软考历程（4）——安全问题之病毒

软考中关于病毒的考查很多,我总结了一些病毒的基本知识,并把近几年的考题分析了一下，共所有备考的童鞋们参考~~




【2011年 11月真题
7】

利用（ 7）可以获取某FTP服务器中是否存在可写目录的信息。

（7）A.
防火墙系统 B.漏洞扫描系统
C. 入侵检测系统 D.
病毒防御系统

分析：

漏洞扫描系统是用来自动检测远程或本地主机安全漏洞的程序。安全漏洞通常指硬件、软件、协议的具体实现或系统安全策略方面存在的安全缺陷。FTP服务器中是不允许存在可写目录的,所以存在可写目录的信息是一个安全漏洞，可以被黑客利用，利用漏洞扫描系统可以获取某FTP服务器中是否存在可写目录的信息。

防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障，保护内部网免受非法用户的侵入。

入侵检测系统（简称“ IDS”）是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。

病毒防御系统是一个计算机防止黑客、病毒、木马的防御系统。病毒防御系统一般包括一个杀毒软件、一个病毒防火墙、一个木马黑客专杀和一个病毒监控。【答案：
B】

【2011年 11月真题
8】

通过内部发起连接与外部主机建立联系，由外部主机控制并盗取用户信息的恶意代码为（8）。

（8）A.
特洛伊木马 B.蠕虫病毒 C.
宏病毒 D.CIH病毒

分析：

特洛伊木马是一种秘密潜伏的能够通过远程网络进行控制的恶意程序。控制者可以控制被秘密植入木马的计算机的一切动作和资源，是恶意攻击者进行窃取信息等的工具。特洛伊木马没有复制能力，它的特点是伪装成一个实用工具或者一个游戏，这会诱使用户将其安装在PC或者服务器上。为了达到控制服务端主机的目的，木马往往要采用各种手段激活自己、加载运行。完整的木马程序一般由两个部分组成：一个是服务端（被控制端），一个是客户端（控制端）。“中了木马”就是指安装了木马的服务端程序，若你的电脑被安装了服务端程序，则拥有相应客户端的人就可以通过网络控制你的电脑、为所欲为，这时你电脑上的各种文件、程序，以及在你电脑上使用的账号、密码就无安全可言了。

蠕虫一般是通过复制自身在互联网环境下进行传播，蠕虫病毒的传染目标是互联网内的所有计算机，局域网条件下的共享文件夹、电子邮件、网络中的恶意网页、大量存在着漏洞的服务器等都成为蠕虫传播的良好途径。

宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档，其中的宏就会被执行，于是宏病毒就会被激活，转移到计算机上。以后，所有自动保存的文档都会“感染”上这种宏病毒，而且如果其他用户打开了感染病毒的文档，宏病毒又会转移到他的计算机上。

CIH病毒是一种能够破坏计算机系统硬件的恶性病毒。但是CIH病毒只在windows
95、98和windows Me系统上发作，影响有限。【答案：
A】

【2011年 5月真题
8】

宏病毒一般感染以（ 8）为扩展名的文件。

（8）A．EXE
B．COM C．DOC D．DLL

分析：

宏病毒是一种寄存在文档或模板的宏中的计算机病毒，它利用了在Word和其他办公软件中发现的特征，可感染Word、Excel等文件。【答案：
C】

【2010年 11月真题
7】

如果使用大量的连接请求攻击计算机，使得所有可用的系统资源都被消耗殆尽，最终计算机无法再处理合法用户的请求，这种手段属于（7）攻击。

（7）A．拒绝服务
B．口令入侵 C．网络监听 D．IP欺骗

分析：

拒绝服务攻击不断对网络服务系统进行干扰，改变其正常的工作流程，执行无关的程序使系统响应减慢甚至瘫痪，影响正常用户的使用。

口令入侵是指使用某些合法用户的账号和口令登录到主机，然后再实施攻击活动。

网络监控是主机的一种工作模式，在这种模式下，主机可以接收本网段在同一物理通道上传输的所有信息，如果两台通信的主机没有对信息加密，只要使用某些网络监听工具就可以很容易地截取包括口令和账户在内的信息资料。

IP欺骗是黑客选定目标主机，找到一个被目标主机信任的主机，然后使得被信任的主机失去工作能力，同时采样目标主机发出的TCP序列号，猜出它的数据序列号。然后伪装成被信任的主机，同时建立起与目标主机基于地址验证的应用连接。【答案：
A】

【2010年 11月真题
9】

下列选项中，防范网络监听最有效的方法是（9）。

（9）安装防火墙 B．采用无线网络传输
C．数据加密 D．漏洞扫描

分析：

当信息以明文形式在网络上传输时，监听不是一件难事，只要将所使用的网络端口设置成(镜像)监听模式，便可以源源不断地截获网上传输的信息。但是，网络监听很难被发现，因为运行网络监听的主机只是被动地接收在局域网上传输的信息，不主动与其他主机交换信息，也没修改在网上传输的数据包。防范网络监听目前有这样几种常用的措施：从逻辑或物理上对网络分段，以交换式集线器代替共享式集线器，使用加密技术和划分虚拟局域网【答案：
C】

【2010年 5月真题
8、9】

杀毒软件报告发现病毒Macro.Melissa，由该病毒名称可以推断病毒类型是（8），这类病毒主要感染目标是（9）。

（8）A．文件型
B引导型 C．目录型 D．宏病毒

（9）A．
EXE或COM可执行文件 B．Word或Excel文件
C． DLL系统文件
D．磁盘引导区

分析：

Melissa
病毒是一种快速传播的能够感染那些使用MS Word 97
和 MS Office 2000
的计算机宏病毒。即使不知道Melissa
病毒是什么也没关系，因为前面有个Macro，表明这是宏病毒。【答案：（8）D；（9）B】

【2009年 5月真题
7】

下面关于漏洞扫描系统的叙述，错误的是（7）。

（7）A．漏洞扫描系统是一种自动检测目标主机安全弱点的程序

B．黑客利用漏洞扫描系统可以发现目标主机的安全漏洞

C．漏洞扫描系统可以用于发现网络入侵者

D．漏洞扫描系统的实现依赖于系统漏洞库的完善

分析：

漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统。漏洞扫描针对的是系统漏洞的防御，防止恶意程序通过系统漏洞侵入系统，入侵检测系统是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。选项C是入侵检测系统的功能。【答案：C】

【2009年 5月真题
9】

计算机感染特洛伊木马后的典型现象是（9）。

（9）A．程序异常退出
B．有未知程序试图建立网络连接 C．邮箱被垃圾邮件填满 D．Windows系统黑屏

分析：特洛伊木马是黑客用来盗取其他用户的个人信息，甚至是远程控制对方的计算机而加壳（加密）***，然后通过各种手段传播或者骗取目标用户执行该程序，以达到盗取密码等各种数据资料等目的。感染后的现象有很多，比如屏幕上出现奇怪的对话框或消息框、无法在计算机上安装防病毒程序、或安装的防病毒程序无法运行等，其中最典型的就是有未知程序试图建立网络连接。【答案：B】

分析几种病毒的特点，把它们都总结一下，理解了每种病毒是通过什么方式感染、传播、搞破坏的，对症下药，就可以在一定程度上保证安全。