方主机然后清除日志。第7章恶意代码P206一、选择题1黑客们在编写编写扰乱社会和他人的计算机程序，这些代码统称为恶意代码。22003年，SLammer蠕虫在10分钟内导致90％互联网脆弱主机受到感染。3造成广泛影响的1988年Morris蠕虫事件，就是利用邮件系统的脆弱性作为其入侵的最初突破点的。4下面不是PE格式文件的是cpp文件。5能通过产生的自动AutoRu
i
f进行传播的病毒，都可以称为U盘病毒。二、填空题1恶意代码主要包括计算机病毒（Virus）、蠕虫（Worm）、木马程序（Troja
Horse）、后门程序（Backdoor）、逻辑炸弹（LogicBomb）等等。2PE文件以一个简单的DOSMZheader开始，紧接着的是PEHeader。3早期恶意代码的主要形式是计算机病毒。4脚本病毒是以脚本程序语言编写而成的病毒，主要使用的脚本语言是VBScript和JavaScript。5网络蠕虫的功能模块可以分为主程序和引导程序。三、简答题3恶意代码是如何定义，可以分成哪几类？答：定义：经过存储介质和网络进行传播，从一台计算机系统到另一台计算机系统，未经授权认证破坏计算机系统完整性的程序或代码。恶意代码两个显著的特点是非授权性和破坏性。分类：计算机病毒、蠕虫、特洛伊木马、逻辑炸弹、病菌、用户级RooKit、核心级Rookit、脚本恶意代码、恶意ActiveX控件。4、说明恶意代码的作用机制的6个方面，并图示恶意代码攻击模型。答：作用机制（1）（2）（3）（4）（5）（6）攻侵入系统侵入系统是恶意代码实现其恶意目的的必要条件。维持或提升现有特权：恶意代码的传播与破坏必须盗用用户或者进程的合法权限才能完成隐蔽策略：为了不让系统发现恶意代码已经侵入系统，恶意代码可能会改名、删除源文件或者修改系统的安全策略来隐蔽自己。潜伏：等待一定的条件，并具有足够的权限时，就发作并进行破坏活动破坏：造成信息丢失、泄密，破坏系统完整性。重复（1）至（5）对新的目标实施攻击过程击模型：
f5、简述恶意代码的生存技术是如何实现的。答：生存技术包括：反跟踪技术、加密技术、模糊变换技术和自动生产技术。反跟踪技术可以减少被发现的可能性，加密技术是恶意代码自身保护的重要机制。模糊变换技术是恶意代码每感染一个客体对象时，潜入宿主程序的代码互补相同。自动生产技术是针对人工分析技术的。6、简述恶意代码如何实现攻击技术。答：常见的攻击技术包括：进程注入技术、三线程技术、端口复用技术、超级管理技术、端口反向连接技术和缓冲区溢出攻击技术。8、简述蠕虫r