职业考证-软考-信息安全工程师考前自测提分卷26(含答案详解）

书山有路勤为径，学海无涯苦作舟！ 住在富人区的她职业考证-软考-信息安全工程师考前自测提分卷（含答案详解）一.综合题(共10题)1.案例题阅读下列说明，回答问题1至问题4，将解答填入答题纸的对应栏内。【说明】恶意代码是指为达到恶意目的专门设计的程序或者代码。常见的恶意代码类型有特洛伊木马、蠕虫、病毒、后门、Rootkit、僵尸程序、广告软件。2017年5月，勒索软件WanaCry席卷全球，国内大量高校及企事业单位的计算机被攻击，文件及数据被加密后无法使用，系统或服务无法正常运行，损失巨大。【问题1】（2分）按照恶意代码的分类，此次爆发的恶意软件属于哪种类型？【问题2】（2分）此次勒索软件针对的攻击目标是Windows还是Linux类系统？【问题3】（6分）恶意代码具有的共同特征是什么？【问题4】（5分）由于此次勒索软件需要利用系统的SMB服务漏洞（端口号445）进行传播，我们可以配置防火墙过滤规则来阻止勒索软件的攻击，请填写表1-1中的空（1）-（5），使该过滤规则完整。注：假设本机IP地址为：1.2.3.4，”*”表示通配符。【答案】【问题1】蠕虫类型【问题2】Windows操作系统【问题3】恶意代码具有如下共同特征：（1） 恶意的目的（2） 本身是计算机程序（3） 通过执行发生作用。【问题4】（1）* （2）* （3）445 （4）TCP （5）*【解析】【问题1】WannaCry，一种“蠕虫式”的勒索病毒软件，大小3.3MB，由不法分子利用NSA泄露的危险漏洞“EternalBlue”（永恒之蓝）进行传播。该恶意软件会扫描电脑上的TCP 445端口（Server Message Block/SMB），以类似于蠕虫病毒的方式传播，攻击主机并加密主机上存储的文件，然后要求以比特币的形式支付赎金。【问题2】主要是利用windows操作系统中存在的漏洞。【问题3】恶意代码是指故意编制或设置的、对网络或系统会产生威胁或潜在威胁的计算机代码。具有如下共同特征：（1）恶意的目的（2）本身是计算机程序（3）通过执行发生作用。【问题4】针对该勒索软件的攻击和传播特点，需要对SMB服务所在的445端口进行过滤，只要网外对网内445端口的所有连接请求予以过滤。需要注意的是SMB服务是基于TCP协议的。2.单选题蠕虫是一类可以独立运行、并能将自身的一个包含了所有功能的版本传播到其他计算机上的程序。网络蠕虫可以分为:漏洞利用类蠕虫、口令破解类蠕虫、电子邮件类蠕虫、P2P类蠕虫等。以下不属于漏洞利用类蠕虫的是（ ）。问题1选项A.CodeRedB.SlammerC.MSBlasterD.IRC-worm【答案】D【解析】本题考查恶意代码中蠕虫方面的基础知识。漏洞利用类蠕虫包括2001年的红色代码(CodeRed)和尼姆达(Nimda)、 2003 年的蠕虫王(Slammer)和冲击波(MSBlaster). 2004年的震荡波( Sasser).2005年的极速波(Zotob)、2006年的魔波(MocBot)、2008 年的扫荡波(Saodangbo). 2009年的飞客(Conficker)、 2010年的震网(StuxNet) 等。IRC-worm 属于IRC类蠕虫。3.案例题阅读下列说明和图，回答问题1至问题3，将解答填入答题纸的对应栏内。【说明】代码安全漏洞往往是系统或者网络被攻破的头号杀手。在C语言程序开发中，由于C语言自身语法的一些特性，很容易出现各种安全漏洞。因此，应该在C程序开发中充分利用现有开发工具提供的各种安全编译选项，减少出现漏洞的可能性。【问题1】(4分)图5-1给出了一段有漏洞的C语言代码（注：行首数字是代码行号），请问，上述代码存在哪种类型的安全漏洞？该漏洞和C语言数组的哪一个特性有关？【问题2】(4分)图5-2给出了C程序的典型内存布局，请回答如下问题。（1）请问图5-1的代码中第9行的变量authenticated保存在图5-2所示的哪个区域中?（2）请问stack的两个典型操作是什么?（3）在图5-2中的stack区域保存数据时，其地址增长方向是往高地址还是往低地址增加?（4）对于图5-1代码中的第9行和第10行代码的两个变量，哪个变量对应的内存地址更高?【问题3】(6分)微软的Visual Studio 提供了很多安全相关的编译选项，图5-3给出了图5-1中代码相关的工程属性页面的截图。请回答以下问题。（1）请问图5-3中哪项配置可以有效缓解上述代码存在的安全漏洞?（2）如果把图5-1中第10行代码改为charbuffer4;图5-3的安全编译选项是否还起作用?（3）模糊测试是否可以检测出上述代码的安全漏洞?【答案】【问题1】缓冲区（栈） 溢出。不对数组越界进行检查。【问题2】（1）stack（2）push和pop或者压栈和弹栈（3）高地址（4）第9行或者authenticated变量【问题3】（1）Enable Security Check(/GS)（2）不起作用（3）可以检测出漏洞【解析】本题考查软件安全的漏洞类型以及安全开发的知识，是关于代码安全的问题。【问题1】这类漏洞是由于函数内的本地变量溢出造成的，而本地变量都位于堆栈区域，因此这类漏洞一般称为栈溢出漏洞。主要是因为C语言编译器对数组越界没有进行检查导致的。【问题2】第9行的变量authenticated同样是本地变量，因此位于堆栈(stack) 区域。堆栈结构常见的操作就是push和pop。在数据往堆栈区域写时，都是往高地址写的。在入栈时，则是第9行的变量先入栈在高地址，后续的第10行代码对应的变量buffer后入栈在低地址，因此第9行的变量在高地址。只有这样在往buffer 数组拷贝过多的数据时，才会覆盖掉后续的authenticated变量。【问题3】微软的Visual Studio编译器提供了很多的安全编译选项，可以对代码进行安全编译，例如图中Enable Security Check(/GS)可以在栈中添加特殊值，使得一旦被覆盖就会导致异常，从而增加漏洞利用难度。该编译选项针对小于等于4个字节的数组不起保护作用。模糊测试通过发送不同长度的数据给buffer, 可能导致覆盖后续变量和指针值，导致程序异常从而触发监测，因此采用模糊测试的方法是可以检测出此类漏洞的。4.单选题The modern study of symmetric-key ciphers relates mainly to the study of block ciphers and stream ciphers and to their applications. A block cipher is, in a sense, a modern embodiment of Albertis polyalphabetic cipher: block ciphers take as input a block of （ ）and a key, and output a block of ciphertext of the same size. Since messages are almost always longer than a single block, some method of knitting together successive blocks is required. Several have been developed, some with better security in one aspect or another than others. They are the mode of operations and must be carefully considered when using a block cipher in a cryptosystem.The Data Encryption Standard (DES) and the Advanced Encryption Standard (AES) are（ ）designs which have been designated cryptography standards by the US government (though DESs designation was finally withdrawn after the AES was adopted). Despite its deprecation as an official standard, DES (especially its still-approved and much more secure triple-DES variant) remains quite popular; it is used across a wide range of applications, from ATM encryption to e-mail privacy and secure remote access. Many other block ciphers have been designed and released, with considerable variation in quality. Many have been thoroughly broken. See Category: Block ciphers.Stream ciphers, in contrast to the blocktype, create an arbitrarily long stream of key material, which is combined （） the plaintext bit-by-bit or character-by-character, somewhat like the one-time pad. In a stream cipher, the output（ ）is created based on an internal state which changes as the cipher operates. That state change is controlled by the key, and, in some stream ciphers, by the plaintext stream as well. RC4 is an example of a well-known, and widely used, stream cipher; see Category: Stream ciphers.Cryptographic hash functions (often called message digest functions) do not necessarily use keys, but are a related and important class of cryptographic algorithms. They take input data (often an entire message), and output a short fixed length hash, and do so as a one-way function. For good ones, （ ） (two plaintexts which produce the same hash) are extremely difficult to find.Message authentication codes (MACs) are much like cryptographic hash functions, except that a secret key is used to authenticate the hash value on receipt. These block an attack against plain hash functions.问题1选项A.plaintextB.ciphertextC.dataD.hash问题2选项A.stream cipherB.hash functionC.Message authentication codeD.Block cipher问题3选项A.ofB.forC.withD.in问题4选项A.hashB.streamC.ciphertextD.plaintext问题5选项A.collisionsB.imageC.preimageD.solution【答案】第1题:A第2题:D第3题:C第4题:B第5题:A【解析】参考译文：对称密钥密码的现代研究主要涉及分组密码和流密码的研究及其应用。在某种意义上，分组密码是阿尔贝蒂多字母密码的现代体现：分组密码以明文和密钥作为输入，并输出相同大小的密文块。由于消息几乎总是比单个块长，因此需要一些将连续块编织在一起的方法。已经开发了一些，有些在某个方面比其他方面具有更好的安全性。它们是操作模式，在密码系统中使用分组密码时必须仔细考虑。数据加密标准（DES）和高级加密标准（AES）是美国政府指定的分组密码设计（尽管DES的指定在AES被采用后最终被撤销）。尽管DES作为一种官方标准受到了抨击，但它（特别是它仍然被认可的、更安全的三重DES变体）仍然非常流行；它被广泛应用，从ATM加密到电子邮件隐私和安全的远程访问。许多其他的块密码已经被设计和发布，在质量上有相当大的变化。很多已经被彻底破坏了。（参见类别：分组密码）与“块”类型不同，流密码创建任意长的密钥材料流，密钥材料流与明文逐位或逐字符组合，有点像一次一密密码本。在流密码中，输出流是基于内部状态创建的，内部状态随着密码的操作而变化。这种状态变化由密钥控制，在某些流密码中，也由明文流控制。RC4是一个著名的、广泛使用的流密码的例子（参见类别：流密码）。加密哈希函数（通常称为消息摘要函数）不一定使用密钥，但却是一类相关的重要加密算法。它们接受输入数据（通常是整个消息），并输出一个固定长度的短散列，作为单向函数执行此操作。对于好的冲突（产生相同散列的两个明文）是很难找到的。消息身份验证码（MACs）与加密散列函数非常相似，只是在接收时使用密钥对散列值进行身份验证。它们阻止了对哈希函数的攻击。5.单选题PKI中撤销证书是通过维护一个证书撤销列表CRL来实现的。以下不会导致证书被撤销的是（ ）。问题1选项A.密钥泄漏B.系统升级C.证书到期D.从属变更【答案】B【解析】本题考查PKI相关知识。每个证书都有一个有效使用期限，有效使用期限的长短由 CA 的政策决定。有效使用期限到期的证书应当撤销。证书的公钥所对应的私钥泄露，或证书的持证人死亡，证书的持证人严重违反证书管理的规章制度等情况下也要撤销证书。故本题选B。点播：公钥基础设施（PKI）是一种遵循既定标准的密钥管理平台，它提供了一种系统化的、可扩展的、统一的、可控制的公钥分发方法。和证书的签发一样， 证书的撤销也是一个复杂的过程。证书的撤销要经过申请、批准、撤销三个过程。6.单选题计算机取证是指能够为法庭所接受的、存在于计算机和相关设备中的电子证据的确认、保护、提取和归档的过程。以下关于计算机取证的描述中，不正确的是（ ）。问题1选项A.为了保证调查工具的完整性，需要对所有工具进行加密处理B.计算机取证需要重构犯罪行为C.计算机取证主要是围绕电子证据进行的D.电子证据具有无形性【答案】A【解析】本题考查计算机取证技术相关知识。计算机证据指在计算机系统运行过程中产生的以其记录的内容来证明案件事实的电磁记录物。计算机取证是指运用计算机辨析技术，对计算机犯罪行为进行分析以确认罪犯及计算机证据，也就是针对计算机入侵与犯罪，进行证据获取、保存、分析和出示。从技术上讲，计算机取证是一个对受侵计算机系统进行扫描和破解，以对入侵事件进行重建的过程。因此计算机取证并不要求所有工具进行加密处理。故本题选A。点播：调查工具需确保其完整性，要在合法和确保安全的机器上制作这些工具盘，并且还需要制作出所有程序的文件散列值（如 MD5、 SHA）校验列表。以便于事后在必要时（如在法庭上）证明所使用取证工具的合法性和唯一性。同样，对初始收集到的电子证据也应该有文件散列值记录，必要时可以采用多种散列值，以确保证据的完整性。计算机取证主要是围绕电子证据进行的，电子证据具有高科技性、无形性和易破坏性等特点。计算机取证可归纳为以下几点：是一门在犯罪进行过程中或之后收集证据的技术；需要重构犯罪行为；将为起诉提供证据；对计算机网络进行取证尤其困难，且完全依靠所保护的犯罪场景的信息质量。其目的是要将犯罪者留在计算机中的“痕迹”作为有效的诉讼证据提供给法庭，以便将犯罪嫌疑人绳之以法。7.单选题等级保护2.0强化了对外部人员的管理要求，包括外部人员的访问权限、保密协议的管理要求，以下表述中，错误的是（ ）。问题1选项A.应确保在外部人员接入网络访问系统前先提出书面申请，批准后由专人开设账号、分配权限，并登记备案B.外部人员离场后应及时清除其所有的访问权限C.获得系统访问授权的外部人员应签署保密协议，不得进行非授权操作，不得复制和泄露任何敏感信息D.获得系统访问授权的外部人员，离场后可保留远程访问权限【答案】D【解析】本题考查等级保护中的外部人员管理方面的基础知识。在外部人员访问管理方面，应确保在外部人员访问受控区域前先提出书面申请，批准后由专人全程陪同或监督，并登记备案;外部人员离场后应及时清除其所有访问权限；获得系统访问授权的外部人员应当签署保密协议，不得进行非授权操作，不得复制和泄露任何敏感信息，离场后不得保留远程访问权限。答案选D。8.单选题防火墙的安全规则由匹配条件和处理方式两部分组成。当网络流量与当前的规则匹配时，就必须采用规则中的处理方式进行处理。其中，拒绝数据包或信息通过，并且通知信息源该信息被禁止的处理方式是（ ）。问题1选项A.AcceptB.RejectC.RefuseD.Drop【答案】B【解析】本题考查防火墙相关知识。防火墙的规则处理方式如下： Accept：允许数据包或信息通过； Reject：拒绝数据包或信息通过，并且通知信息源该信息被禁止； Drop：直接将数据包或信息丢弃，并且不通知信息源。 故本题选B。点播：防火墙是一种控制隔离技术，在某机构的网络和不安全的网络之间设置屏障，阻止对信息资源的非法访问，也可以使用防火墙阻止重要信息从企业的网络上被非法输出。9.单选题人为的安全威胁包括主动攻击和被动攻击。主动攻击是攻击者主动对信息系统实施攻击，导致信息或系统功能改变。被动攻击不会导致系统信息的篡改，系统操作与状态不会改变。以下属于被动攻击的是 （ ）。问题1选项A.嗅探B.越权访问C.重放攻击D.伪装【答案】A【解析】本题考查被动攻击。嗅探：嗅探是监视通过计算机网络链路流动的数据。通过允许捕获并查看网络上的数据包级别数据，嗅探器工具可帮助定位网络问题。越权访问：这类漏洞是指应用在检查授权时存在纰漏，使得攻击者在获得低权限用户账号后，可以利用一些方式绕过权限检查，访问或者操作到原本无权访问的高权限功能。重放攻击：也被叫做是重播攻击、回放攻击或者是新鲜性攻击，具体是指攻击者发送一个目的主机已经接收过的包来达到欺骗系统的目的。重放攻击主要是在身份认证的过程时使用，它可以把认证的正确性破坏掉。伪装：攻击者假冒用户身份获取系统访问权限。通过嗅探可以窃听网络上流经的数据包，属于被动攻击方式。故本题选A。点播：网络窃听是指利用网络通信技术缺陷，使得攻击者能够获取到其他人的网络通信信息。常见的网络窃听技术手段主要有网络嗅探、中间人攻击。10.单选题Snort是一款开源的网络入侵检测系统，能够执行实时流量分析和IP协议网络的数据包记录。以下不属于Snort主要配置模式的是（ ）。问题1选项A.嗅探B.审计C.包记录D.网络入侵检测【答案】B【解析】本题考查入侵检测系统Snort工具相关的基础知识。Snort有三种工作方式:嗅探器、数据包记录器和网络入侵检测系统，不包括审计。答案选B。