恶意代码参考答案
网络安全管理员模拟试题及参考答案
网络安全管理员模拟试题及参考答案一、单选题(共109题,每题1分,共109分)1.网页病毒(又称网页恶意代码)是利用网页来进行破坏的病毒,它是使用一些 SCRIPT 语言编写的恶意代码。
攻击者通常利用( )植入网页病毒。
A、拒绝服务攻击B、口令攻击C、平台漏洞D、U 盘工具正确答案:C2.因网络安全事件,发生突发事件或者生产安全事故的,应当依照《中华人民共和国突发事件应对法》、—C—等有关法律、行政法规的规定处置。
( )A、《中华人民共和国突发事件应对法》B、《中华人民共和国网络安全法》C、《中华人民共和国安全生产法》D、《中华人民共和国个人信息保护法》正确答案:C3.企业信息资产的管理和控制的描述不正确的( )A、企业应该建立和维护一个完整的信息资产清单,并明确信息资产的管控责任;B、企业应该根据信息资产的重要性和安全级别的不同要求,采取对应的管控措施C、企业的信息资产不应该分类分级,所有的信息系统要统一对待D、企业可以根据业务运作流程和信息系统拓扑结构来识别所有的信息资产正确答案:C4.以下选项中,不属于网络欺骗的作用的是( ):A、消耗人侵者的资源B、防止被入侵攻击C、影响入侵者使其按照你的意思进行选择D、迅速地检测到人侵者的进攻,并获知其进攻技术和意图正确答案:B5.下列哪一项是一个适当的测试方法适用于业务连续性计划(BCP)? ( )A、试运行B、纸面测试C、单元D、系统正确答案:B6.加密技术主要有两大类:基于对称密钥加密的算法,称为( )算法。
A、口令B、私钥C、公钥D、令牌正确答案:B7.网络入侵的主要途径有:破译口令、 IP 欺骗和 DNS 欺骗。
( )A、TFNB、SmurfC、SmrufD、DOS正确答案:B8.计算机内部采用( )表示信息。
A、八进制B、十进制C、二进制D、十六进制正确答案:C9.P2DR 模型通过传统的静态安全技术包括? ( )A、信息加密技术B、访问控制技术C、实时监控技术D、身份认证技术正确答案:C10.在计算机系统安全等级的划分中,windows NT 属于( ) 级。
国开【山西省】51404《网络安全技术在线》形考作业3【答案】
国开【山西省】51404-网络安全技术-19秋在线形考作业3【答案】
【题目】在未明确提示用户或未经用户许可的情况下,在用户计算机或其他终端上安装运行,侵犯用户合法权益的软件称为下列哪项?
A. 后门
B. 恶意代码
C. 计算机病毒
D. 蠕虫
参考答案:恶意代码
【题目】 morris蠕虫病毒利用了下列哪项?
A. 后门
B. 缓冲区溢出的漏洞
C. 操作系统漏洞
D. 整数溢出的漏洞
参考答案:缓冲区溢出的漏洞
【题目】 slammer蠕虫是哪一种攻击方式?
A. 缓冲区溢出
B. 分布式拒绝服务
C. 网络监听
D. 端口扫描
参考答案:分布式拒绝服务
【题目】下面哪项不属于恶意代码攻击技术?
A. 自动生成技术
B. 端口反向连接技术
C. 进程注入技术
D. 超级管理技术
参考答案:自动生成技术
【题目】下面哪项不属于恶意代码生存技术?
A. 社会工程学攻击
B. 加密技术
C. 反跟踪技术
D. 模糊变换技术
参考答案:社会工程学攻击
【题目】下面哪项是一套可以免费使用和自由传播的类unix操作系统,主要用于基于intelx86系列cpu的计算机上?
A. Solaris
B. XENIX。
2022年职业考证-软考-信息安全工程师考试全真模拟全知识点汇编押题第五期(含答案)试卷号:23
2022年职业考证-软考-信息安全工程师考试全真模拟全知识点汇编押题第五期(含答案)一.综合题(共15题)1.单选题恶意代码是指为达到恶意目的而专门设计的程序或者代码。
常见的恶意代码类型有:特洛伊木马、蠕虫、病毒、后门、Rootkit、僵尸程序、广告软件。
以下恶意代码中,属于宏病毒的是()。
问题1选项A.Trojan.BankB.Macro.MelissaC.Worm.Blaster.gD.Trojan.huigezi.a【答案】B【解析】本题考查恶意代码方面的基础知识。
常见恶意代码前缀类型如下所示:系统病毒 Win32、Win95网络蠕虫 Worm特洛伊木马程序 Trojan脚本病毒 Script宏病毒 Macro后门程序 Backdoor答案选B。
2.单选题移位密码的加密对象为英文字母,移位密码采用对明文消息的每一个英文字母向前推移固定key位的方式实现加密。
设key=3,则对应明文MATH的密文为()。
问题1选项A.OCVJB.QEXLC.PDWKD.RFYM【答案】C【解析】本题考查位移密码体制的应用。
将明文MATH依次往后移3步,即可得到PDWK。
点播:著名的加法密码是古罗马的凯撒大帝使用过的密码。
Caesar密码取key=3,因此其密文字母表就是把明文字母表循环右移3位后得到的字母表。
3.单选题无线局域网鉴别和保密体系WAPI是我国无线局域网安全强制性标准,以下关于WAPI的描述,正确的是()。
问题1选项A.WAPI从应用模式上分为单点式、分布式和集中式B.WAPI与WIFI认证方式类似,均采用单向加密的认证技术C.WAPI包括两部分:WAI和WPI,其中WAI采用对称密码算法实现加、解密操作D.WAPI的密钥管理方式包括基于证书和基于预共享密钥两种方式【答案】D【解析】本题考查WAPI相关知识。
WAPI 采用国家密码管理委员会办公室批准的公开密钥体制的椭圆曲线密码算法和秘密密钥体制的分组密码算法,实现了设备的身份鉴别、链路验证、访问控制和用户信息在无线传输状态下的加密保护。
恶意代码:恶意代码考试卷(最新版).doc
恶意代码:恶意代码考试卷(最新版) 考试时间:120分钟 考试总分:100分遵守考场纪律,维护知识尊严,杜绝违纪行为,确保考试结果公正。
1、单项选择题 著名特洛伊木马“网络神偷”采用的隐藏技术是( )A.反弹式木马技术 B.远程线程插入技术 C.ICMP 协议技术 D.远程代码插入技术 本题答案:A 本题解析:暂无解析 2、单项选择题 Linux 环境下产生的第一个病毒是( )A.Lion B.W32.Winux C.Bliss D.Melissa 本题答案:C 本题解析:暂无解析 3、判断题 计算机病毒破坏性、隐蔽性、传染性是计算机病毒基本特征。
本题答案:对 本题解析:暂无解析 4、单项选择题 世界上第一台计算机ENIAC 是( )模型A.随机访问计算机 B.图灵机姓名:________________ 班级:________________ 学号:________________--------------------密----------------------------------封 ----------------------------------------------线----------------------C.随机访问存储程序计算机D.带后台存储带的随机访问存储程序计算机本题答案:A本题解析:暂无解析5、单项选择题以下代码所展示的挂马方式属于()A.框架挂马B.js挂马C.网络钓鱼挂马D.伪装挂马本题答案:D本题解析:暂无解析6、单项选择题从技术角度讲,数据备份的策略不包括()A.完全备份B.差别备份C.增量备份D.差分备份本题答案:B本题解析:暂无解析7、单项选择题关于引导扇区病毒特征和特性的描述错误的是()A.会将原始的引导扇区以及部分病毒代码复制到磁盘的另一个地方B.引导扇区病毒的设计缺陷可能会导致在读取软件时会产生偶尔的写保护错误C.引导扇区病毒在特定的时间对硬盘进行格式化操作D.引导扇区病毒不再像以前那样造成巨大威胁本题答案:C本题解析:暂无解析8、单项选择题引导扇区病毒感染计算机上的哪一项信息()A.DATAB.MBRC.E-mailD.Word本题答案:B本题解析:暂无解析9、单项选择题哪一项不是特洛伊木马所窃取的信息()A.计算机名字B.硬件信息C.QQ用户密码D.系统文件本题答案:D本题解析:暂无解析10、单项选择题关于引导扇区病毒的传播步骤错误的是()A.病毒进入引导扇区C.病毒破坏引导扇区信息B.计算机将病毒加载到存储D.病毒感染其它磁盘本题答案:B本题解析:暂无解析11、单项选择题计算机病毒的危害主要会造成()。
网络与信息安全管理员习题+答案
网络与信息安全管理员习题+答案一、单选题(共100题,每题1分,共100分)1、根据《信息安全等级保护管理办法》,()应当依照相关规范和标准督促、检查、指导本行业、本部门或本地区信息系统运营、使用单位的信息安全等级保护工作。
A、国家密码管理部门B、公安机关C、国家保密工作部门D、信息系统的主管部门正确答案:D2、在交换机配置MAC地址静态绑定,该配置()。
A、仅保存在MAC地址表B、仅保存在启动配置文件C、MAC地址表和启动配置文件均无保存D、同时保存在MAC地址表和启动配置文件正确答案:D3、OSPF协议中关于router-ID说法正确的是()。
A、可有可无B、必须手工配置C、所有接口中IP地址最大的D、路由器可以自动选择正确答案:D4、关于上传漏洞与解析漏洞,下列说法正确的是()A、只要能成功上传就一定能成功解析B、上传漏洞只关注文件名C、两个漏洞没有区别D、从某种意义上来说,两个漏洞相辅相成正确答案:D5、关于域名解析不正确的是()。
A、采用自下而上方法B、有递归解析与反复解析两种C、名字解析时只要走一条单向路径D、实际从本地DNS服务器开始正确答案:A6、恶意代码的定义是指在未被授权的情况下,以()为目的而编制的软件或代码片段。
I 破坏软硬件设备 II 窃取用户信息 III 扰乱用户心理 IV 干扰用户正常使用A、I、IIB、I、II、IIIC、I、II、IVD、I、II、III、IV正确答案:D7、下列哪种工具不属于WEB服务器漏洞扫描工具A、NiktoB、Web DumperC、paros ProxyD、Nessus正确答案:B8、为什么要将浮动静态路由的管理距离配置得高于路由器上运行的动态路由协议的管理距离()。
A、作为最后选用网关B、作为路由表中首选路由C、作为备份路由D、是流量负载均衡正确答案:C9、设备维护保养管理的目的是()。
A、保证设备的正常使用B、提高设备的使用效率C、延长设备的使用年限D、不让设备损坏正确答案:B10、()指事务还没有达到预期的终点就被终止。
恶意代码题库
1、[单选]下述不属于计算机病毒的特征的是()。
A.传染性、隐蔽性B.侵略性、破坏性C.潜伏性、自灭性D.破坏性、传染性2、[单选]计算机病毒的危害主要会造成()。
A.磁盘损坏B.计算机用户的伤害CPU的损坏D.程序和数据的破坏3、[单选]下面哪一种陈述最好的解释了引导扇区病毒不再是非常普遍的病毒了()A.计算机不再从软盘中引导B.对此类型病毒采取了足够的防范C.软盘不再是共享信息的主要途径D.传播程序的编写者不再编写引导扇区病毒4、[单选]引导扇区病毒感染计算机上的哪一项信息()A.DATAB.MBRC.E-mailD.Word5、[单选]关于引导扇区病毒特征和特性的描述错误的是()A.会将原始的引导扇区以及部分病毒代码复制到磁盘的另一个地方B.引导扇区病毒的设计缺陷可能会导致在读取软件时会产生偶尔的写保护错误C.引导扇区病毒在特定的时间对硬盘进行格式化操作D.引导扇区病毒不再像以前那样造成巨大威胁6、[单选]关于引导扇区病毒的传播步骤错误的是()A.病毒进入引导扇区B.病毒破坏引导扇区信息C.计算机将病毒加载到存储D.病毒感染其它磁盘7、[单选]世界上第一台计算机ENIAC是()模型A.随机访问计算机B.图灵机C.随机访问存储程序计算机D.带后台存储带的随机访问存储程序计算机8、[单选]能够感染EXECOM文件的病毒属于()A.网络型病毒B.蠕虫型病毒C.文件型病毒D.系统引导型病毒9、[单选]在Windows32位操作系统中,其EXE文件中的特殊标示为()A.MZB.PEC.NED.LE10、[单选]计算机病毒的危害主要会造成()。
A.磁盘损坏B.计算机用户的伤害CPU的损坏D.程序和数据的破坏11、[单选]下面哪一种陈述最好的解释了引导扇区病毒不再是非常普遍的病毒了()A.计算机不再从软盘中引导B.对此类型病毒采取了足够的防范C.软盘不再是共享信息的主要途径D.传播程序的编写者不再编写引导扇区病毒12、[单选]引导扇区病毒感染计算机上的哪一项信息()A.DATAB.MBRC.E-mailD.Word13、:[单选]关于引导扇区病毒特征和特性的描述错误的是()A.会将原始的引导扇区以及部分病毒代码复制到磁盘的另一个地方B.引导扇区病毒的设计缺陷可能会导致在读取软件时会产生偶尔的写保护错误C.引导扇区病毒在特定的时间对硬盘进行格式化操作D.引导扇区病毒不再像以前那样造成巨大威胁14、[单选]规划说明书是对规划文本的()。
恶意代码攻防技术考题(答案)6-22
恶意代码&安全攻防基础试题(一)单选题1.下面属于被动攻击的手段是( C )A.假冒B.修改信息C.窃听D.拒绝服务2.信息安全风险主要有哪些(D)A.信息存储风险B.信息传输风险C.信息访问风险D.以上都正确3.(D)协议主要用于加密机制。
A.HTTPB.FTPC.TELNETD.SSL4.为了防御网络监听,最常用的方法是(A)。
A.信息加密B.采用物理传输(非网络)C.无线网传输D.使用专线传输5.向有限的空间输入超长的字符串是(C)攻击手段。
A.拒绝服务攻击B.端口扫描C.缓冲区溢出D.IP欺骗6.以下关于DOS攻击的描述,哪句话是正确的?C。
A.不需要侵入受攻击的系统B.以窃取目标系统上的机密信息为目的C.导致目标系统无法处理正常用户的请求D.如果目标系统没有漏洞,远程攻击就不可能成功7.以下关于垃圾邮件泛滥原因的描述中,哪些是错误的?C。
A.早期的SMTP协议没有发件人认证的功能B.网络上存在大量开放式的邮件中转服务器,导致垃圾邮件的来源难于追查C.SMTP没有对邮件加密的功能是导致垃圾邮件泛滥的主要原因D.Internet分布式管理的性质,导致很难控制和管理8.邮件炸弹攻击主要是 B。
A.破坏被攻击者邮件服务器B.填满被攻击者邮箱C.破坏被攻击者邮件客户端D.切取邮件9.DOS攻击的Syn flood攻击是利用(B)进行攻击。
A.其他网络B.通讯握手过程问题C.中间代理D.系统漏洞10.从统计的资料看,内部攻击是网络攻击的(B)。
A.次要攻击B.最主要攻击C.不是攻击源11.我国的计算机信息系统实行什么保护制度?(B)。
A.谁主管谁保护B.等级保护制度C.认证认可制度D.全面防范制度12.使网络服务器中充斥着大量要求回复的信息,消耗带宽,导致网络或系统停止正常服务,这属于(C)。
A.文件共享B.BIND漏洞C.拒绝服务攻击D.远程过程调用13.以下不属于计算机病毒防护策略的是(D)。
计算机安全考试试题及答案
计算机安全考试试题及答案1.恶意代码攻击机制及攻击模型黑客们在编写扰乱社会和他人的计算机程序,这些代码统称为恶意代码。
恶意代码主要包括计算机病毒、蠕虫、木马程序、后门程序、逻辑炸弹等等。
它包括计算机病毒、蠕虫、特洛伊木马、逻辑炸弹、病菌、用户级核心级、脚本恶意代码和恶意ActiveX控件等。
恶意代码攻击机制:恶意代码的行为表现各异,破坏程度千差万别,但基本作用机制大体相同,其整个作用过程分为6个部分:①侵入系统。
侵入系统是恶意代码实现其恶意目的的必要条件。
恶意代码入侵的途径很多,如:从互联网下载的程序本身就可能含有恶意代码;接收已经感染恶意代码的电子邮件;从光盘或软盘往系统上安装软件;黑客或者攻击者故意将恶意代码植入系统等。
②维持或提升现有特权。
恶意代码的传播与破坏必须盗用用户或者进程的合法权限才能完成。
③隐蔽策略。
为了不让系统发现恶意代码已经侵入系统,恶意代码可能会改名、删除源文件或者修改系统的安全策略来隐藏自己。
④潜伏。
恶意代码侵入系统后,等待一定的条件,并具有足够的权限时,就发作并进行破坏活动。
⑤破坏。
恶意代码的本质具有破坏性,其目的是造成信息丢失、泄密,破坏系统完整性等。
⑥重复①至⑤对新的目标实施攻击过程。
恶意代码的攻击模型如图2-1所示。
攻击模型:恶意代码实现关键技术恶意代码生存技术恶意代码攻击技术恶意代码的隐蔽技术网络蠕虫的功能模块可以分为主体功能模块和辅助功能模块。
2.黑客攻击五部曲网络扫描分成被动式策略扫描和主动式策略扫描扫描方式可以分成两大类:慢速扫描和乱序扫描。
1、慢速扫描:对非连续端口进行扫描,并且源地址不一致、时间间隔长没有规律的扫描。
2、乱序扫描:对连续的端口进行扫描,源地址一致,时间间隔短的扫描。
攻击五部曲(具体掌握各个步骤的常用工具)1、隐藏IP(第一种方法是首先入侵互联网上的一台电脑,第二种方式是做多极跳板“Sock代理”)2、踩点扫描(踩点就是通过各种途径对所要攻击的目标进行多方面的了解(包括任何可得到的蛛丝马迹,但要确保信息的准确),确定攻击的时间和地点。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
复习资料名词解释:8/161.恶意程序:未经授权便干扰或破坏计算系统/网络的程序或代码称之为恶意程序/恶意代码2.无入口点技术:无入口点病毒并不是真正没有入口点,而是采用入口点模糊(Entry Point Obscuring,EPO)技术,即病毒在不修改宿主原入口点的前提下,通过在宿主代码体内某处插入跳转指令来使病毒获得控制权3.主机蠕虫:主机蠕虫的所有部分均包含在其所运行的计算机中,在任意给定的时刻,只有一个蠕虫的拷贝在运行,也称作“兔子”(Rabbit)4.网络蠕虫:网络蠕虫由许多部分(称为段,Segment)组成,而且每一个部分运行在不同的计算机中(可能执行不同的动作),网络蠕虫具有一个主segment,该主segment用以协调其他segment的运行,这种蠕虫有时也称作“章鱼”。
5.脚本病毒:用脚本语言所编写的病毒6.动态嵌入技术:动态嵌入技术是指将自己的代码嵌入正在运行的进程中的技术。
7远程线程技术:是指通过在一个正在运行的进程中创建远程线程的方法进入该进程的内存地址空间。
8.主动传染:当病毒处于激活态时,只要传染条件满足,病毒程序就能主动地把病毒自身传染给另一个载体或另一个系统。
这种传染方式称作计算机病毒的主动传染9.被动传染:用户在进行拷贝磁盘或文件时,把一个病毒由一个载体复制到另一个载体上;或者是通过网络上的信息传递,把一个病毒程序从一方传递到另一方。
这种传染方式称作计算机病毒的被动传染。
10.假隐藏:指程序的进程仍然存在,只不过是让他消失在进程列表中11.真隐藏:程序彻底地消失,不是以一个进程或者服务的方式工作12.空洞:具有足够长度的全部为零的程序数据区或堆栈区13.混合感染:病毒既感染引导扇区又感染文件14.交叉感染:一台计算机中常常会同时染上多种病毒。
当一个无毒的宿主程序在此计算机上运行时,便会在一个宿主程序上感染多种病毒,称为交叉感染。
15.链式感染:病毒在感染时,完全不改动宿主程序本体,而是改动或利用与宿主程序相关的信息,将病毒程序与宿主程序链成一体,这种感染方式称作链式感染16.逻辑炸弹:辑炸弹可以理解为在特定逻辑条件满足时实施破坏的计算机程序。
与病毒相比,逻辑炸弹强调破坏作用本身,而实施破坏的程序不会传播。
论述题3/81.简单叙述PE文件的基本组成?PE文件头部首先第一部分是DOS头,DOS头部有两个部分构成,第一部分是MZ文件头,紧跟MZ文件头后面的是一个DOS可执行文件。
正是由于DOS头的存在,使得所有PE文件向上兼容,使得所有PE文件都是合法的MS-DOS可执行文件。
PE文件第二个部分是PE 文件头,PE文件头有三个组成部分:PE文件标志、映像文件头、可选映像头。
其中可选映像头中包含了数据目录表。
这四个部分的具体介绍请阅读本文其后部分。
PE文件的第三个部分是节表,节表与节是一一对应的,提供了每个节具体信息,可以认为节表是节的索引。
PE文件的第四个部分是节,节中存在着文件真正的内容。
在PE头的最后是调试信息,顾名思义,调试信息是用以调试的一些信息的汇总。
2. PE病毒的感染过程?1.判断目标文件开始的两个字节是否为“MZ”。
2.判断PE文件标记“PE”。
3.判断感染标记,如果已被感染过则跳出继续执行HOST程序,否则继续。
4.获得Directory(数据目录)的个数,(每个数据目录信息占8个字节)。
5.得到节表起始位置。
(Directory的偏移地址+数据目录占用的字节数=节表起始位置)6.得到目前最后节表的末尾偏移(紧接其后用于写入一个新的病毒节)节表起始位置+节的个数*(每个节表占用的字节数28H)=目前最后节表的末尾偏移。
7.开始写入节表3.叙述PE病毒从API函数名称查找API函数的地址过程?(1)定位到PE文件头。
(2)从PE文件头中的可选文件头中取出数据目录表的第一个数据目录,得到导出表的地址。
(3)从导出表的NumberOfNames字段得到以命名函数的总数,并以这个数字做微循环的次数来构造一个循环。
(4)从AddressOfNames字段指向的函数名称地址表的第一项开始,在循环中将每一项定义的函数名与要查找的函数名比较,如果没有任何一个函数名符合,说明文件中没有指定名称的函数。
(5)如果某一项定义的函数名与要查找的函数名符合,那么记住这个函数名在字符串地址表中的索引值(如x),然后在AddressOfNameOrdinals指向的数组中以同样的索引值x去找数组项中的值,假如该值为m。
(6)以m值作为索引值,在AddressOfFunctions字段指向的函数入口地址表中获取的RV A 就是函数的入口地址,当函数被装入内存后,这个RV A值加上模块实际装入的基址(ImageBase),就得到了函数真正的入口地址。
4. DOS下的EXE文件病毒是如何获取控制权的?感染EXE文件,需对宿主作哪些修改?一般来说,病毒往往先于HOST程序获得控制权。
运行Win32病毒的一般流程示意如下:①用户点击或系统自动运行HOST程序;②装载HOST程序到内存;③通过PE文件中的AddressOfEntryPoint加ImageBase之和,定位第一条语句的位置(程序入口);④从第一条语句开始执行(这时执行的其实是病毒代码);⑤病毒主体代码执行完毕,将控制权交给HOST程序原来的入口代码;⑥HOST程序继续执行5. 网络蠕虫与计算机病毒的联系与区别?计算机蠕虫和计算机病毒联系:都具有传染性和复制功能计算机病毒与蠕虫的区别为:下表6..怎么预防木马?结合木马的藏身之所、隐藏技术,总结清除木马的方法预防木马:1、不要随便打开别人给你发过来的文件,(这个要小心,最好是打开病毒防火墙)2、不要点一些不健康的网页,因为这些网页是最容易放一些不明的代码,也就是恶意代码;3、就是系统了,你要把你的管理员帐号密码设置的相对麻烦一些,当然要好记咯。
长度最好不要小于8位,也不要太长了。
也不要太简单。
大小写、特别的字符等等都可以的。
还有要关心一些官方网站发布的SP,及时打上SP,网络设置要好一些,不要开一些不必要的通讯端口。
总之,自己勤奋一些,养成一个好的上网、护理系统的习惯。
手动查杀木马的主要步骤及系统命令的使用。
端口(netstat,FPort) PID、调用DLL、EXE 文件(Tasklist) 依据DLL查找对应的进程或服务(Tasklist,IceSword) 停止进程或服务 删除相关的DLL、EXE文件,清除临时文件 修复注册表,清理注册表启动项 免疫,使用策略(gpedit.msc),禁止指定的应用程序运行。
7. 叙述特洛伊木马的基本原理?特洛伊木马包括客户端和服务器端两个部分,攻击者通常利用一种称为绑定程序(exe-binder)的工具将木马服务器绑定到某个合法软件上,诱使用户运行合法软件。
只要用户运行该软件,特洛伊木马的服务器就在用户毫无察觉的情况下完成了安装过程,攻击者要利用客户端远程监视、控制服务器,必需先建立木马连接;而建立木马连接,必需先知道网络中哪一台计算机中了木马,获取到木马服务器的信息之后,即可建立木马服务器和客户端程序之间的联系通道,攻击者就可以利用客户端程序向服务器程序发送命令,达到操控用户计算机的目的8. 如何预防蠕虫、检测蠕虫?预防:计算机蠕虫防治的方案可以从两个角度来考虑从它的实体结构来考虑,如果破坏了它的实体组成的一个部分,则破坏了其完整性,使其不能正常工作,从而达到阻止其传播的目的从它的功能组成来考虑,如果使其某个功能组成部分不能正常工作,也同样能达到阻止其传播的目的具体可以分为如下一些措施(1) 修补系统漏洞 (2)分析蠕虫行为 (3)重命名或删除命令解释器(Interpreter) (4)防火墙(Firewall) (5)公告 6.更深入的研究防。
检测:有多种方法可以对未知蠕虫进行检测,比较通用的方法有对流量异常的统计分析、对TCP 连接异常的分析、对ICMP(Internet Control Message Protocol ,互联网控制报文协议)数据异常的分析。
简答题: 4/121. 简述计算机病毒的定义和特征。
定义:计算机病毒(Computer Virus),是一种人为制造的、能够进行自我复制的、具有对计算机资源进行破坏作用的一组程序或指令集合。
特征:计算机病毒的可执行性(程序性)、传染性、非授权性、隐蔽性、潜伏性、可触发性、破坏性、攻击的主动性、针对性、衍生性、寄生性(依附性)、不可预见性、诱惑欺骗性、持久性。
2.计算机病毒有哪些分类方法?(至少讲3种) 1)根据病毒破坏的能力可划分为以下几种:无危害型(ELK cloner)、无危险型(女鬼病毒)、危险型(hebrew 病毒)和非常危险型(CIH 病毒)2)按照计算机病毒的破坏情况又可分为两类:良性病毒(小球病毒)和恶性病毒(米开朗基罗病毒)3)按照计算机病毒攻击的操作系统分类:攻击DOS 系统的病毒、攻击Windows 系统的病毒(CIH 病毒)、攻击UNIX 系统的病毒(Bliss 病毒,Win32.Winux 病毒)和攻击OS/2系统的病毒(AEP 病毒)4)按照计算机病毒特有的算法分类:伴随型病毒、“蠕虫”型病毒、寄生型病毒、练习型病毒、诡秘型病毒和变形病毒(又称幽灵病毒)5)按照计算机病毒的传播媒介分类:单机病毒与网络病毒6)按寄生对象分类:引导型病毒、文件型病毒和混合型病毒3.滋生感染的方式有哪些?NORMAL.EXE(病毒程序)NORMAL.EXE(原来的程序)NORMAL.EXE(病毒程序)NORMAL.OLD(原来的程序)NORMAL.EXE(病毒程序),放在当前目录NORMAL.EXE(病毒程序),放在系统目录NORMAL.EXE(病毒程序),放在PATH 搜索目录中NORMAL.EXE(原来的程序)伴随方式1伴随方式2伴随方式34. 文件型病毒有哪些感染方式?a寄生感染: 文件头部寄生文件尾部寄生插入感染逆插入感染利用空洞——零长度感染b无入口点感染: 采用入口点模糊(Entry Point Obscuring,EPO)技术采用TSR病毒技术c 滋生感染d链式感染e OBJ、LIB和源码的感染5. 计算机病毒的状态有哪些?a.计算机病毒在传播过程中存在两种状态,即静态和动态b.内存中的动态病毒又有两种状态:可激活态和激活态。
c.内存中的病毒还有一种较为特殊的状态——失活态对于处于不同状态的病毒,应采用不同的分析、清除手段。
6. 脚本病毒的传播途径有哪些?及其脚本病毒如何获取控制权?(以VBS病毒为例)脚本病毒的传播途径有:1)通过E_mail附件传播2)通过局域网共享传播3)通过感染HTM、ASP、JSP、PHP等网页文件传播4)通过IRC聊天通道传播脚本病毒获取控制权的途径有:1)修改注册表项2)通过映射文件执行方式3)欺骗用户,让用户自己执行4)desktop.ini和folder.htt互相配合7. 如何防治和清除脚本病毒?1)禁用文件系统对象FileSystemObject ;2)卸载WSH ;3)删除VBS、VBE、JS、JSE 文件后缀名与应用程序的映射;4)将WScript.exe更改名称或者删除5)自定义安全级别,把与“ActiveX控件及插件”有关的一切设为禁用 6)禁止OutlookExpress的自动收发邮件功能 7)显示扩展名,避免病毒利用文件扩展名作文章 8)将系统的网络连接的安全级别设置至少为“中等”9)安装、使用杀毒软件8. 简述木马实施入侵网络的基本步骤?大致分为六步:配置木马、传播木马、运行木马、信息反馈、建立连接和远程控制9.简要叙述木马的组成?木马软件一般由木马配置程序、控制程序和木马程序三部分组成;其中木马程序是驻留在受害者的系统中,非法获取其操作权限,负责接收控制指令,并根据指令或配置发送数据给控制端;木马配置程序设置木马程序端口、触发条件、木马名称等;控制程序控制远程木马服务器,有些控制程序集成了木马的配置功能。