《恶意代码基础与防范（微课版）》-章节习题及答案 第十章.docx

1.AIDC的特征码是（A）

A.42E8FF8ED82DCC

B.720450EB0790B44C

C.90EA59EC009090

D.0A954CB39347E160B4

2.以下哪个恶意代码检测技术是错误的（D）

特征码扫描技术

启发性扫描技术

完整性分析技术

特征码仿真分析技术

3.基于特征码扫描法的自动检测程序至少包括两部分：特征码和（B）

A.搜索引擎

B.扫描引擎

C.驱动引擎

D.监控引擎

4.要想成功防范越来越多的恶意代码，使用户免受恶意代码侵扰，需要从以下六个层面开展：检测、（C）、预防、免疫、数据备份及恢复

删除

消除

清除

解除

恶意代码的预防技术不包括哪个（D）

系统监控技术

个人防火墙技术

系统加固技术

系统预防技术

填空：

1.比较法是恶意代码诊断的重要方法之一?计算机安全工作者常用的比较法包括注册表比较法、文件比较法、内存比较法、中断比较法

2.病毒扫描软件由两部分组成?一部分是病毒库，含有经过特别选定的歌中恶意代码特征串?另一部分是扫描算法，负责在程序中查找这些特征串

3.从技术层面讲?数据备份策略主要包括完全备份、增量备份、差分备份

4、恶意代码的特性?针对性?欺骗性?变化性?

5、传染性和依附性是计算机病毒区别于其他恶意代码的本质特征

判断：

1、恶意代码的检测方法有，特征码方法;?基于程序完整性;?基于程序语义;?基于程序行为，（√）

2、恶意代码被检测之后的处理技术，只能进行恶意代码清除，（×）

3、预防恶意代码的首要措施是，切断恶意代码的传播途径，（√）

4、在分析一个可疑的恶意代码样本时，第一步最好是装入调试器，（×）

5、比较法是恶意代码诊断的重要方法之一，常用的方法有注册表比较法;?操作系统比较法;?内存比较法;?中断比较法，（×）

简答题：

说明恶意代码检测的基本原理，常用的检测方法有哪些？

答：

恶意代码检测方法，可以分为基于启发式的检测和基于特征的检测两大类。

基于启发式的检测方法，通过比较系统上层信息和取自内核的系统状态来识别隐藏的文件、进程及注册表信息.还有一些研究工作通过监控系统特定资源来识别恶意代码。

传统的特征检测，大多采用基于代码特征的检测方法，该方法从已有恶意代码样本中提取代码语法(syntactic)特征用于检测，此类特征通常精确匹配单一样本，恶意代码使用简单混淆方法即可绕过相应检测。

互联网时代对一些新恶意代码的防范技术有哪些？

答：

未知病毒主动防御技术

系统启动前杀毒技术

反Rootkit、Hook技术

虚拟机脱壳

内核级主动防御

3.简述目前恶意代码的防范方法

答：目前，恶意代码防范方法主要分为两方面：基于主机的恶意代码防范方法和基于网络的恶意代码防范方法。

4.简述研究恶意代码的必要性

答：在Internet安全事件中，恶意代码造成的经济损失占有最大的比例。与此同时，恶意代码成为信息战、网络战的重要手段。日益严重的恶意代码问题，不仅使企业及用户蒙受了巨大经济损失，而且使国家的安全面临着严重威胁。

5．?恶意代码是如何定义，可以分成哪几类？

经过存储介质和网络进行传播，从一台计算机系统到另外一台计算机系统，未经授权认证破坏计算机系统完整性的程序或代码。

它包括计算机病毒(ComputerVirus)、蠕虫(Worms)、特洛伊木马(TrojanHorse)、逻辑炸弹(LogicBombs)、病菌(Bacteria)、用户级RootKit、核心级RootKit、脚本恶意代码(MaliciousScripts)和恶意ActiveX控件等。

分析题

简要说明恶意代码的防范思路，并对数据备份及恢复进行具体分析。

答：防范需要从以下六个层次开展：检测，清除，预防，免疫，数据备份及恢复，防范策略。

数据备份及数据恢复是在清除技术无法满足需要的情况下而不得不采用的一种防范技术。数据备份及数据恢复的思路是：在检测出某个文件被感染了恶意代码后，不去试图清除其中的恶意代码使其恢复正常，而是直接用事先备份的正常文件覆盖被感染后的文件。数据备份及数据恢复中的数据的含义是多方面的，既指用户的数据文件，也指系统程序、关键数据（注册表）、常用应用程序等。

分析两种恶意代码的检测方法的区别。

恶意代码的检测方法有两类：手工检测和自动检测。

手工检测方法操作难度大并且技术复杂，它需要操作人员具有一定的软件分析经验及对操作系统有深入的了解；而自动检测方法操作简单使用方便，适合一般的计算机用户学习使用。但是自动检测方法不可能检测所有未知的恶意代码。在出现一种新型的恶意代码时，如果现有的各种检测工具无法检测这种恶意代码，则只能用手工方法进行恶意代