网络安全技术-恶意代码思考题

1. 请说明木马的定义，以及他的主要特性有哪些？

答：
定义:木马病毒是指隐藏在正常程序中的一段具有特殊功能的恶意代码，是具备破坏和删除文件、发送密码、记录键盘和攻击Dos等特殊功能的后门程序。
特性：
1. 有效性
2. 隐蔽性
3. 顽固性
4. 易植入性
5. 还有一些辅助型的特点：自动运行 欺骗性(起一些和系统进程差不多的名字) 自动恢复

2. 请说明计算机病毒的定义及主要特点，他有那些分类？

答：
定义：编制在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，且能够自我复制的一组计算机指令或者恶意代码。
特点
能把自己注入到其他程序的计算机程序
传播机制同生物病毒类似。
蠕虫程序和木马程序不是真正意义上的病毒。
分类：
文件型计算机病毒
宏病毒
多元复合型病毒

3. 什么是蠕虫，为什么说他极具危害性，他与木马以及病毒有什么区别？
   答：网络蠕虫是一种智能化、自动化、综合了网络攻击、密码学和计算机病毒技术，不需要计算机使用者干预即可运行的攻击程序或代码，他会扫描和攻击网络上存在的系统漏洞的节点主机，通过局域网或因特网从一个节点传播到另外一个节点。
   与病毒区别(重点)
   1. 传统计算机病毒主要感染计算机内的文件系统，而蠕虫感染目标则是计算机。
   2. 计算机网络条件下的共享文件夹、电子邮件、网络总的恶意网页、大量存在的漏洞的服务器等都是蠕虫的传播的途径
   3. 因特网的发展使得蠕虫可以在几个小时内蔓延全球，且蠕虫主机攻击性和破坏性常常使人手足无措。
      与木马区别

• 蠕虫的生存方式是独立个体以文件形式存在，而木马则是寄生或者独立
• 蠕虫的传播方式是自主传播，而木马则是依靠诱骗用户的方式来传播
• 蠕虫的攻击目标为网络上的计算机或者网络，而木马则是计算机系统
• 蠕虫传播速度快，木马传播速度慢

4. 请调查恶意代码的防范与检测有哪些方法和技术？
   答：
   方法：

• 静态分析：需要实际执行恶意代码，它通过对二进制文件的分析，获得恶意代码的基本结构和特征，了解其工作方式和机制
• 动态分析：在虚拟机中，使用测试及监控软件，检测恶意代码行为，分析执行流程及处理数据的状态，从而判断恶意代码的性质，并掌握行为特点
  技术
  特征码扫描
  沙箱技术
  行为检测

5. 案例分析

• 假如你是华为公司的技术人员。一天你在单位的停车场捡到了一个U盘。如果你将些U盘直接连接至你的工作电脑并查看其中的内容，这一做法可能会带来什么样的威胁?你将采用哪些步骤以降低此威胁，并安全地查看存储盘中的内容?
  答：u盘极有可能被嵌入恶意代码，有可能是病毒，也有有可能会感染木马，使得计算机系统会留下后门，机密泄露，信息被窃取甚至电脑被入侵产生Ddos攻击。应该是使用沙盘程序隔离出一块空间，将U盘在这个空间打开。以防止本机感染木马。

• 你买了一部新上市的配置极好的智能手机。且你了解到一款评价极高的但要收费的游戏，但你不想花钱,你想找一-个对应的破解版的游戏，然后在浏览器中搜索它，接着在一个某个不知名的、免费的应用市场中找到了一个可用的版本。当你准备下载和安装APP时你被要求赋予其一定的权限。你发现该APP请求发送短信”和“获取你的地址簿”权限。这个APP可能会对你的手机造成什么威胁?你是否会同意其要求的安装权限然后安装APP?
  答：该软件有可能为不良开发商嵌入恶意代码，有可能导致病毒感染，导致数据和系统完整性遭到破坏完整性。也可能有嵌入恶意木马导致，留下后门，进行进一步信息窃取。另外一点该软件还要求获取发送短信和获取地址簿，既有可能是木马窃取信息的重要一步，所以我不会同意授予这些权限。

• 假设你接到了一封电子邮件，看上去像来自你光顾过的银行，里面有银行LOGO，内容如下:“尊敬的顾客， 我们的记录显示你的网银由于多次试图利用错误的账号、口令和安全验证码进行登录，已被冻结。我们极力建议你.立刻恢复账户权限，避免被永久冻结，请点此链接恢复你的账户。这封电子邮件可能会对你或系统造成什么样的威胁?如何应对此类邮件?

答：这些短信极有可能是不法分子利用社会工程学，来构思发送的钓鱼短信，通过诱骗手段让用户点击该连接，从而导致系统植入木马，留下后门，导致机密泄露，信息窃取，乃至Ddos攻击的安全风险。
咨询银行后，在选择是否打开