信息安全常识99问

信息安全是什么？信息安全包含了哪些方面？本文将通过关于信息安全的99个小问题，来为用户诠释信息安全的方方面面。

　　Q1

　　问：什么是网络安全?

　　答：网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭到破坏、更改、泄露，系统可以连续可靠正常地运行，网络服务不被中断。

　　Q2

　　问：什么是计算机病毒?

　　答：计算机病毒(Computer Virus)是指编制者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。

　　Q3

　　问：什么是木马?

　　答：木马是一种带有恶意性质的远程控制软件。木马一般分为客户端(client)和服务器端(server)。客户端就是本地使用的各种命令的控制台，服务器端则是要给别人运行，只有运行过服务器端的计算机才能够完全受控。木马不会像病毒那样去感染文件。

　　Q4

　　问：什么是Java恶意程序码?

　　答：Java applet是一种内嵌在HTML网页中的小程序，会在使用者浏览网页时被执行，原本是供Web开发人员建立含有功能更丰富的互动式Web网页。不过恶意攻击者会使用Java恶意程序代码当做武器攻击使用者的系统，如修改注册表、运行DOS命令。可将浏览器安全设定为“高”来禁止执行这些Applet。

　　Q5

　　问：什么是ActiveX恶意程序码?

　　答：ActiveX恶意程序码是利用ActiveX控制项在网页中生成的一段具有攻击性的程序代码。ActiveX控制项是一种内嵌在Web网页的组件，可供Web开发人员建立含有功能更丰富的互动式动态Web网页，当使用者浏览网页时便会被启动。但是如果这个网页中被嵌入了ActiveX恶意控制码，攻击程序也同样会自动运行。我们可以通过在IE中对安全性的设置来限制ActiveX控制项的运行。

　　Q6

　　问：什么是恶意网页?它有什么危害?

　　答：网页恶意代码可以说是一种广义上的病毒，但是它又不同于传统意义上的病毒。网页恶意代码不具有传染性，但是它具有极强的破坏性与欺骗性，每个上网用户都有可能遇见，而且没有很好的办法来识别它。恶意网页大多是在一些个人站点的页面上，访问的绝对数量不小，相对数量较少，一般不具备传染性，危害性没有电子邮件病毒那么大。用户在受到恶意网页的攻击时，会出现注册表被修改、IE默认主页被修改、系统文件丢失、无法正常浏览其他网页等情况。

　　Q7

　　问：什么是网络安全中常说的黑软?

　　答：黑软就是带有网络攻击性的软件。这些软件通常是针对特定的操作系统或应用程序来编写的，通过操作系统和应用程序自身的漏洞来对电脑进行恶意攻击，以窃取隐私、删改数据等。

　　Q8

　　问：什么是宏病毒?

　　答：所谓宏，就是软件设计者为了让人们在使用软件工作时，避免一再地重复相同的动作而设计出来的一种工具。它利用简单的语法，把常用的动作写成宏。在工作时，可以直接利用事先编好的宏自动运行，去完成某项特定的任务，而不必再重复相同的动作。为了方便人们的使用，Word定义出一种文件格式，将文档以及该文档所需要的宏一起放在后缀为.dot的文件之中，而不同于以往的软件将资料和宏分开储存的方法。正因为这种既是宏亦是资料的文档格式，便产生了被宏感染的可能性。因为文档资料的携带性极高，如果宏亦随着文档被分派到不同的工作平台，只要能被执行，也就类似于计算机病毒的传染了。

　　Q9

　　问：什么是防火墙?它是如何确保网络安全的?

　　答：使用防火墙(Firewall)是一种确保网络安全的方法。防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的惟一出入口，能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。

　　Q10

　　问：什么是Cookies?它会导致怎样的安全隐患?

　　答：HTML是一种无记忆的协议，也就是说用户目前正在浏览的主页对在此之前浏览过的主页没有丝毫记忆和了解。而实际上我们可能希望浏览器能够记住一些信息，但又不希望让使用者看到，这个需求由HTML本身无法解决，于是引入了Cookies的概念。当你访问一个网站时，Cookies将自动储存于你的IE内。其间包含了用户访问该网站的种种活动、个人资料、浏览习惯、消费习惯甚至信用记录等。这些信息用户无法看到，当浏览器向此网址的其他主页发出GET请求时，此Cookies信息也会随之发送过去，供该主页使用，这样就实现了一定程度上的HTML的记忆能力。这本该是只能由原设置 Cookies的网站才能读取的内容，但是却可以被不怀好意的人利用某些非法手段获得。为了让个人隐私得到安全保障，可以在IE设置中对Cookies的使用做出限制。

　　Q11

　　问：什么是IP扫描?

　　答：IP扫描是指利用某些特定工具对网络中的用户进行扫描，获取对方的IP地址。IP扫描通常是网络攻击的前奏，因此阻止别人对自己电脑进行IP扫描是防范网络攻击的重要手段之一。

　　Q12

　　问：什么是端口扫描?它有什么作用?

　　答：端口扫描是指某些别有用心的人发送一组端口扫描消息，试图以此侵入某台计算机，并了解其提供的计算机网络服务类型(这些网络服务均与端口号相关)。端口扫描是计算机解密高手喜欢的一种方式。攻击者可以通过它了解到从哪里可探寻到攻击弱点。实质上，端口扫描包括向每个端口发送消息，一次只发送一个消息。接收到的回应类型表示是否在使用该端口并且可由此探寻弱点。

　　Q13

　　问：听说各种软件都有漏洞，那么什么叫漏洞?

　　答：漏洞(Bug)是指操作系统和应用软件中存在的各种缺陷。

　　Q14

　　问：什么是后门?为什么会存在后门?

　　答：后门(Back Door)是指一种绕过安全性控制而获取对程序或系统访问权的方法。在软件的开发阶段，程序员常会在软件内创建后门以便可以修改程序中的缺陷。如果后门被其他人知道，或是在发布软件之前没有删除，那么它就成了安全隐患。

　　Q15

　　问：什么叫入侵检测?

　　答：入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应)，提高信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，检查网络中是否有违反安全策略的行为和遭到袭击的迹象

　　Q16

　　问：什么是网络监听?

　　答：网络监听是黑客们常用的一种方法。当黑客成功地登录进一台网络上的主机、并取得这台主机超级用户的权限之后，往往要扩大战果，尝试登录或者获取网络中其他主机的控制权。网络监听就是一种最简单而且最有效的方法，它常常能轻易地获得用其他方法很难获得的信息。在网络上，监听效果最好的是网关、路由器、防火墙一类的设备，这些设备通常由网络管理员来操作。

　　Q17

　　问：什么叫安全区域?它有什么作用?

　　答：在Windows NT和Windows 95/98 中，当你使用网络或访问已认为是可信的Web 站点时，“安全区”提供对你的计算机和隐私的保护，而不用重复地收到警告。根据指定Web站点的安全区域，Internet Explorer可提供不同级别的安全。例如，你很可能信任公司Intranet中的站点，想允许所有类型的活动内容在此处运行。你可能对 Internet中站点感觉不太信任，那么可以指定它们到“未信任”区，防止活动内容运行和防止代码下载到自己的计算机。

　　Q18

　　问：什么叫数据包监测?它有什么作用?

　　答：数据包监测可以被认为是一根窃听电话线在计算机网络中的等价物。当某人在“监听”网络时，他们实际上是在阅读和解释网络上传送的数据包。如果你需要在互联网上通过计算机发送一封电子邮件或请求下载一个网页，这些操作都会使数据通过你和数据目的地之间的许多计算机。这些传输信息时经过的计算机都能够看到你发送的数据，而数据包监测工具就允许某人截获数据并且查看它。

　　Q19

　　问：什么是嗅探器，它有什么作用?

　　答：嗅探器的英文写法是Sniff，可以理解为是一个安装在计算机上的窃听设备，它可以用来窃听计算机在网络上所产生的众多的信息。简单一点解释一部电话的窃听装置可以用来窃听双方通话的内容，而计算机网络嗅探器则可以窃听计算机程序在网络上发送和接收到的数据。

　　Q20

　　问：什么叫本地攻击?它是如何发生的?

　　答：当我们在本地共享一个文件夹后，不管是否把它设置为隐藏或密码访问，都有可能被人采用不法的手段访问到。这种非法删改数据、窃取文件等攻击就被称为本地攻击。
Q21

　　问：什么叫远程攻击?它的攻击对象是什么?

　　答：远程攻击的攻击对象是攻击者还无法控制的计算机。也可以说，远程攻击是一种专门攻击除攻击者自己计算机以外的计算机(无论被攻击的计算机和攻击者位于同一地点还是有千里之遥)。“远程计算机”此名词最确切的定义是：“一台远程计算机是这样一台机器，它不是你正在其上工作的平台，而是能利用某协议通过Internet或任何其他网络介质被访问的计算机”。

　　Q22

　　问：什么是缓冲区溢出攻击?

　　答：缓冲区溢出攻击是一种系统攻击的手段，通过向程序的缓冲区写超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，以达到攻击的目的。据统计，通过缓冲区溢出进行的攻击占所有系统攻击总数的80%以上。造成缓冲区溢出的原因是程序没有仔细检查用户输入的参数。

　　Q23

　　问：什么叫欺骗攻击?它有哪些攻击方式?

　　答：网络欺骗的技术主要有：HONEYPOT和分布式HONEYPOT、欺骗空间技术等。主要方式有：IP欺骗、ARP欺骗、DNS欺骗、 Web欺骗、电子邮件欺骗、源路由欺骗(通过指定路由，以假冒身份与其他主机进行合法通信或发送假报文，使受攻击主机出现错误动作)、地址欺骗(包括伪造源地址和伪造中间站点)等。

　　Q24

　　问：什么是OOB攻击?它会导致什么后果?

　　答：OOB的意思是“束缚数据脱离”，这是一种破坏Windows系统的过程。它通过向TCP端口139发送随机数来攻击操作系统，从而让中央处理器(CPU)一直处于繁忙状态。

　　Q25

　　问：什么是拒绝服务DoS?它是如何发生的?

　　答：拒绝服务DoS是Denial of Service的缩写，其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络，使得所有可用网络资源都被消耗殆尽，最后导致合法的用户请求无法通过。

　　连通性攻击指用大量的连接请求冲击计算机，使得所有可用的操作系统资源都被消耗殆尽，最终计算机无法再处理合法用户的请求。

　　Q26

　　问：什么是DDoS?它会导致什么后果?

　　答：DDoS也就是分布式拒绝服务攻击。它使用与普通的拒绝服务攻击同样的方法，但是发起攻击的源是多个。通常攻击者使用下载的工具渗透无保护的主机，当获得该主机的适当的访问权限后，攻击者在主机中安装软件的服务或进程(以下简称代理)。这些代理保持睡眠状态，直到从它们的主控端得到指令，对指定的目标发起拒绝服务攻击。随着危害力极强的黑客工具的广泛传播使用，分布式拒绝服务攻击可以同时对一个目标发起几千个攻击。单个的拒绝服务攻击的威力也许对带宽较宽的站点没有影响，而分布于全球的几千个攻击将会产生致命的后果。

　　Q27

　　问：局域网内部的ARP攻击是指什么?

　　答：ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的进行。

　　基于ARP协议的这一工作特性，黑客向对方计算机不断发送有欺诈性质的ARP数据包，数据包内包含有与当前设备重复的Mac地址，使对方在回应报文时，由于简单的地址重复错误而导致不能进行正常的网络通信。一般情况下，受到ARP攻击的计算机会出现两种现象：

　　1.不断弹出“本机的XXX段硬件地址与网络中的XXX段地址冲突”的对话框。

　　2.计算机不能正常上网，出现网络中断的症状。

　　因为这种攻击是利用ARP请求报文进行“欺骗”的，所以防火墙会误以为是正常的请求数据包，不予拦截。因此普通的防火墙很难抵挡这种攻击。

　　Q28

　　问：什么叫加总比对法(Check-sum)?

　　答：加总比对法根据每个程序的文件名称、日期及内容，加总为一个检查码，再将检查码附于程序的后面，或是将所有检查码放在同一个数据库中，再利用Check-sum系统追踪并记录每个程序的检查码是否被更改，以判断是否中毒。这种技术可侦察到各种病毒，但最大的缺点就是误判断几率高，且无法确认是哪种病毒感染的。

　　Q29

　　问：什么是人工智能陷阱?它有什么作用?

　　答：人工智能陷阱是一种监测计算机行为的常驻式扫描技术。

　　它将所有病毒所产生的行为归纳起来，一旦发现内存的程序有任何不当的行为，系统就会有所警觉，并告知使用者。

　　这种技术的优点是执行速度快、手续简便，且可以侦察到各式病毒;其缺点就是程序设计难，且不容易考虑周全。

　　Q30

　　问：什么是软件仿真扫描法?它有什么作用?

　　答：该技术专门用来对付千面人病毒。千面人病毒在每次传染时，都以不同的随机数加密于每个中毒的档案中，用传统病毒码比对的方式根本就无法找到这种病毒。

　　软件仿真技术则能成功地仿真CPU执行，在其设计的DOS虚拟机器(VirtualMachine)下假执行病毒的变体引擎译码程序，安全并确实地将多型体病毒解开，使其显露原本的面目，再加以扫描。

　　Q31

　　问：什么是TCP/IP序列号攻击?

　　答：就是猜测TCP/IP的序列号，然后进行IP欺骗。

　　Q32

　　问：轻微破坏病毒的定义是什么?

　　答：文件备份是人们用于对抗病毒的一种常用的方法，这种病毒就是针对备份而设计的。它每次只破坏一点点数据，用户难以察觉。而当用户发觉到数据被破坏时，可能所有备份的数据均是被破坏的。

　　Q33

　　问：什么叫Windows病毒?

　　答：主要指针对Windows操作系统的病毒。现在的电脑用户一般都安装Windows操作系统。Windows病毒一般感染Windows操作系统，其中最典型的病毒有CIH病毒。但这并不意味着可以忽略使用Windows NT和Windows 2000操作系统的计算机。一些Windows病毒不仅在Win9x上正常感染，还可以感染WinNT上的其他文件。主要感染的文件扩展名为EXE、 SCR、DLL、OCX等。

　　Q34

　　问：什么叫DOS病毒?

　　答：指针对DOS操作系统开发的病毒。目前几乎没有新制作的DOS病毒，由于Windows病毒的出现，DOS病毒几乎绝迹。但DOS病毒在 Windows环境中仍可以进行感染活动，因此若执行染毒文件，Windows用户也会被感染。我们使用的杀毒软件能够查杀的病毒中一半以上都是DOS病毒。

　　Q35

　　问：什么叫入侵型病毒?

　　答：可用自身代替正常程序中的部分模块或堆栈区。因此这类病毒只攻击某些特定程序，针对性强。一般情况下难以发现，清除起来较困难。

　　Q36

　　问：什么叫嵌入式病毒?

　　答：这种病毒将自身代码嵌入到被感染文件中，当文件被感染后，查杀和清除病毒都非常不易。不过编写嵌入式病毒比较困难，所以这种病毒数量不多。

　　Q37

　　问：什么叫外壳类病毒?

　　答：这种病毒将自身代码附着于正常程序的首部或尾部。该类病毒的种类繁多，大多感染文件的病毒都是这种类型。

　　Q38

　　问：什么是病毒生成工具?它有什么作用?

　　答：通常是以菜单形式驱动，只要是具备一点计算机知识的人，利用病毒生成工具就可以轻易地制造出计算机病毒，而且可以设计出非常复杂的具有偷盗和多形性特征的病毒。

　　Q39

　　问：什么叫隐蔽性病毒?

　　答：隐蔽性病毒是检测病毒技术发展到一定时期的产物。当人们越来越了解电脑病毒，并有了一套成熟的检测病毒方法的时候，病毒要想广泛传播开来，就必须躲避现有的病毒检测技术，不让人发现。隐蔽自己不被发现的病毒技术叫做隐蔽性病毒技术，

　　隐蔽性病毒技术是与电脑病毒检测技术相对应的。一般来说，有什么样的病毒检测技术，就有相应的隐蔽性病毒技术。隐蔽性病毒如果先进驻内存，后运行病毒检测工具，那么隐蔽性病毒能先于检测工具将被查文件中的病毒代码剥去，检测工具检查到的会是一个虚假的″好文件″，从而被隐蔽性病毒所蒙骗。

　　Q40

　　问：什么是操作系统型病毒?它有什么危害?

　　答：这种病毒会用它自己的程序加入操作系统或者取代部分操作系统进行工作，具有很强的破坏力，会导致整个系统瘫痪。而且由于感染了操作系统，这种病毒在运行时，会用自己的程序片断取代操作系统的合法程序模块。根据病毒自身的特点和被替代的操作系统中合法程序模块在操作系统中运行的地位与作用，以及病毒取代操作系统的取代方式等，对操作系统进行破坏。同时，这种病毒对系统中文件的感染性也很强。
Q41

　　问：什么是良性电脑病毒?它真的无害吗?

　　答：良性病毒是指其不包含有立即对电脑系统产生直接破坏作用的代码。这类病毒为了表现其存在，只是不停地进行扩散，从一台电脑传染到另一台，并不破坏电脑内的数据。

　　良性病毒取得系统控制权后，会导致整个系统运行效率降低，系统可用内存总数减少，使某些应用程序不能运行。它还与操作系统和应用程序争抢CPU的控制权，导致整个系统死锁，给正常操作带来麻烦。而且整个电脑系统也由于多种病毒寄生于其中而无法正常工作。

　　Q42

　　问：什么是恶性病毒?它有什么危害?

　　答：死机、系统崩溃、删除普通程序或系统文件，破坏系统配置导致系统 死机、崩溃、无法重启。这些就是恶性病毒对系统造成的危害，当它们传染时会引起无法预料的和灾难性的破坏。这类病毒的破坏性都很强，所以对这类病毒要特别小心。

　　Q43

　　问：什么叫伴随型病毒?它有什么特点?

　　答：这一类病毒并不改变文件本身，它们根据算法产生EXE文件的伴随体，具有同样的名字和不同的扩展名(COM)，利用DOS加载文件的优先顺序进行工作。例如：XCOPY.EXE的伴随体是XCOPY.COM。病毒把自身写入COM文件并不改变EXE文件，当DOS加载文件时，伴随体优先被执行到，再由伴随体加载执行原来的EXE文件。

　　这类病毒的特点是不改变原来的文件内容、日期及属性。解除病毒时只要将其伴随体删除即可。

　　Q44

　　问：莫里斯蠕虫是指什么?它有什么特点?

　　答：它的编写者是美国康乃尔大学一年级研究生罗特•莫里斯。这个程序只有99行，利用了Unix系统中的缺点，用Finger命令查联机用户名单，然后破译用户口令，用Mail系统复制、传播本身的源程序，再编译生成代码。

　　最初的网络蠕虫设计目的是当网络空闲时，程序就在计算机间“游荡”而不带来任何损害。当有机器负荷过重时，该程序可以从空闲计算机“借取资源”而达到网络的负载平衡。而莫里斯蠕虫不是“借取资源”，而是“耗尽所有资源”。

　　Q45

　　问：病毒的传染性是指什么?

　　答：计算机病毒是一段人为编制的计算机程序代码，这段程序代码一旦进入计算机并得以执行，就会搜寻其他符合传染条件的程序，确定目标后再将自身代码插入其中，达到自我繁殖的目的。或者它会潜伏在计算机上的某个位置，静静地等待感染其他程序的机会来临。当病毒感染一台计算机后，只要有机会，它就会在这台计算机上迅速扩散，大量文件会被感染。而被感染的文件又成了新的传染源。通过与其他机器进行数据交换或通过网络接触，病毒会继续进行传染。

　　Q46

　　问：什么叫病毒的隐蔽性?

　　答：病毒一般是具有很高编程技巧、短小精悍的程序。它的身材一般只有几百或1K字节，而计算机对文件的存取速度可达每秒几十MB以上，所以病毒转瞬之间便可将这短短的几百字节附着到正常程序之中，非常不易被人察觉。在没有防护措施的情况下，病毒程序取得系统控制权后，可以在很短的时间里传染大量程序。而且受到传染后，计算机系统通常仍能正常运行，使用户不会感到任何异常。

　　Q47

　　问：什么叫病毒的潜伏性?

　　答：病毒发作一般都需要条件，如同一颗定时炸弹，不到时间决不爆炸一样。它会长期隐藏在系统中，默默地等待发动破坏时机的来临。只有在满足其特定条件时才启动其表现模块，而且很多病毒在展现它们的破坏性时，对计算机用户而言，那也就是灾难发生的时刻了。

　　Q48

　　问：什么是加密型病毒?

　　答：现在的病毒越来越狡猾，其中有一种病毒自身含有非常特殊的程序，并用该程序将病毒码本身加密来躲避各种防、杀病毒软件的侦测。不过，如今流行的防毒产品都更新很快，已经具有了对病毒码本身解密以及侦测这种“加密型病毒”的能力。

　　Q49

　　问：什么叫可执行文件型病毒?

　　答：可执行文件型病毒会感染执行文件(通常是指扩展名为.com或.exe的文件)。这种病毒大部分都只是企图以感染其他主机程序的方式进行复制散播，不过有些会因为覆盖原始程序代码而导致原始程序被破坏。这种病毒有一小部分非常具有破坏性，而且会在预设的时间企图将硬盘格式化或执行一些其他恶意操作。

　　Q50

　　问：什么是破坏性病毒?

　　答：该类病毒除了自我复制外，还具有非常强大的将病毒通过互联网传播出去的能力(现在网上流行的大部分病毒都是这样的情况)。此类病毒具有的破坏性是按病毒会对用户的系统所执行的破坏现象区分的，例如破坏或删除文件、将硬盘格式化以及进行拒绝服务(也就是我们常看到的DoS攻击)等攻击。

　　Q51

　　问：什么是巨集病毒?它有什么特点?

　　答：巨集病毒是一种通过其他应用程序之巨集语言来散播本身的病毒，它们会感染MS Word或MS Excel文件。和其他病毒不一样，巨集病毒不会感染程序或启动分区。不过，它们有一些可能会在使用者的硬盘留下一个程序，留下的程序可能感染执行文件或启动分区。我们可用查杀病毒产品将巨集病毒成功地从感染文件中清除。有时在清除完Word巨集病毒而重新启动Microsoft Word时，可能会看到“illegal operation”(操作不合法)的错误讯息。如果出现这种现象，请找出“normal.dot”文档并将它更名为“normail.bak”。 Word会在下一次启动时产生一个新的干净的“normal.dot”。这是因为有些病毒会留下Word无法正确读取的无害程序代码而造成的错误操作。

　　Q52

　　问：什么是引导型病毒?怎样才能清除它?

　　答：其感染对象是计算机存储介质的引导区。病毒将自身的全部或部分代码取代正常的引导记录，而将正常的引导记录隐藏在介质的其他存储空间。由于引导区是计算机启动时最先调用的部分，所以此类病毒可在操作系统运行前获得对机器的控制权，具有很强的传染性。用杀毒软件中所带的软盘启动进行查杀是最有效的方法。

　　Q53

　　问：什么是恶作剧程序?它有什么特点?

　　答：恶作剧程序通常都是可执行程序。将它们加到侦测清单的理由是它们会造成困扰而且可能含有非法影像。恶作剧程序如果不是刻意散播，通常没有自我散播能力。清除恶作剧程序的方式是直接从电脑删除它们。

　　Q54

　　问：什么是Script病毒?它有什么特点?

　　答：Script病毒是以Script程序语言如VBScript以及JavaScript撰写而成的。VBScript(Visual Basic Script)以JavaScript病毒必须透过Microsoft的Windows Scripting Host(WSH)才能够启动执行以及感染其他文件。WSH只可用于Win98以及Win2000，只要在Windows文件夹中点击两下“.vbs”或 “.js”文件便可以启动病毒。HTML病毒使用内嵌在HTML文件中的Script来进行破坏，当使用者从具备Script功能的浏览器检视HTML网页时，内嵌Script便会自动执行。

　　Q55

　　问：什么是启动扇区型病毒?

　　答：启动扇区型病毒会感染硬盘的启动扇区。电脑系统最容易受到启动扇区型病毒攻击。如果使用中毒的磁盘开机的话，即使开机不成功，硬盘也会被病毒感染。另外，有少数病毒可以从执行文件感染启动扇区，这些病毒称为“复合式病毒”，但不多见。系统一旦感染，启动扇区型病毒会企图感染该电脑上使用的每一个分区。

　　Q56

　　问：什么是欺骗病毒?它有什么特点?

　　答：欺骗病毒被激活时，它会隐藏它对文件或引导记录所做的修改。这种修改是通过监视系统功能来完成的，这种系统功能是用于从存储介质读取文件或扇区，并且伪装成调用了这种功能的结果。这意味着所读取的被感染的文件和扇区似乎与未被感染时一样。因此病毒所做的修改可以不被反病毒程序检测到。然而，为了达到这一点，在反病毒程序被执行的时候，它必须驻留内存，所以通过这点，它可以被反病毒程序检测到。

　　Q57

　　问：什么叫混合型病毒?

　　答：混合型病毒是系统或引导记录感染程序：这些病毒感染它们所发现的位于硬盘上某一操作系统的可执行的代码。在PC上有些常见的引导扇区病毒仅仅感染DOS引导扇区，MBR(主引导记录)病毒能感染固定磁盘的主引导记录和磁盘的DOS引导扇区。

　　Q58

　　问：什么是Nbtstat命令?它有什么作用?

　　答：Nbtstat是显示本地计算机和远程计算机的基于TCP/IP、NetBT协议的NetBIOS统计资料、NetBIOS名称表和 NetBIOS名称缓存。Nbtstat可以刷新NetBIOS名称缓存和注册的Windows Internet名称服务WINS。

　　Q59

　　问：什么是Netstat命令?它有什么作用?

　　答：这是一个观察网络连接状态的实用工具。它能检验IP的当前连接状态，在断定你的基本级通信正在进行后，就要验证系统上的服务。这个服务包括检查正在收听输入的通信量和验证你正在创建一个与远程站点的会话。

　　Q60

　　问：什么是Finger命令?它有什么作用?

　　答：Finger命令可显示有关运行Finger服务或Daemon的指定远程计算机(通常是运行UNIX的计算机)上用户的详细信息。
Q61

　　问：什么是SSL?

　　答：SSL(Secure Sockets Layer，加密套接字协议层)是Internet上的安全协议。当SSL会话开始后，Web浏览器将公共密钥发送给Web服务器，这样服务器可以很安全地将私人密钥发送给浏览器。浏览器和服务器在会话期间，用私人密钥加密交换数据。

　　Q62

　　问：什么是Ping命令?它有什么作用?

　　答：Ping命令用于确定本地主机，也就是你的机器能否与另一台主机成功交换数据包，再根据返回的信息你就可以推断TCP/IP参数。但并不是 Ping成功就代表TCP/IP配置正确，你有可能要执行大量的本地主机与远程主机的数据包交换，才能确信TCP/IP配置的正确性。

　　Q63

　　问：什么是Pathping命令?它有什么作用?

　　答：Pathping命令提供有关在来源和目标之间的中间跃点处的网络滞后和网络丢失的信息。Pathping将多个回显请求消息发送到来源和目标之间的各个路由器一段时间，然后根据各个路由器返回的数据包大小计算其结果。因为Pathping显示任何特定路由器或链接的数据包的丢失程度，所以用户可据此确定引起网络问题的路由器或子网。

　　Pathping通过识别路径上的路由器来执行与tracert命令相同的功能。然后，该命令根据指定的时间间隔定期将Ping发送到所有的路由器，并根据每个路由器的返回数值生成统计结果。

　　Q64

　　问：Route命令有什么作用?

　　答：使用Route命令可以在本地IP路由表中显示和修改条目。

　　Q65

　　问：什么是Telnet命令?它有什么作用?

　　答：Telnet是进行远程登录的标准协议和主要方式，它让你坐在计算机前通过Internet网络可以登录到另一台计算机，这台计算机可以在隔壁的房间里，也可以在地球的另一端。

　　当你登录上远程计算机后，你的电脑就仿佛是远程计算机的一个终端，就可以用自己的计算机直接操纵远程计算机，享受与远程计算机本地终端同样的权力。

　　通过使用Telnet,Internet用户可以与全世界许多信息中心、图书馆及其他信息资源联系。Telnet远程登录的使用主要有两种情况：第一种是用户在远程主机上有自己的账号(Account)，即用户拥有注册的用户名和口令;第二种是许多Internet主机为用户提供了某种形式的公共Telnet信息资源。

　　Q66

　　问：什么是Tracert命令?应该如何使用?

　　答：这是验证通往远程主机路径的实用程序，用法：tracert [-d] [-h maximum_hops] [-j host-list] [-w timeout] target_name。参数：

　　-d Do not resolve addresses to hostnames.(不将IP转为主机名)

　　-h maximum_hops Maximum number of hops to search for target.(最大跟踪数量)

　　-j host-list Loose source route along host-list.

　　-w timeout Wait timeout milliseconds for each reply.(time out的时间)

　　最简单的用法就是输入tracert hostname，其中hostname是计算机名或你想跟踪其路径的计算机的IP地址。Tracert将返回数据包，借以到达最终目的地的各种IP地址。

　　Q67

　　问：什么叫蠕虫病毒?

　　答：蠕虫病毒(Worm)源自第一种在网络上传播的病毒。1988年，22岁的康奈尔大学研究生罗伯特•莫里斯(Robert Morris)通过网络发送了一种专为攻击UNIX系统缺陷、名为“蠕虫”(Worm)的病毒。蠕虫造成了6000个系统瘫痪，估计损失为200万到 6000万美元。由于这只蠕虫的诞生，在网上还专门成立了计算机应急小组(CERT)。现在蠕虫病毒家族已经壮大到成千上万种，并且这千万种蠕虫病毒大都出自黑客之手。

　　Q68

　　问：什么是HTTP?它有什么作用??

　　答：HTTP(Hypertext Transfer Protocol，超文本传输协议)是WWW浏览器和WWW服务器之间的应用层通信协议。HTTP协议是基于TCP/IP之上的协议，它不仅保证正确传输超文本文档，还确定传输文档中的哪一部分，以及哪一部分内容首先显示(如文本先于图形)等。

　　Q69

　　问：IP地址是指什么?

　　答：IP地址就是网际协议地址。网际协议是一种由国际标准化组织(ISO)所制订的标准，它采用开放式系统互连(OSI)模型网络的3层(包含一个网络地址)来把信息发送给另外一个不同的网络。网络中的每一个设备都必须有一个 IP地址。一个IP地址由一个网络地址(由政府组织分配)和一个服务器地址(由公司管理员分配)构成。以数字形式表示。

　　Q70

　　问：什么叫端口?

　　答：端口是进出计算机的路径。个人计算机的串口和并口是用于插接通信线、Modem和打印机的外部插槽。在编程过程中，端口可以是符号接口，也可来自于应用程序或实用工具。

　　Q71

　　问：什么是IIS服务?它有什么作用?

　　答：IIS(Internet Information Server，互联网信息服务)是当今最流行的Web服务器之一，提供强大的互联网和互联网之间的服务功能。如果破坏者利用IIS漏洞进行攻击并得逞，将对互联网造成不可估量的损失。因此，如何加强IIS的安全机制，建立一个高安全性能的Web服务器，已成为中不可忽视的任务。

　　Q72

　　问：网际协议安全是指什么?

　　答：网际协议安全(IPSecurity)作为安全网络的长期方向，是基于密码学的保护服务和安全协议的套件。因为它不需要更改应用程序或协议，你可以很容易地给现有网络部署IPSec。网际协议安全对使用L2TP协议的VPN连接提供机器身份验证和数据加密。在保护密码和数据的L2TP连接建立之前，IPSec在计算机及其远程隧道服务器之间进行协商。

　　Q73

　　问：什么叫网关?

　　答：网关(Gateway)是指将两个使用不同协议的网络段连接在一起的设备。它的作用就是对两个网络段中的使用不同传输协议的数据进行翻译转换。

　　Q74

　　问：什么叫邮件炸弹?它有什么危害?

　　答：邮件炸弹(Email Bomb)是指目标主机发送超量的电子邮件，使主机无法承受，导致邮件系统崩溃的攻击。一个邮件账户当中只能保存一定数量的电子邮件，也就是说，电子邮件账户的容量是有限的。通过电子邮件炸弹，黑客可以不断地向同一个电子邮件地址发送大量垃圾邮件，从而把电子邮件账户塞满。这些电子邮件地址就不能够继续接收电子邮件，而且账户也会产生错误。

　　Q75

　　问：垃圾邮件是指什么?

　　答：垃圾邮件是指未经请求而发送的电子邮件，如未经发件人请求而发送的商业广告或非法的电子邮件。

　　Q76

　　问：什么叫蓝屏炸弹?

　　答：蓝屏炸弹是当初针对Win95的OOB漏洞而开发出来的一些小软件，多命名为NUKE等，以前是专门攻击139端口，被攻击的计算机多会出现著名的蓝屏错误，因而得名。现今的蓝屏炸弹主要攻击对象是使用Win98操作系统的用户。一旦该系统打上补丁，大多数蓝屏程序也就失效了。

　　Q77

　　问：什么是“幽灵”病毒?

　　答：又名多形性病毒，是采用特殊加密技术编写的病毒。每一次感染一个对象，这种病毒都会采用随机方法对病毒主体进行加密。所以在多形性病毒主体的不同样本中，想找到连续两个相同的字节有时都是不可能的。这种病毒主要是针对查毒软件而设计的，它使得查毒软件的编写更加困难，并且还会使查毒软件产生许多误报。不过现在的杀毒软件都可以很好地对它进行查杀了。

　　Q78

　　问：什么是注册表?

　　答：注册表是一个庞大的数据库，用来存储计算机软硬件的各种配置数据。其中记录了用户安装在计算机上的软件和每个程序的相关信息，用户可以通过注册表调整软件的运行性能，检测和恢复系统错误，定制桌面等。用户修改配置。系统管理员还可以通过注册表来完成系统远程管理。因而用户掌握了注册表，即掌握了对计算机配置的控制权，只需通过注册表即可将计算机的工作状态调整到最佳。

　　Q79

　　问：什么是TCP/IP协议?

　　答：TCP/IP(Transmission Control Protocol/Internet Protocol，传输控制协议/互联网络协议)协议是Internet最基本的协议，简单地说，就是由底层的IP协议和TCP协议组成的。在 Internet没有形成之前，各个地方已经建立了很多小型的网络，称为局域网，而Internet实际上就是将全球各地的局域网连接起来而形成的一个“ 网之间的网(即网际网)”。然而在连接之前的各式各样的局域网却存在不同的网络结构和数据传输规则，将这些小网连接起来后各网之间要通过一个统一的规则来传输数据，这也就是TCP/IP协议的作用。

　　Q80

　　问：加密技术是指什么?

　　答：加密技术是最常用的安全保密手段，利用技术手段把重要的数据变为乱码(加密)传送，到达目的地后再用相同或不同的手段还原(解密)。

　　加密技术包括两个元素：算法和密钥。算法是将普通的信息或者可以理解的信息与一串数字(密钥)结合，产生不可理解的密文的步骤，密钥是用来对数据进行编码和解密的一种算法。在安全保密中，可通过适当的钥加密技术和管理机制来保证网络的信息通信安全。
Q81

　　问：什么叫SYN包?

　　答：TCP连接的第一个包，非常小的一种数据包。SYN攻击包括大量此类的包，由于这些包看上去来自实际不存在的站点，因此无法有效进行处理。

　　Q82

　　问：Ssh是指什么?

　　答：Ssh (Secure Shell) 是一种程序，用于从网络登录到其他计算机、执行远程机器上的命令、以及将文件从一台计算机传输到另一台计算机上。它提供了对于不安全频道的身份验证和安全通信，主要监听端口 22 的连接。

　　Ssh可以完全替代Rlogin、Rsh、Rcp和Rdist。在很多情况下，该程序可以替换Telnet。

　　Q83

　　问：什么叫权限?

　　答：权限是与对象关联的规则，用来控制谁可以访问对象及访问的方式如何。权限由对象的所有者授予或拒绝。

　　Q84

　　问：什么是子网掩码?

　　答：子网一个最显著的特征就是具有子网掩码。与IP地址相同，子网掩码的长度也是32位，也可以使用十进制的形式。例如，为二进制形式的子网掩码：11111111111111111111111100000000，采用十进制的形式为：255.255.255.0。

　　Q85

　　问：什么是LAN?

　　答：LAN(local area network)也就是我们常说的局域网，它是由特定类型的传输媒体(如电缆、光缆和无线媒体)和网络适配器(亦称为网卡)互连在一起的计算机，并受网络操作系统监控的网络系统。

　　Q86

　　问：什么是代理?

　　答：代理就是通过特定的IP地址和端口接入互联网。代理上网的电脑在网络中所显示的IP地址和开放端口是代理服务器分配的，并非其真实的IP和端口。

　　Q87

　　问：什么叫用户账户?

　　答：由将用户定义到某一系统的所有信息组成的记录。包括用户名和用户登录所需的密码、用户账户是其成员的组，以及用户使用计算机和网络并访问他们的资源的权利和权限。

　　Q88

　　问：用户名是指什么?

　　答：使某一系统标识用户账户的惟一名称。

　　Q89

　　问：什么叫密码?它有什么作用?

　　答：密码是用于限制登录到用户账户名称和访问计算机系统及资源的安全措施。密码是在登录名称或访问被授权之前必须提供的字符串。密码可以由字母、数字和符号组成，并且区分大小写。

　　Q90

　　问：什么叫远程访问?

　　答：远程访问是用来为远程办公人员、外出人员，以及监视和管理多个部门服务器的管理员提供远程网络。有运行Windows的计算机和网络连接的用户可以拨号远程访问他们的网络来获得服务，例如文件和打印机共享、电子邮件、计划及SQL数据库访问。

　　Q91

　　问：什么是NetBIOS?它有什么作用?

　　答：NetBIOS(NETwork Basic Input/Output System)是网络基本输入输出系统。NetBIOS是1983年IBM开发的一套网络标准，此后微软在这基础上继续开发。微软的客户机/服务器网络系统都是基于NetBIOS的。应用程序通过标准的NetBIOS API调用，实现NetBIOS命令和数据在各种协议中传输。

　　Microsoft网络在WinNT操作系统中利用NetBIOS完成大量的内部联网。它还为许多其他协议提供了标准界面。TCP/IP、 NetBEUI和NWLink都有NetBIOS界面，应用程序都可以利用。NetBIOS API是为局域网开发的，现已发展为标准接口。无论是在面向连接或面向非连接的通信中，应用程序都可用其访问传输层联网协议。

　　Q92

　　问：什么是邮件列表?它有什么作用?

　　答：邮件列表也叫Mailing List，是Internet上的一种重要工具，用于各种群体之间的信息交流和信息发布。邮件列表具有传播范围广的特点，可以向Internet上数十万个用户迅速传递消息，传递的方式可以是主持人发言，自由讨论和授权发言人发言等方式。邮件列表具有使用简单方便的特点，只要能够使用Email，就可以使用邮件列表。

　　Q93

　　问：什么是UID?

　　答：UID或Uid(User Identification，用户身份证明)在NFS中，它是文件所有者的用户 ID。

　　Q94

　　问：超级用户是指什么?

　　答：超级用户是指一个有不受限制的访问权限的计算机账户，可以在计算机上执行任何操作。

　　Q95

　　问：什么叫VPN?

　　答：虚拟专用网(VPN)是一种在公用网络中配置的专用网络。公共运营商 多年以来已经建立了许多 VPN，这些 VPN 对于客户而言，是一种专用的内部或外部网络，但实际上是与其他客户共享主干网。已经基于 X.25、Switched 56、帧中继和 ATM 构建了许多 VPN。现在的潮流是在 Internet 上构建 VPN。VPN 使用访问控制和加密在公共环境中保护隐私。

　　Q96

　　问：什么是NIDS?

　　答：NIDS是Network Intrusion Detection System的缩写，即网络入侵检测系统，主要用于检测Hacker或Cracker通过网络进行的入侵行为。NIDS的运行方式有两种，一种是在目标主机上运行以监测其本身的通信信息，另一种是在一台单独的机器上运行以监测所有网络设备的通信信息，比如Hub、路由器。

　　Q97

　　问：什么是SIV?

　　答：SIV是System Integrity Verifiers的缩写，即系统完整性检测。主要用于监视系统文件或者Windows 注册表等重要信息是否被修改，以堵上攻击者日后来访的后门。SIV更多的是以工具软件的形式出现，比如著名的“Tripwire”，它可以检测到重要系统组件的变换情况，但并不产生实时的报警信息。

　　Q98

　　问：什么是LFM?

　　答：LFM是Log File Monitors的缩写，即日志文件监测器，主要用于监测网络服务所产生的日志文件。LFM通过检测日志文件内容并与关键字进行匹配的方式判断入侵行为，例如对于HTTP服务器的日志文件，只要搜索“swatch”关键字，就可以判断出是否有“phf”攻击。

　　Q99

　　问：什么是Honeypots?

　　答：也称为蜜罐系统，就是诱骗系统，它是一个包含漏洞的系统，通过模拟一个或多个易受攻击的主机，给黑客提供一个容易攻击的目标。由于蜜罐没有其他任务需要完成，因此所有连接的尝试都应被视为是可疑的。蜜罐的另一个用途是拖延攻击者对其真正目标的攻击，让攻击者在蜜罐上浪费时间。与此同时，最初的攻击目标受到了保护，真正有价值的内容将不受侵犯。蜜罐最初的目的之一是为起诉恶意黑客搜集证据。