第 7 章 恶意代码分析与防治

  1. 简述研究恶意代码的必要性。
    答:
    在 Internet 安全事件中,恶意代码造成的经济损失占有最大的比例。如今,恶意代码已成为信息战、网络战的重要手段。日益严重的恶意代码问题,不仅使企业及用户蒙受了巨大经济损失,而且使国家的安全面临着严重威胁。
  2. 简述恶意代码长期存在的原因。
    答:
    在信息系统的层次结构中,包括从底层的操作系统到上层的网络应用在内的各个层次都存在着许多不可避免的安全问题和安全脆弱性。而这些安全脆弱性的不可避免,直接导致了恶意代码的必然存在。
  3. 恶意代码是如何定义,可以分成哪几类?
    答:
    恶意代码的定义随着计算机网络技术的发展逐渐丰富, Grimes 将恶意代码定义为,经过存储介质和网络进行传播,从一台计算机系统到另外一台计算机系统,未经授权认证破坏计算机系统完整性的程序或代码。
    它可以分成以下几种类型:计算机病毒 (Computer Virus) 、蠕虫 (Worms)、特洛伊木马 (Trojan Horse)、逻辑炸弹 (Logic Bombs) 、病菌(Bacteria)、用户级 RootKit 、核心级 RootKit 、脚本恶意代码 (Malicious Scripts)和恶意 ActiveX 控件。
  4. 图示恶意代码攻击机制
    答:
    恶意代码的整个作用过程分为 6 个部分:
    ①侵入系统。侵入系统是恶意代码实现其恶意目的的必要条件。恶意代码入侵的途径很多,如:从互联网下载的程序本身就可能含有恶意代码;接收已经感染恶意代码的电子邮件;从光盘或软盘往系统上安装软件;黑客或者攻击者故意将恶意代码植入系统等。
    ②维持或提升现有特权。恶意代码的传播与破坏必须盗用用户或者进程的合法权限才能完成。
    ③隐蔽策略。为了不让系统发现恶意代码已经侵入系统,恶意代码可能会改名、删除源文件或者修改系统的安全策略来隐藏自己。
    ④潜伏。恶意代码侵入系统后,等待一定的条件,并具有足够的权限时,就发作并进行破坏活动。
    ⑤破坏。恶意代码的本质具有破坏性,其目的是造成信息丢失、泄密,破坏系统完整性等。
    ⑥重复①至⑤对新的目标实施攻击过程。恶意代码的攻击模型如下图所示。
  5. 简述恶意代码的生存技术是如何实现的。
    答:
    恶意代码生存技术通过以下 4 个方面实现:反跟踪技术、加密技术、模糊变换技术和自动生产技术。
    (1)反跟踪技术。恶意代码采用反跟踪技术可以提高自身的伪装能力和防破译能力,增加检测与清除恶意代码的难度。目前常用的反跟踪技术有两类:反动态跟踪技术和反静态分析技术。
    (2)加密技术。加密技术是恶意代码自我保护的一种手段,加密技术和反跟踪技术的配合使用,使得分析者无法正常调试和阅读恶意代码,不知道恶意代码的工作原理,也无法抽取特征串。从加密的内容上划分,加密手段分为信息加密、数据加密和程序代码加密三种。
    (3)模糊变换技术。利用模糊变换技术,恶意代码每感染一个客体对象时,潜入宿主程序的代码互不相同。同一种恶意代码具有多个不同样本,几乎没有稳定代码,采用基于特征的检测工具一般不能识别它们。随着这类恶意代码的增多,不但使得病毒检测和防御软件的编写变得更加困难,而且还会增加反病毒软件的误报率。
    (4)自动生产技术。恶意代码自动生产技术是针对人工分析技术的。“计算机病毒生成器 ”,使对计算机病毒一无所知的用户 ,也能组合出算法不同、功能各异的计算机病毒。“ 多态性发生器’可将普通病毒编译成复杂多变的多态性病毒。多态变换弓|擎可以使程序代码本身发生变化,并保持原有功能。
  6. 简述恶意代码如何实现攻击技术。
    答:常见的攻击技术包括:进程注入技术、三线程技术、端口复用技术、超级管理技术、端口反向连接技术和缓冲区溢出攻击技术。
    (1)进程注入技术。当前操作系统中都有系统服务和网络服务,它们都在系统启动时自动加载。进程注入技术就是将这些与服务相关的可执行代码作为载体,恶意代码程序将自身嵌入到这些可执行代码之中,实现自身隐藏和启动的目的。
    (2)三线程技术。在Windows操作系统中引入了线程的概念,一个进程可以同时拥有多个并发线程。三线程技术就是指一个恶意代码进程同时开启了三个线程,其中一个为主线程,负责远程控制的工作。另外两个辅助线程是监视线程和守护线程,监视线程负责检查恶意代码程序是否被删除或被停止自启动。
    (3)端口利用技术。端口复用技术,系指重复利用系统网络打开的端口(如25、 80、 135和 139等常用端口)传送数据,这样既可以欺骗防火墙,又可以少开新端口。端口复用是在(4)超级管理技术。一些恶意代码还具有 攻击反恶意代码软件的能力。为了对抗反恶意代码软件,恶意代码采用超级管理技术对反恶意代码软件系统进行拒绝服务攻击,使反恶意代码软件无法正常运行。
    (5)端口反向连接技术。防火墙对于外部网络进入内部网络的数据流有严格的访问控制策略,但对于从内网到外网的数据却疏于防范。端口反向连接技术,系指令恶意代码攻击的服务端(被控制端)主动连接客户端(控制端)
    (6)缓冲区溢出攻击技术。缓冲区溢出漏洞攻击占远程网络攻击的80%,这种攻击可以使一个匿名的Internet用户有机会获得一台主机的部分或全部的控制权,代表了一类严重的安全威胁。恶意代码利用系统和网络服务的安全漏洞植入并且执行攻击代码,攻击代码以一定的权限运行有缓冲区溢出漏洞的程序,从而获得被攻击主机的控制权。
  7. 简述恶意代码如何实现隐藏技术。
    答:
    隐藏通常包括本地隐藏和通信隐藏,其中本地隐藏主要有文件隐藏、进程隐藏、网络连接隐藏、内核模块隐藏、编译器隐藏等。网络隐藏主要包括通信内容隐藏和传输通道隐藏。
    本地隐蔽是指为了防止本地系统管理人员觉察而采取的隐蔽手段。隐蔽手段主要有三类:
    (1)一类方法是将恶意代码隐蔽(附着、捆绑或替换)在合法程序中,可以避过简单管理命令的检查;
    (2)另一类方法是如果恶意代码能够修改或替换相应的管理命令,也就是把相应管理命令恶意代码化,使相应的输出信息经过处理以后再显示给用户,就可以很容易地达到蒙骗管理人员,隐蔽恶意代码自身的目的;
    (3)还有一类方法是分析管理命令的检查执行机制,利用管理命令本身的弱点巧妙地避过管理命令,可以达到既不修改管理命令,又达到隐蔽的目的。从上述隐蔽方法看来,恶意代码植入的位置越靠近操作系统低层越不容易被检测出来,对系统安全构成的威胁也就越大。
    使用加密算法对所传输的内容进行加密能够隐蔽通信内容。隐蔽通信内容虽然可以保护通信内容,但无法隐蔽通信状态,因此传输信道的隐蔽也具有重要的意义。对传输信道的隐蔽主要采用隐蔽通道技术。隐蔽通道是允许进程违反系统安全策略传输信息的通道。
  8. 简述蠕虫的功能结构。
    答:网络蠕虫的功能模块可以分为主题功能模块和辅助功能模块。实现了主题功能模块的蠕虫能够完成复制传播流程, 而包含辅助功能模块的蠕虫则具有更强的生存能力和破坏能力。
  9. 简述目前恶意代码的防范方法。
    答:目前, 恶意代码防范方法主要分为两方面: 基于主机的恶意代码防范方法和基于网络的恶意代码防范方法。 基于主机的恶意代码防范方法主要包括: 基于特征的扫描技术、 校验和、沙箱技术和安全操作系统对恶意代码的防范, 等等; 基于网络的恶意代码防范方法包括: 恶意代码检测防御和恶意代码预警。其中常见的恶意代码检测防御包括:基于 GrIDS 的恶意代码检测、基于 PLD 硬件的检测防御、基于 HoneyPot 的检测防御和基于 CCDC 的检测防御。

计算机网络安全教程(第三版)第七章简答题答案相关推荐

  1. 计算机网络安全教程(第三版)第一章简答题答案

    第 1 章 网络安全概述与环境配置 网络攻击和防御分别包括哪些内容? 答: 攻击技术主要包括以下几个方面. (1)网络监听:自己不主动去攻击别人,而是在计算机上设置一个程序去监听目标计算机与其他计算机 ...

  2. 计算机网络安全教程第三版课后答案

    第1章 网络安全概述与环境配置 网络攻击和防御分别包括哪些内容? 答:攻击技术主要包括以下几个方面. (1)网络监听:自己不主动去攻击别人,而是在计算机上设置一个程序去监听目标计算机与其他计算机通信的 ...

  3. 计算机网络安全教程(第三版)第十章简答题答案

    第 10 章 防火墙与入侵检测 什么是防火墙?古时候的防火墙和目前通常说的防火墙有什么联系和区别? 答: 防火墙的本义原指古代人们的房屋之间修建的墙,这道墙可以防止火灾发生时蔓延到别的房屋.现今防火墙 ...

  4. 编译原理陈火旺第三版第七章课后题答案

    下面的答案仅供参考! 1. 给出下面表达式的逆波兰表示(后缀式): a*(-b+c)                               not A or not (C or not D) a ...

  5. 计算机操作员试题集2010版第七章,计算机系统操作师(中级)试题集(Office 2010版)...

    <计算机系统操作师(中级)试题集(Office 2010版)>依据<计算机操作员职业标准>编写,内容包括文字设置与编排.表格的基本操作.版面设置与图文混排.工作簿的基本操作.数 ...

  6. C++ Primer(第五版)第七章 类 部分答案

    第七章 类 练习7.2 练习7.3 练习7.4 练习7.6 练习7.7 练习7.9 练习7.14.7.15.7.22 练习7.23.7.24.7.26 练习7.27 练习7.2 曾在 2.6.2 节的 ...

  7. 计算机网络安全教程(第三版)第三章简答题答案

    第 3 章 网络安全编程基础 简述 Windows 操作系统的内部机制. 答: Windows 操作系统的内部机制如下: Windows 是一个"基于事件的,消息驱动的"操作系统. ...

  8. 编译原理陈火旺第三版第六章课后题答案

    下面的答案仅供参考! 1.按照表6.1所示的属性文法,构造表达式(4*7+1) *2的附注语法树. 答: 首先考虑最底最左边的内部结点,它对应于产生式F→digit,相应的语义规则为F. val: = ...

  9. 微机原理与接口技术[第三版]——第五章课后习题答案

    5. 1k×1--16k×8 (1)1位变8位,一组需要8个芯片.1k变16k,需要16组芯片,因此一共128芯片. (2)1k=,需要10位片内寻址. (3)16=,需要4位片选信号. 6. 4K× ...

最新文章

  1. 关于公示2019年度智源青年科学家征集评选结果的通知
  2. mysql 命令行导入sql脚本
  3. 两个同时comet matlab,Matlab讲义 - 图文
  4. 后台系统可扩展性学习笔记(十四)异步机制与MQ
  5. 系统分析师资料_软考 系统分析师考试通过总结
  6. python一个对象只能被一个变量引用吗_Python中的变量、对象、引用
  7. python微信开发入门_python tornado微信开发入门代码
  8. 解决/usr/bin/pip: No such file or directory
  9. sap系统登录时没有服务器,SAP登录到SAP系统
  10. linux dhcpv6有状态配置,翻译:IPv6地址自动配置:有状态和无状态的区别
  11. 【LDAP】centos搭建openldap
  12. 【APS】90张专业PPT学习高级计划与排程(APS)
  13. 不用无线网卡教你如何用台式机连接WiFi
  14. ESP8266天猫精灵接入流程
  15. 建模大佬都不会外传的角色手办制作流程
  16. 软件测试基础知识bbst,海盗派测试管理: RSTM.PDF
  17. 极限类题之积分上限的函数的极限
  18. Oracle读取数据库中表填充,Oracle数据库中查看所有表和字段以及表注释.字段注释...
  19. 【电路设计】AD中通过开窗来绘制不规则的焊盘
  20. 灰度图像的中值滤波取证

热门文章

  1. Tobii 眼动仪配置SDK-- 眼动仪开发入门(2)
  2. C语言malloc函数的功能及用法
  3. php 跨域 session,什么是跨域?session如何共享?PHP和Ajax跨域问题的解决方法 | IT小天博客个人技术博客...
  4. Java常用的文档注释
  5. HTML 访问本地 Markdown 文件
  6. Java多线程—守护线程
  7. VS_QT_4_Qt设计师
  8. oppo A8刷root OPPO A9 root安装面具magisk,TWRP下载PDBM00救砖教程PCAM10
  9. 计算机科学与技术考研调剂信息,中国科学技术大学计算机科学与技术学院2020考研调剂信息...
  10. calendar java 线程安全_SimpleDateFormat,Calendar 线程非安全的问题