《恶意代码基础与防范（微课版）》-章节习题及答案汇 张新江 第1-12章

恶意代码概述一、选择题下列不是各种恶意代码明显的共同特征的是？（C）。A、目的性 B、传播性 C、应用性 D、破坏性2、以下哪种程序不属于恶意代码？（A）。

A．widget

B．特洛伊木马

C．僵尸程序

D．网络蠕虫3、不是恶意代码流行特征的是（D）。A.通过网络传播 B.传染面越来越广 C.新恶意代码越来越多 D.感染WORD文件4、下面哪种方式可能导致感染恶意代码?（D）A、浏览网页 B、使用移动存储设备 C、收发邮件 D、以上都是5、恶意代码发作后的表现现象是？（D）A、无法启动系统 B、系统文件丢失 C、目录结构混乱 D、以上都是二．填空题计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。冯·诺依曼是现代计算机之父。Brain是第一个感染PC的恶意代码。首例破坏计算机硬件的病毒是CIH病毒。一个完整的木马系统由硬件部分、软件部分和具体连接部分组成。三、判断题1、恶意代码的定义是运行在目标计算机上，使系统按照攻击者意愿执行任务的一组指令。对2、蠕虫病毒最早出现在2010年6月，是世界上第一个包含PLCRootkit的计算机蠕虫。对3、普通计算机病毒主要包括文件型病毒以及综合型病毒。错恶意代码的扩散与传输媒体的变化没有太大的关系。错恶意代码的种类繁多，入侵后引发的异常现象也千奇百怪，因此不可能一一列举。对四、简答题1、计算机病毒的定义。（P1）答：计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。2、恶意代码3个明显的共同特征，并加以简单分析。（P3）答：1.目的性：目的性是恶意代码的基本特征，是判别一个程序或代码片段是否为恶意代码的最重要的特征，也是法律上判断恶意代码的标准。2.传播性：传播性是恶意代码体现其生命力的重要手段。3.破坏性：破坏性是恶意代码的表现手段。3、恶意代码的主要传播途径有哪些？（P14）答：软盘；光盘；硬盘；Internet；无线通信系统4、根据CARO命名规则，每一种恶意代码的命名包括哪5个部分？CARO规则有哪些附加内容？（P20）答：1（1）家族民（2）组名（3）大变种（4）小变种（5）修改者（1）不用地点命名。（2）不用公司或商标命名。（3）如果已经有了名称就不再另定义别名。（4）变种是子类。5、简述恶意代码当前的发展趋势。（P22）答：1.网络化发展2.专业化发展3.简单化发展4.多样化发展5.自动化发展6.犯罪化发展五、论述题1、恶意代码的概念和其3个明显的共同特征。恶意代码的定义描述为：恶意代码是在未被授权的情况下，以破坏软硬件设备、窃听用户信息、扰乱用户心理、干扰用户正常使用为目的而编制的软件或代码片段。这个定义涵盖的范围非常广泛，它包含了所有敌意、插入、干扰、讨厌的程序和源代码。一个软件被看作是恶意主要是依据创作者的意图，而不是恶意代码本身的特征。根据上述定义，恶意代码将包括计算机病毒、蠕虫、特洛伊、Rookit、间谍软件、恶意广告、流氓软件、逻辑炸弹、后门、僵尸网络、网络钓鱼、恶意脚本、垃圾信息、智能终端恶意代码等恶意或讨厌的软件及代码片段。恶意代码的3个明显的共同特征：1.目的性：目的性是恶意代码的基本特征，是判别一个程序或代码片段是否为恶意代码的最重要的特征，也是法律上判断恶意代码的标准。2传播性：传播性是恶意代码体现其生命力的重要手段。3破坏性：破坏性是恶意代码的表现手段。2、恶意代码的表现现象。恶意代码的表现现象分为三大类：发作前、发作时和发作后的表现现象。恶意代码发作前主要是以潜伏、传播为主，会用各种手段隐藏自己，并同时进行传播。表现出的现象为：陌生人发来的电子邮件、磁盘空间迅速减少、计算机突然死机、无法正常开机、运行速度变慢、部分软件出现内存不足、应用程序经常死机或非法错误、系统文件属性发生变化、无法对磁盘进行写操作、网络驱动器或共享目录无法调用。恶意代码发作时是满足发作条件，进行破坏行为。常见现象为：硬盘灯持续闪烁、无故播放音乐、不相干的提示、无故出现特定图像、突然出现算法游戏、改变Windows桌面图标、计算机突然死机或重启、自动发送电子文件、鼠标指针无故一点。恶意代码发作后后给计算机系统带来破坏性后果。主要表现后果为：无法启动系统、系统文件丢失或被破坏、部分BIOS程序混乱、部分文档丢失或被破坏、部分文档自动加密、目录结构出现混乱、网络无法提供正常服务、浏览器自动访问非法网络。一、填空题目前病毒采用的触发条件主要有：（1）日期触发（2）时间触发（3）键盘触发（4）感染触发（5）启动触发（6）访问磁盘次数触发（7）CPU型号/主板型号触发。传统计算机病毒一般由感染模块、触发模块、破坏模块和引导模块四大部分组成。关于恶意代码的预防理论体系，F.Cohen提出了（1）基本隔离模型（2）分隔模型（3）流模型（4）限制解释模型图灵机是基于有限状态自动机提出的，也就是说，在读写附加磁盘带的同时TM修改自己的实际状态。如果病毒在传播期间附加在可执行的文件上，那么称这种方式为直接的传播方式。如果病毒在传播期间附加在不可执行文件上，那么称这种方式为间接的传播模式。判断题任何一种输入导致破坏以及破坏的形式都与被感染的程序有关，与病毒本身无关。（×）计算机病毒的寄生方式有三种。（×）计算机病毒的传染方式基本可分为两大类。（√）计算机病毒寄生的目的是找机会执行引导模块。（√）传染是病毒的本质。（√）选择题（B）提出了基于图灵机模型的计算机病毒理论，该理论非常适合探讨病毒和现有计算机体系之间的关系。

A.Cohen

B.Ferenc

C.Adleman

D.Turing2、当病毒只能以专用计算机的传播方式进行传播时，该病毒便被称为（A）。

A.专用计算机的病毒

B.独立于计算机的病毒

C.专用操作系统的病毒

D.独立于操作系统的病毒

3、当病毒具有多形态传播方式，却很少使用多形态性时，该病毒被称为（C）。

A.多态型病毒

B.少态型病毒

C.不活跃的多态型病毒

D.不活跃的少态型病毒

4、以下哪个不属于计算机病毒的引导过程（D）。

A.驻留于内存中

B.窃取系统操作权

C.恢复系统功能

D.将病毒自身从一方传递到另一方

5、以下哪个不属于F.Cohen提出的“四模型”理论。（D）

A.基本隔离模型

B.分隔模型

C.限制解释模型

D

类IPM模型简单题1、计算机病毒的引导过程一般包括哪三个方面？（1）驻留在内存中；（2）窃取系统控制权；（3）恢复系统功能。2、F.Cohen提出的“四模型”理论中，“四模型”是指哪四个模型？（1）基本隔离模型；（2）分隔模型；（3）流模型；（4）限制解释模型。3、传统计算机病毒由哪四大模块组成？传统计算机病毒，一般由感染模块、触发模块、破坏模块和引导模块四大部分组成。4、感染的定义？感染是指计算机病毒由一个载体传播到另一个载体，由一个系统进入另一个系统的过程。5、文件型病毒通过与磁盘文件有关的操作进行传染，主要的传播途径有哪3个？（1）加载执行文件；（2）浏览目录过程；（3）创建文件过程。分析题或两个名词图灵机模型由哪几部分组成？（1）一条无限长的纸带TAPE。纸带被划分为一个接一个的小格子，每个格子上包含一个来自有限字母表的符号，字母表中有一个特殊的符号表示空白。纸带上的格子从左到右依此被编号为0,1,2,...，纸带的右端可以无限伸展。（2）一个读写头HEAD。该读写头可以在纸带上左右移动，它能读出当前所指的格子上的符号，并能改变当前格子上的符号。（3）一套控制规则TABLE。它根据当前机器所处的状态以及当前读写头所指的格子上的符号来确定读写头下一步的动作，并改变状态寄存器的值，令机器进入一个新的状态。（4）一个状态寄存器。它用来保存图灵机当前所处的状态。图灵机的所有可能状态的数目是有限的，并且有一个特殊的状态，称为停机状态。名词1、什么方式称为多形态的传播方式？当有两个程序区被同样的病毒一指令传播方式感染，并且病毒程序的代码顺序不同时。2、什么病毒被称为多态型病毒？当病毒具有多形态传播方式时。判断题新买回来的从未格式化的U盘可能会带有计算机病毒。（√）网络防火墙主要用于防止网络中的计算机病毒。（×）计算机病毒只会破坏磁盘上的数据和文件。（×）发现计算机病毒后，比较彻底的清除方式是格式化磁盘.（√）计算机病毒是一种具有自我复制功能的指令序列。（√）选择题1、宏病毒与普通病毒不同，他只感染（A）A、文档文件B、EXE文件C、COM文件D、NE文件2、最简单的可执行文件是（C）A、文档文件B、EXE文件C、COM文件D、NE文件3、COM文件是一种（B）文件，其执行文件代码和执行时内存映像完全相同A、多段执行结构B、单段执行结构C、双段执行结构D、半段执行结构4、Windows操作系统运行在保护模式，保护模式将指令执行分为（D）个特权级A、1B、2C、3D、45、为加载一个COM程序，DOS试图分配内存，因为COM程序必须位于一个（B）的段中，所以COM文件的大小不能超过65024BA、32B、64C、128D、256填空题计算机病毒是编制或者在计算机程序中插入的破坏_或者_，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。（计算机功能；破坏数据）计算机病毒的特征包括_、_、_、_、_。(传染性、破坏性、寄生性、隐蔽性、潜伏性)宏病毒的特点是_、_、_、地域性问题、版本问题、破坏可能性极大。（传播极快；制作方便；多平台交叉感染）在DOS操作系统时代，计算机病毒可以分成_和_两大类。(引导区病毒；可执行文件型病毒)特洛伊木马作为一种特殊的计算机病毒，其首要特征是_。(没有传染性)论述题1.请简述引导型病毒感染过程、在引导操作系统之前病毒的工作：（53页）参考答案：（1）过程：引导型病毒首先感染软盘的引导区，然后再蔓延至硬盘并感染硬盘的主引导记录，然后试图感染软驱中的软盘引导区；（2）病毒的工作：①减少系统可用最大内存量，以供自己使用②修改必要的中断向量，以便传播③读入病毒的其他部分，进行病毒的拼装。2.请简述什么是宏、宏病毒的特点：（73、74页）参考答案：（1）宏就是一些命令组织在一起，作为一个单独单元完成一个特定任务；（2）特点：①宏病毒不感染EXE文件和COM文件，也不需要通过引导区传播，只感染文档文件②传播快、制作方便，变种多、破坏可能性大③多平台交叉感染④存在地域性问题和版本问题。简答题1、什么是引导型病毒引导型病毒是感染软盘的引导区,然后蔓延至硬盘并感染硬盘的主引导记录或引导型病毒指寄生在磁盘引导区或主引导区的计算机病毒2、引导型病毒的工作过程由于病毒隐藏在软盘的第一扇区,使它可以在系统文件装入内存之前,先进入内存,从而获得对操作系统的完全控制,这就使它得以传播并造成危害。3、COM文件病毒的感染过程先将开始的3个字节保存在orgcode中，并将这3个字节更改为0E9H和COM文件的实际大小的二进制编码。然后在病毒的返回部分，将3个字节改为0E9H和表达式（当前地址－COM文件的实际大小+病毒代码大小）的二进制编码，以便在执行完病毒后转向执行原程序，最后将病毒写入原COM文件的后边。4、什么是PE文件及其功能PE（可移植的执行体）是Win32环境自身所带的可执行文件格式。它的一些特性继承自Unix的Coff文件格式。可移植的执行体意味着此文件格式是跨win32平台的，即使Windows运行在非Intel的CPU上，任何win32平台的PE装载器都能识别和使用该文件格式。5、简述宏病毒的特点传播极快，制作、变种方便，破坏可能性极大，多平台交叉感染，地域性问题，版本问题一、填空1、Linux脚本型恶意代码的核心语句（实现自我复制的语句）cp$0$file2、感染ELF文件的PLT表是利用了PLT在搜索库调用时的重要性3、原型病毒设计的大致思想是先把病毒体编译成目标文件4、病毒体程序实现可以分为4个模块、分别是初始化模块、程序头表处理模块、节头表处理模块以及收尾模块5、LKM内核模块属于ELF目标文件二、判断1.Shell恶意脚本是Linux系统下恶意代码的一种。（√）2.恶意代码的核心是能够自我复制，其核心语句是”forfilejin*”(×)(cp$0$file)3.Linux下的病毒种类有Lion蠕虫、跨Windows和Linux平台等病毒。（√）4．LinuxELF病毒原型主要由C语言编写，少部分无法由C语言来完成的底层操作采取GCC内嵌汇编的方式实现。（√）5.非ELF相关的的感染方法有覆盖式感染和追加式感染两类。（√）三、选择按照编制机理可以把Linux系统下的恶意代码分为(A)类。A、4 B、3 C、2 D、5LKM感染技术不包含的函数为（A）main()函数B、init_module()函数C、cleanup_module()函数D、creat_module（）函数用来修订文件中两个宏定义的bash脚本文件的是（A）get_patch.shinfector.cC、virus.cD、virus.h下列属于高级感染技术的是（A）A、PLT/GOT劫持实现B、覆盖式感染C、追加式感染D、数据段之后插入感染EFL是为工作在32位不同操作系统之间可移植的（A）文件格式。A、二进制B、八进制C、十进制D、十六进制四、简单1简单概述Linux系统下恶意代码的分类Shell恶意脚本，蠕虫，基于欺骗库函数恶意代码，与平台兼容的恶意代码2利用ELF格式的感染方法有哪些文本段之后填充，数据段以后插入感染，文本段之前插入感染，利用函数对齐填充区感染，利用NOTE段或者扩展.note节3ELF文档包含哪3个部分目标文件，程序装载和动态链接，c语言库4无关ELF格式的感染方法有哪些覆盖式感染，追加式感染，扩展注释节5plt实现重定向的算法具体描述是？将文本段改为可写权限，保存plt入口点，使用新的库调用地址替代原入口，对新的库调用中代码的修改实现新的库调用的功能，保存原来的plt入口，调用原来的库调用五、论述问：ElF格式文件的感染类型及原理分析无关ELF格式的感染方法覆盖式感染：有些病毒会强行覆盖执行程序的某一部分，将自身嵌入其中，以达到不改变被感染文件长度的目的，被这样的病毒覆盖掉的代码无法复原，从而这种病是无法被安全杀除的。2.追加式感染：将病毒体直接追加到宿主文件中，或者将宿主追加到病毒体之后，并不存在覆盖宿主文件的行为，从而宿主文件被感染成单纯的病毒体和原宿主文件的合体，在病毒文件执行后将控制权还给宿主。利用ELF格式的感染方法文本段之后填充：这种方法式利用在可以提供合适的承载空间的文本段的末尾进行页面填充的方法。数据段之后插入感染：在数据段默认可执行的UNIX系统中，通过扩展数据段包含进插入的寄生代码来感染文件。文本段之前插入感染：新的文本段病毒感染方法式将文本段向低地址扩展，并且使病毒代码在扩展的空间内执行。利用函数对齐填充区感染：由于函数填充区一般较小，需要将病毒分割成几个段，修改每段的最后部分，添加跳转语句，将病毒各个段分别放进不同的函数填充区中。利用NOTE段或者扩展.note节：高级感染技术LKM感染技术：LKM具有相对灵活的使用方式和强大功能，可以被动态地加载，而不需要重新编译内核。对于病毒而言有很多好处，隐藏文件和进程等但是使用LKM式比较麻烦的，需要较高的技术要求。2.PLT/GOT劫持实现：感染ELF文件表式利用了PLT在搜索库调用时的重要性，可以修改相关代码来跳转到自己定义的感染代码中，取代原来的库调用，实现斌单病毒传染。通多感染可执行文件并修改PLT表导致共享库重定向来实现病毒，并且在取代之前保存原来的GOT状态，可以在执行完病毒代码后重新调用回复原来的库调用。填空题一个完整的木马系统由硬件部分、软件部分和具体链接部分组成。综合现在流行的木马程序，他们都有欺骗性、隐蔽性、自动运行性、自动恢复功能、功能的特殊性这几个基本特征。木马有远程控制型木马、发送密码型木马、键盘记录型木马、毁坏型木马、FTP型木马。木马程序的攻击方式是通过Client端程序向Server端程序发送指令，Server端接收到控制指令后，根据指令内容在本地执行相关程序段，然后把程序结果返回给Client端。反弹式木马使用的是系统信任的端口，系统就会认为木马是普通应用程序，而不对其连接进行检查。二、选择题下列哪项不属于木马程序的特征（C）A、欺骗性 B、隐蔽性 C、完整性 D、自动运行性2、下列关于特洛伊木马病毒的叙述中，正确的有（A） A、木马病毒能够盗取用户信息 B、木马病毒伪装成不合法软件进行传播 C、木马病毒运行时会在任务栏产生一个图标 D、木马病毒不会自动运行3、以下哪项是著名特洛伊木马“网络神偷”采用的隐藏技术（B） A、ICMP协议技术 B、反弹式木马技术 C、远程线程技术 D、隐藏端口技术4、下列（D）不是常用程序的默认端口。 A、21 B、80 C、23 D、80805、关于特洛伊木马的植入方法，下列说法不正确的是（B）邮件植入 B、系统生成 C、文件下载 D、IM植入三、判断题1、特洛伊木马发展的第二阶段出现了基于ICMP协议的木马。（×）2、特洛伊木马是一种特殊的程序，能配合远程计算机被其利用通过网络在远端控制用户计算机。（√）3、木马是一种计算机病毒。（√）4、特洛伊木马具有隐蔽性和稳定性的特点。（×）5、一台计算机中了特洛伊木马病毒后，可能会发生数据丢失，被破坏的情况。（√）四、简答题1、简述特洛伊木马病毒的特点答：1、隐蔽性。2、自动运行性。3、欺骗性。4、顽固性。5、易植入性。2、简述特洛伊木马功能答：1、窃取用户文件。2、接受木马释放者的指令。3、篡改文件和数据。4、删除文件和数据。5、施放病毒。6、使系统自毁。3、简述木马的防范策略答：1、不执行来历不明的软件2、不随便打开邮件附件3、重新选择新的客户端软件4、尽量少用或不用共享文件夹5、实时监控4、简单说说木马的种类有哪些？答：1、破坏型2、密码发送型3、远程访问型4、键盘记录木马5、Dos攻击木马6、代理木马7、FTP木马8、程序杀手木马9、反弹端口型木马5、简述木马病毒的启动方式答：1、通过“开始\程序\启动”2、通过Win.ini文件3、通过注册表启动通过：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce等等4、通过Autoexec.bat文件，或winstart.bat，config.sys文件5、通过System.ini文件6、通过某特定程序或文件启动五、论述题 1、公司最近要求小王出一期有关特洛伊木马病毒的研讨会，小王正在发愁如何叙述特洛伊木马病毒的工作流程，你能帮他说一下吗？如果你中了特洛伊木马病毒，作为信安的学生谈谈你如何将其查杀。答:端口扫描、查看连接、检查注册表、查找文件、杀病毒文件、系统文件检查器，结合以上内容可自行发挥。选择1.下列不是早期手机环境的弱点的是（）系统相对封闭创作空间狭窄病毒威胁较多数据格式单调答案：C2.Cabir系列病毒式什么类型的病毒（）蠕虫病毒木马病毒脚本病毒宏病毒答案：A3.防止设备免受或少受安全威胁的主要防范措施有（）随便下载文件注意来电信息打开无线连接不进行系统升级答案：B4.下列不是移动终端恶意代码攻击方式的是（）消息攻击攻击网关木马型恶意代码直接攻击手机答案：A5.VBS.Timofonica病毒感染短信平台后，通过短信平台向用户发送垃圾信息或广告。其传播途径是（）终端-终端终端-网关-终端PC（计算机）-终端终端-网关-PC（计算机）-终端答案：B填空移动终端恶意代码主要通过（终端-终端）、（终端-网关-终端）、（PC<计算机>-终端）的途径进行攻击。移动终端恶意代码以移动终端为感染对象，以（无线通信网络）和（计算机网络）为平台，通过发送恶意短信等形式，对终端设备进行攻击，从而造成设备状态异常。从攻击对象看，移动终端恶意代码可分为短信攻击、直接攻击手机、（攻击网关）、（攻击漏洞）和（木马型恶意代码）五种类型。Android由（操作系统）、（中间件）和（应用程序）组成，是首个为（移动终端）打造的真正开放和完整的移动软件。根据功能不同，移动终端主要包括（手机）和（PDA）两大类。判断不具备审计能力是移动端操作系统的弱点之一（T）目前，移动终端恶意代码主要通过几种途径进行攻击：终端-终端、终端-网关-终端、终端-PC（F）原因：最后一个应该是PC-终端移动终端恶意代码的攻击方式有：短信攻击、直接攻击手机、攻击网关、攻击漏洞、木马型恶意代码。（T）目前为止，曾经被恶意代码利用的漏洞有：特殊字符漏洞、vCard漏洞、Simens的“%String”漏洞、ios浏览器漏洞（F）原因：最后一个应为Android浏览器漏洞迄今为止，移动终端恶意代码没有明确的定义（T）简答简述移动终端的基本概念？移动终端或者叫移动通信终端是指可以在移动中使用的计算机设备包括手机、笔记本、平板电脑、POS机甚至包括车载电脑手机操作系统的弱点？不支持任意的访问控制。不具备审计能力。缺少通过使用身份标识符或者身份认证进行重用控制的能力。不对数据完整性进行保护。移动终端设备的漏洞？PDU格式漏洞特殊字符漏洞vCard漏洞Siemens的“%String”漏洞Android浏览器漏洞移动终端恶意代码的攻击方式短信攻击直接攻击手机攻击网关攻击漏洞木马型恶意代码移动终端恶意代码传播途径终端-终端终端-网关-终端PC-终端分析1.请分析Cabir系列病毒作用机制Cabir是一个使用蓝牙传播的蠕虫，运行于支持60系列平台的Symbian手机。其首先通过蓝牙连接复制，作为包含蠕虫的caribe.sis文件到达手机收件箱，当用户点击并选择caribe.sis时，蠕虫激活并开始通过蓝牙寻找新的手机进行感染，当Cabir蠕虫发现另一个蓝牙手机时，它将开始向其发送感染SIS文件并锁定这个手机，以至于即使目标离开范围时它也不会寻找其他手机。2.请分析移动终端操作系统的弱点移动终端操作系统的弱点主要体现在以下几个方面：①不支持任意的访问控制，也就是说，它不能区分一个用户同另一个用户的个人私密数据。②不具备审计能力。③缺少通过身份标识符或者身份认证进行重用控制的能力。④不对数据完整性进行保护。⑤即使部分系统有密码保护，恶意用户仍然可以使用调试模式轻易得到他人的密码，或者使用PlamCrypt这样简单的工具得到密码。⑥在密码锁定的情况下，移动终端操作系统仍然允许安装新的应用程序。第七章一、判断（√/×）1.蠕虫病毒以计算机为载体，以网络为攻击对象，不具有自身复制的功能 ×2.蠕虫的传播无需用户操作，也不必通过“宿主“程序或文件 √3.蠕虫病毒会使商业网络和整个Internet的速度减慢 √4.蠕虫病毒自2005年底到今天依然排在病毒危害排行榜的首位 √5.蠕虫的工作原理与病毒相似，但蠕虫没有感染文件阶段 ×二、选择1.下列计算机病毒不是蠕虫病毒的是（C）A.冲击波B.震荡波C.CHID.尼姆达2.下列不属于蠕虫病毒的是（A）A.熊猫烧香B.特洛伊木马C.宏病毒3．蠕虫和传统计算机病毒的区别主要体现在（D）上。A.存在形式B.传染形式C.传染目标D.破坏方式4．蠕虫的特征包括（ABCDEF）。（多选）利用漏洞主动进行攻击与黑客技术相结合传染方式多传染速度快清楚难度大破坏性强5．蠕虫病毒由主程序和引导程序两部组成。而主程序中最重要的是传播模块，以下（D）不是传播模块的步骤。A.扫描B.攻击C.复制D.破坏三、填空1.蠕虫和特洛伊木马的主要区别应该体现在破坏目的上。2.“震网”攻击具有攻击目标明确、采用技术先进的特点。3.蠕虫病毒的主程序中含有传播模块，传播模块的入侵可以分为扫描、攻击、复制3个步骤，以实现蠕虫病毒的主动入侵。4.从编程的角度来看，蠕虫病毒由两部分组成：主程序、引导程序。5.试举例一个蠕虫的可利用传播途径：文件、电子邮件，web服务器、web脚本、u盘和网络共享。（其一便可）四、简答根据攻击对象不同对蠕虫进行的分类，请分别进行概述。（1）面向企业用户和局域网而言，这种病毒利用系统漏洞，主动进行攻击，可以对整个互联网可造成瘫痪性的后果。以“红色代码”、“尼姆达”以及最新的“SQL蠕虫王”为代表。（2）针对个人用户的，通过网络（主要是电子邮件、恶意网页形式）迅速传播的蠕虫病毒，以爱虫病毒、求职信病毒为代表。蠕虫病毒对用户安全威胁性更大，简要描述蠕虫的特征。利用漏洞进行主动攻击：主要是“红色代码”和“尼姆达”，由于IE浏览器的漏洞，使得感染了病毒的邮件再不去手动打开附件的情况下就能激活病毒。与黑客技术相结合：主要是“红色代码”，感染后计算机的web目录的scripts下将生成一个root,exe，可以远程执行任何命令，使黑客进入。传染方式多：利用文件、电子邮件、wrb浏览器、web脚本、U盘、网络共享等等传播。传播速度快：蠕虫病毒不仅能迅速传染局域网内所有计算机，还能通过远程工作站传播到千里之外。清除难度大：由于网络中只要有一台工作站未能将病毒查杀干净就能造成整个网络瘫痪，甚至刚完成查杀工作的也会被感染破坏性强：蠕虫病毒破坏性巨大，论述蠕虫病毒有哪些危害？在网络环境下，蠕虫可以按指数增长模式进行传染。它侵人计算机网络，可以导致计算机网络效率急剧下降、系统资源遭到严重破坏，短时间内造成网络系统的瘫痪，因此网络环境下蠕虫防治曾经是计算机防毒领域的研究重点。简要概括RPC漏洞的基本原理RPC中处理通过TCP/IP的消息交换的部分有一个漏洞。此问题是由错误地处理格式造成的。当存在RPC远程执行漏洞(MS08-067)的系统收到攻击者构造的RPC请求时，可能允许远程执行恶意代码，引起安装程序、查看或更改、删除数据或者是建立系统管理员权限的账户等,而无须通过认证。在Windows2000、WindowsXP和WindowsServer200系统中，利用这一漏洞，攻击者可以通过恶意构造的网络包直接发起攻击，无须通过认证地运行任意代码，并且获取完整的权限。冲击波病毒的攻击行为有哪些？举例说明（至少3例）冲击波运行时会将自身复制到window目录下,并命名为msblastexe。冲击波运行时会在系统中建立一个名为BILLY的互斥量,目的是冲击波只保证在内存中有一份副本,为了避免用户发现。冲击波运行时会在内存中建立一个名为msblastexe的进程,该进程就是活的病毒体。五、论述1、你认为蠕虫与特洛伊木马的主要区别体现在哪个方面，请举例说明：蠕虫与特洛伊木马的主要区别体现在破坏目的上，与传统计算机病毒类似蠕虫破坏目的是纯粹的破坏，例如耗费网络资源，删除用户数据的。而木马目的是窃取，秘密的窃取用户信息。2、蠕虫和普通病毒不同的是往往能够利用漏洞或者说缺陷，请分别举例说明软件上的缺陷和人为缺陷，你认为不同的对象更需要防范哪种缺陷？：软件上的缺陷，如远程溢出，微软IE和outlook自动执行漏洞，需要软件厂商和用户共同配合不断地升级软件，而人为的漏洞主要是指计算机用户的疏忽，这就是所谓的社会工程学，当收到一封带着病毒的求职信邮件是大多数人都会抱着好奇去点击。对于企业用户来说，威胁主要集中在服务器和大型应用软件安全上，而对个人用户而言，主要防范第二种缺陷填空题勒索软件是典型的勒索型恶意代码，通过______、_______甚至采用_______等方式，使用户数据资产或计算机资源无法正常使用，并以此为条件想用户勒索钱财。勒索攻击一般分为三个阶段，其中包括_______、_______、_______。勒索型恶意代码的传播方式多种多样，分别为（1）______、（2）_______、（3）______、（4）_______、（5）_______、（6）_______、（7）_______、（8）______、（9）______。WananCry勒索型恶意代码的执行流程为（1）_______、（2）_______、（3）_______、（4）_______。防范与应对策略有（1）_______、（2）________、（3）_______、（4）_______、（5）_______。参考答案：骚扰恐吓绑架用户文件传播感染阶段本地攻击阶段勒索支付阶段钓鱼邮件水坑攻击漏洞攻击捆绑传播僵尸网络传播可移动存储介质文件共享网站传播网页挂载传播社交网络传播初始感染和扩散准备勒索代码加密流程加密文件增强安全意识备份重要文件网络流量的检测网络隔离措施更新软件和安装补丁二、判断题1.勒索软件有两种形势，数据加密和限制访问。（ ）2.勒索攻击一般分为3个阶段，即传播感染阶段，本地攻击阶段，勒索支付阶段。 （ ）3.当计算机系统被勒索型恶意代码感染并被加密后，数据恢复的难度和恶意代码采用的加密算法及加密方式无相关的. （ ）4.如果勒索型代码通过加密的Web服务传播，就能绕过传统的防护手段。（ ）5.在加密过程中，算法对于每个文件都使用相同的攻击向量.（ ），参考答案：1.√2.√3.╳4.√5.√

三、3到选择题1.·勒索型恶意代码总共有（B）个攻击阶段A.2 B.3 C.4 D.52.最早的勒索型恶意代码出现在（D）A.1978 B.1979 C.1988 D.19893.以下哪个勒索型病毒出现在2015年（D）A.HandesLocker B.Zepto C.Prtya D.Hidden-Tear4.以下哪个选项不是防范与应对勒索型病毒的方法（D）

A.备份重要文件 B.慎重下载 C.更新软件和安装补丁 D.关闭防火墙5.从技术上讲，勒索型恶意代码不包括的模块有（A）模块A.补丁下载 B.勒索 C.蠕虫 D.漏洞利用

四、解答题勒索病毒软件有哪些形式，请简单描述。答：有数据集加密和限制访问两种形式。数据加密将受害者机器上的数据加密，承诺缴纳赎金后恢复数据。限制访问是阻挠受害者访问设备，向受害者索要赎金。列出四种勒索型恶意代码最常见的攻击方式，并简单解释。钓鱼邮件。邮件中加入目标用户的信息增加可行度，邮件附件中添加恶意宏代码攻击。网站挂载传播。勒索软件挂载到网站上，不小心访问，软件自动下载并安装运行。漏洞攻击。利用服务器漏洞来攻击服务器文件加密等操作。捆绑传播。与软件捆绑，利用软件的传播去扩散勒索型恶意代码。勒索型恶意代码的加密算法大多数使用的是什么，这么加密对它有什么好处。答：大多数使用的是AES算法，接着是RSA算法等，这些加密算法都是标准型算法，对勒索病毒来说，保证了它加密的文件难以被破解。我们如何防范勒索病毒以及有什么应对措施？增强安全意识，使用防护工具安装杀毒软件，及时打补丁，同时慎重下载。积极备份好重要数据，还有注重备份恢复能力。

五、分析题/名词解释分析：与其他恶意代码相比，试分析勒索型恶意代码的特性。答：传播方式多样化，攻击平台多样化，本地攻击多变，支付方式隐秘。名词解释：试解释什么是勒索型恶意代码？答：勒索型恶意代码是一种以勒索为目的的恶意软件——黑客使用技术手段劫持用户设备或数据资产，并以此为条件向用户勒索钱财的一种恶意攻击手段。一、选择题下列哪些是流氓软件的特征（D）带有捆绑软件的行为，下载它一个，安装它全家或者捆绑安装其他利益相关的软件。修改电脑注册表。劫持浏览器，篡改浏览器主页。以上都是电子邮件是网民的重要交流途径，以下防范措施错误的是（C）不要轻易打开陌生人来信中的附件文件。将系统的网络连接安全级别至少设置为“中等”以上。随意点击陌生邮件中的链接去掉Windows脚本执行功能以下不属于脚本病毒的基本类型的是（B）JavaScript脚本文件Txt文本文件PHP脚本文件VBScript脚本文件以下关于Rootkit说法不正确的是（A）为了防范Rootkit的危害，要在网络上使用明文传输口令。常见的rootkit定义是一种恶意软件程序，它使网络犯罪分子能够在不被检测到的情况下访问和渗透计算机中的数据。大部分Rootkit是针对Linux和SunOS两类操作系统的。一个典型的Rootkit包括如下一些独立的程序：网络嗅探工具、特洛伊木马程序、隐藏攻击者的目录和进程的程序、日志清理工具、FIX程序。高级持续威胁（APT）是利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。下列属于APT的特征的是（C）持续性、普遍性专一性、持续性高级性、持续性专一性、安全性二、判断题。ATP攻击具有持续潜伏，持续攻击，持续欺骗，持续控制的特点。（√）Rootkit是攻击者用来隐藏自己踪迹和保留root访问权限的工具。（√）僵尸网络是被黑客集中控制的计算机群。 （√）流氓软件易卸载，对计算机影响不大。 （×）ATP攻击的主要特征包括持续性和独立性。 （×）三、填空题僵尸网络的主要特征是______、______和一对多控制。（分布性、恶意传播）Rootkit是攻击者用来______和______的工具。（隐藏自己踪迹、保留root访问权限）流氓软件的主要特征：_____、_____、干扰正常使用和具有恶意代码和黑客特征。（强迫性安装、无法卸载或卸载困难）高级持续性威胁是利用先进的攻击手段对特定目标进行_____网络攻击的攻击形式。（、长期持续性）APT的主要特征是____、_____。（高级性、持续性）四、简答题1.什么是流氓软件？（1）采用多种社会和技术手段,强行或者秘密安装，并抵制卸载。（2）强行修改软件设置，如浏览器主页、软件自动启动选项及安全选项等。（3）强行弹出广告，或者其他干扰用户、占用系统资派行为。（4）有侵害用户信息和财产安金的潜在因素或者隐患。（5）未经许可,或者利用用户疏忽或缺乏相关知识，秘密收集用户个人信息、秘密和隐私。2.僵尸网络有哪些特点？（1）分布性。僵尸网络是一个具有一定分布性的、逻辑的网络，它不具有物理拓扑结构。随着Bot程序的不断传播而不断有新的僵尸计算机添加到这个网络中来。（2）恶意传播。僵尸网络是采用了一定的恶意传播手段形成的，如主动漏洞攻击、恶意邮件等各种传播手段，都可以用来进行Bot程序的传播。（3）一对多控制。Botnet的最主要的特点就是可以一对多地进行控制，传达命令并技行相同的恶意行为，如DDoS攻击等。这种一对多的控制关系使得攻击者能够以低廳的代价高效地控制大量的资源为其服务，这也是Botnet攻击受到黑客青睐的根本原因。3.流氓软件有哪些特征？①强迫性安装（1）不经用户许可自动安装。（2）不给出明显提示，欺骗用户安装。（3）反复提示安装，使用户不胜其烦而不得不安装等。②无法卸载或卸载困难1）正常手段无法印载。2）无法完全卸载。3）不提供卸载程序，或者提供的卸载程序不能用等。③干扰扰正常使用1）频繁弹出广告窗口。2）引导使用某功能等。④具有恶意代码和黑客特征1）窃取信息。2）耗费计算机资源等。4.APT的攻击过程有哪些阶段？第一阶段：定向搜息收集。第二阶段：单点攻击突破。第三阶段：构建通道。第四阶段：横向渗透。第五阶段：目标行动。ATP特征中都有那两个性能？并选一个来介绍。高级性和持续性。ATP攻击的方式相对于其他攻击形式更为高级。其高级性主要体现在3个方面。（1）高级的收集手段。APT在发动攻击之前需要对攻击对象的业务流程和目标系线进行精确的收集。在此收集的过程中，此攻击会主动挖掘被攻击对象受信系统和应用程序的漏洞，利用这些漏洞组建攻击者所需的网络，并利用0day漏洞进行攻击。（2）威胁高级的数据。APT是黑客以窃取核心资料为目的，针对客户所发动的网络攻击和侵袭行为，是一种著谋已久的“恶意商业间谍威胁”。这种行为往往经过长期的经营与策划,并具备高度的隐廠性。（3）高级的攻击手法。APT的特征之一在于隐匿自己，针对特定对象长期、有计划性和组织性地窃取数据，这种发生在数字空问的偷窃资料、搜集情报的行为，就是一种“网络间谍”的行为。五、论述题1.对于流氓软件请举例分析其特征答：在下载某官方软件后，没有任何提示在操作者未知的情况下安装了某软件，然后电脑不断弹出广告窗口，无法关闭，且不知道是什么软件导致，后卸载官方软件后，仍无法解决广告弹窗问题。特征：没有任何提示在操作者未知的情况下安装了某软件体现了流氓软件的强迫性安装；广告弹窗且无法关闭体现了干扰正常使用的特征；卸载官方软件后无法解决体现了无法卸载或卸载困难的特征。2.Bagle是世界上第一个僵尸网络之一，感染了超过20万台电脑的蠕虫，当这种蠕虫感染足够的计算机之后，他们会在每个计算机中自动安装看不见的电子邮件代理服务器，并通过这些计算机发送垃圾电子邮件。请分析其危害。答：发送了大量垃圾邮件滥用资源，需要消耗大量网络资源，使用户网络性能受到影响，甚至带来经济损失；会在被感染的计算机中安装电子邮件代理服务器，使得发送者可以很好的隐藏自身的IP信息，无法溯源。1.AIDC的特征码是（A）A.42E8FF8ED82DCCB.720450EB0790B44CC.90EA59EC009090D.0A954CB39347E160B42.以下哪个恶意代码检测技术是错误的（D）特征码扫描技术启发性扫描技术完整性分析技术特征码仿真分析技术3.基于特征码扫描法的自动检测程序至少包括两部分：特征码和（B）A.搜索引擎B.扫描引擎C.驱动引擎D.监控引擎4.要想成功防范越来越多的恶意代码，使用户免受恶意代码侵扰，需要从以下六个层面开展：检测、（C）、预防、免疫、数据备份及恢复删除消除清除解除恶意代码的预防技术不包括哪个（D）系统监控技术个人防火墙技术系统加固技术系统预防技术填空：

1.比较法是恶意代码诊断的重要方法之一

计算机安全工作者常用的比较法包括注册表比较法、文件比较法、内存比较法、中断比较法

2.病毒扫描软件由两部分组成

一部分是病毒库，含有经过特别选定的歌中恶意代码特征串

另一部分是扫描算法，负责在程序中查找这些特征串

3.从技术层面讲

数据备份策略主要包括完全备份、增量备份、差分备份

4、恶意代码的特性

针对性

欺骗性

变化性

5、传染性和依附性是计算机病毒区别于其他恶意代码的本质特征判断：1、恶意代码的检测方法有，特征码方法;

基于程序完整性;

基于程序语义;

基于程序行为，（√）2、恶意代码被检测之后的处理技术，只能进行恶意代码清除，（×）3、预防恶意代码的首要措施是，切断恶意代码的传播途径，（√）4、在分析一个可疑的恶意代码样本时，第一步最好是装入调试器，（×）5、比较法是恶意代码诊断的重要方法之一，常用的方法有注册表比较法;

操作系统比较法;

内存比较法;

中断比较法，（×）简答题：说明恶意代码检测的基本原理，常用的检测方法有哪些？答：恶意代码检测方法，可以分为基于启发式的检测和基于特征的检测两大类。基于启发式的检测方法，通过比较系统上层信息和取自内核的系统状态来识别隐藏的文件、进程及注册表信息.还有一些研究工作通过监控系统特定资源来识别恶意代码。传统的特征检测，大多采用基于代码特征的检测方法，该方法从已有恶意代码样本中提取代码语法(syntactic)特征用于检测，此类特征通常精确匹配单一样本，恶意代码使用简单混淆方法即可绕过相应检测。互联网时代对一些新恶意代码的防范技术有哪些？答：未知病毒主动防御技术系统启动前杀毒技术反Rootkit、Hook技术虚拟机脱壳内核级主动防御3.简述目前恶意代码的防范方法答：目前，恶意代码防范方法主要分为两方面：基于主机的恶意代码防范方法和基于网络的恶意代码防范方法。4.简述研究恶意代码的必要性答：在Internet安全事件中，恶意代码造成的经济损失占有最大的比例。与此同时，恶意代码成为信息战、网络战的重要手段。日益严重的恶意代码问题，不仅使企业及用户蒙受了巨大经济损失，而且使国家的安全面临着严重威胁。5．

恶意代码是如何定义，可以分成哪几类？经过存储介质和网络进行传播，从一台计算机系统到另外一台计算机系统，未经授权认证破坏计算机系统完整性的程序或代码。它包括计算机病毒(ComputerVirus)、蠕虫(Worms)、特洛伊木马(TrojanHorse)、逻辑炸弹(LogicBombs)、病菌(Bacteria)、用户级RootKit、核心级RootKit、脚本恶意代码(MaliciousScripts)和恶意ActiveX控件等。分析题

简要说明恶意代码的防范思路，并对数据备份及恢复进行具体分析。

答：防范需要从以下六个层次开展：检测，清除，预防，免疫，数据备份及恢复，防范策略。

数据备份及数据恢复是在清除技术无法满足需要的情况下而不得不采用的一种防范技术。数据备份及数据恢复的思路是：在检测出某个文件被感染了恶意代码后，不去试图清除其中的恶意代码使其恢复正常，而是直接用事先备份的正常文件覆盖被感染后的文件。数据备份及数据恢复中的数据的含义是多方面的，既指用户的数据文件，也指系统程序、关键数据（注册表）、常用应用程序等。

分析两种恶意代码的检测方法的区别。

恶意代码的检测方法有两类：手工检测和自动检测。

手工检测方法操作难度大并且技术复杂，它需要操作人员具有一定的软件分析经验及对操作系统有深入的了解；而自动检测方法操作简单使用方便，适合一般的计算机用户学习使用。但是自动检测方法不可能检测所有未知的恶意代码。在出现一种新型的恶意代码时，如果现有的各种检测工具无法检测这种恶意代码，则只能用手工方法进行恶意代码的检测。其实，自动检测也是在手工检测成功的基础上把手工检测方法程序化后所得的。因此，可以说，手工检测恶意代码是最基本、最有力的工具。常用杀毒软件及其解决方案选择发现恶意代码后，比较彻底的清除方式是()。A.用查毒软件处理B.删除磁盘文件C.用杀毒软件处理D.格式化磁盘答案：D2.()是非常有用的数据恢复工具。A.KAV2009B.KV2009C.Notorn2009D.EasyRevovery6.0答案：D3.“三分技术、七分管理、十二分数据”强调()的重要性。A.检测B.清除C.预防D.备份与恢复答案：D为防止恶意代码的传染，应该做到不要（）A、使用软盘B、对硬盘上的文件经常备份C、使用来历不明的程序D、利用网络进行信息交流答案：C5.不易被感染上恶意代码的文件是（）COMB.EXEC.TXTD.BOOT答案：C判断1．联想随机杀毒软件Norton2005其病毒库免费升级有效期为3年。(错)2．一种杀毒软件能查杀所有的计算机病毒。(错)3．杀毒软件在清除病毒的同时，也会清除计算机中的部分数据。（错）4．杀毒软件可以清除各种未知的病毒。（错）5．现在的杀毒软件可以防止一切黑客侵入电脑。（对）填空1.恶意代码防范软件对恶意代码的________能力和自身的________能力是其基本功能。（清除;防御）按照统计，________和________是目前最常见的恶意代码传播方式。（邮件系统；网页）3.网络蠕虫可以根据IP地址范围做定向性的扫描，这种________和条件传播改变了传统病毒以扩散点为中心的特性。（定向性攻击）4.恶意代码诞生之初，是以________为主要介质的，因而传播速度比较慢。（磁盘）根据恶意代码在企业网中的传播过程，可以归纳出________、________和________是恶意代码在企业网中的三种传播途径。（互联网；网络共享；客户端）简答一、简述杀毒软件必备功能。答：1、查杀功能2、防范新恶意代码的能力3、备份和恢复能力4、实时监控能力5、升级能力6、智能安装能力7、简单易用8、资源占用情况9、兼容性二、产生恶意代码地缘性的因素有哪些？1、编制者地生活空间2、特定的操作系统及软件环境3、定向性攻击和条件传播 三、杀毒产品主要比较哪几方面？ 1、软件空闲资源占用 2、扫描资源占用 3、检出能力测试 4、病毒查杀性能 四、企业网络恶意代码防范方案有哪三种？ 1、局域网恶意代码防范方案 2、广域网恶意代码防范方案 3、某企业恶意代码防范应用案例 五、中国新型恶意代码地地缘性表现在哪几方面？ 1、中国已经成为全球恶意代码扩散地中心节点之一 2、木马大量出现 3、针对国内网络工具地专用大量木马出现论述1.对恶意代码防范产品的要求有哪些，请简要描述。

(1)多层次、全方位的恶意代码防范工作环境。

(2)先进的恶意代码防范技术。

(3)简易快速的网络恶意代码防范软件安装和维护。

(4)集中和方便地进行恶意代码特征码和扫描引擎的更新。

(5)方便、全面、友好的恶意代码警报和报表系统管理机制。

(6)恶意代码防护自动化服务机制。

(7)客户端防范策略的强制定义和执行。

(8)快速、有效地处理未知恶意代码。

(9)合理的预算规划和低廉的成本。

(10良好的服务与强大支持。

2.如何为工作单位选择一个防病毒产品？首先是企业网络中的各个节点能够享受“绝对平等”的防病毒待遇。网络版杀毒软件需要结合各种网络环境的不同特征，通过对网络底层通信条件、文件使用权限分配的认真分析，实时可靠地提出相应的解决方案，从而建立起一套全方位、具备实时检测能力的防病毒体系，实现从服务器到工作站再到客户端的全方位病毒防护及管理，使系统管理员在任何一台管理工作站上都能对全网进行监控。其次是远程管理。网络版杀毒软件应能实现全网化的远程管理，实现远程安装、远程杀毒、远程操作、远程管理、远程报警等功能，确保不受时空所限，实时地维护企业的网络安全。再次是易用性。网络版杀毒软件需要易学易用，具体讲即界面简洁明了，升级方式易用、方便。系统管理员能够清楚掌握整个网络环境中各个节点的安全状态，使整个网络的病毒查杀与安全管理工作轻松化。最后，服务同样也是一个相当重要的条件。一方面，病毒与反病毒是一个“魔道相争”的典型表现，杀毒软件的价值与能力就需要通过不断地升级来体现；另一方面，企业网络的信息安全也需要通过定期地进行“普查”与“检修”来保证系统的真正安全。第十二章填空：1:从恶意代码对抗角度来看，其防治策略必须具备以下准则。（）（）（）清除能力，恢复能力，替代操作。答案:拒绝访问能力，控制传播能力，检测能力。2:（）经常记录一些敏感信息，如用户名，计算机名，使用过的浏览器和曾经访问的网站。答案:cookie3:入侵检测系统IDS可以工作在两种方式下，一种方式是IDS对（）进行一次快照，并报告任何试图改变被监视区域的尝试，另一种方法复杂一些，它监视PC或网络动态寻找恶意行为。答案:用户的系统。4:Internet内容检查器在保护用户不受源于（）的恶意代码伤害的问题上的成效是不错的。答案:HTML5:所有恶意代码均以某种方式操纵本地系统，或者通过修改（）文件或者修改（）。答案:操作系统，应用判断：1、来历不明的软件是恶意代码的重要载体。各种来历不明的软件，尤其是通过网络传过来的软件，不得进入计算机。 （√）2、当不使用网络时，就不接入互联网，或者断开网络连接。 （√）3、为了便于自己记忆，可以使用较为简单的口令，以避免造成遗忘密码的麻烦。 （×）4、TerminalService服务：即远程控制服务，允许多位用户连接控制一台机器，并且在远程计算机上显示桌面和应用程序。如果不是哦用windows的远程控制功能应及时禁止它。（√）5、口令破解工具是专门用来破解系统口令的工具，同样也是攻防双方必备的工具。安全防护人员通过该工具可以验证自己的口令是否安全可靠。 （√）选择：1、从恶意代码对抗的角度来看,其防治策略不具备下列准则(D)A拒绝访问能力 B检测能力 C.控制传播的能力 D.传播能力2、下列不是防御恶意代码的工具的是(D)防火墙 B入侵检测系统 C.蜜罐 D.WallpaperEngine3、小明想要在网上查询有关的病毒的资料,打开了电脑却无从下手,他向你询问,你应该介绍他去(A)A.病毒观察 B.百度贴吧 C.中国青年网 D.bilibili4.下列()是不正确的不存在能够防治未来所有病毒的