奧鵬南開(kāi)20春學(xué)期1709、1803、1809、1903、1909、2003計(jì)算機(jī)病毒分析在線作業(yè)隨機(jī)

1、1.參數(shù)是從右到左按序被壓入棧，當(dāng)函數(shù)完成時(shí)由被調(diào)用者清理?xiàng)５氖牵ǎ?。A.cdecl B.stdcall C.fastcallD.壓棧與移動(dòng)【參考答案】：A2.內(nèi)存中的（）節(jié)用于函數(shù)的局部變景和參數(shù)，以及控制程序執(zhí)行流。A.數(shù)據(jù)B.堆C.代碼D.?！緟⒖即鸢浮浚篋3.（）列出了所有活躍的進(jìn)程、被進(jìn)程載入的DLL、各種進(jìn)程屬性和整體系統(tǒng)信息。A.進(jìn)程監(jiān)視器B.進(jìn)程瀏覽器C.沙箱D.Regshot【參考答案】：B4.基于Linux模擬常見(jiàn)網(wǎng)絡(luò)服務(wù)的軟件的是（）。A.ApateDNS B.Netcat C.INetSim D.Wireshark【參考答案】：C5.在獲取不到高級(jí)語(yǔ)言源碼時(shí)，（）是從機(jī)

2、器碼中能可信并保持一致地還原得到的最高一層語(yǔ)言。A.機(jī)器指令B.微指令C.匯編語(yǔ)言D.機(jī)器碼【參考答案】：C6.PE文件中的分節(jié)中唯一包含代碼的節(jié)是（）。A.rdata B.text C.data D.rsrc【參考答案】：B7.下面說(shuō)法錯(cuò)誤的是()。A.啟動(dòng)器通常在text節(jié)存儲(chǔ)惡意代碼，當(dāng)啟動(dòng)器運(yùn)行時(shí)，它在運(yùn)行嵌入的可執(zhí) 行程序或者DLL程序之前，從該節(jié)將惡意代碼提取出來(lái)B.隱藏啟動(dòng)的最流行技術(shù)是進(jìn)程注入。顧名思義，這種技術(shù)是將代碼注入到另外一個(gè)正在運(yùn)行的進(jìn)程 中，而被注入的進(jìn)程會(huì)不知不覺(jué)地運(yùn)行注入的代碼C.DLL注入是進(jìn)程注入的一種形式，它強(qiáng)迫一個(gè)遠(yuǎn)程進(jìn)程加載惡意DLL程序，同時(shí)它也是最

3、常使用的秘密 加載技術(shù)D.直接注入比DLL注入更加靈活，但是要想注入的代碼在不對(duì)宿主進(jìn)程產(chǎn)生副作用的前提下成功運(yùn)行, 直接注入需要大量的定制代碼。這種技術(shù)可 以被用來(lái)注入編譯過(guò)的代碼，但更多的時(shí)候，它用來(lái)注入shellcode【參考答案】：A8.()是可以記錄程序詳細(xì)的運(yùn)行信息的調(diào)試技術(shù)。A.內(nèi)存映射B.基地址重定位C.斷點(diǎn)D.跟蹤【參考答案】：D9.當(dāng)單擊Resource Hacker工具中分析獲得的條目時(shí)，看不到的是A.字符申B.二進(jìn)制代碼C.圖標(biāo)D.菜單【參考答案】：B10.()是指Windows中的一個(gè)模塊沒(méi)有被加載到其預(yù)定基地址時(shí)發(fā)生的情況。A.內(nèi)存映射B.基地址重定位C.斷點(diǎn)D.跟

4、蹤【參考答案】：B11.Hook技術(shù)的應(yīng)用不包括()A.實(shí)現(xiàn)增強(qiáng)的二次開(kāi)發(fā)或補(bǔ)丁B.信息截獲C.安全防護(hù)D.漏洞分析12.惡意代碼指的是（）A.計(jì)算機(jī)病蠹B.間諜軟件C.內(nèi)核嵌套D.任何對(duì)用戶、計(jì)算機(jī)或網(wǎng)絡(luò)造成破壞的軟件【參考答案】：D13. ApateDNS在本機(jī)上監(jiān)聽(tīng)UDP（）端口。A.53B.69C.161D.80【參考答案】：A14.OllyDbg使用了一個(gè)名為（）的虛擬程序來(lái)加載DLLA.rundll32.exe B.user32.dll C.kernel32.dll D.loaddll.exe【參考答案】：D15.（）常被一種叫做擊鍵記錄器的惡意程序所使用， 被用來(lái)記錄擊鍵A.D

5、LL注入B.直接注入C.APC注入D.鉤子注入【參考答案】：D16.轟動(dòng)全球的震網(wǎng)病毒是（）。A.木馬B.蠕蟲病蠹C.后門D.寄生型病蠹【參考答案】：B17.Base64編碼將二進(jìn)制數(shù)據(jù)轉(zhuǎn)化成（）個(gè)字符的有限字符集。A.16B.32C.48D.64【參考答案】：D18.捕獲Poison Ivy為shellcode分配內(nèi)存的最好方法是（）A.軟件斷點(diǎn)B.硬件斷點(diǎn)C.內(nèi)存斷點(diǎn)D.條件斷點(diǎn)【參考答案】：D19.以下注冊(cè)表根鍵中（）保存定義的類型信息。A.HKEY_LOCAL_MACHINE（HKLM）B.HKEY_CURRENT_USER（HKCUC.HKEY_CLASSES_ROOT D.HKEY

6、_CURRENT_CONFIG【參考答案】：C20.對(duì)以下代碼分析錯(cuò)誤的是（）。A.jnz為條件跳轉(zhuǎn)，而jmp為無(wú)條件跳轉(zhuǎn)B.while循環(huán)與for循環(huán)的匯編代 碼非常相似，唯一的區(qū)別在于它缺少一個(gè)遞增C.while循環(huán)停止重復(fù)執(zhí)行的唯一方式，就是那個(gè)期望發(fā)生的條件跳轉(zhuǎn)D.while循環(huán)總要進(jìn)入一次【參考答案】：D21.以下邏輯運(yùn)算符中是位移指令的是（）A.OR AND B.Shr和shl C.ror和rol D.XOR【參考答案】：C22.當(dāng)想要在函數(shù)調(diào)用使用特定的參數(shù)時(shí)才發(fā)生中斷，應(yīng)該設(shè)置什么類型的斷點(diǎn)（）A.軟件執(zhí)行斷點(diǎn)B.硬件執(zhí)行斷點(diǎn)C.條件斷點(diǎn)D.非條件斷點(diǎn)【參考答案】：C23.多數(shù)

7、DLL會(huì)在PE頭的（）打包一個(gè)修訂位置的列表。A.text節(jié)B.data節(jié)C.rsrc節(jié)D.reloc節(jié)【參考答案】：D24.而0 x52000000對(duì)應(yīng)0 x52這個(gè)值使用的是（）字節(jié)序。A.小端B.大端C.終端D.前端【參考答案】：A25.用戶模式下的APC要求線程必須處于（）狀態(tài)。A.阻塞狀態(tài)B.計(jì)時(shí)等待狀態(tài)C.可警告的等待狀態(tài)D.被終止?fàn)顟B(tài)【參考答案】：C26.下列說(shuō)法正確的是（）。A.IDA Pro有一個(gè)在識(shí)別結(jié)構(gòu)方面很有用的圖形化工具B.從反匯編代碼來(lái)看，彳艮難知道原始代碼是一個(gè)switch語(yǔ)句還是一個(gè)if語(yǔ)句序歹UC.switch中各無(wú)條件跳轉(zhuǎn)相互影響D.使用了 一個(gè)跳轉(zhuǎn)表，來(lái)更

8、加局效地運(yùn)行switch結(jié)構(gòu)匯編代碼【參考答案】：ABD27.惡意代碼編寫者可以掛鉤一個(gè)特殊的Winlogon事件,比如（）A.登錄B.注銷C.關(guān)機(jī)D.鎖屏【參考答案】：ABCD28.惡意代碼作者如何使用DLL（）多選A.保存惡意代碼B.通過(guò)使用Windows DLLC.控制內(nèi)存使用DLL D.通過(guò)使用第三方DLL【參考答案】：ABD29.對(duì)下面匯編代碼的分析正確的是（）。A.mov ebp+var_4,0對(duì)應(yīng)循環(huán)變量的初始化步驟B.add eax,1對(duì)應(yīng)循環(huán)變量的遞增，在循環(huán)中其最初會(huì)通過(guò)一個(gè)跳轉(zhuǎn)指令而跳過(guò)C.比較發(fā)生在cmp處，循環(huán)決策在jge處通過(guò)條件跳轉(zhuǎn)指令而做出D.在循環(huán)中，通過(guò)一個(gè)

9、無(wú)條件跳轉(zhuǎn)jmp,使得循環(huán)變量每次進(jìn)行遞增?！緟⒖即鸢浮浚篈BCD30. % System Root%system32driverstcpudp.sys中的登陸記錄都包括（）A.用戶名B.Windows域名稱C.密碼D.舊密碼【參考答案】：ABCD31.后門的功能有A.操作注冊(cè)表B.列舉窗口C.創(chuàng)建目錄D.搜索文件【參考答案】：ABCD32.（）是Windows API的標(biāo)準(zhǔn)調(diào)用約定A.cdecl B.stdcall C.fastcallD.壓棧與移動(dòng)【參考答案】：BC33.下面屬于OllyDbg插件的有（）。A.OllyDumpB.調(diào)試器隱藏插件C.命令行D.書簽【參考答案】：ABCD34.

10、以下是句柄是在操作系統(tǒng)中被打開(kāi)或被創(chuàng)建的項(xiàng)的是A.窗口B.進(jìn)程C.模塊D.菜單【參考答案】：ABCD35.以下對(duì)個(gè)各個(gè)插件說(shuō)法正確的是（）。A.OllyDump是OllyDbg最常使用的插件，它能夠?qū)⒁粋€(gè)被調(diào)試的進(jìn)程轉(zhuǎn)儲(chǔ)成一 個(gè)PE文件B.為了防止惡意代碼使用反調(diào)試技術(shù)，惡意代碼分析人員通常在分析惡意代碼期間，一直運(yùn)行調(diào)試器隱藏插件C.OllyDbg的命令行插件允許你用命令行來(lái)使用OllyDbg D.OllyDbg默認(rèn)情況下自帶書簽插件，書簽插件 可以將一個(gè)內(nèi)存位置加到書簽中，利用書簽，下次不需要記住就可以輕松獲取那 個(gè)內(nèi)存地址【參考答案】：ABCD36.惡意代碼可以通過(guò)創(chuàng)建一個(gè)新進(jìn)程，或修改

11、一個(gè)已存在的進(jìn)程，來(lái) 執(zhí)行當(dāng)前程序之外的代碼。T.對(duì)F.錯(cuò)【參考答案】：A37.結(jié)構(gòu)體通過(guò)一個(gè)作為起始指針的基地址來(lái)訪問(wèn)。要判斷附近的數(shù)據(jù) 字節(jié)類型是同一結(jié)構(gòu)的組成部分，還是只是湊巧相互挨著是比較困難 的，這依賴于這個(gè)結(jié)構(gòu)體的上下文。T.對(duì)F.錯(cuò)【參考答案】：A38.加硬件斷點(diǎn)處的程序在內(nèi)存處依舊是原程序所對(duì)應(yīng)的機(jī)器碼T.對(duì)F.錯(cuò)【參考答案】：A39.在操作系統(tǒng)中所有的文件都不可以通過(guò)名字空間進(jìn)行訪問(wèn)。T.對(duì)F.錯(cuò)【參考答案】：B40.虛擬機(jī)是運(yùn)行在ring0級(jí)T.對(duì)F.錯(cuò)【參考答案】：B41.PE文件格式在頭部存儲(chǔ)了很多有趣的信息。我們可以使用PEview工具來(lái)瀏覽這些信息。T.對(duì)F.錯(cuò)【參考答案】：A42.操作數(shù)指向感興趣的值所在的內(nèi)存地址，一般由方括號(hào)內(nèi)包含值、 寄存器或方程式組成，如eax。T.對(duì)F.錯(cuò)【參考答案】：A43.Strings程序檢測(cè)到的一定是真正的字符串。T.對(duì)F.錯(cuò)【參考答案】：B44.在x86匯編語(yǔ)言中，一條指令由一個(gè)助記符，以及零個(gè)或多個(gè)操作 數(shù)組成。T.對(duì)F.錯(cuò)【參考答案】：T45.WinDbg是一個(gè)出色的調(diào)試器，它提供了很多OllyDbg所不具備的功 能，但其中不包括支持內(nèi)核調(diào)試。T.對(duì)F.錯(cuò)【參考答案】：F46. WinDbg的內(nèi)存窗口不支持通過(guò)命令來(lái)瀏覽內(nèi)存。T.對(duì)F.錯(cuò)【參考答