《惡意代碼基礎(chǔ)與防范（微課版）》-章節(jié)習(xí)題及答案匯 張新江 第1-12章

惡意代碼概述一、選擇題下列不是各種惡意代碼明顯的共同特征的是？（C）。A、目的性 B、傳播性 C、應(yīng)用性 D、破壞性2、以下哪種程序不屬于惡意代碼？（A）。

A．widget

B．特洛伊木馬

C．僵尸程序

D．網(wǎng)絡(luò)蠕蟲3、不是惡意代碼流行特征的是（D）。A.通過(guò)網(wǎng)絡(luò)傳播 B.傳染面越來(lái)越廣 C.新惡意代碼越來(lái)越多 D.感染W(wǎng)ORD文件4、下面哪種方式可能導(dǎo)致感染惡意代碼?（D）A、瀏覽網(wǎng)頁(yè) B、使用移動(dòng)存儲(chǔ)設(shè)備 C、收發(fā)郵件 D、以上都是5、惡意代碼發(fā)作后的表現(xiàn)現(xiàn)象是？（D）A、無(wú)法啟動(dòng)系統(tǒng) B、系統(tǒng)文件丟失 C、目錄結(jié)構(gòu)混亂 D、以上都是二．填空題計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。馮·諾依曼是現(xiàn)代計(jì)算機(jī)之父。Brain是第一個(gè)感染PC的惡意代碼。首例破壞計(jì)算機(jī)硬件的病毒是CIH病毒。一個(gè)完整的木馬系統(tǒng)由硬件部分、軟件部分和具體連接部分組成。三、判斷題1、惡意代碼的定義是運(yùn)行在目標(biāo)計(jì)算機(jī)上，使系統(tǒng)按照攻擊者意愿執(zhí)行任務(wù)的一組指令。對(duì)2、蠕蟲病毒最早出現(xiàn)在2010年6月，是世界上第一個(gè)包含PLCRootkit的計(jì)算機(jī)蠕蟲。對(duì)3、普通計(jì)算機(jī)病毒主要包括文件型病毒以及綜合型病毒。錯(cuò)惡意代碼的擴(kuò)散與傳輸媒體的變化沒(méi)有太大的關(guān)系。錯(cuò)惡意代碼的種類繁多，入侵后引發(fā)的異?，F(xiàn)象也千奇百怪，因此不可能一一列舉。對(duì)四、簡(jiǎn)答題1、計(jì)算機(jī)病毒的定義。（P1）答：計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。2、惡意代碼3個(gè)明顯的共同特征，并加以簡(jiǎn)單分析。（P3）答：1.目的性：目的性是惡意代碼的基本特征，是判別一個(gè)程序或代碼片段是否為惡意代碼的最重要的特征，也是法律上判斷惡意代碼的標(biāo)準(zhǔn)。2.傳播性：傳播性是惡意代碼體現(xiàn)其生命力的重要手段。3.破壞性：破壞性是惡意代碼的表現(xiàn)手段。3、惡意代碼的主要傳播途徑有哪些？（P14）答：軟盤；光盤；硬盤；Internet；無(wú)線通信系統(tǒng)4、根據(jù)CARO命名規(guī)則，每一種惡意代碼的命名包括哪5個(gè)部分？CARO規(guī)則有哪些附加內(nèi)容？（P20）答：1（1）家族民（2）組名（3）大變種（4）小變種（5）修改者（1）不用地點(diǎn)命名。（2）不用公司或商標(biāo)命名。（3）如果已經(jīng)有了名稱就不再另定義別名。（4）變種是子類。5、簡(jiǎn)述惡意代碼當(dāng)前的發(fā)展趨勢(shì)。（P22）答：1.網(wǎng)絡(luò)化發(fā)展2.專業(yè)化發(fā)展3.簡(jiǎn)單化發(fā)展4.多樣化發(fā)展5.自動(dòng)化發(fā)展6.犯罪化發(fā)展五、論述題1、惡意代碼的概念和其3個(gè)明顯的共同特征。惡意代碼的定義描述為：惡意代碼是在未被授權(quán)的情況下，以破壞軟硬件設(shè)備、竊聽用戶信息、擾亂用戶心理、干擾用戶正常使用為目的而編制的軟件或代碼片段。這個(gè)定義涵蓋的范圍非常廣泛，它包含了所有敵意、插入、干擾、討厭的程序和源代碼。一個(gè)軟件被看作是惡意主要是依據(jù)創(chuàng)作者的意圖，而不是惡意代碼本身的特征。根據(jù)上述定義，惡意代碼將包括計(jì)算機(jī)病毒、蠕蟲、特洛伊、Rookit、間諜軟件、惡意廣告、流氓軟件、邏輯炸彈、后門、僵尸網(wǎng)絡(luò)、網(wǎng)絡(luò)釣魚、惡意腳本、垃圾信息、智能終端惡意代碼等惡意或討厭的軟件及代碼片段。惡意代碼的3個(gè)明顯的共同特征：1.目的性：目的性是惡意代碼的基本特征，是判別一個(gè)程序或代碼片段是否為惡意代碼的最重要的特征，也是法律上判斷惡意代碼的標(biāo)準(zhǔn)。2傳播性：傳播性是惡意代碼體現(xiàn)其生命力的重要手段。3破壞性：破壞性是惡意代碼的表現(xiàn)手段。2、惡意代碼的表現(xiàn)現(xiàn)象。惡意代碼的表現(xiàn)現(xiàn)象分為三大類：發(fā)作前、發(fā)作時(shí)和發(fā)作后的表現(xiàn)現(xiàn)象。惡意代碼發(fā)作前主要是以潛伏、傳播為主，會(huì)用各種手段隱藏自己，并同時(shí)進(jìn)行傳播。表現(xiàn)出的現(xiàn)象為：陌生人發(fā)來(lái)的電子郵件、磁盤空間迅速減少、計(jì)算機(jī)突然死機(jī)、無(wú)法正常開機(jī)、運(yùn)行速度變慢、部分軟件出現(xiàn)內(nèi)存不足、應(yīng)用程序經(jīng)常死機(jī)或非法錯(cuò)誤、系統(tǒng)文件屬性發(fā)生變化、無(wú)法對(duì)磁盤進(jìn)行寫操作、網(wǎng)絡(luò)驅(qū)動(dòng)器或共享目錄無(wú)法調(diào)用。惡意代碼發(fā)作時(shí)是滿足發(fā)作條件，進(jìn)行破壞行為。常見現(xiàn)象為：硬盤燈持續(xù)閃爍、無(wú)故播放音樂(lè)、不相干的提示、無(wú)故出現(xiàn)特定圖像、突然出現(xiàn)算法游戲、改變Windows桌面圖標(biāo)、計(jì)算機(jī)突然死機(jī)或重啟、自動(dòng)發(fā)送電子文件、鼠標(biāo)指針無(wú)故一點(diǎn)。惡意代碼發(fā)作后后給計(jì)算機(jī)系統(tǒng)帶來(lái)破壞性后果。主要表現(xiàn)后果為：無(wú)法啟動(dòng)系統(tǒng)、系統(tǒng)文件丟失或被破壞、部分BIOS程序混亂、部分文檔丟失或被破壞、部分文檔自動(dòng)加密、目錄結(jié)構(gòu)出現(xiàn)混亂、網(wǎng)絡(luò)無(wú)法提供正常服務(wù)、瀏覽器自動(dòng)訪問(wèn)非法網(wǎng)絡(luò)。一、填空題目前病毒采用的觸發(fā)條件主要有：（1）日期觸發(fā)（2）時(shí)間觸發(fā)（3）鍵盤觸發(fā)（4）感染觸發(fā)（5）啟動(dòng)觸發(fā)（6）訪問(wèn)磁盤次數(shù)觸發(fā)（7）CPU型號(hào)/主板型號(hào)觸發(fā)。傳統(tǒng)計(jì)算機(jī)病毒一般由感染模塊、觸發(fā)模塊、破壞模塊和引導(dǎo)模塊四大部分組成。關(guān)于惡意代碼的預(yù)防理論體系，F(xiàn).Cohen提出了（1）基本隔離模型（2）分隔模型（3）流模型（4）限制解釋模型圖靈機(jī)是基于有限狀態(tài)自動(dòng)機(jī)提出的，也就是說(shuō)，在讀寫附加磁盤帶的同時(shí)TM修改自己的實(shí)際狀態(tài)。如果病毒在傳播期間附加在可執(zhí)行的文件上，那么稱這種方式為直接的傳播方式。如果病毒在傳播期間附加在不可執(zhí)行文件上，那么稱這種方式為間接的傳播模式。判斷題任何一種輸入導(dǎo)致破壞以及破壞的形式都與被感染的程序有關(guān)，與病毒本身無(wú)關(guān)。（×）計(jì)算機(jī)病毒的寄生方式有三種。（×）計(jì)算機(jī)病毒的傳染方式基本可分為兩大類。（√）計(jì)算機(jī)病毒寄生的目的是找機(jī)會(huì)執(zhí)行引導(dǎo)模塊。（√）傳染是病毒的本質(zhì)。（√）選擇題（B）提出了基于圖靈機(jī)模型的計(jì)算機(jī)病毒理論，該理論非常適合探討病毒和現(xiàn)有計(jì)算機(jī)體系之間的關(guān)系。

A.Cohen

B.Ferenc

C.Adleman

D.Turing2、當(dāng)病毒只能以專用計(jì)算機(jī)的傳播方式進(jìn)行傳播時(shí)，該病毒便被稱為（A）。

A.專用計(jì)算機(jī)的病毒

B.獨(dú)立于計(jì)算機(jī)的病毒

C.專用操作系統(tǒng)的病毒

D.獨(dú)立于操作系統(tǒng)的病毒

3、當(dāng)病毒具有多形態(tài)傳播方式，卻很少使用多形態(tài)性時(shí)，該病毒被稱為（C）。

A.多態(tài)型病毒

B.少態(tài)型病毒

C.不活躍的多態(tài)型病毒

D.不活躍的少態(tài)型病毒

4、以下哪個(gè)不屬于計(jì)算機(jī)病毒的引導(dǎo)過(guò)程（D）。

A.駐留于內(nèi)存中

B.竊取系統(tǒng)操作權(quán)

C.恢復(fù)系統(tǒng)功能

D.將病毒自身從一方傳遞到另一方

5、以下哪個(gè)不屬于F.Cohen提出的“四模型”理論。（D）

A.基本隔離模型

B.分隔模型

C.限制解釋模型

D

類IPM模型簡(jiǎn)單題1、計(jì)算機(jī)病毒的引導(dǎo)過(guò)程一般包括哪三個(gè)方面？（1）駐留在內(nèi)存中；（2）竊取系統(tǒng)控制權(quán)；（3）恢復(fù)系統(tǒng)功能。2、F.Cohen提出的“四模型”理論中，“四模型”是指哪四個(gè)模型？（1）基本隔離模型；（2）分隔模型；（3）流模型；（4）限制解釋模型。3、傳統(tǒng)計(jì)算機(jī)病毒由哪四大模塊組成？傳統(tǒng)計(jì)算機(jī)病毒，一般由感染模塊、觸發(fā)模塊、破壞模塊和引導(dǎo)模塊四大部分組成。4、感染的定義？感染是指計(jì)算機(jī)病毒由一個(gè)載體傳播到另一個(gè)載體，由一個(gè)系統(tǒng)進(jìn)入另一個(gè)系統(tǒng)的過(guò)程。5、文件型病毒通過(guò)與磁盤文件有關(guān)的操作進(jìn)行傳染，主要的傳播途徑有哪3個(gè)？（1）加載執(zhí)行文件；（2）瀏覽目錄過(guò)程；（3）創(chuàng)建文件過(guò)程。分析題或兩個(gè)名詞圖靈機(jī)模型由哪幾部分組成？（1）一條無(wú)限長(zhǎng)的紙帶TAPE。紙帶被劃分為一個(gè)接一個(gè)的小格子，每個(gè)格子上包含一個(gè)來(lái)自有限字母表的符號(hào)，字母表中有一個(gè)特殊的符號(hào)表示空白。紙帶上的格子從左到右依此被編號(hào)為0,1,2,...，紙帶的右端可以無(wú)限伸展。（2）一個(gè)讀寫頭HEAD。該讀寫頭可以在紙帶上左右移動(dòng)，它能讀出當(dāng)前所指的格子上的符號(hào)，并能改變當(dāng)前格子上的符號(hào)。（3）一套控制規(guī)則TABLE。它根據(jù)當(dāng)前機(jī)器所處的狀態(tài)以及當(dāng)前讀寫頭所指的格子上的符號(hào)來(lái)確定讀寫頭下一步的動(dòng)作，并改變狀態(tài)寄存器的值，令機(jī)器進(jìn)入一個(gè)新的狀態(tài)。（4）一個(gè)狀態(tài)寄存器。它用來(lái)保存圖靈機(jī)當(dāng)前所處的狀態(tài)。圖靈機(jī)的所有可能狀態(tài)的數(shù)目是有限的，并且有一個(gè)特殊的狀態(tài)，稱為停機(jī)狀態(tài)。名詞1、什么方式稱為多形態(tài)的傳播方式？當(dāng)有兩個(gè)程序區(qū)被同樣的病毒一指令傳播方式感染，并且病毒程序的代碼順序不同時(shí)。2、什么病毒被稱為多態(tài)型病毒？當(dāng)病毒具有多形態(tài)傳播方式時(shí)。判斷題新買回來(lái)的從未格式化的U盤可能會(huì)帶有計(jì)算機(jī)病毒。（√）網(wǎng)絡(luò)防火墻主要用于防止網(wǎng)絡(luò)中的計(jì)算機(jī)病毒。（×）計(jì)算機(jī)病毒只會(huì)破壞磁盤上的數(shù)據(jù)和文件。（×）發(fā)現(xiàn)計(jì)算機(jī)病毒后，比較徹底的清除方式是格式化磁盤.（√）計(jì)算機(jī)病毒是一種具有自我復(fù)制功能的指令序列。（√）選擇題1、宏病毒與普通病毒不同，他只感染（A）A、文檔文件B、EXE文件C、COM文件D、NE文件2、最簡(jiǎn)單的可執(zhí)行文件是（C）A、文檔文件B、EXE文件C、COM文件D、NE文件3、COM文件是一種（B）文件，其執(zhí)行文件代碼和執(zhí)行時(shí)內(nèi)存映像完全相同A、多段執(zhí)行結(jié)構(gòu)B、單段執(zhí)行結(jié)構(gòu)C、雙段執(zhí)行結(jié)構(gòu)D、半段執(zhí)行結(jié)構(gòu)4、Windows操作系統(tǒng)運(yùn)行在保護(hù)模式，保護(hù)模式將指令執(zhí)行分為（D）個(gè)特權(quán)級(jí)A、1B、2C、3D、45、為加載一個(gè)COM程序，DOS試圖分配內(nèi)存，因?yàn)镃OM程序必須位于一個(gè)（B）的段中，所以COM文件的大小不能超過(guò)65024BA、32B、64C、128D、256填空題計(jì)算機(jī)病毒是編制或者在計(jì)算機(jī)程序中插入的破壞_或者_(dá)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。（計(jì)算機(jī)功能；破壞數(shù)據(jù)）計(jì)算機(jī)病毒的特征包括_、_、_、_、_。(傳染性、破壞性、寄生性、隱蔽性、潛伏性)宏病毒的特點(diǎn)是_、_、_、地域性問(wèn)題、版本問(wèn)題、破壞可能性極大。（傳播極快；制作方便；多平臺(tái)交叉感染）在DOS操作系統(tǒng)時(shí)代，計(jì)算機(jī)病毒可以分成_和_兩大類。(引導(dǎo)區(qū)病毒；可執(zhí)行文件型病毒)特洛伊木馬作為一種特殊的計(jì)算機(jī)病毒，其首要特征是_。(沒(méi)有傳染性)論述題1.請(qǐng)簡(jiǎn)述引導(dǎo)型病毒感染過(guò)程、在引導(dǎo)操作系統(tǒng)之前病毒的工作：（53頁(yè)）參考答案：（1）過(guò)程：引導(dǎo)型病毒首先感染軟盤的引導(dǎo)區(qū)，然后再蔓延至硬盤并感染硬盤的主引導(dǎo)記錄，然后試圖感染軟驅(qū)中的軟盤引導(dǎo)區(qū)；（2）病毒的工作：①減少系統(tǒng)可用最大內(nèi)存量，以供自己使用②修改必要的中斷向量，以便傳播③讀入病毒的其他部分，進(jìn)行病毒的拼裝。2.請(qǐng)簡(jiǎn)述什么是宏、宏病毒的特點(diǎn)：（73、74頁(yè)）參考答案：（1）宏就是一些命令組織在一起，作為一個(gè)單獨(dú)單元完成一個(gè)特定任務(wù)；（2）特點(diǎn)：①宏病毒不感染EXE文件和COM文件，也不需要通過(guò)引導(dǎo)區(qū)傳播，只感染文檔文件②傳播快、制作方便，變種多、破壞可能性大③多平臺(tái)交叉感染④存在地域性問(wèn)題和版本問(wèn)題。簡(jiǎn)答題1、什么是引導(dǎo)型病毒引導(dǎo)型病毒是感染軟盤的引導(dǎo)區(qū),然后蔓延至硬盤并感染硬盤的主引導(dǎo)記錄或引導(dǎo)型病毒指寄生在磁盤引導(dǎo)區(qū)或主引導(dǎo)區(qū)的計(jì)算機(jī)病毒2、引導(dǎo)型病毒的工作過(guò)程由于病毒隱藏在軟盤的第一扇區(qū),使它可以在系統(tǒng)文件裝入內(nèi)存之前,先進(jìn)入內(nèi)存,從而獲得對(duì)操作系統(tǒng)的完全控制,這就使它得以傳播并造成危害。3、COM文件病毒的感染過(guò)程先將開始的3個(gè)字節(jié)保存在orgcode中，并將這3個(gè)字節(jié)更改為0E9H和COM文件的實(shí)際大小的二進(jìn)制編碼。然后在病毒的返回部分，將3個(gè)字節(jié)改為0E9H和表達(dá)式（當(dāng)前地址－COM文件的實(shí)際大小+病毒代碼大?。┑亩M(jìn)制編碼，以便在執(zhí)行完病毒后轉(zhuǎn)向執(zhí)行原程序，最后將病毒寫入原COM文件的后邊。4、什么是PE文件及其功能PE（可移植的執(zhí)行體）是Win32環(huán)境自身所帶的可執(zhí)行文件格式。它的一些特性繼承自Unix的Coff文件格式?？梢浦驳膱?zhí)行體意味著此文件格式是跨win32平臺(tái)的，即使Windows運(yùn)行在非Intel的CPU上，任何win32平臺(tái)的PE裝載器都能識(shí)別和使用該文件格式。5、簡(jiǎn)述宏病毒的特點(diǎn)傳播極快，制作、變種方便，破壞可能性極大，多平臺(tái)交叉感染，地域性問(wèn)題，版本問(wèn)題一、填空1、Linux腳本型惡意代碼的核心語(yǔ)句（實(shí)現(xiàn)自我復(fù)制的語(yǔ)句）cp$0$file2、感染ELF文件的PLT表是利用了PLT在搜索庫(kù)調(diào)用時(shí)的重要性3、原型病毒設(shè)計(jì)的大致思想是先把病毒體編譯成目標(biāo)文件4、病毒體程序?qū)崿F(xiàn)可以分為4個(gè)模塊、分別是初始化模塊、程序頭表處理模塊、節(jié)頭表處理模塊以及收尾模塊5、LKM內(nèi)核模塊屬于ELF目標(biāo)文件二、判斷1.Shell惡意腳本是Linux系統(tǒng)下惡意代碼的一種。（√）2.惡意代碼的核心是能夠自我復(fù)制，其核心語(yǔ)句是”forfilejin*”(×)(cp$0$file)3.Linux下的病毒種類有Lion蠕蟲、跨Windows和Linux平臺(tái)等病毒。（√）4．LinuxELF病毒原型主要由C語(yǔ)言編寫，少部分無(wú)法由C語(yǔ)言來(lái)完成的底層操作采取GCC內(nèi)嵌匯編的方式實(shí)現(xiàn)。（√）5.非ELF相關(guān)的的感染方法有覆蓋式感染和追加式感染兩類。（√）三、選擇按照編制機(jī)理可以把Linux系統(tǒng)下的惡意代碼分為(A)類。A、4 B、3 C、2 D、5LKM感染技術(shù)不包含的函數(shù)為（A）main()函數(shù)B、init_module()函數(shù)C、cleanup_module()函數(shù)D、creat_module（）函數(shù)用來(lái)修訂文件中兩個(gè)宏定義的bash腳本文件的是（A）get_patch.shinfector.cC、virus.cD、virus.h下列屬于高級(jí)感染技術(shù)的是（A）A、PLT/GOT劫持實(shí)現(xiàn)B、覆蓋式感染C、追加式感染D、數(shù)據(jù)段之后插入感染EFL是為工作在32位不同操作系統(tǒng)之間可移植的（A）文件格式。A、二進(jìn)制B、八進(jìn)制C、十進(jìn)制D、十六進(jìn)制四、簡(jiǎn)單1簡(jiǎn)單概述Linux系統(tǒng)下惡意代碼的分類Shell惡意腳本，蠕蟲，基于欺騙庫(kù)函數(shù)惡意代碼，與平臺(tái)兼容的惡意代碼2利用ELF格式的感染方法有哪些文本段之后填充，數(shù)據(jù)段以后插入感染，文本段之前插入感染，利用函數(shù)對(duì)齊填充區(qū)感染，利用NOTE段或者擴(kuò)展.note節(jié)3ELF文檔包含哪3個(gè)部分目標(biāo)文件，程序裝載和動(dòng)態(tài)鏈接，c語(yǔ)言庫(kù)4無(wú)關(guān)ELF格式的感染方法有哪些覆蓋式感染，追加式感染，擴(kuò)展注釋節(jié)5plt實(shí)現(xiàn)重定向的算法具體描述是？將文本段改為可寫權(quán)限，保存plt入口點(diǎn)，使用新的庫(kù)調(diào)用地址替代原入口，對(duì)新的庫(kù)調(diào)用中代碼的修改實(shí)現(xiàn)新的庫(kù)調(diào)用的功能，保存原來(lái)的plt入口，調(diào)用原來(lái)的庫(kù)調(diào)用五、論述問(wèn)：ElF格式文件的感染類型及原理分析無(wú)關(guān)ELF格式的感染方法覆蓋式感染：有些病毒會(huì)強(qiáng)行覆蓋執(zhí)行程序的某一部分，將自身嵌入其中，以達(dá)到不改變被感染文件長(zhǎng)度的目的，被這樣的病毒覆蓋掉的代碼無(wú)法復(fù)原，從而這種病是無(wú)法被安全殺除的。2.追加式感染：將病毒體直接追加到宿主文件中，或者將宿主追加到病毒體之后，并不存在覆蓋宿主文件的行為，從而宿主文件被感染成單純的病毒體和原宿主文件的合體，在病毒文件執(zhí)行后將控制權(quán)還給宿主。利用ELF格式的感染方法文本段之后填充：這種方法式利用在可以提供合適的承載空間的文本段的末尾進(jìn)行頁(yè)面填充的方法。數(shù)據(jù)段之后插入感染：在數(shù)據(jù)段默認(rèn)可執(zhí)行的UNIX系統(tǒng)中，通過(guò)擴(kuò)展數(shù)據(jù)段包含進(jìn)插入的寄生代碼來(lái)感染文件。文本段之前插入感染：新的文本段病毒感染方法式將文本段向低地址擴(kuò)展，并且使病毒代碼在擴(kuò)展的空間內(nèi)執(zhí)行。利用函數(shù)對(duì)齊填充區(qū)感染：由于函數(shù)填充區(qū)一般較小，需要將病毒分割成幾個(gè)段，修改每段的最后部分，添加跳轉(zhuǎn)語(yǔ)句，將病毒各個(gè)段分別放進(jìn)不同的函數(shù)填充區(qū)中。利用NOTE段或者擴(kuò)展.note節(jié)：高級(jí)感染技術(shù)LKM感染技術(shù)：LKM具有相對(duì)靈活的使用方式和強(qiáng)大功能，可以被動(dòng)態(tài)地加載，而不需要重新編譯內(nèi)核。對(duì)于病毒而言有很多好處，隱藏文件和進(jìn)程等但是使用LKM式比較麻煩的，需要較高的技術(shù)要求。2.PLT/GOT劫持實(shí)現(xiàn)：感染ELF文件表式利用了PLT在搜索庫(kù)調(diào)用時(shí)的重要性，可以修改相關(guān)代碼來(lái)跳轉(zhuǎn)到自己定義的感染代碼中，取代原來(lái)的庫(kù)調(diào)用，實(shí)現(xiàn)斌單病毒傳染。通多感染可執(zhí)行文件并修改PLT表導(dǎo)致共享庫(kù)重定向來(lái)實(shí)現(xiàn)病毒，并且在取代之前保存原來(lái)的GOT狀態(tài)，可以在執(zhí)行完病毒代碼后重新調(diào)用回復(fù)原來(lái)的庫(kù)調(diào)用。填空題一個(gè)完整的木馬系統(tǒng)由硬件部分、軟件部分和具體鏈接部分組成。綜合現(xiàn)在流行的木馬程序，他們都有欺騙性、隱蔽性、自動(dòng)運(yùn)行性、自動(dòng)恢復(fù)功能、功能的特殊性這幾個(gè)基本特征。木馬有遠(yuǎn)程控制型木馬、發(fā)送密碼型木馬、鍵盤記錄型木馬、毀壞型木馬、FTP型木馬。木馬程序的攻擊方式是通過(guò)Client端程序向Server端程序發(fā)送指令，Server端接收到控制指令后，根據(jù)指令內(nèi)容在本地執(zhí)行相關(guān)程序段，然后把程序結(jié)果返回給Client端。反彈式木馬使用的是系統(tǒng)信任的端口，系統(tǒng)就會(huì)認(rèn)為木馬是普通應(yīng)用程序，而不對(duì)其連接進(jìn)行檢查。二、選擇題下列哪項(xiàng)不屬于木馬程序的特征（C）A、欺騙性 B、隱蔽性 C、完整性 D、自動(dòng)運(yùn)行性2、下列關(guān)于特洛伊木馬病毒的敘述中，正確的有（A） A、木馬病毒能夠盜取用戶信息 B、木馬病毒偽裝成不合法軟件進(jìn)行傳播 C、木馬病毒運(yùn)行時(shí)會(huì)在任務(wù)欄產(chǎn)生一個(gè)圖標(biāo) D、木馬病毒不會(huì)自動(dòng)運(yùn)行3、以下哪項(xiàng)是著名特洛伊木馬“網(wǎng)絡(luò)神偷”采用的隱藏技術(shù)（B） A、ICMP協(xié)議技術(shù) B、反彈式木馬技術(shù) C、遠(yuǎn)程線程技術(shù) D、隱藏端口技術(shù)4、下列（D）不是常用程序的默認(rèn)端口。 A、21 B、80 C、23 D、80805、關(guān)于特洛伊木馬的植入方法，下列說(shuō)法不正確的是（B）郵件植入 B、系統(tǒng)生成 C、文件下載 D、IM植入三、判斷題1、特洛伊木馬發(fā)展的第二階段出現(xiàn)了基于ICMP協(xié)議的木馬。（×）2、特洛伊木馬是一種特殊的程序，能配合遠(yuǎn)程計(jì)算機(jī)被其利用通過(guò)網(wǎng)絡(luò)在遠(yuǎn)端控制用戶計(jì)算機(jī)。（√）3、木馬是一種計(jì)算機(jī)病毒。（√）4、特洛伊木馬具有隱蔽性和穩(wěn)定性的特點(diǎn)。（×）5、一臺(tái)計(jì)算機(jī)中了特洛伊木馬病毒后，可能會(huì)發(fā)生數(shù)據(jù)丟失，被破壞的情況。（√）四、簡(jiǎn)答題1、簡(jiǎn)述特洛伊木馬病毒的特點(diǎn)答：1、隱蔽性。2、自動(dòng)運(yùn)行性。3、欺騙性。4、頑固性。5、易植入性。2、簡(jiǎn)述特洛伊木馬功能答：1、竊取用戶文件。2、接受木馬釋放者的指令。3、篡改文件和數(shù)據(jù)。4、刪除文件和數(shù)據(jù)。5、施放病毒。6、使系統(tǒng)自毀。3、簡(jiǎn)述木馬的防范策略答：1、不執(zhí)行來(lái)歷不明的軟件2、不隨便打開郵件附件3、重新選擇新的客戶端軟件4、盡量少用或不用共享文件夾5、實(shí)時(shí)監(jiān)控4、簡(jiǎn)單說(shuō)說(shuō)木馬的種類有哪些？答：1、破壞型2、密碼發(fā)送型3、遠(yuǎn)程訪問(wèn)型4、鍵盤記錄木馬5、Dos攻擊木馬6、代理木馬7、FTP木馬8、程序殺手木馬9、反彈端口型木馬5、簡(jiǎn)述木馬病毒的啟動(dòng)方式答：1、通過(guò)“開始\程序\啟動(dòng)”2、通過(guò)Win.ini文件3、通過(guò)注冊(cè)表啟動(dòng)通過(guò)：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce等等4、通過(guò)Autoexec.bat文件，或winstart.bat，config.sys文件5、通過(guò)System.ini文件6、通過(guò)某特定程序或文件啟動(dòng)五、論述題 1、公司最近要求小王出一期有關(guān)特洛伊木馬病毒的研討會(huì)，小王正在發(fā)愁如何敘述特洛伊木馬病毒的工作流程，你能幫他說(shuō)一下嗎？如果你中了特洛伊木馬病毒，作為信安的學(xué)生談?wù)勀闳绾螌⑵洳闅?。?端口掃描、查看連接、檢查注冊(cè)表、查找文件、殺病毒文件、系統(tǒng)文件檢查器，結(jié)合以上內(nèi)容可自行發(fā)揮。選擇1.下列不是早期手機(jī)環(huán)境的弱點(diǎn)的是（）系統(tǒng)相對(duì)封閉創(chuàng)作空間狹窄病毒威脅較多數(shù)據(jù)格式單調(diào)答案：C2.Cabir系列病毒式什么類型的病毒（）蠕蟲病毒木馬病毒腳本病毒宏病毒答案：A3.防止設(shè)備免受或少受安全威脅的主要防范措施有（）隨便下載文件注意來(lái)電信息打開無(wú)線連接不進(jìn)行系統(tǒng)升級(jí)答案：B4.下列不是移動(dòng)終端惡意代碼攻擊方式的是（）消息攻擊攻擊網(wǎng)關(guān)木馬型惡意代碼直接攻擊手機(jī)答案：A5.VBS.Timofonica病毒感染短信平臺(tái)后，通過(guò)短信平臺(tái)向用戶發(fā)送垃圾信息或廣告。其傳播途徑是（）終端-終端終端-網(wǎng)關(guān)-終端PC（計(jì)算機(jī)）-終端終端-網(wǎng)關(guān)-PC（計(jì)算機(jī)）-終端答案：B填空移動(dòng)終端惡意代碼主要通過(guò)（終端-終端）、（終端-網(wǎng)關(guān)-終端）、（PC<計(jì)算機(jī)>-終端）的途徑進(jìn)行攻擊。移動(dòng)終端惡意代碼以移動(dòng)終端為感染對(duì)象，以（無(wú)線通信網(wǎng)絡(luò)）和（計(jì)算機(jī)網(wǎng)絡(luò)）為平臺(tái)，通過(guò)發(fā)送惡意短信等形式，對(duì)終端設(shè)備進(jìn)行攻擊，從而造成設(shè)備狀態(tài)異常。從攻擊對(duì)象看，移動(dòng)終端惡意代碼可分為短信攻擊、直接攻擊手機(jī)、（攻擊網(wǎng)關(guān)）、（攻擊漏洞）和（木馬型惡意代碼）五種類型。Android由（操作系統(tǒng)）、（中間件）和（應(yīng)用程序）組成，是首個(gè)為（移動(dòng)終端）打造的真正開放和完整的移動(dòng)軟件。根據(jù)功能不同，移動(dòng)終端主要包括（手機(jī)）和（PDA）兩大類。判斷不具備審計(jì)能力是移動(dòng)端操作系統(tǒng)的弱點(diǎn)之一（T）目前，移動(dòng)終端惡意代碼主要通過(guò)幾種途徑進(jìn)行攻擊：終端-終端、終端-網(wǎng)關(guān)-終端、終端-PC（F）原因：最后一個(gè)應(yīng)該是PC-終端移動(dòng)終端惡意代碼的攻擊方式有：短信攻擊、直接攻擊手機(jī)、攻擊網(wǎng)關(guān)、攻擊漏洞、木馬型惡意代碼。（T）目前為止，曾經(jīng)被惡意代碼利用的漏洞有：特殊字符漏洞、vCard漏洞、Simens的“%String”漏洞、ios瀏覽器漏洞（F）原因：最后一個(gè)應(yīng)為Android瀏覽器漏洞迄今為止，移動(dòng)終端惡意代碼沒(méi)有明確的定義（T）簡(jiǎn)答簡(jiǎn)述移動(dòng)終端的基本概念？移動(dòng)終端或者叫移動(dòng)通信終端是指可以在移動(dòng)中使用的計(jì)算機(jī)設(shè)備包括手機(jī)、筆記本、平板電腦、POS機(jī)甚至包括車載電腦手機(jī)操作系統(tǒng)的弱點(diǎn)？不支持任意的訪問(wèn)控制。不具備審計(jì)能力。缺少通過(guò)使用身份標(biāo)識(shí)符或者身份認(rèn)證進(jìn)行重用控制的能力。不對(duì)數(shù)據(jù)完整性進(jìn)行保護(hù)。移動(dòng)終端設(shè)備的漏洞？PDU格式漏洞特殊字符漏洞vCard漏洞Siemens的“%String”漏洞Android瀏覽器漏洞移動(dòng)終端惡意代碼的攻擊方式短信攻擊直接攻擊手機(jī)攻擊網(wǎng)關(guān)攻擊漏洞木馬型惡意代碼移動(dòng)終端惡意代碼傳播途徑終端-終端終端-網(wǎng)關(guān)-終端PC-終端分析1.請(qǐng)分析Cabir系列病毒作用機(jī)制Cabir是一個(gè)使用藍(lán)牙傳播的蠕蟲，運(yùn)行于支持60系列平臺(tái)的Symbian手機(jī)。其首先通過(guò)藍(lán)牙連接復(fù)制，作為包含蠕蟲的caribe.sis文件到達(dá)手機(jī)收件箱，當(dāng)用戶點(diǎn)擊并選擇caribe.sis時(shí)，蠕蟲激活并開始通過(guò)藍(lán)牙尋找新的手機(jī)進(jìn)行感染，當(dāng)Cabir蠕蟲發(fā)現(xiàn)另一個(gè)藍(lán)牙手機(jī)時(shí)，它將開始向其發(fā)送感染SIS文件并鎖定這個(gè)手機(jī)，以至于即使目標(biāo)離開范圍時(shí)它也不會(huì)尋找其他手機(jī)。2.請(qǐng)分析移動(dòng)終端操作系統(tǒng)的弱點(diǎn)移動(dòng)終端操作系統(tǒng)的弱點(diǎn)主要體現(xiàn)在以下幾個(gè)方面：①不支持任意的訪問(wèn)控制，也就是說(shuō)，它不能區(qū)分一個(gè)用戶同另一個(gè)用戶的個(gè)人私密數(shù)據(jù)。②不具備審計(jì)能力。③缺少通過(guò)身份標(biāo)識(shí)符或者身份認(rèn)證進(jìn)行重用控制的能力。④不對(duì)數(shù)據(jù)完整性進(jìn)行保護(hù)。⑤即使部分系統(tǒng)有密碼保護(hù)，惡意用戶仍然可以使用調(diào)試模式輕易得到他人的密碼，或者使用PlamCrypt這樣簡(jiǎn)單的工具得到密碼。⑥在密碼鎖定的情況下，移動(dòng)終端操作系統(tǒng)仍然允許安裝新的應(yīng)用程序。第七章一、判斷（√/×）1.蠕蟲病毒以計(jì)算機(jī)為載體，以網(wǎng)絡(luò)為攻擊對(duì)象，不具有自身復(fù)制的功能 ×2.蠕蟲的傳播無(wú)需用戶操作，也不必通過(guò)“宿主“程序或文件 √3.蠕蟲病毒會(huì)使商業(yè)網(wǎng)絡(luò)和整個(gè)Internet的速度減慢 √4.蠕蟲病毒自2005年底到今天依然排在病毒危害排行榜的首位 √5.蠕蟲的工作原理與病毒相似，但蠕蟲沒(méi)有感染文件階段 ×二、選擇1.下列計(jì)算機(jī)病毒不是蠕蟲病毒的是（C）A.沖擊波B.震蕩波C.CHID.尼姆達(dá)2.下列不屬于蠕蟲病毒的是（A）A.熊貓燒香B.特洛伊木馬C.宏病毒3．蠕蟲和傳統(tǒng)計(jì)算機(jī)病毒的區(qū)別主要體現(xiàn)在（D）上。A.存在形式B.傳染形式C.傳染目標(biāo)D.破壞方式4．蠕蟲的特征包括（ABCDEF）。（多選）利用漏洞主動(dòng)進(jìn)行攻擊與黑客技術(shù)相結(jié)合傳染方式多傳染速度快清楚難度大破壞性強(qiáng)5．蠕蟲病毒由主程序和引導(dǎo)程序兩部組成。而主程序中最重要的是傳播模塊，以下（D）不是傳播模塊的步驟。A.掃描B.攻擊C.復(fù)制D.破壞三、填空1.蠕蟲和特洛伊木馬的主要區(qū)別應(yīng)該體現(xiàn)在破壞目的上。2.“震網(wǎng)”攻擊具有攻擊目標(biāo)明確、采用技術(shù)先進(jìn)的特點(diǎn)。3.蠕蟲病毒的主程序中含有傳播模塊，傳播模塊的入侵可以分為掃描、攻擊、復(fù)制3個(gè)步驟，以實(shí)現(xiàn)蠕蟲病毒的主動(dòng)入侵。4.從編程的角度來(lái)看，蠕蟲病毒由兩部分組成：主程序、引導(dǎo)程序。5.試舉例一個(gè)蠕蟲的可利用傳播途徑：文件、電子郵件，web服務(wù)器、web腳本、u盤和網(wǎng)絡(luò)共享。（其一便可）四、簡(jiǎn)答根據(jù)攻擊對(duì)象不同對(duì)蠕蟲進(jìn)行的分類，請(qǐng)分別進(jìn)行概述。（1）面向企業(yè)用戶和局域網(wǎng)而言，這種病毒利用系統(tǒng)漏洞，主動(dòng)進(jìn)行攻擊，可以對(duì)整個(gè)互聯(lián)網(wǎng)可造成癱瘓性的后果。以“紅色代碼”、“尼姆達(dá)”以及最新的“SQL蠕蟲王”為代表。（2）針對(duì)個(gè)人用戶的，通過(guò)網(wǎng)絡(luò)（主要是電子郵件、惡意網(wǎng)頁(yè)形式）迅速傳播的蠕蟲病毒，以愛蟲病毒、求職信病毒為代表。蠕蟲病毒對(duì)用戶安全威脅性更大，簡(jiǎn)要描述蠕蟲的特征。利用漏洞進(jìn)行主動(dòng)攻擊：主要是“紅色代碼”和“尼姆達(dá)”，由于IE瀏覽器的漏洞，使得感染了病毒的郵件再不去手動(dòng)打開附件的情況下就能激活病毒。與黑客技術(shù)相結(jié)合：主要是“紅色代碼”，感染后計(jì)算機(jī)的web目錄的scripts下將生成一個(gè)root,exe，可以遠(yuǎn)程執(zhí)行任何命令，使黑客進(jìn)入。傳染方式多：利用文件、電子郵件、wrb瀏覽器、web腳本、U盤、網(wǎng)絡(luò)共享等等傳播。傳播速度快：蠕蟲病毒不僅能迅速傳染局域網(wǎng)內(nèi)所有計(jì)算機(jī)，還能通過(guò)遠(yuǎn)程工作站傳播到千里之外。清除難度大：由于網(wǎng)絡(luò)中只要有一臺(tái)工作站未能將病毒查殺干凈就能造成整個(gè)網(wǎng)絡(luò)癱瘓，甚至剛完成查殺工作的也會(huì)被感染破壞性強(qiáng)：蠕蟲病毒破壞性巨大，論述蠕蟲病毒有哪些危害？在網(wǎng)絡(luò)環(huán)境下，蠕蟲可以按指數(shù)增長(zhǎng)模式進(jìn)行傳染。它侵人計(jì)算機(jī)網(wǎng)絡(luò)，可以導(dǎo)致計(jì)算機(jī)網(wǎng)絡(luò)效率急劇下降、系統(tǒng)資源遭到嚴(yán)重破壞，短時(shí)間內(nèi)造成網(wǎng)絡(luò)系統(tǒng)的癱瘓，因此網(wǎng)絡(luò)環(huán)境下蠕蟲防治曾經(jīng)是計(jì)算機(jī)防毒領(lǐng)域的研究重點(diǎn)。簡(jiǎn)要概括RPC漏洞的基本原理RPC中處理通過(guò)TCP/IP的消息交換的部分有一個(gè)漏洞。此問(wèn)題是由錯(cuò)誤地處理格式造成的。當(dāng)存在RPC遠(yuǎn)程執(zhí)行漏洞(MS08-067)的系統(tǒng)收到攻擊者構(gòu)造的RPC請(qǐng)求時(shí)，可能允許遠(yuǎn)程執(zhí)行惡意代碼，引起安裝程序、查看或更改、刪除數(shù)據(jù)或者是建立系統(tǒng)管理員權(quán)限的賬戶等,而無(wú)須通過(guò)認(rèn)證。在Windows2000、WindowsXP和WindowsServer200系統(tǒng)中，利用這一漏洞，攻擊者可以通過(guò)惡意構(gòu)造的網(wǎng)絡(luò)包直接發(fā)起攻擊，無(wú)須通過(guò)認(rèn)證地運(yùn)行任意代碼，并且獲取完整的權(quán)限。沖擊波病毒的攻擊行為有哪些？舉例說(shuō)明（至少3例）沖擊波運(yùn)行時(shí)會(huì)將自身復(fù)制到window目錄下,并命名為msblastexe。沖擊波運(yùn)行時(shí)會(huì)在系統(tǒng)中建立一個(gè)名為BILLY的互斥量,目的是沖擊波只保證在內(nèi)存中有一份副本,為了避免用戶發(fā)現(xiàn)。沖擊波運(yùn)行時(shí)會(huì)在內(nèi)存中建立一個(gè)名為msblastexe的進(jìn)程,該進(jìn)程就是活的病毒體。五、論述1、你認(rèn)為蠕蟲與特洛伊木馬的主要區(qū)別體現(xiàn)在哪個(gè)方面，請(qǐng)舉例說(shuō)明：蠕蟲與特洛伊木馬的主要區(qū)別體現(xiàn)在破壞目的上，與傳統(tǒng)計(jì)算機(jī)病毒類似蠕蟲破壞目的是純粹的破壞，例如耗費(fèi)網(wǎng)絡(luò)資源，刪除用戶數(shù)據(jù)的。而木馬目的是竊取，秘密的竊取用戶信息。2、蠕蟲和普通病毒不同的是往往能夠利用漏洞或者說(shuō)缺陷，請(qǐng)分別舉例說(shuō)明軟件上的缺陷和人為缺陷，你認(rèn)為不同的對(duì)象更需要防范哪種缺陷？：軟件上的缺陷，如遠(yuǎn)程溢出，微軟IE和outlook自動(dòng)執(zhí)行漏洞，需要軟件廠商和用戶共同配合不斷地升級(jí)軟件，而人為的漏洞主要是指計(jì)算機(jī)用戶的疏忽，這就是所謂的社會(huì)工程學(xué)，當(dāng)收到一封帶著病毒的求職信郵件是大多數(shù)人都會(huì)抱著好奇去點(diǎn)擊。對(duì)于企業(yè)用戶來(lái)說(shuō)，威脅主要集中在服務(wù)器和大型應(yīng)用軟件安全上，而對(duì)個(gè)人用戶而言，主要防范第二種缺陷填空題勒索軟件是典型的勒索型惡意代碼，通過(guò)______、_______甚至采用_______等方式，使用戶數(shù)據(jù)資產(chǎn)或計(jì)算機(jī)資源無(wú)法正常使用，并以此為條件想用戶勒索錢財(cái)。勒索攻擊一般分為三個(gè)階段，其中包括_______、_______、_______。勒索型惡意代碼的傳播方式多種多樣，分別為（1）______、（2）_______、（3）______、（4）_______、（5）_______、（6）_______、（7）_______、（8）______、（9）______。WananCry勒索型惡意代碼的執(zhí)行流程為（1）_______、（2）_______、（3）_______、（4）_______。防范與應(yīng)對(duì)策略有（1）_______、（2）________、（3）_______、（4）_______、（5）_______。參考答案：騷擾恐嚇綁架用戶文件傳播感染階段本地攻擊階段勒索支付階段釣魚郵件水坑攻擊漏洞攻擊捆綁傳播僵尸網(wǎng)絡(luò)傳播可移動(dòng)存儲(chǔ)介質(zhì)文件共享網(wǎng)站傳播網(wǎng)頁(yè)掛載傳播社交網(wǎng)絡(luò)傳播初始感染和擴(kuò)散準(zhǔn)備勒索代碼加密流程加密文件增強(qiáng)安全意識(shí)備份重要文件網(wǎng)絡(luò)流量的檢測(cè)網(wǎng)絡(luò)隔離措施更新軟件和安裝補(bǔ)丁二、判斷題1.勒索軟件有兩種形勢(shì)，數(shù)據(jù)加密和限制訪問(wèn)。（ ）2.勒索攻擊一般分為3個(gè)階段，即傳播感染階段，本地攻擊階段，勒索支付階段。 （ ）3.當(dāng)計(jì)算機(jī)系統(tǒng)被勒索型惡意代碼感染并被加密后，數(shù)據(jù)恢復(fù)的難度和惡意代碼采用的加密算法及加密方式無(wú)相關(guān)的. （ ）4.如果勒索型代碼通過(guò)加密的Web服務(wù)傳播，就能繞過(guò)傳統(tǒng)的防護(hù)手段。（ ）5.在加密過(guò)程中，算法對(duì)于每個(gè)文件都使用相同的攻擊向量.（ ），參考答案：1.√2.√3.╳4.√5.√

三、3到選擇題1.·勒索型惡意代碼總共有（B）個(gè)攻擊階段A.2 B.3 C.4 D.52.最早的勒索型惡意代碼出現(xiàn)在（D）A.1978 B.1979 C.1988 D.19893.以下哪個(gè)勒索型病毒出現(xiàn)在2015年（D）A.HandesLocker B.Zepto C.Prtya D.Hidden-Tear4.以下哪個(gè)選項(xiàng)不是防范與應(yīng)對(duì)勒索型病毒的方法（D）

A.備份重要文件 B.慎重下載 C.更新軟件和安裝補(bǔ)丁 D.關(guān)閉防火墻5.從技術(shù)上講，勒索型惡意代碼不包括的模塊有（A）模塊A.補(bǔ)丁下載 B.勒索 C.蠕蟲 D.漏洞利用

四、解答題勒索病毒軟件有哪些形式，請(qǐng)簡(jiǎn)單描述。答：有數(shù)據(jù)集加密和限制訪問(wèn)兩種形式。數(shù)據(jù)加密將受害者機(jī)器上的數(shù)據(jù)加密，承諾繳納贖金后恢復(fù)數(shù)據(jù)。限制訪問(wèn)是阻撓受害者訪問(wèn)設(shè)備，向受害者索要贖金。列出四種勒索型惡意代碼最常見的攻擊方式，并簡(jiǎn)單解釋。釣魚郵件。郵件中加入目標(biāo)用戶的信息增加可行度，郵件附件中添加惡意宏代碼攻擊。網(wǎng)站掛載傳播。勒索軟件掛載到網(wǎng)站上，不小心訪問(wèn)，軟件自動(dòng)下載并安裝運(yùn)行。漏洞攻擊。利用服務(wù)器漏洞來(lái)攻擊服務(wù)器文件加密等操作。捆綁傳播。與軟件捆綁，利用軟件的傳播去擴(kuò)散勒索型惡意代碼。勒索型惡意代碼的加密算法大多數(shù)使用的是什么，這么加密對(duì)它有什么好處。答：大多數(shù)使用的是AES算法，接著是RSA算法等，這些加密算法都是標(biāo)準(zhǔn)型算法，對(duì)勒索病毒來(lái)說(shuō)，保證了它加密的文件難以被破解。我們?nèi)绾畏婪独账鞑《疽约坝惺裁磻?yīng)對(duì)措施？增強(qiáng)安全意識(shí)，使用防護(hù)工具安裝殺毒軟件，及時(shí)打補(bǔ)丁，同時(shí)慎重下載。積極備份好重要數(shù)據(jù)，還有注重備份恢復(fù)能力。

五、分析題/名詞解釋分析：與其他惡意代碼相比，試分析勒索型惡意代碼的特性。答：傳播方式多樣化，攻擊平臺(tái)多樣化，本地攻擊多變，支付方式隱秘。名詞解釋：試解釋什么是勒索型惡意代碼？答：勒索型惡意代碼是一種以勒索為目的的惡意軟件——黑客使用技術(shù)手段劫持用戶設(shè)備或數(shù)據(jù)資產(chǎn)，并以此為條件向用戶勒索錢財(cái)?shù)囊环N惡意攻擊手段。一、選擇題下列哪些是流氓軟件的特征（D）帶有捆綁軟件的行為，下載它一個(gè)，安裝它全家或者捆綁安裝其他利益相關(guān)的軟件。修改電腦注冊(cè)表。劫持瀏覽器，篡改瀏覽器主頁(yè)。以上都是電子郵件是網(wǎng)民的重要交流途徑，以下防范措施錯(cuò)誤的是（C）不要輕易打開陌生人來(lái)信中的附件文件。將系統(tǒng)的網(wǎng)絡(luò)連接安全級(jí)別至少設(shè)置為“中等”以上。隨意點(diǎn)擊陌生郵件中的鏈接去掉Windows腳本執(zhí)行功能以下不屬于腳本病毒的基本類型的是（B）JavaScript腳本文件Txt文本文件PHP腳本文件VBScript腳本文件以下關(guān)于Rootkit說(shuō)法不正確的是（A）為了防范Rootkit的危害，要在網(wǎng)絡(luò)上使用明文傳輸口令。常見的rootkit定義是一種惡意軟件程序，它使網(wǎng)絡(luò)犯罪分子能夠在不被檢測(cè)到的情況下訪問(wèn)和滲透計(jì)算機(jī)中的數(shù)據(jù)。大部分Rootkit是針對(duì)Linux和SunOS兩類操作系統(tǒng)的。一個(gè)典型的Rootkit包括如下一些獨(dú)立的程序：網(wǎng)絡(luò)嗅探工具、特洛伊木馬程序、隱藏攻擊者的目錄和進(jìn)程的程序、日志清理工具、FIX程序。高級(jí)持續(xù)威脅（APT）是利用先進(jìn)的攻擊手段對(duì)特定目標(biāo)進(jìn)行長(zhǎng)期持續(xù)性網(wǎng)絡(luò)攻擊的攻擊形式。下列屬于APT的特征的是（C）持續(xù)性、普遍性專一性、持續(xù)性高級(jí)性、持續(xù)性專一性、安全性二、判斷題。ATP攻擊具有持續(xù)潛伏，持續(xù)攻擊，持續(xù)欺騙，持續(xù)控制的特點(diǎn)。（√）Rootkit是攻擊者用來(lái)隱藏自己蹤跡和保留root訪問(wèn)權(quán)限的工具。（√）僵尸網(wǎng)絡(luò)是被黑客集中控制的計(jì)算機(jī)群。 （√）流氓軟件易卸載，對(duì)計(jì)算機(jī)影響不大。 （×）ATP攻擊的主要特征包括持續(xù)性和獨(dú)立性。 （×）三、填空題僵尸網(wǎng)絡(luò)的主要特征是______、______和一對(duì)多控制。（分布性、惡意傳播）Rootkit是攻擊者用來(lái)______和______的工具。（隱藏自己蹤跡、保留root訪問(wèn)權(quán)限）流氓軟件的主要特征：_____、_____、干擾正常使用和具有惡意代碼和黑客特征。（強(qiáng)迫性安裝、無(wú)法卸載或卸載困難）高級(jí)持續(xù)性威脅是利用先進(jìn)的攻擊手段對(duì)特定目標(biāo)進(jìn)行_____網(wǎng)絡(luò)攻擊的攻擊形式。（、長(zhǎng)期持續(xù)性）APT的主要特征是____、_____。（高級(jí)性、持續(xù)性）四、簡(jiǎn)答題1.什么是流氓軟件？（1）采用多種社會(huì)和技術(shù)手段,強(qiáng)行或者秘密安裝，并抵制卸載。（2）強(qiáng)行修改軟件設(shè)置，如瀏覽器主頁(yè)、軟件自動(dòng)啟動(dòng)選項(xiàng)及安全選項(xiàng)等。（3）強(qiáng)行彈出廣告，或者其他干擾用戶、占用系統(tǒng)資派行為。（4）有侵害用戶信息和財(cái)產(chǎn)安金的潛在因素或者隱患。（5）未經(jīng)許可,或者利用用戶疏忽或缺乏相關(guān)知識(shí)，秘密收集用戶個(gè)人信息、秘密和隱私。2.僵尸網(wǎng)絡(luò)有哪些特點(diǎn)？（1）分布性。僵尸網(wǎng)絡(luò)是一個(gè)具有一定分布性的、邏輯的網(wǎng)絡(luò)，它不具有物理拓?fù)浣Y(jié)構(gòu)。隨著Bot程序的不斷傳播而不斷有新的僵尸計(jì)算機(jī)添加到這個(gè)網(wǎng)絡(luò)中來(lái)。（2）惡意傳播。僵尸網(wǎng)絡(luò)是采用了一定的惡意傳播手段形成的，如主動(dòng)漏洞攻擊、惡意郵件等各種傳播手段，都可以用來(lái)進(jìn)行Bot程序的傳播。（3）一對(duì)多控制。Botnet的最主要的特點(diǎn)就是可以一對(duì)多地進(jìn)行控制，傳達(dá)命令并技行相同的惡意行為，如DDoS攻擊等。這種一對(duì)多的控制關(guān)系使得攻擊者能夠以低廳的代價(jià)高效地控制大量的資源為其服務(wù)，這也是Botnet攻擊受到黑客青睞的根本原因。3.流氓軟件有哪些特征？①?gòu)?qiáng)迫性安裝（1）不經(jīng)用戶許可自動(dòng)安裝。（2）不給出明顯提示，欺騙用戶安裝。（3）反復(fù)提示安裝，使用戶不勝其煩而不得不安裝等。②無(wú)法卸載或卸載困難1）正常手段無(wú)法印載。2）無(wú)法完全卸載。3）不提供卸載程序，或者提供的卸載程序不能用等。③干擾擾正常使用1）頻繁彈出廣告窗口。2）引導(dǎo)使用某功能等。④具有惡意代碼和黑客特征1）竊取信息。2）耗費(fèi)計(jì)算機(jī)資源等。4.APT的攻擊過(guò)程有哪些階段？第一階段：定向搜息收集。第二階段：?jiǎn)吸c(diǎn)攻擊突破。第三階段：構(gòu)建通道。第四階段：橫向滲透。第五階段：目標(biāo)行動(dòng)。ATP特征中都有那兩個(gè)性能？并選一個(gè)來(lái)介紹。高級(jí)性和持續(xù)性。ATP攻擊的方式相對(duì)于其他攻擊形式更為高級(jí)。其高級(jí)性主要體現(xiàn)在3個(gè)方面。（1）高級(jí)的收集手段。APT在發(fā)動(dòng)攻擊之前需要對(duì)攻擊對(duì)象的業(yè)務(wù)流程和目標(biāo)系線進(jìn)行精確的收集。在此收集的過(guò)程中，此攻擊會(huì)主動(dòng)挖掘被攻擊對(duì)象受信系統(tǒng)和應(yīng)用程序的漏洞，利用這些漏洞組建攻擊者所需的網(wǎng)絡(luò)，并利用0day漏洞進(jìn)行攻擊。（2）威脅高級(jí)的數(shù)據(jù)。APT是黑客以竊取核心資料為目的，針對(duì)客戶所發(fā)動(dòng)的網(wǎng)絡(luò)攻擊和侵襲行為，是一種著謀已久的“惡意商業(yè)間諜威脅”。這種行為往往經(jīng)過(guò)長(zhǎng)期的經(jīng)營(yíng)與策劃,并具備高度的隱廠性。（3）高級(jí)的攻擊手法。APT的特征之一在于隱匿自己，針對(duì)特定對(duì)象長(zhǎng)期、有計(jì)劃性和組織性地竊取數(shù)據(jù)，這種發(fā)生在數(shù)字空問(wèn)的偷竊資料、搜集情報(bào)的行為，就是一種“網(wǎng)絡(luò)間諜”的行為。五、論述題1.對(duì)于流氓軟件請(qǐng)舉例分析其特征答：在下載某官方軟件后，沒(méi)有任何提示在操作者未知的情況下安裝了某軟件，然后電腦不斷彈出廣告窗口，無(wú)法關(guān)閉，且不知道是什么軟件導(dǎo)致，后卸載官方軟件后，仍無(wú)法解決廣告彈窗問(wèn)題。特征：沒(méi)有任何提示在操作者未知的情況下安裝了某軟件體現(xiàn)了流氓軟件的強(qiáng)迫性安裝；廣告彈窗且無(wú)法關(guān)閉體現(xiàn)了干擾正常使用的特征；卸載官方軟件后無(wú)法解決體現(xiàn)了無(wú)法卸載或卸載困難的特征。2.Bagle是世界上第一個(gè)僵尸網(wǎng)絡(luò)之一，感染了超過(guò)20萬(wàn)臺(tái)電腦的蠕蟲，當(dāng)這種蠕蟲感染足夠的計(jì)算機(jī)之后，他們會(huì)在每個(gè)計(jì)算機(jī)中自動(dòng)安裝看不見的電子郵件代理服務(wù)器，并通過(guò)這些計(jì)算機(jī)發(fā)送垃圾電子郵件。請(qǐng)分析其危害。答：發(fā)送了大量垃圾郵件濫用資源，需要消耗大量網(wǎng)絡(luò)資源，使用戶網(wǎng)絡(luò)性能受到影響，甚至帶來(lái)經(jīng)濟(jì)損失；會(huì)在被感染的計(jì)算機(jī)中安裝電子郵件代理服務(wù)器，使得發(fā)送者可以很好的隱藏自身的IP信息，無(wú)法溯源。1.AIDC的特征碼是（A）A.42E8FF8ED82DCCB.720450EB0790B44CC.90EA59EC009090D.0A954CB39347E160B42.以下哪個(gè)惡意代碼檢測(cè)技術(shù)是錯(cuò)誤的（D）特征碼掃描技術(shù)啟發(fā)性掃描技術(shù)完整性分析技術(shù)特征碼仿真分析技術(shù)3.基于特征碼掃描法的自動(dòng)檢測(cè)程序至少包括兩部分：特征碼和（B）A.搜索引擎B.掃描引擎C.驅(qū)動(dòng)引擎D.監(jiān)控引擎4.要想成功防范越來(lái)越多的惡意代碼，使用戶免受惡意代碼侵?jǐn)_，需要從以下六個(gè)層面開展：檢測(cè)、（C）、預(yù)防、免疫、數(shù)據(jù)備份及恢復(fù)刪除消除清除解除惡意代碼的預(yù)防技術(shù)不包括哪個(gè)（D）系統(tǒng)監(jiān)控技術(shù)個(gè)人防火墻技術(shù)系統(tǒng)加固技術(shù)系統(tǒng)預(yù)防技術(shù)填空：

1.比較法是惡意代碼診斷的重要方法之一

計(jì)算機(jī)安全工作者常用的比較法包括注冊(cè)表比較法、文件比較法、內(nèi)存比較法、中斷比較法

2.病毒掃描軟件由兩部分組成

一部分是病毒庫(kù)，含有經(jīng)過(guò)特別選定的歌中惡意代碼特征串

另一部分是掃描算法，負(fù)責(zé)在程序中查找這些特征串

3.從技術(shù)層面講

數(shù)據(jù)備份策略主要包括完全備份、增量備份、差分備份

4、惡意代碼的特性

針對(duì)性

欺騙性

變化性

5、傳染性和依附性是計(jì)算機(jī)病毒區(qū)別于其他惡意代碼的本質(zhì)特征判斷：1、惡意代碼的檢測(cè)方法有，特征碼方法;

基于程序完整性;

基于程序語(yǔ)義;

基于程序行為，（√）2、惡意代碼被檢測(cè)之后的處理技術(shù)，只能進(jìn)行惡意代碼清除，（×）3、預(yù)防惡意代碼的首要措施是，切斷惡意代碼的傳播途徑，（√）4、在分析一個(gè)可疑的惡意代碼樣本時(shí)，第一步最好是裝入調(diào)試器，（×）5、比較法是惡意代碼診斷的重要方法之一，常用的方法有注冊(cè)表比較法;

操作系統(tǒng)比較法;

內(nèi)存比較法;

中斷比較法，（×）簡(jiǎn)答題：說(shuō)明惡意代碼檢測(cè)的基本原理，常用的檢測(cè)方法有哪些？答：惡意代碼檢測(cè)方法，可以分為基于啟發(fā)式的檢測(cè)和基于特征的檢測(cè)兩大類。基于啟發(fā)式的檢測(cè)方法，通過(guò)比較系統(tǒng)上層信息和取自內(nèi)核的系統(tǒng)狀態(tài)來(lái)識(shí)別隱藏的文件、進(jìn)程及注冊(cè)表信息.還有一些研究工作通過(guò)監(jiān)控系統(tǒng)特定資源來(lái)識(shí)別惡意代碼。傳統(tǒng)的特征檢測(cè)，大多采用基于代碼特征的檢測(cè)方法，該方法從已有惡意代碼樣本中提取代碼語(yǔ)法(syntactic)特征用于檢測(cè)，此類特征通常精確匹配單一樣本，惡意代碼使用簡(jiǎn)單混淆方法即可繞過(guò)相應(yīng)檢測(cè)?；ヂ?lián)網(wǎng)時(shí)代對(duì)一些新惡意代碼的防范技術(shù)有哪些？答：未知病毒主動(dòng)防御技術(shù)系統(tǒng)啟動(dòng)前殺毒技術(shù)反Rootkit、Hook技術(shù)虛擬機(jī)脫殼內(nèi)核級(jí)主動(dòng)防御3.簡(jiǎn)述目前惡意代碼的防范方法答：目前，惡意代碼防范方法主要分為兩方面：基于主機(jī)的惡意代碼防范方法和基于網(wǎng)絡(luò)的惡意代碼防范方法。4.簡(jiǎn)述研究惡意代碼的必要性答：在Internet安全事件中，惡意代碼造成的經(jīng)濟(jì)損失占有最大的比例。與此同時(shí)，惡意代碼成為信息戰(zhàn)、網(wǎng)絡(luò)戰(zhàn)的重要手段。日益嚴(yán)重的惡意代碼問(wèn)題，不僅使企業(yè)及用戶蒙受了巨大經(jīng)濟(jì)損失，而且使國(guó)家的安全面臨著嚴(yán)重威脅。5．

惡意代碼是如何定義，可以分成哪幾類？經(jīng)過(guò)存儲(chǔ)介質(zhì)和網(wǎng)絡(luò)進(jìn)行傳播，從一臺(tái)計(jì)算機(jī)系統(tǒng)到另外一臺(tái)計(jì)算機(jī)系統(tǒng)，未經(jīng)授權(quán)認(rèn)證破壞計(jì)算機(jī)系統(tǒng)完整性的程序或代碼。它包括計(jì)算機(jī)病毒(ComputerVirus)、蠕蟲(Worms)、特洛伊木馬(TrojanHorse)、邏輯炸彈(LogicBombs)、病菌(Bacteria)、用戶級(jí)RootKit、核心級(jí)RootKit、腳本惡意代碼(MaliciousScripts)和惡意ActiveX控件等。分析題

簡(jiǎn)要說(shuō)明惡意代碼的防范思路，并對(duì)數(shù)據(jù)備份及恢復(fù)進(jìn)行具體分析。

答：防范需要從以下六個(gè)層次開展：檢測(cè)，清除，預(yù)防，免疫，數(shù)據(jù)備份及恢復(fù)，防范策略。

數(shù)據(jù)備份及數(shù)據(jù)恢復(fù)是在清除技術(shù)無(wú)法滿足需要的情況下而不得不采用的一種防范技術(shù)。數(shù)據(jù)備份及數(shù)據(jù)恢復(fù)的思路是：在檢測(cè)出某個(gè)文件被感染了惡意代碼后，不去試圖清除其中的惡意代碼使其恢復(fù)正常，而是直接用事先備份的正常文件覆蓋被感染后的文件。數(shù)據(jù)備份及數(shù)據(jù)恢復(fù)中的數(shù)據(jù)的含義是多方面的，既指用戶的數(shù)據(jù)文件，也指系統(tǒng)程序、關(guān)鍵數(shù)據(jù)（注冊(cè)表）、常用應(yīng)用程序等。

分析兩種惡意代碼的檢測(cè)方法的區(qū)別。

惡意代碼的檢測(cè)方法有兩類：手工檢測(cè)和自動(dòng)檢測(cè)。

手工檢測(cè)方法操作難度大并且技術(shù)復(fù)雜，它需要操作人員具有一定的軟件分析經(jīng)驗(yàn)及對(duì)操作系統(tǒng)有深入的了解；而自動(dòng)檢測(cè)方法操作簡(jiǎn)單使用方便，適合一般的計(jì)算機(jī)用戶學(xué)習(xí)使用。但是自動(dòng)檢測(cè)方法不可能檢測(cè)所有未知的惡意代碼。在出現(xiàn)一種新型的惡意代碼時(shí)，如果現(xiàn)有的各種檢測(cè)工具無(wú)法檢測(cè)這種惡意代碼，則只能用手工方法進(jìn)行惡意代碼的檢測(cè)。其實(shí)，自動(dòng)檢測(cè)也是在手工檢測(cè)成功的基礎(chǔ)上把手工檢測(cè)方法程序化后所得的。因此，可以說(shuō)，手工檢測(cè)惡意代碼是最基本、最有力的工具。常用殺毒軟件及其解決方案選擇發(fā)現(xiàn)惡意代碼后，比較徹底的清除方式是()。A.用查毒軟件處理B.刪除磁盤文件C.用殺毒軟件處理D.格式化磁盤答案：D2.()是非常有用的數(shù)據(jù)恢復(fù)工具。A.KAV2009B.KV2009C.Notorn2009D.EasyRevovery6.0答案：D3.“三分技術(shù)、七分管理、十二分?jǐn)?shù)據(jù)”強(qiáng)調(diào)()的重要性。A.檢測(cè)B.清除C.預(yù)防D.備份與恢復(fù)答案：D為防止惡意代碼的傳染，應(yīng)該做到不要（）A、使用軟盤B、對(duì)硬盤上的文件經(jīng)常備份C、使用來(lái)歷不明的程序D、利用網(wǎng)絡(luò)進(jìn)行信息交流答案：C5.不易被感染上惡意代碼的文件是（）COMB.EXEC.TXTD.BOOT答案：C判斷1．聯(lián)想隨機(jī)殺毒軟件Norton2005其病毒庫(kù)免費(fèi)升級(jí)有效期為3年。(錯(cuò))2．一種殺毒軟件能查殺所有的計(jì)算機(jī)病毒。(錯(cuò))3．殺毒軟件在清除病毒的同時(shí)，也會(huì)清除計(jì)算機(jī)中的部分?jǐn)?shù)據(jù)。（錯(cuò)）4．殺毒軟件可以清除各種未知的病毒。（錯(cuò)）5．現(xiàn)在的殺毒軟件可以防止一切黑客侵入電腦。（對(duì)）填空1.惡意代碼防范軟件對(duì)惡意代碼的________能力和自身的________能力是其基本功能。（清除;防御）按照統(tǒng)計(jì)，________和________是目前最常見的惡意代碼傳播方式。（郵件系統(tǒng)；網(wǎng)頁(yè)）3.網(wǎng)絡(luò)蠕蟲可以根據(jù)IP地址范圍做定向性的掃描，這種________和條件傳播改變了傳統(tǒng)病毒以擴(kuò)散點(diǎn)為中心的特性。（定向性攻擊）4.惡意代碼誕生之初，是以________為主要介質(zhì)的，因而傳播速度比較慢。（磁盤）根據(jù)惡意代碼在企業(yè)網(wǎng)中的傳播過(guò)程，可以歸納出________、________和________是惡意代碼在企業(yè)網(wǎng)中的三種傳播途徑。（互聯(lián)網(wǎng)；網(wǎng)絡(luò)共享；客戶端）簡(jiǎn)答一、簡(jiǎn)述殺毒軟件必備功能。答：1、查殺功能2、防范新惡意代碼的能力3、備份和恢復(fù)能力4、實(shí)時(shí)監(jiān)控能力5、升級(jí)能力6、智能安裝能力7、簡(jiǎn)單易用8、資源占用情況9、兼容性二、產(chǎn)生惡意代碼地緣性的因素有哪些？1、編制者地生活空間2、特定的操作系統(tǒng)及軟件環(huán)境3、定向性攻擊和條件傳播 三、殺毒產(chǎn)品主要比較哪幾方面？ 1、軟件空閑資源占用 2、掃描資源占用 3、檢出能力測(cè)試 4、病毒查殺性能 四、企業(yè)網(wǎng)絡(luò)惡意代碼防范方案有哪三種？ 1、局域網(wǎng)惡意代碼防范方案 2、廣域網(wǎng)惡意代碼防范方案 3、某企業(yè)惡意代碼防范應(yīng)用案例 五、中國(guó)新型惡意代碼地地緣性表現(xiàn)在哪幾方面？ 1、中國(guó)已經(jīng)成為全球惡意代碼擴(kuò)散地中心節(jié)點(diǎn)之一 2、木馬大量出現(xiàn) 3、針對(duì)國(guó)內(nèi)網(wǎng)絡(luò)工具地專用大量木馬出現(xiàn)論述1.對(duì)惡意代碼防范產(chǎn)品的要求有哪些，請(qǐng)簡(jiǎn)要描述。

(1)多層次、全方位的惡意代碼防范工作環(huán)境。

(2)先進(jìn)的惡意代碼防范技術(shù)。

(3)簡(jiǎn)易快速的網(wǎng)絡(luò)惡意代碼防范軟件安裝和維護(hù)。

(4)集中和方便地進(jìn)行惡意代碼特征碼和掃描引擎的更新。

(5)方便、全面、友好的惡意代碼警報(bào)和報(bào)表系統(tǒng)管理機(jī)制。

(6)惡意代碼防護(hù)自動(dòng)化服務(wù)機(jī)制。

(7)客戶端防范策略的強(qiáng)制定義和執(zhí)行。

(8)快速、有效地處理未知惡意代碼。

(9)合理的預(yù)算規(guī)劃和低廉的成本。

(10良好的服務(wù)與強(qiáng)大支持。

2.如何為工作單位選擇一個(gè)防病毒產(chǎn)品？首先是企業(yè)網(wǎng)絡(luò)中的各個(gè)節(jié)點(diǎn)能夠享受“絕對(duì)平等”的防病毒待遇。網(wǎng)絡(luò)版殺毒軟件需要結(jié)合各種網(wǎng)絡(luò)環(huán)境的不同特征，通過(guò)對(duì)網(wǎng)絡(luò)底層通信條件、文件使用權(quán)限分配的認(rèn)真分析，實(shí)時(shí)可靠地提出相應(yīng)的解決方案，從而建立起一套全方位、具備實(shí)時(shí)檢測(cè)能力的防病毒體系，實(shí)現(xiàn)從服務(wù)器到工作站再到客戶端的全方位病毒防護(hù)及管理，使系統(tǒng)管理員在任何一臺(tái)管理工作站上都能對(duì)全網(wǎng)進(jìn)行監(jiān)控。其次是遠(yuǎn)程管理。網(wǎng)絡(luò)版殺毒軟件應(yīng)能實(shí)現(xiàn)全網(wǎng)化的遠(yuǎn)程管理，實(shí)現(xiàn)遠(yuǎn)程安裝、遠(yuǎn)程殺毒、遠(yuǎn)程操作、遠(yuǎn)程管理、遠(yuǎn)程報(bào)警等功能，確保不受時(shí)空所限，實(shí)時(shí)地維護(hù)企業(yè)的網(wǎng)絡(luò)安全。再次是易用性。網(wǎng)絡(luò)版殺毒軟件需要易學(xué)易用，具體講即界面簡(jiǎn)潔明了，升級(jí)方式易用、方便。系統(tǒng)管理員能夠清楚掌握整個(gè)網(wǎng)絡(luò)環(huán)境中各個(gè)節(jié)點(diǎn)的安全狀態(tài)，使整個(gè)網(wǎng)絡(luò)的病毒查殺與安全管理工作輕松化。最后，服務(wù)同樣也是一個(gè)相當(dāng)重要的條件。一方面，病毒與反病毒是一個(gè)“魔道相爭(zhēng)”的典型表現(xiàn)，殺毒軟件的價(jià)值與能力就需要通過(guò)不斷地升級(jí)來(lái)體現(xiàn)；另一方面，企業(yè)網(wǎng)絡(luò)的信息安全也需要通過(guò)定期地進(jìn)行“普查”與“檢修”來(lái)保證系統(tǒng)的真正安全。第十二章填空：1:從惡意代碼對(duì)抗角度來(lái)看，其防治策略必須具備以下準(zhǔn)則。（）（）（）清除能力，恢復(fù)能力，替代操作。答案:拒絕訪問(wèn)能力，控制傳播能力，檢測(cè)能力。2:（）經(jīng)常記錄一些敏感信息，如用戶名，計(jì)算機(jī)名，使用過(guò)的瀏覽器和曾經(jīng)訪問(wèn)的網(wǎng)站。答案:cookie3:入侵檢測(cè)系統(tǒng)IDS可以工作在兩種方式下，一種方式是IDS對(duì)（）進(jìn)行一次快照，并報(bào)告任何試圖改變被監(jiān)視區(qū)域的嘗試，另一種方法復(fù)雜一些，它監(jiān)視PC或網(wǎng)絡(luò)動(dòng)態(tài)尋找惡意行為。答案:用戶的系統(tǒng)。4:Internet內(nèi)容檢查器在保護(hù)用戶不受源于（）的惡意代碼傷害的問(wèn)題上的成效是不錯(cuò)的。答案:HTML5:所有惡意代碼均以某種方式操縱本地系統(tǒng)，或者通過(guò)修改（）文件或者修改（）。答案:操作系統(tǒng)，應(yīng)用判斷：1、來(lái)歷不明的軟件是惡意代碼的重要載體。各種來(lái)歷不明的軟件，尤其是通過(guò)網(wǎng)絡(luò)傳過(guò)來(lái)的軟件，不得進(jìn)入計(jì)算機(jī)。 （√）2、當(dāng)不使用網(wǎng)絡(luò)時(shí)，就不接入互聯(lián)網(wǎng)，或者斷開網(wǎng)絡(luò)連接。 （√）3、為了便于自己記憶，可以使用較為簡(jiǎn)單的口令，以避免造成遺忘密碼的麻煩。 （×）4、TerminalService服務(wù)：即遠(yuǎn)程控制服務(wù)，允許多位用戶連接控制一臺(tái)機(jī)器，并且在遠(yuǎn)程計(jì)算機(jī)上顯示桌面和應(yīng)用程序。如果不是哦用windows的遠(yuǎn)程控制功能應(yīng)及時(shí)禁止它。（√）5、口令破解工具是專門用來(lái)破解系統(tǒng)口令的工具，同樣也是攻防雙方必備的工具。安全防護(hù)人員通過(guò)該工具可以驗(yàn)證自己的口令是否安全可靠。 （√）選擇：1、從惡意代碼對(duì)抗的角度來(lái)看,其防治策略不具備下列準(zhǔn)則(D)A拒絕訪問(wèn)能力 B檢測(cè)能力 C.控制傳播的能力 D.傳播能力2、下列不是防御惡意代碼的工具的是(D)防火墻 B入侵檢測(cè)系統(tǒng) C.蜜罐 D.WallpaperEngine3、小明想要在網(wǎng)上查詢有關(guān)的病毒的資料,打開了電腦卻無(wú)從下手,他向你詢問(wèn),你應(yīng)該介紹他去(A)A.病毒觀察 B.百度貼吧 C.中國(guó)青年網(wǎng) D.bilibili4.下列()是不正確的不存在能夠防治未來(lái)所有病毒的