1、网络规划设计师-黑客攻击与恶意软件、防火墙和 IDS_IPS技术、VPN和访问控制技术及答案解析(总分:100.00,做题时间:90 分钟)一、单项选择题(总题数:28,分数:100.00)网管人员在监测网络运行状态时,发现下列现象:服务器上有大量的 TCP连接,收到了大量源地址各异、用途不明的数据包;服务器收到大量的 ARP报文。网管人员的判断是_,针对前一现象将采取的措施是_,针对后一现象可能采取的措施是_。(分数:6.00)(1).A受到了 DoS攻击和 ARP攻击B受到了 DDoS攻击和 ARP欺骗攻击C受到了漏洞攻击和 DNS欺骗攻击D受到了 DDoS攻击和 DNS欺骗攻击(分数:2
2、.00)A.B.C.D.(2).A暂时关闭服务器B暂时关闭出口路由器C修改防火墙配置,过滤不明数据包D修改 IDS配置使其保护服务器不受攻击(分数:2.00)A.B.C.D.(3).A升级交换机内的软件B加装一个内部路由器C在服务器上安装 ARP防火墙D在内部网的每台主机上安装 ARP防火墙(分数:2.00)A.B.C.D.1.病毒和木马的根本区别是_。A病毒是一种可以独立存在的恶意程序,只在执行时才会起破坏作用。木马是分成服务端和控制端两部分的程序,只在控制端发出命令后才起破坏作用B病毒是一种可以独立存在的恶意程序,只在传播时才会起破坏作用。木马是分成服务端和控制端两部分的程序,一般只在控制
3、端发出命令后才起破坏作用C病毒是一种可以跨网络运行的恶意程序,只要存在就有破坏作用。木马是驻留在被入侵者计算机上的恶意程序,一旦驻留成功就有破坏作用D病毒是一种可以自我隐藏的恶意程序,木马是不需要自我隐藏的恶意程序(分数:2.00)A.B.C.D.2.内网计算机感染木马后,由于其使用私有地址,木马控制端无法与木马服务端建立联系。此时要使木马发挥作用,可采用的方法是_。A由服务端主动向控制端发起通信B由双方共知的第三方作为中转站实现间接通信C服务端盗用合法 IP地址,伪装成合法用户D服务端以病毒方式运行,直接破坏所驻留的计算机(分数:2.00)A.B.C.D.张工组建了一个家庭网络并连接到 In
4、ternet,其组成是:带 ADSL功能、4 个 RJ-45接口交换机和简单防火墙的无线路由器,通过 ADSL连接到 Internet,家庭内部计算机通过 Wi-Fi无线连接,一台打印机通过双绞线电缆连接到无线路由器的 RJ-45接口供全家共享。某天,张工发现自己的计算机上网速度明显变慢,硬盘指示灯长时间闪烁,进一步检查发现,网络发送和接收的字节数快速增加。张工的计算机出现这种现象的最可能原因是_,由此最可能导致的结果是_,除了升级杀病毒软件外,张工当时可采取的有效措施是_。做完这些步骤后,张工开始全面查杀病毒。之后,张工最可能做的事是_。(分数:8.00)(1).A感染了病毒 B受到了木马攻
5、击C硬盘出现故障 D网络出现故障(分数:2.00)A.B.C.D.(2).A硬盘损坏 B网络设备不能再使用 C硬盘上资料被复制或被偷看 D让硬盘上的文件都感染病毒(分数:2.00)A.B.C.D.(3).A关闭计算机B关闭无线路由器C购买并安装个人防火墙D在无线路由器上调整防火墙配置过滤可疑信息(分数:2.00)A.B.C.D.(4).A格式化硬盘重装系统B购买并安装个人防火墙C升级无线路由器软件D检查并下载、安装各种补丁程序(分数:2.00)A.B.C.D.3.主动防御是新型的杀病毒技术,其原理是_。A根据特定的指令串识别病毒程序并阻止其运行B根据特定的标志识别病毒程序并阻止其运行C根据特定
6、的行为识别病毒程序并阻止其运行D根据特定的程序结构识别病毒程序并阻止其运行(分数:2.00)A.B.C.D.4.一些病毒程序,如 CIH声称能破坏计算机的硬件,使计算机彻底瘫痪。其原理是_。A生成高电压烧坏器件 B生成大电流烧坏器件C毁坏 ROMBIOS程序 D毁坏 CMOS中的内容(分数:2.00)A.B.C.D.种植、自启动、隐藏是木马程序的三大关键技术。由于杀病毒软件的存在,隐秘种植木马并不容易,其中一种较好的方法是_。在 Windows系统中,为实现木马的自动启动,通常的方法是将其放于_中。为避免用户发现木马的存在,较好的隐藏方法_。(分数:6.00)(1).A当用户不在现场时派人安装
7、B当用户下载合法软件时顺便下载并安装C当用户在线观看电影时下载并安装D当用户打开邮件附件时安装(分数:2.00)A.B.C.D.(2).Aautoexec.bat 文件 Bboot.ini 文件Cconfig.sys 文件 D注册表(分数:2.00)A.B.C.D.(3).A不显示自己的名称等信息B把自己更名成操作系统中一个合法程序的名字C伪装成一个系统服务D需要运行时启动,运行完后退出(分数:2.00)A.B.C.D.5.特洛伊木马程序分为客户端(也称为控制端)和服务器端(也称为被控制端)两部分。当用户访问了带有木马的网页后,木马的_部分就下载到用户所在的计算机上,并自动运行。A客户端 B服
8、务器端C客户端和服务器端 D客户端或服务器端(分数:2.00)A.B.C.D.6.以下程序中,_不属于恶意代码。AWidget B特洛伊木马 C僵尸程序 D网络蠕虫(分数:2.00)A.B.C.D.黑客小张企图入侵某公司网络,窃取机密信息。为快速达到目的,他做的第一步通常是_;第二步通常是_。在成功入侵该公司网络某台主机并取得该主机的控制权后,通常还需_;在窃取到机密信息后,最后还会_。为了预防黑客入侵的第一步,该公司网络应该采取的预防措施为_;针对第二步的预防措施为_。为了能及时发现上述入侵,该公司网络需要配备_。(分数:14.00)(1).A收集目标网络的所在位置及流量信息B到网上去下载常
9、用的一些攻击软件C捕获跳板主机,利用跳板主机准备入侵D通过端口扫描等软件收集目标网站的 IP地址、开放端口和安装的软件版本等信息(分数:2.00)A.B.C.D.(2).A了解目标网络的所在位置的周围情况及流量规律,选择流量小的时间发起攻击B下载攻击软件,直接发起攻击C向目标网络发起拒绝服务攻击D根据收集的开放端口和安装的软件版本等信息,到网络上查找相关的系统漏洞,下载相应的攻击工具软件(分数:2.00)A.B.C.D.(3).A修改该主机的 root或管理员口令,方便后续登录B在该主机上安装木马或后门程序,方便后续登录C在该主机上启动远程桌面程序,方便后续登录D在该主机上安装网络蠕虫程序以便
10、入侵公司网络中的其他主机(分数:2.00)A.B.C.D.(4).A尽快把机密数据发送出去B在主机中留一份机密信息的副本,以后方便时来取C删除主机系统中的相关日志信息,以免被管理员发现D删除新建用户,尽快退出,以免被管理员发现(分数:2.00)A.B.C.D.(5).A尽量保密公司网络的所在位置和流量信息B尽量减少公司网络对外的网络接口C尽量关闭主机系统上不需要的服务和端口D尽量降低公司网络对外的网络接口速率(分数:2.00)A.B.C.D.(6).A安装网络防病毒软件,防止病毒和木马的入侵B及时对网络内部的主机系统进行安全扫描并修补相关的系统漏洞C加大公司网络对外的网络接口速率D在公司网络中
11、增加防火墙设备(分数:2.00)A.B.C.D.(7).A入侵检测系统 BVPN 系统C安全扫描系统 D防火墙系统(分数:2.00)A.B.C.D.某机构要新建一个网络,除内部办公、员工邮件等功能外,还要对外提供访问本机构网站(包括动态网页)和 FTP服务,设计师在设计网络安全策略时,给出的方案是:利用 DMZ保护内网不受攻击,在 DMZ和内网之间配一个内部防火墙,在 DMZ和 Internet间,较好的策略是_,在 DMZ中最可能部署的是_。(分数:4.00)(1).A配置一个外部防火墙,其规则为除非允许,都被禁止B配置一个外部防火墙,其规则为除非禁止,都被允许C不配置防火墙,自由访问,但在
12、主机上安装杀病毒软件D不配置防火墙,只在路由器上设置禁止 Ping操作(分数:2.00)A.B.C.D.(2).AWeb 服务器,FTP 服务器,邮件服务器,相关数据库服务器BFTP 服务器,邮件服务器CWeb 服务器,FTP 服务器DFTP 服务器,相关数据库服务器(分数:2.00)A.B.C.D.IDS是一类重要的安全技术,其实现安全的基本思想是_,与其他网络安全技术相比,IDS 的最大特点是_。(分数:4.00)(1).A过滤特定来源的数据包 B过滤发往特定对象的数据包C利用网闸等隔离措施 D通过网络行为判断是否安全(分数:2.00)A.B.C.D.(2).A准确度高 B防木马效果最好C
13、能发现内部误操作 D能实现访问控制(分数:2.00)A.B.C.D.为防止服务器遭攻击,通常设置一个 DMZ。有关外网、DMZ、内网三者之间的关系,应满足_。如果在 DMZ中没有_,则访问规则可更简单。(分数:4.00)(1).A外网可访问 DMZ,不能访问内网;DMZ 可访问内网和外网;内网可访问外网和 DMZB外网可访问 DMZ,可有条件地访问内网;DMZ 可访问内网;不能访问外网,内网可访问 DMZ,不能访问外网C外网可访问 DMZ,不能访问内网;DMZ 可访问外网,不能访问内网;内网可访问 DMZ和外网D外网可访问 DMZ,不能访问内网;DMZ 不能访问内网和外网;内网可有条件地访问
14、DMZ和外网(分数:2.00)A.B.C.D.(2).A邮件服务器 BWeb 服务器 CDNS 服务器 D数据库服务器(分数:2.00)A.B.C.D.7.关于防火墙的功能,下列叙述中错误的是_。A防火墙可以检查进出内部网络的通信量B防火墙可以使用过滤技术在网络层对数据包进行选择C防火墙可以阻止来自网络内部的攻击D防火墙可以工作在网络层,也可以工作在应用层(分数:2.00)A.B.C.D.8._不是实现防火墙的主流技术。A包过滤技术 BNAT 技术C代理服务器技术 D应用级网关技术(分数:2.00)A.B.C.D.9.关于入侵检测系统的描述,下列叙述中错误的是_。A监视分析用户及系统活动B发现
15、并阻止一些已知的攻击活动C检测违反安全策略的行为D识别己知进攻模式并报警(分数:2.00)A.B.C.D.应用 MPLS VPN时,转发数据包时所依据的信息是_,在 MPLS VPN中用户使用专用的 IP地址,因此_。(分数:4.00)(1).AVPN 标识符+IP 地址 BVPN 标识符CIP 地址 DIP 地址+掩码(分数:2.00)A.B.C.D.(2).A当用户需要访问 Internet时,需要有 NATB无须 NAT,因用户只能与 VPN成员通信C所谓的专用地址必须是 Internet上合法的 IP地址D专用地址可由 VPN标识符推算出来(分数:2.00)A.B.C.D.VPN实现网
16、络安全的主要措施是_,L2TP 与 PPTP是 VPN的两种代表性协议,其区别之一是_。(分数:4.00)(1).A对发送的全部内容加密 B对发送的载荷部分加密C使用专用的加密算法加密 D使用专用的通信线路传送(分数:2.00)A.B.C.D.(2).AL2TP 只适于 IP网,传输 PPP帧;PPTP 既适于 IP网,也适于非 IP网,传输以太帧BL2TP 只适于口网,传输以太帧;PPTP 既适于 IP网,也适于非 IP网,传输 PPP帧C都传输 PPP帧,但 PPTP只适于 IP网,L2TP 既适于 IP网,也适于非 IP网D都传输以太帧,但 PPTP只适于 IP网,L2TP 既适于 IP
17、网,也适于非 IP网(分数:2.00)A.B.C.D.甲公司是一个有 120人的软件公司,为加强安全管理,甲公司对公司内局域网采取了如下措施:安装隔离网闸限制对 Internet的访问;安装过滤软件禁止邮件被发送到 Internet;对堆叠在一起的 3台 48口交换机的每个已连接端口绑定 MAC地址和 IP地址,限制无关计算机访问局域网;每台计算机只安装DVDROM,并取消 LISB口以防止公司重要文档被复制。但公司发现,这些措施没能阻止公司机密文档的泄露。一个明显且主要的漏洞是_。即使没有上述漏洞,员工也可以将自己的笔记本计算机连接到公司局域网上,复制相关文档,其可行的手段是_。(分数:4.
18、00)(1).A隔离网闸不能阻止信息传送B员工可建立 FTP服务器外传文档C没有设置进入网络的密码系统D没有限制交换机上未用的端口(分数:2.00)A.B.C.D.(2).A秘密修改交换机的配置B盗用别人的密码进入网络C在笔记本计算机上实施 MAC地址复制D绕开交换机直接与服务器相连接(分数:2.00)A.B.C.D.10.ACL是利用交换机实现安全管理的重要手段。利用 ACL不能实现的功能是_。A限制 MAC地址 B限制 IP地址C限制 TCP端口 D限制数据传输率(分数:2.00)A.B.C.D.利用交换机的 ACL功能可增强网络的安全性和功能,其中不能实现的功能是_,交换机上的 RADI
19、US不能实现的功能是_。(分数:4.00)(1).A限制每个端口的数据传输率B限制每个端口的流量C限制每个端口可接入的 IP地址D限制每个端口可接入的 MAC地址(分数:2.00)A.B.C.D.(2).A用户名认证 B用户密码认证C用户接入权限认证 D流量控制(分数:2.00)A.B.C.D.应用 MPLS VPN时,针对每个 VPN地址规划应满足的条件是_。不同的 VPN信息通过 MPLS骨干网(或核心网)时通过_进行区分。(分数:4.00)(1).A每个 VPN都是独立的,可以使用任何地址,只要保证在 VPN内部合法正确即可BVPN 之间的地址不能相互重叠CVPN 内只能使用公网 IP地
20、址DVPN 内只能使用私网 II)地址(分数:2.00)A.B.C.D.(2).AIP 地址+AS 号 BIP 地址+子网掩码CVPN 标识符 DVPN 标识符+IP 地址(分数:2.00)A.B.C.D.11.某公司的人员流动比较频繁,网络信息系统管理员为了减少频繁的授权变动,其访问控制模型应该采用_。A自主型访问控制 B强制型访问控制C基于角色的访问控制 D基于任务的访问控制(分数:2.00)A.B.C.D.某企业打算采用 IPSec构建 VPN,由于企业申请的全球 IP地址不够,企业内部网决定使用本地 IP地址,这时在内、外网间的路由器上应该采用_技术,IPSec 应该采用_模式。(分数
21、:4.00)(1).ANAT 技术 B加密技术C消息鉴别技术 D数字签名技术(分数:2.00)A.B.C.D.(2).A传输模式 B隧道模式C传输和隧道混合模式 D传输和隧道嵌套模式(分数:2.00)A.B.C.D.12.AH协议中用于数据源鉴别的鉴别数据(ICV)是由 IP分组中的校验范围内的所有“固定”数据进行计算得到的。以下数据中,_不在计算之列。AIP 分组头中的源 IP地址 BIP 分组头中的目的 IP地址CIP 分组头中的头校验和 DIP 分组中的高层数据(分数:2.00)A.B.C.D.13.IETF定义的多协议标记交换(MPLS)是一种第三层交换技术。MPLS 网络由具有 IP
22、功能、并能执行标记分发协议(LDP)的路由器组成。负责为网络流添加和删除标记的是_。A标记分发路由器 B标记边缘路由器C标记交换路由器 D标记传送路由器(分数:2.00)A.B.C.D.14.下列访问控制模型中,对象的访问权限可以随着执行任务的上下文环境发生变化的是_的控制模型。A基于角色 B基于任务 C基于对象 D强制型(分数:2.00)A.B.C.D.15.以下关于完美向前保护(PFS)的说法,错误的是_。APFS 的英文全称是 Perfect Forward SecrecyBPFS 是指即使攻击者破解了一个密钥,也只能还原这个密钥加密的数据,而不能还原其他加密数据CIPSec 不支持 P
23、FSD要实现 PFS必须使用短暂的一次性密钥(分数:2.00)A.B.C.D.网络规划设计师-黑客攻击与恶意软件、防火墙和 IDS_IPS技术、VPN和访问控制技术答案解析(总分:100.00,做题时间:90 分钟)一、单项选择题(总题数:28,分数:100.00)网管人员在监测网络运行状态时,发现下列现象:服务器上有大量的 TCP连接,收到了大量源地址各异、用途不明的数据包;服务器收到大量的 ARP报文。网管人员的判断是_,针对前一现象将采取的措施是_,针对后一现象可能采取的措施是_。(分数:6.00)(1).A受到了 DoS攻击和 ARP攻击B受到了 DDoS攻击和 ARP欺骗攻击C受到了
24、漏洞攻击和 DNS欺骗攻击D受到了 DDoS攻击和 DNS欺骗攻击(分数:2.00)A.B. C.D.解析:本题考查网络攻击与预防方面的基本知识。DDoS攻击的特点是收到大量源地址各异、用途不明的数据包,导致计算机耗尽 TCP连接数、CPU 有效时间或网络带宽等,导致不能响应正常的请求。DoS是指攻击者想办法让目标机器停止提供服务或资源访问,是黑客常用的攻击手段之一。这些资源包括磁盘空间、内存、进程甚至网络带宽,从而阻止正常用户的访问。其实对网络带宽进行的消耗性攻击只是拒绝服务攻击的一小部分,只要能够对目标造成麻烦,使某些服务被暂停及主机死机,都属于拒绝服务攻击。拒绝服务攻击问题一直得不到合理
25、解决,究其原因是由于网络协议本身的安全缺陷造成的,因此,拒绝服务攻击也成为攻击者的终极手法。攻击者进行拒绝服务攻击,实际上让服务器实现两种效果:一是迫使服务器的缓冲区满,不能接收新的请求;二是使用 IP欺骗,迫使服务器把合法用户的连接复位,影响合法用户的连接。1拒绝服务攻击的方式(1)SYN Flood。SYN Flood 是当前最流行的 DoS的方式之一,这是一种利用 TCP协议缺陷,发送大量伪造的 TCP连接请求,使被攻击方资源耗尽(CPU 满负荷或内存不足)的攻击方式。(2)IP欺骗 DoS攻击。这种攻击利用 RST位来实现。假设现在有一个合法用户(202.197.120.2)已经同服务
26、器建立了正常的连接,攻击者构造攻击的 TCP数据,伪装自己的 IP)为 202.197.120.2,并向服务器发送一个带有 RST位的 TCP数据段。服务器接收到这样的数据后,认为从 202.197.120.2发送的连接有错误,就会清空缓冲区中建立好的连接。这时,如果合法用户 202.197.120.2再发送合法数据,服务器就已经没有这样的连接了,该用户就必须重新建立连接。攻击时,攻击者会伪造大量的 IP地址,向目标服务器发送 RST数据,使服务器不对合法用户服务,从而实现了对受害服务器的拒绝服务攻击。(3)UDP洪水攻击。攻击者利用简单的 TCP/IP服务,如 Chargen和 Echo来传
27、送毫无用处的占满带宽的数据。通过伪造与某一主机的 Chargen服务之间的一次的 UDP连接,回复地址指向开着 Echo服务的一台主机,这样两台主机就会存在很多的无用数据流,这些无用数据流就会导致带宽的服务攻击。(4)Ping洪流攻击。由于在早期阶段,路由器对包的最大尺寸都有限制。许多操作系统对 TCP/IP栈的实现在 ICMP包上都是规定 64KB,并且在对包的标题头进行读取之后,要根据该标题头里包含的信息来为有效载荷生成缓冲区。当产生畸形的,声称自己的尺寸超过 ICMP上限的包,也就是加载的尺寸超过 64K上限时,就会出现内存分配错误,导致 TCP/IP堆栈崩溃,致使接收方死机。(5)泪滴
28、(teardrop)攻击。泪滴攻击是利用在 TCP/IP堆栈中实现信任 IP碎片中的包的标题头所包含的信息来实现自己的攻击。IP 分段含有指明该分段所包含的是原包的哪一段的信息,某些 TCP/IP(包括service pack 4以前的 NT)在收到含有重叠偏移的伪造分段时将崩湍。(6)Land攻击。Land 攻击原理是:用一个特别打造的 SYN包,它的原地址和目标地址都被设置成某一个服务器地址。此举将导致接收服务器向它自己的地址发送 SYN-ACK消息,结果这个地址又发回 ACK消息并创建一个空连接。被攻击的服务器每接收一个这样的连接都将保留,直到超时,对 Land攻击反应不同,许多 UNI
29、X实现将崩溃,NT 变得极其缓慢(大约持续 5分钟)。(7)Smutf攻击。Smurf 攻击原理是:通过使用将回复地址设置成受害网络的广播地址的 ICMP应答请求(ping)数据包来淹没受害主机的方式进行。最终导致该网络的所有主机都对此 ICMP应答请求做出答复,导致网络阻塞。它比 ping of death洪水的流量高出 1或 2个数量级。更加复杂的 Smurf将源地址改为第三方的受害者,最终导致第三方崩溃。(8)Fraggle攻击。Fraggle 攻击实际上就是对 Smurf攻击作了简单的修改,使用的是 UDP应答消息而非ICMP。2分布式拒绝服务分布式拒绝服务(Distributed D
30、enial of Service, DDoS)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动 DoS攻击,从而成倍地提高拒绝服务攻击的威力。ARP攻击就是通过伪造 IP地址和 MAC地址实现 ARP欺骗,能够在网络中产生大量的 ARP通信量使网络阻塞,同时使得被攻击者将信息错误地发送到伪造的地址,造成网络中断或受到中间人攻击。攻击者只要持续不断地发出伪造的 ARP响应包,就能更改目标主机 ARP缓存中的 IP-MAC条目,造成网络持续不能正常工作。ARP 攻击主要存在于局域网中,局域网中若有一台计算机感染 ARP病毒,则感染该 ARP病毒的系统将会试图通过
31、“ARP 欺骗”手段截获所在网络内其他计算机的通信信息,并因此造成网内其他计算机的通信故障。解决方法是在每台计算机上安装 ARP防火墙或杀毒软件,发现并杀掉该病毒。(2).A暂时关闭服务器B暂时关闭出口路由器C修改防火墙配置,过滤不明数据包D修改 IDS配置使其保护服务器不受攻击(分数:2.00)A.B.C. D.解析:(3).A升级交换机内的软件B加装一个内部路由器C在服务器上安装 ARP防火墙D在内部网的每台主机上安装 ARP防火墙(分数:2.00)A.B.C.D. 解析:1.病毒和木马的根本区别是_。A病毒是一种可以独立存在的恶意程序,只在执行时才会起破坏作用。木马是分成服务端和控制端两
32、部分的程序,只在控制端发出命令后才起破坏作用B病毒是一种可以独立存在的恶意程序,只在传播时才会起破坏作用。木马是分成服务端和控制端两部分的程序,一般只在控制端发出命令后才起破坏作用C病毒是一种可以跨网络运行的恶意程序,只要存在就有破坏作用。木马是驻留在被入侵者计算机上的恶意程序,一旦驻留成功就有破坏作用D病毒是一种可以自我隐藏的恶意程序,木马是不需要自我隐藏的恶意程序(分数:2.00)A. B.C.D.解析:本题考查病毒与木马的基本概念。1994年 2月 18日,我国正式颁布实施了中华人民共和国计算机信息系统安全保护条例。在该条例的第二十八条中明确指出:“计算机病毒,是指编制或者在计算机程序中
33、插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。”这个定义具有法律性、权威性。根据这个定义,计算机病毒是一种计算机程序,它不仅能破坏计算机系统,而且还能传染到其他系统。计算机病毒通常隐藏在其他正常程序中,能生成自身的拷贝并将其插入其他程序中,对计算机系统进行恶意的破坏。计算机病毒不是天然存在的,是某些人利用计算机软、硬件所固有的脆弱性,编制的具有破坏功能的程序。计算机病毒能通过某种途径潜伏在计算机存储介质(或程序)里,当达到某种条件时即被激活,它用修改其他程序的方法将自己的精确拷贝或者可能演化的形式放入其他程序中,从而感染它们,对计算机资源进行破坏的
34、这样一组程序或指令集合。1计算机病毒的特点传统意义上的计算机病毒一般具有破坏性、隐蔽性、潜伏性、传染性等特点。随着计算机软件和网络技术的发展,在今天的网络时代,计算机病毒又有了很多新的特点。(1)主动通过网络和邮件系统传播。从当前流行的计算机病毒来看,绝大部分病毒都可以利用邮件系统和网络进行传播。例如“求职信”病毒就是通过电子邮件传播的,这种病毒程序代码往往夹在邮件的附件中,当收邮件者点击附件时,病毒程序便得以执行并迅速传染。它们还能搜索计算机用户的邮件通信地址,继续向网络进行传播。(2)传播速度极快。由于病毒主要通过网络传播,因此一种新病毒出现后,可以迅速通过国际互联网传播到世界各地。例如“
35、爱虫”病毒在一两天内迅速传播到世界的主要计算机网络,并造成欧美国家的计算机网络瘫痪。(3)变种多。现在很多新病毒都不再使用汇编语言编写,而是使用高级程序设计语言。例如“爱虫”是脚本语言病毒,“美丽杀”是宏病毒。它们容易编写,并且很容易被修改,生成很多病毒变种。“爱虫”病毒在十几天中,就出现了三十多个变种。“美丽杀”病毒也生成了三四个变种,并且此后很多宏病毒都是使用了“美丽杀”的传染机理。这些变种的主要传染和破坏的机理与母本病毒一致,只是某些代码作了修改。(4)具有病毒、蠕虫和黑客程序的功能。随着网络技术的普及和发展,计算机病毒的编制技术也在不断地提高。过去病毒最大的特点是能够复制自身给其他程序
36、。现在计算机病毒具有蠕虫的特点,可以利用网络进行传播。同时有些病毒还具有黑客程序的功能,一旦侵入计算机系统后,病毒控制者可以从入侵的系统中窃取信息,远程控制这些系统。呈现出计算机病毒功能的多样化,因而更具有危害性。2病毒的分类通常,计算机病毒可分为下列几类。(1)文件型病毒。文件型病毒通过在执行过程中插入指令,把自己依附在可执行文件上。然后,利用这些指令来调用附在文件中某处的病毒代码。当文件执行时,病毒会调出自己的代码来执行,接着又返回到正常的执行指令序列。通常这个执行过程发生得很快,以至于用户并不知道病毒代码已被执行。(2)引导扇区病毒。引导扇区病毒改变每一个用 DOS格式来格式化的磁盘的第
37、一个扇区里的程序。通常引导扇区病毒先执行自身的代码,然后再继续 PC的启动进程。大多数情况下,在一台染有引导型病毒的计算机上对可读/写的软盘进行读/写操作时,这块软盘也会被感染该病毒。引导扇区病毒会潜伏在软盘的引导扇区里,或者在硬盘的引导扇区或主引导记录中插入指令。此时,如果计算机从被感染的软盘引导时,病毒就会感染到引导硬盘,并把自己的代码调入内存。触发引导区病毒的典型事件是系统日期和时间。(3)混合型病毒。混合型病毒有文件型和引导扇区型两类病毒的某些共同特性。当执行一个被感染的文件时,它将感染硬盘的引导扇区或主引导记录,并且感染在机器上使用过的软盘。这种病毒能感染可执行文件,从而能在网上迅速
38、传播蔓延。(4)变形病毒。变形病毒随着每次复制而发生变化,通过在可能被感染的文件中搜索简单的、专门的字节序列,是不能检测到这种病毒的。变形病毒是一种能变异的病毒,随着感染时间的不同而改变其不同的形式,不同的感染操作会使病毒在文件中以不同的方式出现,使传统的模式匹配法杀毒软件对这种病毒显得软弱无力。(5)宏病毒。宏病毒不只是感染可执行文件,它可以感染一般软件文件。虽然宏病毒不会对计算机系统造成严重的危害,但它仍令人讨厌。因为宏病毒会影响系统的性能及用户的工作效率。宏病毒是利用宏语言编写的,不受操作平台的约束,可以在 DOS、Windows、UNIX 甚至在 OS/2系统中散播。这就是说宏病毒能被
39、传播到任何可运行编写宏病毒的应用程序的计算机中。3病毒的发展趋势随着 Internet的发展和计算机网络的日益普及,计算机病毒出现了一系列新的发展趋势。(1)无国界。新病毒层出不穷,电子邮件已成为病毒传播的主要途径。病毒家族的种类越来越多,且传播速度大大加快,传播空间大大延伸,呈现无国界的趋势。(2)多样化。随着计算机技术的发展和软件的多样性,病毒的种类也呈现多样化发展的势态,病毒不仅仅有引导型病毒、普通可执行文件型病毒、宏病毒、混合型病毒,还出现专门感染特定文件的高级病毒。特别是 Java、VB 和 ActiveX的网页技术逐渐被广泛使用后,一些人就利用这些技术来撰写病毒。(3)破坏性更强。
40、新病毒的破坏力更强,手段比过去更加狠毒和阴险,它可以修改文件(包括注册表)、通信端口、修改用户密码、挤占内存及利用恶意程序实现远程控制等。(4)智能化。过去人们的观点是“只要不打开电子邮件的附件,就不会感染病毒”。但是新一代计算机病毒却令人震惊,如“维罗纳(Verona)”病毒是一个真正意义上的“超级病毒”,它不仅主题众多,而且集邮件病毒的几大特点为一身,令人无法设防。最严重的是它将病毒写入邮件原文。这正是“维罗纳”病毒的新突破,一旦用户收到了该病毒邮件,无论是无意间用 Outlook打开了该邮件,还是仅仅使用了预览,病毒就会自动发作,并将一个新的病毒邮件发送给邮件通信录中的地址,从而迅速传播
41、。(5)更加隐蔽化。和过去的病毒不一样,新一代病毒更加隐蔽,主题会随用户传播而改变,而且许多病毒还会将自己伪装成常用的程序,或者将病毒代码写入文件内部,而文件长度不发生任何改变,使用户不会产生怀疑。木马,也就是一种能潜伏在受害者计算机里,并且秘密开放一个甚至多个数据传输通道的远程控制程序,一般由两部分组成:客户端(Client)和服务器端(Server),客户端也称为控制端。木马的传播感染其实指的就是服务器端,入侵者必须通过各种手段把服务器端程序传送给受害者运行,才能达到木马传播的目的。当服务器端被受害者计算机执行时,便将自身复制到系统目录,并把运行代码加入系统启动时会自动调用的区域里,借以达
42、到跟随系统启动而运行,这一区域通常称为“启动项”。当木马完成这部分操作后,便进入潜伏期偷偷开放系统端口,等待入侵者连接。病毒和木马二者最大区别是,木马是分成两部分的,病毒通常是一个整体。2.内网计算机感染木马后,由于其使用私有地址,木马控制端无法与木马服务端建立联系。此时要使木马发挥作用,可采用的方法是_。A由服务端主动向控制端发起通信B由双方共知的第三方作为中转站实现间接通信C服务端盗用合法 IP地址,伪装成合法用户D服务端以病毒方式运行,直接破坏所驻留的计算机(分数:2.00)A. B.C.D.解析:本题考查木马的基本知识。木马应付私用地址、防火墙等措施的策略之一是采用反向连接技术,即从木
43、马服务器(被控制端)主动向外发起连接,使得与木马控制端建立连接。张工组建了一个家庭网络并连接到 Internet,其组成是:带 ADSL功能、4 个 RJ-45接口交换机和简单防火墙的无线路由器,通过 ADSL连接到 Internet,家庭内部计算机通过 Wi-Fi无线连接,一台打印机通过双绞线电缆连接到无线路由器的 RJ-45接口供全家共享。某天,张工发现自己的计算机上网速度明显变慢,硬盘指示灯长时间闪烁,进一步检查发现,网络发送和接收的字节数快速增加。张工的计算机出现这种现象的最可能原因是_,由此最可能导致的结果是_,除了升级杀病毒软件外,张工当时可采取的有效措施是_。做完这些步骤后,张工
44、开始全面查杀病毒。之后,张工最可能做的事是_。(分数:8.00)(1).A感染了病毒 B受到了木马攻击C硬盘出现故障 D网络出现故障(分数:2.00)A.B. C.D.解析:本题考查黑客攻击与预防方面的基本知识。出现题述现象的原因很多,比如:正在进行软件的自动升级、通过网络方式查杀病毒、P2P 方式共享文件等。张工在排除了多种原因之后,剩下最可能的原因就是感染了木马,计算机被控制,不停地向外发送信息,或下载并不需要的文件。安装个人防火墙具有一定的作用,但如果配置不当,或未准确掌握对方的信息,个人防火墙并不能解决上述问题,况且在上述条件下,也有些多余,因为路由器上已具有基本的个人防火墙。木马通常
45、是利用各种漏洞来发挥作用的,因此,应经常安装补丁程序。(2).A硬盘损坏 B网络设备不能再使用 C硬盘上资料被复制或被偷看 D让硬盘上的文件都感染病毒(分数:2.00)A.B.C. D.解析:(3).A关闭计算机B关闭无线路由器C购买并安装个人防火墙D在无线路由器上调整防火墙配置过滤可疑信息(分数:2.00)A.B.C.D. 解析:(4).A格式化硬盘重装系统B购买并安装个人防火墙C升级无线路由器软件D检查并下载、安装各种补丁程序(分数:2.00)A.B.C.D. 解析:3.主动防御是新型的杀病毒技术,其原理是_。A根据特定的指令串识别病毒程序并阻止其运行B根据特定的标志识别病毒程序并阻止其运
46、行C根据特定的行为识别病毒程序并阻止其运行D根据特定的程序结构识别病毒程序并阻止其运行(分数:2.00)A.B.C. D.解析:本题考查杀毒软件技术的基本概念。杀毒软件的查杀原理主要有以下几种。1特征码法杀毒软件运用特征码扫描确定某文件为病毒时,这个文件需要满足两个条件:(1)该文件中的某一位置与杀毒软件病毒库的某一位置相对应。(2)该位置上存放的代码与病毒库中定义的该位置上的代码相同。特征码法的特点:速度慢、误报警率低、不能检查多态性病毒、不能对付隐蔽性病毒。2校验和法运用校验和法查病毒采用以下 3种方式。(1)在检测病毒工具中纳入校验和法,对被查的对象文件计算正常状态的校验和,将校验和值写
47、入被查文件中或检测工具中而后进行比较。(2)在应用程序中放入校验和法自我检查功能,将文件正常状态的校验和写入文件本身中,每当应用程序启动时比较现行校验和与原校验和值,实现应用程序的自检测。(3)将校验和检查程序常驻内存,每当应用程序开始运行时自动比较检查应用程序内部或别的文件中预先保存的校验和。校验和法的优点:方法简单、能发现未知病毒、被查文件的细微变化也能发现。缺点:会误报警、不能识别病毒名称、不能对付什隐蔽型病毒。3行为监测法利用病毒的特有行为特征来监测病毒的方法。监测病毒的行为特征:占有 INT13H、改 DOS系统为数据区的内存总量、对.com、.exe 文件做写入动作、病毒程序与宿主
48、程序的切换。行为监测法的优点:可发现未知病毒、可相当准确地预报未知的多数病毒。缺点:可能误报警、不能识别病毒名称、实现时有一定难度。4软件模拟法在虚拟机中综合运用多种查杀方法就是通常所说的软件模拟法。软件模拟法的优点:对病毒的判定能力最强,因为综合了多种查毒方法。缺点:扫描速度慢、查毒往往不准确。5主动防御主动防御是基于程序行为自主分析判断的实时防护技术,不以病毒的特征码作为判断病毒的依据,而是从最原始的病毒定义出发,直接将程序的行为作为判断病毒的依据。主动防御是用软件自动实现了反病毒工程师分析判断病毒的过程,解决了传统安全软件无法防御未知恶意软件的弊端,从技术上实现了对木马和病毒的主动防御。主动防御技术特点如下。(1)创立动态仿真反病毒专家系统。对病毒行为规律分
