【正文】 整理分享 。普通計(jì)算機(jī)病毒需要在計(jì)算機(jī)的硬件或文件系統(tǒng)中繁殖，而典型的蠕蟲程序會(huì)在內(nèi)存中維持一個(gè)活動(dòng)副本。一旦在系統(tǒng)中激活，蠕蟲可以表現(xiàn)得象計(jì)算機(jī)病毒或細(xì)菌。因此檢測(cè)病毒程序可利用病毒的特征代碼來檢測(cè)病毒，以防止病毒程序感染。病毒代碼的主要部分相同，但表達(dá)方式發(fā)生了變化，也就是同一程序由不同的字節(jié)序列表示。5）多態(tài)性 病毒試圖在每一次感染時(shí)改變它的形態(tài)，使對(duì)它的檢測(cè)變得更困難。4）潛伏性 病毒進(jìn)入系統(tǒng)之后一般不會(huì)馬上發(fā)作，可以或長(zhǎng)或短地潛伏在合法程序中，進(jìn)行傳染而不被人發(fā)現(xiàn)。病毒取得系統(tǒng)控制權(quán)后，可以在很短時(shí)間里傳染大量其他程序，而且計(jì)算機(jī)系統(tǒng)通常仍能正常運(yùn)行，用戶不會(huì)感到任何異常（非常危險(xiǎn)）。近年來隨著將特洛伊木馬程序、蠕蟲程序等納入計(jì)算機(jī)病毒的范疇，將盜取信息、使用他人計(jì)算機(jī)的資源等也列入了破壞行為的范圍。所謂“感染”，就是病毒將自身嵌入到合法程序的指令序列中，致使執(zhí)行合法程序的操作會(huì)招致病毒程序的共同執(zhí)行或以病毒程序的執(zhí)行取而代之。病毒能夠?qū)⒆陨泶a主動(dòng)復(fù)制到其他文件或扇區(qū)中，這個(gè)過程并不需要人為的干預(yù)。6. 計(jì)算機(jī)病毒的定義和特征是什么？計(jì)算機(jī)病毒，是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。（2）細(xì)菌 在計(jì)算機(jī)系統(tǒng)中不斷復(fù)制自己的程序。新感染系統(tǒng)采取同樣的方式進(jìn)行復(fù)制和傳播，使得蠕蟲傳播非常迅速。蠕蟲不需要宿主，不會(huì)與其他特定功能程序混合。3. 可感染的依附性惡意代碼 計(jì)算機(jī)病毒是一段附著在其他程序上的可以進(jìn)行自我復(fù)制的代碼，由于絕大多數(shù)惡意代碼都或多或少地具有計(jì)算機(jī)病毒的特征。它專門對(duì)抗反病毒檢測(cè)，使用了加密手段，以阻止反病毒程序發(fā)現(xiàn)它們。（3）后門或陷門 是進(jìn)入系統(tǒng)或程序的一個(gè)秘密入口，它能夠通過識(shí)別某種特定的輸入序列或特定帳戶，使訪問者繞過訪問的安全檢查、直接獲得訪問權(quán)利，并且通常高于普通用戶的特權(quán)。（2）邏輯炸彈 一段具有破壞性的代碼，事先預(yù)置于較大的程序中，等待某扳機(jī)事件（特殊日期或指定事件）發(fā)生觸發(fā)其破壞行為。電子新聞組和電子郵件是它的主要傳播途徑。1. 不感染的依附性惡意代碼（1）特洛伊木馬 一段能實(shí)現(xiàn)有用的或必需的功能的程序，但是同時(shí)還完成一些不為人知的功能，這些額外的功能往往是有害的（試圖訪問未授權(quán)資源、試圖阻止正常訪問、試圖更改或破壞數(shù)據(jù)和系統(tǒng)等）。需要宿主的惡意代碼具有依附性，不能脫離宿主而獨(dú)立運(yùn)行；不需宿主的惡意代碼具有獨(dú)立性，可不依賴宿主而獨(dú)立運(yùn)行。黑客編寫的擾亂社會(huì)和個(gè)人，甚至起著破壞作用的計(jì)算機(jī)程序，就是惡意代碼。9．什么是漏洞掃描？ 系統(tǒng)漏洞檢測(cè)又稱漏洞掃描，就是對(duì)重要網(wǎng)絡(luò)信息進(jìn)行檢查，發(fā)現(xiàn)其中可被攻擊者利用的漏洞。5 掩蓋蹤跡（Covering Tracks） 此時(shí)最重要就隱藏自己蹤跡，以防被管理員發(fā)覺，比如清除日志記錄、使用rootkits等工具。通?？梢圆捎妹艽a破解(如用L0phtcrack破解NT的SAM文件)、利用已知的漏洞或脆弱點(diǎn)等技術(shù)。2 獲得訪問權(quán)（Gaining Access） 通過密碼竊聽、共享文件的野蠻攻擊、攫取密碼文件并破解或緩沖區(qū)溢出攻擊等來獲得系統(tǒng)的訪問權(quán)限。比如說，一旦查點(diǎn)查出一個(gè)有效用戶名或共享資源，攻擊者猜出對(duì)應(yīng)的密碼或利用與資源共享協(xié)議關(guān)聯(lián)的某些脆弱點(diǎn)通常就只是一個(gè)時(shí)間問題了。2) 掃描（Scanning） 在掃描階段，我們將使用各種工具和技巧(如Ping掃射、端口掃描以及操作系統(tǒng)檢測(cè)等)確定哪些系統(tǒng)存活著、它們?cè)诒O(jiān)聽哪些端口(以此來判斷它們?cè)谔峁┠男┓?wù))，甚至更進(jìn)一步地獲知它們運(yùn)行的是什么操作系統(tǒng)。Whois數(shù)據(jù)庫查詢可以獲得很多關(guān)于目標(biāo)系統(tǒng)的注冊(cè)信息，DNS查詢(用Windows/UNIX上提供的nslookup命令客戶端)也可令黑客獲得關(guān)于目標(biāo)系統(tǒng)域名、IP地址、DNS務(wù)器、郵件服務(wù)器等有用信息。一般先大量收集網(wǎng)上主機(jī)的信息，然后根據(jù)各系統(tǒng)的安全性強(qiáng)弱確定最后的目標(biāo)。第二十章 安全掃描技術(shù)一、問答題1. 簡(jiǎn)述常見的黑客攻擊過程。 原始IP包的IP地址通常是企業(yè)私有網(wǎng)絡(luò)規(guī)劃的保留IP地址，而外層的IP地址是企業(yè)網(wǎng)絡(luò)出口的IP地址，因此，盡管私有網(wǎng)絡(luò)的IP地址無法和外部網(wǎng)絡(luò)進(jìn)行正確的路由，但這個(gè)封裝之后的IP包可以在Internet上路由——最簡(jiǎn)單的VPN技術(shù)。在GRE中，乘客協(xié)議就是上面這些被封裝的協(xié)議，封裝協(xié)議就是GRE，傳輸協(xié)議就是IP。8. 了解第三層隧道協(xié)議——GRE。（2）封裝協(xié)議：用于建立、保持和拆卸隧道，如L2F、PPTP、L2TP、GRE。其實(shí)也是一種網(wǎng)關(guān)對(duì)網(wǎng)關(guān)的VPN，但它需要有不同協(xié)議和設(shè)備之間的配合和不同的安全配置。在異地兩個(gè)網(wǎng)絡(luò)的網(wǎng)關(guān)之間建立了一個(gè)加密的VPN隧道，兩端的內(nèi)部網(wǎng)絡(luò)可以通過該VPN隧道安全地進(jìn)行通信。 撥入方式包括撥號(hào)、ISDN、ADSL等，唯一的要求就是能夠使用合法IP地址訪問Internet。4. VPN有哪三種類型？它們的特點(diǎn)和應(yīng)用場(chǎng)合分別是什么？1. Access VPN（遠(yuǎn)程接入網(wǎng)） 即所謂移動(dòng)VPN，適用于企業(yè)內(nèi)部人員流動(dòng)頻繁和遠(yuǎn)程辦公的情況，出差員工或在家辦公的員工利用當(dāng)?shù)豂SP就可以和企業(yè)的VPN網(wǎng)關(guān)建立私有的隧道連接。3）對(duì)于支持遠(yuǎn)程接入或動(dòng)態(tài)建立隧道的VPN，在隧道建立之前需要確認(rèn)訪問者身份，是否可以建立要求的隧道，若可以，系統(tǒng)還需根據(jù)訪問者身份實(shí)施資源訪問控制。（不僅指定傳送的路徑，在中轉(zhuǎn)節(jié)點(diǎn)也不會(huì)解析原始數(shù)據(jù)）2）當(dāng)用戶數(shù)據(jù)需要跨越多個(gè)運(yùn)營(yíng)商的網(wǎng)絡(luò)時(shí)，在連接兩個(gè)獨(dú)立網(wǎng)絡(luò)的節(jié)點(diǎn)該用戶的數(shù)據(jù)分組需要被解封裝和再次封裝，可能會(huì)造成數(shù)據(jù)泄露，這就需要用到加密技術(shù)和密鑰管理技術(shù)。 隧道以疊加在IP主干網(wǎng)上的方式運(yùn)行。1）隧道（封裝）技術(shù)是目前實(shí)現(xiàn)不同VPN用戶業(yè)務(wù)區(qū)分的基本方式。在該通道內(nèi)傳輸?shù)臄?shù)據(jù)經(jīng)過了加密和認(rèn)證，保證了傳輸內(nèi)容的完整性和機(jī)密性。VPN則是利用公共網(wǎng)絡(luò)資源和設(shè)備建立一個(gè)邏輯上的專用通道，盡管沒有自己的專用線路，但它卻可以提供和專用網(wǎng)絡(luò)同樣的功能。VPN是Virtual Private Network的縮寫，是將物理分布在不同地點(diǎn)的網(wǎng)絡(luò)通過公用骨干網(wǎng)，尤其是Internet連接而成的邏輯上的虛擬子網(wǎng)。只有代理服務(wù)器和先進(jìn)的過濾才能實(shí)現(xiàn)。(6) 內(nèi)容控制功能。(4) 防火墻是審計(jì)和記錄Internet使用費(fèi)用的一個(gè)最佳地點(diǎn)。(2) 防火墻可以方便地記錄網(wǎng)絡(luò)上的各種非法活動(dòng)，監(jiān)視網(wǎng)絡(luò)的安全性，遇到緊急情況報(bào)警。(3) 防火墻自身具有高可靠性，應(yīng)對(duì)滲透(Penetration)免疫，即它本身是不可被侵入的。2. 防火墻應(yīng)滿足的基本條件是什么？作為網(wǎng)絡(luò)間實(shí)施網(wǎng)間訪問控制的一組組件的集合，防火墻應(yīng)滿足的基本條件如下：(1) 內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有數(shù)據(jù)流必須經(jīng)過防火墻。 防火墻所遵循的原則是在保證網(wǎng)絡(luò)暢通的情況下，盡可能保證內(nèi)部網(wǎng)絡(luò)的安全。如果沒有防火墻，則整個(gè)內(nèi)部網(wǎng)絡(luò)的安全性完全依賴于每個(gè)主機(jī)，因此，所有的主機(jī)都必須達(dá)到一致的高度安全水平，這在實(shí)際操作時(shí)非常困難。第十八章 防火墻技術(shù)三、問答題1. 什么是防火墻，為什么需要有防火墻？防火墻是一種裝置，它是由軟件/硬件設(shè)備組合而成，通常處于企業(yè)的內(nèi)部局域網(wǎng)與Internet之間，限制Internet用戶對(duì)內(nèi)部網(wǎng)絡(luò)的訪問以及管理內(nèi)部用戶訪問Internet的權(quán)限。SSL握手協(xié)議負(fù)責(zé)建立當(dāng)前會(huì)話狀態(tài)的參數(shù)。SSL記錄協(xié)議用來定義數(shù)據(jù)傳輸?shù)母袷?，它包括的記錄頭和記錄數(shù)據(jù)格式的規(guī)定。9. 簡(jiǎn)述SSL的記錄協(xié)議和握手協(xié)議。SSL握手協(xié)議準(zhǔn)許服務(wù)器端與客戶端在開始傳輸數(shù)據(jù)前，能夠通過特定的加密算法相互鑒別。SSL協(xié)議包括以下一些子協(xié)議；SSL記錄協(xié)議、SSL握手協(xié)議、SSL更改密碼說明協(xié)議和SSL警告協(xié)議。 在TCP/IP協(xié)議族中，SSL位于TCP層之上、應(yīng)用層之下。它是Netscape公司提出的基于Web應(yīng)用的安全協(xié)議，它包括服務(wù)器認(rèn)證、客戶認(rèn)證(可選)、SSL鏈路上的數(shù)據(jù)完整性和SSL鏈路上的數(shù)據(jù)保密性。3. 說明SSL的概念和功能。程序設(shè)計(jì)人員的一個(gè)簡(jiǎn)單的錯(cuò)誤或不規(guī)范的編程就可能為系統(tǒng)增加一個(gè)安全漏洞。3. 畫圖說明PGP的工作原理。目前的Internet上，有兩套成型的端到端安全電子郵件標(biāo)準(zhǔn)：PGP和S/MIME。當(dāng)收信人打開附件后，病毒會(huì)查詢他的通訊簿，給其上所有或部分人發(fā)信，并將自身放入附件中，以此方式繼續(xù)傳播擴(kuò)散。3）郵件炸彈指在短時(shí)間內(nèi)向同一信箱發(fā)送大量電子郵件的行為，信箱不能承受時(shí)就會(huì)崩潰。2）詐騙郵件通常指那些帶有惡意的欺詐性郵件。第十六章 電子郵件的安全一、問答題1. 電子郵件存在哪些安全性問題？1）垃圾郵件包括廣告郵件、騷擾郵件、連鎖郵件、反動(dòng)郵件等。IKE將密鑰協(xié)商的結(jié)果保留在安全聯(lián)盟(SA)中，供AH和ESP以后通信時(shí)使用。可以在兩臺(tái)主機(jī)、兩臺(tái)安全網(wǎng)關(guān)（防火墻和路由器），或者主機(jī)與安全網(wǎng)關(guān)之間使用。數(shù)據(jù)包加密是指對(duì)一個(gè)IP包進(jìn)行加密（整個(gè)IP包或其載荷部分），一般用于客戶端計(jì)算機(jī)；數(shù)據(jù)流加密一般用于支持IPSec的路由器，源端路由器并不關(guān)心IP包的內(nèi)容，對(duì)整個(gè)IP包進(jìn)行加密后傳輸，目的端路由器將該包解密后將原始數(shù)據(jù)包繼續(xù)轉(zhuǎn)發(fā)。數(shù)據(jù)完整性驗(yàn)證通過哈希函數(shù)（如MD5）產(chǎn)生的校驗(yàn)來保證；數(shù)據(jù)源身份認(rèn)證通過在計(jì)算驗(yàn)證碼時(shí)加入一個(gè)共享密鑰來實(shí)現(xiàn)；AH報(bào)頭中的序列號(hào)可以防止重放攻擊。2. IPSec包含了哪3個(gè)最重要的協(xié)議？簡(jiǎn)述這3個(gè)協(xié)議的主要功能？IPSec眾多的RFC通過關(guān)系圖組織在一起，它包含了三個(gè)最重要的協(xié)議：AH、ESP、IKE。在前者中是必須支持的，在后者中是可選的。不是一個(gè)單獨(dú)的協(xié)議，而是一組協(xié)議。 其中最為重要的是CA自己的一對(duì)密鑰的管理，它必須確保高度的機(jī)密性，防止他方偽造證書。? 對(duì)整個(gè)證書簽發(fā)過程做日志記錄。? 確保證書主體標(biāo)識(shí)的惟一性，防止重名。? 證書材料信息(包括公鑰證書序列號(hào)、CA標(biāo)識(shí)等)的管理。? 確保CA用于簽名證書的非對(duì)稱密鑰的質(zhì)量。通常，用戶的最初信任對(duì)象包括用戶的朋友、家人或同事，但是否信任某證書則被許多因素所左右。從根本上講，它更類似于認(rèn)證機(jī)構(gòu)的嚴(yán)格層次結(jié)構(gòu)模型，這是一種有隱含根的嚴(yán)格層次結(jié)構(gòu)。3. Web模型 Web模型依賴于流行的瀏覽器，許多CA的公鑰被預(yù)裝在標(biāo)準(zhǔn)的瀏覽器上。也就是說，A把CA1作為他的信任錨，而B可以把CA2做為他的信任錨。4. 有哪4種常見的信任模型？1. 認(rèn)證機(jī)構(gòu)的嚴(yán)格層次結(jié)構(gòu)模型 認(rèn)證機(jī)構(gòu)(CA)的嚴(yán)格層次結(jié)構(gòu)可以被描繪為一棵倒置的樹，根代表一個(gè)對(duì)整個(gè)PKI系統(tǒng)的所有實(shí)體都有特別意義的CA——通常叫做根CA (Root CA)，它充當(dāng)信任的根或“信任錨(Trust Anchor)”——也就是認(rèn)證的起點(diǎn)或終點(diǎn)。3. ？在PKI中信任又是什么具體含義？：當(dāng)實(shí)體A假定實(shí)體B嚴(yán)格地按A所期望的那樣行動(dòng)，則A信任B。 V3標(biāo)準(zhǔn)。第十四章 PKI技術(shù)二、問答題2. 什么是數(shù)字證書？現(xiàn)有的數(shù)字證書由誰頒發(fā)，遵循什么標(biāo)準(zhǔn)，有什么特點(diǎn)？數(shù)字證書是一個(gè)經(jīng)證書認(rèn)證中心(CA)數(shù)字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件。一個(gè)特洛