軟件安全之惡意代碼機(jī)理與防護(hù)-武漢大學(xué)中國(guó)大學(xué)mooc課后章節(jié)答案期末考試題庫(kù)2023年

軟件安全之惡意代碼機(jī)理與防護(hù)_武漢大學(xué)中國(guó)大學(xué)mooc課后章節(jié)答案期末考試題庫(kù)2023年網(wǎng)絡(luò)嗅探攻擊是一類(lèi)非常常見(jiàn)的攻擊方式，其主要威脅到信息的可用性。

參考答案:

錯(cuò)誤

安裝了還原軟件的計(jì)算機(jī)系統(tǒng)，在重啟后可以徹底清除啟用了還原保護(hù)的分區(qū)中的惡意軟件。

參考答案:

錯(cuò)誤

可信計(jì)算思想中的靜態(tài)可信保障機(jī)制與以下哪種安全防護(hù)策略最有相似？

參考答案:

校驗(yàn)和檢測(cè)

相對(duì)于WinXP系統(tǒng)而言，目前Win10系統(tǒng)啟動(dòng)速度大大加快，其根本原因是目前計(jì)算機(jī)的CPU更快，內(nèi)存更大。

參考答案:

錯(cuò)誤

內(nèi)存中PE文件各節(jié)之間的空隙（00填充部分）大小，與以下哪個(gè)參數(shù)的大小息息相關(guān)？

參考答案:

SectionAlignment

惡意代碼一定是以文件形式存在于計(jì)算機(jī)中的。

參考答案:

錯(cuò)誤

以下哪個(gè)工具最方便用來(lái)對(duì)目標(biāo)PE程序進(jìn)行漢化？

參考答案:

exeScope

《最高人民法院、最高人民檢察院關(guān)于辦理危害計(jì)算機(jī)信息系統(tǒng)安全刑事案件應(yīng)用法律若干問(wèn)題的解釋》自2011年9月1日起施行，該司法解釋規(guī)定：非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)或者非法控制計(jì)算機(jī)信息系統(tǒng)，具有部分情形之一的，應(yīng)當(dāng)認(rèn)定為刑法第二百八十五條第二款規(guī)定的“情節(jié)嚴(yán)重”。以下不屬于該罪“情節(jié)嚴(yán)重”的特定情形的是？

參考答案:

明知他人實(shí)施非法獲取支付結(jié)算、證券交易、期貨交易等網(wǎng)絡(luò)金融服務(wù)身份認(rèn)證信息的違法犯罪行為而為其提供程序、工具五人次以上的；

PAE模式下，雖然線性地址依然只有32位，但卻尋址64G范圍內(nèi)的物理內(nèi)存。

參考答案:

正確

本課程C3PE文件格式章節(jié)中的例子程序－test.exe（見(jiàn)C3.7）的.rdata節(jié)開(kāi)始位置RVA為2000h，在內(nèi)存中的VA地址是_______H。（請(qǐng)?zhí)顚?xiě)8位阿拉伯?dāng)?shù)字）

參考答案:

00402000

我們經(jīng)?？梢钥吹讲糠志W(wǎng)站數(shù)據(jù)庫(kù)（譬如成績(jī)記錄數(shù)據(jù)庫(kù)）被人修改，該類(lèi)攻擊行為破壞了信息的______性?！緝蓚€(gè)漢字】

參考答案:

完整

GPT分區(qū)格式下單分區(qū)容量可以突破_______TB，但MBR分區(qū)格式下不可以。（填寫(xiě)阿拉伯?dāng)?shù)字）

參考答案:

2

由于安全評(píng)測(cè)機(jī)構(gòu)無(wú)法獲得未知惡意樣本構(gòu)建測(cè)試樣本集，因此無(wú)法對(duì)安全產(chǎn)品的未知惡意樣本檢測(cè)能力進(jìn)行評(píng)測(cè)。

參考答案:

錯(cuò)誤

在獲得DLL文件內(nèi)存加載基地址之后，為了進(jìn)一步獲得其導(dǎo)出的API函數(shù)在內(nèi)存中的真實(shí)地址，可以進(jìn)一步通過(guò)______對(duì)其進(jìn)行分析。

參考答案:

引出目錄表

以下哪個(gè)軟件可以用于內(nèi)核調(diào)試？

參考答案:

Windbg

DLL被引出函數(shù)的RVA存儲(chǔ)在引出目錄表下的哪個(gè)地址指向的數(shù)組中？縀中？

參考答案:

AddressOfFunctions

NTFS文件系統(tǒng)下，如果一個(gè)文件較大，NTFS將開(kāi)辟新空間存放File的具體數(shù)據(jù)，其通過(guò)文件記錄（FileRecord）中的______指明每段空間的起始簇號(hào)和占用簇的個(gè)數(shù)。

參考答案:

DataRun

在以下惡意代碼中，______在進(jìn)行目標(biāo)攻擊時(shí)并未利用目標(biāo)系統(tǒng)軟件漏洞進(jìn)行傳播。

參考答案:

Mellisa

補(bǔ)丁更新是進(jìn)行網(wǎng)絡(luò)蠕蟲(chóng)防護(hù)的唯一手段。

參考答案:

錯(cuò)誤

分析C7.8樣本文件中的virusMacro-127可知，該樣本在執(zhí)行之后，將釋放一個(gè)名為_(kāi)___的vbs腳本?！舅锌站鶇^(qū)分大小寫(xiě)】

參考答案:

dsfswhudf.VBE

通過(guò)查看以下哪個(gè)字段，可以判斷一個(gè)PE文件是32位還是64位？

參考答案:

可選文件頭的Magic

Safety與Security是存在區(qū)別的，黑客攻擊與惡意代碼通常屬于Security的范疇。

參考答案:

正確

無(wú)論惡意軟件攻擊技術(shù)如何先進(jìn)，更換計(jì)算機(jī)硬盤(pán)都能夠完全清除惡意軟件對(duì)計(jì)算機(jī)系統(tǒng)的入侵。

參考答案:

錯(cuò)誤

C7.8樣本文件中的頁(yè)面文件22.htm的腳本中有一段加密代碼，該段代碼解密之后應(yīng)為document.write(____________)。（答案中間無(wú)空格）

參考答案:

"Welcome_"+"Back_"+"To_"+"Luojia!"

C7.8樣本文件中的virusMacro-127創(chuàng)建的vbe腳本釋放了名為_(kāi)______的可執(zhí)行程序。

參考答案:

cdsadd.exe

call指令與jmp指令的功能類(lèi)似，都將跳轉(zhuǎn)到目標(biāo)位置繼續(xù)執(zhí)行。但call指令執(zhí)行時(shí)，還會(huì)將該call指令之后的地址壓入堆棧頂端。而這一特性可有效應(yīng)用于病毒代碼的重定位。

參考答案:

正確

通過(guò)格式化操作系統(tǒng)所在盤(pán)符，可以完全清除系統(tǒng)中的文件型病毒。

參考答案:

錯(cuò)誤

80X86處理器的常態(tài)工作處理模式是？

參考答案:

保護(hù)模式

在傳統(tǒng)BIOS的MBR引導(dǎo)模式下，以下關(guān)于Windows操作系統(tǒng)引導(dǎo)過(guò)程的順序，正確的是？

參考答案:

BIOS->MBR->DBR->NTLDR(BOOTMGR)

________節(jié)的主要作用是將DLL自身實(shí)現(xiàn)的函數(shù)信息進(jìn)行標(biāo)注，以便于其他程序可以動(dòng)態(tài)調(diào)用本DLL文件中的函數(shù)。

參考答案:

引出函數(shù)節(jié)

除了宏病毒威脅之外，打開(kāi)數(shù)據(jù)文檔是不可能存在其他安全隱患的。

參考答案:

錯(cuò)誤

宏病毒一種非常古老的惡意代碼威脅，當(dāng)前已經(jīng)不可能存在這類(lèi)威脅。

參考答案:

錯(cuò)誤

現(xiàn)有一PE文件，通過(guò)分析其二進(jìn)制文件，IMAGE_SECTION_HEADER結(jié)構(gòu)的起始地址和結(jié)束地址分別為0x1D0和0x270，由此可知該文件的節(jié)數(shù)量為_(kāi)________。

參考答案:

4

下面語(yǔ)句用于創(chuàng)建一個(gè)_______對(duì)象？SetfNxGxXlsxADAGD=createobject(Chr(83)&Chr(104)&Chr(101)&Chr(108)&Chr(108)&Chr(46)&Chr(65)&Chr(112)&Chr(112)&Chr(108)&Chr(105)&Chr(99)&Chr(97)&Chr(116)&Chr(105)&Chr(111)&Chr(110))

參考答案:

Shell.Application

在VBS惡意腳本程序中，___________是一個(gè)經(jīng)常被使用的瀏覽器對(duì)象，可用于模擬http的GET和POST請(qǐng)求，其經(jīng)常與ADODB.STREAM對(duì)象一起使用，以從遠(yuǎn)程下載數(shù)據(jù)并將其釋放為本地文件。

參考答案:

XMLHTTP

Office宏的編寫(xiě)語(yǔ)言是？

參考答案:

VBA

Options.SaveNormalPrompt=False此舉代碼的作用是？

參考答案:

如果公用模板被修改，不要彈框提示用戶

以下哪個(gè)宏在Offcie程序打開(kāi)時(shí)自動(dòng)觸發(fā)？

參考答案:

AutoExec

當(dāng)文檔工程被加密后，通過(guò)以下哪個(gè)工具可以解除其加密口令?

參考答案:

VBAPasswordBypasser

引入目錄表（ImportTable）的開(kāi)始位置RVA和大小位于PE文件可選文件頭DataDirecotry結(jié)構(gòu)（共16項(xiàng)）中的第________項(xiàng)。

參考答案:

2

在FAT32文件系統(tǒng)中，文件分配表有兩份，即FAT1和FAT2，當(dāng)一個(gè)文件被我們誤刪除之后，我們還可以直接從FAT2中找到對(duì)應(yīng)的簇鏈表對(duì)FAT1進(jìn)行修復(fù)，從而快速恢復(fù)該文件。

參考答案:

錯(cuò)誤

DLL被引出函數(shù)的函數(shù)名字符串的RVA存儲(chǔ)在引出函數(shù)節(jié)下的哪個(gè)字段指向的表中？

參考答案:

AddressOfNames

FAT32文件系統(tǒng)進(jìn)行文件空間分配的最小單位是簇，一個(gè)簇通常包含多個(gè)扇區(qū)。

參考答案:

正確

硬盤(pán)MBR主引導(dǎo)扇區(qū)最后兩個(gè)字節(jié)必須以“55AA”作為結(jié)束

參考答案:

正確

磁盤(pán)MBR扇區(qū)的分區(qū)表數(shù)據(jù)被破壞之后將無(wú)法恢復(fù)，因此要及時(shí)備份MBR扇區(qū)所有數(shù)據(jù)。

參考答案:

錯(cuò)誤

當(dāng)vbs文件執(zhí)行死循環(huán)時(shí)，應(yīng)打開(kāi)任務(wù)管理器結(jié)束以下哪個(gè)進(jìn)程？

參考答案:

wscript.exe

以下哪個(gè)宏在定義在文檔（非模板）中將被對(duì)應(yīng)操作自動(dòng)觸發(fā)。

參考答案:

AutoClose

如果要阻止用戶通過(guò)Word點(diǎn)擊“宏”或“查看宏”按鈕查看宏代碼，可以定義以下哪個(gè)宏來(lái)攔截該操作。

參考答案:

ToolsMacro

Office文檔啟用宏后，在Office文檔打開(kāi)窗口通過(guò)快捷鍵______可以進(jìn)入VisualBasic編輯器窗口。

參考答案:

Alt+F11

并口硬盤(pán)的數(shù)據(jù)線比串口硬盤(pán)的數(shù)據(jù)線寬，顯然其傳輸速度更快。

參考答案:

錯(cuò)誤

Windows環(huán)境下，默認(rèn)情況下每個(gè)進(jìn)程均可以直接訪問(wèn)其他進(jìn)程的用戶區(qū)內(nèi)存空間。

參考答案:

錯(cuò)誤

如果需要手工從目標(biāo)PE文件中提取其圖標(biāo)數(shù)據(jù)并生成.ico文件的話，我們需要從以下哪類(lèi)型資源中提取數(shù)據(jù)？

參考答案:

GROUPICON+ICON

以下是某硬盤(pán)的分區(qū)表信息（MBR分區(qū)格式），通過(guò)分析可知，該硬盤(pán)的第一個(gè)主分區(qū)應(yīng)為_(kāi)_____GB。（按1K=1000計(jì)算，小數(shù)點(diǎn)后保留一位，四舍五入，答案不含單位）【圖片】

參考答案:

53.7

DLL文件可能加載到非預(yù)期的ImageBase地址，PE文件使用______解決該問(wèn)題。

參考答案:

重定位機(jī)制

下圖是某U盤(pán)［FAT32文件系統(tǒng)］下某個(gè)文件的目錄項(xiàng)，由引導(dǎo)扇區(qū)參數(shù)可知該分區(qū)每個(gè)簇包含16個(gè)扇區(qū)［512字節(jié)／扇區(qū)］，由此可計(jì)算出該文件共占用_______個(gè)簇的存儲(chǔ)空間？［請(qǐng)?zhí)顚?xiě)阿拉伯?dāng)?shù)字，10進(jìn)制］【圖片】

參考答案:

23

DLL在編譯時(shí)的初始文件名字符串的RVA存儲(chǔ)在引出目錄表下的哪個(gè)字段中？

參考答案:

Name

Window系統(tǒng)中，.DL.SY.SCR和.OCX文件都屬于PE文件格式。

參考答案:

正確

在PE文件格式中，PE文件頭的Signature（即“PE\0\0”）位于MZDOS頭及DosStub之后，32位程序的Signature開(kāi)始于000000B0位置。

參考答案:

錯(cuò)誤

引出目錄表的開(kāi)始位置就是引出函數(shù)節(jié)的開(kāi)始位置，因此找到引出函數(shù)節(jié)就可以定位到引出目錄表。

參考答案:

錯(cuò)誤

一個(gè)具有圖標(biāo)和菜單的可執(zhí)行文件通常都具有資源節(jié)。

參考答案:

正確

硬盤(pán)中線性邏輯尋址方式（LBA）的尋址單位是？

參考答案:

扇區(qū)

PAE內(nèi)存分頁(yè)模式下，在進(jìn)行虛擬地址到物理地址轉(zhuǎn)化計(jì)算中，一個(gè)32位虛擬地址（線性地址）可以劃分為4個(gè)部分：頁(yè)目錄指針表項(xiàng)（PDPTE）、頁(yè)目錄表項(xiàng)（PDE）、頁(yè)表項(xiàng)（PTE），以及頁(yè)內(nèi)偏移。32位虛擬地址0x00403016對(duì)應(yīng)的PDE=________。

參考答案:

2

內(nèi)存內(nèi)核區(qū)的所有數(shù)據(jù)是所有進(jìn)程共享的，用戶態(tài)代碼可以直接訪問(wèn)。

參考答案:

錯(cuò)誤

hello25.exe程序從系統(tǒng)的user32.dll模塊中引入了MessageBoxA函數(shù)以實(shí)現(xiàn)彈框功能。當(dāng)hello25.exe程序被執(zhí)行時(shí)，user32.dll被裝載之后位于進(jìn)程內(nèi)存空間的內(nèi)核區(qū)。

參考答案:

錯(cuò)誤

PE文件的可選文件頭是可選的，可以不要。

參考答案:

錯(cuò)誤

在進(jìn)行函數(shù)引入時(shí)，必須在引入函數(shù)節(jié)部分注明目標(biāo)函數(shù)名字，否則無(wú)法進(jìn)行索引定位。

參考答案:

錯(cuò)誤

無(wú)論是在32位還是64位系統(tǒng)，病毒代碼在獲得當(dāng)前kernel32模塊中的任一VA地址之后，只要通過(guò)地址逐一遞減并驗(yàn)證指向位置是否為PE文件頭部特征，必然可以順利找到kernel32模塊的基地址。

參考答案:

錯(cuò)誤

C7.8樣本文件中的virusMacro-127創(chuàng)建了_______對(duì)象，并利用該對(duì)象的Open方法運(yùn)行該vbe腳本。

參考答案:

Shell.Application

DLL文件的編譯生成時(shí)間存儲(chǔ)在其引出函數(shù)目錄表的時(shí)間戳信息中，在針對(duì)惡意代碼的取證分析過(guò)程中，該時(shí)間信息對(duì)于了解樣本出現(xiàn)的開(kāi)始日期具有一定參考意義。

參考答案:

正確

C7.8樣本文件中的virusMacro-127執(zhí)行后釋放的vbs腳本被存儲(chǔ)在___變量中。

參考答案:

hgvfcdsfdsfff

每一個(gè)PE文件都必須有一個(gè)數(shù)據(jù)節(jié)和代碼節(jié)，且這兩個(gè)節(jié)不可以合并為一個(gè)節(jié)。

參考答案:

錯(cuò)誤

當(dāng)一個(gè)PE可執(zhí)行文件裝載到內(nèi)存之后，引入地址表（IAT表）指向的數(shù)據(jù)將被對(duì)應(yīng)函數(shù)在內(nèi)存中的VA地址所代替。

參考答案:

正確

電腦被感染計(jì)算機(jī)病毒之后，通過(guò)更換硬盤(pán)可以徹底防止任何病毒再生。

參考答案:

錯(cuò)誤

在FAT32分區(qū)下，當(dāng)文件通過(guò)Shift＋Del的方式刪除之后，以下哪個(gè)部分將發(fā)生變化？

參考答案:

目錄項(xiàng)中的文件名首字節(jié)，首簇高位，以及文件對(duì)應(yīng)的FAT表項(xiàng)

在FAT32分區(qū)下，當(dāng)文件被放入回收站之后，該文件目錄項(xiàng)中的以下哪部分?jǐn)?shù)據(jù)將發(fā)生變化？

參考答案:

文件名的第一個(gè)字節(jié)

PE文件一旦被簽名之后，該文件的任何地方被修改都將導(dǎo)致簽名驗(yàn)證無(wú)法通過(guò)。

參考答案:

錯(cuò)誤

下圖為某程序的.rdata節(jié)（開(kāi)始位置RVA：2000，文件偏移量：800H）在內(nèi)存中的主要數(shù)據(jù)。通過(guò)分析可知，MessageBoxA函數(shù)的VA地址=0x________【填入8個(gè)16進(jìn)制數(shù)字或大寫(xiě)字母，高位在前，低位在后，譬如76F8BBE2，00002050】【圖片】

參考答案:

7689EA11

下圖為某程序的.rdata節(jié)（開(kāi)始位置RVA：2000，文件偏移量：800H）在內(nèi)存中的主要數(shù)據(jù)。通過(guò)分析可知，文件808H-80BH偏移處的值是0x________?！咎钊?個(gè)16進(jìn)制數(shù)字或大寫(xiě)字母，高位在前，低位在后，譬如76F8BBE2，00002050】【圖片】

參考答案:

0000208C##%_YZPRLFH_%##8C200000

下圖為某PE程序的部分16進(jìn)制數(shù)據(jù)截圖，內(nèi)存中RVA地址0040B341H在該P(yáng)E文件中的文件偏移地址為：______h?！?位16進(jìn)制數(shù)據(jù)，高位在前，字母大寫(xiě)】【圖片】

參考答案:

00008541

請(qǐng)分析附件文件Zoomit.exe，通過(guò)分析可知：最大尺寸的ICON的RVA是__________?！?位16進(jìn)制數(shù)據(jù)，高位在前，字母大寫(xiě)】

參考答案:

0006CC90

請(qǐng)分析附件文件，通過(guò)分析可知：最大尺寸的ICON對(duì)應(yīng)的文件Size是__________。【8位16進(jìn)制數(shù)據(jù)，高位在前，字母大寫(xiě)】

參考答案:

00000EA8

當(dāng)文件被誤刪除之后，不應(yīng)繼續(xù)往該文件所在的分區(qū)繼續(xù)寫(xiě)入數(shù)據(jù)，否則可能造成被刪除的文件被覆蓋導(dǎo)致無(wú)法恢復(fù)。

參考答案:

正確

請(qǐng)分析附件文件，該文件中包含一個(gè)名為BINRES的資源，請(qǐng)將該文件提取之后保存為rczoomit64.exe，分析該文件可知，其ImageBase為_(kāi)_______【按實(shí)際位數(shù)填寫(xiě)所有16進(jìn)制數(shù)據(jù)，高位在前，字母大寫(xiě)】

參考答案:

0000000140000000

如果要理解Windows下惡意代碼在感染程序過(guò)程可能涉及到的目標(biāo)程序的圖標(biāo)修改機(jī)理，我們需要重點(diǎn)學(xué)習(xí)本課程的哪一部分內(nèi)容？

參考答案:

第3、4周PE文件格式與實(shí)踐

在你看來(lái)，信息系統(tǒng)存在安全問(wèn)題的本質(zhì)原因是：

參考答案:

信息資產(chǎn)具有價(jià)值

傳統(tǒng)感染型PE病毒因?yàn)樵诖a寄生過(guò)程中的目標(biāo)HOST程序多樣，無(wú)法事先確定自身病毒代碼即將寄生的位置，但二進(jìn)制代碼中存在部分固化的VA地址，因此需要給目標(biāo)PE程序新增一個(gè)重定位節(jié)，以確保病毒代碼中的VA地址能夠得到動(dòng)態(tài)修正。

參考答案:

錯(cuò)誤

由于文件感染型病毒需要在目標(biāo)程序新增代碼甚至新增節(jié)，其在感染過(guò)程中必將增加目標(biāo)程序大小。為了有效隱藏自己，病毒代碼通常都應(yīng)盡力做到精簡(jiǎn)以縮小自身體積。

參考答案:

錯(cuò)誤

對(duì)于計(jì)算機(jī)病毒來(lái)說(shuō)，如果其感染目標(biāo)程序都位于當(dāng)前操作系統(tǒng)之內(nèi)，感染目標(biāo)也只在本機(jī)運(yùn)行，則其需要使用的相關(guān)API函數(shù)的地址在當(dāng)前系統(tǒng)是確定的，因此可以采用硬編碼的方式將API函數(shù)的地址固化在病毒代碼中，直接調(diào)用即可。

參考答案:

錯(cuò)誤

screnc.exe是微軟提供的一款腳本加、解密工具，被其加密的腳本以#@~^作為開(kāi)始字符。

參考答案:

錯(cuò)誤

打開(kāi)C7.8樣本文件中的文檔macro3.doc，查找Flag，分析可知該Flag放在窗體UserForm1的________控件中，flag=_______。（第一個(gè)答案為控件名稱，第二個(gè)答案為字符串，不用加引號(hào)、區(qū)分大小寫(xiě)，用空格隔開(kāi)）

參考答案:

TextBox1XueDaHanWuLiGuo##%_YZPRLFH_%##UserForm1.TextBox1XueDaHanWuLiGuo

對(duì)于代碼寄生型病毒來(lái)說(shuō)，如果對(duì)方程序自身有完整性校驗(yàn)，則對(duì)該程序進(jìn)行感染將會(huì)導(dǎo)致目標(biāo)程序運(yùn)行異常。但是捆綁釋放型的感染方式則可以有效避免出現(xiàn)此類(lèi)情況。

參考答案:

正確

NTFS文件系統(tǒng)中，文件內(nèi)容的存放位置是？

參考答案:

MFT或數(shù)據(jù)區(qū)

fs:[0]的指向?yàn)檫M(jìn)程當(dāng)前活動(dòng)線程的SEH異常處理結(jié)構(gòu)的鏈?zhǔn)孜恢?，通過(guò)訪問(wèn)該鏈表的末端SEH結(jié)構(gòu)的第二個(gè)字段，可以獲得一個(gè)指向kernel32模塊內(nèi)部的地址。該方法在從XP到Win10等不同的操作系統(tǒng)中均具有良好通用性。

參考答案:

錯(cuò)誤

硬盤(pán)中PE文件各節(jié)之間的空隙（00填充部分）大小，與以下哪個(gè)參數(shù)的大小息息相關(guān)？

參考答案:

FileAlignment

PEB模塊為進(jìn)程環(huán)境塊，其位于操作系統(tǒng)內(nèi)核空間，通過(guò)用戶態(tài)程序無(wú)法訪問(wèn)。

參考答案:

錯(cuò)誤

對(duì)于捆綁型病毒A來(lái)說(shuō)，如果要感染目標(biāo)B，一般來(lái)說(shuō)采用A+B的方式，但在這種方式下被感染后的程序圖標(biāo)為A的圖標(biāo)。如果要做到目標(biāo)被感染程序后的圖標(biāo)不發(fā)生變化，直接將將感染程序B放在前面，將捆綁病毒A放在后面（即B+A）即可，無(wú)需