单选题 The following scenario will be used for questions 29 and 30.John is a network administrator and has been told by one of his network staff members that two servers on the network have recently had suspicious traffic traveling to them and then from them in a sporadic manner. The traffic has been mainly ICMP, but the patterns were unusual compared to other servers over the last 30 days. John lists the directories and subdirectories on the systems and finds nothing unusual. He inspects the running processes and again finds nothing suspicious. He sees that the systems' NICs are not in promiscuous mode, so he is assured that sniffers have not been planted.

单选题 Which of the following describes the most likely situation as described in this scenario?

A、 Servers are not infected, but the traffic illustrates attack attempts.
B、 Servers have been infected with rootkits.
C、 Servers are vulnerable and need to be patched.
D、 Servers have been infected by spyware.

【正确答案】 B

【答案解析】解析：B正确。一旦取得了某个访问等级，攻击者就可以上传一大堆工具，即rootkit。rootkit是实现了隐身能力，即为了隐藏某些进程或程序的存在性，而设计的程序。对rootkit进行检测非常困难，因为rootkit能够破坏打算找到该rootkit的软件。A不正确。因为从这个场景中描述的情况看，该系统很有可能被病毒感染了。ICMP流量可能是攻击者和被破坏的系统之间发送的命令和状态数据。 C不正确。因为这不是最佳答案。服务器可能很脆弱，需要打补丁，但这并不是本题所问。打补丁也不会根除受感染系统中的rootkit。 D不正确。因为这不是最佳答案。这个场景很好地描述了安装了rootkit的情况。间谍软件可能是rootkit的一个组成部分，但是特洛伊木马的文件很有可能已经被安装了，而这只可能使用rootkit实现，而不是恶意软件。

单选题 Which of the following best explains why John does not see anything suspicious on the reported systems?

A、 The systems have not yet been infected.
B、 He is not running the correct tools. He needs to carry out a penetration test on the two systems.
C、 Trojaned files have been loaded and executed.
D、 A back door has been installed and the attacker enters the system sporadically.

【正确答案】 C

【答案解析】解析：C正确。rootkit中的其他工具可能会不同，但通常都会包含用于掩盖攻击者行踪的实用程序。例如，每个操作系统都会包含一些供根用户或管理员用户用来检测rootki的基本实用程序、已安装的监听器和后门。黑客会使用名称相同的新的实用程序来替换这些默认的实用程序。它们就叫“特洛伊程序”，因为它们将执行预期的功能，在后台进行一些恶意行为。 A不正确。因为这不是最佳答案。因为系统很有可能没有被病毒感染，而这个问题问的是最可能的情况是什么。 B不正确。因为绝大多数rootkit都具有替换这些实用程序的特洛伊程序，因为根用户可以运行ps或top查看是否有后门服务在运行，进而检测出某个攻击。绝大多数rootkit也包含嗅探器，所以攻击者可以捕获并检查数据。要想嗅探器工作，系统的NIC必须被设置为混杂模式，这意味着NIC可以“听到”网络连接上的所有流量。默认的ipconfig实用程序允许根用户使用特定的参数查看NIC是否运行在混杂模式。所以rootkit也会包含一个ipconfig程序，它可以掩盖。NIC处于混杂模式的事实。 D不正确。因为这些服务器上很有可能不只是被安装了后门。rootkit包含允许攻击者远程控制被破坏系统的后门程序，但是rootkit中还包括许多其他工具。