？（1）基本隔離模型；（2）分隔模型；（3）流模型；（4）限制解釋模型。3、傳統(tǒng)計(jì)算機(jī)病毒由哪四大模塊組成？傳統(tǒng)計(jì)算機(jī)病毒，一般由感染模塊、觸發(fā)模塊、破壞模塊和引導(dǎo)模塊四大部分組成。4、感染的定義？感染是指計(jì)算機(jī)病毒由一個載體傳播到另一個載體，由一個系統(tǒng)進(jìn)入另一個系統(tǒng)的過程。5、文件型病毒通過與磁盤文件有關(guān)的操作進(jìn)行傳染，主要的傳播途徑有哪3個？（1）加載執(zhí)行文件；（2）瀏覽目錄過程；（3）創(chuàng)建文件過程。分析題或兩個名詞圖靈機(jī)模型由哪幾部分組成？（1）一條無限長的紙帶TAPE。紙帶被劃分為一個接一個的小格子，每個格子上包含一個來自有限字母表的符號，字母表中有一個特殊的符號表示空白。紙帶上的格子從左到右依此被編號為0,1,2,...，紙帶的右端可以無限伸展。（2）一個讀寫頭HEAD。該讀寫頭可以在紙帶上左右移動，它能讀出當(dāng)前所指的格子上的符號，并能改變當(dāng)前格子上的符號。（3）一套控制規(guī)則TABLE。它根據(jù)當(dāng)前機(jī)器所處的狀態(tài)以及當(dāng)前讀寫頭所指的格子上的符號來確定讀寫頭下一步的動作，并改變狀態(tài)寄存器的值，令機(jī)器進(jìn)入一個新的狀態(tài)。（4）一個狀態(tài)寄存器。它用來保存圖靈機(jī)當(dāng)前所處的狀態(tài)。圖靈機(jī)的所有可能狀態(tài)的數(shù)目是有限的，并且有一個特殊的狀態(tài)，稱為停機(jī)狀態(tài)。名詞1、什么方式稱為多形態(tài)的傳播方式？當(dāng)有兩個程序區(qū)被同樣的病毒一指令傳播方式感染，并且病毒程序的代碼順序不同時。2、什么病毒被稱為多態(tài)型病毒？當(dāng)病毒具有多形態(tài)傳播方式時。判斷題新買回來的從未格式化的U盤可能會帶有計(jì)算機(jī)病毒。（√）網(wǎng)絡(luò)防火墻主要用于防止網(wǎng)絡(luò)中的計(jì)算機(jī)病毒。（×）計(jì)算機(jī)病毒只會破壞磁盤上的數(shù)據(jù)和文件。（×）發(fā)現(xiàn)計(jì)算機(jī)病毒后，比較徹底的清除方式是格式化磁盤.（√）計(jì)算機(jī)病毒是一種具有自我復(fù)制功能的指令序列。（√）選擇題1、宏病毒與普通病毒不同，他只感染（A）A、文檔文件B、EXE文件C、COM文件D、NE文件2、最簡單的可執(zhí)行文件是（C）A、文檔文件B、EXE文件C、COM文件D、NE文件3、COM文件是一種（B）文件，其執(zhí)行文件代碼和執(zhí)行時內(nèi)存映像完全相同A、多段執(zhí)行結(jié)構(gòu)B、單段執(zhí)行結(jié)構(gòu)C、雙段執(zhí)行結(jié)構(gòu)D、半段執(zhí)行結(jié)構(gòu)4、Windows操作系統(tǒng)運(yùn)行在保護(hù)模式，保護(hù)模式將指令執(zhí)行分為（D）個特權(quán)級A、1B、2C、3D、45、為加載一個COM程序，DOS試圖分配內(nèi)存，因?yàn)镃OM程序必須位于一個（B）的段中，所以COM文件的大小不能超過65024BA、32B、64C、128D、256填空題計(jì)算機(jī)病毒是編制或者在計(jì)算機(jī)程序中插入的破壞_或者_(dá)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。（計(jì)算機(jī)功能；破壞數(shù)據(jù)）計(jì)算機(jī)病毒的特征包括_、_、_、_、_。(傳染性、破壞性、寄生性、隱蔽性、潛伏性)宏病毒的特點(diǎn)是_、_、_、地域性問題、版本問題、破壞可能性極大。（傳播極快；制作方便；多平臺交叉感染）在DOS操作系統(tǒng)時代，計(jì)算機(jī)病毒可以分成_和_兩大類。(引導(dǎo)區(qū)病毒；可執(zhí)行文件型病毒)特洛伊木馬作為一種特殊的計(jì)算機(jī)病毒，其首要特征是_。(沒有傳染性)論述題1.請簡述引導(dǎo)型病毒感染過程、在引導(dǎo)操作系統(tǒng)之前病毒的工作：（53頁）參考答案：（1）過程：引導(dǎo)型病毒首先感染軟盤的引導(dǎo)區(qū)，然后再蔓延至硬盤并感染硬盤的主引導(dǎo)記錄，然后試圖感染軟驅(qū)中的軟盤引導(dǎo)區(qū)；（2）病毒的工作：①減少系統(tǒng)可用最大內(nèi)存量，以供自己使用②修改必要的中斷向量，以便傳播③讀入病毒的其他部分，進(jìn)行病毒的拼裝。2.請簡述什么是宏、宏病毒的特點(diǎn)：（73、74頁）參考答案：（1）宏就是一些命令組織在一起，作為一個單獨(dú)單元完成一個特定任務(wù)；（2）特點(diǎn)：①宏病毒不感染EXE文件和COM文件，也不需要通過引導(dǎo)區(qū)傳播，只感染文檔文件②傳播快、制作方便，變種多、破壞可能性大③多平臺交叉感染④存在地域性問題和版本問題。簡答題1、什么是引導(dǎo)型病毒引導(dǎo)型病毒是感染軟盤的引導(dǎo)區(qū),然后蔓延至硬盤并感染硬盤的主引導(dǎo)記錄或引導(dǎo)型病毒指寄生在磁盤引導(dǎo)區(qū)或主引導(dǎo)區(qū)的計(jì)算機(jī)病毒2、引導(dǎo)型病毒的工作過程由于病毒隱藏在軟盤的第一扇區(qū),使它可以在系統(tǒng)文件裝入內(nèi)存之前,先進(jìn)入內(nèi)存,從而獲得對操作系統(tǒng)的完全控制,這就使它得以傳播并造成危害。3、COM文件病毒的感染過程先將開始的3個字節(jié)保存在orgcode中，并將這3個字節(jié)更改為0E9H和COM文件的實(shí)際大小的二進(jìn)制編碼。然后在病毒的返回部分，將3個字節(jié)改為0E9H和表達(dá)式（當(dāng)前地址－COM文件的實(shí)際大小+病毒代碼大?。┑亩M(jìn)制編碼，以便在執(zhí)行完病毒后轉(zhuǎn)向執(zhí)行原程序，最后將病毒寫入原COM文件的后邊。4、什么是PE文件及其功能PE（可移植的執(zhí)行體）是Win32環(huán)境自身所帶的可執(zhí)行文件格式。它的一些特性繼承自Unix的Coff文件格式。可移植的執(zhí)行體意味著此文件格式是跨win32平臺的，即使Windows運(yùn)行在非Intel的CPU上，任何win32平臺的PE裝載器都能識別和使用該文件格式。5、簡述宏病毒的特點(diǎn)傳播極快，制作、變種方便，破壞可能性極大，多平臺交叉感染，地域性問題，版本問題一、填空1、Linux腳本型惡意代碼的核心語句（實(shí)現(xiàn)自我復(fù)制的語句）cp$0$file2、感染ELF文件的PLT表是利用了PLT在搜索庫調(diào)用時的重要性3、原型病毒設(shè)計(jì)的大致思想是先把病毒體編譯成目標(biāo)文件4、病毒體程序?qū)崿F(xiàn)可以分為4個模塊、分別是初始化模塊、程序頭表處理模塊、節(jié)頭表處理模塊以及收尾模塊5、LKM內(nèi)核模塊屬于ELF目標(biāo)文件二、判斷1.Shell惡意腳本是Linux系統(tǒng)下惡意代碼的一種。（√）2.惡意代碼的核心是能夠自我復(fù)制，其核心語句是”forfilejin*”(×)(cp$0$file)3.Linux下的病毒種類有Lion蠕蟲、跨Windows和Linux平臺等病毒。（√）4．LinuxELF病毒原型主要由C語言編寫，少部分無法由C語言來完成的底層操作采取GCC內(nèi)嵌匯編的方式實(shí)現(xiàn)。（√）5.非ELF相關(guān)的的感染方法有覆蓋式感染和追加式感染兩類。（√）三、選擇按照編制機(jī)理可以把Linux系統(tǒng)下的惡意代碼分為(A)類。A、4 B、3 C、2 D、5LKM感染技術(shù)不包含的函數(shù)為（A）main()函數(shù)B、init_module()函數(shù)C、cleanup_module()函數(shù)D、creat_module（）函數(shù)用來修訂文件中兩個宏定義的bash腳本文件的是（A）get_patch.shinfector.cC、virus.cD、virus.h下列屬于高級感染技術(shù)的是（A）A、PLT/GOT劫持實(shí)現(xiàn)B、覆蓋式感染C、追加式感染D、數(shù)據(jù)段之后插入感染EFL是為工作在32位不同操作系統(tǒng)之間可移植的（A）文件格式。A、二進(jìn)制B、八進(jìn)制C、十進(jìn)制D、十六進(jìn)制四、簡單1簡單概述Linux系統(tǒng)下惡意代碼的分類Shell惡意腳本，蠕蟲，基于欺騙庫函數(shù)惡意代碼，與平臺兼容的惡意代碼2利用ELF格式的感染方法有哪些文本段之后填充，數(shù)據(jù)段以后插入感染，文本段之前插入感染，利用函數(shù)對齊填充區(qū)感染，利用NOTE段或者擴(kuò)展.note節(jié)3ELF文檔包含哪3個部分目標(biāo)文件，程序裝載和動態(tài)鏈接，c語言庫4無關(guān)ELF格式的感染方法有哪些覆蓋式感染，追加式感染，擴(kuò)展注釋節(jié)5plt實(shí)現(xiàn)重定向的算法具體描述是？將文本段改為可寫權(quán)限，保存plt入口點(diǎn)，使用新的庫調(diào)用地址替代原入口，對新的庫調(diào)用中代碼的修改實(shí)現(xiàn)新的庫調(diào)用的功能，保存原來的plt入口，調(diào)用原來的庫調(diào)用五、論述問：ElF格式文件的感染類型及原理分析無關(guān)ELF格式的感染方法覆蓋式感染：有些病毒會強(qiáng)行覆蓋執(zhí)行程序的某一部分，將自身嵌入其中，以達(dá)到不改變被感染文件長度的目的，被這樣的病毒覆蓋掉的代碼無法復(fù)原，從而這種病是無法被安全殺除的。2.追加式感染：將病毒體直接追加到宿主文件中，或者將宿主追加到病毒體之后，并不存在覆蓋宿主文件的行為，從而宿主文件被感染成單純的病毒體和原宿主文件的合體，在病毒文件執(zhí)行后將控制權(quán)還給宿主。利用ELF格式的感染方法文本段之后填充：這種方法式利用在可以提供合適的承載空間的文本段的末尾進(jìn)行頁面填充的方法。數(shù)據(jù)段之后插入感染：在數(shù)據(jù)段默認(rèn)可執(zhí)行的UNIX系統(tǒng)中，通過擴(kuò)展數(shù)據(jù)段包含進(jìn)插入的寄生代碼來感染文件。文本段之前插入感染：新的文本段病毒感染方法式將文本段向低地址擴(kuò)展，并且使病毒代碼在擴(kuò)展的空間內(nèi)執(zhí)行。利用函數(shù)對齊填充區(qū)感染：由于函數(shù)填充區(qū)一般較小，需要將病毒分割成幾個段，修改每段的最后部分，添加跳轉(zhuǎn)語句，將病毒各個段分別放進(jìn)不同的函數(shù)填充區(qū)中。利用NOTE段或者擴(kuò)展.note節(jié)：高級感染技術(shù)LKM感染技術(shù)：LKM具有相對靈活的使用方式和強(qiáng)大功能，可以被動態(tài)地加載，而不需要重新編譯內(nèi)核。對于病毒而言有很多好處，隱藏文件和進(jìn)程等但是使用LKM式比較麻煩的，需要較高的技術(shù)要求。2.PLT/GOT劫持實(shí)現(xiàn)：感染ELF文件表式利用了PLT在搜索庫調(diào)用時的重要性，可以修改相關(guān)代碼來跳轉(zhuǎn)到自己定義的感染代碼中，取代原來的庫調(diào)用，實(shí)現(xiàn)斌單病毒傳染。通多感染可執(zhí)行文件并修改PLT表導(dǎo)致共享庫重定向來實(shí)現(xiàn)病毒，并且在取代之前保存原來的GOT狀態(tài)，可以在執(zhí)行完病毒代碼后重新調(diào)用回復(fù)原來的庫調(diào)用。填空題一個完整的木馬系統(tǒng)由硬件部分、軟件部分和具體鏈接部分組成。綜合現(xiàn)在流行的木馬程序，他們都有欺騙性、隱蔽性、自動運(yùn)行性、自動恢復(fù)功能、功能的特殊性這幾個基本特征。木馬有遠(yuǎn)程控制型木馬、發(fā)送密碼型木馬、鍵盤記錄型木馬、毀壞型木馬、FTP型木馬。木馬程序的攻擊方式是通過Client端程序向Server端程序發(fā)送指令，Server端接收到控制指令后，根據(jù)指令內(nèi)容在本地執(zhí)行相關(guān)程序段，然后把程序結(jié)果返回給Client端。反彈式木馬使用的是系統(tǒng)信任的端口，系統(tǒng)就會認(rèn)為木馬是普通應(yīng)用程序，而不對其連接進(jìn)行檢查。二、選擇題下列哪項(xiàng)不屬于木馬程序的特征（C）A、欺騙性 B、隱蔽性 C、完整性 D、自動運(yùn)行性2、下列關(guān)于特洛伊木馬病毒的敘述中，正確的有（A） A、木馬病毒能夠盜取用戶信息 B、木馬病毒偽裝成不合法軟件進(jìn)行傳播 C、木馬病毒運(yùn)行時會在任務(wù)欄產(chǎn)生一個圖標(biāo) D、木馬病毒不會自動運(yùn)行3、以下哪項(xiàng)是著名特洛伊木馬“網(wǎng)絡(luò)神偷”采用的隱藏技術(shù)（B） A、ICMP協(xié)議技術(shù) B、反彈式木馬技術(shù) C、遠(yuǎn)程線程技術(shù) D、隱藏端口技術(shù)4、下列（D）不是常用程序的默認(rèn)端口。 A、21 B、80 C、23 D、80805、關(guān)于特洛伊木馬的植入方法，下列說法不正確的是（B）郵件植入 B、系統(tǒng)生成 C、文件下載 D、IM植入三、判斷題1、特洛伊木馬發(fā)展的第二階段出現(xiàn)了基于ICMP協(xié)議的木馬。（×）2、特洛伊木馬是一種特殊的程序，能配合遠(yuǎn)程計(jì)算機(jī)被其利用通過網(wǎng)絡(luò)在遠(yuǎn)端控制用戶計(jì)算機(jī)。（√）3、木馬是一種計(jì)算機(jī)病毒。（√）4、特洛伊木馬具有隱蔽性和穩(wěn)定性的特點(diǎn)。（×）5、一臺計(jì)算機(jī)中了特洛伊木馬病毒后，可能會發(fā)生數(shù)據(jù)丟失，被破壞的情況。（√）四、簡答題1、簡述特洛伊木馬病毒的特點(diǎn)答：1、隱蔽性。2、自動運(yùn)行性。3、欺騙性。4、頑固性。5、易植入性。2、簡述特洛伊木馬功能答：1、竊取用戶文件。2、接受木馬釋放者的指令。3、篡改文件和數(shù)據(jù)。4、刪除文件和數(shù)據(jù)。5、施放病毒。6、使系統(tǒng)自毀。3、簡述木馬的防范策略答：1、不執(zhí)行來歷不明的軟件2、不隨便打開郵件附件3、重新選擇新的客戶端軟件4、盡量少用或不用共享文件夾5、實(shí)時監(jiān)控4、簡單說說木馬的種類有哪些？答：1、破壞型2、密碼發(fā)送型3、遠(yuǎn)程訪問型4、鍵盤記錄木馬5、Dos攻擊木馬6、代理木馬7、FTP木馬8、程序殺手木馬9、反彈端口型木馬5、簡述木馬病毒的啟動方式答：1、通過“開始\程序\啟動”2、通過Win.ini文件3、通過注冊表啟動通過：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce等等4、通過Autoexec.bat文件，或winstart.bat，config.sys文件5、通過System.ini文件6、通過某特定程序或文件啟動五、論述題 1、公司最近要求小王出一期有關(guān)特洛伊木馬病毒的研討會，小王正在發(fā)愁如何敘述特洛伊木馬病毒的工作流程，你能幫他說一下嗎？如果你中了特洛伊木馬病毒，作為信安的學(xué)生談?wù)勀闳绾螌⑵洳闅?。?端口掃描、查看連接、檢查注冊表、查找文件、殺病毒文件、系統(tǒng)文件檢查器，結(jié)合以上內(nèi)容可自行發(fā)揮。選擇1.下列不是早期手機(jī)環(huán)境的弱點(diǎn)的是（）系統(tǒng)相對封閉創(chuàng)作空間狹窄病毒威脅較多數(shù)據(jù)格式單調(diào)答案：C2.Cabir系列病毒式什么類型的病毒（）蠕蟲病毒木馬病毒腳本病毒宏病毒答案：A3.防止設(shè)備免受或少受安全威脅的主要防范措施有（）隨便下載文件注意來電信息打開無線連接不進(jìn)行系統(tǒng)升級答案：B4.下列不是移動終端惡意代碼攻擊方式的是（）消息攻擊攻擊網(wǎng)關(guān)木馬型惡意代碼直接攻擊手機(jī)答案：A5.VBS.Timofonica病毒感染短信平臺后，通過短信平臺向用戶發(fā)送垃圾信息或廣告。其傳播途徑是（）終端-終端終端-網(wǎng)關(guān)-終端PC（計(jì)算機(jī)）-終端終端-網(wǎng)關(guān)-PC（計(jì)算機(jī)）-終端答案：B填空移動終端惡意代碼主要通過（終端-終端）、（終端-網(wǎng)關(guān)-終端）、（PC<計(jì)算機(jī)>-終端）的途徑進(jìn)行攻擊。移動終端惡意代碼以移動終端為感染對象，以（無線通信網(wǎng)絡(luò)）和（計(jì)算機(jī)網(wǎng)絡(luò)）為平臺，通過發(fā)送惡意短信等形式，對終端設(shè)備進(jìn)行攻擊，從而造成設(shè)備狀態(tài)異常。從攻擊對象看，移動終端惡意代碼可分為短信攻擊、直接攻擊手機(jī)、（攻擊網(wǎng)關(guān)）、（攻擊漏洞）和（木馬型惡意代碼）五種類型。Android由（操作系統(tǒng)）、（中間件）和（應(yīng)用程序）組成，是首個為（移動終端）打造的真正開放和完整的移動軟件。根據(jù)功能不同，移動終端主要包括（手機(jī)）和（PDA）兩大類。判斷不具備審計(jì)能力是移動端操作系統(tǒng)的弱點(diǎn)之一（T）目前，移動終端惡意代碼主要通過幾種途徑進(jìn)行攻擊：終端-終端、終端-網(wǎng)關(guān)-終端、終端-PC（F）原因：最后一個應(yīng)該是PC-終端移動終端惡意代碼的攻擊方式有：短信攻擊、直接攻擊手機(jī)、攻擊網(wǎng)關(guān)、攻擊漏洞、木馬型惡意代碼。（T）目前為止，曾經(jīng)被惡意代碼利用的漏洞有：特殊字符漏洞、vCard漏洞、Simens的“%String”漏洞、ios瀏覽器漏洞（F）原因：最后一個應(yīng)為Android瀏覽器漏洞迄今為止，移動終端惡意代碼沒有明確的定義（T）簡答簡述移動終端的基本概念？移動終端或者叫移動通信終端是指可以在移動中使用的計(jì)算機(jī)設(shè)備包括手機(jī)、筆記本、平板電腦、POS機(jī)甚至包括車載電腦手機(jī)操作系統(tǒng)的弱點(diǎn)？不支持任意的訪問控制。不具備審計(jì)能力。缺少通過使用身份標(biāo)識符或者身份認(rèn)證進(jìn)行重用控制的能力。不對數(shù)據(jù)完整性進(jìn)行保護(hù)。移動終端設(shè)備的漏洞？PDU格式漏洞特殊字符漏洞vCard漏洞Siemens的“%String”漏洞Android瀏覽器漏洞移動終端惡意代碼的攻擊方式短信攻擊直接攻擊手機(jī)攻擊網(wǎng)關(guān)攻擊漏洞木馬型惡意代碼移動終端惡意代碼傳播途徑終端-終端終端-網(wǎng)關(guān)-終端PC-終端分析1.請分析Cabir系列病毒作用機(jī)制Cabir是一個使用藍(lán)牙傳播的蠕蟲，運(yùn)行于支持60系列平臺的Symbian手機(jī)。其首先通過藍(lán)牙連接復(fù)制，作為包含蠕蟲的caribe.sis文件到達(dá)手機(jī)收件箱，當(dāng)用戶點(diǎn)擊并選擇caribe.sis時，蠕蟲激活并開始通過藍(lán)牙尋找新的手機(jī)進(jìn)行感染，當(dāng)Cabir蠕蟲發(fā)現(xiàn)另一個藍(lán)牙手機(jī)時，它將開始向其發(fā)送感染SIS文件并鎖定這個手機(jī)，以至于即使目標(biāo)離開范圍時它也不會尋找其他手機(jī)。2.請分析移動終端操作系統(tǒng)的弱點(diǎn)移動終端操作系統(tǒng)的弱點(diǎn)主要體現(xiàn)在以下幾個方面：①不支持任意的訪問控制，也就是說，它不能區(qū)分一個用戶同另一個用戶的個人私密數(shù)據(jù)。②不具備審計(jì)能力。③缺少通過身份標(biāo)識符或者身份認(rèn)證進(jìn)行重用控制的能力。④不對數(shù)據(jù)完整性進(jìn)行保護(hù)。⑤即使部分系統(tǒng)有密碼保護(hù)，惡意用戶仍然可以使用調(diào)試模式輕易得到他人的密碼，或者使用PlamCrypt這樣簡單的工具得到密碼。⑥在密碼鎖定的情況下，移動終端操作系統(tǒng)仍然允許安裝新的應(yīng)用程序。第七章一、判斷（√/×）1.蠕蟲病毒以計(jì)算機(jī)為載體，以網(wǎng)絡(luò)為攻擊對象，不具有自身復(fù)制的功能 ×2.蠕蟲的傳播無需用戶操作，也不必通過“宿主“程序或文件 √3.蠕蟲病毒會使商業(yè)網(wǎng)絡(luò)和整個Internet的速度減慢 √4.蠕蟲病毒自2005年底到今天依然排在病毒危害排行榜的首位 √5.蠕蟲的工作原理與病毒相似，但蠕蟲沒有感染文件階段 ×二、選擇1.下列計(jì)算機(jī)病毒不是蠕蟲病毒的是（C）A.沖擊波B.震蕩波C.CHID.尼姆達(dá)2.下列不屬于蠕蟲病毒的是（A）A.熊貓燒香B.特洛伊木馬C.宏病毒3．蠕蟲和傳統(tǒng)計(jì)算機(jī)病毒的區(qū)別主要體現(xiàn)在（D）上。A.存在形式B.傳染形式C.傳染目標(biāo)D.破壞方式4．蠕蟲的特征包括（ABCDEF）。（多選）利用漏洞主動進(jìn)行攻擊與黑客技術(shù)相結(jié)合傳染方式多傳染速度快清楚難度大破壞性強(qiáng)5．蠕蟲病毒由主程序和引導(dǎo)程序兩部組成。而主程序中最重要的是傳播模塊，以下（D）不是傳播模塊的步驟。A.掃描B.攻擊C.復(fù)制D.破壞三、填空1.蠕蟲和特洛伊木馬的主要區(qū)別應(yīng)該體現(xiàn)在破壞目的上。2.“震網(wǎng)”攻擊具有攻擊目標(biāo)明確、采用技術(shù)先進(jìn)的特點(diǎn)。3.蠕蟲病毒的主程序中含有傳播模塊，傳播模塊的入侵可以分為掃描、攻擊、復(fù)制3個步驟，以實(shí)現(xiàn)蠕蟲病毒的主動入侵。4.從編程的角度來看，蠕蟲病毒由兩部分組成：主程序、引導(dǎo)程序。5.試舉例一個蠕蟲的可利用傳播途徑：文件、電子郵件，web服務(wù)器、web腳本、u盤和網(wǎng)絡(luò)共享。（其一便可）四、簡答根據(jù)攻擊對象不同對蠕蟲進(jìn)行的分類，請分別進(jìn)行概述。（1）面向企業(yè)用戶和局域網(wǎng)而言，這種病毒利用系統(tǒng)漏洞，主動進(jìn)行攻擊，可以對整個互聯(lián)網(wǎng)可造成癱瘓性的后果。以“紅色代碼”、“尼姆達(dá)”以及最新的“SQL蠕蟲王”為代表。（2）針對個人用戶的，通過網(wǎng)絡(luò)（主要是電子郵件、惡意網(wǎng)頁形式）迅速傳播的蠕蟲病毒，以愛蟲病毒、求職信病毒為代表。蠕蟲病毒對用戶安全威脅性更大，簡要描述蠕蟲的特征。利用漏洞進(jìn)行主動攻擊：主要是“紅色代碼”和“尼姆達(dá)”，由于IE瀏覽器的漏洞，使得感染了病毒的郵件再不去手動打開附件的情況下就能激活病毒。與黑客技術(shù)相結(jié)合：主要是“紅色代碼”，感染后計(jì)算機(jī)的web目錄的scripts下將生成一個root,exe，可以遠(yuǎn)程執(zhí)行任何命令，使黑客進(jìn)入。傳染方式多：利用文件、電子郵件、wrb瀏覽器、web腳本、U盤、網(wǎng)絡(luò)共享等等傳播。傳播速度快：蠕蟲病毒不僅能迅速傳染局域網(wǎng)內(nèi)所有計(jì)算機(jī)，還能通過遠(yuǎn)程工作站傳播到千里之外。清除難度大：由于網(wǎng)絡(luò)中只要有一臺工作站未能將病毒查殺干凈就能造成整個網(wǎng)絡(luò)癱瘓，甚至剛完成查殺工作的也會被感染破壞性強(qiáng)：蠕蟲病毒破壞性巨大，論述蠕蟲病毒有哪些危害？在網(wǎng)絡(luò)環(huán)境下，蠕蟲可以按指數(shù)增長模式進(jìn)行傳染。它侵人計(jì)算機(jī)網(wǎng)絡(luò)，可以導(dǎo)致計(jì)算機(jī)網(wǎng)絡(luò)效率急劇下降、系統(tǒng)資源遭到嚴(yán)重破壞，短時間內(nèi)造成網(wǎng)絡(luò)系統(tǒng)的癱瘓，因此網(wǎng)絡(luò)環(huán)境下蠕蟲防治曾經(jīng)是計(jì)算機(jī)防毒領(lǐng)域的研究重點(diǎn)。簡要概括RPC漏洞的基本原理RPC中處理通過TCP/IP的消息交換的部分有一個漏洞。此問題是由錯誤地處理格式造成的。當(dāng)存在RPC遠(yuǎn)程執(zhí)行漏洞(MS08-067)的系統(tǒng)收到攻擊者構(gòu)造的RPC請求時，可能允許遠(yuǎn)程執(zhí)行惡意代碼，引起安裝程序、查看或更改、刪除數(shù)據(jù)或者是建立系統(tǒng)管理員權(quán)限的賬戶等,而無須通過認(rèn)證。在Windows2000、WindowsXP和WindowsServer200系統(tǒng)中，利用這一漏洞，攻擊者可以通過惡意構(gòu)造的網(wǎng)絡(luò)包直接發(fā)起攻擊，無須通過認(rèn)證地運(yùn)行任意代碼，并且獲取完整的權(quán)限。沖擊波病毒的攻擊行為有哪些？舉例說明（至少3例）沖擊波運(yùn)行時會將自身復(fù)制到window目錄下,并命名為msblastexe。沖擊波運(yùn)行時會在系統(tǒng)中建立一個名為BILLY的互斥量,目的是沖擊波只保證在內(nèi)存中有一份副本,為了避免用戶發(fā)現(xiàn)。沖擊波運(yùn)行時會在內(nèi)存中建立一個名為msblastexe的進(jìn)程,該進(jìn)程就是活的病毒體。五、論述1、你認(rèn)為蠕蟲與特洛伊木馬的主要區(qū)別體現(xiàn)在哪個方面，請舉例說明：蠕蟲與特洛伊木馬的主要區(qū)別體現(xiàn)在破壞目的上，與傳統(tǒng)計(jì)算機(jī)病毒類似蠕蟲破壞目的是純粹的破壞，例如耗費(fèi)網(wǎng)絡(luò)資源，刪除用戶數(shù)據(jù)的。而木馬目的是竊取，秘密的竊取用戶信息。2、蠕蟲和普通病毒不同的是往往能夠利用漏洞或者說缺陷，請分別舉例說明軟件上的缺陷和人為缺陷，你認(rèn)為不同的對象更需要防范哪種缺陷？：軟件上的缺陷，如遠(yuǎn)程溢出，微軟IE和outlook自動執(zhí)行漏洞，需要軟件廠商和用戶共同配合不斷地升級軟件，而人為的漏洞主要是指計(jì)算機(jī)用戶的疏忽，這就是所謂的社會工程學(xué)，當(dāng)收到一封帶著病毒的求職信郵件是大多數(shù)人都會抱著好奇去點(diǎn)擊。對于企業(yè)用戶來說，威脅主要集中在服務(wù)器和大型應(yīng)用軟件安全上，而對個人用戶而言，主要防范第二種缺陷填空題勒索軟件是典型的勒索型惡意代碼，通過______、_______甚至采用_______等方式，使用戶數(shù)據(jù)資產(chǎn)或計(jì)算機(jī)資源無法正常使用，并以此為條件想用戶勒索錢財(cái)。勒索攻擊一般分為三個階段，其中包括_______、_______、_______。勒索型惡意代碼的傳播方式多種多樣，分別為（1）______、（2）_______、（3）______、（4）_______、（5）_______、（6）_______、（7）_______、（8）______、（9）______。WananCry勒索型惡意代碼的執(zhí)行流程為（1）_______、（2）_______、（3）_______、（4）_______。防范與應(yīng)對策略有（1）_______、（2）________、（3）_______、（4）_______、（5）_______。參考答案：騷擾恐嚇綁架用戶文件傳播感染階段本地攻擊階段勒索支付階段釣魚郵件水坑攻擊漏洞攻擊捆綁傳播僵尸網(wǎng)絡(luò)傳播可移動存儲介質(zhì)文件共享網(wǎng)站傳播網(wǎng)頁掛載傳播社交網(wǎng)絡(luò)傳播初始感染和擴(kuò)散準(zhǔn)備勒索代碼加密流程加密文件增強(qiáng)安全意識備份重要文件網(wǎng)絡(luò)流量的檢測網(wǎng)絡(luò)隔離措施更新軟件和安裝補(bǔ)丁二、判斷題1.勒索軟件有兩種形勢，數(shù)據(jù)加密和限制訪問。（ ）2.勒索攻擊一般分為3個階段，即傳播感染階段，本地攻擊階段，勒索支付階段。 （ ）3.當(dāng)計(jì)算機(jī)系統(tǒng)被勒索型惡意代碼感染并被加密后，數(shù)據(jù)恢復(fù)的難度和惡意代碼采用的加密算法及加密方式無相關(guān)的. （ ）4.如果勒索型代碼通過加密的Web服務(wù)傳播，就能繞過傳統(tǒng)的防護(hù)手段。（ ）5.在加密過程中，算法對于每個文件都使用相同的攻擊向量.（ ），參考答案：1.√2.√3.╳4.√5.√

三、3到選擇題1.·勒索型惡意代碼總共有（B）個攻擊階段A.2 B.3 C.4 D.52.最早的勒索型惡意代碼出現(xiàn)在（D）A.1978 B.1979 C.1988 D.19893.以下哪個勒索型病毒出現(xiàn)在2015年（D）A.HandesLocker B.Zepto C.Prtya D.Hidden-Tear4.以下哪個選項(xiàng)不是防范與應(yīng)對勒索型病毒的方法（D）

A.備份重要文件 B.慎重下載 C.更新軟件和安裝補(bǔ)丁 D.關(guān)閉防火墻5.從技術(shù)上講，勒索型惡意代碼不包括的模塊有（A）模塊A.補(bǔ)丁下載 B.勒索 C.蠕蟲 D.漏洞利用

四、解答題勒索病毒軟件有哪些形式，請簡單描述。答：有數(shù)據(jù)集加密和限制訪問兩種形式。數(shù)據(jù)加密將受害者機(jī)器上的數(shù)據(jù)加密，承諾繳納贖金后恢復(fù)數(shù)據(jù)。限制訪問是阻撓受害者訪問設(shè)備，向受害者索要贖金。列出四種勒索型惡意代碼最常見的攻擊方式，并簡單解釋。釣魚郵件。郵件中加入目標(biāo)用戶的信息增加可行度，郵件附件中添加惡意宏代碼攻擊。網(wǎng)站掛載傳播。勒索軟件掛載到網(wǎng)站上，不小心訪問，軟件自動下載并安裝運(yùn)行。漏洞攻擊。利用服務(wù)器漏洞來攻擊服務(wù)器文件加密等操作。捆綁傳播。與軟件捆綁，利用軟件的傳播去擴(kuò)散勒索型惡意代碼。勒索型惡意代碼的加密算法大多數(shù)使用的是什么，這么加密對它有什么好處。答：大多數(shù)使用的是AES算法，接著是RSA算法等，這些加密算法都是標(biāo)準(zhǔn)型算法，對勒索病毒來說，保證了它加密的文件難以被破解。我們?nèi)绾畏婪独账鞑《疽约坝惺裁磻?yīng)對措施？增強(qiáng)安全意識，使用防護(hù)工具安裝殺毒軟件，及時打補(bǔ)丁，同時慎重下載。積極備份好重要數(shù)據(jù)，還有注重備份恢復(fù)能力。

五、分析題/名詞解釋分析：與其他惡意代碼相比，試分析勒索型惡意代碼的特性。答：傳播方式多樣化，攻擊平臺多樣化，本地攻擊多變，支付方式隱秘。名詞解釋：試解釋什么是勒索型惡意代碼？答：勒索型惡意代碼是一種以勒索為目的的惡意軟件——黑客使用技術(shù)手段劫持用戶設(shè)備或數(shù)據(jù)資產(chǎn)，并以此為條件向用戶勒索錢財(cái)?shù)囊环N惡意攻擊手段。一、選擇題下列哪些是流氓軟件的特征（D）帶有捆綁軟件的行為，下載它一個，安裝它全家或者捆綁安裝其他利益相關(guān)的軟件。修改電腦注冊表。劫持瀏覽器，篡改瀏覽器主頁。以上都是電子郵件是網(wǎng)民的重要交流途徑，以下防范措施錯誤的是（C）不要輕易打開陌生人來信中的附件文件。將系統(tǒng)的網(wǎng)絡(luò)連接安全級別至少設(shè)置為“中等”以上。隨意點(diǎn)擊陌生郵件中的鏈接去掉Windows腳本執(zhí)行功能以下不屬于腳本病毒的基本類型的是（B）JavaScript腳本文件Txt文本文件PHP腳本文件VBScript腳本文件以下關(guān)于Rootkit說法不正確的是（A）為了防范Rootkit的危害，要在網(wǎng)絡(luò)上使用明文傳輸口令。常見的rootkit定義是一種惡意軟件程序，它使網(wǎng)絡(luò)犯罪分子能夠在不被檢測到的情況下訪問和滲透計(jì)算機(jī)中的數(shù)據(jù)。大部分Rootkit是針對Linux和SunOS兩類操作系統(tǒng)的。一個典型的Rootkit包括如下一些獨(dú)立的程序：網(wǎng)絡(luò)嗅探工具、特洛伊木馬程序、隱藏攻擊者的目錄和進(jìn)程的程序、日志清理工具、FIX程序。高級持續(xù)威脅（APT）是利用先進(jìn)的攻擊手段對特定目標(biāo)進(jìn)行長期持續(xù)性網(wǎng)絡(luò)攻擊的攻擊形式。下列屬于APT的特征的是（C）持續(xù)性、普遍性專一性、持續(xù)性高級性、持續(xù)性專一性、安全性二、判斷題。ATP攻擊具有持續(xù)潛伏，持續(xù)攻擊，持續(xù)欺騙，持續(xù)控制的特點(diǎn)。（√）Rootkit是攻擊者用來隱藏自己蹤跡和保留root訪問權(quán)限的工具。（√）僵尸網(wǎng)絡(luò)是被黑客集中控制的計(jì)算機(jī)群。 （√）流氓軟件易卸載，對計(jì)算機(jī)影響不大。 （×）ATP攻擊的主要特征包括持續(xù)性和獨(dú)立性。 （×）三、填空題僵尸網(wǎng)絡(luò)的主要特征是______、______和一對多控制。（分布性、惡意傳播）Rootkit是攻擊者用來______和______的工具。（隱藏自己蹤跡、保留root訪問權(quán)限）流氓軟件的主要特征：_____、_____、干擾正常使用和具有惡意代碼和黑客特征。（強(qiáng)迫性安裝、無法卸載或卸載困難）高級持續(xù)性威脅是利用先進(jìn)的攻擊手段對特定目標(biāo)進(jìn)行_____網(wǎng)絡(luò)攻擊的攻擊形式。（、長期持續(xù)性）APT的主要特征是____、_____。（高級性、持續(xù)性）四、簡答題1.什么是流氓軟件？（1）采用多種社會和技術(shù)手段,強(qiáng)行或者秘密安裝，并抵制卸載。（2）強(qiáng)行修改軟件設(shè)置，如瀏覽器主頁、軟件自動啟動選項(xiàng)及安全選項(xiàng)等。（3）強(qiáng)行彈出廣告，或者其他干擾用戶、占用系統(tǒng)資派行為。（4）有侵害用戶信息和財(cái)產(chǎn)安金的潛在因素或者隱患。（5）未經(jīng)許可,或者利用用戶疏忽或缺乏相關(guān)知識，秘密收集用戶個人信息、秘密和隱私。2.僵尸網(wǎng)絡(luò)有哪些特點(diǎn)？（1）分布性。僵尸網(wǎng)絡(luò)是一個具有一定分布性的、邏輯的網(wǎng)絡(luò)，它不具有物理拓?fù)浣Y(jié)構(gòu)。隨著Bot程序的不斷傳播而不斷有新的僵尸計(jì)算機(jī)添加到這個網(wǎng)絡(luò)中來。（2）惡意傳播。僵尸網(wǎng)絡(luò)是采用了一定的惡意傳播手段形成的，如主動漏洞攻擊、惡意郵件等各種傳播手段，都可以用來進(jìn)行Bot程序的傳播。（3）一對多控制。Botnet的最主要的特點(diǎn)就是可以一對多地進(jìn)行控制，傳達(dá)命令并技行相同的惡意行為，如DDoS攻擊等。這種一對多的控制關(guān)系使得攻擊者能夠以低廳的代價高效地控制大量的資源為其服務(wù)，這也是Botnet攻擊受到黑客青睞的根本原因。3.流氓軟件有哪些特征？①強(qiáng)迫性安裝（1）不經(jīng)用戶許可自動安裝。（2）不給出明顯提示，欺騙用戶安裝。（3）反復(fù)提示安裝，使用戶不勝其煩而不得不安裝等。②無法卸載或卸載困難1）正常手段無法印載。2）無法完全卸載。3）不提供卸載程序，或者提供的卸載程序不能用等。③干擾擾正常使用1）頻繁彈出廣告窗口。2）引導(dǎo)使用某功能等。④具有惡意代碼和黑客特征1）竊取信息。2）耗費(fèi)計(jì)算機(jī)資源等。4.APT的攻擊過程有哪些階段？第一階段：定向搜息收集。第二階段：單點(diǎn)攻擊突破。第三階段：構(gòu)建通道。第四階段：橫向滲透。第五階段：目標(biāo)行動。ATP特征中都有那兩個性能？并選一個來介紹。高級性和持續(xù)性。ATP攻擊的方式相對于其他攻擊形式更為高級。其高級性主要體現(xiàn)在3個方面。（1）高級的收集手段。APT在發(fā)動攻擊之前需要對攻擊對象的業(yè)務(wù)流程和目標(biāo)系線進(jìn)行精確的收集。在此收集的過程中，此攻擊會主動挖掘被攻擊對象受信系統(tǒng)和應(yīng)用程序的漏洞，利用這些漏洞組建攻擊者所需的網(wǎng)絡(luò)，并利用0day漏洞進(jìn)行攻擊。（2）威脅高級的數(shù)據(jù)。APT是黑客以竊取核心資料為目的，針對客戶所發(fā)動的網(wǎng)絡(luò)攻擊和侵襲行為，是一種著謀已久的“惡意商業(yè)間諜威脅”。這種行為往往經(jīng)過長期的經(jīng)營與策劃,并具備高度的隱廠性。（3）高級的攻擊手法。APT的特征之一在于隱匿自己，針對特定對象長期、有計(jì)劃性和組織性地竊取數(shù)據(jù)，這種發(fā)生在數(shù)字空問的偷竊資料、搜集情報的行為，就是一種“網(wǎng)絡(luò)間諜”的行為。五、論述題1.對于流氓軟件請舉例分析其特征答：在下載某官方軟件后，沒有任何提示在操作者未知的情況下安裝了某軟件，然后電腦不斷彈出廣告窗口，無法關(guān)閉，且不知道是什么軟件導(dǎo)致，后卸載官方軟件后，仍無法解決廣告彈窗問題。特征：沒有任何提示在操作者未知的情況下安裝了某軟件體現(xiàn)了流氓軟件的強(qiáng)迫性安裝；廣告彈窗且無法關(guān)閉體現(xiàn)了干擾正常使用的特征；卸載官方軟件后無法解決體現(xiàn)了無法卸載或卸載困難的特征。2.Bagle是世界上第一個僵尸網(wǎng)絡(luò)之一，感染了超過20萬臺電腦的蠕蟲，當(dāng)這種蠕蟲感染足夠的計(jì)算機(jī)之后，他們會在每個計(jì)算機(jī)中自動安裝看不見的電子郵件代理服務(wù)器，并通過這些計(jì)算機(jī)發(fā)送垃圾電子郵件。請分析其危害。答：發(fā)送了大量垃圾郵件濫用資源，需要消耗大量網(wǎng)絡(luò)資源，使用戶網(wǎng)絡(luò)性能受到影響，甚至帶來經(jīng)濟(jì)損失；會在被感染的計(jì)算機(jī)中安裝電子郵件代理服務(wù)器，使得發(fā)送者可以很好的隱藏自身的IP信息，無法溯源。1.AIDC的特征碼是（A）A.42E8FF8ED82DCCB.720450EB0790B44CC.90EA59EC009090D.0A954CB39347E160B42.以下哪個惡意代碼檢測技術(shù)是錯誤的（D）特征碼掃描技術(shù)啟發(fā)性掃描技術(shù)完整性分析技術(shù)特征碼仿真分析技術(shù)3.基于特征碼掃描法的自動檢測程序至少包括兩部分：特征碼和（B）A.搜索引擎B.掃描引擎C.驅(qū)動引擎D.監(jiān)控引擎4.要想成功防范越來越多的惡意代碼，使用戶免受惡意代碼侵?jǐn)_，需要從以下六個層面開展：檢測、（C）、預(yù)防、免疫、數(shù)據(jù)備份及恢復(fù)刪除消除清除解除惡意代碼的預(yù)防技術(shù)不包括哪個（D）系統(tǒng)監(jiān)控技術(shù)個人防火墻技術(shù)系統(tǒng)加固技術(shù)系統(tǒng)預(yù)防技術(shù)填空：

1.比較法是惡意代碼診斷的重要方法之一

計(jì)算機(jī)安全工作者常用的比較法包括注冊表比較法、文件比較法、內(nèi)存比較法、中斷比較法

2.病毒掃描軟件由兩部分組成

一部分是病毒庫，含有經(jīng)過特別選定的歌中惡意代碼特征串

另一部分是掃描算法，負(fù)責(zé)在程序中查找這些特征串

3.從技術(shù)層面講

數(shù)據(jù)備份策略主要包括完全備份、增量備份、差分備份

4、惡意代碼的特性

針對性

欺騙性

變化性

5、傳染性和依附性是計(jì)算機(jī)病毒區(qū)別于其他惡意代碼的本質(zhì)特征判斷：1、惡意代碼的檢測方法有，特征碼方法;

基于程序完整性;

基于程序語義;

基于程序行為，（√）2、惡意代碼被檢測之后的處理技術(shù)，只能進(jìn)行惡意代碼清除，（×）3、預(yù)防惡意代碼的首要措施是，切斷惡意代碼的傳播途徑，（√）4、在分析一個可疑的惡意代碼樣本時，第一步最好是裝入調(diào)試器，（×）5、比較法是惡意代碼診斷的重要方法之一，常用的方法有注冊表比較法;

操作系統(tǒng)比較法;

內(nèi)存比較法;

中斷比較法，（×）簡答題：說明惡意代碼檢測的基本原理，常用的檢測方法有哪些？答：惡意代碼檢測方法，可以分為基于啟發(fā)式的檢測和基于特征的檢測兩大類?；趩l(fā)式的檢測方法，通過比較系統(tǒng)上層信息和取自內(nèi)核的系統(tǒng)狀態(tài)來識別隱藏的文件、進(jìn)程及注冊表信息.還有一些研究工作通過監(jiān)控系統(tǒng)特定資源來識別惡意代碼。傳統(tǒng)的特征檢測，大多采用基于代碼特征的檢測方法，該方法從已有惡意代碼樣本中提取代碼語法(syntactic)特征用于檢測，此類特征通常精確匹配單一樣本，惡意代碼使用簡單混淆方法即可繞過相應(yīng)檢測。互聯(lián)網(wǎng)時代對一些新惡意代碼的防范技術(shù)有哪些？答：未知病毒主動防御技術(shù)系統(tǒng)啟動前殺毒技術(shù)反Rootkit、Hook技術(shù)虛擬機(jī)脫殼內(nèi)核級主動防御3.簡述目前惡意代碼的防范方法答：目前，惡意代碼防范方法主要分為兩方面：基于主機(jī)的惡意代碼防范方法和基于網(wǎng)絡(luò)的惡意代碼防范方法。4.簡述研究惡意代碼的必要性答：在Internet安全事件中，惡意代碼造成的經(jīng)濟(jì)損失占有最大的比例。與此同時，惡意代碼成為信息戰(zhàn)、網(wǎng)絡(luò)戰(zhàn)的重要手段。日益嚴(yán)重的惡意代碼問題，不僅使企業(yè)及用戶蒙受了巨大經(jīng)濟(jì)損失，而且使國家的安全面臨著嚴(yán)重威脅。5．

惡意代碼是如何定義，可以分成哪幾類？經(jīng)過存儲介質(zhì)和網(wǎng)絡(luò)進(jìn)行傳播，從一臺計(jì)算機(jī)系統(tǒng)到另外一臺計(jì)算機(jī)系統(tǒng)，未經(jīng)授權(quán)認(rèn)證破壞計(jì)算機(jī)系統(tǒng)完整性的程序或代碼。它包括計(jì)算機(jī)病毒(ComputerVirus)、蠕蟲(Worms)、特洛伊木馬(TrojanHorse)、邏輯炸彈(LogicBombs)、病菌(Bacteria)、用戶級RootKit、核心級RootKit、腳本惡意代碼(MaliciousScripts)和惡意ActiveX控件等。分析題

簡要說明惡意代碼的防范思路，并對數(shù)據(jù)備份及恢復(fù)進(jìn)行具體分析。

答：防范需要從以下六個層次開展：檢測，清除，預(yù)防，免疫，數(shù)據(jù)備份及恢復(fù)，防范策略。

數(shù)據(jù)備份及數(shù)據(jù)恢復(fù)是在清除技術(shù)無法滿足需要的情況下而不得不采用的一種防范技術(shù)。數(shù)據(jù)備份及數(shù)據(jù)恢復(fù)的思路是：在檢測出某個文件被感染了惡意代碼后，不去試圖清除其中的惡意代碼使其恢復(fù)正常，而是直接用事先備份的正常文件覆蓋被感染后的文件。數(shù)據(jù)備份及數(shù)據(jù)恢復(fù)中的數(shù)據(jù)的含義是多方面的，既指用戶的數(shù)據(jù)文件，也指系統(tǒng)程序、關(guān)鍵數(shù)據(jù)（注冊表）、常用應(yīng)用程序等。

分析兩種惡意代碼的檢測方法的區(qū)別。

惡意代碼的檢測方法有兩類：手工檢測和自動檢測。

手工檢測方法操作難度大并且技術(shù)復(fù)雜，它需要操作人員具有一定的軟件分析經(jīng)驗(yàn)及對操作系統(tǒng)有深入的了解；而自動檢測方法操作簡單使用方便，適合一般的計(jì)算機(jī)用戶學(xué)習(xí)使用。但是自動檢測方法不可能檢測所有未知的惡意代碼。在出現(xiàn)一種新型的惡意代碼時，如果現(xiàn)有的各種檢測工具無法檢測這種惡意代碼，則只能用手工方法進(jìn)行惡意代碼的檢測。其實(shí)，自動檢測也是在手工檢測成功的基礎(chǔ)上把手工檢測方法程序化后所得的。因此，可以說，手工檢測惡意代碼是最基本、最有力的工具。常用殺毒軟件及其解決方案選擇發(fā)現(xiàn)惡意代碼后，比較徹底的清除方式是()。A.用查毒軟件處理B.刪除磁盤文件C.用殺毒軟件處理D.格式化磁盤答案：D2.()是非常有用的數(shù)據(jù)恢復(fù)工具。A.KAV2009B.KV2009C.Notorn2009D.EasyRevovery6.0答案：D3.“三分技術(shù)、七分管理、十二分?jǐn)?shù)據(jù)”強(qiáng)調(diào)()的重要性。A.檢測B.清除C.預(yù)防D.備份與恢復(fù)答案：D為防止惡意代碼的傳染，應(yīng)該做到不要（）A、使用軟盤B、對硬盤上的文件經(jīng)常備份C、使用來歷不明的程序D、利用網(wǎng)絡(luò)進(jìn)行信息交流答案：C5.不易被感染上惡意代碼的文件是（）COMB.EXEC.TXTD.BOOT答案：C判斷1．聯(lián)想隨機(jī)殺毒軟件Norton2005其病毒庫免費(fèi)升級有效期為3年。(錯)2．一種殺毒軟件能查殺所有的計(jì)算機(jī)病毒。(錯)3．殺毒軟件在清除病毒的同時，也會清除計(jì)算機(jī)中的部分?jǐn)?shù)據(jù)。（錯）4．殺毒軟件可以清除各種未知的病毒。（錯）5．現(xiàn)在的殺毒軟件可以防止一切黑客侵入電腦。（對）填空1.惡意代碼防范軟件對惡意代碼的________能力和自身的________能力是其基本功能。（清除;防御）按照統(tǒng)計(jì)，________和________是目前最常見的惡意代碼傳播方式。（郵件系統(tǒng)；網(wǎng)頁）3.網(wǎng)絡(luò)蠕蟲可以根據(jù)IP地址范圍做定向性的掃描，這種________和條件傳播改變了傳統(tǒng)病毒以擴(kuò)散點(diǎn)為中心的特性。（定向性攻擊）4.惡意代碼誕生之初，是以________為主要介質(zhì)的，因而傳播速度比較慢。（磁盤）根據(jù)惡意代碼在企業(yè)網(wǎng)中的傳播過程，可以歸納出________、________和________是惡意代碼在企業(yè)網(wǎng)中的三種傳播途徑。（互聯(lián)網(wǎng)；網(wǎng)絡(luò)共享；客戶端）簡答一、簡述殺毒軟件必備功能。答：1、查殺功能2、防范新惡意代碼的能力3、備份和恢復(fù)能力4、實(shí)時監(jiān)控能力5、升級能力6、智能安裝能力7、簡單易用8、資源占用情況9、兼容性二、產(chǎn)生惡意代碼地緣性的因素有哪些？1、編制者地生活空間2、特定的操作系統(tǒng)及軟件環(huán)境3、定向性攻擊和條件傳播 三、殺毒產(chǎn)品主要比較哪幾方面？ 1、軟件空閑資源占用 2、掃描資源占用 3、檢出能力測試 4、病毒查殺性能 四、企業(yè)網(wǎng)絡(luò)惡意代碼防范方案有哪三種？ 1、局域網(wǎng)惡意代碼防范方案 2、廣域網(wǎng)惡意代碼防范方案 3、某企業(yè)惡意代碼防范應(yīng)用案例 五、中國新型惡意代碼地地緣性表現(xiàn)在哪幾方面？ 1、中國已經(jīng)成為全球惡意代碼擴(kuò)散地中心節(jié)點(diǎn)之一 2、木馬大量出現(xiàn) 3、針對國內(nèi)網(wǎng)絡(luò)工具地專用大量木馬出現(xiàn)論述1.對惡意代碼防范產(chǎn)品的要求有哪些，請簡要描述。

(1)多層次、全方位的惡意代碼防范工作環(huán)境。

(2)先進(jìn)的惡意代碼防范技術(shù)。

(3)簡易快速的網(wǎng)絡(luò)惡意代碼防范軟件安裝和維護(hù)。

(4)集中和方便地進(jìn)行惡意代碼特征碼和掃描引擎的更新。

(5)方便、全面、友好的惡意代碼警報和報表系統(tǒng)管理機(jī)制。

(6)惡意代碼防護(hù)自動化服務(wù)機(jī)制。

(7)客戶端防范策略的強(qiáng)制定義和執(zhí)行。

(8)快速、有效地處理未知惡意代碼。

(9)合理的預(yù)算規(guī)劃和低廉的成本。

(10良好的服務(wù)與強(qiáng)大支持。

2.如何為工作單位選擇一個防病毒產(chǎn)品？首先是企業(yè)網(wǎng)絡(luò)中的各個節(jié)點(diǎn)能夠享受“絕對平等”的防病毒待遇。網(wǎng)絡(luò)版殺毒軟件需要結(jié)合各種網(wǎng)絡(luò)環(huán)境的不同特征，通過對網(wǎng)絡(luò)底層通信條件、文件使用權(quán)限分配的認(rèn)真分析，實(shí)時可靠地提出相應(yīng)的解決方案，從而建立起一套全方位、具備實(shí)時檢測能力的防病毒體系，實(shí)現(xiàn)從服務(wù)器到工作站再到客戶端的全方位病毒防護(hù)及管理，使系統(tǒng)管理員在任何一臺管理工作站上都能對全網(wǎng)進(jìn)行監(jiān)控。其次是遠(yuǎn)程管理。網(wǎng)絡(luò)版殺毒軟件應(yīng)能實(shí)現(xiàn)全網(wǎng)化的遠(yuǎn)程管理，實(shí)現(xiàn)遠(yuǎn)程安裝、遠(yuǎn)程殺毒、遠(yuǎn)程操作、遠(yuǎn)程管理、遠(yuǎn)程報警等功能，確保不受時空所限，實(shí)時地維護(hù)企業(yè)的網(wǎng)絡(luò)安全。再次是易用性。網(wǎng)絡(luò)版殺毒軟件需要易學(xué)易用，具體講即界面簡潔明了，升級方式易用、方便。系統(tǒng)管理員能夠清楚掌握整個網(wǎng)絡(luò)環(huán)境中各個節(jié)點(diǎn)的安全狀態(tài)，使整個網(wǎng)絡(luò)的病毒查殺與安全管理工作輕松化。最后，服務(wù)同樣也是一個相當(dāng)重要的條件。一方面，病毒與反病毒是一個“魔道相爭”的典型表現(xiàn)，殺毒軟件的價值與能力就需要通過不斷地升級來體現(xiàn)；另一方面，企業(yè)網(wǎng)絡(luò)的信息安全也需要通過定期地進(jìn)行“普查”與“檢修”來保證系統(tǒng)的真正安全。第十二章填空：1:從惡意代碼對抗角度來看，其防治策略必須具備以下準(zhǔn)則。（）（）（）清除能力，恢復(fù)能力，替代操作。答案:拒絕訪問能力，控制傳播能力，檢測能力。2:（）經(jīng)常記錄一些敏感信息，如用戶名，計(jì)算機(jī)名，使用過的瀏覽器和曾經(jīng)訪問的網(wǎng)站。答案:cookie3:入侵檢測系統(tǒng)IDS可以工作在兩種方式下，一種方式是IDS對（）進(jìn)行一次快照，并報告任何試圖改變被監(jiān)視區(qū)域的嘗試，另一種方法復(fù)雜一些，它監(jiān)視PC或網(wǎng)絡(luò)動態(tài)尋找惡意行為。答案:用戶的系統(tǒng)。4:Internet內(nèi)容檢查器在保護(hù)用戶不受源于（）的惡意代碼傷害的問題上的成效是不錯的。答案:HTML5:所有惡意代碼均以某種方式操縱本地系統(tǒng)，或者通過修改（）文件或者修改（）。答案:操作系統(tǒng)，應(yīng)用判斷：1、來歷不明的軟件是惡意代碼的重要載體。各種來歷不明的軟件，尤其是通過網(wǎng)絡(luò)傳過來的軟件，不得進(jìn)入計(jì)算機(jī)。 （√）2、當(dāng)不使用網(wǎng)絡(luò)時，就不接入互聯(lián)網(wǎng)，或者斷開網(wǎng)絡(luò)連接。 （√）3、為了便于自己記憶，可以使用較為簡單的口令，以避免造成遺忘密碼的麻煩。 （×）4、TerminalService服務(wù)：即遠(yuǎn)程控制服務(wù)，允許多位用戶連接控制一臺機(jī)器，并且在遠(yuǎn)程計(jì)算機(jī)上顯示桌面和應(yīng)用程序。如果不是哦用windows的遠(yuǎn)程控制功能應(yīng)及時禁止它。（√）5、口令破解工具是專門用來破解系統(tǒng)口令的工具，同樣也是攻防雙方必備的工具。安全防護(hù)人員通過該工具可以驗(yàn)證自己的口令是否安全可靠。 （√）選擇：1、從惡意代碼對抗的角度來看,其防治策略不具備下列準(zhǔn)則(D)A拒絕訪問能力 B檢測能力 C.控制傳播的能力 D.傳播能力2、下列不是防御惡意代碼的工具的是(D)防火墻 B入侵檢測系統(tǒng) C.蜜罐 D.WallpaperEngine3、小明想要在網(wǎng)上查詢有關(guān)的病毒的資料,打開了電腦卻無從下手,他向你詢問,你應(yīng)該介紹他去(A)A.病毒觀察 B.百度貼吧 C.中國青年網(wǎng) D.bilibili4.下列()是不正確的不存在能夠防治未來所有病毒的