单项选择题(本大题共10小题,每小题2分,共20分)
在每小题列出的四个备选项中只有一个最符合题目要求,
请将其代码填写在题后的括号内。错选、多选或未选均无分。
1.(C/D )的说法最准确地说明了对用户权限的限制有助于防范木马病毒。
A.如果用户没有删除程序的权限,那么也就无法更改系统的安全设置
B. 如果用户没有删除程序的权限,那么也能删除杀毒软件和反木马病毒软件
C. 如果用户没有安装程序的权限,那么安装木马程序的可能性也将减少
D. 如果用户没有安装程序的权限,那么也就无法安装木马病毒程序
2.和普通病毒相比,蠕虫最重要的特点是( A )。
A. 蠕虫可以传播得更为广泛
B. 和没有生命的病毒相比,蠕虫是一种有繁殖能力的小虫子
C. 蠕虫比病毒更经常删除注册表健值和更改系统文件
D. 蠕虫更有可能损害被感染的系统
4.主要危害系统文件的病毒是( B )
A.文件型 B. 引导型 C. 网络病毒 D. 复合型
5.一般意义上,木马是( D )。
A. 具有破坏力的软件
B. 以伪装善意的面目出现,但具有恶意功能的软件
C. 不断自我复制的软件
D. 窃取用户隐私的软件
6.计算机病毒根据与被感染对象的关系分类,可分为(A )。
A.引导区型、文件型、混合型
B.原码型、外壳型、复合型和网络病毒
C.寄生型、伴随型、独立型
D.良性型、恶性型、原码型和外壳型
7.下面哪种情况可能会成为远程执行代码的高危漏洞()。
A. 原内存块的数据不可以被改写
B. 存在根据原内存块中的数据直接或间接地改变程序执行流程的代码
C. 假冒知名网站
D. 浏览器劫持
8.若出现下列现象( C )时,应首先考虑计算机感染了病毒。
A.不能读取光盘 B. 系统报告磁盘已满
C. 程序运行速度明显变慢
D. 开机启动Windows时,先扫描硬盘
9.按照目前比较普遍的分类方法,下面哪类软件不属于流氓软件( D )。
A.广告软件 B. 间谍软件及行为记录软件
C. 强制安装的恶意共享软件
D. 感染了宏病毒的Word文件
10.以下方法中,不适用于检测计算机病毒的是( C )。
A.特征代码法 B. 校验和法C.加壳 D. 软件模拟法
多项选择题(本大题共10小题,每小题2分,共20分)在每小题的备选项中有多个选项符合题目要求,请将其代码填写在题后的括号内。错选、漏选、多选或不选均无分。
1.木马的网络入侵,从过程上看,包括以下入侵步骤(BD )。
A. 扫描特定漏洞、绑带合法软件
B. 信息反馈、建立连接
C. 隐蔽自身、破坏文件
D. 传播木马、运行木马
2. PE文件的构成包括以下部分( A B C D )。
A. DOS MZ header和Dos stub
B. PE header
C. Section table
D. sections
3. 蠕虫病毒常用扫描策略包括(BC )。
A. 转换列表扫描
B. 分治扫描
C. 选择性随机扫描
D. 系统特定文件扫描
4. 蠕虫程序的基本功能结构包括(BCD )。
A. 进程注入模块
B. 扫描搜索模块
C. 传输模块
D. 攻击模块
5.计算机病毒的特征为(AB )。
A.潜伏性、、传染性
B.非法性、隐藏性、破坏性
C.可预见性、复发性
D.可触发性、变异性、表现性
6.防范脚本病毒的安全建议是(ABD )。
A.养成良好的上网习惯 B. 经常整理硬盘
C.发现病毒后将其清除 D. 安装合适的主流杀毒软件和个人防火墙
8.当前的防病毒软件可以(AC )。
A. 自动发现病毒入侵的一些迹象并阻止病毒的入侵
B. 杜绝一切计算机病毒感染计算机系统
C. 在部分病毒将要入侵计算机系统时发出报警信号
D. 使入侵的所有计算机病毒失去破坏能力
9. 计算机漏洞的通用防护策略是(BCD )。
A. 分治扫描
B. 调用者审核
C. 数据执行保护(DEP)
D. 自动备份
10.病毒高级代码变形技术有(ABCD )。
A. 加壳
B. 代码重组
C. 寡型病毒
D. 多态变形病毒
填空题(本大题共5小题,每小题2分,共10分)请在每小题的空格中填上正确答案。每空1分,错填、不填均无分。
1. 计算机病毒常用的反制技术包括了(禁止反病毒软件的运行)和(卸载反病毒软件的功能)。
2. (检测商用虚拟机)和(反-反病毒仿真技术)都是病毒常用的反动态分析、检测技术。
3. 目前防病毒软件产品普遍应用了一种称为启发式代码扫描的技术,这是一种基于(虚拟机)技术和(智能分析)手段的病毒检测技术。
4. 计算机病毒结构一般由(引导模块)、条件判断模块、(破坏表现模块)、传染模块、掩饰模块等组成。
判断题(本大题共5小题,每小题2分,共10分)判断是对的在括号内填√,是错的填×。
1.(√)计算机病毒程序传染的前提条件是随其它程序的运行而驻留内存。
2.(×)计算机病毒通常采用商用虚拟机检测技术以躲避静态分析。(动态分析)4.(√)指令ADD EAX, 8可变换为等价指令LEA EAX, [EAX+8] 。
5.(×)“特洛伊木马”(Trojan Horse)程序是黑客进行IP欺骗的病毒程序。
简答题(本大题共5小题,每小题8分,共40分)
什么是网络钓鱼?网络钓鱼主要手段有哪几种?P10
答:网络钓鱼是一种利用Internet实施的网络诈骗,通过发送声称来自知名机构的欺骗性邮件及伪造web站点进行欺骗活动,以得到受骗者的个人信息,如信用卡账号密码等。
主要手段:a、利用电子邮件
b、利用木马程序
c、利用虚拟网址
d、假冒知名网站
e、利用即时通信消息攻击
f、综合钓鱼法
2.什么是启发式分析,启发式分析的基本原理是什么?
答:启发式分析是利用计算机病毒的行为特征,结合以往的知识和经验,对未知的可疑病毒进行分析与识别。
它的基本原理是通过对一系列病毒代码的分析,提取一种广谱特征码,即代表病毒的某一种行为特征的特殊程序代码,然后通过多种广谱特征码,综合考虑各种因素,确定到底是否病毒,是哪一种病毒。
什么是脚本病毒和WSH?二者是何关系?
答:脚本病毒:是指利用.asp、.html、.htm、.vbs、.js等类型文件进行传播的基于VB Script 和Java Script脚本语言并由Windows Scripting Host解释执行的一类病毒。
WSH:是Windows Scripting Host的缩写,含义为“Windows脚本缩主”。它内嵌与Windows 操作系统中的脚本语言工作环境,主要负责脚本的解释和执行。
关系:WSH是脚本病毒的执行环境。
4. 什么是花指令?花指令有什么作用?
答:花指令指的是计算机病毒作者为了欺骗反汇编软件,迷惑分析人员,给分析人员增添障碍而在计算机代码中添加的看似有用,其实是一无是处的代码。
花指令的作用是:a、欺骗反汇编软件,使其显示不正确的反汇编结果;
b、干扰病毒分析人员,给分析工作添加障碍;
c、改变程序代码特征
5. 简述木马的定义、基本特征以及传播特性。
答:木马是指隐藏在正常程序中的一段具有特殊功能的恶意代码,具备破坏和删除文件、窃取密码、记录键盘、攻击等功能,会破坏用户系统甚至使用户系统瘫痪。
基本特征:隐藏性、自动运行性、欺骗性、自动恢复功能、自动打开特别的窗口、具备特殊功能。
传播特性:a、以邮件附件的形式传播;
b、通过QQ、ICQ等聊天工具软件传播;
c、通过提供软件下载的网盘(Web/FTP/BBS)传播;
d、通过一般的病毒和蠕虫传播;
e、通过带木马的磁盘和光盘传播。