恶意代码参考答案
网络安全管理员模拟试题及参考答案
网络安全管理员模拟试题及参考答案一、单选题(共109题,每题1分,共109分)1.网页病毒(又称网页恶意代码)是利用网页来进行破坏的病毒,它是使用一些 SCRIPT 语言编写的恶意代码。
攻击者通常利用( )植入网页病毒。
A、拒绝服务攻击B、口令攻击C、平台漏洞D、U 盘工具正确答案:C2.因网络安全事件,发生突发事件或者生产安全事故的,应当依照《中华人民共和国突发事件应对法》、—C—等有关法律、行政法规的规定处置。
( )A、《中华人民共和国突发事件应对法》B、《中华人民共和国网络安全法》C、《中华人民共和国安全生产法》D、《中华人民共和国个人信息保护法》正确答案:C3.企业信息资产的管理和控制的描述不正确的( )A、企业应该建立和维护一个完整的信息资产清单,并明确信息资产的管控责任;B、企业应该根据信息资产的重要性和安全级别的不同要求,采取对应的管控措施C、企业的信息资产不应该分类分级,所有的信息系统要统一对待D、企业可以根据业务运作流程和信息系统拓扑结构来识别所有的信息资产正确答案:C4.以下选项中,不属于网络欺骗的作用的是( ):A、消耗人侵者的资源B、防止被入侵攻击C、影响入侵者使其按照你的意思进行选择D、迅速地检测到人侵者的进攻,并获知其进攻技术和意图正确答案:B5.下列哪一项是一个适当的测试方法适用于业务连续性计划(BCP)? ( )A、试运行B、纸面测试C、单元D、系统正确答案:B6.加密技术主要有两大类:基于对称密钥加密的算法,称为( )算法。
A、口令B、私钥C、公钥D、令牌正确答案:B7.网络入侵的主要途径有:破译口令、 IP 欺骗和 DNS 欺骗。
( )A、TFNB、SmurfC、SmrufD、DOS正确答案:B8.计算机内部采用( )表示信息。
A、八进制B、十进制C、二进制D、十六进制正确答案:C9.P2DR 模型通过传统的静态安全技术包括? ( )A、信息加密技术B、访问控制技术C、实时监控技术D、身份认证技术正确答案:C10.在计算机系统安全等级的划分中,windows NT 属于( ) 级。
国开【山西省】51404《网络安全技术在线》形考作业3【答案】
国开【山西省】51404-网络安全技术-19秋在线形考作业3【答案】
【题目】在未明确提示用户或未经用户许可的情况下,在用户计算机或其他终端上安装运行,侵犯用户合法权益的软件称为下列哪项?
A. 后门
B. 恶意代码
C. 计算机病毒
D. 蠕虫
参考答案:恶意代码
【题目】 morris蠕虫病毒利用了下列哪项?
A. 后门
B. 缓冲区溢出的漏洞
C. 操作系统漏洞
D. 整数溢出的漏洞
参考答案:缓冲区溢出的漏洞
【题目】 slammer蠕虫是哪一种攻击方式?
A. 缓冲区溢出
B. 分布式拒绝服务
C. 网络监听
D. 端口扫描
参考答案:分布式拒绝服务
【题目】下面哪项不属于恶意代码攻击技术?
A. 自动生成技术
B. 端口反向连接技术
C. 进程注入技术
D. 超级管理技术
参考答案:自动生成技术
【题目】下面哪项不属于恶意代码生存技术?
A. 社会工程学攻击
B. 加密技术
C. 反跟踪技术
D. 模糊变换技术
参考答案:社会工程学攻击
【题目】下面哪项是一套可以免费使用和自由传播的类unix操作系统,主要用于基于intelx86系列cpu的计算机上?
A. Solaris
B. XENIX。
2022年职业考证-软考-信息安全工程师考试全真模拟全知识点汇编押题第五期(含答案)试卷号:23
2022年职业考证-软考-信息安全工程师考试全真模拟全知识点汇编押题第五期(含答案)一.综合题(共15题)1.单选题恶意代码是指为达到恶意目的而专门设计的程序或者代码。
常见的恶意代码类型有:特洛伊木马、蠕虫、病毒、后门、Rootkit、僵尸程序、广告软件。
以下恶意代码中,属于宏病毒的是()。
问题1选项A.Trojan.BankB.Macro.MelissaC.Worm.Blaster.gD.Trojan.huigezi.a【答案】B【解析】本题考查恶意代码方面的基础知识。
常见恶意代码前缀类型如下所示:系统病毒 Win32、Win95网络蠕虫 Worm特洛伊木马程序 Trojan脚本病毒 Script宏病毒 Macro后门程序 Backdoor答案选B。
2.单选题移位密码的加密对象为英文字母,移位密码采用对明文消息的每一个英文字母向前推移固定key位的方式实现加密。
设key=3,则对应明文MATH的密文为()。
问题1选项A.OCVJB.QEXLC.PDWKD.RFYM【答案】C【解析】本题考查位移密码体制的应用。
将明文MATH依次往后移3步,即可得到PDWK。
点播:著名的加法密码是古罗马的凯撒大帝使用过的密码。
Caesar密码取key=3,因此其密文字母表就是把明文字母表循环右移3位后得到的字母表。
3.单选题无线局域网鉴别和保密体系WAPI是我国无线局域网安全强制性标准,以下关于WAPI的描述,正确的是()。
问题1选项A.WAPI从应用模式上分为单点式、分布式和集中式B.WAPI与WIFI认证方式类似,均采用单向加密的认证技术C.WAPI包括两部分:WAI和WPI,其中WAI采用对称密码算法实现加、解密操作D.WAPI的密钥管理方式包括基于证书和基于预共享密钥两种方式【答案】D【解析】本题考查WAPI相关知识。
WAPI 采用国家密码管理委员会办公室批准的公开密钥体制的椭圆曲线密码算法和秘密密钥体制的分组密码算法,实现了设备的身份鉴别、链路验证、访问控制和用户信息在无线传输状态下的加密保护。
恶意代码:恶意代码考试卷(最新版).doc
恶意代码:恶意代码考试卷(最新版) 考试时间:120分钟 考试总分:100分遵守考场纪律,维护知识尊严,杜绝违纪行为,确保考试结果公正。
1、单项选择题 著名特洛伊木马“网络神偷”采用的隐藏技术是( )A.反弹式木马技术 B.远程线程插入技术 C.ICMP 协议技术 D.远程代码插入技术 本题答案:A 本题解析:暂无解析 2、单项选择题 Linux 环境下产生的第一个病毒是( )A.Lion B.W32.Winux C.Bliss D.Melissa 本题答案:C 本题解析:暂无解析 3、判断题 计算机病毒破坏性、隐蔽性、传染性是计算机病毒基本特征。
本题答案:对 本题解析:暂无解析 4、单项选择题 世界上第一台计算机ENIAC 是( )模型A.随机访问计算机 B.图灵机姓名:________________ 班级:________________ 学号:________________--------------------密----------------------------------封 ----------------------------------------------线----------------------C.随机访问存储程序计算机D.带后台存储带的随机访问存储程序计算机本题答案:A本题解析:暂无解析5、单项选择题以下代码所展示的挂马方式属于()A.框架挂马B.js挂马C.网络钓鱼挂马D.伪装挂马本题答案:D本题解析:暂无解析6、单项选择题从技术角度讲,数据备份的策略不包括()A.完全备份B.差别备份C.增量备份D.差分备份本题答案:B本题解析:暂无解析7、单项选择题关于引导扇区病毒特征和特性的描述错误的是()A.会将原始的引导扇区以及部分病毒代码复制到磁盘的另一个地方B.引导扇区病毒的设计缺陷可能会导致在读取软件时会产生偶尔的写保护错误C.引导扇区病毒在特定的时间对硬盘进行格式化操作D.引导扇区病毒不再像以前那样造成巨大威胁本题答案:C本题解析:暂无解析8、单项选择题引导扇区病毒感染计算机上的哪一项信息()A.DATAB.MBRC.E-mailD.Word本题答案:B本题解析:暂无解析9、单项选择题哪一项不是特洛伊木马所窃取的信息()A.计算机名字B.硬件信息C.QQ用户密码D.系统文件本题答案:D本题解析:暂无解析10、单项选择题关于引导扇区病毒的传播步骤错误的是()A.病毒进入引导扇区C.病毒破坏引导扇区信息B.计算机将病毒加载到存储D.病毒感染其它磁盘本题答案:B本题解析:暂无解析11、单项选择题计算机病毒的危害主要会造成()。
网络与信息安全管理员习题+答案
网络与信息安全管理员习题+答案一、单选题(共100题,每题1分,共100分)1、根据《信息安全等级保护管理办法》,()应当依照相关规范和标准督促、检查、指导本行业、本部门或本地区信息系统运营、使用单位的信息安全等级保护工作。
A、国家密码管理部门B、公安机关C、国家保密工作部门D、信息系统的主管部门正确答案:D2、在交换机配置MAC地址静态绑定,该配置()。
A、仅保存在MAC地址表B、仅保存在启动配置文件C、MAC地址表和启动配置文件均无保存D、同时保存在MAC地址表和启动配置文件正确答案:D3、OSPF协议中关于router-ID说法正确的是()。
A、可有可无B、必须手工配置C、所有接口中IP地址最大的D、路由器可以自动选择正确答案:D4、关于上传漏洞与解析漏洞,下列说法正确的是()A、只要能成功上传就一定能成功解析B、上传漏洞只关注文件名C、两个漏洞没有区别D、从某种意义上来说,两个漏洞相辅相成正确答案:D5、关于域名解析不正确的是()。
A、采用自下而上方法B、有递归解析与反复解析两种C、名字解析时只要走一条单向路径D、实际从本地DNS服务器开始正确答案:A6、恶意代码的定义是指在未被授权的情况下,以()为目的而编制的软件或代码片段。
I 破坏软硬件设备 II 窃取用户信息 III 扰乱用户心理 IV 干扰用户正常使用A、I、IIB、I、II、IIIC、I、II、IVD、I、II、III、IV正确答案:D7、下列哪种工具不属于WEB服务器漏洞扫描工具A、NiktoB、Web DumperC、paros ProxyD、Nessus正确答案:B8、为什么要将浮动静态路由的管理距离配置得高于路由器上运行的动态路由协议的管理距离()。
A、作为最后选用网关B、作为路由表中首选路由C、作为备份路由D、是流量负载均衡正确答案:C9、设备维护保养管理的目的是()。
A、保证设备的正常使用B、提高设备的使用效率C、延长设备的使用年限D、不让设备损坏正确答案:B10、()指事务还没有达到预期的终点就被终止。
恶意代码题库
1、[单选]下述不属于计算机病毒的特征的是()。
A.传染性、隐蔽性B.侵略性、破坏性C.潜伏性、自灭性D.破坏性、传染性2、[单选]计算机病毒的危害主要会造成()。
A.磁盘损坏B.计算机用户的伤害CPU的损坏D.程序和数据的破坏3、[单选]下面哪一种陈述最好的解释了引导扇区病毒不再是非常普遍的病毒了()A.计算机不再从软盘中引导B.对此类型病毒采取了足够的防范C.软盘不再是共享信息的主要途径D.传播程序的编写者不再编写引导扇区病毒4、[单选]引导扇区病毒感染计算机上的哪一项信息()A.DATAB.MBRC.E-mailD.Word5、[单选]关于引导扇区病毒特征和特性的描述错误的是()A.会将原始的引导扇区以及部分病毒代码复制到磁盘的另一个地方B.引导扇区病毒的设计缺陷可能会导致在读取软件时会产生偶尔的写保护错误C.引导扇区病毒在特定的时间对硬盘进行格式化操作D.引导扇区病毒不再像以前那样造成巨大威胁6、[单选]关于引导扇区病毒的传播步骤错误的是()A.病毒进入引导扇区B.病毒破坏引导扇区信息C.计算机将病毒加载到存储D.病毒感染其它磁盘7、[单选]世界上第一台计算机ENIAC是()模型A.随机访问计算机B.图灵机C.随机访问存储程序计算机D.带后台存储带的随机访问存储程序计算机8、[单选]能够感染EXECOM文件的病毒属于()A.网络型病毒B.蠕虫型病毒C.文件型病毒D.系统引导型病毒9、[单选]在Windows32位操作系统中,其EXE文件中的特殊标示为()A.MZB.PEC.NED.LE10、[单选]计算机病毒的危害主要会造成()。
A.磁盘损坏B.计算机用户的伤害CPU的损坏D.程序和数据的破坏11、[单选]下面哪一种陈述最好的解释了引导扇区病毒不再是非常普遍的病毒了()A.计算机不再从软盘中引导B.对此类型病毒采取了足够的防范C.软盘不再是共享信息的主要途径D.传播程序的编写者不再编写引导扇区病毒12、[单选]引导扇区病毒感染计算机上的哪一项信息()A.DATAB.MBRC.E-mailD.Word13、:[单选]关于引导扇区病毒特征和特性的描述错误的是()A.会将原始的引导扇区以及部分病毒代码复制到磁盘的另一个地方B.引导扇区病毒的设计缺陷可能会导致在读取软件时会产生偶尔的写保护错误C.引导扇区病毒在特定的时间对硬盘进行格式化操作D.引导扇区病毒不再像以前那样造成巨大威胁14、[单选]规划说明书是对规划文本的()。
恶意代码攻防技术考题(答案)6-22
恶意代码&安全攻防基础试题(一)单选题1.下面属于被动攻击的手段是( C )A.假冒B.修改信息C.窃听D.拒绝服务2.信息安全风险主要有哪些(D)A.信息存储风险B.信息传输风险C.信息访问风险D.以上都正确3.(D)协议主要用于加密机制。
A.HTTPB.FTPC.TELNETD.SSL4.为了防御网络监听,最常用的方法是(A)。
A.信息加密B.采用物理传输(非网络)C.无线网传输D.使用专线传输5.向有限的空间输入超长的字符串是(C)攻击手段。
A.拒绝服务攻击B.端口扫描C.缓冲区溢出D.IP欺骗6.以下关于DOS攻击的描述,哪句话是正确的?C。
A.不需要侵入受攻击的系统B.以窃取目标系统上的机密信息为目的C.导致目标系统无法处理正常用户的请求D.如果目标系统没有漏洞,远程攻击就不可能成功7.以下关于垃圾邮件泛滥原因的描述中,哪些是错误的?C。
A.早期的SMTP协议没有发件人认证的功能B.网络上存在大量开放式的邮件中转服务器,导致垃圾邮件的来源难于追查C.SMTP没有对邮件加密的功能是导致垃圾邮件泛滥的主要原因D.Internet分布式管理的性质,导致很难控制和管理8.邮件炸弹攻击主要是 B。
A.破坏被攻击者邮件服务器B.填满被攻击者邮箱C.破坏被攻击者邮件客户端D.切取邮件9.DOS攻击的Syn flood攻击是利用(B)进行攻击。
A.其他网络B.通讯握手过程问题C.中间代理D.系统漏洞10.从统计的资料看,内部攻击是网络攻击的(B)。
A.次要攻击B.最主要攻击C.不是攻击源11.我国的计算机信息系统实行什么保护制度?(B)。
A.谁主管谁保护B.等级保护制度C.认证认可制度D.全面防范制度12.使网络服务器中充斥着大量要求回复的信息,消耗带宽,导致网络或系统停止正常服务,这属于(C)。
A.文件共享B.BIND漏洞C.拒绝服务攻击D.远程过程调用13.以下不属于计算机病毒防护策略的是(D)。
计算机安全考试试题及答案
计算机安全考试试题及答案1.恶意代码攻击机制及攻击模型黑客们在编写扰乱社会和他人的计算机程序,这些代码统称为恶意代码。
恶意代码主要包括计算机病毒、蠕虫、木马程序、后门程序、逻辑炸弹等等。
它包括计算机病毒、蠕虫、特洛伊木马、逻辑炸弹、病菌、用户级核心级、脚本恶意代码和恶意ActiveX控件等。
恶意代码攻击机制:恶意代码的行为表现各异,破坏程度千差万别,但基本作用机制大体相同,其整个作用过程分为6个部分:①侵入系统。
侵入系统是恶意代码实现其恶意目的的必要条件。
恶意代码入侵的途径很多,如:从互联网下载的程序本身就可能含有恶意代码;接收已经感染恶意代码的电子邮件;从光盘或软盘往系统上安装软件;黑客或者攻击者故意将恶意代码植入系统等。
②维持或提升现有特权。
恶意代码的传播与破坏必须盗用用户或者进程的合法权限才能完成。
③隐蔽策略。
为了不让系统发现恶意代码已经侵入系统,恶意代码可能会改名、删除源文件或者修改系统的安全策略来隐藏自己。
④潜伏。
恶意代码侵入系统后,等待一定的条件,并具有足够的权限时,就发作并进行破坏活动。
⑤破坏。
恶意代码的本质具有破坏性,其目的是造成信息丢失、泄密,破坏系统完整性等。
⑥重复①至⑤对新的目标实施攻击过程。
恶意代码的攻击模型如图2-1所示。
攻击模型:恶意代码实现关键技术恶意代码生存技术恶意代码攻击技术恶意代码的隐蔽技术网络蠕虫的功能模块可以分为主体功能模块和辅助功能模块。
2.黑客攻击五部曲网络扫描分成被动式策略扫描和主动式策略扫描扫描方式可以分成两大类:慢速扫描和乱序扫描。
1、慢速扫描:对非连续端口进行扫描,并且源地址不一致、时间间隔长没有规律的扫描。
2、乱序扫描:对连续的端口进行扫描,源地址一致,时间间隔短的扫描。
攻击五部曲(具体掌握各个步骤的常用工具)1、隐藏IP(第一种方法是首先入侵互联网上的一台电脑,第二种方式是做多极跳板“Sock代理”)2、踩点扫描(踩点就是通过各种途径对所要攻击的目标进行多方面的了解(包括任何可得到的蛛丝马迹,但要确保信息的准确),确定攻击的时间和地点。
恶意代码参考答案
复习资料名词解释:8/161.恶意程序:未经授权便干扰或破坏计算系统/网络的程序或代码称之为恶意程序/恶意代码2.无入口点技术:无入口点病毒并不是真正没有入口点,而是采用入口点模糊(Entry Point Obscuring,EPO)技术,即病毒在不修改宿主原入口点的前提下,通过在宿主代码体内某处插入跳转指令来使病毒获得控制权3.主机蠕虫:主机蠕虫的所有部分均包含在其所运行的计算机中,在任意给定的时刻,只有一个蠕虫的拷贝在运行,也称作“兔子”(Rabbit)4.网络蠕虫:网络蠕虫由许多部分(称为段,Segment)组成,而且每一个部分运行在不同的计算机中(可能执行不同的动作),网络蠕虫具有一个主segment,该主segment用以协调其他segment的运行,这种蠕虫有时也称作“章鱼”。
5.脚本病毒:用脚本语言所编写的病毒6.动态嵌入技术:动态嵌入技术是指将自己的代码嵌入正在运行的进程中的技术。
7远程线程技术:是指通过在一个正在运行的进程中创建远程线程的方法进入该进程的内存地址空间。
8.主动传染:当病毒处于激活态时,只要传染条件满足,病毒程序就能主动地把病毒自身传染给另一个载体或另一个系统。
这种传染方式称作计算机病毒的主动传染9.被动传染:用户在进行拷贝磁盘或文件时,把一个病毒由一个载体复制到另一个载体上;或者是通过网络上的信息传递,把一个病毒程序从一方传递到另一方。
这种传染方式称作计算机病毒的被动传染。
10.假隐藏:指程序的进程仍然存在,只不过是让他消失在进程列表中11.真隐藏:程序彻底地消失,不是以一个进程或者服务的方式工作12.空洞:具有足够长度的全部为零的程序数据区或堆栈区13.混合感染:病毒既感染引导扇区又感染文件14.交叉感染:一台计算机中常常会同时染上多种病毒。
当一个无毒的宿主程序在此计算机上运行时,便会在一个宿主程序上感染多种病毒,称为交叉感染。
15.链式感染:病毒在感染时,完全不改动宿主程序本体,而是改动或利用与宿主程序相关的信息,将病毒程序与宿主程序链成一体,这种感染方式称作链式感染16.逻辑炸弹:辑炸弹可以理解为在特定逻辑条件满足时实施破坏的计算机程序。
计算机网络简答题参考答案
第1章网络安全概述与环境配置1. 网络攻击和防御分别包括哪些内容?答:攻击技术主要包括以下几个方面。
(1)网络监听:自己不主动去攻击别人,而是在计算机上设置一个程序去监听目标计算机与其他计算机通信的数据。
(2)网络扫描:利用程序去扫描目标计算机开放的端口等,目的是发现漏洞,为入侵该计算机做准备。
(3)网络入侵:当探测发现对方存在漏洞后,入侵到目标计算机获取信息。
(4)网络后门:成功入侵目标计算机后,为了实现对“战利品”的长期控制,在目标计算机中种植木马等后门。
(5)网络隐身:入侵完毕退出目标计算机后,将自己入侵的痕迹清除,从而防止被对方管理员发现。
防御技术主要包括以下几个方面。
(1)安全操作系统和操作系统的安全配置:操作系统是网络安全的关键。
(2)加密技术:为了防止被监听和数据被盗取,将所有的数据进行加密。
(3)防火墙技术:利用防火墙,对传输的数据进行限制,从而防止被入侵。
(4)入侵检测:如果网络防线最终被攻破,需要及时发出被入侵的警报。
(5)网络安全协议:保证传输的数据不被截获和监听。
2. 从层次上,网络安全可以分成哪几层?每层有什么特点?答:从层次体系上,可以将网络安全分成4个层次上的安全:物理安全,逻辑安全,操作系统安全和联网安全。
物理安全主要包括5个方面:防盗,防火,防静电,防雷击和防电磁泄漏。
逻辑安全需要用口令、文件许可等方法来实现。
操作系统安全,操作系统必须能区分用户,以便防止相互干扰。
操作系统不允许一个用户修改由另一个账户产生的数据。
联网安全通过访问控制服务和通信安全服务两方面的安全服务来达到。
(1)访问控制服务:用来保护计算机和联网资源不被非授权使用。
(2)通信安全服务:用来认证数据机要性与完整性,以及各通信的可信赖性。
(感觉如果说是特点的话这样回答有点别扭。
)3. 为什么要研究网络安全?答:网络需要与外界联系,同时也就受到许多方面的威胁:物理威胁、系统漏洞造成的威胁、身份鉴别威胁、线缆连接威胁和有害程序威胁等。
网络安全管理员习题库(附参考答案)
网络安全管理员习题库(附参考答案)一、单选题(共70题,每题1分,共70分)1.追踪黑客踪迹.分析黑客攻击手段的最佳方案是(____)。
A、安全审计系统B、入侵检测系统C、反木马.反病毒软件D、蜜罐/蜜网正确答案:D2.对通过HTML的表单(<form></form>)提交的请求类型,以下()描述是正确的。
A、仅GETB、仅POSTC、仅HEADD、GET与POST正确答案:D3.下列对系统日志信息的操作中(____)是最不应当发生的。
A、只抽取部分条目进行保存和查看B、用新的日志覆盖旧的日志C、对日志内容进行编辑D、使用专用工具对日志进行分析正确答案:C4.sqlmap语句中:'--tamper "space2morehash.py"'这个参数命令的作用是(____)。
A、绕过所有过滤B、绕过union过滤C、绕过空格过滤,把空格替换为/**/D、绕过select过滤正确答案:C5.以下端口扫描器工具,隐蔽性最好的是(____)。
A、StroBeB、NmApC、TCp_sCAnD、UDp_sCAn正确答案:A6.对于“select password from users where uname='$u';”,当$u=(____)时,可以绕过逻辑,以admin身份通过验证。
A、admin' or ''='B、admin' or 1=1C、admin' and 'a'='bD、admin and 'a'='a正确答案:A7.华三防火墙设备基本ACL的编号范围是(____)。
A、100-199B、200-299C、1000-1999D、2000-2999正确答案:D8.下列命令中,那将策略应用的接口方式正确的是(____)。
A、access-group celue in interface InsideB、access-list celue in interface InsideC、ip access-list celue inD、ip access-group celue in正确答案:A9.下列文件中,包含了主机名到IP 地址的映射关系的文件是(____)。
第5章恶意代码分析与防治习题参考答案
3.计算机病毒
4.通信内容隐蔽传输通道隐蔽。
5.传播模块隐藏模块目的功能
三、简答题
1.在Internet安全事件中,恶意代码造成的经济损失占有最大的比例。与此同时,恶意代码成为信息战、网络战的重要手段。日益严重的恶意代码问题,不仅使企业及用户蒙受了巨大经济损失,而且使国家的安全面临着严重威胁。
以下是几种简单适用的木马预防方法和措施:不随意下载来历不明的软件;不随意打开来历不明的邮件,阻塞可疑邮件;及时修补漏洞和关闭可疑的端口;尽量少用共享文件夹;运行实时监控程序;经常升级系统和更新病毒库;限制使用不必要的具有传输能力的文件。
8.蠕虫病毒是一种通过网络传播的恶性代码。它具有普通病毒的一些共性,如传播性,隐蔽性,破坏性等;同时也具有一些自己的特征,如不利用文件寄生、可对网络造成拒绝服务、与黑客技术相结合等。蠕虫的传染目标是网络内的所有计算机。
2.计算机技术飞速发展的同时并未使系统的安全性得到增强。技术进步带来的安全增强能力最多只能弥补由应用环境的复杂性带来的安全威胁的增长程度。不但如此,计算机新技术的出现还很有可能使计算机系统的安全变得比以往更加脆弱。
3.经过存储介质和网络进行传播,从一台计算机系统到另外一台计算机系统,未经授权认证破坏计算机系统完整性的程序或代码。
5.主要是通过以下技术来实现攻击技术的:进程注入技术、三线程技术、端口复用技术、超级管理技术、端口反向连接技术、缓冲区溢出攻击技术。
6.主要是通过本地隐藏和通信隐藏来实现的。其中本地隐藏主要有文件隐藏、进程隐藏、网络连接隐藏、内核模块隐藏、编译器隐藏等;网络隐藏主要包括通信内容隐藏和传输通道隐藏。
7.它是一种基于远程控制的黑客工具。木马通常寄生于用户的计算机系统中,盗窃用户信息,并通过网络发送给黑客。
恶意代码防范技术—考试题库及答案(大学期末复习资料)
《恶意代码防范》题库及答案一、判断题1.包含有害漏洞但其目的是合法的软件不是恶意软件。
()2.逻辑炸弹和复活节彩蛋是同一种软件功能。
()3.传统计算机病毒是恶意代码的一个子集()4.恶意代码是具有文件名的独立程序。
()5.恶意代码是在未被授权的情况下,以破坏软硬件设备、窃取用户信息、扰乱用户心理、干扰用户正常使用为目的而编制的软件或代码片段。
()6.目的性是恶意代码的基本特征,也是法律上判断恶意代码的标准。
()7.心理级的恶意代码是指通过某些技术手段直接影响人类的心理活动或直接诱发人类的疾病的恶意程序。
( )8.网络钓鱼的本质是社会工程学,也就是所谓的欺骗。
( ) 9.系统加固也是防范恶意代码攻击的技术手段之一。
()10.开源杀毒软件ClamAV的匹配算法采用的是BM算法。
()11.和其他测试机构相比,AV-Comparatives拥有全球最强的主动式侦测测试方法。
这是其最大的特点。
()12.Process Explorer是一款进程管理的工具,可用来方便查看各种系统进程。
()13.Filemon用于实时监视文件系统,它可以监视应用程序进行的文件读写操作,记录所有与文件一切相关操作。
()14.Simile.D病毒可以感染Win32和Linux两种平台下的文件。
()15.恶意代码是人为编制的一种计算机程序,它危害计算机的软件系统,但不危害计算机的硬件系统。
()16.具有“只读”属性的文件不会感染恶意代码。
()17.恶意代码通常是一段可运行的程序。
()18.计算机无法启动肯定是由恶意代码引起的。
()19.杀毒软件的核心部分是由恶意代码特征代码库和扫描器组成的。
()20.目前所有恶意代码都可以采用自动化手段清除。
()21.恶意代码不会通过网络传染。
()22.从网上下载的所有信息,可以立即打开使用,不必担心是否有恶意代码。
()23.磁盘文件的损坏不一定是恶意代码造成的。
()24.使用现有杀毒软件,能确保计算机系统避免任何恶意代码的侵袭。
网络安全管理员-高级工模拟题含参考答案
网络安全管理员-高级工模拟题含参考答案一、单选题(共40题,每题1分,共40分)1.路由器的路由表包括目的地址,下一站地址以及()。
A、距离.计时器.标志位B、时钟.路由C、路由.距离.时钟D、时间.距离正确答案:A2.下面是恶意代码生存技术是()。
A、加密技术B、变换技术C、三线程技术D、本地隐藏技术正确答案:A3.Internet信息服务在Windows的哪个组件下()。
A、索引服务B、Windows网络服务C、应用程序服务器D、网络服务正确答案:B4.下列情景中,()属于身份验证过程。
A、用户依照系统提示输入用户名和密码B、用户在网络上共享了自己编写的一份OFFICE文档,并设定哪些用户可以阅读,哪些用户可以修改C、用户使用加密软件对自己编写的OFFICE文档进行加密,以阻止其他人得到这份拷贝后看到文档中的内容D、某个人尝试登录到你的计算机中,但是口令输入的不对,系统提示口令错误,并将这次失败的登录过程记录在系统日志中正确答案:A5.关于Unix版本的描述中,错误的是()。
A、IBM的Unix是XenixB、SUN的Unix是SolarisC、伯克利的Unix是UnixBSDD、HP的Unix是HP-UX正确答案:A6.()设备可以隔离ARP 广播帧A、路由器B、网桥C、以太网交换机D、集线器正确答案:A7.在 IPsec协议族中,以下哪个协议必须提供验证服务?A、ANB、ESPC、GRED、以上都是正确答案:A8.在数据库的安全性控制中,为了保护用户只能存取他有权存取的数据。
在授权的定义中,数据对象的(),授权子系统就越灵活。
A、范围越小B、范围越适中C、约束越细致D、范围越大正确答案:A9.破解双方通信获得明文是属于()的技术。
A、密码分析还原B、协议漏洞渗透C、应用漏洞分析与渗透D、DOS攻击正确答案:A10.下列安全协议中,()可用于安全电子邮件加密。
A、PGPB、TLSC、SETD、SSL正确答案:A11.某单位采购主机入侵检测,用户提出了相关的要求,其中哪条是主机入侵检测无法实现的?A、精确地判断攻击行为是否成功B、监控主机上特定用户活动、系统运行情况C、监测到针对其他服务器的攻击行为D、监测主机上的日志信息正确答案:A12.2008年某单位对信息系统进行了全面的风险评估,并投入充分的资源进行了有效的风险处置,但是2010年仍然发生了一起影响恶劣的信息安全事件,这主要是由于()A、信息安全是非传统的安全B、信息安全是系统的安全C、信息安全是无边界的安全D、信息安全是动态的安全正确答案:D13.依据数据包的基本标记来控制数据包的防火墙技术是A、有效载荷B、包过滤技术C、应用代理技术D、状态检侧技术正确答案:B14.在设计访问控制模块时,为了简化管理,通常度访问者(),避免访问控制列表过于庞大。
南开大学22春“信息安全”《计算机病毒分析》作业考核题库高频考点版(参考答案)试题号1
南开大学22春“信息安全”《计算机病毒分析》作业考核题库高频考点版(参考答案)一.综合考核(共50题)1.恶意代码与驱动通信最常使用的请求是DeviceIoControl。
()A.正确B.错误参考答案:A2.以下的恶意代码行为中,属于后门的是()。
cat反向shellB.windows反向shellC.远程控制工具D.僵尸网络参考答案:ABCD3.WinDbg不允许覆盖数据结构上的数据。
()A.正确B.错误参考答案:B4.ApateDNS在本机上监听UDP()端口。
A.53B.69C.161D.80参考答案:A下载器通常会与漏洞利用打包在一起。
()A.正确B.错误参考答案:A6.在默认情况下,IDA Pro的反汇编代码中包含PE头或资源节。
()A.正确B.错误参考答案:B7.OllyDbg支持的跟踪功能有()。
A.标准回溯跟踪B.堆栈调用跟踪C.运行跟踪D.边缘跟踪参考答案:ABC8.在编译器对源码进行编译完成时,还是可以判断源代码使用的是一个常量符号还是一个数字。
()A.正确B.错误参考答案:B9.Netcat被称为“TCP/IP协议栈瑞士军刀”,可以被用在支持端口扫描、隧道、代理、端口转发等的对内对外连接上。
在监听模式下,Netcat充当一个服务器,而在连接模式下作为一个客户端。
Netcat 从标准输入得到数据进行网络传输,而它得到的数据,又可以通过标准输出显示到屏幕上。
()A.正确B.错误参考答案:A10.能调试内核的调试器是()。
A.OllyDbgB.IDA ProC.WinDbgD.Process Explorer参考答案:C11.以下运行DLL文件的语法格式不正确的是()。
A.C:rundll32.exe rip.dll,InstallB.C:rundll32.exe rip.dllC.C:rundll32 rip.dll,InstallService ServiceName C:net start ServiceNameD.C:sc rip.dll参考答案:D12.恶意代码经常使用自创的加密方法,比如将多个简单加密方法组装到一起。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
复习资料名词解释:8/161.恶意程序:未经授权便干扰或破坏计算系统/网络的程序或代码称之为恶意程序/恶意代码2.无入口点技术:无入口点病毒并不是真正没有入口点,而是采用入口点模糊(Entry Point Obscuring,EPO)技术,即病毒在不修改宿主原入口点的前提下,通过在宿主代码体内某处插入跳转指令来使病毒获得控制权3.主机蠕虫:主机蠕虫的所有部分均包含在其所运行的计算机中,在任意给定的时刻,只有一个蠕虫的拷贝在运行,也称作“兔子”(Rabbit)4.网络蠕虫:网络蠕虫由许多部分(称为段,Segment)组成,而且每一个部分运行在不同的计算机中(可能执行不同的动作),网络蠕虫具有一个主segment,该主segment用以协调其他segment的运行,这种蠕虫有时也称作“章鱼”。
5.脚本病毒:用脚本语言所编写的病毒6.动态嵌入技术:动态嵌入技术是指将自己的代码嵌入正在运行的进程中的技术。
7远程线程技术:是指通过在一个正在运行的进程中创建远程线程的方法进入该进程的内存地址空间。
8.主动传染:当病毒处于激活态时,只要传染条件满足,病毒程序就能主动地把病毒自身传染给另一个载体或另一个系统。
这种传染方式称作计算机病毒的主动传染9.被动传染:用户在进行拷贝磁盘或文件时,把一个病毒由一个载体复制到另一个载体上;或者是通过网络上的信息传递,把一个病毒程序从一方传递到另一方。
这种传染方式称作计算机病毒的被动传染。
10.假隐藏:指程序的进程仍然存在,只不过是让他消失在进程列表中11.真隐藏:程序彻底地消失,不是以一个进程或者服务的方式工作12.空洞:具有足够长度的全部为零的程序数据区或堆栈区13.混合感染:病毒既感染引导扇区又感染文件14.交叉感染:一台计算机中常常会同时染上多种病毒。
当一个无毒的宿主程序在此计算机上运行时,便会在一个宿主程序上感染多种病毒,称为交叉感染。
15.链式感染:病毒在感染时,完全不改动宿主程序本体,而是改动或利用与宿主程序相关的信息,将病毒程序与宿主程序链成一体,这种感染方式称作链式感染16.逻辑炸弹:辑炸弹可以理解为在特定逻辑条件满足时实施破坏的计算机程序。
与病毒相比,逻辑炸弹强调破坏作用本身,而实施破坏的程序不会传播。
论述题3/81.简单叙述PE文件的基本组成?PE文件头部首先第一部分是DOS头,DOS头部有两个部分构成,第一部分是MZ文件头,紧跟MZ文件头后面的是一个DOS可执行文件。
正是由于DOS头的存在,使得所有PE文件向上兼容,使得所有PE文件都是合法的MS-DOS可执行文件。
PE文件第二个部分是PE 文件头,PE文件头有三个组成部分:PE文件标志、映像文件头、可选映像头。
其中可选映像头中包含了数据目录表。
这四个部分的具体介绍请阅读本文其后部分。
PE文件的第三个部分是节表,节表与节是一一对应的,提供了每个节具体信息,可以认为节表是节的索引。
PE文件的第四个部分是节,节中存在着文件真正的内容。
在PE头的最后是调试信息,顾名思义,调试信息是用以调试的一些信息的汇总。
2. PE病毒的感染过程?1.判断目标文件开始的两个字节是否为“MZ”。
2.判断PE文件标记“PE”。
3.判断感染标记,如果已被感染过则跳出继续执行HOST程序,否则继续。
4.获得Directory(数据目录)的个数,(每个数据目录信息占8个字节)。
5.得到节表起始位置。
(Directory的偏移地址+数据目录占用的字节数=节表起始位置)6.得到目前最后节表的末尾偏移(紧接其后用于写入一个新的病毒节)节表起始位置+节的个数*(每个节表占用的字节数28H)=目前最后节表的末尾偏移。
7.开始写入节表3.叙述PE病毒从API函数名称查找API函数的地址过程?(1)定位到PE文件头。
(2)从PE文件头中的可选文件头中取出数据目录表的第一个数据目录,得到导出表的地址。
(3)从导出表的NumberOfNames字段得到以命名函数的总数,并以这个数字做微循环的次数来构造一个循环。
(4)从AddressOfNames字段指向的函数名称地址表的第一项开始,在循环中将每一项定义的函数名与要查找的函数名比较,如果没有任何一个函数名符合,说明文件中没有指定名称的函数。
(5)如果某一项定义的函数名与要查找的函数名符合,那么记住这个函数名在字符串地址表中的索引值(如x),然后在AddressOfNameOrdinals指向的数组中以同样的索引值x去找数组项中的值,假如该值为m。
(6)以m值作为索引值,在AddressOfFunctions字段指向的函数入口地址表中获取的RV A 就是函数的入口地址,当函数被装入内存后,这个RV A值加上模块实际装入的基址(ImageBase),就得到了函数真正的入口地址。
4. DOS下的EXE文件病毒是如何获取控制权的?感染EXE文件,需对宿主作哪些修改?一般来说,病毒往往先于HOST程序获得控制权。
运行Win32病毒的一般流程示意如下:①用户点击或系统自动运行HOST程序;②装载HOST程序到内存;③通过PE文件中的AddressOfEntryPoint加ImageBase之和,定位第一条语句的位置(程序入口);④从第一条语句开始执行(这时执行的其实是病毒代码);⑤病毒主体代码执行完毕,将控制权交给HOST程序原来的入口代码;⑥HOST程序继续执行5. 网络蠕虫与计算机病毒的联系与区别?计算机蠕虫和计算机病毒联系:都具有传染性和复制功能计算机病毒与蠕虫的区别为:下表6..怎么预防木马?结合木马的藏身之所、隐藏技术,总结清除木马的方法预防木马:1、不要随便打开别人给你发过来的文件,(这个要小心,最好是打开病毒防火墙)2、不要点一些不健康的网页,因为这些网页是最容易放一些不明的代码,也就是恶意代码;3、就是系统了,你要把你的管理员帐号密码设置的相对麻烦一些,当然要好记咯。
长度最好不要小于8位,也不要太长了。
也不要太简单。
大小写、特别的字符等等都可以的。
还有要关心一些官方网站发布的SP,及时打上SP,网络设置要好一些,不要开一些不必要的通讯端口。
总之,自己勤奋一些,养成一个好的上网、护理系统的习惯。
手动查杀木马的主要步骤及系统命令的使用。
端口(netstat,FPort) PID、调用DLL、EXE 文件(Tasklist) 依据DLL查找对应的进程或服务(Tasklist,IceSword) 停止进程或服务 删除相关的DLL、EXE文件,清除临时文件 修复注册表,清理注册表启动项 免疫,使用策略(gpedit.msc),禁止指定的应用程序运行。
7. 叙述特洛伊木马的基本原理?特洛伊木马包括客户端和服务器端两个部分,攻击者通常利用一种称为绑定程序(exe-binder)的工具将木马服务器绑定到某个合法软件上,诱使用户运行合法软件。
只要用户运行该软件,特洛伊木马的服务器就在用户毫无察觉的情况下完成了安装过程,攻击者要利用客户端远程监视、控制服务器,必需先建立木马连接;而建立木马连接,必需先知道网络中哪一台计算机中了木马,获取到木马服务器的信息之后,即可建立木马服务器和客户端程序之间的联系通道,攻击者就可以利用客户端程序向服务器程序发送命令,达到操控用户计算机的目的8. 如何预防蠕虫、检测蠕虫?预防:计算机蠕虫防治的方案可以从两个角度来考虑从它的实体结构来考虑,如果破坏了它的实体组成的一个部分,则破坏了其完整性,使其不能正常工作,从而达到阻止其传播的目的从它的功能组成来考虑,如果使其某个功能组成部分不能正常工作,也同样能达到阻止其传播的目的具体可以分为如下一些措施(1) 修补系统漏洞 (2)分析蠕虫行为 (3)重命名或删除命令解释器(Interpreter) (4)防火墙(Firewall) (5)公告 6.更深入的研究防。
检测:有多种方法可以对未知蠕虫进行检测,比较通用的方法有对流量异常的统计分析、对TCP 连接异常的分析、对ICMP(Internet Control Message Protocol ,互联网控制报文协议)数据异常的分析。
简答题: 4/121. 简述计算机病毒的定义和特征。
定义:计算机病毒(Computer Virus),是一种人为制造的、能够进行自我复制的、具有对计算机资源进行破坏作用的一组程序或指令集合。
特征:计算机病毒的可执行性(程序性)、传染性、非授权性、隐蔽性、潜伏性、可触发性、破坏性、攻击的主动性、针对性、衍生性、寄生性(依附性)、不可预见性、诱惑欺骗性、持久性。
2.计算机病毒有哪些分类方法?(至少讲3种) 1)根据病毒破坏的能力可划分为以下几种:无危害型(ELK cloner)、无危险型(女鬼病毒)、危险型(hebrew 病毒)和非常危险型(CIH 病毒)2)按照计算机病毒的破坏情况又可分为两类:良性病毒(小球病毒)和恶性病毒(米开朗基罗病毒)3)按照计算机病毒攻击的操作系统分类:攻击DOS 系统的病毒、攻击Windows 系统的病毒(CIH 病毒)、攻击UNIX 系统的病毒(Bliss 病毒,Win32.Winux 病毒)和攻击OS/2系统的病毒(AEP 病毒)4)按照计算机病毒特有的算法分类:伴随型病毒、“蠕虫”型病毒、寄生型病毒、练习型病毒、诡秘型病毒和变形病毒(又称幽灵病毒)5)按照计算机病毒的传播媒介分类:单机病毒与网络病毒6)按寄生对象分类:引导型病毒、文件型病毒和混合型病毒3.滋生感染的方式有哪些?NORMAL.EXE(病毒程序)NORMAL.EXE(原来的程序)NORMAL.EXE(病毒程序)NORMAL.OLD(原来的程序)NORMAL.EXE(病毒程序),放在当前目录NORMAL.EXE(病毒程序),放在系统目录NORMAL.EXE(病毒程序),放在PATH 搜索目录中NORMAL.EXE(原来的程序)伴随方式1伴随方式2伴随方式34. 文件型病毒有哪些感染方式?a寄生感染: 文件头部寄生文件尾部寄生插入感染逆插入感染利用空洞——零长度感染b无入口点感染: 采用入口点模糊(Entry Point Obscuring,EPO)技术采用TSR病毒技术c 滋生感染d链式感染e OBJ、LIB和源码的感染5. 计算机病毒的状态有哪些?a.计算机病毒在传播过程中存在两种状态,即静态和动态b.内存中的动态病毒又有两种状态:可激活态和激活态。
c.内存中的病毒还有一种较为特殊的状态——失活态对于处于不同状态的病毒,应采用不同的分析、清除手段。
6. 脚本病毒的传播途径有哪些?及其脚本病毒如何获取控制权?(以VBS病毒为例)脚本病毒的传播途径有:1)通过E_mail附件传播2)通过局域网共享传播3)通过感染HTM、ASP、JSP、PHP等网页文件传播4)通过IRC聊天通道传播脚本病毒获取控制权的途径有:1)修改注册表项2)通过映射文件执行方式3)欺骗用户,让用户自己执行4)desktop.ini和folder.htt互相配合7. 如何防治和清除脚本病毒?1)禁用文件系统对象FileSystemObject ;2)卸载WSH ;3)删除VBS、VBE、JS、JSE 文件后缀名与应用程序的映射;4)将WScript.exe更改名称或者删除5)自定义安全级别,把与“ActiveX控件及插件”有关的一切设为禁用 6)禁止OutlookExpress的自动收发邮件功能 7)显示扩展名,避免病毒利用文件扩展名作文章 8)将系统的网络连接的安全级别设置至少为“中等”9)安装、使用杀毒软件8. 简述木马实施入侵网络的基本步骤?大致分为六步:配置木马、传播木马、运行木马、信息反馈、建立连接和远程控制9.简要叙述木马的组成?木马软件一般由木马配置程序、控制程序和木马程序三部分组成;其中木马程序是驻留在受害者的系统中,非法获取其操作权限,负责接收控制指令,并根据指令或配置发送数据给控制端;木马配置程序设置木马程序端口、触发条件、木马名称等;控制程序控制远程木马服务器,有些控制程序集成了木马的配置功能。