《惡意代碼基礎(chǔ)與防范（微課版）》-章節(jié)習(xí)題及答案 第十章

1.AIDC的特征碼是（A）A.42E8FF8ED82DCCB.720450EB0790B44CC.90EA59EC009090D.0A954CB39347E160B42.以下哪個惡意代碼檢測技術(shù)是錯誤的（D）特征碼掃描技術(shù)啟發(fā)性掃描技術(shù)完整性分析技術(shù)特征碼仿真分析技術(shù)3.基于特征碼掃描法的自動檢測程序至少包括兩部分：特征碼和（B）A.搜索引擎B.掃描引擎C.驅(qū)動引擎D.監(jiān)控引擎4.要想成功防范越來越多的惡意代碼，使用戶免受惡意代碼侵?jǐn)_，需要從以下六個層面開展：檢測、（C）、預(yù)防、免疫、數(shù)據(jù)備份及恢復(fù)刪除消除清除解除惡意代碼的預(yù)防技術(shù)不包括哪個（D）系統(tǒng)監(jiān)控技術(shù)個人防火墻技術(shù)系統(tǒng)加固技術(shù)系統(tǒng)預(yù)防技術(shù)填空：

1.比較法是惡意代碼診斷的重要方法之一

計算機安全工作者常用的比較法包括注冊表比較法、文件比較法、內(nèi)存比較法、中斷比較法

2.病毒掃描軟件由兩部分組成

一部分是病毒庫，含有經(jīng)過特別選定的歌中惡意代碼特征串

另一部分是掃描算法，負(fù)責(zé)在程序中查找這些特征串

3.從技術(shù)層面講

數(shù)據(jù)備份策略主要包括完全備份、增量備份、差分備份

4、惡意代碼的特性

針對性

欺騙性

變化性

5、傳染性和依附性是計算機病毒區(qū)別于其他惡意代碼的本質(zhì)特征判斷：1、惡意代碼的檢測方法有，特征碼方法;

基于程序完整性;

基于程序語義;

基于程序行為，（√）2、惡意代碼被檢測之后的處理技術(shù)，只能進(jìn)行惡意代碼清除，（×）3、預(yù)防惡意代碼的首要措施是，切斷惡意代碼的傳播途徑，（√）4、在分析一個可疑的惡意代碼樣本時，第一步最好是裝入調(diào)試器，（×）5、比較法是惡意代碼診斷的重要方法之一，常用的方法有注冊表比較法;

操作系統(tǒng)比較法;

內(nèi)存比較法;

中斷比較法，（×）簡答題：說明惡意代碼檢測的基本原理，常用的檢測方法有哪些？答：惡意代碼檢測方法，可以分為基于啟發(fā)式的檢測和基于特征的檢測兩大類?；趩l(fā)式的檢測方法，通過比較系統(tǒng)上層信息和取自內(nèi)核的系統(tǒng)狀態(tài)來識別隱藏的文件、進(jìn)程及注冊表信息.還有一些研究工作通過監(jiān)控系統(tǒng)特定資源來識別惡意代碼。傳統(tǒng)的特征檢測，大多采用基于代碼特征的檢測方法，該方法從已有惡意代碼樣本中提取代碼語法(syntactic)特征用于檢測，此類特征通常精確匹配單一樣本，惡意代碼使用簡單混淆方法即可繞過相應(yīng)檢測?；ヂ?lián)網(wǎng)時代對一些新惡意代碼的防范技術(shù)有哪些？答：未知病毒主動防御技術(shù)系統(tǒng)啟動前殺毒技術(shù)反Rootkit、Hook技術(shù)虛擬機脫殼內(nèi)核級主動防御3.簡述目前惡意代碼的防范方法答：目前，惡意代碼防范方法主要分為兩方面：基于主機的惡意代碼防范方法和基于網(wǎng)絡(luò)的惡意代碼防范方法。4.簡述研究惡意代碼的必要性答：在Internet安全事件中，惡意代碼造成的經(jīng)濟損失占有最大的比例。與此同時，惡意代碼成為信息戰(zhàn)、網(wǎng)絡(luò)戰(zhàn)的重要手段。日益嚴(yán)重的惡意代碼問題，不僅使企業(yè)及用戶蒙受了巨大經(jīng)濟損失，而且使國家的安全面臨著嚴(yán)重威脅。5．

惡意代碼是如何定義，可以分成哪幾類？經(jīng)過存儲介質(zhì)和網(wǎng)絡(luò)進(jìn)行傳播，從一臺計算機系統(tǒng)到另外一臺計算機系統(tǒng)，未經(jīng)授權(quán)認(rèn)證破壞計算機系統(tǒng)完整性的程序或代碼。它包括計算機病毒(ComputerVirus)、蠕蟲(Worms)、特洛伊木馬(TrojanHorse)、邏輯炸彈(LogicBombs)、病菌(Bacteria)、用戶級RootKit、核心級RootKit、腳本惡意代碼(MaliciousScripts)和惡意ActiveX控件等。分析題

簡要說明惡意代碼的防范思路，并對數(shù)據(jù)備份及恢復(fù)進(jìn)行具體分析。

答：防范需要從以下六個層次開展：檢測，清除，預(yù)防，免疫，數(shù)據(jù)備份及恢復(fù)，防范策略。

數(shù)據(jù)備份及數(shù)據(jù)恢復(fù)是在清除技術(shù)無法滿足需要的情況下而不得不采用的一種防范技術(shù)。數(shù)據(jù)備份及數(shù)據(jù)恢復(fù)的思路是：在檢測出某個文件被感染了惡意代碼后，不去試圖清除其中的惡意代碼使其恢復(fù)正常，而是直接用事先備份的正常文件覆蓋被感染后的文件。數(shù)據(jù)備份及數(shù)據(jù)恢復(fù)中的數(shù)據(jù)的含義是多方面的，既指用戶的數(shù)據(jù)文件，也指系統(tǒng)程序、關(guān)鍵數(shù)據(jù)（注冊表）、常用應(yīng)用程序等。

分析兩種惡意代碼的檢測方法的區(qū)別。

惡意代碼的檢測方法有兩類：手工檢測和自動檢測。

手工檢測方法操作難度大并且技術(shù)復(fù)雜，它需要操作人員具有一定的軟件分析經(jīng)驗及對操作系統(tǒng)有深入的了解；而自動檢測方法操作簡單使用方便，適合一般的計算機用戶學(xué)習(xí)使用。但是自動檢測方法不可能檢測所有未知的惡意代碼。在出現(xiàn)一種新型的惡意代碼時，如果