奧鵬南開《計(jì)算機(jī)病毒分析》20春期末考核.doc

1、1 .網(wǎng)絡(luò)黑客產(chǎn)業(yè)鏈?zhǔn)侵负诳蛡冞\(yùn)用技術(shù)手段入侵服務(wù)器獲取站點(diǎn)權(quán)限 以及各類賬戶信息并從中謀取。的一條產(chǎn)業(yè)鏈。A.非法經(jīng)濟(jì)利益B.經(jīng)濟(jì)效益C.效益 D.利潤(rùn)【參考答案】:A2 .下列屬于靜態(tài)高級(jí)分析技術(shù)的描述是O。A.檢查可執(zhí)行文件但不查看具體指令的一些技術(shù)分析的目標(biāo)B.涉及運(yùn)行惡意代碼并觀察系統(tǒng)上的行為，以移除感染，產(chǎn)生有效的檢測(cè)特征碼，或者兩 者C.主要是對(duì)惡意代碼內(nèi)部機(jī)制的逆向工程，通過(guò)將可執(zhí)行文件裝載到反匯編器中，查看程序指令，來(lái)發(fā)現(xiàn)惡意代碼到底做了什么D.使用調(diào)試器來(lái)檢查一個(gè)惡意可執(zhí)行程序運(yùn)行時(shí)刻的內(nèi)部狀態(tài)【參考答案】：C3 .可以按。鍵定義原始字節(jié)為代碼。A. C 鍵 B. D 鍵

2、C. shift D 鍵 D. U 鍵【參考答案】：A4 .以下Windows API類型中。是表示一個(gè)將會(huì)被Windows API調(diào)用的 函數(shù)。A. WORD B. DWORD C. Habdles D. Callback【參考答案】：D5 .用IDA Pro對(duì)一個(gè)程序進(jìn)行反匯編時(shí)，字節(jié)偶爾會(huì)被錯(cuò)誤的分類。可 以對(duì)錯(cuò)誤處按。鍵來(lái)取消函數(shù)代碼或數(shù)據(jù)的定義。A.C 鍵 B.D 鍵 C. shift+D 鍵 D. U 鍵6,反病毒軟件主要是依靠。來(lái)分析識(shí)別可疑文件。A.文件名B.病毒文件特征庫(kù)C.文件類型D.病毒文件種類【參考答案】：B7 . IDA pro支持（）種圖形選項(xiàng)A. 1種 B. 3種

3、 C. 5種 D. 7種【參考答案】:C8 .以下對(duì)各斷點(diǎn)說(shuō)法錯(cuò)誤的是。A.查看堆棧中混淆數(shù)據(jù)內(nèi)容的唯一方法時(shí)：待字符串解碼函數(shù)執(zhí)行完成后，查看 字符串的內(nèi)容，在字符用解碼函數(shù)的結(jié)束位置設(shè)置軟件斷點(diǎn)B.條件斷點(diǎn)是軟件斷點(diǎn)中的一種，只有某些條件得到滿足時(shí)這個(gè)斷點(diǎn)才能中斷執(zhí)行程序C.硬件斷點(diǎn)非常強(qiáng)大，它可以在不改變你的代碼、堆棧以及任何目標(biāo)資源的前提下 進(jìn)行調(diào)試 D. OllyDbg只允許你一次設(shè)置一個(gè)內(nèi)存斷點(diǎn)，如果你設(shè)置了一個(gè)新 的內(nèi)存斷點(diǎn)，那么之前設(shè)置的內(nèi)存斷點(diǎn)就會(huì)被移除【參考答案】：C9 .在通用寄存器中，。是數(shù)據(jù)寄存器。A. EAX B. EBX C. ECX D. EDX【參考答案】：D

4、10. WinDbg的內(nèi)存窗口支持通過(guò)命令來(lái)瀏覽內(nèi)存，以下WinDbg讀選項(xiàng)中，。選項(xiàng)描述讀取內(nèi)存數(shù)據(jù)并以內(nèi)存32位雙字顯示。A. da B. du C. dd D. de【參考答案】：c11 .下面說(shuō)法錯(cuò)誤的是。A.啟動(dòng)器通常在text節(jié)存儲(chǔ)惡意代碼，當(dāng)啟動(dòng)器運(yùn)行時(shí)，它在運(yùn)行嵌入的可執(zhí) 行程序或者DLL程序之前，從該節(jié)將惡意代碼提取出來(lái) B.隱藏啟動(dòng)的最流行 技術(shù)是進(jìn)程注入。顧名思義，這種技術(shù)是將代碼注入到另外一個(gè)正在運(yùn)行的進(jìn)程 中，而被注入的進(jìn)程會(huì)不知不覺地運(yùn)行注入的代碼 C. DLL注入是進(jìn)程注入的 一種形式，它強(qiáng)迫一個(gè)遠(yuǎn)程進(jìn)程加載惡意DLL程序，同時(shí)它也是最常使用的秘密 加載技術(shù) D.

5、直接注入比DLL注入更加靈活，但是要想注入的代碼在不對(duì)宿主 進(jìn)程產(chǎn)生副作用的前提下成功運(yùn)行，直接注入需要大量的定制代碼。這種技術(shù)可 以被用來(lái)注入編譯過(guò)的代碼，但更多的時(shí)候，它用來(lái)注入shellcode【參考答案】：A12 .當(dāng)要判斷某個(gè)內(nèi)存地址含義時(shí)，應(yīng)該設(shè)置什么類型的斷點(diǎn)（）A.軟件執(zhí)行斷點(diǎn) B.硬件執(zhí)行斷點(diǎn) C.條件斷點(diǎn)D.非條件斷點(diǎn)【參考答案】:B13 .011yDbg的硬件斷點(diǎn)最多能設(shè)置O個(gè)。A. 3個(gè) B.4個(gè) C. 5個(gè) D. 6個(gè)【參考答案】:B14 . PE文件中的分節(jié)中唯一包含代碼的節(jié)是。A. rdata B. text C. data D. . rsrc【參考答案】：B15

6、 .轟動(dòng)全球的震網(wǎng)病毒是。A.木馬B.蠕蟲病毒C.后門D.寄生型病毒【參考答案】：B16 .以下是句柄是在操作系統(tǒng)中被打開或被創(chuàng)建的項(xiàng)的是A.窗口 B.進(jìn)程 C.模塊 D.菜單【參考答案】:ABCD17.011yDbg提供了多種機(jī)制來(lái)幫助分析，包括下面幾種。A.日志 B.監(jiān)視 C.幫助 D.標(biāo)注【參考答案】：ABCD18 .惡意代碼常用注冊(cè)表0A.存儲(chǔ)配置信息B.收集系統(tǒng)信息 C.永久安裝自己 D.網(wǎng)上注冊(cè)【參考答案】：ABC19 .進(jìn)程監(jiān)視器提供默認(rèn)下面四種過(guò)濾功能是（）。A.注冊(cè)表 B.文件系統(tǒng)C.進(jìn)程行為D.網(wǎng)絡(luò)【參考答案】：ABCD1.1 INetSim可以模擬的網(wǎng)絡(luò)服務(wù)有。A. HT

7、TP B.FTP C. IRC D. DNS【參考答案】：ABCD21 .以下的惡意代碼行為中，屬于后門的是。A. netcat反向shell B. windows反向shellC.遠(yuǎn)程控制工具D.僵尸網(wǎng)絡(luò)【參考答案】：ABCD22 .后門的功能有A.操作注冊(cè)表B.列舉窗口 C.創(chuàng)建目錄D.搜索文件【參考答案】：ABCD23 .對(duì)一個(gè)監(jiān)聽入站連接的服務(wù)應(yīng)用，順序是（）函數(shù)，等待客戶端的 連接。A. socket、 bind、 listen 和 accept B. socket、 bind accept 和 listen C.bind、 sockect> listen W accept D

8、.accept、 bind> listen 和 socket【參考答案】：ABCD24 .微軟fastcall約定備用的寄存器是。A. EAX B. ECX C. EDX D. EBX【參考答案】：BC25 .運(yùn)行計(jì)算機(jī)病毒，監(jiān)控病毒的行為，需要一個(gè)安全、可控的運(yùn)行環(huán) 境的原因是什么A.惡意代碼具有傳染性B.可以進(jìn)行隔離 C.惡意代碼難以清除D.環(huán)境容易搭建【參考答案】：ABC26 .編碼不僅僅影響通信，它也可以使惡意代碼更加難以分析和理解。T.對(duì) F.錯(cuò)【參考答案】:A27 .蠕蟲或計(jì)算機(jī)病毒是可以自我復(fù)制和感染其他計(jì)算機(jī)的惡意代碼。T.對(duì) F.錯(cuò)【參考答案】：A28 .惡意的應(yīng)用程序

9、會(huì)掛鉤一個(gè)經(jīng)常使用的Windows消息。T.對(duì) F.錯(cuò)【參考答案】：B29 .除非有上下文，否則通常情況下，被顯示的數(shù)據(jù)會(huì)被格式化為八進(jìn) 制的值。T.對(duì) F.錯(cuò)【參考答案】:A30 .哈希函數(shù)，是一種從任何一種數(shù)據(jù)中創(chuàng)建小的數(shù)字“指紋”的方法。T.對(duì) F.錯(cuò)【參考答案】：A31 . Base64加密用ASCII字符串格式表示十六進(jìn)制數(shù)據(jù)。T.對(duì) F.錯(cuò)【參考答案】：B32 .CreateFile ()這個(gè)函數(shù)被用來(lái)創(chuàng)建和打開文件。T.對(duì) F.錯(cuò)【參考答案】：A33 .011yDbg的插件以DLL形式存在，如果要安裝某個(gè)插件，你將這個(gè) 插件的DLL放到OllyDbg的安裝根目錄下即可。T.對(duì) F

10、.錯(cuò)【參考答案】：A34 .微軟符號(hào)也包含多個(gè)數(shù)據(jù)結(jié)構(gòu)的類型信息，但并不包括沒有被公開 的內(nèi)部類型。T.對(duì) F.錯(cuò)【參考答案】:B35 .在完成程序的過(guò)程中，通用寄存器它們是完全通用的。T.對(duì) F.錯(cuò)【參考答案】：B36 .簡(jiǎn)述計(jì)算機(jī)病毒使用標(biāo)準(zhǔn)加密算法庫(kù)函數(shù)時(shí)存在的問(wèn)題?！緟⒖即鸢浮浚海?）加密算法的庫(kù)文件很大，所以惡意代碼需要靜態(tài)的集成或 者鏈接到已有的代碼中。（2）鏈接主機(jī)上現(xiàn)有的代碼可能降低可移植性0 （3） 標(biāo)準(zhǔn)加密庫(kù)比較容易探測(cè)。（4）對(duì)稱加密算法需要考慮如何隱藏密鑰。37 .為了隱蔽自身，計(jì)算機(jī)病毒的使用了多種技術(shù)將惡意代碼隱藏到正常的Windows資源空間中。請(qǐng)簡(jiǎn)述計(jì)算機(jī)病毒如何使用APC注入技術(shù)實(shí)現(xiàn)惡意代碼的隱蔽啟動(dòng)?！緟⒖即鸢浮浚寒惒竭^(guò)程調(diào)用APC可以讓一個(gè)線程在它正常的執(zhí)行路徑運(yùn)行之前 執(zhí)行一些其它的代碼。每一個(gè)線程都有一個(gè)附加的APC隊(duì)列，它們?cè)诰€程處于 可警告的等待狀態(tài)時(shí)被處理。如果應(yīng)用程序在線程可警告等待狀態(tài)時(shí)（未運(yùn)行 之前）排入一個(gè)APC隊(duì)列，那么線程將從調(diào)用APC函數(shù)開始。線程逐個(gè)調(diào)用APC 隊(duì)列中的所有APC?！盇PC隊(duì)列完成時(shí)，線程才繼續(xù)沿著它規(guī)定的路徑執(zhí)行。惡 意代碼編寫者為了讓他們的