計算機(jī)病毒分析

《計算機(jī)病毒》課程期末復(fù)習(xí)資料第1章惡意代碼分析入門1.1計算機(jī)病毒的定義和類型1.2計算機(jī)病毒分析的目的1.3計算機(jī)病毒分析技術(shù)概述第2章靜態(tài)分析技術(shù)基礎(chǔ)2.1殺毒軟件2.2哈希值2.3特性字符串2.4加殼與混淆2.5PE文獻(xiàn)格式2.6鏈接庫與函數(shù)第3章在虛擬機(jī)中分析惡意代碼3.1虛擬機(jī)的構(gòu)造3.2創(chuàng)立虛擬機(jī)3.3使用虛擬機(jī)第4章動態(tài)分析技術(shù)4.1沙箱分析4.2運(yùn)行病毒和使用進(jìn)程監(jiān)視4.3ProcessExplorer和Regshot4.4網(wǎng)絡(luò)模擬第5章X86反匯編5.1逆向工程5.2X86體系構(gòu)造5.3CPU匯編指令5.4匯編指令5.5棧操作第6章IDApro6.1加載可執(zhí)行文獻(xiàn)6.2IDApro的窗口6.3IDApro導(dǎo)航6.4交叉引用6.5函數(shù)分析6.6使用圖形選項(xiàng)6.7增強(qiáng)反匯編第7章識別匯編語言中的C語言代碼構(gòu)造7.1識別匯編中的C語言代碼構(gòu)造7.2識別if分支構(gòu)造7.3識別循環(huán)7.4識別函數(shù)調(diào)用7.5識別switch構(gòu)造美化7.6識別數(shù)組、構(gòu)造體、鏈表第8章分析惡意Windows程序8.1WindowsAPI8.2Windows注冊表8.3網(wǎng)絡(luò)API8.4跟蹤病毒運(yùn)行8.5互斥量8.6異常解決、模式、NativeAPI第9章動態(tài)調(diào)試9.1調(diào)試器介紹9.2使用調(diào)試器9.3用斷點(diǎn)暫停執(zhí)行9.4斷點(diǎn)類型9.5異常9.6修改可執(zhí)行程序第10章OllyDbg10.1Ollydbg加載惡意代碼10.2Ollydbg的窗口美化10.3內(nèi)存映射10.4查看線程、棧、代碼10.5斷點(diǎn)10.6加載DLL、跟蹤10.7異常解決、修補(bǔ)10.8分析shellcode、協(xié)助功效10.9插件、腳本調(diào)試第11章使用WinDbg調(diào)試內(nèi)核11.1驅(qū)動與內(nèi)核代碼11.2使用WinDbg11.3微軟符號表11.4Windows注冊表11.5Rootkit第12章惡意代碼行為12.1下載器、啟動器、后門12.2遠(yuǎn)程控制和僵尸網(wǎng)絡(luò)12.3竊取登陸憑證12.4存活機(jī)制12.5特洛伊木馬化二進(jìn)制文獻(xiàn)12.6DLL加載次序劫持12.7權(quán)限提高與顧客態(tài)Rootkit第13章隱蔽的惡意代碼啟動13.1啟動器與進(jìn)程注入13.2進(jìn)程替代13.3Hook注入13.4Detours與APC注入第14章數(shù)據(jù)加密14.1加密算法的目的和簡樸的加密算法14.2簡樸的加密方略14.3常見的加密算法14.4自定義加密14.5解密一、客觀部分：★考核知識點(diǎn):計算機(jī)病毒的定義和類型參見講稿章節(jié)：1.1單選題：惡意代碼指的是()。A.計算機(jī)病毒B.間諜軟件C.內(nèi)核嵌套D.任何對顧客、計算機(jī)或網(wǎng)絡(luò)造成破壞的軟件單選題：病毒、（）和木馬是可造成計算機(jī)和計算機(jī)上的信息損壞的惡意程序。A.程序B.蠕蟲C.代碼D.數(shù)據(jù)單選題：病毒是指編制或者在計算機(jī)程序中插入的破壞計算機(jī)功效或者破壞數(shù)據(jù)，影響計算機(jī)使用并且能夠自我復(fù)制的一組（）。A.計算機(jī)指令B.程序代碼C.文獻(xiàn)D.計算機(jī)指令或者程序代碼判斷題：病毒必須能自我執(zhí)行和自我復(fù)制。（）判斷題：蠕蟲是運(yùn)用文獻(xiàn)寄生來通過網(wǎng)絡(luò)傳輸?shù)膼盒圆《?。（）★考核知識點(diǎn):計算機(jī)病毒分析的目的參見講稿章節(jié)：1.2單選題：下列不是惡意代碼分析的目的的是（）。A.擬定一種可疑的二進(jìn)制程序究竟能夠做什么B.如何在網(wǎng)絡(luò)上檢測它C.惡意代碼本身的特性D.如何衡量并消除它所帶來的損害判斷題：病毒特性碼關(guān)注是惡意代碼對系統(tǒng)做什么，而主機(jī)特性碼關(guān)注惡意代碼本身的特性。（）判斷題：網(wǎng)絡(luò)特性碼能夠在沒有進(jìn)行惡意代碼分析時創(chuàng)立，但在惡意代碼分析協(xié)助下提取的特性碼往往更加有效的，能夠提供更高的檢測率和更少的誤報。（）★考核知識點(diǎn):計算機(jī)病毒分析技術(shù)概述參見講稿章節(jié)：1.3單選題：下列屬于靜態(tài)高級分析技術(shù)的描述是（）。A.檢查可執(zhí)行文獻(xiàn)但不查看具體指令的某些技術(shù)分析的目的B.動態(tài)分析基礎(chǔ)技術(shù)涉及運(yùn)行惡意代碼并觀察系統(tǒng)上的行為，以移除感染，產(chǎn)生有效的檢測特性碼，或者兩者C.重要是對惡意代碼內(nèi)部機(jī)制的逆向工程，通過將可執(zhí)行文獻(xiàn)裝載到反匯編器中，查看程序指令，來發(fā)現(xiàn)惡意代碼究竟做了什么D.動態(tài)分析高級技術(shù)則使用調(diào)試器來檢查一種惡意可執(zhí)行程序運(yùn)行時刻的內(nèi)部狀態(tài)判斷題：靜態(tài)分析基礎(chǔ)技術(shù)是非常簡樸，同時也能夠非常快速應(yīng)用的，但它在針對復(fù)雜的惡意代碼時很大程度上是無效的，并且它可能會錯過某些重要的行為。（）★考核知識點(diǎn):靜態(tài)分析技術(shù)參見講稿章節(jié)：2.1單選題：反病毒軟件重要是依靠（）來分析識別可疑文獻(xiàn)。A文獻(xiàn)名B病毒文獻(xiàn)特性庫C文獻(xiàn)類型D病毒文獻(xiàn)種類參見講稿章節(jié)：2.3單選題：Strings程序搜索（）或以上持續(xù)的ASCII或Unicode字符，并以終止符結(jié)尾的可打印字符串。A.2個B3個C1個D0個判斷題：Strings程序檢測到的一定是真正的字符串。（）判斷題：當(dāng)加殼的程序運(yùn)行時，會首先運(yùn)行一小段脫殼程序，來解壓縮加殼的文獻(xiàn)，然后再運(yùn)行脫殼的文獻(xiàn)。（）判斷題：當(dāng)一種程序被加殼后，你必須對它進(jìn)行脫殼，才干夠執(zhí)行進(jìn)一步分析。（）★考核知識點(diǎn):虛擬機(jī)的構(gòu)造參見講稿章節(jié)：3.1判斷題：虛擬機(jī)是運(yùn)行在ring0級。（）多選題：下列哪些是慣用的虛擬機(jī)軟件（）。A.VMwarePlayer B.VMwareStation C.VMwareFusion D.VirtualBox★考核知識點(diǎn):創(chuàng)立虛擬機(jī)參見講稿章節(jié)：3.2單選題：下列那種互聯(lián)網(wǎng)連接模式在宿主機(jī)和客戶機(jī)之間創(chuàng)立了一種隔離的私有局域網(wǎng)（）。A.bridgedB.NETC.Host-onlyD.Custom判斷題：未知的計算機(jī)病毒不存在不擬定性。（）★考核知識點(diǎn):X86反匯編參見講稿章節(jié)：5.1單選題：計算機(jī)體系構(gòu)造中，（）層是由十六進(jìn)制形式的操作碼構(gòu)成，用于告訴解決器你想它干什么。A微指令B機(jī)器碼C低檔語言D高級語言單選題：在獲取不到高級語言源碼時，（）是從機(jī)器碼中能可信并保持一致地還原得到的最高一層語言。A機(jī)器指令B微指令C匯編語言D機(jī)器碼參見講稿章節(jié)：5.2判斷題：IP地址在小端字節(jié)序下，表達(dá)為0x7F000001。（）判斷題：操作數(shù)指向感愛好的值所在的內(nèi)存地址，普通由方括號內(nèi)包含值、寄存器或方程式構(gòu)成，如[eax]。（）★考核知識點(diǎn):加載可執(zhí)行文獻(xiàn)參見講稿章節(jié)：6.1判斷題：在正當(dāng)?shù)腜E文獻(xiàn)中，能夠帶有可執(zhí)行文獻(xiàn)。（）判斷題：在進(jìn)程中加載的DLL的位置和在IDAPro中的地址不同，這可能是及地址重定向的成果。（）判斷題：在默認(rèn)狀況下，IDAPro的反匯編代碼中包含PE頭或資源節(jié)。（）★考核知識點(diǎn):識別匯編中的C語言代碼構(gòu)造參見講稿章節(jié)：7.1單選題：下列表明是全局變量的匯編代碼是（）。A.moveax,dword_40CF60B.moveax,[ebp-4]C.moveax,[ebp+var_4]D.movdword_40CF60,eax單選題：對應(yīng)a++的匯編代碼是（）。A.moveeax,[ebp+var_4]B.subeax,[ebp+var_8]C.subeax,1D.addeax,1判斷題：全局變量能夠被一種程序中的任意函數(shù)訪問和使用，在棧中局部變量只能在它被定義的函數(shù)中訪問，在內(nèi)存上。（）★考核知識點(diǎn):識別if分支構(gòu)造參見講稿章節(jié)：7.2單選題：對下面指令分析不對的的是（）。A.要跳轉(zhuǎn)的決定是基于一種比較（cmp）語句來做的B.調(diào)劑跳轉(zhuǎn)（jnz），如果這兩個值不相等，這個跳轉(zhuǎn)就會發(fā)生C.代碼跳轉(zhuǎn)（jump）確保了只有一條代碼途徑會被執(zhí)行D.對于一種if語句必然有一種條件跳轉(zhuǎn)，全部條件跳轉(zhuǎn)也都對應(yīng)if語句★考核知識點(diǎn):識別循環(huán)參見講稿章節(jié)：7.3判斷題：switch語句被程序員用來做一種基于字符或者整數(shù)的決策。例如，后門普通使用單一的字節(jié)值從一系列動作中選擇一種。switch語句普通以兩種方式被編譯：使用if方式或使用跳轉(zhuǎn)表。（）★考核知識點(diǎn):識別函數(shù)調(diào)用參見講稿章節(jié)：7.4單選題：函數(shù)調(diào)用商定中，參數(shù)是從右到左按序被壓入棧，當(dāng)函數(shù)完畢時由被調(diào)用函數(shù)清理?xiàng)?，并且將返回值保存在EAX中的是（）。A.cdelB.stdcallC.fastcallD.壓棧與移動多選題：微軟fastcall商定備用的寄存器是（）。A.EAXB.ECXC.EDXD.EBX多選題：（）是WindowsAPI的原則調(diào)用商定。A.cdeclB.stdcallC.fastcallD.壓棧與移動判斷題：在stdcall中，前某些參數(shù)（典型的是前兩個）被傳到寄存器中，備用的寄存器是EDX和ECX（微軟fastcall商定）。如果需要的話，剩余的參數(shù)再以從右到左的次序被加載到棧上。普通使用fastcall比其它商定更高效，由于代碼不需要涉及過多的棧操作。（）判斷題：微軟VisualStudio和GNU編譯集合（GCC）。前者，adder函數(shù)和printf的函數(shù)在調(diào)用前被壓到棧上。而后者，參數(shù)在調(diào)用之前被移動到棧上。（）★考核知識點(diǎn):識別switch構(gòu)造美化參見講稿章節(jié)：7.5多選題：下列說法對的的是（）。A.IDAPro有一種在識別構(gòu)造方面很有用的圖形化工具B.從反匯編代碼來看，很難懂得原始代碼是一種switch語句還是一種if語句序列C.switch中各無條件跳轉(zhuǎn)互相影響D.使用了一種跳轉(zhuǎn)表，來更加高效地運(yùn)行switch構(gòu)造匯編代碼判斷題：switch語句被程序員用來做一種基于字符或者整數(shù)的決策。例如，后門普通使用單一的字節(jié)值從一系列動作中選擇一種。switch語句普通以兩種方式被編譯：使用if方式或使用跳轉(zhuǎn)表。（）參見講稿章節(jié)：7.6★考核知識點(diǎn):識別數(shù)組、構(gòu)造體、鏈表單選題：下列敘述錯誤的是。（）A.數(shù)組是相似數(shù)據(jù)項(xiàng)的有序集合B.構(gòu)造體和數(shù)組相似，但是它們涉及不同類型的元素C.一種鏈表是包含一種數(shù)據(jù)統(tǒng)計序列的數(shù)據(jù)構(gòu)造，并且每一種統(tǒng)計都涉及一種對序列中下一種統(tǒng)計的引用（鏈接）域。使用一種鏈表，被鏈接項(xiàng)的訪問次序與數(shù)據(jù)項(xiàng)被保存在內(nèi)存或磁盤上的次序必須同樣D.在匯編代碼中，數(shù)組是通過使用一種基地址作為起始點(diǎn)來進(jìn)行訪問的。每一種元素的大小普通并不總是明顯的，但是它能夠通過看這個數(shù)組與否被索引的來進(jìn)行判斷單選題：（）被定義為一種相似數(shù)據(jù)項(xiàng)的有序集合。A.數(shù)組B.構(gòu)造體C.鏈表D.變量判斷題：構(gòu)造體通過一種作為起始指針的基地址來訪問。要判斷附近的數(shù)據(jù)字節(jié)類型是同一構(gòu)造的構(gòu)成部分，還是只是湊巧互相挨著是比較困難的，這依賴于這個構(gòu)造體的上下文。（）判斷題：構(gòu)造體通過一種作為起始指針的基地址來訪問。要判斷附近的數(shù)據(jù)字節(jié)類型是同一構(gòu)造的構(gòu)成部分，還是只是湊巧互相挨著是比較困難的，這依賴于這個構(gòu)造體的上下文。（）判斷題：構(gòu)造體通過一種作為起始指針的基地址來訪問。要判斷附近的數(shù)據(jù)字節(jié)類型是同一構(gòu)造的構(gòu)成部分，還是只是湊巧互相挨著是比較困難的，這依賴于這個構(gòu)造體的上下文。（）★考核知識點(diǎn):分析惡意Windows程序參見講稿章節(jié)：8.1單選題：下列WindowsAPI類型中（）是描述一種雙字節(jié)、32位的無符號數(shù)值。AWORDBDWORDChandlesDCallback單選題：下列WindowsAPI類型中（）是表達(dá)一種將會被WindowsAPI調(diào)用的函數(shù)。AWORDBDWORDChandlesDCallback判斷題:句柄在它們引用一種對象或其它某個位置這個點(diǎn)上和指針是完全同樣的。（）判斷題:在文獻(xiàn)系統(tǒng)函數(shù)中CreateFile這個函數(shù)被用來創(chuàng)立和打開文獻(xiàn)。（）參見講稿章節(jié)：8.1多選題：惡意代碼作者如何使用DLL（）。A保存惡意代碼B通過使用WindowsDLLC控制內(nèi)存使用DLLD通過使用第三方DLL★考核知識點(diǎn):調(diào)試器介紹參見講稿章節(jié)：9.1判斷題：只有軟件調(diào)試器，沒有硬件調(diào)試器。（）判斷題：內(nèi)核調(diào)試只需要在一種系統(tǒng)上進(jìn)行。（）選擇題：能調(diào)試內(nèi)核的調(diào)試器是（）。A.OllyDbg B.IDAPro C.WinDbg D.ProcessExplorer★考核知識點(diǎn):使用調(diào)試器參見講稿章節(jié)：9.2判斷題：單步執(zhí)行代碼時，調(diào)試器每執(zhí)行一條指令就會產(chǎn)生一次中斷。（）選擇題：單步調(diào)試是通過（）實(shí)現(xiàn)的。A．每條代碼之前添加軟件斷點(diǎn)B.每條代碼之前添加硬件斷點(diǎn)C.標(biāo)志寄存器中的陷阱標(biāo)志(trapflag)D.標(biāo)志寄存器中的zf標(biāo)志位★考核知識點(diǎn):斷點(diǎn)類型參見講稿章節(jié)：9.4選擇題：當(dāng)調(diào)試能夠修改本身的代碼的代碼時，應(yīng)當(dāng)設(shè)立什么類型的斷點(diǎn)（）。A．軟件執(zhí)行斷點(diǎn)B.硬件執(zhí)行斷點(diǎn)C.條件斷點(diǎn)D.非條件斷點(diǎn)★考核知識點(diǎn):修改可執(zhí)行程序參見講稿章節(jié)：9.6多選題：調(diào)試器能夠用來變化程序的執(zhí)行方式。能夠通過修改（）方式來變化程序執(zhí)行的方式。A．修改控制標(biāo)志B.修改指令指針C.修改程序本身D.修改文獻(xiàn)名★考核知識點(diǎn):Ollydbg加載惡意代碼參見講稿章節(jié)：10.1單選題：下列有關(guān)OllyDbg運(yùn)行惡意代碼說法錯誤的是。（）A.OllyDbg有幾個調(diào)試惡意代碼的辦法。能夠用它直接加載可執(zhí)行文獻(xiàn)，甚至加載DLL程序B.如果惡意代碼已經(jīng)在系統(tǒng)上運(yùn)行，能夠通過附加進(jìn)程的方式調(diào)試它C.OllyDbg是一種靈活的調(diào)試系統(tǒng)，能夠用命令行選項(xiàng)運(yùn)行惡意代碼，甚至支持執(zhí)行DLL中某個函數(shù)D.能夠在在加載惡意代碼程序之前給OllyDbg傳入命令行參數(shù)判斷題：當(dāng)你想要調(diào)試一種正在運(yùn)行的惡意代碼時，OllyDbg也支持附加到一種正在運(yùn)行的進(jìn)程，此刻OllyDbg會立刻暫停這個程序以及它全部的線程。（）★考核知識點(diǎn):內(nèi)存映射參見講稿章節(jié)：10.3多選題：下列概念說法對的的是（）A.OllyDbg內(nèi)存映射窗口（View→Memory）顯示了被調(diào)用程序分派的使用內(nèi)存塊B.基地址重定位是指Windows中的一種模塊沒有被加載到其預(yù)定基地址時發(fā)生的狀況C.Windows中的全部PE文獻(xiàn)都有一種預(yù)定的基地址，它在PE文獻(xiàn)頭中被稱為映像基地址D.使用相對地址，無論被加載到內(nèi)存的哪個位置，全部指令都能正常工作單選題：數(shù)據(jù)訪問指令將使用一種絕對地址來訪問內(nèi)存，這個文獻(xiàn)被加載到預(yù)定基地址之外的另一種地址，訪問這個地址就會錯。如果將這個文獻(xiàn)載入到一種不同的地址，就需要變化這條指令。因此，多數(shù)DLL會在PE頭的（）打包一種修訂位置的列表A..text節(jié)B..date節(jié)C..rsrc節(jié)D..reloc節(jié)判斷題：DLL在exe載入后以任意次序加載。這意味著如果DLL的基地址被重定位了，普通狀況下不能預(yù)測DLL會被定位到內(nèi)存的什么位置。DLL的重定位節(jié)也能夠被移除，一種缺少重定位節(jié)的DLL不能被加載到它的預(yù)定基地址，因此它也就不能被加載。（）★考核知識點(diǎn):查看線程、棧、代碼參見講稿章節(jié)：10.4單選題：下列說法錯誤的是（）。A.惡意代碼經(jīng)常使用多線程。你能夠通過選擇View-Threads,調(diào)出線程面板窗口，查看一種程序的目前線程B.單擊主工具欄中的暫停按鈕，能夠暫停全部活動的線程C.給定進(jìn)程中的每個線程有自己的棧，普通狀況下，線程的重要數(shù)據(jù)都保存在棧中。能夠使用OllyDbg的內(nèi)存映射，來查看內(nèi)存中棧的內(nèi)容D.由于OllyDbg是多線程的，可能需要你先暫停全部的線程，設(shè)立一種斷點(diǎn)后，繼續(xù)運(yùn)行程序，這樣能夠確保在一種特定線程模式內(nèi)調(diào)試判斷題：RuntoSelection選項(xiàng)表達(dá)在達(dá)到選擇的指令之前始終運(yùn)行。如果選擇的指令不被執(zhí)行，則被調(diào)試程序會始終運(yùn)行下去。（）★考核知識點(diǎn):斷點(diǎn)參見講稿章節(jié)：10.5多選題：下列對各斷點(diǎn)說法對的的是（）。A.查看堆棧中混淆數(shù)據(jù)內(nèi)容的唯一辦法時：待字符串解碼函數(shù)執(zhí)行完畢后，查看字符串的內(nèi)容。在字符串解碼函數(shù)的結(jié)束位置設(shè)立軟件斷點(diǎn)。但是，這種辦法只能在程序使用字符串時識別出他們B.條件斷點(diǎn)是軟件斷點(diǎn)中的一種，只有某些條件得到滿足時這個斷點(diǎn)才干中斷執(zhí)行程序。OllyDbg調(diào)試器允許使用體現(xiàn)式，來設(shè)立斷點(diǎn)，每當(dāng)斷點(diǎn)命中時，都會先計算體現(xiàn)式的值，如果其值不等于0，斷點(diǎn)生效，程序運(yùn)行中斷C.硬件斷點(diǎn)非常強(qiáng)大，它能夠在不變化你的代碼、堆棧以及任何目的資源的前提下進(jìn)行調(diào)試。硬件斷點(diǎn)的問題是調(diào)試進(jìn)程時，它會減少代碼的執(zhí)行速度D.OllyDbg只允許你一次設(shè)立一種內(nèi)存斷點(diǎn)，如果你設(shè)立了一種新的內(nèi)存斷點(diǎn)，那么之前設(shè)立的內(nèi)存斷點(diǎn)就會被移除判斷題：對于調(diào)用頻繁的API函數(shù)，僅當(dāng)特定參數(shù)傳給它時才中斷程序執(zhí)行，這種狀況下內(nèi)存斷點(diǎn)特別有用。（）判斷題：OllyDbg中內(nèi)存斷點(diǎn)一次只能設(shè)立一種，而硬件斷點(diǎn)能夠設(shè)立4個。（）★考核知識點(diǎn):分析shellcode、協(xié)助功效參見講稿章節(jié)：10.8多選題：OllyDbg提供了多個機(jī)制來協(xié)助分析，涉及下面幾個（）。A.日志B.監(jiān)視C.協(xié)助D.標(biāo)注★考核知識點(diǎn):使用WinDbg調(diào)試內(nèi)核參見講稿章節(jié)：11.1判斷題：顧客調(diào)試比起內(nèi)核調(diào)試模式來說更加復(fù)雜，由于進(jìn)行顧客調(diào)試時，操作系統(tǒng)將被凍。（）判斷題：顧客態(tài)應(yīng)用程序到內(nèi)核態(tài)驅(qū)動的調(diào)用由操作系統(tǒng)完畢，這種調(diào)用難以被跟蹤。（）★考核知識點(diǎn):下載器、啟動器、后門參見講稿章節(jié)：12.1判斷題：啟動器普通包含一種它要加載的惡意代碼（）。多選題：下列的惡意代碼行為中，屬于后門的是（）。A.netcat反向shell B.windows反向shell C.遠(yuǎn)程控制工具 D.僵尸網(wǎng)絡(luò)判斷題：下載器普通會與漏洞運(yùn)用打包在一起。（）★考核知識點(diǎn):遠(yuǎn)程控制和僵尸網(wǎng)絡(luò)參見講稿章節(jié)：12.2判斷題：客戶端運(yùn)行在一種被植入惡意代碼的受害主機(jī)上。服務(wù)器端作為攻擊者遠(yuǎn)程操縱運(yùn)行命令和控制的單元。（）★考核知識點(diǎn):存活機(jī)制參見講稿章節(jié)：12.4判斷題：全部服務(wù)都存在于注冊表中,如果一種服務(wù)的注冊表鍵被移除,則這個服務(wù)仍舊能能啟動。（）多選題：惡意代碼的存活機(jī)制有（）。A.修改注冊表B.特洛伊二進(jìn)制文獻(xiàn)C.DLL加載次序劫持D.自我消亡★考核知識點(diǎn):啟動器與進(jìn)程注入?yún)⒁娭v稿章節(jié)：13.1單選題：直接將惡意代碼注入到遠(yuǎn)程進(jìn)程中的是（）。A.進(jìn)程注入B.DLL注入C.鉤子注入D.直接注入多選題：下面說法對的的是（）。A.啟動器普通在text節(jié)存儲惡意代碼，當(dāng)啟動器運(yùn)行時，它在運(yùn)行嵌入的可執(zhí)行程序或者DLL程序之前，從該節(jié)將惡意代碼提取出來B.隱藏啟動的最流行技術(shù)是進(jìn)程注入。顧名思義，這種技術(shù)是將代碼注入到另外一種正在運(yùn)行的進(jìn)程中，而被注入的進(jìn)程會不知不覺地運(yùn)行注入的代碼C.DLL注入是進(jìn)程注入的一種形式，它強(qiáng)迫一種遠(yuǎn)程進(jìn)程加載惡意DLL程序，同時它也是最常使用的秘密加載技術(shù)D.直接注入比DLL注入更加靈活，但是要想注入的代碼在不對宿主進(jìn)程產(chǎn)生副作用的前提下成功運(yùn)行，直接注入需要大量的定制代碼。這種技術(shù)能夠被用來注入編譯過的代碼，但更多的時候，它用來注入shellcode判斷題：最慣用的辦法是使用WindowsAPI函數(shù)CreateToolhe1p32Snapshot、Process32First和Process32Next，來查找進(jìn)程列表中的目的進(jìn)程。一旦發(fā)現(xiàn)目的進(jìn)程，啟動器會提取目的進(jìn)程的進(jìn)程標(biāo)記（PID），然后用提取的PID調(diào)用createRemoteThread函數(shù)，以獲取目的進(jìn)程的句柄。（）★考核知識點(diǎn):進(jìn)程注入?yún)⒁娭v稿章節(jié)：13.2單選題：進(jìn)程替代的核心是以（）創(chuàng)立一種進(jìn)程。A.等待狀態(tài)B.就緒狀態(tài)C.運(yùn)行狀態(tài)D.掛起狀態(tài)判斷題：當(dāng)惡意代碼編寫者想要將惡意代碼偽裝成一種正當(dāng)進(jìn)程，能夠使用一種被稱為進(jìn)程注入的辦法，將一種可執(zhí)行文獻(xiàn)重寫到一種運(yùn)行進(jìn)程的內(nèi)存空間。（）判斷題：這種進(jìn)程替代技術(shù)讓惡意代碼與被替代進(jìn)程擁有相似的特權(quán)級。（）★考核知識點(diǎn):Hook注入?yún)⒁娭v稿章節(jié)：13.3單選題：（）常被一種叫做擊鍵統(tǒng)計器的惡意程序所使用，被用來統(tǒng)計擊鍵。A.DLL注入B.直接注入C.APC注入D.鉤子注入判斷題：惡意的應(yīng)用程序會掛鉤一種經(jīng)常使用的Windows消息。（）★考核知識點(diǎn):Detours與APC注入?yún)⒁娭v稿章節(jié)：13.4單選題：線程創(chuàng)立需要系統(tǒng)開銷，（）能夠調(diào)用一種現(xiàn)有的線程。A.進(jìn)程注入B.直接注入C.Hook注入D.APC注入單選題：APC能夠讓一種線程在它正常的執(zhí)行途徑運(yùn)行之前執(zhí)行某些其它的代碼。每一種線程都有一種附加的APC隊(duì)列，它們在線程處在（）時被解決。A.阻塞狀態(tài)B.計時等待狀態(tài)C.可警告的等待狀態(tài)D.被終止?fàn)顟B(tài)★考核知識點(diǎn):數(shù)據(jù)加密參見講稿章節(jié)：14.1多選題：下列是分析加密算法的目的是（）。A隱藏配備文獻(xiàn)信息。例如，命令和控制服務(wù)器域名B竊取信息的時候?qū)⑺４娴揭环N永久文獻(xiàn)C存儲需要使用的字符串，并在使用前對其解密D將惡意代碼偽裝成一種正當(dāng)?shù)墓ぞ?，隱藏惡意代碼活動中使用的字符串參見講稿章節(jié)：14.2判斷題：由于單字節(jié)加密的弱點(diǎn)，許多惡意代碼編寫者采用稍微復(fù)雜的編碼方案，從而使得暴力探測不那么容易且仍能比較簡樸的實(shí)現(xiàn)。（）判斷題：原始數(shù)據(jù)轉(zhuǎn)換成Base64的過程相稱原則。它使用12位的塊。（）參見講稿章節(jié)：14.3多選題：下列辦法中是識別原則加密算法的辦法是（）。A識別涉及加密算法使用的字符串B識別引用導(dǎo)入的加密函數(shù)C搜索常見加密常量的工具D查找高熵值的內(nèi)容二、主觀部分：★考核知識點(diǎn):計算機(jī)病毒的定義和類型參見講稿章節(jié)：1.1填空題：蠕蟲病毒是一種常見的計算機(jī)病毒，它運(yùn)用網(wǎng)絡(luò)進(jìn)行（），傳染途徑是通過（）。簡答題：簡述病毒的概念?！锟己酥R點(diǎn):計算機(jī)病毒分析技術(shù)概述參見講稿章節(jié)：1.3填空題：惡意代碼分析技術(shù)分析涉及（）,（）,（），（）。簡答題：計算機(jī)病毒分析內(nèi)容？★考核知識點(diǎn):靜態(tài)分析技術(shù)參見講稿章節(jié)：2.1填空題：蠕蟲病毒是一種常見的計算機(jī)病毒，它運(yùn)用網(wǎng)絡(luò)進(jìn)行（），傳染途徑是通過（）。填空題：木馬與病毒的重大區(qū)別是（），它并不能像病毒那樣（），也并不“刻意”地去感染其它文獻(xiàn)，它重要通過將（），吸引顧客下載執(zhí)行。填空題：惡意代碼分析技術(shù)分析涉及（）、（）、動態(tài)分析基礎(chǔ)技術(shù)、動態(tài)分析高級技術(shù)。簡答題:病毒必須滿足的兩個條件是？★考核知識點(diǎn):X86反匯編參見講稿章節(jié)：5.2簡答題：簡述操作數(shù)闡明指令要使用的數(shù)據(jù)，有哪幾個?！锟己酥R點(diǎn):識別匯編中的C語言代碼構(gòu)造參見講稿章節(jié)：7.1填空題：顧客編制程序時使用的地址稱為（）或（），其對應(yīng)的存儲空間稱為（）或（）?！锟己酥R點(diǎn):識別循環(huán)參見講稿章節(jié)：7.3填空題：for循環(huán)總是有4個組件：（），（），（），（）?！锟己酥R點(diǎn):識別switch構(gòu)造美化參見講稿章節(jié)：7.5簡答題：跳轉(zhuǎn)表的概念?！?/p>