计算机网络安全复习提纲.doc

1、支持和帮助校园学生组织，扶持和培养校园IT人才 复习资料，仅供参考 1、 信息安全：是一门交叉学科，广义上说：它涉及多方面的理论和应用知识，除了数学、通信、计算机等自然科学外，还涉及法律、心理学等社会科学。狭义上说，也就是通常说的信息安全，只是从自然科学的角度介绍信息安全的研究内容。 2、 信息安全从总体上可以分成5个层次，密码技术是新鲜权重研究的关键点。 3、 信息安全的目标CIA指的是： 机密性，完整性，可用性。 4、 1999年10月经过国家质量技术监督局批准发布的《计算机信息系统安全保护等级划分准则》将计算机安全保护划分为5个级别。 5、

2、 信息保障的核心思想是对系统或者数据的四个方面的要求：保护、检测、反映、恢复。 6、 TCG目的是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台，以提高整体的安全性。 7、 从1998到2006年，平均年增长幅度达50%左右，导致这些安全事件发生的主要因素是系统和网络安全脆弱性层出不穷，这些安全威胁时间给Internet带来巨大的经济损失。 8、 B2级，又称为结构保护级别，它要求计算机系统中所有的对象都要加上标签，而且给设备（磁盘、磁带和终端）分配单个或多个安全级别。 9、 从系统安全的角度可以把网络安全的而研究内容分成两大体系：攻击和防御。 10、 进程就是应用程

3、序的执行实例（或称一个执行程序），是程序动态的描述。 11、 在main（）函数中定义两个参数argc和argv，其中argc存储的是命令行参数的个数，argv数组存储的是命令行各个参数的值。 12、 凡是基于网络应用的程序都离不开winsock。 13、 由于多线程并发运行，用户在做一件事情时还可以做另外一件事。特别是在多个cpu的情况下，可以更充分的利用硬件资源的优势。 14、 目前流行2大语法体系：basic语法体系和c语法体系，同一个语法体系下语言的基本语法是一样的。 15、 句柄是一个指针，可以控制指向的对象。 16、 注册表中存储了windows操作系统的所有配置。

4、17、 使用多线程技术编程有两大优点：提高cpu的使用率；可以设置每个线程的优先级，调整工作的进度。 18、 在iostream.h文件中定义了cout的功能是输出，endl的功能是回车换行。 19、 在dos命令行下使用命令“net user hacke/add”添加一个用户hacke，同样可以在程序中实现。 20、 踩点就是通过各种途径对所要攻击的目标进行多方面的了解，确定攻击的时间和地点。 21、 对非连续端口进行的、并且原地址不一致、时间间隔长而没有规律的扫描，称之为慢速扫描（否则是乱序扫描）。 22、 扫描方式分为乱序扫描和慢速扫描。 23、 被动式策略是基于主机之上，对

5、系统中不合适的设置、脆弱的口令及其他同安全规则抵触的对象进行检查。 24、 一次成功的攻击，可以归纳成基本的五个步骤，但是根据实际情况可以随时调整。归纳起来就是黑客攻击五部曲：隐藏ip，踩点扫描，获取权限，种植后门，在网络中隐身。 25、 打电话请求密码属于社会工程学攻击方式。 26、 一次字典攻击能否成功，很大因素上决定于字典文件。 27、 Syn风暴属于拒绝服务攻击。 28、 不属于dos攻击的是：tfn攻击。（smurf、ping of death 、land攻击都属于dos攻击） 29、 字典攻击是常见的一种暴力攻击。 30、 分布式拒绝服务攻击的特点是先使用一些典型的黑

6、客入侵手段控制一些高带宽的服务器，然后在这些服务器上安装攻击进程，集数十台，数百台甚至上千台机器的力量对单一攻击目标实施攻击。 31、 Syn flooding 攻击是利用tcp/ip协议设计弱点。 32、 网络后门的功能是保持对目标主机长久控制。 33、 终端是吾师windows操作系统自带的，可以通过图形界面远程操纵服务器。在默认的情况下，终端服务的端口号是3389。 34、 木马是一种可以驻留在对方服务器系统中的一种程序。 35、 后门的好坏取决于被管理员发现的概率。 36、 木马程序一般由2部分组成：服务器终端程序，客户端程序。 37、 本质上，木马和后门都是提供网络后门

7、的功能，但是木马的功能稍微强大一些，一般还有远程控制的功能，后门程序功能比较单一。 38、 黑客们在编写搅乱社会和他人的计算机程序，这些代码统称为恶意代码。 39、 2003年，slammer蠕虫在十分钟内导致90%互联网脆弱主机收到感染。 40、 造成广泛影响的1988年morris蠕虫事件，就是利用邮件系统的脆弱性作为其入侵的最初突破点的。 41、 恶意代码生存的技术：加密技术、模糊变换技术。 42、 恶意代码攻击技术：进程注入技术、超级管理技术、断口反向连接技术。（自动生产技术不属于恶意代码攻击技术） 43、 恶意代码主要包括计算机病毒、蠕虫、木马程序、后门程序、逻辑矩弹。

8、 44、 恶意代码从20世纪80年代发展至今体现出来的三个特征是：恶意代码编制方法及发布速度更快、恶意代码日趋复杂完善和从病毒到电子邮件蠕虫，再到利用系统漏洞主动攻击的恶意代码。 45、 早期恶意代码的主要形式是计算机病毒。 46、 隐藏通常包括本地隐藏和通信隐藏。其中本地隐藏有文件隐藏、进程隐藏、网络连接隐藏、内核模块隐藏、编译器隐藏等。网络隐藏主要包括通信内部隐藏和传输通道隐藏。 47、 网络蠕虫的功能木块可以分为主体功能模块和辅助功能模块。 48、 Linux 是一套可以免费使用和自由传播的类unix操作系统，主要用于基于inter x86系列cpu的计算机上。 49、 操作系

9、统中的每一个实体组件不可能是既不是主体又不是客体。 50、 安全策略是指有关管理、保护和发布敏感信息的法律、规定和实施细则。 51、 操作系统的安全依赖于一些具体实施安全侧列的可信的硬件和软件。这些软件和硬件、负责系统安全管理的人员一起组成系统的可信计算机。 52、 自主访问控制是最常用的一类访问控制机制，用来决定一个用户是否有权访问一些特定客体的一种访问约束机制。 53、 操作系统的安全性在计算机信息系统的整体安全性中具有至关重要的作用，没有它的安全性，信息系统的安全行是没有基础的。 54、 Multics是开发安全操作系统最早期的尝试。 55、 1969年B.W.Lampson

10、通过形式化表示方法运用主体、客体和访问矩阵的思想第一次对访问控制问题进行了抽象。 56、 访问控制机制的理论基础是访问监控器，由J.P.Anderson首次提出。 57、 计算机硬件安全的目标是，保证其自身的而可靠性和为系统提供基本安全机制。其中基本安全机制包括存储保护、运行保护和I/O保护。 58、 Biba模型主要应用是保护信息的完整性，而BLP模型是保护信息机密性。 59、 RSA算法是一种基于大数不可能质因数分解假设的公钥体系。 60、 对称算法：序列算法。 61、 DES算法的入口参数有三个：key、Data和mode。其中key为64位，是DES算法的工作密钥。 62

11、 PGP加密技术是一个基于RSA公钥加密体系的邮件加密软件。 63、 2000多年前，罗马国王就开始使用目前称为“恺撒密码”的密码系统。 64、 2004.8，山东大学信息安全所所长王小云在国际会议上首次宣布了她及她的研究小组对MD5、Haval-128、MD4和RIPEMD 等四个著名密码算法的破译结果。 65、 除了提供机密性外，密码学需要提供三个方面的功能：鉴别、完整性和抗抵赖性。 66、 数字水印应具有三个基本特征：隐藏性、鲁棒性和安全性。 67、 用户公私鈅对产生有2中方式：用户自己产生的密钥对和CA为用户产生的密钥对。 68、 常见的信任模型包括4种：分布式信任模型、

12、以用户为中心的信任模型、严格层次信任模型和交叉认证模型。 69、 仅设立防火墙系统，而没有安全策略，防火墙就形同虚设。 70、 防火墙的局限性：不能防范网络内部的攻击、不能防范那些伪装成超级用户或诈称新雇员的黑客们劝说没有防范心理的用户公开其口令，并授予其临时的网络访问权限、不能防止传送已感染病毒软件或文件，不能期望防火墙对每一个文件进行扫描，查处潜在的病毒。 71、 分组过滤防火墙作用在应用层，其特点是完全“阻隔”网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。 72、 入侵检测分类依据是：物理位置、建模方法、时间分析。 73、 防火墙是一种网络

13、安全保障技术，它用于增强内部网络安全型，决定外界的那些用户可以访问内部的那些服务，以及那些外部站点可以被内部人员访问。 74、 常见的防火墙有三种类型：分组过滤防火墙、应用代理防火墙和状态检测防火墙。 75、 常见防火墙系统一般按照四种模型构建：筛选路由器模型、单宿主堡垒主机模型（屏蔽主机防火墙）模型、双宿主堡垒主机模型（屏蔽防火墙系统模型）和屏蔽子网模型。 76、 入侵检测是一种增强系统安全的有效方法，能检测出系统中违背系统安全性规则或者威胁到系统安全的活动。 77、 入侵检测的三个基本步骤：信息收集、数据分析和响应。 网络安全橙皮书是什么？包括那些内容？ 根据美国国

14、防部开发的计算机安全标准——可信任计算机标准评价准则（Trusted Computer Standards Evaluation Criteria：TCSEC），也就是网络安全橙皮书，一些计算机安全级别被用来评价一个计算机系统的安全性。 自从1985年橙皮书成为美国国防部的标准以来，就一直没有改变过，多年以来一直是评估多用户主机和小型操作系统的主要方法。 其他子系统（如数据库和网络）也一直用橙皮书来解释评估。橙皮书把安全的级别从低到高分成4个类别：D类、C类、B类和A类，每类又分几个级别， 类别 级别 名称 主要特征 D D 低级保护 没有安全保护 C C1 自主安

15、全保护 自主存储控制 C2 受控存储控制 单独的可查性，安全标识 B B1 标识的安全保护 强制存取控制，安全标识 B2 结构化保护 面向安全的体系结构，较好的抗渗透能力 B3 安全区域 存取监控、高抗渗透能力 A A 验证设计 形式化的最高级描述和验证 n D级是最低的安全级别，拥有这个级别的操作系统就像一个门户大开的房子，任何人都可以自由进出，是完全不可信任的。 n 对于硬件来说，是没有任何保护措施的，操作系统容易受到损害，没有系统访问限制和数据访问限制，任何人不需任何账户都可以进入系统，不受任何限制可以访问他人的数据文件。 n 属于这个级别的操作

16、系统有： n DOS和Windows98等。 C1是C类的一个安全子级。C1又称选择性安全保护（Discretionary Security Protection）系统，它描述了一个典型的用在Unix系统上安全级别 n 这种级别的系统对硬件又有某种程度的保护，如用户拥有注册账号和口令，系统通过账号和口令来识别用户是否合法，并决定用户对程序和信息拥有什么样的访问权，但硬件受到损害的可能性仍然存在。 n 用户拥有的访问权是指对文件和目标的访问权。文件的拥有者和超级用户可以改变文件的访问属性，从而对不同的用户授予不通的访问权限。 n 使用附加身份验证就可以让一个C2级系统用户在不是超级

17、用户的情况下有权执行系统管理任务。授权分级使系统管理员能够给用户分组，授予他们访问某些程序的权限或访问特定的目录。 n 能够达到C2级别的常见操作系统有： n （1）、Unix系统 n （2）、Novell 3.X或者更高版本 n （3）、Windows NT、Windows 2000和Windows 2003 B级中有三个级别，B1级即标志安全保护（Labeled Security Protection），是支持多级安全（例如：秘密和绝密）的第一个级别，这个级别说明处于强制性访问控制之下的对象，系统不允许文件的拥有者改变其许可权限。 n 安全级别存在保密、绝密级别，这种安全级别的

18、计算机系统一般在政府机构中，比如国防部和国家安全局的计算机系统。 n B2级，又叫结构保护级别（Structured Protection），它要求计算机系统中所有的对象都要加上标签，而且给设备（磁盘、磁带和终端）分配单个或者多个安全级别。 n B3级，又叫做安全域级别（Security Domain），使用安装硬件的方式来加强域的安全，例如，内存管理硬件用于保护安全域免遭无授权访问或更改其他安全域的对象。该级别也要求用户通过一条可信任途径连接到系统上。 A级，又称验证设计级别（Verified Design），是当前橙皮书的最高级别，它包含了一个严格的设计、控制和验证过程。该级别包含了

19、较低级别的所有的安全特性 n 设计必须从数学角度上进行验证，而且必须进行秘密通道和可信任分布分析。可信任分布（Trusted Distribution）的含义是：硬件和软件在物理传输过程中已经受到保护，以防止破坏安全系统。 n 橙皮书也存在不足。TCSEC是针对孤立计算机系统，特别是小型机和主机系统。假设有一定的物理保障，该标准适合政府和军队，不适合企业，这个模型是静态的。 第三章 WINDOWS操作的内部机制 n Windows是一个“基于事件的，消息驱动的”操作系统。在Windows下执行一个程序，只要用户进行了影响窗口的动作（如改变窗口大小或移动、单击鼠标等）该动作就会触发一个

20、相应的“事件”。 n 系统每次检测到一个事件时，就会给程序发送一个“消息”，从而使程序可以处理该事件。 n 每次检测到一个用户事件，程序就对该事件做出响应，处理完以后，再等待下一个事件的发生。 与Windows系统密切相关的八个基本概念分别是： n 窗口、程序、进程、线程 n 消息、事件、句柄、API与SDK。 第四章 124 课后练习 简答 2’6 2、黑客在进攻的过程中需要经过那些步骤？目的是什么？ 一次成功的攻击，都可以归纳成基本的五步骤，但是根据实际情况可以随时调整。归纳起来就是“黑客攻击五部曲” 1、隐藏IP: 这一步必须做，因为如果自己的入侵的痕迹被发现了，当

21、FBI找上门的时候就一切都晚了。 通常有两种方法实现自己IP的隐藏： 第一种方法是首先入侵互联网上的一台电脑（俗称“肉鸡”），利用这台电脑进行攻击，这样即使被发现了，也是“肉鸡”的IP地址。 第二种方式是做多极跳板“Sock代理”，这样在入侵的电脑上留下的是代理计算机的IP地址。 2、踩点扫描: 踩点就是通过各种途径对所要攻击的目标进行多方面的了解（包括任何可得到的蛛丝马迹，但要确保信息的准确），确定攻击的时间和地点。 常见的踩点方法包括：在域名及其注册机构的查询;公司性质的了解;对主页进行分析;邮件地址的搜集;目标IP地址范围查询。 扫描的目的是利用各种工具在攻击目标的IP地

22、址或地址段的主机上寻找漏洞。踩点的目的就是探察对方的各方面情况，确定攻击的时机。模清除对方最薄弱的环节和守卫最松散的时刻，为下一步的入侵提供良好的策略。扫描分成两种策略：被动式策略和主动式策略。 3、获得系统或管理员权限 得到管理员权限的目的是连接到远程计算机，对其进行控制，达到自己攻击目的。获得系统及管理员权限的方法有： 通过系统漏洞获得系统权限 通过管理漏洞获得管理员权限 通过软件漏洞得到系统权限 通过监听获得敏感信息进一步获得相应权限 通过弱口令获得远程管理员的用户密码 通过穷举法获得远程管理员的用户密码 通过攻破与目标机有信任关系另一台机器进而得到目标机的控制权 通

23、过欺骗获得权限以及其他有效的方法。 4、种植后门 为了保持长期对自己胜利果实的访问权,在已经攻破的计算机上种植一些供自己访问的后门。 5、在网络中隐身 一次成功入侵之后，一般在对方的计算机上已经存储了相关的登录日志，这样就容易被管理员发现。 在入侵完毕后需要清除登录日志已经其他相关的日志。 6、网络监听技术的原理是什么？ 网络监听的目的是截获通信的内容，监听的手段是对协议进行分析。Sniffer pro就是一个完善的网络监听工具。 监听器Sniffer的原理：在局域网中与其他计算机进行数据交换的时候，发送的数据包发往所有的连在一起的主机，也就是广播，在报头中包含目标机的正确

24、地址。因此只有与数据包中目标地址一致的那台主机才会接收数据包，其他的机器都会将包丢弃。但是，当主机工作在监听模式下时，无论接收到的数据包中目标地址是什么，主机都将其接收下来。然后对数据包进行分析，就得到了局域网中通信的数据。一台计算机可以监听同一网段所有的数据包，不能监听不同网段的计算机传输的信息。 第五章 125 社会工程学攻击概念 社会工程攻击是一种利用"社会工程学"来实施的网络攻击行为。 社会工程学，准确来说，不是一门科学，而是一门艺术和窍门的方术。社会工程学利用人的弱点，以顺从你的意愿、满足你的欲望的方式，让你上当的一些方法、一门艺术与学问。说它不是科学，因为它不是总能重

25、复和成功，而且在信息充分多的情况下，会自动失效。社会工程学的窍门也蕴涵了各式各样的灵活的构思与变化因素。社会工程学是一种利用人的弱点如人的本能反应、好奇心、信任、贪便宜等弱点进行诸如欺骗、伤害等危害手段，获取自身利益的手法。 社交工程是使用计谋和假情报去获得密码和其他敏感信息的科学，研究一个站点的策略其中之一就是尽可能多的了解这个组织的个体，因此黑客不断试图寻找更加精妙的方法从他们希望渗透的组织那里获得信息。 目前社会工程学攻击主要包括两种方式：打电话请求密码和伪造Email 1、打电话请求密码 尽管不像前面讨论的策略那样聪明，打电话寻问密码也经常奏效。在社会工程中那些黑客冒充失去密

26、码的合法雇员，经常通过这种简单的方法重新获得密码。 2、伪造Email 使用telnet一个黑客可以截取任何一个身份证发送Email的全部信息，这样的Email消息是真的，因为它发自于一个合法的用户。在这种情形下这些信息显得是绝对的真实。黑客可以伪造这些。一个冒充系统管理员或经理的黑客就能较为轻松的获得大量的信息，黑客就能实施他们的恶意阴谋。 153 什么是分布式拒绝服务攻击 分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DoS攻击，从而成倍地提高拒绝服务攻击

27、的威力。 拒绝服务攻击的简称是：DoS（Denial of Service）攻击，凡是造成目标计算机拒绝提供服务的攻击都称为DoS攻击，其目的是使目标计算机或网络无法提供正常的服务。 最常见的DoS攻击是：计算机网络带宽攻击和连通性攻击。带宽攻击是以极大的通信量冲击网络，使网络所有可用的带宽都被消耗掉，最后导致合法用户的请求无法通过。连通性攻击指用大量的连接请求冲击计算机，最终导致计算机无法再处理合法用户的请求。 157 简答 4’5 4、简述Unicode漏洞的基本原理 NSFOCUS安全小组发现IIS 4.0和IIS 5.0在Unicode字符解码的实现中存在一个安全漏

28、洞，导致用户可以远程通过IIS执行任意命令。当IIS打开文件时，如果该文件名包含unicode字符，它会对其进行解码，如果用户提供一些特殊的编码，将导致IIS错误的打开或者执行某些web根目录以外的文件。 通过打操作系统的补丁程序，就可以消除漏洞。只要是针对漏洞进行攻击的案例都依赖于操作系统是否打了相关的补丁。 Unicode漏洞是2000-10-17发布的，受影响的版本： Microsoft IIS 5.0+Microsoft Windows 2000系列版本 Microsoft IIS 4.0+ Microsoft Windows NT 4.0 消除该漏洞的方式是安装操作系统的

29、补丁，只要安装了SP1以后，该漏洞就不存在了。微软IIS 4.0和5.0都存在利用扩展UNICODE字符取代"/"和"\"而能利用"../"目录遍历的漏洞。 5、简述缓冲区溢出攻击的原理 目前最流行的一种攻击技术就是缓冲区溢出攻击。当目标操作系统收到了超过了它的最大能接收的信息量的时候，将发生缓冲区溢出。这些多余的数据将使程序的缓冲区溢出，然后覆盖了实际的程序数据，缓冲区溢出使目标系统的程序被修改，经过这种修改的结果使在系统上产生一个后门。 通过往程序的缓冲区写超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其它指令，以达到攻击的目的。造成缓冲区溢出的原因是程序中没

30、有仔细检查用户输入的参数。 这项攻击对技术要求比较高，但是攻击的过程却非常简单。 第六章 193 简答 1’6 1、留后门的原则是什么？ 网络后门是保持对目标主机长久控制的关键策略。可以通过建立服务端口和克隆管理员帐号来实现。 留后门的艺术,只要能不通过正常登录进入系统的途径都称之为网络后门。后门的好坏取决于被管理员发现的概率。只要是不容易被发现的后门都是好后门。留后门的原理和选间谍是一样的，让管理员看了感觉没有任何特别的。 其实留后门和下马都是一个道理，就是想叫自己,今后可以轻而易举的进进出出，不过对于后门,很多情况下都想到了“木马”。也可以这么说。不过道上稍微有些头脑的人都

31、知道，最隐秘、最有效的后门不是在对方的机器上放什么“马”。而是在对方的系统设置里动些手脚，在不安装额外程序的同时，给自己留一个方便。 6、系统日志有那些？如何清除这些日志？ 记录系统中硬件、软件和系统问题的信息，同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因，或者寻找受到攻击时攻击者留下的痕迹. IIS日志、主机日志（应用程序日志、安全日志和系统日志） 清除 IIS日志： 打开任一文件夹下的任一文件，可以看到IIS日志的基本格式，记录了用户访问的服务器文件、用户登的时间、用户的IP地址以及用户浏览器以及操作系统的版本号。 最简单的方法是直接到该目录下删除这些

32、文件夹，但是全部删除文件以后，一定会引起管理员的怀疑。 一般入侵的过程是短暂的，只会保存到一个Log文件，只要在该Log文件删除所有自己的记录就可以了。 清除主机日志： 使用工具软件clearel.exe可以方便地清除系统日志，首先将该文件上载到对方主机，然后删除这3中主机日志。清除命令有4种：Clearel System系统日志，Clearel Security安全日志，Clearel Application应用程序日志和Clearel All全部日志。 第七章 208 简答 4’5’8 4、说明恶意代码的作用机制的6个方面，并图示恶意代码攻击模型。 恶意代码的行为表现各异

33、破坏程度千差万别，但基本作用机制大体相同，其整个作用过程分为6个部分： ①侵入系统。侵入系统是恶意代码实现其恶意目的的必要条件。恶意代码入侵的途径很多，如：从互联网下载的程序本身就可能含有恶意代码；接收已经感染恶意代码的电子邮件；从光盘或软盘往系统上安装软件；黑客或者攻击者故意将恶意代码植入系统等。 ②维持或提升现有特权。恶意代码的传播与破坏必须盗用用户或者进程的合法权限才能完成。 ③隐蔽策略。为了不让系统发现恶意代码已经侵入系统，恶意代码可能会改名、删除源文件或者修改系统的安全策略来隐藏自己。 ④潜伏。恶意代码侵入系统后，等待一定的条件，并具有足够的权限时，就发作并进行破坏活动。

34、 ⑤破坏。恶意代码的本质具有破坏性，其目的是造成信息丢失、泄密，破坏系统完整性等。 ⑥重复①至⑤对新的目标实施攻击过程。恶意代码的攻击模型如图2-1所示。 5、简述恶意代码的生存技术是如何实现的 生存技术主要包括4方面：反跟踪技术；加密技术；模糊变换技术；自动生产技术。 反跟踪技术可以减少被发现的可能性，加密技术是恶意代码自身保护的重要机制。 恶意代码采用反跟踪技术可以提高自身的伪装能力和防破译能力，增加检测与清除恶意代码的难度。 目前常用的反跟踪技术有两类：反动态跟踪技术和反静态分析技术。 反动态跟踪技术主要包括4方面内容： （1）禁止跟踪中断。针对调试分析工具运行

35、系统的单步中断和断点中断服务程序，恶意代码通过修改中断服务程序的入口地址实现其反跟踪目的。“1575”计算机病毒采用该方法将堆栈指针指向处于中断向量表中的INT 0至 INT 3区域，阻止调试工具对其代码进行跟踪。 （2）封锁键盘输入和屏幕显示，破坏各种跟踪调试工具运行的必需环境； （3）检测跟踪法。检测跟踪调试时和正常执行时的运行环境、中断入口和时间的差异，根据这些差异采取一定的措施，实现其反跟踪目的。例如，通过操作系统的API 函数试图打开调试器的驱动程序句柄，检测调试器是否激活确定代码是否继续运行。 （4）其它反跟踪技术。如指令流队列法和逆指令流法等。 反静态分析技术主要包括两方

36、面内容： （1）对程序代码分块加密执行。为了防止程序代码通过反汇编进行静态分析，程序代码以分块的密文形式装入内存，在执行时由解密程序进行译码，某一段代码执行完毕后立即清除，保证任何时刻分析者不可能从内存中得到完整的执行代码； （2）伪指令法(Junk Code)。伪指令法系指在指令流中插入“废指令”，使静态反汇编无法得到全部正常的指令，不能有效地进行静态分析。例如，“Apparition”是一种基于编译器变形的Win32 平台的病毒，编译器每次编译出新的病毒体可执行代码时都要插入大量的伪指令，既达到了变形的效果，也实现了反跟踪的目的。此外，伪指令技术还广泛应用于宏病毒与脚本恶意代码之中。

37、 加密技术是恶意代码自我保护的一种手段，加密技术和反跟踪技术的配合使用，使得分析者无法正常调试和阅读恶意代码，不知道恶意代码的工作原理，也无法抽取特征串。从加密的内容上划分，加密手段分为信息加密、数据加密和程序代码加密三种。 利用模糊变换技术，恶意代码每感染一个客体对象时，潜入宿主程序的代码互不相同。同一种恶意代码具有多个不同样本，几乎没有稳定代码，采用基于特征的检测工具一般不能识别它们。随着这类恶意代码的增多，不但使得病毒检测和防御软件的编写变得更加困难，而且还会增加反病毒软件的误报率。目前，模糊变换技术主要分为5种： （1）指令替换技术。模糊变换引擎（Mutation Engi

38、ne）对恶意代码的二进制代码进行反汇编，解码每一条指令，计算出指令长度，并对指令进行同义变换。例如，将指令XOR REG，REG 变换为SUB REG，REG；寄存器REG1和寄存器REG2进行互换；JMP指令和CALL指令进行变换等。例如，“Regswap”采用了简单的寄存器互换的变形技术。 （2）指令压缩技术。模糊变换器检测恶意代码反汇编后的全部指令，对可进行压缩的一段指令进行同义压缩。压缩技术要改变病毒体代码的长度，需要对病毒体内的跳转指令进行重定位。例如指令MOV REG，12345678 / ADD REG，87654321 变换为指令MOV REG，99999999；指令MOV

39、REG，12345678 / PUSHREG变换为指令PUSH 12345678等。 （3）指令扩展技术。扩展技术把每一条汇编指令进行同义扩展，所有压缩技术变换的指令都可以采用扩展技术实施逆变换。扩展技术变换的空间远比压缩技术大的多，有的指令可以有几十种甚至上百种的扩展变换。扩展技术同样要改变恶意代码的长度，需要对恶意代码中跳转指令进行重定位。 （4）伪指令技术。伪指令技术主要是对恶意代码程序体中插入无效指令，例如空指令；JMP 下一指令和指令PUSH REG/MOV REG,12345678/POP REG等。 （5）重编译技术。采用重编译技术的恶意代码中携带恶意代码的源码，需要自带编

40、译器或者操作系统提供编译器进行重新编译，这种技术既实现了变形的目的，也为跨平台的恶意代码出现打下了基础。尤其是各类Unix/Linux操作系统，系统默认配置有标准C的编译器。宏病毒和脚本恶意代码是典型的采用这类技术变形的恶意代码。造成全球范围传播和破坏的第一例变形病毒是“Tequtla”，从该病毒的出现到编制出能够检测该病毒的软件，研究人员花费了9个月的时间。 恶意代码自动生产技术是针对人工分析技术的。“计算机病毒生成器”，使对计算机病毒一无所知的用户，也能组合出算法不同、功能各异的计算机病毒。“多态性发生器”可将普通病毒编译成复杂多变的多态性病毒。 多态变换引擎可以使程序代码本身发生

41、变化，并保持原有功能。保加利亚的“Dark Avenger”是较为著名的一个例子，这个变换引擎每产生一个恶意代码，其程序体都会发生变化，反恶意代码软件如果采用基于特征的扫描技术，根本无法检测和清除这种恶意代码。 8、简述蠕虫的功能结构。 网络蠕虫的功能模块可以分为主体功能模块和辅助功能模块。实现了主体功能模块的蠕虫能够完成复制传播流程，而包含辅助功能模块的蠕虫程序则具有更强的生存能力和破坏能力。网络蠕虫功能结构如图 主体功能模块由四个模块构成： n ①信息搜集模块。该模块决定采用何种搜索算法对本地或者目标网络进行信息搜集，内容包括本机系统信息、用户信息、邮件列表、对本机的信任

42、或授权的主机、本机所处网络的拓扑结构，边界路由信息等等，这些信息可以单独使用或被其他个体共享； n ②扫描探测模块。完成对特定主机的脆弱性检测，决定采用何种的攻击渗透方式； n ③攻击渗透模块。该模块利用②获得的安全漏洞，建立传播途径，该模块在攻击方法上是开放的、可扩充的； n ④自我推进模块。该模块可以采用各种形式生成各种形态的蠕虫副本，在不同主机间完成蠕虫副本传递。例如“Nimda”会生成多种文件格式和名称的蠕虫副本；“W32.Nachi.Worm”利用系统程序（例如TFTP）来完成推进模块的功能等等。 辅助功能模块是对除主体功能模块外的其他模块的归纳或预测，主要由五个功能模块构成

43、 n ①实体隐藏模块。包括对蠕虫各个实体组成部分的隐藏、变形、加密以及进程的隐藏，主要提高蠕虫的生存能力； n ②宿主破坏模块。该模块用于摧毁或破坏被感染主机，破坏网络正常运行，在被感染主机上留下后门等； n ③信息通信模块。该模块能使蠕虫间、蠕虫同黑客之间能进行交流，这是未来蠕虫发展的重点；利用通信模块，蠕虫间可以共享某些信息，使蠕虫的编写者更好地控制蠕虫行为； n ④远程控制模块。控制模块的功能是调整蠕虫行为，控制被感染主机，执行蠕虫编写者下达的指令； n ⑤自动升级模块。该模块可以使蠕虫编写者随时更新其它模块的功能，从而实现不同的攻击目的。 第八章 245 简答 2

44、以及不要)’8 2、简述审核策略、密码策略和帐户策略的含义。 审核策略，是windows中本地安全策略的一部分，它是一个维护系统安全性的工具，允许跟踪用户的活动和windows系统的活动。在计算机中设置了审核策略，就可以监控成功或失败的事件。在设置审核事件时，windows将事件执行的情况纪录到安全日志中，安全日志中的每一个审核条目都包含三个方面的内容：执行动作的用户，事件发生的时间及成功与否。对文件和文件夹访问的审核，首先要求审核的对象必须位于NTFS分区之上，其次必须为对象访问事件设置审核策略。符合以上条件，就可以对特定的文件或文件夹进行审核，并且对哪些用户或组指定哪些类型的访问进行

45、审核。 密码策略，即用户账户的保护一般主要围绕着密码的保护来进行。为了避免用户身份由于密码被破解而被夺取或盗用，通常可采取诸如提高密码的破解难度、启用账户锁定策略、限制用户登录、限制外部连接以及防范网络嗅探等措施。密码策略也可以在指定的计算机上用“本地安全策略”来设定，同时也可在网络中特定的组织单元通过组策略进行设定的。 在Windows 2000域中，账户策略是通过域的组策略设置和强制执行的。在其它GPO中对域账户策略进行的设置将会被忽略。而在工作站或者成员服务器上直接配置账户策略也只能影响到相应计算机的本地账户策略以及锁定策略。账户策略中包括密码策略、账户锁定策略和kerber

46、os策略的安全设置。 8、简述安全操作系统的机制 安全操作系统的机制包括：硬件安全机制，计算机硬件安全的目标是保证其自身的可靠性和位系统提供基本安全机制，基本安全机制包括存储保护、运行保护、I/O保护等；操作系统的安全标识与鉴别；访问控制、最小特权管理；可信通路和安全审计。 第九章 274 简答 2’4 2、简述对称加密算法的基本原理 对称算法就是加密密钥能够从解密密钥中推算出来，反过来也成立。在大多数对称算法中，加/解密密钥是相同的。这些算法也叫秘密密钥算法或单密钥算法，它要求发送者和接收者在安全通信之前，商定一个密钥。对称算法的安全性依赖于密钥，泄漏密钥就意味着任何人都能

47、对消息进行加/解密。 对称加密算法 对称加密算法是应用较早的加密算法，技术成熟。在对称加密算法中，数据发信方将明文（原始数据）和加密密钥一起经过特殊加密算法处理后，使其变成复杂的加密密文发送出去。收信方收到密文后，若想解读原文，则需要使用加密用过的密钥及相同算法的逆算法对密文进行解密，才能使其恢复成可读明文。在对称加密算法中，使用的密钥只有一个，发收信双方都使用这个密钥对数据进行加密和解密，这就要求解密方事先必须知道加密密钥。对称加密算法的特点是算法公开、计算量小、加密速度快、加密效率高。不足之处是，交易双方都使用同样钥匙，安全性得不到保证。此外，每对用户每次使用对称加密算法时，都需要使

48、用其他人不知道的惟一钥匙，这会使得发收信双方所拥有的钥匙数量成几何级数增长，密钥管理成为用户的负担。对称加密算法在分布式网络系统上使用较为困难，主要是因为密钥管理困难，使用成本较高。而与公开密钥加密算法比起来，对称加密算法能够提供加密和认证却缺乏了签名功能，使得使用范围有所缩小。在计算机专网系统中广泛使用的对称加密算法有DES和IDEA等。美国国家标准局倡导的AES即将作为新标准取代DES。 4、简述公开密钥算法的基本原理 公开密钥算法中用作加密的密钥不同于用作解密的密钥，而且解密密钥不能根据加密密钥计算出来（至少在合理假定的长时间内），所以加密密钥能够公开，每个人都能用加密密钥加密信息，

49、但只有解密密钥的拥有者才能解密信息。在公开密钥算法系统中，加密密钥叫做公开密钥（简称公钥），解密密钥叫做秘密密钥（私有密钥，简称私钥）。 第十章 301 简答 1’3’8 1、什么是防火墙？古时候的防火墙和目前通常说的防火墙有什么联系和区别？ 所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤

50、和应用网关4个部分组成。 防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件(其中硬件防火墙用的较少，例如国防部以及大型机房等地才用,因为它价格昂贵)。该计算机流入流出的所有网络通信均要经过此防火墙。 区别与联系： 古时候，人们常在寓所之间砌起一道砖墙，一旦火灾发生，它能够防止火势蔓延到别的寓所。现在，如果一个网络接到了Internet上面，它的用户就可以访问外部世界并与之通信。但同时，外部世界也同样可以访问该网络并与之交互。为安全起见，可以在该网络和Internet之间插入一个中介系统，竖起一道安全屏障。这道屏障的作用是阻断来自外部通过网络对本网络的威胁和入侵，提供扼守本网络