恶意代码检测记录表 (1)

信息安全试题（一）一、单项选择题（每小题2分，共20分）1．信息安全的基本属性是＿＿＿。

A. 保密性B.完整性C. 可用性、可控性、可靠性D. A，B，C都是2．假设使用一种加密算法，它的加密方法很简单：将每一个字母加5，即a加密成f。

这种算法的密钥就是5，那么它属于＿＿＿。

A. 对称加密技术B. 分组密码技术C. 公钥加密技术D. 单向函数密码技术3．密码学的目的是＿＿＿。

A. 研究数据加密B. 研究数据解密C. 研究数据保密D. 研究数据的加密与解密4．A方有一对密钥（KA公开，KA秘密），B方有一对密钥（KB公开，KB秘密），A方向B方发送数字签名M，对信息M加密为：M’= KB公开（KA秘密（M））。

B方收到密文的解密方案是＿＿＿。

A. KB公开（KA秘密（M’）） B. KA公开（KA公开（M’））C. KA公开（KB秘密（M’）） D. KB秘密（KA秘密（M’））5．数字签名要预先使用单向Hash函数进行处理的原因是＿＿＿。

A. 多一道加密工序使密文更难破译B. 提高密文的计算速度C. 缩小签名密文的长度，加快数字签名和验证签名的运算速度D. 保证密文能正确还原成明文6．身份鉴别是安全服务中的重要一环，以下关于身份鉴别叙述不正确的是＿＿。

A. 身份鉴别是授权控制的基础B. 身份鉴别一般不用提供双向的认证C. 目前一般采用基于对称密钥加密或公开密钥加密的方法D. 数字签名机制是实现身份鉴别的重要机制7．防火墙用于将Internet和内部网络隔离＿＿＿。

A. 是防止Internet火灾的硬件设施B. 是网络安全和信息安全的软件和硬件设施C. 是保护线路不受破坏的软件和硬件设施D. 是起抗电磁干扰作用的硬件设施二、填空题（每空1分，共20分）2．古典密码包括代替密码和置换密码两种，对称密码体制和非对称密码体制都属于现代密码体制。

传统的密码系统主要存在两个缺点：一是密钥管理与分配问题；二是认证问题。

一种Android应用程序恶意代码检测方法摘要：本文结合静态分析和动态分析提出一种恶意代码检测系统设计与实现。

静态分析模块中利用静态逆向分析技术，通过对敏感API函数的查找与统计、敏感信息数据流的跟踪实现恶意行为的检测。

动态分析模块中通过对系统日志的分析，对运行中的软件进行跟踪，记录运行过程中产生的各种敏感性行为，最终结合静态分析与动态分析产生的行为报告判断目标软件是否包含有恶意代码。

关键词：Android；恶意代码；静态分析；动态分析近年来，智能手机操作系统层出不穷，移动互联网面临着越来越多的安全问题。

智能终端恶意软件不仅会使用户的个人财产和数据安全受到威胁，也会对国家的信息安全造成了巨大隐患。

因此，分析智能终端操作系统安全性，以及提高对恶意软件的检测能力是十分必要的[1]。

为了对网络上泛滥的各种Android软件进行安全评估，本文将探讨Android平台下的恶意代码检测技术，提出结合静态分析与动态分析的恶意代码检测方案。

1 系统设计恶意代码检测系统主要由静态分析和动态分析两个模块组成。

静态分析模块主要包括黑白名单检测模块、反编译模块、数据流跟踪模块、关键字匹配与替换模块等。

如果在黑白名单检测模块检测出目标软件为恶意软件或者非恶意软件，则退出检测系统，否则进行动态分析。

动态分析利用Android系统输出日志的原理，实现对目标软件运行中所产生的敏感行为进行监控的目的。

1.1 静态检测系统设计1.1.1关键技术分析1）源代码的API恶意行为检测分析技术源代码分析首先利用Apktool工具对应用程序进行反编译，Apktool工具集成有Google官方的baksmali工具，可以将应用程序解压缩后得到的Dex字节码文件完整的转化为Smali代码文件的。

Smali代码文件完整的保留了源程序，逻辑结构比较清晰，能够进行比较准确的查找[2,3]。

2）数据流跟踪分析技术针对源代码的API恶意行为检测技术关于逻辑流程方面的缺点，本文中使用了数据流跟踪分析技术。

计算机⽹络安全（参考）试题及答案汇总（⽹⼯10）（1）2.在P2DR（PPDR）模型中，作为整个计算机⽹络系统安全⾏为准则的是(A)A.Policy（安全策略）B.Protection（防护）C.Detection（检测）D.Response（响应）3.电源对⽤电设备的潜在威胁是脉动、噪声和C.电磁⼲扰4.计算机机房的安全等级分为B.A类、B类和C类3个基本类别5.DES加密算法的密⽂分组长度和有效密钥长度分别是B.64bit，56bit6.下⾯关于双钥密码体制的说法中，错误的是(D)A.可以公开加密密钥B.密钥管理问题⽐较简单C.可以⽤于数字签名D.加解密处理速度快7.下⾯关于个⼈防⽕墙特点的说法中，错误的是(C)A.个⼈防⽕墙可以抵挡外部攻击B.个⼈防⽕墙能够隐蔽个⼈计算机的IP地址等信息C.个⼈防⽕墙既可以对单机提供保护，也可以对⽹络提供保护D.个⼈防⽕墙占⽤⼀定的系统资源9.下列说法中，属于防⽕墙代理技术缺点的是(B)A.代理不易于配置B.处理速度较慢C.代理不能⽣成各项记录D.代理不能过滤数据内容10.量化分析⽅法常⽤于A.神经⽹络检测技术B.基因算法检测技术C.误⽤检测技术 D.异常检测技术11.下⾯关于分布式⼊侵检测系统特点的说法中，错误的是(B)A.检测范围⼤B.检测准确度低C.检测效率⾼D.可以协调响应措施12.在计算机病毒检测⼿段中，下⾯关于特征代码法的表述，错误的是(D)A.随着病毒种类增多，检测时间变长B.可以识别病毒名称C.误报率低D.可以检测出多态型病毒14.下⾯关于信息型漏洞探测技术特点的说法中，正确的是(A)A.不会对探测⽬标产⽣破坏性影响B.不能应⽤于各类计算机⽹路安全漏洞扫描软件C.对所有漏洞存在与否可以给出确定性结论D.是⼀种直接探测技术15.在进⾏计算机⽹路安全设计、规划时，不合理的是(A)A.只考虑安全的原则B.易操作性原则C.适应性、灵活性原则D.多重保护原则16. 计算机⽹络安全应达到的⽬标是： _保密性_、完整性、可⽤性、不可否认性和可控性。

题一（1）：选择题1. 软件的供应商或是制造商可以在他们自己的产品中或是客户的计算机系统上安装一个“后门”程序。

（）是这种情况面临的最主要风险。

A、软件中止和黑客入侵B、远程维护和黑客入侵C、软件中止和远程监控D、远程监控和远程维护2. 对于需要进行双层防火墙进行防护的系统，为避免因同品牌或同种类防火墙弱点被利用导致双重防护措施全部失效的风险，需要实现( )。

A、单层防火墙防护B、双重异构防火墙防护C、单层异构防火墙防护D、双重防火墙防护3. 一般的防火墙不能实现以下哪项功能( )。

A、隔离公司网络和不可信的网络B、访问控制C、隔离内网D、防止病毒和特洛伊木马4. 下面不属于恶意软件的是 ( )。

A、病毒B、扫描软件C、木马D、蠕虫5. 依据信息系统安全保障模型，以下哪个不是安全保证对象( )。

A、机密性B、人员C、过程D、管理6. 加密、认证实施中首要解决的问题是（）。

A、信息的包装与用户授权B、信息的包装与用户的分级C、信息的分级与用户分类D、信息的分布与用户的分级7. 状态检测技术能在( )实现所有需要的防火墙能力。

A、网络层B、应用层C、传输层D、数据层8. HTTPS 是一种安全的 HTTP 协议，它使用（）来保证信息安全，使用（）来发送和接收报文。

A、SSH、UDP的443端口B、SSH、TCP的443端口C、SSL、UDP的443端口D、SSH、TCP的443端口9. 身份认证和访问管理的相关控制措施防护要点不包括（）。

A、最小化授权原则B、定期备份恢复C、重要资源访问审计D、统一身份认证10. DES 算法属于加密技术中的（）。

A、对称加密B、以上都是C、不可逆加密D、不对称加密11. 三重 DES 是一种加强了的 DES 加密算法，它的有效密钥长度是 DES 算法的（）倍。

A、2B、5C、4D、312. （）类型的攻击，攻击者在远程计算机使用一个自复制产生流量的程序。

A、字典攻击B、病毒攻击C、非法服务器攻击D、劫持攻击13. 利用 TCP 连接三次握手弱点进行攻击的方式是（）。

北京理工大学材料学院涉密台式计算机台账2.编号办法：00（学院代号）+000（顺序编号）编写，机关单位代号为00北京理工大学材料学院涉密便携式计算机台账2.编号办法：00（学院代号）+000（顺序编号）编写，机关单位代号为00北京理工大学材料学院涉密中间转换机台帐2.编号办法：S00（学院代号）+000（顺序编号）编写，机关单位代号为00北京理工大学材料学院非涉密中间转换机台帐2.编号办法：F00（学院代号）+000（顺序编号）编写，机关单位代号为00北京理工大学材料学院非涉密计算机台帐2.编号办法：N00（学院代号）+000（顺序编号）编写，机关单位代号为00北京理工大学携带涉密便携式计算机外出审批表(此表由最后审批单位保存。

携带秘密级计算机外出只需经所在学院或部、处审批,机密级以上的需经学校保密办审批。

)存根编号：北京理工大学携带涉密便携式计算机外出提醒书被提醒人（签字）：提醒单位：（盖章）年月日-----------------------------------------------------------------------------------------编号：北京理工大学携带涉密便携式计算机外出提醒书根据《北京理工大学便携式计算机保密管理规定》和上级的有关要求，您在因工作需要携带涉密便携式计算机外出期间，应自觉遵守学校有关计算机保密管理的各项规定，保护国家秘密的安全。

提醒您应特别注意做到：（一）保证涉密便携式计算机只用于处理涉密信息，不在计算机硬盘内存储任何形式的国家秘密信息。

（二）携带的涉密移动存储介质内存储的国家秘密信息必须按照相应国家安全标准进行加密。

（三）将涉密便携式计算机与存储国家秘密信息的移动存储介质分开保管，并分别采取相应的安全措施，确保涉密便携式计算机与涉密移动存储介质的安全。

（四）不携带涉密便携式计算机与涉密移动存储介质出入商场、公园、歌舞厅等无安全保障的场所。

移动互联网恶意代码描述规范 Specification for Mobile Internet Malicious Code中国互联网协会网络与信息安全工作委员会目 录1 范围 (1)2 规范性引用文件 (1)3 术语和定义 (1)3.1 术语和定义 (1)3.1.1 移动互联网恶意代码 (1)3.1.2 移动互联网恶意代码样本 (1)4 移动互联网恶意代码属性 (1)4.1 恶意扣费 (2)4.2 隐私窃取 (2)4.3 远程控制 (3)4.4 恶意传播 (3)4.5 资费消耗 (4)4.6 系统破坏 (4)4.7 诱骗欺诈 (5)4.8 流氓行为 (5)5 移动互联网恶意代码命名规范 (6)5.1 移动互联网恶意代码命名格式 (6)5.2 受影响操作系统编码 (6)5.3 恶意代码属性主分类编码 (7)5.4 恶意代码名称 (7)5.5 变种名称 (7)前言当前移动互联网的迅速发展，加速了恶意代码在移动智能终端上的传播与增长。

这些恶意代码往往被用于窃取用户个人隐私信息，非法订购各类增值业务，造成用户直接经济损失。

移动互联网恶意代码直接关系我国移动互联网产业的健康发展和广大移动终端用户的切身利益。

目前各移动运营企业、网络安全组织、安全厂商、研究机构对移动互联网恶意代码命名规范、描述格式各不相同，导致无法共享除恶意代码样本以外的重要细节信息，成为恶意代码信息交流的自然屏障。

为了加强移动互联网恶意代码信息共享，规范移动互联网恶意代码的认定，增进社会对恶意代码的辨识度，需要统一规范移动互联网恶意代码的认定标准、命名规则和描述格式。

本规范定义了移动互联网恶意代码样本的描述方法以解决上述问题。

本规范起草单位（排名不分先后）：国家计算机网络应急技术处理协调中心中国电信集团公司中国移动通信集团公司中国联合网络通信集团有限公司中国互联网络信息中心阿里巴巴（中国）有限公司安天科技股份有限公司百度在线网络技术（北京）有限公司北京江民新科技术有限公司北京启明星辰信息安全技术有限公司北京瑞星信息技术有限公司北京神州绿盟科技有限公司北京世纪互联宽带数据中心有限公司北京搜狐互联网信息服务有限公司北京天融信科技有限公司北京万网志成科技有限公司北京网秦天下科技有限公司广州网易计算机系统有限公司 金山网络技术有限公司奇虎三六零软件(北京)有限公司 深圳市腾讯计算机系统有限公司 新浪网技术(中国)有限公司北京西塔网络科技股份有限公司 北京知道创宇信息技术有限公司 恒安嘉新（北京）科技有限公司 华为技术有限公司西门子（中国）有限公司优视科技有限公司1范围本规范规定了移动互联网恶意代码关于其定义、属性、命名格式等规范。

基本要求规定的范围：对象：不同安全保护等级信息系统内容：基本技术要求管理要求作用：指导分等级信息系统安全建设监督管理引用：保护等级：依重要程度、危害程度、由低到高分5级见：GB/T 22240-2008不同等级的安全保护能力：共5级基本技术要求和管理要求：信统安全等保应让系统有它们相应等级的基本安全保护能力。

基本安全要求，依实现方式，分基本技术要求、基本管理要求。

技术要求：立基于技术安全机制，通过在信统中部署软硬件，正确配置其安全功能。

管理要求：聚焦于信统中各种角色和角色参与的活动。

控制角色活动、从政策、制度、规范、流程以及记录等方面做出规定来实现。

基本技术要求：从物理、网络、主机、应用和数据安全，4个层面提出要求。

基本管理要求：从安全管理制度、机构、人员、系统建设、运维几方面提要求。

基本安全要求从各个层面方面，提出系统的每个组件应该满足的安全要求。

整体的安全保护能力依赖于其内部各不同组件的安全实现来满足。

基本技术要求的三种类型：技术类安全要求进一步细分为：保护数据在存储、传输、处理过程中不被泄漏、破坏、和免受未授权的修改的要求（S 要求）保护系统正常运行、免受对系统未授权修改、破坏而导致系统不可用的服务保护类要求（S 要求）通用安全保护类要求（G要求）第一级基本要求：技术要求：物理安全：访问控制：防盗窃、破坏：防雷击：防火：防水和防潮：温湿度控制：电力控制：网络安全：结构安全：a.保证关键网络设备的业务处理能力满足基本业务需要b.保证接入网络和核心网络的带宽满足基本业务需要c.绘制与当前运行情况相符的网络拓扑结构图访问控制：（G1）a.在网络边界部署访问控制设备，启用访问控制功能b.根据访问控制列表对源地址、目的地址、源端口、目的端口和协议等进行检查，允许/拒绝数据包出入c.通过访问控制列表对系统资源实现允许或拒绝用户访问，控制粒度至少为用户组。

网络设备防护：a.应对登录网络设备的用户进行身份鉴别b.有登录失败处理功能，采取结束会话、限制非法登录次数、和当网络登录连接超时自动退出等措施c.对网络设备进行远程管理时，采措施防止信息传输中被窃听主机安全：身份鉴别：（S1）对登录操作系统和数据库系统的用户进行身份标识和鉴别。