2025年信息系统安全专家恶意代码（病毒、蠕虫、木马）分析与防范专题试卷及解析.pdfVIP

2025年信息系统安全专家恶意代码（病毒、蠕虫、木马）分析与防范专题试卷及解析1

2025年信息系统安全专家恶意代码（病毒、蠕虫、木马）

分析与防范专题试卷及解析

2025年信息系统安全专家恶意代码（病毒、蠕虫、木马）分析与防范专题试卷及解

析

第一部分：单项选择题（共10题，每题2分）

1、以下哪种恶意代码需要依附于宿主程序才能传播和执行？

A、蠕虫

B、木马

C、病毒

D、勒索软件

【答案】C

【解析】正确答案是C。病毒的核心特征之一是寄生性，它必须嵌入到其他可执行

程序（宿主）中，当宿主程序运行时，病毒代码才会被执行。A选项蠕虫是独立的程序，

不需要宿主，可以利用网络漏洞主动传播。B选项木马通常伪装成合法软件诱骗用户执

行，但本身是独立程序，不感染其他文件。D选项勒索软件是一种恶意行为目的的分

类，其传播方式可以是病毒、蠕虫或木马，本身不是一种按传播方式分类的恶意代码类

型。知识点：恶意代码分类及基本特征。易错点：容易将木马和病毒混淆，关键区别在

于是否具有感染性（即是否需要宿主并复制自身到其他文件）。

2、著名的“震网”（Stuxnet）病毒主要利用了哪种技术来攻击工业控制系统？

A、社会工程学

B、零日漏洞

C、Rootkit技术

D、DDoS攻击

【答案】B

【解析】正确答案是B。震网病毒最显著的特点是利用了多个Windows系统的零日

漏洞（如LNK漏洞、打印机后台服务漏洞等）进行渗透和传播，其最终目标是攻击西

门子的WinCC系统，破坏伊朗的核设施。A选项社会工程学是诱骗用户执行恶意操作

的手段，并非震网的核心攻击技术。C选项Rootkit是用于隐藏自身的技术，震网确实

使用了Rootkit来躲避检测，但这不是其实现精准攻击的关键。D选项DDoS是分布式

拒绝服务攻击，旨在瘫痪网络服务，与震网的破坏物理设备的目标不同。知识点：高级

持续性威胁（APT）攻击技术。易错点：可能只关注到震网的破坏结果而忽略其复杂的

渗透链，零日漏洞是其突破防线的关键。

3、下列哪项是“木马”与“病毒”最本质的区别？

A、是否具有破坏性

2025年信息系统安全专家恶意代码（病毒、蠕虫、木马）分析与防范专题试卷及解析2

B、是否能够自我复制

C、是否需要用户交互

D、是否通过网络传播

【答案】B

【解析】正确答案是B。病毒最核心的特征是感染性，即通过自我复制将自身代码

嵌入到其他程序或文件中。木马则不具备自我复制能力，它通常伪装成有用的、无害的

程序诱骗用户下载并执行，一旦运行，就会为攻击者打开后门，进行窃密或远程控制。

A选项破坏性，两者都可能具有破坏性。C选项用户交互，病毒也可以在用户无感知的

情况下自动执行，而木马的核心就是诱骗用户交互。D选项网络传播，蠕虫更依赖网络

传播，病毒和木马都可以通过网络作为传播媒介。知识点：恶意代码核心特征区分。易

错点：将传播方式或是否需要用户交互作为本质区别，而忽略了“自我复制/感染”这一

病毒独有的根本属性。

4、为了躲避基于特征码的杀毒软件检测，恶意代码作者最常使用的技术是？

A、多态

B、加密

C、加壳

D、漏洞利用

【答案】A

【解析】正确答案是A。多态技术是指恶意代码在每次传播或感染时，都使用不同

的加密算法或密钥对其自身代码进行加密，并附加一个解密头。这样，每次生成的样本

体都不同，使得基于固定特征码的检测方法失效。B选项加密只是多态的一部分，单纯

的加密使用固定的解密算法，其解密头部分仍然可以作为特征码被检测。C选项加壳是

压缩或加密整个程序，虽然也能躲避一些检测，但脱壳后特征码依然存在，且加壳工具

本身也可能被识别。D选项漏洞利用是传播和提权的手段，与躲避检测无直接关系。知

识点：恶意代码对抗检测技术。易错点：混淆加壳与多态，多态是更高级、更动态的变

形技术，专门用于对抗特征码扫描。

5、蠕虫和病毒在传播方式上的主要区别在于？

A、蠕虫传播速度更快

B、蠕虫不需要人为干预

C、病毒不通过网络传播

D、蠕虫只感染服务器

【答案】B

【解析】正确答案是B。蠕虫是独立的程序，它能够主动利用网络漏洞（如系统服

务漏洞、弱口令等）进行传播，整个过程无需用户任何