阅读以下说明，回答问题1至问题6。【说明】特洛伊木马是一种基于

问题问答题

阅读以下说明，回答问题1至问题6。【说明】特洛伊木马是一种基于客户机/服务器模式的远程控制程序，黑客可以利用木马程序入侵用户的计算机系统。木马的工作模式如下图所示。

【问题1】

对于传统的木马程序，侵入被攻击主机的入侵程序属于（1）。攻击者一旦获取入侵程序的（2），便与它连接起来。

（1）A.客户程序

B.服务程序

C.代理程序

D.系统程序

（2）A.用户名和口令

B.密钥

C.访问权限

D.地址和端口号

【问题2】

以下（3）和（4）属于计算机感染特洛伊木马后的典型现象。

（3）～（4）备选答案：

A.程序堆栈溢出

B.有未知程序试图建立网络连接

C.邮箱被莫名邮件填满

D.系统中有可疑的进程在运行

【问题3】

为了检测系统是否有木马侵入，可以使用Windows操作系统的（5）命令查看当前的活动连接端口。

A.ipport

B.netstat-an

C.tracert-an

D.ipconfig

【问题4】

入侵程序可以通过修改Windows操作系统的（6）、（7）文件或修改系统中的相关注册表项实现系统启动时自动加载。通过运行Windows操作系统中的（8）（填空）命令，可以启动注册表编辑器来对注册表进行维护。

（6）、（7）备选答案：

A.system.ini

B.shell.ini

C.win.ini

D.autoexeC.ini

【问题5】

安装了防火墙软件的主机可以利用防火墙的（9）功能有效地防止外部非法连接来拦截木马。

A.身份认证

B.地址转换

C.日志记录

D.包过滤

【问题6】

以下措施中能有效防止木马入侵的有（10）和（11）。

（10）、（11）备选答案：

A.不随意下载来历不明的软件

B.仅开放非系统端口

C.实行加密数据传输

D.运行实时网络连接监控系统

答案

参考答案：

【问题1】（1）B（2）D

【问题2】（3）B（4）D说明：（3）、（4）可以互换。

【问题3】（5）B

【问题4】（6）A（7）C（8）regedit说明：（6）、（7）可以互换。

【问题5】（9）D

【问题6】（10）A（11）D说明：（10）、（11）可以互换。

解析：

【问题1】特洛伊木马是一种基于客户端/服务器模式的远程控制程序，它可以让用户的机器运行服务器端的程序，该程序会在用户的计算机上打开监听的端口，这样就给黑客入侵用户的计算机打开了一扇进出的门，黑客就可以利用木马程序的客户端入侵用户的计算机系统。

因此，对于传统的木马程序，侵入被攻击主机的入侵程序属于服务器端程序，而攻击者掌握的是客户端程序，攻击者要想与入侵程序连接起来，需要得到入侵程序的地址和端口号。

【问题2】用户的计算机感染特洛伊木马后，会受到木马程序的控制，典型的现象有以下几种。

①死机、重启，长时间读写硬盘、搜索软盘。

②运行速度越来越慢，资源占用多。

③任务表中有可疑的文件在运行。

【问题3】当前最为常见的木马程序通常是基于TCP/UDP协议进行Client端与Server端之间通信的，因此，可以通过查看在本机上开放的端口，来判断是否有可疑的程序打开了某个可疑的端口。查看端口的方法有以下几种。

①使用Windows本身自带的netstat命令，例如：C：\>netstat-an

②使用Windows2000下的命令行工具fport，例如：E：\software>Fport.exe

③使用图形化界面工具ActivePorts。

该工具可以监视到计算机所有打开的TCP/IP/UDP端口，还可以显示所有端口对应的程序所在的路径，以及本地IP和远端IP是否正在活动。这个工具适用于WindowsNT/2000/XP平台。

【问题4】基于Windows的木马程序一般采用启动时自动加载应用程序的方法。它主要包括两种方法：一是修改win.ini和system.ini系统配置文件，二是修改注册表项。

【问题5】随着防火墙技术的提高和发展，基于IP包过滤规则来拦截木马程序可以有效地防止外部连接，而黑客在无法取得连接的情况下，是无所作为的。

【问题6】随着网路的广泛应用，以及硬件和软件的高速发展，网络安全显得日益重要。对于网络中比较流行的木马程序，传播时间比较快，影响比较严重，因此对其防范就更不能疏忽。用户在检测清除木马程序的同时，还要注意对木马程序的预防，做到防患于未然。

具体应做到以下几点。

①不要随意打开来历不明的邮件。

②不要随意下载来历不明的软件。

③及时修补漏洞和关闭可疑的端口。

④尽量少用共享文件夹。

⑤运行实时监控程序。

⑥经常升级系统和更新病毒库。