《恶意代码基础与防范（微课版）》-章节习题及答案 第七章.docx

第七章

一、判断（√/×）

1.蠕虫病毒以计算机为载体，以网络为攻击对象，不具有自身复制的功能 ×

2.蠕虫的传播无需用户操作，也不必通过“宿主“程序或文件 √

3.蠕虫病毒会使商业网络和整个Internet的速度减慢 √

4.蠕虫病毒自2005年底到今天依然排在病毒危害排行榜的首位 √

5.蠕虫的工作原理与病毒相似，但蠕虫没有感染文件阶段 ×

二、选择

1.下列计算机病毒不是蠕虫病毒的是（C）

A.冲击波B.震荡波C.CHID.尼姆达

2.下列不属于蠕虫病毒的是（A）

A.熊猫烧香B.特洛伊木马C.宏病毒

3．蠕虫和传统计算机病毒的区别主要体现在（D）上。

A.存在形式B.传染形式C.传染目标D.破坏方式

4．蠕虫的特征包括（ABCDEF）。（多选）

利用漏洞主动进行攻击

与黑客技术相结合

传染方式多

传染速度快

清楚难度大

破坏性强

5．蠕虫病毒由主程序和引导程序两部组成。而主程序中最重要的是传播模块，以下（D）不是传播模块的步骤。

A.扫描B.攻击C.复制D.破坏

三、填空

1.蠕虫和特洛伊木马的主要区别应该体现在破坏目的上。

2.“震网”攻击具有攻击目标明确、采用技术先进的特点。

3.蠕虫病毒的主程序中含有传播模块，传播模块的入侵可以分为扫描、攻击、复制3个步骤，以实现蠕虫病毒的主动入侵。

4.从编程的角度来看，蠕虫病毒由两部分组成：主程序、引导程序。

5.试举例一个蠕虫的可利用传播途径：文件、电子邮件，web服务器、web脚本、u盘和网络共享。（其一便可）

四、简答

根据攻击对象不同对蠕虫进行的分类，请分别进行概述。

（1）面向企业用户和局域网而言，这种病毒利用系统漏洞，主动进行攻击，可以对整个互联网可造成瘫痪性的后果。以“红色代码”、“尼姆达”以及最新的“SQL蠕虫王”为代表。

（2）针对个人用户的，通过网络（主要是电子邮件、恶意网页形式）迅速传播的蠕虫病毒，以爱虫病毒、求职信病毒为代表。

蠕虫病毒对用户安全威胁性更大，简要描述蠕虫的特征。

利用漏洞进行主动攻击：主要是“红色代码”和“尼姆达”，由于IE浏览器的漏洞，使得感染了病毒的邮件再不去手动打开附件的情况下就能激活病毒。

与黑客技术相结合：主要是“红色代码”，感染后计算机的web目录的scripts下将生成一个root,exe，可以远程执行任何命令，使黑客进入。

传染方式多：利用文件、电子邮件、wrb浏览器、web脚本、U盘、网络共享等等传播。

传播速度快：蠕虫病毒不仅能迅速传染局域网内所有计算机，还能通过远程工作站传播到千里之外。

清除难度大：由于网络中只要有一台工作站未能将病毒查杀干净就能造成整个网络瘫痪，甚至刚完成查杀工作的也会被感染

破坏性强：

蠕虫病毒破坏性巨大，论述蠕虫病毒有哪些危害？

在网络环境下，蠕虫可以按指数增长模式进行传染。它侵人计算机网络，可以导致计算机网络效率急剧下降、系统资源遭到严重破坏，短时间内造成网络系统的瘫痪，因此网络环境下蠕虫防治曾经是计算机防毒领域的研究重点。

简要概括RPC漏洞的基本原理

RPC中处理通过TCP/IP的消息交换的部分有一个漏洞。此问题是由错误地处理格式造成的。当存在RPC远程执行漏洞(MS08-067)的系统收到攻击者构造的RPC请求时，可能允许远程执行恶意代码，引起安装程序、查看或更改、删除数据或者是建立系统管理员权限的账户等,而无须通过认证。在Windows2000、WindowsXP和WindowsServer200系统中，利用这一漏洞，攻击者可以通过恶意构造的网络包直接发起攻击，无须通过认证地运行任意代码，并且获取完整的权限。

冲击波病毒的攻击行为有哪些？举例说明（至少3例）

冲击波运行时会将自身复制到window目录下,并命名为msblastexe。

冲击波运行时会在系统中建立一个名为BILLY的互斥量,目的是冲击波只保证在内存中有一份副本,为了避免用户发现。

冲击波运行时会在内存中建立一个名为msblastexe的进程,该进程就是活的病毒体。

五、论述

1、你认为蠕虫与特洛伊木马的主要区别体现在哪个方面，请举例说明

：蠕虫与特洛伊木马的主要区别体现在破坏目的上，与传统计算机病毒类似蠕虫破坏目的是纯粹的破坏，例如耗费网络资源，删除用户数据的。而木马目的是窃取，秘密的窃取用户信息。

2、蠕虫和普通病毒不同的是往往能够利用漏洞或者说缺陷，请分别举例说明软件上的缺陷和人为缺陷，你认为不同的对象更需要防范哪种缺陷？

：软件上的缺陷，如远程溢出，微软IE和outlook自动执行漏洞，需要软件厂商和用户共同配合不断地升级软件，而人为的漏洞