南開大學(xué)22年春學(xué)期《計(jì)算機(jī)病毒分析》在線作業(yè)-00002

1、-本頁為預(yù)覽頁P(yáng)AGE14-本頁為預(yù)覽頁-本頁為預(yù)覽頁22春學(xué)期（高起本1709-1803、全層次1809-2103）計(jì)算機(jī)病毒分析在線作業(yè)-00002第1題. WinDbg的內(nèi)存窗口支持通過命令來瀏覽內(nèi)存，以下WinDbg讀選項(xiàng)中，（）選項(xiàng)描述讀取內(nèi)存數(shù)據(jù)并以內(nèi)存32位雙字顯示。選項(xiàng)A：da選項(xiàng)B：du選項(xiàng)C：dd選項(xiàng)D：dc參考答案：C第2題. 直接將惡意代碼注入到遠(yuǎn)程進(jìn)程中的是（）。選項(xiàng)A：進(jìn)程注入選項(xiàng)B：DLL注入選項(xiàng)C：鉤子注入選項(xiàng)D：直接注入?yún)⒖即鸢福篋第3題. 以下哪個(gè)指令可以寫入DWord格式的數(shù)據(jù)。選項(xiàng)A：ea選項(xiàng)B：eu選項(xiàng)C：ed選項(xiàng)D：ee參考答案：C第4題. 用IDA

2、 Pro對一個(gè)程序進(jìn)行反匯編時(shí)，字節(jié)偶爾會(huì)被錯(cuò)誤的分類?？梢詫﹀e(cuò)誤處按（）鍵來取消函數(shù)代碼或數(shù)據(jù)的定義。選項(xiàng)A：C鍵選項(xiàng)B：D鍵選項(xiàng)C：shift+D鍵選項(xiàng)D：U鍵參考答案：D第5題. Shell是一個(gè)命令解釋器，它解釋（）的命令并且把它們送到內(nèi)核。選項(xiàng)A：系統(tǒng)輸入選項(xiàng)B：用戶輸入選項(xiàng)C：系統(tǒng)和用戶輸入選項(xiàng)D：輸入?yún)⒖即鸢福築第6題. 當(dāng)想要在函數(shù)調(diào)用使用特定的參數(shù)時(shí)才發(fā)生中斷，應(yīng)該設(shè)置什么類型的斷點(diǎn)（）選項(xiàng)A：軟件執(zhí)行斷點(diǎn)選項(xiàng)B：硬件執(zhí)行斷點(diǎn)選項(xiàng)C：條件斷點(diǎn)選項(xiàng)D：非條件斷點(diǎn)參考答案：C第7題. 下面說法錯(cuò)誤的是（）。選項(xiàng)A：啟動(dòng)器通常在text節(jié)存儲(chǔ)惡意代碼，當(dāng)啟動(dòng)器運(yùn)行時(shí)，它在運(yùn)行嵌入的

3、可執(zhí)行程序或者DLL程序之前，從該節(jié)將惡意代碼提取出來選項(xiàng)B：隱藏啟動(dòng)的最流行技術(shù)是進(jìn)程注入。顧名思義，這種技術(shù)是將代碼注入到另外一個(gè)正在運(yùn)行的進(jìn)程中，而被注入的進(jìn)程會(huì)不知不覺地運(yùn)行注入的代碼選項(xiàng)C：DLL注入是進(jìn)程注入的一種形式，它強(qiáng)迫一個(gè)遠(yuǎn)程進(jìn)程加載惡意DLL程序，同時(shí)它也是最常使用的秘密加載技術(shù)選項(xiàng)D：直接注入比DLL注入更加靈活，但是要想注入的代碼在不對宿主進(jìn)程產(chǎn)生副作用的前提下成功運(yùn)行，直接注入需要大量的定制代碼。這種技術(shù)可以被用來注入編譯過的代碼，但更多的時(shí)候，它用來注入shellcode參考答案：A第8題. 下列概念說法錯(cuò)誤的是（）。選項(xiàng)A：內(nèi)存映射窗口（ViewMemory）顯

4、示了被調(diào)用程序分配的使用內(nèi)存塊選項(xiàng)B：基地址重定位是指Windows中的一個(gè)模塊沒有被加載到其預(yù)定基地址時(shí)發(fā)生的情況選項(xiàng)C：Windows中的所有PE文件都有一個(gè)預(yù)定的基地址，它在PE文件頭中被稱為映像基地址選項(xiàng)D：使用相對地址，無論被加載到內(nèi)存的哪個(gè)位置，所有指令都能正常工作參考答案：D第9題. 當(dāng)一個(gè)庫被鏈接到可執(zhí)行程序時(shí)，所有這個(gè)庫中的代碼都會(huì)復(fù)制到可執(zhí)行程序中去，這種鏈接方法是（）。選項(xiàng)A：靜態(tài)鏈接選項(xiàng)B：動(dòng)態(tài)鏈接選項(xiàng)C：運(yùn)行時(shí)鏈接選項(xiàng)D：轉(zhuǎn)移鏈接參考答案：A第10題. 加法和減法是從目標(biāo)操作數(shù)中加上或減去（）個(gè)值。選項(xiàng)A：0選項(xiàng)B：1選項(xiàng)C：2選項(xiàng)D：3參考答案：B第11題. 源代碼

5、通過（）后形成可執(zhí)行文件。選項(xiàng)A：匯編選項(xiàng)B：編譯選項(xiàng)C：連接選項(xiàng)D：編譯和連接參考答案：D第12題. Base64編碼將二進(jìn)制數(shù)據(jù)轉(zhuǎn)化成（）個(gè)字符的有限字符集。選項(xiàng)A：16選項(xiàng)B：32選項(xiàng)C：48選項(xiàng)D：64參考答案：D第13題. 進(jìn)程瀏覽器的功能不包括（）。選項(xiàng)A：比較進(jìn)程瀏覽器中的DLL列表與在Dependency Walker工具中顯示的導(dǎo)入DLL列表來判斷一個(gè)DLL是否被加載到進(jìn)程選項(xiàng)B：單擊驗(yàn)證按鈕，可以驗(yàn)證磁盤上的鏡像文件是否具有微軟的簽名認(rèn)證選項(xiàng)C：比較運(yùn)行前后兩個(gè)注冊表的快照，發(fā)現(xiàn)差異選項(xiàng)D：一種快速確定一個(gè)文檔是否惡意的方法，就是打開進(jìn)程瀏覽器，然后打開文檔。若文檔啟動(dòng)了任

6、意進(jìn)程，你能進(jìn)程瀏覽器中看到，并能通過屬性窗口中的鏡像來定位惡意代碼在磁盤上的位置。參考答案：C第14題. OllyDbg的硬件斷點(diǎn)最多能設(shè)置（）個(gè)。選項(xiàng)A：3個(gè)選項(xiàng)B：4個(gè)選項(xiàng)C：5個(gè)選項(xiàng)D：6個(gè)參考答案：B第15題. （）能夠?qū)⒁粋€(gè)被調(diào)試的進(jìn)程轉(zhuǎn)儲(chǔ)為一個(gè)PE文件選項(xiàng)A：OllyDump選項(xiàng)B：調(diào)試器隱藏插件選項(xiàng)C：命令行選項(xiàng)D：書簽參考答案：A第16題. OllyDbg最多同時(shí)設(shè)置（）個(gè)內(nèi)存斷點(diǎn)。選項(xiàng)A：1個(gè)選項(xiàng)B：2個(gè)選項(xiàng)C：3個(gè)選項(xiàng)D：4個(gè)參考答案：A第17題. 當(dāng)單擊Resource Hacker工具中分析獲得的條目時(shí)，看不到的是選項(xiàng)A：字符串選項(xiàng)B：二進(jìn)制代碼選項(xiàng)C：圖標(biāo)選項(xiàng)D：菜

7、單參考答案：B第18題. Hook技術(shù)的應(yīng)用不包括（）選項(xiàng)A：實(shí)現(xiàn)增強(qiáng)的二次開發(fā)或補(bǔ)丁選項(xiàng)B：信息截獲選項(xiàng)C：安全防護(hù)選項(xiàng)D：漏洞分析參考答案：D第19題. 以下對各斷點(diǎn)說法錯(cuò)誤的是（）。選項(xiàng)A：查看堆棧中混淆數(shù)據(jù)內(nèi)容的唯一方法時(shí)：待字符串解碼函數(shù)執(zhí)行完成后，查看字符串的內(nèi)容，在字符串解碼函數(shù)的結(jié)束位置設(shè)置軟件斷點(diǎn)選項(xiàng)B：條件斷點(diǎn)是軟件斷點(diǎn)中的一種，只有某些條件得到滿足時(shí)這個(gè)斷點(diǎn)才能中斷執(zhí)行程序選項(xiàng)C：硬件斷點(diǎn)非常強(qiáng)大，它可以在不改變你的代碼、堆棧以及任何目標(biāo)資源的前提下進(jìn)行調(diào)試選項(xiàng)D：OllyDbg只允許你一次設(shè)置一個(gè)內(nèi)存斷點(diǎn)，如果你設(shè)置了一個(gè)新的內(nèi)存斷點(diǎn)，那么之前設(shè)置的內(nèi)存斷點(diǎn)就會(huì)被移除參

8、考答案：C第20題. Windows?鉤子（HOOK）指的是（）選項(xiàng)A：鉤子是指?Windows?窗口函數(shù)選項(xiàng)B：鉤子是一種應(yīng)用程序選項(xiàng)C：鉤子的本質(zhì)是一個(gè)用以處理消息的函數(shù)，用來檢查和修改傳給某程序的信息選項(xiàng)D：鉤子是一種網(wǎng)絡(luò)通信程序參考答案：A第21題. 而0 x52000000對應(yīng)0 x52這個(gè)值使用的是（）字節(jié)序。選項(xiàng)A：小端選項(xiàng)B：大端選項(xiàng)C：終端選項(xiàng)D：前端參考答案：A第22題. 以下Windows API類型中（）是表示一個(gè)將會(huì)被Windows API調(diào)用的函數(shù)。選項(xiàng)A：WORD選項(xiàng)B：DWORD選項(xiàng)C：Habdles選項(xiàng)D：Callback參考答案：D第23題. 在WinDbg

9、的搜索符號中， （）命令允許你使用通配符來搜索函數(shù)或者符號。選項(xiàng)A：bu選項(xiàng)B：x選項(xiàng)C：Ln選項(xiàng)D：dt參考答案：B第24題. 以下不是GFI沙箱的缺點(diǎn)的是（）。選項(xiàng)A：沙箱只能簡單地運(yùn)行可執(zhí)行程序，不能帶有命令行選項(xiàng)選項(xiàng)B：沙箱環(huán)境的操作系統(tǒng)對惡意代碼來說可能不正確選項(xiàng)C：沙箱不能提供安全的虛擬環(huán)境選項(xiàng)D：惡意代碼如果檢測到了虛擬機(jī)，將會(huì)停止運(yùn)行，或者表現(xiàn)異常。不是所有的沙箱都能完善地考慮這個(gè)問題參考答案：C第25題. PE文件中的分節(jié)中唯一包含代碼的節(jié)是（）。選項(xiàng)A：.rdata選項(xiàng)B：.text選項(xiàng)C：.data選項(xiàng)D：.rsrc參考答案：B第26題. % System Root%sy

10、stem32driverstcpudp.sys中的登陸記錄都包括（）選項(xiàng)A：用戶名選項(xiàng)B：Windows域名稱選項(xiàng)C：密碼選項(xiàng)D：舊密碼參考答案：A,B,C,D第27題. 運(yùn)行計(jì)算機(jī)病毒，監(jiān)控病毒的行為，需要一個(gè)安全、可控的運(yùn)行環(huán)境的原因是什么選項(xiàng)A：惡意代碼具有傳染性選項(xiàng)B：可以進(jìn)行隔離選項(xiàng)C：惡意代碼難以清除選項(xiàng)D：環(huán)境容易搭建參考答案：A,B,C第28題. 惡意代碼的存活機(jī)制有（）選項(xiàng)A：修改注冊表選項(xiàng)B：特洛伊二進(jìn)制文件選項(xiàng)C：DLL加載順序劫持選項(xiàng)D：自我消滅參考答案：A,B,C第29題. 對下面匯編代碼的分析正確的是（）。選項(xiàng)A：mov ebp+var_4,0對應(yīng)循環(huán)變量的初始化步

11、驟選項(xiàng)B：add eax,1對應(yīng)循環(huán)變量的遞增，在循環(huán)中其最初會(huì)通過一個(gè)跳轉(zhuǎn)指令而跳過選項(xiàng)C：比較發(fā)生在cmp處，循環(huán)決策在jge處通過條件跳轉(zhuǎn)指令而做出選項(xiàng)D：在循環(huán)中，通過一個(gè)無條件跳轉(zhuǎn)jmp，使得循環(huán)變量每次進(jìn)行遞增。參考答案：A,B,C,D第30題. INetSim可以模擬的網(wǎng)絡(luò)服務(wù)有（）。選項(xiàng)A：HTTP選項(xiàng)B：FTP選項(xiàng)C：IRC選項(xiàng)D：DNS參考答案：A,B,C,D第31題. 名字窗口，列舉哪些內(nèi)存地址的名字選項(xiàng)A：函數(shù)名選項(xiàng)B：代碼的名字選項(xiàng)C：數(shù)據(jù)的名字選項(xiàng)D：字符串參考答案：A,B,C,D第32題. 后門的功能有選項(xiàng)A：操作注冊表選項(xiàng)B：列舉窗口選項(xiàng)C：創(chuàng)建目錄選項(xiàng)D：搜索

12、文件參考答案：A,B,C,D第33題. 微軟fastcall約定備用的寄存器是（）。選項(xiàng)A：EAX選項(xiàng)B：ECX選項(xiàng)C：EDX選項(xiàng)D：EBX參考答案：B,C第34題. 惡意代碼編寫者可以掛鉤一個(gè)特殊的 Winlogon事件,比如()選項(xiàng)A：登錄選項(xiàng)B：注銷選項(xiàng)C：關(guān)機(jī)選項(xiàng)D：鎖屏參考答案：A,B,C,D第35題. 以下是句柄是在操作系統(tǒng)中被打開或被創(chuàng)建的項(xiàng)的是選項(xiàng)A：窗口選項(xiàng)B：進(jìn)程選項(xiàng)C：模塊選項(xiàng)D：菜單參考答案：A,B,C,D第36題. 在 XOR加密中，逆向解密與加密不是使用同一函數(shù)。選項(xiàng)A：對選項(xiàng)B：錯(cuò)參考答案：B第37題. 微軟Visual Studio和GNU編譯集合（GCC）。前

13、者，adder函數(shù)和printf的函數(shù)在調(diào)用前被壓到棧上。而后者，參數(shù)在調(diào)用之前被移動(dòng)到棧上。選項(xiàng)A：對選項(xiàng)B：錯(cuò)參考答案：A第38題. cmp指令不設(shè)置標(biāo)志位，其執(zhí)行結(jié)果是ZF和CF標(biāo)志位不發(fā)生變化。選項(xiàng)A：對選項(xiàng)B：錯(cuò)參考答案：B第39題. 應(yīng)用程序可能包含處理INT3異常的指令,但附加調(diào)試器到程序后,應(yīng)用程序?qū)@得首先處理異常的權(quán)限。選項(xiàng)A：對選項(xiàng)B：錯(cuò)參考答案：B第40題. CreateFile（）這個(gè)函數(shù)被用來創(chuàng)建和打開文件。選項(xiàng)A：對選項(xiàng)B：錯(cuò)參考答案：A第41題. 這種進(jìn)程替換技術(shù)讓惡意代碼與被替換進(jìn)程擁有相同的特權(quán)級。選項(xiàng)A：對選項(xiàng)B：錯(cuò)參考答案：A第42題. Netcat被稱

14、為“TCP/IP協(xié)議棧瑞士軍刀”，可以被用在支持端口掃描、隧道、代理、端口轉(zhuǎn)發(fā)等的對內(nèi)對外連接上。在監(jiān)聽模式下，Netcat充當(dāng)一個(gè)服務(wù)器，而在連接模式下作為一個(gè)客戶端。Netcat從標(biāo)準(zhǔn)輸入得到數(shù)據(jù)進(jìn)行網(wǎng)絡(luò)傳輸，而它得到的數(shù)據(jù)，又可以通過標(biāo)準(zhǔn)輸出顯示到屏幕上。選項(xiàng)A：對選項(xiàng)B：錯(cuò)參考答案：A第43題. 每一個(gè)Hook都有一個(gè)與之相關(guān)聯(lián)的指針列表，稱之為鉤子鏈表，由系統(tǒng)來維護(hù)選項(xiàng)A：對選項(xiàng)B：錯(cuò)參考答案：A第44題. 底層遠(yuǎn)程鉤子要求鉤子例程被保護(hù)在安裝鉤子的進(jìn)程中。選項(xiàng)A：對選項(xiàng)B：錯(cuò)參考答案：A第45題. OllyDbg中內(nèi)存斷點(diǎn)一次只能設(shè)置一個(gè)，而硬件斷點(diǎn)可以設(shè)置4個(gè)。選項(xiàng)A：對選項(xiàng)B：錯(cuò)參考答案：A第46題. 機(jī)器碼層由操作碼組成，操作碼是一些二進(jìn)制形式的數(shù)字。選項(xiàng)A：對選項(xiàng)B：錯(cuò)參考答案：B第