南開大學(xué)22年春學(xué)期《計算機(jī)病毒分析》在線作業(yè)-00002

1、-本頁為預(yù)覽頁P(yáng)AGE14-本頁為預(yù)覽頁-本頁為預(yù)覽頁22春學(xué)期（高起本1709-1803、全層次1809-2103）計算機(jī)病毒分析在線作業(yè)-00002第1題. WinDbg的內(nèi)存窗口支持通過命令來瀏覽內(nèi)存，以下WinDbg讀選項中，（）選項描述讀取內(nèi)存數(shù)據(jù)并以內(nèi)存32位雙字顯示。選項A：da選項B：du選項C：dd選項D：dc參考答案：C第2題. 直接將惡意代碼注入到遠(yuǎn)程進(jìn)程中的是（）。選項A：進(jìn)程注入選項B：DLL注入選項C：鉤子注入選項D：直接注入?yún)⒖即鸢福篋第3題. 以下哪個指令可以寫入DWord格式的數(shù)據(jù)。選項A：ea選項B：eu選項C：ed選項D：ee參考答案：C第4題. 用IDA

2、 Pro對一個程序進(jìn)行反匯編時，字節(jié)偶爾會被錯誤的分類?？梢詫﹀e誤處按（）鍵來取消函數(shù)代碼或數(shù)據(jù)的定義。選項A：C鍵選項B：D鍵選項C：shift+D鍵選項D：U鍵參考答案：D第5題. Shell是一個命令解釋器，它解釋（）的命令并且把它們送到內(nèi)核。選項A：系統(tǒng)輸入選項B：用戶輸入選項C：系統(tǒng)和用戶輸入選項D：輸入?yún)⒖即鸢福築第6題. 當(dāng)想要在函數(shù)調(diào)用使用特定的參數(shù)時才發(fā)生中斷，應(yīng)該設(shè)置什么類型的斷點（）選項A：軟件執(zhí)行斷點選項B：硬件執(zhí)行斷點選項C：條件斷點選項D：非條件斷點參考答案：C第7題. 下面說法錯誤的是（）。選項A：啟動器通常在text節(jié)存儲惡意代碼，當(dāng)啟動器運(yùn)行時，它在運(yùn)行嵌入的

3、可執(zhí)行程序或者DLL程序之前，從該節(jié)將惡意代碼提取出來選項B：隱藏啟動的最流行技術(shù)是進(jìn)程注入。顧名思義，這種技術(shù)是將代碼注入到另外一個正在運(yùn)行的進(jìn)程中，而被注入的進(jìn)程會不知不覺地運(yùn)行注入的代碼選項C：DLL注入是進(jìn)程注入的一種形式，它強(qiáng)迫一個遠(yuǎn)程進(jìn)程加載惡意DLL程序，同時它也是最常使用的秘密加載技術(shù)選項D：直接注入比DLL注入更加靈活，但是要想注入的代碼在不對宿主進(jìn)程產(chǎn)生副作用的前提下成功運(yùn)行，直接注入需要大量的定制代碼。這種技術(shù)可以被用來注入編譯過的代碼，但更多的時候，它用來注入shellcode參考答案：A第8題. 下列概念說法錯誤的是（）。選項A：內(nèi)存映射窗口（ViewMemory）顯

4、示了被調(diào)用程序分配的使用內(nèi)存塊選項B：基地址重定位是指Windows中的一個模塊沒有被加載到其預(yù)定基地址時發(fā)生的情況選項C：Windows中的所有PE文件都有一個預(yù)定的基地址，它在PE文件頭中被稱為映像基地址選項D：使用相對地址，無論被加載到內(nèi)存的哪個位置，所有指令都能正常工作參考答案：D第9題. 當(dāng)一個庫被鏈接到可執(zhí)行程序時，所有這個庫中的代碼都會復(fù)制到可執(zhí)行程序中去，這種鏈接方法是（）。選項A：靜態(tài)鏈接選項B：動態(tài)鏈接選項C：運(yùn)行時鏈接選項D：轉(zhuǎn)移鏈接參考答案：A第10題. 加法和減法是從目標(biāo)操作數(shù)中加上或減去（）個值。選項A：0選項B：1選項C：2選項D：3參考答案：B第11題. 源代碼

5、通過（）后形成可執(zhí)行文件。選項A：匯編選項B：編譯選項C：連接選項D：編譯和連接參考答案：D第12題. Base64編碼將二進(jìn)制數(shù)據(jù)轉(zhuǎn)化成（）個字符的有限字符集。選項A：16選項B：32選項C：48選項D：64參考答案：D第13題. 進(jìn)程瀏覽器的功能不包括（）。選項A：比較進(jìn)程瀏覽器中的DLL列表與在Dependency Walker工具中顯示的導(dǎo)入DLL列表來判斷一個DLL是否被加載到進(jìn)程選項B：單擊驗證按鈕，可以驗證磁盤上的鏡像文件是否具有微軟的簽名認(rèn)證選項C：比較運(yùn)行前后兩個注冊表的快照，發(fā)現(xiàn)差異選項D：一種快速確定一個文檔是否惡意的方法，就是打開進(jìn)程瀏覽器，然后打開文檔。若文檔啟動了任

6、意進(jìn)程，你能進(jìn)程瀏覽器中看到，并能通過屬性窗口中的鏡像來定位惡意代碼在磁盤上的位置。參考答案：C第14題. OllyDbg的硬件斷點最多能設(shè)置（）個。選項A：3個選項B：4個選項C：5個選項D：6個參考答案：B第15題. （）能夠?qū)⒁粋€被調(diào)試的進(jìn)程轉(zhuǎn)儲為一個PE文件選項A：OllyDump選項B：調(diào)試器隱藏插件選項C：命令行選項D：書簽參考答案：A第16題. OllyDbg最多同時設(shè)置（）個內(nèi)存斷點。選項A：1個選項B：2個選項C：3個選項D：4個參考答案：A第17題. 當(dāng)單擊Resource Hacker工具中分析獲得的條目時，看不到的是選項A：字符串選項B：二進(jìn)制代碼選項C：圖標(biāo)選項D：菜

7、單參考答案：B第18題. Hook技術(shù)的應(yīng)用不包括（）選項A：實現(xiàn)增強(qiáng)的二次開發(fā)或補(bǔ)丁選項B：信息截獲選項C：安全防護(hù)選項D：漏洞分析參考答案：D第19題. 以下對各斷點說法錯誤的是（）。選項A：查看堆棧中混淆數(shù)據(jù)內(nèi)容的唯一方法時：待字符串解碼函數(shù)執(zhí)行完成后，查看字符串的內(nèi)容，在字符串解碼函數(shù)的結(jié)束位置設(shè)置軟件斷點選項B：條件斷點是軟件斷點中的一種，只有某些條件得到滿足時這個斷點才能中斷執(zhí)行程序選項C：硬件斷點非常強(qiáng)大，它可以在不改變你的代碼、堆棧以及任何目標(biāo)資源的前提下進(jìn)行調(diào)試選項D：OllyDbg只允許你一次設(shè)置一個內(nèi)存斷點，如果你設(shè)置了一個新的內(nèi)存斷點，那么之前設(shè)置的內(nèi)存斷點就會被移除參

8、考答案：C第20題. Windows?鉤子（HOOK）指的是（）選項A：鉤子是指?Windows?窗口函數(shù)選項B：鉤子是一種應(yīng)用程序選項C：鉤子的本質(zhì)是一個用以處理消息的函數(shù)，用來檢查和修改傳給某程序的信息選項D：鉤子是一種網(wǎng)絡(luò)通信程序參考答案：A第21題. 而0 x52000000對應(yīng)0 x52這個值使用的是（）字節(jié)序。選項A：小端選項B：大端選項C：終端選項D：前端參考答案：A第22題. 以下Windows API類型中（）是表示一個將會被Windows API調(diào)用的函數(shù)。選項A：WORD選項B：DWORD選項C：Habdles選項D：Callback參考答案：D第23題. 在WinDbg

9、的搜索符號中， （）命令允許你使用通配符來搜索函數(shù)或者符號。選項A：bu選項B：x選項C：Ln選項D：dt參考答案：B第24題. 以下不是GFI沙箱的缺點的是（）。選項A：沙箱只能簡單地運(yùn)行可執(zhí)行程序，不能帶有命令行選項選項B：沙箱環(huán)境的操作系統(tǒng)對惡意代碼來說可能不正確選項C：沙箱不能提供安全的虛擬環(huán)境選項D：惡意代碼如果檢測到了虛擬機(jī)，將會停止運(yùn)行，或者表現(xiàn)異常。不是所有的沙箱都能完善地考慮這個問題參考答案：C第25題. PE文件中的分節(jié)中唯一包含代碼的節(jié)是（）。選項A：.rdata選項B：.text選項C：.data選項D：.rsrc參考答案：B第26題. % System Root%sy

10、stem32driverstcpudp.sys中的登陸記錄都包括（）選項A：用戶名選項B：Windows域名稱選項C：密碼選項D：舊密碼參考答案：A,B,C,D第27題. 運(yùn)行計算機(jī)病毒，監(jiān)控病毒的行為，需要一個安全、可控的運(yùn)行環(huán)境的原因是什么選項A：惡意代碼具有傳染性選項B：可以進(jìn)行隔離選項C：惡意代碼難以清除選項D：環(huán)境容易搭建參考答案：A,B,C第28題. 惡意代碼的存活機(jī)制有（）選項A：修改注冊表選項B：特洛伊二進(jìn)制文件選項C：DLL加載順序劫持選項D：自我消滅參考答案：A,B,C第29題. 對下面匯編代碼的分析正確的是（）。選項A：mov ebp+var_4,0對應(yīng)循環(huán)變量的初始化步

11、驟選項B：add eax,1對應(yīng)循環(huán)變量的遞增，在循環(huán)中其最初會通過一個跳轉(zhuǎn)指令而跳過選項C：比較發(fā)生在cmp處，循環(huán)決策在jge處通過條件跳轉(zhuǎn)指令而做出選項D：在循環(huán)中，通過一個無條件跳轉(zhuǎn)jmp，使得循環(huán)變量每次進(jìn)行遞增。參考答案：A,B,C,D第30題. INetSim可以模擬的網(wǎng)絡(luò)服務(wù)有（）。選項A：HTTP選項B：FTP選項C：IRC選項D：DNS參考答案：A,B,C,D第31題. 名字窗口，列舉哪些內(nèi)存地址的名字選項A：函數(shù)名選項B：代碼的名字選項C：數(shù)據(jù)的名字選項D：字符串參考答案：A,B,C,D第32題. 后門的功能有選項A：操作注冊表選項B：列舉窗口選項C：創(chuàng)建目錄選項D：搜索

12、文件參考答案：A,B,C,D第33題. 微軟fastcall約定備用的寄存器是（）。選項A：EAX選項B：ECX選項C：EDX選項D：EBX參考答案：B,C第34題. 惡意代碼編寫者可以掛鉤一個特殊的 Winlogon事件,比如()選項A：登錄選項B：注銷選項C：關(guān)機(jī)選項D：鎖屏參考答案：A,B,C,D第35題. 以下是句柄是在操作系統(tǒng)中被打開或被創(chuàng)建的項的是選項A：窗口選項B：進(jìn)程選項C：模塊選項D：菜單參考答案：A,B,C,D第36題. 在 XOR加密中，逆向解密與加密不是使用同一函數(shù)。選項A：對選項B：錯參考答案：B第37題. 微軟Visual Studio和GNU編譯集合（GCC）。前

13、者，adder函數(shù)和printf的函數(shù)在調(diào)用前被壓到棧上。而后者，參數(shù)在調(diào)用之前被移動到棧上。選項A：對選項B：錯參考答案：A第38題. cmp指令不設(shè)置標(biāo)志位，其執(zhí)行結(jié)果是ZF和CF標(biāo)志位不發(fā)生變化。選項A：對選項B：錯參考答案：B第39題. 應(yīng)用程序可能包含處理INT3異常的指令,但附加調(diào)試器到程序后,應(yīng)用程序?qū)@得首先處理異常的權(quán)限。選項A：對選項B：錯參考答案：B第40題. CreateFile（）這個函數(shù)被用來創(chuàng)建和打開文件。選項A：對選項B：錯參考答案：A第41題. 這種進(jìn)程替換技術(shù)讓惡意代碼與被替換進(jìn)程擁有相同的特權(quán)級。選項A：對選項B：錯參考答案：A第42題. Netcat被稱

14、為“TCP/IP協(xié)議棧瑞士軍刀”，可以被用在支持端口掃描、隧道、代理、端口轉(zhuǎn)發(fā)等的對內(nèi)對外連接上。在監(jiān)聽模式下，Netcat充當(dāng)一個服務(wù)器，而在連接模式下作為一個客戶端。Netcat從標(biāo)準(zhǔn)輸入得到數(shù)據(jù)進(jìn)行網(wǎng)絡(luò)傳輸，而它得到的數(shù)據(jù)，又可以通過標(biāo)準(zhǔn)輸出顯示到屏幕上。選項A：對選項B：錯參考答案：A第43題. 每一個Hook都有一個與之相關(guān)聯(lián)的指針列表，稱之為鉤子鏈表，由系統(tǒng)來維護(hù)選項A：對選項B：錯參考答案：A第44題. 底層遠(yuǎn)程鉤子要求鉤子例程被保護(hù)在安裝鉤子的進(jìn)程中。選項A：對選項B：錯參考答案：A第45題. OllyDbg中內(nèi)存斷點一次只能設(shè)置一個，而硬件斷點可以設(shè)置4個。選項A：對選項B：錯參考答案：A第46題. 機(jī)器碼層由操作碼組成，操作碼是一些二進(jìn)制形式的數(shù)字。選項A：對選項B：錯參考答案：B第