2017年Q1安卓ROOT类恶意病毒发展趋势研究报告 -
| 关注黑客与极客
2017年Q1安卓ROOT类恶意病毒发展趋势研究报告
共344399人围观
，发现 4 个不明物体
1、移动互联网黑产持续性攻击的核武器，用户设备沦陷的最后防线
Android平台作为目前最流行的流量平台，由于它的开源使得大量的厂商加入其阵营,作为当前最大的流量来源,安卓平台是黑产分子眼中的香饽饽，各种恶意应用和手机病毒纷至而来。
由于安卓系统先天就存在的一些限制,习惯了PC时代为所欲为的黑产分子为了绕过Android平台的安全机制以及与手机杀毒软件的对抗，病毒开发者需要获取手机等设备的最高权限以”王”的身份来发号施令。恶意广告弹框一天几十个保底，恶意应用装个一打,恶意短信扣费今天就扣100块,用户隐私数据按吨卖，网络劫持手到擒来…，用户机器此时欲哭无泪。
为了对抗手机安全厂商的,ROOT恶意病毒采取各种各样的措施，如应用加壳、动态加载、代码混淆、反调试,云端控制等招数，增加了病毒发现的难度,同时由于安卓平台的碎片化导致ROOT病毒的清理难度也很大,通常安全厂商都会通过发布专杀工具或者ROOT层拦截模块来进行最后的防御。
2、刚需是ROOT恶意病毒最大的安全来源
ROOT病毒虽霸道,但是再霸道的东西能要装了才能“体会”,除了一部分小的应用分发平台，要想通过主流的应用分发平台进行传播的难度系数还是挺高的(比如绕过安全厂商的引擎) ,要让用户心甘情愿安全并且能够保证充足的用户群体。色情刚需的流量就理所当然成为ROOT病毒最温柔的家园。
根据腾讯手机管家及腾讯反诈骗实验室大数据分析表明，Root类病毒在Android病毒中所占的比重越来越高，每日新增的病毒样本中将近一半的病毒包含Root模块，样本主要集中在色情应用这种刚需上，日影响用户在百万级别。
3、低版本安卓用户设备极度危险
Root类病毒Root工具主要包括PingPongRoot、TowelRoot,、MtkfbExploit、FramaRoot 和Root Assistant等；最容易被攻击的手机机型和Android版本分别为：华为G7-TL00、小米Redmi 3、华为MT7-TL10 OPPO A31、红米NOTE 1S，Android4.4.2、Android5.1.1和Android4.3.1。
一、Root类病毒特点
安卓Root类病毒，又称顽固木马，是指病毒应用会利用系统漏洞对设备进行Root提权，在Root提权成功后，再通过植入、感染和替换系统文件等方式将恶意的Apk、Elf等文件写入到系统目录，进行后续的恶意行为。这类病毒通常会进行恶意扣费、恶意推广、盗取数据等行为，部分具有极强的破坏性，会篡改用户设备信息和破坏系统，顽固木马通常具有极强的防卸载能力，一般的手机安全软件都无法彻底清除。
1、安卓Root类病毒的主要特点
1.1 功能强大，攻击方式多种多样：相比较于普通的Apk病毒，Root类病毒由于获取了设备的Root权限，其功能更加强大，它可以感染、注入系统文件和进程的方式来实现复杂多样的攻击;
1.2 攻击面日益增大：Root类病毒通过利用系统漏洞来获取设备的Root权限，Android平台相关系统漏洞不断被爆出，而由于Android系统严重的碎片化，这些系统漏洞很难全部被修复；
1.3 病毒驻留时间长，难以完全清除：首先，Root类病毒获取了设备Root权限，它能完全控制手机来进行恶意行为，且部分病毒具有极强的防卸载和与杀软对抗的能力，只具有普通权限的手机杀毒软件不能处理这类病毒，其次，elf文件是Root类病毒重要的组成部分，elf文件相对于Apk文件来说，分析难度更大，一般需要特定的清理方式，增加了清理难度。
1.4 破坏力能力强：Root病毒通常会进行恶意扣费、恶意推广行为，部分病毒还具有极强的破坏性，会篡改用户设备信息和破坏系统，这严重影响了用户设备的正常使用，一旦中了此类病毒，用户通常会因无法清理病毒而选择刷机，导致用户数据丢失，造成很大的损失；
1.5 主要寄生的样本：Root类病毒一般以色情应用或仿冒游戏应用的形式来引诱用户安装运行；
1.6 主要的收益：Root类病毒由于其难以清除的特点，其主要目的在于“推”，通过推广其他软件来获取推广利益价值，经常和恶意扣费类的应用捆绑在一起，此外，还有一些实现其他功能的Root类病毒，包括窃取用户隐私数据，盗刷网络流量等。
二、Root类病毒现状
1、感染量变化趋势
从收集样本数看，Root类病毒样本数处于稳定增长趋势。
&从感染用户量来看，Root类病毒感染的用户量也是稳中有升。
从影响的Android系统版本来看，主要还是集中在Android4.4.2、4.3.1和5.1.1。&
2、 Root类病毒主要传播途径
2.1 &色情应用：约占Root类病毒的98%，用户主动下载或被推广安装。
2.2 游戏应用：仿冒热门游戏，诱导用户下载安装。
2.3 无图标或者伪装系统应用：通过恶意推广或ROM内置。 & & &&
3、Root类病毒黑色产业链
三、Android Root类病毒技术分析
1、Root类病毒的攻击流程
Root类病毒的攻击流程如下图所示，当感染用户手机后，Root类病毒会首先尝试去调用提权模块进行root提权操作，若提权失败，则它就不会执行后续的恶意行为，或者是像普通的Apk病毒一样，执行一些弹出广告等恶意行为； 然而，当提权成功后，它就会将恶意的Elf文件、病毒Apk文件植入到系统目录，并通过修改系统启动项、运行后台守护进程来保证病毒在开机时自启和防止病毒被卸载。由于获取了root权限，病毒的恶意行为就不局限于弹窗广告了，它可以进行更加复杂和多样的恶意操作，包括静默安装应用、修改系统文件、窃取用户数据、注入系统应用和其他用户应用等，给用户安全造成严重的威胁。
2、Root提权模块
Root提权模块作为Root类病毒的核心模块，是Root类病毒执行成功与否的关键。目前Root提权模块都是以dex、jar或apk子包的形式被病毒母包进行动态加载调用。一般病毒母释放Root提权模块有两种方式，一是从自身Apk的资源目录中的加密文件中解密释放；另一种方式就是从远程的网络服务器上进行下载。目前采用较多的是从网络服务器上下载Root提权模块，这种方式具有很大的灵活性，Root提权模块的提供者可以通过更新服务器上的提权模块来提升病毒提权的成功率；同时也可以通过修改网络配置来使原先的服务器链接失效，增加病毒分析取证的难度。
下图就是一个病毒母包从网络服务器上下载root提权工具包的代码。
动态抓取的病毒母包与网络服务器的通信内容，可以从中看到服务器配置的root工具包的版本、下载链接等相关信息。
&通过对收集到的Root类病毒进行分析，发现病毒样本使用到的root提权子包主要有以下几种：
各提权子包在Root类病毒样本中使用的占比情况如下：
3、Root病毒使用的系统漏洞
Root类病毒通过利用Android系统的漏洞来获取root权限，一般使用到的系统漏洞主要包括：
4、 Root类病毒恶意文件寄生常用的系统目录
四、常见Android Root类病毒家族
1、Root类病毒6大家族
各家族的技术点对比：
2、 FatalSexy
2.1 病毒简介
此家族的Root类病毒是目前最常见的类型，影响面也是最广的，主要通过色情类应用进行传播，诱惑用户下载安装。用户下载、运行了该病毒后，该病毒会立即下载提权模块来获取系统root权限，并植入恶意elf文件和恶意Apk文件到系统目录，进行恶意推广和流氓行为，对用户造成极大的损害。
2.2 &病毒执行流程
2.3 病毒变种变化
&2.4 技术点分析
（1）下载Root提权模块
样本dex文件中包含嵌入的恶意代码，并在初始化过程中调用此代码，下载用于下载root工具包的so文件；
&下载的so文件为文件load2_5052eb2c
（2）Root提权
调用so的方法去下载ROOT工具包和执行root方案
下载的ROOT提权子包和相关工具
（3）释放恶意Elf文件和Apk文件到系统目录
此类病毒样本在root成功后，会将资源文件中释放出来的的恶意文件推送到手机的相应目录下，进行恶意扣费、流氓推广等行为。
下图为病毒运行时释放的恶意文件，其中in-injectso.so和in-libvangd.so会注入系统进程进行恶意扣费，其他apk文件会被推送到/system/app下，进行恶意推广的行为。
3、Jmedia病毒
3.1 病毒简介
该病毒从去年6月份左右开始出现，最早是通过仿冒国内的知名手机游戏进行传播，之后切换到通过色情应用传播，一旦用户不慎下载、运行了该病毒，该病毒将立即下载提权文件来获取root权限，夺取系统的控制权；频繁静默下载推送应用；并下载恶意子包，注入系统进程发送扣费短信，造成用户极大的财产损失。
3.2 病毒执行流程
3.3&病毒变种变化
3.4&技术点分析
（1）释放子包&
这类病毒程序具有通用的释放模块，通过运行时解密assets目录的资源文件来释放病毒的子包kload.apk,并动态加载子包，反射调用其中方法。
（3）子包kload.apk下载root工具包，调用root工具包进行root行为
动态抓取的root工具包的相关链接
root工具包内容
其中rt.so实质是用于获取root的apk文件，子包kload.apk通过解密释放rt.so到应用的app_pt_odex目录下面，并通过反射调用com.power.RtEngineApi类的action方法启动程序，代码如下图所示：
rt.so通过自解密自身代码中包含的固定字符串，在本地生成文件/files/prog16_b#/b.zip和/files/prog_om#/onem.zip（#号为生成文件的类实例化时传入的参数），然后解压zip包释放提权文件，并通过运行时调用提权文件私自对用户手机进行root行为，在root成功后，删除提权文件。代码如下图所示：
本地生成的文件如下图所示，其中每个prog#（#表示序号）中包含提权文件r0，对应不同的root方案;&.sys.attr文件实际上是实现了chattr功能的elf文件，能给文件进行加锁，防止文件被轻易卸载;&.sys.us也是elf文件，是病毒之后用于获取root权限的后门；.sys.irf是sh文件，用于替换install-recovery.sh，保证恶意进程开机启动。
（3）恶意应用注入系统进程和恶意扣费
病毒通过.r.sh脚本将恶意功能子包in-fun1.so，in-fun2.so，in-injectso.so，in-libvangd.so重定向到/data/local目录下。
其中恶意功能子包的描述如下：
注入系统进程调起功能子包
tmp-msg.apk和tmp-drp.apk程序包结构：
发送扣费短信：
&删除发送的扣费短信：
（4）频繁下载安装应用
病毒通过在/sdcard/mmt/widegets/data目录下创建SQlite数据库来控制应用的下载和安装
数据库结构如下：
应用下载和安装
主要下载的应用：
4、FakeGame
4.1 病毒简介
这类病毒主要通过重打包一些益智类小游戏和热门的应用进行传播，感染此病毒后，该病毒从资源文件assets目录下解密加载Root提权子包，上传用户的设备信息到远程服务器，获取相应的Root方案并进行Root提权行为。此外，此病毒还频繁下载推送应用，对用户正常使用手机造成影响。
4.2&病毒执行流程
4.3&技术点分析
（1）宿主APK运行时动态加载dex文件
dex文件代码结构很简单，主要实现的功能就是将需要使用到的相关命令、文件名等字符串进行加密存储，并进一步加载Root提权模块的dex文件。
& & & 加密字符串：主要就是将需要使用到的相关命令、文件名等字符串进行加密存储
解密后得到的字符串：
加载Root提权模块，从assets目录中的资源文件中将Root提权模块dex文件释放出来，并通过DexClassLoader进行加载调用。
（2）Root提权
其中org.anonymous.encryption.EncryptedBox为解密工具类，通过加载lib目录下的lib_subox.so，调用其相关方法对类中的加密字符串常量进行解密，还原出annonymous_core.so文件，调用System.load加载annonymous_core.so，加载完毕后删除该annonymous_core.so文件。
annonymous_core.so这个so文件主要是实现加解密的功能
其中org.anonymous.subox.SuperShell类为提供root功能的核心类，首先通过EncryptedBox.loadResource方法来加载资源文件，释放到指定的目录，然后调用shell命令来实现root。&&
其加载的资源来源主要从网络上下载，通过与远程服务器通信，获取设备的信息发送给远端的服务器，然后服务器下发对应的数据文件（包括root方案和一些相关的工具）
下载释放的Root方案和一些相关的工具：
（3）恶意弹窗推广
推广的应用主要包括：
5、 mobo病毒
5.1&病毒简介
该病毒通过仿冒网速监控器，手机清理工具、和播放器等应用进行传播，一旦用户手机不慎被感染，该病毒将立即下载提权文件来获取root权限，频繁推送广告，监控用户短信记录，私自发送扣费短信，注入大量恶意文件到手机系统用于守护病毒，防止病毒被卸载；
5.2&病毒执行流程
5.3&技术点分析
（1）病毒母包行为
加载子包assets/a，解码assets/c，assets/s，生成mcr.apk和libdt.so
libdt.so的反射调用了mcr.apk的com.android.provider.power.Power类中的init方法
mcr.apk的init方法通过getIsFirst方法判断程序是否第一次被运行，若是首次运行则调用Door.init(context)方法初始化配置并启动服务b和服务d，激活广告功能
服务b通过接收广播弹出广告
服务d启动启动计费服务，并发送短信进行扣费，扣费成功后向服务器上传信息
（2）Root提权
Root提权模块判断root方案文件是否存在，若存在则加载进行root，若不存在则创建生成后再进行root
/data/data/应用包名/files/.sunny目录下的b.png解压后为r1~r4，分别是四种不同的root方案，利用系统漏洞来进行root提权。
（3）恶意文件注入
主要恶意文件及其功能简要说明
修改install-recovery.sh设置恶意文件开机启动
mkdevsh脚本文件，将恶意文件注入系统中并修改权限
推送的恶意apk子包
6、GameGhost
6.1&病毒简介
该病毒表面上是正常的游戏应用，实际在运行该应用后，病毒母包解密释放.jar模块，此模块分正常版本和恶意版本（具有恶意行为），可以通过服务器进行远程配置。若病毒加载了恶意的.jar模块，其会下载root提权工具包并进行root提权，提权成功后，会在系统注入恶意模块进行刷量行为。此病毒隐蔽性极强，可以长期驻留于用户手机，威胁用户数据安全。
6.2&病毒执行流程
6.3&技术点分析
（1）释放加载恶意模块
病毒app在每次启动时，会调起包含恶意代码的广告模块，此模块会在游戏启动后的初始化过程中，通过libTTPK.so，从assets目录中提取压缩包文件，释放.jar子包;
云端控制更新.jar子包;
动态加载调用.jar文件的相关方法；
（2）下载Root提权模块进行root提权
下载，实际上为zip压缩包；
解压r3.png，获取利用工具包，其中my32,&p52是root方案，brplugin_c2000.jar是另外一个root工具箱，集成了多种root方案
木马程序根据手机型号选择使用my32、p52还是brplugin_c2000.jar来进行root提权
推送恶意文件到系统目录
清理犯罪现场：
（3）加载远控恶意插件框架，进行恶意刷量行为
病毒在完成入侵后，在/data/misc/目录驻留agent远控插件框架，并且在/system/bin目录下篡改vold服务，在开机启动时，调起远控框架。
远控插件框架通过与远程服务器交互，下载不同的任务模块，其中task模块是用于恶意刷量行为。
task模块运行后，通过注入so的方式注入应用进程，获取用户信息等相关敏感数据，后续通过与控制服务器、应用服务器进行交互，最终从控制服务器获取包含key，uid参数的任务请求，从而进行恶意刷量。
注入应用进程的恶意so，获取相关的sessionkey、cookie等敏感数据，保存到sdcard卡上
从文件中获取数据，上传到控制服务器，并与控制服务器进行交互
控制服务器返回任务请求链接，进行刷量
7&EvilPlugin
7.1 病毒简介
该病毒通过仿冒系统服务和系统应用等进行传播，一旦用户手机不慎被感染，该病毒将立即下载提权文件来获取root权限，root成功后，推送大量的恶意Apk子包到设备系统目录，对用户正常使用手机造成影响。
7.2 病毒执行流程
7.3&技术点分析
（1）病毒母包运行时下载Root提权子包dex
释放的dex文件
（2）root提权子包
目录结构如下：
相关的root方案列表
调用工具包进行root
（3）推送恶意apk文件到系统rom内
主要推送的apk有
五、Root类病毒的预防和清理方案
5.1&安全建议
防范此类技术高超、功能强大的手机病毒，安卓手机用户需要提高安全意识，养成良好的手机使用习惯，腾讯手机管家及腾讯反诈骗实验室建议：
a 下载应用时尽量通过官方或正规第三方电子市场下载安装；
b&不要轻易下载安装所谓“色情类”相关视频应用；
c &日常使用手机过程中，谨慎点击软件内的推送广告；
d&来源不明的安装包、文件等不要随意点击下载；
e &手机上网时，对于不明链接、安全性未知的二维码等信息不随意点击或扫描；
f &定期使用诸如腾讯手机管家等手机安全软件查杀手机病毒。
5.2&清理方案
如发现手机已有中Root类病毒的迹象，可下载使用腾讯手机顽固木马专杀进行查杀。腾讯手机顽固木马专杀支持Elf、jar、dex和APK等多种格式的文件扫描和查杀，可以深度清理寄生于手机系统底层的Elf病毒和Apk病毒。
*本文作者腾讯手机管家，转载请注明来自
有点low，还是用我司的手机卫士吧
必须您当前尚未登录。
必须（保密）
腾讯手机管家是腾讯旗下一款永久免费的手机安全与管理软件。功能包括病毒查杀、骚扰拦截、支付保护、隐私保护、手机防盗等安全防护，此外还支持用户流量监控、垃圾清理、手机加速、手机瘦身、免费WiFi、软件管理、相册管理、来电秀、手机备份、提醒助手等高端智能化功能，不仅是安全专家，更是用户的贴心管家。
关注我们 分享每日精选文章2017年网络安全知识竞赛题库附答案
单选题　　1.使网络服务器中充斥着大量要求回复的信息，消耗带宽，导致网络或系统停止正常服务，这属于什么攻击类型?(A)　　A、拒绝服务B、文件共享C、BIND漏洞D、远程过程调用　　2.为了防御网络监听，最常用的方法是(B)　　A、采用物理传输(非网络)B、信息加密C、无线网D、使用专线传输　　3.向有限的空间输入超长的字符串是哪一种攻击手段?(A)　　A、缓冲区溢出;B、网络监听;C、拒绝服务D、IP欺骗　　4.主要用于加密机制的协议是(D)　　A、HTTP B、FTPC、TELNET D、SSL　　5.用户收到了一封可疑的电子邮件,要求用户提供银行账户及密码,这是属于何种攻击手段?(B)　　A、缓存溢出攻击;B、钓鱼攻击;C、暗门攻击;D、DDOS攻击　　6.Windows NT和Windows 2000系统能设置为在几次无效登录后锁定帐号,这可以防止(B)　　A、木马;B、暴力攻击;C、IP欺骗;D、缓存溢出攻击　　7.在以下认证方式中，最常用的认证方式是：(A)　　A基于账户名/口令认证;B基于摘要算法认证;C基于PKI认证;D基于数据库认证　　8.以下哪项不属于防止口令猜测的措施?(B)　　A、严格限定从一个给定的终端进行非法认证的次数;B、确保口令不在终端上再现;C、防止用户使用太短的口令;D、使用机器产生的口令　　9.下列不属于系统安全的技术是(B)　　A、防火墙;B、加密狗;C、认证;D、防病毒　　10.抵御电子邮箱入侵措施中，不正确的是(D)　　A、不用生日做密码B、不要使用少于5位的密码C、不要使用纯数字D、自己做服务器　　11.不属于常见的危险密码是(D)　　A、跟用户名相同的密码B、使用生日作为密码C、只有4位数的密码D、10位的综合型密码　　12.不属于计算机病毒防治的策略的是(D)　　A、 确认您手头常备一张真正“干净”的引导盘　　B、 及时、可靠升级反病毒产品　　C、 新购置的计算机软件也要进行病毒检测　　D、 整理磁盘　　13.针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术，这是()防火墙的特点。(D)　　A、包过滤型B、应用级网关型C、复合型防火墙D、代理服务型　　14.在每天下午5点使用计算机结束时断开终端的连接属于(A)　　A、外部终端的物理安全B、通信线的物理安全C、窃听数据D、网络地址欺骗　　15.2003年上半年发生的较有影响的计算机及网络病毒是什么(B)　　(A)SARS(B)SQL杀手蠕虫(C)手机病毒(D)小球病毒　　16.SQL杀手蠕虫病毒发作的特征是什么(A)　　(A)大量消耗网络带宽(B)攻击个人PC终端(C)破坏PC游戏程序(D)攻击手机网络　　17.当今IT的发展与安全投入，安全意识和安全手段之间形成(B)　　(A)安全风险屏障(B)安全风险缺口(C)管理方式的变革(D)管理方式的缺口　　18.我国的计算机年犯罪率的增长是(C)　　(A)10%(B)160%(C)60%(D)300%　　19.信息安全风险缺口是指(A)　　(A)IT的发展与安全投入，安全意识和安全手段的不平衡(B)信息化中，信息不足产生的漏洞　　(C)计算机网络运行，维护的漏洞(D)计算中心的火灾隐患　　20.信息网络安全的第一个时代(B)　　(A)九十年代中叶(B)九十年代中叶前(C)世纪之交(D)专网时代　　21.信息网络安全的第三个时代(A)　　(A)主机时代,专网时代,多网合一时代(B)主机时代,PC机时代,网络时代(C)PC机时代,网络时代,信息时代(D)2001年,2002年,2003年　　22.信息网络安全的第二个时代(A)　　(A)专网时代(B)九十年代中叶前(C)世纪之交　　23.网络安全在多网合一时代的脆弱性体现在(C)　　(A)网络的脆弱性(B)软件的脆弱性(C)管理的脆弱性(D)应用的脆弱性　　24.人对网络的依赖性最高的时代(C)　　(A)专网时代(B)PC时代(C)多网合一时代(D)主机时代　　25.网络攻击与防御处于不对称状态是因为(C)　　(A)管理的脆弱性(B)应用的脆弱性(C)网络软，硬件的复杂性(D)软件的脆弱性　　26.网络攻击的种类(A)　　(A)物理攻击，语法攻击，语义攻击(B)黑客攻击，病毒攻击(C)硬件攻击，软件攻击(D)物理攻击，黑客攻击，病毒攻击　　27.语义攻击利用的是(A)　　(A)信息内容的含义(B)病毒对软件攻击(C)黑客对系统攻击(D)黑客和病毒的攻击　　28.1995年之后信息网络安全问题就是(A)　　(A)风险管理(B)访问控制(C)消除风险(D)回避风险　　29.风险评估的三个要素(D)　　(A)政策，结构和技术(B)组织，技术和信息(C)硬件，软件和人(D)资产，威胁和脆弱性　　30.信息网络安全(风险)评估的方法(A)　　(A)定性评估与定量评估相结合(B)定性评估(C)定量评估(D)定点评估　　31.PDR模型与访问控制的主要区别(A)　　(A)PDR把安全对象看作一个整体(B)PDR作为系统保护的第一道防线(C)PDR采用定性评估与定量评估相结合(D)PDR的关键因素是人　　32.信息安全中PDR模型的关键因素是(A)　　(A)人(B)技术(C)模型(D)客体　　33.计算机网络最早出现在哪个年代(B)　　(A)20世纪50年代(B)20世纪60年代(C)20世纪80年代(D)20世纪90年代　　34.最早研究计算机网络的目的是什么?(C)　　(A)直接的个人通信;(B)共享硬盘空间、打印机等设备;(C)共享计算资源;　　35.大量的数据交换。　　36.最早的计算机网络与传统的通信网络最大的区别是什么?(B)　　(A)计算机网络带宽和速度大大提高。(B)计算机网络采用了分组交换技术。(C)计算机网络采用了电路交换技术。(D)计算机网络的可靠性大大提高。　　37.关于80年代Mirros蠕虫危害的描述，哪句话是错误的?(B)　　(A)该蠕虫利用Unix系统上的漏洞传播(B)窃取用户的机密信息，破坏计算机数据文件　　(C)占用了大量的计算机处理器的时间，导致拒绝服务(D)大量的流量堵塞了网络，导致网络瘫痪　　38.以下关于DOS攻击的描述，哪句话是正确的?(C)　　(A)不需要侵入受攻击的系统(B)以窃取目标系统上的机密信息为目的　　(C)导致目标系统无法处理正常用户的请求(D)如果目标系统没有漏洞，远程攻击就不可能成功　　39.许多黑客攻击都是利用软件实现中的缓冲区溢出的漏洞，对于这一威胁，最可靠的解决方案是什么?(C)　　(A)安装防火墙(B)安装入侵检测系统(C)给系统安装最新的补丁(D)安装防病毒软件　　40.下面哪个功能属于操作系统中的安全功能(C)　　(A)控制用户的作业排序和运行(B)实现主机和外设的并行处理以及异常情况的处理　　(C)保护系统程序和作业，禁止不合要求的对程序和数据的访问(D)对计算机用户访问系统和资源的情况进行记录　　41.下面哪个功能属于操作系统中的日志记录功能(D)　　(A)控制用户的作业排序和运行(B)以合理的方式处理错误事件，而不至于影响其他程序的正常运行　　(C)保护系统程序和作业，禁止不合要求的对程序和数据的访问(D)对计算机用户访问系统和资源的情况进行记录　　42.Windows NT提供的分布式安全环境又被称为(A)　　(A)域(Domain)(B)工作组(C)对等网(D)安全网　　43.下面哪一个情景属于身份验证(Authentication)过程(A)　　(A)用户依照系统提示输入用户名和口令　　(B)用户在网络上共享了自己编写的一份Office文档，并设定哪些用户可以阅读，哪些用户可以修改　　(C)用户使用加密软件对自己编写的Office文档进行加密，以阻止其他人得到这份拷贝后看到文档中的内容　　(D)某个人尝试登录到你的计算机中，但是口令输入的不对，系统提示口令错误，并将这次失败的登录过程纪录在系统日志中　　44.下面哪一个情景属于授权(Authorization)(B)　　(A)用户依照系统提示输入用户名和口令　　(B)用户在网络上共享了自己编写的一份Office文档，并设定哪些用户可以阅读，哪些用户可以修改　　(C)用户使用加密软件对自己编写的Office文档进行加密，以阻止其他人得到这份拷贝后看到文档中的内容　　(D)某个人尝试登录到你的计算机中，但是口令输入的不对，系统提示口令错误，并将这次失败的登录过程纪录在系统日志中　　45.下面哪一个情景属于审计(Audit)(D)　　(A)用户依照系统提示输入用户名和口令　　(B)用户在网络上共享了自己编写的一份Office文档，并设定哪些用户可以阅读，哪些用户可以修改　　(C)用户使用加密软件对自己编写的Office文档进行加密，以阻止其他人得到这份拷贝后看到文档中的内容　　(D)某个人尝试登录到你的计算机中，但是口令输入的不对，系统提示口令错误，并将这次失败的登录过程纪录在系统日志中　　46.以网络为本的知识文明人们所关心的主要安全是(C)　　(A)人身安全(B)社会安全(C)信息安全　　47.第一次出现&HACKER&这个词是在(B)　　(A)BELL实验室(B)麻省理工AI实验室(C)AT&T实验室　　48.可能给系统造成影响或者破坏的人包括(A)　　(A)所有网络与信息系统使用者(B)只有黑客(C)只有跨客