【正文】 用病毒體自帶的計數(shù)器 ；利用計算機執(zhí)行的某些特定操作 18異常入侵檢測，能夠根據(jù)異常行為和使用計算機資源的情況檢測出來的入侵。用定量的方式描述可接受的行為特征，對超出可接受的行為認為是入侵。誤用入侵檢測，利用已知系統(tǒng)和應(yīng)用軟件的弱點攻擊模型來檢測入侵。誤用入侵檢測直接檢測不可接受性為。：先軟后硬原則先外設(shè)后主機、先電源后負載、先一般后特殊、先公用后專用　先簡單后復(fù)雜19 RSA算法中：用于生成密鑰的兩個素數(shù)p＝11，q＝13，已知公鑰e＝17，求秘密密鑰d？n=p*q=11*13=143 計算歐拉指標函數(shù)(n)=(p1)(q1)=10*12=120 計算17對于120的乘逆120=17*7+1q1=7b1=0b0=1b1=1*( b0)*( q1)+ b1=1*7*1=7 所以私鑰d=7 mod (n )= 7 mod 120 =113 :攻擊對象趨于混合型反跟蹤技術(shù)增強隱蔽性加密技術(shù)處理病毒體繁衍不同變種20網(wǎng)絡(luò)操作系統(tǒng)提供的安全保障：驗證(Authentication) ；授權(quán)(Authorization) ；數(shù)據(jù)保密性(Data Confidentiality) ；數(shù)據(jù)一致性(Data Integrity) ；數(shù)據(jù)的不可否認性(Data Nonrepudiation) 20防火墻應(yīng)該具有以下功能：所有進出網(wǎng)絡(luò)的通信流都應(yīng)該通過防火墻 ；所有穿過防火墻的通信流都必須有安全策略和計劃的確認和授權(quán) ；理論上說，防火墻是穿不透的 20數(shù)據(jù)庫的特性:多用戶高可用性頻繁的更新大文件21現(xiàn)代計算機病毒流行特征:攻擊對象趨于混合型；反跟蹤技術(shù) ；增強隱蔽性 ；加密技術(shù)處理 ；病毒體繁衍不同變種 :病毒掃描程序－只能檢測已經(jīng)知道的病毒，在文件和引導(dǎo)記錄中搜索病毒的程序內(nèi)存掃描程序－掃描內(nèi)存以搜索內(nèi)存駐留文件和引導(dǎo)記錄病毒完整性檢查器行為監(jiān)視器:攻擊對象趨于混合型反跟蹤技術(shù)增強隱蔽性加密技術(shù)處理病毒體繁衍不同變種2軟件存在不可靠問題的原因計算機軟件是人工產(chǎn)品軟件的研制至今尚未成熟，投入的科學(xué)基礎(chǔ)和科學(xué)的管理制度，可能造成差錯至今尚無一套完善的程序正確驗證方法和工具24特洛伊程序代表了很高一級的危險,因為:特洛伊程序難以被發(fā)現(xiàn)；許多情況，特洛伊程序?qū)嵲诙M制代碼中發(fā)現(xiàn)的，難以閱讀；特洛伊程序可用于許多機器中24．宏病毒特征宏病毒的傳染通常是Word在打開一個帶宏病毒的文檔或模板時滿打滿算宏病毒宏病毒飲食自動宏，通過自動宏病毒取得文檔操作權(quán)，控制文件操作宏病毒中總是含有對文檔讀寫操作的宏命令，每個Word版本格式可能不兼容，例如對于TCP包頭信息為：1．IP協(xié)議類型2．IP源地址3．IP目標地址4．IP選擇域的內(nèi)容5．TCP源端口號6．TCP目標端口號7．TCPACK標識，主機計算　分布式客房機/服務(wù)器計算　網(wǎng)絡(luò)計算27病毒分布指針塊的含義: 在文件偏移0270h處存放的CIH病毒塊的長度為0190h 在文件偏移4fd4h處存放的CIH病毒塊的長度為002ch 在文件偏移584ch處存放的CIH病毒塊的長度為022fh CIH病毒的長度: 0190h+002ch+022fh=03ebh 28如何對付黑客入侵？對付黑客入侵的方法有：(1) 發(fā)現(xiàn)黑客(2) 采取應(yīng)急操作 估計入侵造成的破壞程度、切斷連接、發(fā)現(xiàn)存在的漏洞、修復(fù)漏洞(3) 抓住入侵者 定期檢查登陸文件注意不尋常的主機連接和連接次數(shù)注意原本不經(jīng)常使用但卻變得活躍的用戶27．網(wǎng)絡(luò)安全的防范措施主要有:①增強安全防范意識，凡是來自網(wǎng)上的東西都要持謹慎態(tài)度；②控制訪問權(quán)限；③選用防火墻系統(tǒng)；④設(shè)置網(wǎng)絡(luò)口令；⑤數(shù)據(jù)加密。28數(shù)據(jù)庫的安全特性包括：數(shù)據(jù)的獨立性數(shù)據(jù)安全性數(shù)據(jù)的完整性并發(fā)控制故障恢復(fù)2在校園的局域網(wǎng)中捕獲到一個以太網(wǎng)幀，此幀的全部數(shù)據(jù)如下圖所示，請對照相關(guān)協(xié)議的數(shù)據(jù)結(jié)構(gòu)圖，回答以下問題：A．此幀的用途和目的是地址解析協(xié)議的ARP查詢。 B．此幀的目的物理地址是 ff:ff:ff:ff:ff:ff，它屬于廣播地址。C．它的目的IP地址是 ，它屬于單播地址。 D．此幀的源物理地址是 00:16:76:0e:b8:76 。E．它的源IP地址是 ，它屬于私網(wǎng)IP地址。 F．此幀屬于以太網(wǎng)幀，因為類型字段0806表示ARP協(xié)議，它大于0600，所以屬于以太網(wǎng)，版本II。：　間諜：試圖偷走敏感信息的黑客、入侵者和闖入者；　盜竊：盜竊對象包括數(shù)據(jù)、Web表格、磁盤空間、CPU資源、聯(lián)接等；破壞系統(tǒng)：通過路由器或主機／服務(wù)器蓄意破壞文件系統(tǒng)或阻止授權(quán)用戶訪問內(nèi)部網(wǎng)（外部網(wǎng)）和服務(wù)器。1. 采用替代密碼算法中的凱撒密碼方法，明文P＝“ACEGBDFH”,密鑰K＝5，求密文C。密文：FHJLGIKM，設(shè)明文m=5,公開密鑰（n,e）=(143,7),秘密密鑰（n,d）＝（143,103），求加密后的密文C等于多少（要求寫出計算公式及過程）。密文C等于:C=s[Rue]modn=5[RU7]mod143=47，密文C＝“HEADVIGENERE”,密鑰K＝KEY，求明文P。明文P:HEADVIGENERE，設(shè)明文m=14,公開密鑰（n,e）=(55,3),秘密密鑰（n,d）＝（55,27），求加密后的密文C等于多少（要求寫出計算公式及過程）。密文C等于:C=s[Rue]modn=14[RU3]mod143=49：P＝5，Q＝11，E＝3，求公開密鑰及秘密密鑰n=p*q=55z=(p1)*(q1)=40d*e=1modz1=d*e40*k　　　　因e=3,則40=3*13+140*2=3*13*2+2=3*13*2+3140*2=3*(13*2+1)11=3*27+40*(2)D=27　　　　　　公開密鑰為（55,3），秘密密鑰為（55，27）采用替代密碼算法中的維吉尼亞密碼方法，明文P＝“COMPUTERBOOK”,密鑰K＝TEST，求密文C。密文C：VSDINXWKUSGD，已知S6的輸入為101011，S6（0，6）＝8，S6（3，5）＝12，S6（2，5）＝4，S6（3，6）＝15，計算S6的輸出。b1b6=3　　　　　　　　b2b3b4b5=5　　　　　　s6(3,5)=12　　　　　　　s6的輸出為1100，設(shè)明文m=5,公開密鑰（n,e）=(143,7),秘密密鑰（n,d）＝（143,103），求加密后的密文C等于多少（要求寫出計算公式及過程）。密文C等于：C=s[Rue]modn=5[RU7]mod143=47不支持TCP/IP的設(shè)備應(yīng)如何進行SNMP管理。答：SNMP要求所有的代理設(shè)備和管理站都必須實現(xiàn)TCP/IP。這樣，對于不支持TCP／IP的設(shè)備，就不能直接用SNMP進行管理。為此，提出了委托代理的概念。一個委托代理設(shè)備可以管理若干臺非TCP/IP設(shè)備，并代表這些設(shè)備接收管理站的查詢，實際上委托代理起到了協(xié)議轉(zhuǎn)換的作用，委托代理和管理站之間按SNMP協(xié)議通信，而與被管理設(shè)備之間則按專用的協(xié)議通信。請給出在PE文件上添加可執(zhí)行代碼的方法.在PE文件上添加可執(zhí)行代碼的方法:1)將添加的代碼寫到目標PE文件中，這段代碼既可以插入原代碼所處的節(jié)空隙中，也可以通過添加一個新的節(jié)附加在原文件的尾部 2)PE文件原來的入口指針必須被保存在添加的代碼中，這樣，這段代碼執(zhí)行完以后可以轉(zhuǎn)移到原始文件處執(zhí)行 3)PE文件頭中的入口指針需要被修改，指向新添加代碼中的入口地址 程序的最后的輸出:buf(len:15)= aaaaabbbbbccccc dmy(len:5)= ccccc