《信息安全原理与技术》（第2版）习题答案(7)

11.2计算机病毒的结构包括哪些模块？各个模块是如何工作的？

答：计算机病毒一般由三个模块构成：引导模块、感染模块和破坏模块。

引导模块是计算机病毒的控制中心，当程序开始工作时将病毒程序从外存引入内存，使病毒的感染模块和破坏模块处于活动状态，当触发条件满足时，病毒会按照设计的程序去调用破坏模块发动攻击。

感染模块是完成计算机病毒的扩散功能。它寻找到感染目标后，判断目标是否已被感染，若目标未感染则完成感染工作。 破坏模块是计算机病毒的核心部分，它完成设计者的破坏初衷。首先判断程序运行过程中是否出现了满足病毒触发条件的情况，若满足则调用破坏程序的功能，比如删除程序，改写磁盘上的文件内容等。

11.3什么是蠕虫病毒？它与一般计算机病毒之间的联系和区别有哪些？ 答：蠕虫病毒是自包含的程序(或是一套程序),它通常是经过某种网络连接将自身从一台计算机分发到其他计算机系统中。

蠕虫病毒具有一般计算机病毒的一些共性，如感染性、隐蔽性、破坏性等，都攻击计算机系统。

蠕虫病毒与一般计算机病毒不同的是，它利用计算机系统的漏洞主动攻击网络计算机，传播方式是采用网络连接或电子邮件方式由一台计算机自我复制到另外一台计算机，不感染文件，而一般病毒必须以其他程序文件为宿主文件进行依附感染和传播。

蠕虫和一般病毒之间的区别 存在形式 复制方式 感染方式 感染目标 触发感染 影响重点 用户 防止措施 蠕虫 独立程序 自我复制 主动攻击 网络上其他计算机 程序自身 网络、系统性能 无关 为系统漏洞打补丁 一般病毒 寄生 嵌入到宿主程序（文件）中 宿主程序运行 本地文件 计算机使用者 文件系统 病毒传播的关键环节 从宿主文件中清除 11.4什么是特洛伊木马病毒？它是如何工作的？

答：木马是一种伪装成正常程序的恶意代码。木马程序表面上看有用或无害，但却包含了为完成特殊任务而编制的代码，比如在系统中提供后门使黑客可以窃取数据、更改系统配置或实施破坏等，这些特殊功能处于隐蔽状态，执行时不为人知。

从过程上看木马入侵大致可分为六步： 1. 配置木马，木马配置程序为了在服务端尽可能的隐藏木马，会采用多种伪装手段，如修改图标，捆绑文件等。另外木马配置程序将就信息反馈的方式或地址进行设置，如设置信息反馈的邮件地址等。2. 传播木马，传播方式主要有两种：一种是通过E-MAIL，另一种是软件下载，打开邮件或者下载后，只要运行这些程序，木马就会自动安装。3. 运行木马，服务端用户运行木马或捆绑木马的程序后，木马就会自动进行安装。安装后就可以启动木马了。 4. 信息泄露，木马成功安装后会收集一些服务端的软硬件信息，并通过E-MAIL，IRC或ICO的方式告知控制端用户。 5. 建立连接，在服务端已安装了木马程序和控制端，服务端都要在线的情况下，控制端可以通过木马端口与服务端建立连接。 6. 远程控制，木马连接建立后，控制端端口和木马端口之间将会出现一条通道。控制端上的控制端程序可藉这条通道与服务端上的木马程序取得联系，并通过木马程序对服务端进行远程控制。

31

11.5计算机病毒的防治措施有哪些？蠕虫和木马是如何防治的？

答：计算机病毒的防治技术大致可以分为三个方面：预防病毒、检测病毒和清除病毒。 对于蠕虫的防治可以采用以下主要措施：

(1)修补系统漏洞及时下载系统漏洞补丁程序，并及时升级系统；

(2)设置防火墙：禁止除服务端口外的其它端口，切断蠕虫的传输通道和通信通道； (3)对邮件进行监控，防止带毒邮件进行传播；

(4)建立局域网内部的升级系统包括各种操作系统补丁程序升级、各种常用的应用软件升级、各种杀毒软件病毒库的升级等等；

(5)建立灾难备份系统对于数据库和数据系统，必须采用定期备份、多机备份措施，防止意外灾难下的数据丢失；

(6) 采用入侵检测技术：入侵检测是一种主动防御网络攻击的技术，不仅能主动监控外网的攻击还能监控来自内部的攻击，弥补了防火墙的不足。建立病毒检测系统能够在第一时间内检测到网络异常和蠕虫攻击，对感染蠕虫的机器及时断开；

(7)删除蠕虫要利用的程序：删除或重命名客户端上传程序：如ftp．exe和fftp．exe；删除或重命名命令解释器：如Unix系统下的shell，Windows系统下的cmd．exe和WScript．exe等。

普通木马病毒入侵后手工清除的基本步骤为： （1）断开网络。

（2）检查进程，发现可疑的进程立即杀掉。

（3）检查注册表。在注册表及与系统启动有关的文件里查找木马启动文件，通常木马会在注册表的“RUN”、“RUN SERVER”、“LOAD”等项下加入键值，使其能在系统启动时自动加入。

（4）在系统中找到木马文件，删除文件并删除注册表或系统启动文件中关于木马的信息。

（5）安全处理。更改用户名和密码，包括登录Network的用户名、密码、邮箱和QQ密码等，防止黑客已经在上次入侵过程中知道了你的密码。

第12章

12.1什么是无线网络？根据网络覆盖范围、传输速率和用途的差异，无线网络可以分为哪些类型？ 答：无线网络是无线技术与网络技术的结合的产物，既包括允许用户建立远距离无线连接的全球语音和数据网络，也包括为近距离无线连接进行优化的红外线技术及射频技术。

根据无线网络覆盖范围、传输速率和用途的差异，无线网络大体可分为无线广域网、无线城域网、无线局域网和无线个人区域网。

12.2无线网络面临的独特威胁是什么？

答：无线网络传输是利用电磁波实现的，电磁波在空间中发散，在信号覆盖范围内的所有终端设备都可以接收电磁波所携带的信息。这个特点使得无线网络与有线网络相比，传输的信息更容易被窃取，带来很多安全威胁，包括插入攻击、漫游攻击者、欺诈性接入点、双面恶魔攻击、窃取网络资源和对无线通信的劫持监视等。

12.3为了保障无线局域网的安全，常用的安全措施有哪些？

答：无线局域网常用安全机制有WEP、WPA/WPA2以及我国自主研发的WAPI等加密算法

32

和认证，安装个人防火墙，更改网络接入的用户名和密码，隐藏SSID和MAC地址过滤等。

12.4 简述WPA 协议实现的安全策略。

答：WPA 协议中的TKIP 算法是目前无线局域网中较WEP 更加安全的一个算法，所采用的安全策略可总结如下：

①采用Michael的消息完整性代码MIC来防止篡改攻击。 ②采用新的序号规则（TSC），防止重放攻击。 ③对各数据包采用不同密钥加密，避免弱密钥。 ④采用密钥更新机制，及时提供全新的加密密钥和完整性校验密钥，防止密钥重用带来的安全威胁。

33