篇一:特洛伊木马工作原理分析及清除方法
特洛伊木马工作原理分析及清除方法
1 什么是特洛伊木马
特洛伊木马(Trojan Horse,以下简称木马)的名称取自希腊神话的特洛伊木马记。木马就是指那些内部包含为完成特殊任务而编制的代码的程序, 这些特殊功能处于隐藏状态,执行时不为人发觉。特洛伊木马是一种基于远程控制的工具,类似于远端管理软件,其区别是木马具有隐蔽性和非授权性的特点。所谓隐蔽性是指木马的设计者为防止木马被发现,会采用多种手段隐藏木马;非授权性是指一旦控制端与服务端建立连接后,控制端将窃取服务端的密码及大部分操作权限,包括修改文件、修改注册表、重启或关闭服务端操作系统、断开服务端网络连接、控制服务端的鼠标及键盘、监视服务端桌面操作、查看服务端进程等。这些权限并不是服务端赋予的,而是通过木马程序窃取的。
2 木马的工作原理
完整的木马系统由硬件和软件二部分组成。硬件部分是建立木马连接所必须的硬件实体,包括控制端、服务端和数据传输的网络载体(Internet/Intranet); 软件部分是实现远程控制所必须的软件程序,包括控制端程序和木马程序。利用木马窃取信息、恶意攻击的整个过程可以分为3个部分,下面详细介绍。
2.1 获取并传播木马
木马可以用C或C++语言编写。木马程序非常小,一般只有3~5KB,以便隐藏和传播。木马的传播方式主要有3种:(1)通过E-MAIL。(2)软件下载。(3)依托病毒传播。2001年4月赛门铁克防病毒研究中心发现了植入木马程序的新蠕虫病毒(W32.BACTRANS.13312@MM)。该病毒一旦被执行,木马程序就会修改注册表键值和win.ini文件。当计算机被重启时,该蠕虫会等候3 分钟,然后利用MAPI, 回复所有未读邮件, 并将自己作为邮件的附件,使用不同的名称继续传播。
2.2 运行木马
服务端用户在运行木马或捆绑了木马的程序后,木马首先将自身拷贝到WINDOWS的系统文件夹中(C:\WINDOWS或C:\WINDOWS\SYSTEM目录下), 然后在注册表、启动组和非启动组中设置好木马触发条件,这样木马的安装就完成了。以后,当木马被触发条件激活时,它就进入内存,并开启事先定义的木马端口,准备与控制端建立连接。
2.2 建立连接,进行控制
建立一个木马连接必须满足2个条件:(1)服务端已安装有木马程序。(2)控制端、服务端都要在线。初次连接时还需要知道服务端的IP地址。IP地址一般通过木马程序的信息反馈机制或扫描固定端口等方式得到。木马连接建立后,控制端端口和木马端口之间将会有一条通道,控制端程序利用该通道与服务端上的木马程序取得联系,并通过木马程序对服务端进行远程控制。
3 用VB6.0编写的木马程序
下面用VB6.0编写的一个木马程序来说明木马程序的工作原理。
(1)用VB建立2个程序:客户端程序Client和服务器端程序Server。
(2)在Client工程中建立一个窗体,加载WinSock控件,称为Win_Client,协议选择TCP。
再加入一个文本框,用于输入服务器的IP地址或服务器名。然后加入一个按钮,按下之后就可以对连接进行初始化。代码如下:
Private Sub cmdConnect_Click()
Win_Client.RemoteHost=Text1.Text
Win_Client.Connect
Timer1.Enabled=True
End Sub
(3)建立连接后就可以使用DataArrival事件处理收到的数据了。
(4)在服务器端Server工程中也建立一个窗体,窗体的visible属性设置为False。加载WinSock控件, 称为Win_Server,协议选择TCP。在Form_Lad事件中加入以下代码: Private Sub Form_Load()
Win_Server.LocalPort=2001 ?自定义的端口号
Win_Server.Listen
End Sub
(5)准备应答客户端程序的请求连接,使用ConnectionRequest事件来应答客户端程序的请求,代码如下:
Private Sub Win_Server_ConnectionRquest(ByValrequestID As Long)
If Win_Server.State sckClosed Then
Win_Server.Close ?检查控件的State属性是否为关闭的
End If ?如果不是,在接受新的连接之前先关闭此连接
Win_Server.Accept requestID
End Sub
(6)这样在客户端程序按下连接按钮后,服务器端程序的ConnectionRequest事件即被触发, 执行以上代码。如果不出意外,连接将被建立起来。
(7)建立连接后服务器端的程序通过JDataArrival事件接收客户机端程序发出的指令运行既定程序。DataArrival事件程序如下:
Private Sub Win_Server_DataArrival(ByVal bytesTotal As Long)
Dim strData As String
Dim I As Long
Win_Server.GetData strData ?接收数据并存入strData
For i=1 ToLen(strData) ?分离strData中的命令
If Mid(strData,I,1)=”@” Then
mKey=Left(strData,i-1 ?把命令ID号存入mKey
strData=Right(strData,Len(strData)-i) ?把命令参数存入strData
Exit Fof
Ene If
Next i
Select Case Val*mKey)
Case i ?i为一系列命令的定义,如截获驱动器名、目录名、文件名、强制关闭服务器端的计算机,强制重启服务器端的计算机,屏蔽任务栏窗口,屏蔽开始菜单,按照客户机端传来的文件名或目录名删除它们,屏蔽热启动键,运行服务器端的任何程序。
……
End Select
EneSub
(8)客户机端用Win_Client.SendData发命令。命令包括命令ID和命令参数,它们用符号”@”隔开。
(9)当客户机端断开与服务器端的连接后,服务器端应用Win_Server_Close事件继续准备接收客户机端的请求,其代码如下:
Private Sub tcpServer_Close()
Win_Server.Close
Win_Server.Listen
End Sub
以上是一个最基本的特洛伊木马程序。只要机器运行了服务器端程序, 别人就可以在千里之外控制这台计算机。
4 发现和清除木马
杀毒软件主要是针对已知病毒设计的,而新病毒却层出不穷,特别是在有些特洛伊木马类病毒刚出现时,由于杀毒软件没有建立病毒库,大都无能为力。因此,学习一些手工检查特洛伊木马的方法是很有必要的。下面简单介绍一种在Win9x系统下手工发现和清除木马的方法。
TCP服务程序都需要Listen在某个端口(port)上,客户端程序才能与其建立连接, 进行数据传输。可以用Win9x的命令netstat -an查看所有的活动连接, 典型输出如下: C:\WINDOWS>netstat –an
Active Connections
Proto Local Address Foreign Address State
TCP 192.168.1.92:137 0.0.0.0:0 LISTENING
TCP 192.168.1.92:138 0.0.0.0:0 LISTENING
UDP 192.168.1.92:137 *:*
UDP 192.168.1.92:138 *:*
其中”Local Address”栏即本机IP地址,冒号后为port号。正常情况下没有安装其它TCP服务时,上述输出只有137~139几个port处于Listen状态; 若未安装其它TCP服务程序,但在netstat -an的输出中发现有别的port处于Listen状态则该机器已经被感染了木马。这里需要说明2点:1 “Local Address”栏中IP地址若为127.0.0.1则无害, 而IP地址若为0.0.0.0且port不是137~139则要引起注意了。2有的木马比较隐蔽,平时是看不到它,只有当机器接入Internet时它才处于Listen状态。在上网过程中要下载软件、收发信件、网上聊天等必然打开一些端口,下面是一些常用的端口:
(1)1~1024之间的端口:这些是保留端口,是某些对外通信程序专用的,如FTP 使用21,S
MTP使用25,POP3使用110等。木马很少使用这些保留端口。
(2)1025以上的连续端口:在上网浏览时,浏览器会打开多个连续的端口将文字、图片下载到本地硬盘。这些端口都是1025以上的连续端口。
(3)4000端口是QICQ的通信端口。6667端口是IRC的通信端口。
上述的端口基本可以排除在外。若发现还有其它端口打开,尤其是数值比较大的端口,就要怀疑是否感染了木马。当然如果木马有定制端口的功能,则任何端口都有可能是木马端口。 如果用netstat -an发现了异常(有时在使用系统时也能感到异常),应该从以下8个方面检查:
(1)WIN.INI:用文本方式打开WINDOWS目录下的配置文件win.ini。在[windows]字段中有启动命令”load=”和“run=”,一般情况下“=”右边是空白的,否则就有可能是木马。
(2)SYSTEN.INI:用文本方式打开WINDOWS目录下的配置文件system.ini。若发现字段[386Enh]、[mic]和[drivers32]中有命令行,则需要检查其中是否有木马的启动命令。此外,[BOOT]字段下面有条命令“shell=wxplorer.exe”,如果是“shell=explorer 程序名”,则后面跟着的那个程序就是“木马”程序。
(3)Autoexec.bat和Config.sys:系统盘根目录下的这2个文件也可以启动木马。但这种加载方式需要控制端用户与服务端建立连接后, 将已加入木马启动命令的同名文件上传到服务端覆盖这二个文件。
(4)*INI:即应用程序的启动配置文件。控制端利用这些文件能启动程序的特点,将制作好的带有木马启动命令的同名文件上传到服务端覆盖相应文件,就可以启动木马。
(5)注册表1:打开HKEY_LOCAL_MACHINE\Softwae\Microsoft\Windows\CurrentVersion\ 下5个以Run和Run-Services开头的主键,在其中寻找可能是启动木马的键值。
(6)注册表2:打开HKEY_CLASES_ROOT\文件类型\shell\open\command主键,查看其键值。如国产木马“冰河”就是修改HKEY_CLASES_ROOT\txtfile\shell\open\command下的键值, 将“C:WINDOWS\NOTEPAD.EXE%1”更改为“C:WINDOWS\SYSTEM\SYSEXPLR.EXE%1”。此时只要双击TXT文件, 本来是要应用NOTEPAD打开文件,而实际上却启动了木马程序。其实不只是TXT文件,通过修改HTML、EXE、ZIP等文件的启动
命令的键值都可以启动木马。不同之处只在于“文件类型”这个主键,TXT的主键是txtfile,ZIP的主键是WINZIP。
(7)捆绑文件:实现该触发条件首先要控制端和服务端已通过木马建立连接, 接着控制端用户用工具软件将木马文件和某个应用程序捆绑在一起,然后上传到服务端覆盖原文件。这样即使木马被删除了,只要运行捆绑着木马的应用程序,木马就又会被重新安装。
(8)启动菜单:在“ 开始/程序/启动”选项下也可能有木马的触发条件。
如果在以上+ 项检查中发现有可疑程序,则将其连同该注册表项一同删除,再重启系统,木马就会被清除。这里还需要几点说明:
(1)木马正在运行时,无法删除其程序。须重新启动、
进入dos方式将其删除。
(2)有的木马能够自动检查它在注册表中的自启动项。如果在木马处于活动时删除该项,它可以自动恢复。此时只能重启进入DOS方式, 将其程序删除后再进入Wi9x下,将其注册
表中的自启动项剔除(操作顺序不能错)。
(3)在删除和修改注册表前一定要先做备份(注册表的备份与恢复可以用regedit中的“导出注册表”和“引入注册表”来完成)。
篇二:特洛伊木马术攻击方法和对它的防范对策
特洛伊木马术攻击方法和对它的防范对策
“木马”程序会想尽一切办法隐藏自己,主要途径有:在任务栏中隐藏自己,
这是最基本的只要把Form的Visible属性设为False、ShowInTaskBar设为False,程序运行时就不会出现在任务栏中了。
在任务管理器中隐形:将程序设为“系统服务”可以很轻松地伪装自己。
当然它也会悄无声息地启动,你当然不会指望用户每次启动后点击“木马”图标来运行服务端,
“木马”会在每次用户启动时自动装载服务端,Windows系统启动时自动加载应用程序的方法,“木马”都会用上,
如:启动组、win.ini、system.ini、注册表等等都是“木马”藏身的好地方。下面具体谈谈“木马”是怎样自动加载的。
在win.ini文件中,在[WINDOWS]下面,“run=”和“load=”是可能加载“木马”程序的途径,必须仔细留心它们。
一般情况下,它们的等号后面什么都没有,如果发现后面跟有路径与文件名不是你熟悉的启动文件,
你的计算机就可能中上“木马”了。当然你也得看清楚,因为好多“木马”,如“AOL Trojan木马”,
它把自身伪装成command.exe文件,如果不注意可能不会发现它不是真正的系统启动文件。
在system.ini文件中,在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”,如果不是“explorer.exe”,
而是“shell= explorer.exe 程序名”,那么后面跟着的那个程序就是“木马”程序,就是说你已经中“木马”了。
在注册表中的情况最复杂,通过regedit命令打开注册表编辑器,在点击至:“HKEY-LOCAL-MACHINE”目录下,
查看键值中有没有自己不熟悉的自动启动文件,扩展名为EXE,这里切记:有的“木马”程序生成的文件很像系统自身文件,
想通过伪装蒙混过关,如“Acid Battery v1.0木马”,它将注册表
“HKEY-LOCAL-MACHINE”下的 Explorer 键值
改为Explorer=“C:.exe”,“木马”程序与真正的Explorer之间只有“i”与“l”的差别。
当然在注册表中还有很多地方都可以隐藏“木马”程序,
如:“HKEY-CURRENT-USER”、“HKEY-USERS\u65290***”的目录下都有可能,
最好的办法就是在“HKEY-LOCAL-MACHINE”下找到“木马”程序的文件名,再在整个注册表中搜索即可。
知道了“木马”的工作原理,查杀“木马”就变得很容易,如果发现有“木马”存在,
最安全也是最有效的方法就是马上将计算机与网络断开,防止黑客通过网络对你进行攻击。
然后编辑win.ini文件,将[WINDOWS]下面,“run=“木马”程序”或“load=“木马”程序”更改为“run=”和“load=”;
编辑system.ini文件,将[BOOT]下面的“shell=?木马?文件”,更改
为:“shell=explorer.exe”;在注册表中,
用regedit对注册表进行编辑,先在“HKEY-LOCAL-MACHINE”下找到“木马”程序的文件名,
再在整个注册表中搜索并替换掉“木马”程序,有时候还需注意的是:
有的“木马”程序并不是直接将“HKEY-LOCAL-MACHINE”下的“木马”键值删除就行了,
因为有的“木马”如:BladeRunner“木马”,如果你删除它,“木马”会立即自动加上,
你需要的是记下“木马”的名字与目录,然后退回到MS-DOS下,找到此“木马”文件并删除掉。
重新启动计算机,然后再到注册表中将所有“木马”文件的键值删除。
至此,我们就大功告成了。
由于注册表对于普通用户来说比较复杂,木马常常喜欢隐藏在这里。检查注册表启动项的方法如下:点击“开始”->“运行”->“regedit”,然后检查:
HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion下所有以“run”开头的键值;
HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion下所有以“run”开头的键值;
HKEY-USERS Default Software Microsoft Windows CurrentVersion下所有以“run”开头的键值。
篇三:网络安全知识竞赛答案长寿小学
网络安全知识竞赛题库长寿小学
1. “维基解密”网站的总部位于 (D)
A. 美国五角大楼 B. 中国中南海 C. 联合国总部 D. 没有公开办公地址
2. 关于“维基解密”网站的说法正确的是 (D)
A. 办公地址在美国五角大楼 B. 办公地址在中国中南海
C. 办公地址在联合国总部 D. 没有公开办公地址
3. 关于“维基解密”网站的说法正确的是 (B)
A. 网站办公地址在美国五角大楼 B. 网站没有公布办公邮箱
C. 网站办公地址在联合国总部 D. 网站公开了办公电话号码
4. 关于“维基解密”网站的说法不正确的是 (A)
A. 网站办公地址在美国五角大楼 B. 网站没有公布办公邮箱
C. 网站没有其总部地址 D. 网站没有公开办公电话号码
5. 以下提供的云存储是安全的服务商是 (D)
A. 百度 B. 360
C. 苹果 D. 没有能提供绝对安全的服务商
6. 苹果的 icloud 存在安全策略漏洞,苹果公司采用 方法进行弥补 (B)
A. 删除密码 B. 限定账户每天登录次数
C. 一次验证 D. 限定账户登录时间
7. 日常生活中,我们可以享受云服务带来便捷有 (D)
A. 上传、下载照片 B. 备份通讯录
C. 协作编辑文档 D. 以上全部
8. 在享受云服务带来的便捷时,数据安全的主动权掌握在 手里 (A)
A. 云服务商 B. 任意有安全资质的第三方
C. 使用云的用户 D. 云服务商和用户一致认定的第三方
9. 用户在使用云服务时,用户和云服务商之间是否需要签订隐私协议? (A)
A. 必须 B. 由用户决定
C. 由云服务商决定 D. 由具有安全资质的第三方决定
10. 关于比特币敲诈者的说法不正确的是 (D)
A. 流行于 2015 年初
B. 受害者只要在规定时间内交纳一定数额的比特币,才可以解开被病毒加密的资料
C. 病毒作者波格挈夫来自俄罗斯
D. 主要通过网页传播
11. 关于比特币的说法不正确的是 (C)
A. 比特币不是法定货币
B. 具有一定的流通性和认可度
C. 交易不完全匿名,可以通过账号追查到敲诈者的具体开户信息
D. 比特币交易在随机匿名并且加密传输的网络中进行
12. 比特币是 (D)
A. 美国法定货币 B. 网络通用电子货币
C. 国际通用货币 D. 有一定流通性和认可性的虚拟货币
青少年网络信息安全知识竞赛 题库
77
13. 以下不属于比特币的特点是 (C)
A. 非法定货币 B. 有一定的流通性和认可度
C. 实名交易 D. 交易在加密的网络中进行
14. 熊猫烧香的作者是 (D)
A. 波格契夫 B. 朱利安·阿桑奇
C. 格蕾丝·赫帕 D. 李俊
15. 熊猫烧香是 (A)
A. 蠕虫 B. 木马 C. 漏洞 D. 病毒
16. 以下不是电脑感染熊猫烧香后的特征是 (D)
A. 可执行文件图标均变为憨态可掬烧香膜拜的熊猫 B. 蓝屏
C. 计算机频繁重启 D. 文件被复制
17. 以下不属于弥补 openssl 安全漏洞措施的是 (D)
A. 更新补丁 B. 更新 X.509 证书
C. 更换泄露的密钥 D. 杀毒
18. SSL 协议指的是 (B)
A. 加密认证协议 B. 安全套接层协议
C. 授权认证协议 D. 安全通道协议
19. 关于“心脏出血”漏洞的阐述错误的是 (B)
A. 通过读取网络服务器内存,攻击者可以访问敏感数据
B. 该病毒可使用户心脏出血
C. 心脏出血漏洞是“灾难性的”
D. “心脏出血”漏洞的危险性在于,它要比一般的漏洞潜伏得更深
20. 以下不是心脏出血的应对方法是 (D)
A. 发布和更新程序补丁 B. 更新失效的 X.509 安全证书
C. 更换泄漏的密钥 D. 重新开发网站
21. 心脏出血会导致以下 信息被泄露 (C)
A. 存储在客户端的重要信息
B. 邮件附件中的重要信息
C. 存储在网站服务器内存中的重要信息
D. 正在网络中传输的重要信息
22. 下列不是网络战的形式是 (B)
A. 网络情报战 B. 火力攻击 C. 网络舆论战 D. 网络摧毁战
23. 下列不是信息化战争的“软打击”的是 (A)
A. 精确导弹攻击 B. 网络攻击 C. 心理攻击 D. 媒体攻击
24. 以下属于网络战争的是 (D)
A. 网络盗窃战 B. 网络舆论战 C. 网络摧毁战 D. 以上都是
25. .XP 靶场由 出资建设 (A)
A. 政府 B. 网络安全专家
C. 民间自发组织 D. 安全防护公司
78
传播网络正能量 争做中国好网民
26. 下列安全软件不是 XP 靶场中的攻击对象是 (D)
A. 360 安全卫士 B. 金山毒霸 C. 百度杀毒 D. 卡巴斯基
27. 第一次“XP 靶场”活动于 开展 (A)
A. 2014 年 7 月 B. 2014 年 12 月 C. 2015 年 1 月 D. 2015 年 5 月
28. xp 靶场的提出是源于 (A)
A. 微软停止对 Windows xp 的技术支持服务
B. 网络战争的提出
C. 摆渡攻击
D. 肉鸡
29. xp 靶场的打靶对象主要是 (A)
A. 国内的安全防护软件 B. 国际的安全防护软件
C. 国内的数据库软件 D. 国内的自动化办公软件
30. xp 靶场关注的是 (A)
A. 国内安全软件对 windows xp 的保护能力
B. 国内安全软件对国产办公软件的保护能力
C. 国际安全软件对 windows xp 的保护能力
D. 国际安全软件对 windows office 的保护能力
31. 黑客是指 (A)
A. 计算机入侵者 B. 穿黑衣服的客人 C. 黑色的人 D. 白客的敌人
32. 下列不是黑客的段位是 (D)
A. 脚本小子 B. 半仙 C. 幼虫 D. 新手
33. 下列属于黑客中的分类是 (D)
A. 绿钢笔 B. 黑鞋子 C. 白手套 D. 白帽子
34. 黑客的最高境界是 (A)
A. 大师 B. 王者 C. 第一名 D. 不败
35. 下列作品中顶级黑客凯文米特尼克的作品是 (A)
A. 《欺骗的艺术》 B. 《活着》 C. 《围城》 D. 《红高粱》
36. 为了有效抵御网络黑客攻击,可以采用 作为安全防御措施 (C)
A. 绿色上网软件 B. 杀病毒软件 C. 防火墙
37. 黑客的主要攻击手段包括 (A)
A. 社会工程攻击、蛮力攻击和技术攻击
B. 人类工程攻击、武力攻击及技术攻击
C. 社会工程攻击、系统攻击及技术攻击
38. 从统计的情况看,造成危害最大的黑客攻击是 (C)
A. 漏洞攻击 B. 蠕虫攻击 C. 病毒攻击
39. 黑客造成的主要安全隐患包括 (A)
A. 破坏系统、窃取信息及伪造信息
B. 攻击系统、获取信息及假冒信息
C. 进入系统、损毁信息及谣传信息
青少年网络信息安全知识竞赛 题库
79
40. 网页病毒主要通过 途径传播 (C)
A. 邮件 B. 文件交换 C. 网页浏览 D. 光盘
41. 计算机病毒是一种 (A)
A. 计算机程序 B. 数据 C. 临时文件 D. 应用软件
42. 我国是在 年出现第一例计算机病毒 (C)
A.1980 B.1983 C.1988 D.1977
43. 计算机病毒不能够 (D)
A. 破坏计算机功能或者破坏数据 B. 影响计算机使用
C. 能够自我复制 D. 感染计算机使用者
44. 以下防止计算机中毒注意事项错误的是 (A)
A. 不使用网络,以免中毒 B. 经常备份数据
C. 备好启动盘 D. 避免在不安全的计算机上使用存储介质
45. 下列不属于电脑病毒的特征的是 (A)
A. 突发性 B. 破坏性 C. 繁殖性和传染性 D. 潜伏性
46. 以下防治病毒的方法中错误的是 (D)
A. 定期修补漏洞,安装补丁 B. 安装杀毒软件
C. 定期备份数据 D. 拒绝与他人任何方式交换数据
47. 曾经危害比较广泛的病毒是 (D)
A. 梅花 B. 美杜莎 C. 狐狸烧香 D. 熊猫烧香
48. 不属于计算机病毒防治的策略的是 (D)
A. 确认您手头常备一张真正“干净”的引导盘
B. 及时、可靠升级反病毒产品
C. 新购置的计算机软件也要进行病毒检测
D. 整理磁盘
49. 第一个计算机病毒出现在 (B)
A. 40 年代 B. 70 年代 C. 90 年代 D. 60 年代
50. 传入我国的第一例计算机病毒是 (B)
A. 大麻病毒 B. 小球病毒 C. 1575 病毒 D. 米开朗琪罗病毒
51. Windows 操作系统提供的完成注册表操作的工具是 (D)
A. syskey B. msconfig C. ipconfig D. regedit
52. 将个人电脑送修时,最好取下 电脑部件 (C)
A. CPU B. 内存 C. 硬盘 D. 显卡
53. 在 Internet 上,不属于个人隐私信息的是 (A)
A. 昵称 B. 姓名 C. 生日 D. 手机号码
54. 故意制作、 传播计算机病毒等破坏性程序, 影响计算机系统正常运行, 后果严重的, 将受到 处罚 (A)
A. 处五年以下有期徒刑或者拘役 B. 拘留 C. 罚款 D. 警告
55. 计算机病毒防治产品根据 标准进行检验 (A)
A. 计算机病毒防治产品评级准则 B. 计算机病毒防治管理办法
80
传播网络正能量 争做中国好网民
C. 基于 DOS 系统的安全评级准则 D. 计算机病毒防治产品检验标准
56. 《计算机病毒防治管理办法》是在 颁布的 (C)
A. 1994 年 B. 1997 年 C. 2000 年 D. 1998 年
57. Code Red 爆发于 2001 年 7 月,利用微软的 IIS 漏洞在 Web 服务器之间传播。针 对这一漏洞,微软早在 2001 年三月就发布了相关的补丁。如果今天服务器仍然感 染 Code Red,那么属于哪个阶段的问题 (C)
A. 微软公司软件的设计阶段的失误 B. 微软公司软件的实现阶段的失误
C. 系统管理员维护阶段的失误 D. 最终用户使用阶段的失误
58. 为了防止各种各样的病毒对计算机系统造成危害,可以在计算机上安装防病毒软 件,并注意及时 ,以保证能防止和查杀新近出现的病毒 (B)
A. 分析 B. 升级 C. 检查
59. 下列防止电脑病毒感染的方法,错误的是 (B)
A. 不随意打开来路不明的电子邮件 B. 不用硬盘启动
C. 不用来路不明的程序 D. 使用杀毒软件
60. 计算机病毒是 (C)
A. 一种侵犯计算机的细菌 B. 一种坏的磁盘区域
C. 一种特殊程序 D. 一种特殊的计算机
61. 以下软件不是杀毒软件的是 (B)
A. 瑞星 B. IE C. 诺顿 D. 卡巴斯基
62. 下面并不能有效预防病毒的方法是 (B)
A. 尽量不使用来路不明的 U 盘
B. 使用别人的 U 盘时,先将该 U 盘设置为只读
C. 使用别人的 U 盘时,先将该 U 盘用防病毒软件杀毒
D. 别人要拷贝自己的 U 盘上的东西时,先将自己的 U 盘设置为只读
63. 杀毒软件不可能杀掉的病毒是 (A)
A. 只读型光盘上的病毒 B. 硬盘上的病毒
C. 软盘上的病毒 D. U 盘上的病毒
64. 下面为预防计算机病毒,不正确的做法是 (A)
A. 一旦计算机染上病毒,立即格式化磁盘
B. 尽量不要让他人使用自己的计算机,尤其是不能让其带他的程序盘来运行
C. 不轻易下载不明的软件
D. 要经常备份重要的数据文件
65. 以下与计算机染上病毒无关的现象是 (D)
A. 系统出现异常启动或经常“死机”
B. 程序或数据突然丢失
C. 磁盘空间变小
D. 打印机经常卡纸
66. 当软盘感染病毒,用各种清除病毒软件都不能清除病毒时,则应该对此软盘
A. 丢弃不用 B. 删除所有文件
青少年网络信息安全知识竞赛 题库
81
C. 进行格式化 D. 用酒精擦洗磁盘表面
67. 计算机不可能传染病毒的途径是 (A)
A. 使用空白新软盘 B. 使用来历不明的软盘
C. 打开了不明的邮件 D. 下载了某个游戏软件
68. 下列有关计算机病毒的说法中,错误的是 (C)
A. 计算机病毒可以通过 WORD 文档进行传播
B. 用杀毒软件将一片软盘杀毒之后,该软盘仍会再染病毒
C. 计算机病毒可以自动生成
D. 计算机病毒在某些条件下被激活之后,才开始起干扰和破坏作用
69. 下面最不可能是病毒引起的现象是 (C)
A. 即使只打开一个 Word 文件,也显示“内存不够”
B. 原来可正常演示 PPT 文件现在无法正常播放
C. 电源风扇声突然变大
D. 文件长度无故变长 C)(
《XP系统中如何杀掉特洛伊木马》出自:百味书屋
链接地址:http://www.850500.com/news/24176.html
转载请保留,谢谢!