奧鵬南開20春學(xué)期1709、1803、1809、1903、1909、2003計算機病毒分析在線作業(yè)隨機

1、1.參數(shù)是從右到左按序被壓入棧，當(dāng)函數(shù)完成時由被調(diào)用者清理棧的是（）。A.cdecl B.stdcall C.fastcallD.壓棧與移動【參考答案】：A2.內(nèi)存中的（）節(jié)用于函數(shù)的局部變景和參數(shù)，以及控制程序執(zhí)行流。A.數(shù)據(jù)B.堆C.代碼D.?！緟⒖即鸢浮浚篋3.（）列出了所有活躍的進程、被進程載入的DLL、各種進程屬性和整體系統(tǒng)信息。A.進程監(jiān)視器B.進程瀏覽器C.沙箱D.Regshot【參考答案】：B4.基于Linux模擬常見網(wǎng)絡(luò)服務(wù)的軟件的是（）。A.ApateDNS B.Netcat C.INetSim D.Wireshark【參考答案】：C5.在獲取不到高級語言源碼時，（）是從機

2、器碼中能可信并保持一致地還原得到的最高一層語言。A.機器指令B.微指令C.匯編語言D.機器碼【參考答案】：C6.PE文件中的分節(jié)中唯一包含代碼的節(jié)是（）。A.rdata B.text C.data D.rsrc【參考答案】：B7.下面說法錯誤的是()。A.啟動器通常在text節(jié)存儲惡意代碼，當(dāng)啟動器運行時，它在運行嵌入的可執(zhí) 行程序或者DLL程序之前，從該節(jié)將惡意代碼提取出來B.隱藏啟動的最流行技術(shù)是進程注入。顧名思義，這種技術(shù)是將代碼注入到另外一個正在運行的進程 中，而被注入的進程會不知不覺地運行注入的代碼C.DLL注入是進程注入的一種形式，它強迫一個遠程進程加載惡意DLL程序，同時它也是最

3、常使用的秘密 加載技術(shù)D.直接注入比DLL注入更加靈活，但是要想注入的代碼在不對宿主進程產(chǎn)生副作用的前提下成功運行, 直接注入需要大量的定制代碼。這種技術(shù)可 以被用來注入編譯過的代碼，但更多的時候，它用來注入shellcode【參考答案】：A8.()是可以記錄程序詳細的運行信息的調(diào)試技術(shù)。A.內(nèi)存映射B.基地址重定位C.斷點D.跟蹤【參考答案】：D9.當(dāng)單擊Resource Hacker工具中分析獲得的條目時，看不到的是A.字符申B.二進制代碼C.圖標(biāo)D.菜單【參考答案】：B10.()是指Windows中的一個模塊沒有被加載到其預(yù)定基地址時發(fā)生的情況。A.內(nèi)存映射B.基地址重定位C.斷點D.跟

4、蹤【參考答案】：B11.Hook技術(shù)的應(yīng)用不包括()A.實現(xiàn)增強的二次開發(fā)或補丁B.信息截獲C.安全防護D.漏洞分析12.惡意代碼指的是（）A.計算機病蠹B.間諜軟件C.內(nèi)核嵌套D.任何對用戶、計算機或網(wǎng)絡(luò)造成破壞的軟件【參考答案】：D13. ApateDNS在本機上監(jiān)聽UDP（）端口。A.53B.69C.161D.80【參考答案】：A14.OllyDbg使用了一個名為（）的虛擬程序來加載DLLA.rundll32.exe B.user32.dll C.kernel32.dll D.loaddll.exe【參考答案】：D15.（）常被一種叫做擊鍵記錄器的惡意程序所使用， 被用來記錄擊鍵A.D

5、LL注入B.直接注入C.APC注入D.鉤子注入【參考答案】：D16.轟動全球的震網(wǎng)病毒是（）。A.木馬B.蠕蟲病蠹C.后門D.寄生型病蠹【參考答案】：B17.Base64編碼將二進制數(shù)據(jù)轉(zhuǎn)化成（）個字符的有限字符集。A.16B.32C.48D.64【參考答案】：D18.捕獲Poison Ivy為shellcode分配內(nèi)存的最好方法是（）A.軟件斷點B.硬件斷點C.內(nèi)存斷點D.條件斷點【參考答案】：D19.以下注冊表根鍵中（）保存定義的類型信息。A.HKEY_LOCAL_MACHINE（HKLM）B.HKEY_CURRENT_USER（HKCUC.HKEY_CLASSES_ROOT D.HKEY

6、_CURRENT_CONFIG【參考答案】：C20.對以下代碼分析錯誤的是（）。A.jnz為條件跳轉(zhuǎn)，而jmp為無條件跳轉(zhuǎn)B.while循環(huán)與for循環(huán)的匯編代 碼非常相似，唯一的區(qū)別在于它缺少一個遞增C.while循環(huán)停止重復(fù)執(zhí)行的唯一方式，就是那個期望發(fā)生的條件跳轉(zhuǎn)D.while循環(huán)總要進入一次【參考答案】：D21.以下邏輯運算符中是位移指令的是（）A.OR AND B.Shr和shl C.ror和rol D.XOR【參考答案】：C22.當(dāng)想要在函數(shù)調(diào)用使用特定的參數(shù)時才發(fā)生中斷，應(yīng)該設(shè)置什么類型的斷點（）A.軟件執(zhí)行斷點B.硬件執(zhí)行斷點C.條件斷點D.非條件斷點【參考答案】：C23.多數(shù)

7、DLL會在PE頭的（）打包一個修訂位置的列表。A.text節(jié)B.data節(jié)C.rsrc節(jié)D.reloc節(jié)【參考答案】：D24.而0 x52000000對應(yīng)0 x52這個值使用的是（）字節(jié)序。A.小端B.大端C.終端D.前端【參考答案】：A25.用戶模式下的APC要求線程必須處于（）狀態(tài)。A.阻塞狀態(tài)B.計時等待狀態(tài)C.可警告的等待狀態(tài)D.被終止?fàn)顟B(tài)【參考答案】：C26.下列說法正確的是（）。A.IDA Pro有一個在識別結(jié)構(gòu)方面很有用的圖形化工具B.從反匯編代碼來看，彳艮難知道原始代碼是一個switch語句還是一個if語句序歹UC.switch中各無條件跳轉(zhuǎn)相互影響D.使用了 一個跳轉(zhuǎn)表，來更

8、加局效地運行switch結(jié)構(gòu)匯編代碼【參考答案】：ABD27.惡意代碼編寫者可以掛鉤一個特殊的Winlogon事件,比如（）A.登錄B.注銷C.關(guān)機D.鎖屏【參考答案】：ABCD28.惡意代碼作者如何使用DLL（）多選A.保存惡意代碼B.通過使用Windows DLLC.控制內(nèi)存使用DLL D.通過使用第三方DLL【參考答案】：ABD29.對下面匯編代碼的分析正確的是（）。A.mov ebp+var_4,0對應(yīng)循環(huán)變量的初始化步驟B.add eax,1對應(yīng)循環(huán)變量的遞增，在循環(huán)中其最初會通過一個跳轉(zhuǎn)指令而跳過C.比較發(fā)生在cmp處，循環(huán)決策在jge處通過條件跳轉(zhuǎn)指令而做出D.在循環(huán)中，通過一個

9、無條件跳轉(zhuǎn)jmp,使得循環(huán)變量每次進行遞增?！緟⒖即鸢浮浚篈BCD30. % System Root%system32driverstcpudp.sys中的登陸記錄都包括（）A.用戶名B.Windows域名稱C.密碼D.舊密碼【參考答案】：ABCD31.后門的功能有A.操作注冊表B.列舉窗口C.創(chuàng)建目錄D.搜索文件【參考答案】：ABCD32.（）是Windows API的標(biāo)準(zhǔn)調(diào)用約定A.cdecl B.stdcall C.fastcallD.壓棧與移動【參考答案】：BC33.下面屬于OllyDbg插件的有（）。A.OllyDumpB.調(diào)試器隱藏插件C.命令行D.書簽【參考答案】：ABCD34.

10、以下是句柄是在操作系統(tǒng)中被打開或被創(chuàng)建的項的是A.窗口B.進程C.模塊D.菜單【參考答案】：ABCD35.以下對個各個插件說法正確的是（）。A.OllyDump是OllyDbg最常使用的插件，它能夠?qū)⒁粋€被調(diào)試的進程轉(zhuǎn)儲成一 個PE文件B.為了防止惡意代碼使用反調(diào)試技術(shù)，惡意代碼分析人員通常在分析惡意代碼期間，一直運行調(diào)試器隱藏插件C.OllyDbg的命令行插件允許你用命令行來使用OllyDbg D.OllyDbg默認情況下自帶書簽插件，書簽插件 可以將一個內(nèi)存位置加到書簽中，利用書簽，下次不需要記住就可以輕松獲取那 個內(nèi)存地址【參考答案】：ABCD36.惡意代碼可以通過創(chuàng)建一個新進程，或修改

11、一個已存在的進程，來 執(zhí)行當(dāng)前程序之外的代碼。T.對F.錯【參考答案】：A37.結(jié)構(gòu)體通過一個作為起始指針的基地址來訪問。要判斷附近的數(shù)據(jù) 字節(jié)類型是同一結(jié)構(gòu)的組成部分，還是只是湊巧相互挨著是比較困難 的，這依賴于這個結(jié)構(gòu)體的上下文。T.對F.錯【參考答案】：A38.加硬件斷點處的程序在內(nèi)存處依舊是原程序所對應(yīng)的機器碼T.對F.錯【參考答案】：A39.在操作系統(tǒng)中所有的文件都不可以通過名字空間進行訪問。T.對F.錯【參考答案】：B40.虛擬機是運行在ring0級T.對F.錯【參考答案】：B41.PE文件格式在頭部存儲了很多有趣的信息。我們可以使用PEview工具來瀏覽這些信息。T.對F.錯【參考答案】：A42.操作數(shù)指向感興趣的值所在的內(nèi)存地址，一般由方括號內(nèi)包含值、 寄存器或方程式組成，如eax。T.對F.錯【參考答案】：A43.Strings程序檢測到的一定是真正的字符串。T.對F.錯【參考答案】：B44.在x86匯編語言中，一條指令由一個助記符，以及零個或多個操作 數(shù)組成。T.對F.錯【參考答案】：T45.WinDbg是一個出色的調(diào)試器，它提供了很多OllyDbg所不具備的功 能，但其中不包括支持內(nèi)核調(diào)試。T.對F.錯【參考答案】：F46. WinDbg的內(nèi)存窗口不支持通過命令來瀏覽內(nèi)存。T.對F.錯【參考答