南開大學(xué)《計(jì)算機(jī)病毒分析》在線作業(yè)答卷

1、21秋學(xué)期（1709、1803、1809、1903、1909、2003、2009、2103）計(jì)算機(jī)病毒分析在線作業(yè)試卷總分:100 得分:100一、單選題 (共 25 道試題,共 50 分)蠕蟲病毒的傳染目標(biāo)是（）。計(jì)算機(jī)內(nèi)的文件系統(tǒng)計(jì)算機(jī)內(nèi)的病毒計(jì)算機(jī)內(nèi)的木馬互聯(lián)網(wǎng)內(nèi)的所有計(jì)算機(jī)答案:D2.對(duì)應(yīng)a+的匯編代碼是（）。move eax,ebp+var_4sub eax,ebp+var_8sub eax,1add eax,1答案:D3.以下邏輯運(yùn)算符中是位移指令的是（）OR、ANDShr和shlror和rolXOR答案:C4.以下那種互聯(lián)網(wǎng)連接模式允許虛擬機(jī)與物理機(jī)連接到相同的物理網(wǎng)卡上brid

2、gedNETHost-onlyCustom答案:A5.下列說法錯(cuò)誤的是（）。fastcall的前一些參數(shù)被傳到寄存器中，剩下的參數(shù)從右到左被加載到棧上不同的編譯器會(huì)選擇使用不同的指令來(lái)執(zhí)行相同的操作VS的函數(shù)參數(shù)在調(diào)用前被移動(dòng)到棧上即使是同一個(gè)編譯器，在調(diào)用約定方面也可能存在差別。答案:C6.線程創(chuàng)建需要系統(tǒng)開銷，（）能夠調(diào)用一個(gè)現(xiàn)有的線程。進(jìn)程注入直接注入Hook注入APC注入答案:D7.下列論述錯(cuò)誤的是（）。數(shù)組是相似數(shù)據(jù)項(xiàng)的有序集合結(jié)構(gòu)體和數(shù)組相似，但是它們包括不同類型的元素使用一個(gè)鏈表，被鏈接項(xiàng)的訪問次序與數(shù)據(jù)項(xiàng)被保存在內(nèi)存或磁盤上的次序必須一樣在匯編代碼中，數(shù)組是通過使用一個(gè)基地址作

3、為起始點(diǎn)來(lái)進(jìn)行訪問的。答案:C8.當(dāng)要判斷某個(gè)內(nèi)存地址含義時(shí)，應(yīng)該設(shè)置什么類型的斷點(diǎn)（）軟件執(zhí)行斷點(diǎn)硬件執(zhí)行斷點(diǎn)條件斷點(diǎn)非條件斷點(diǎn)答案:B9.當(dāng)一個(gè)庫(kù)被鏈接到可執(zhí)行程序時(shí)，所有這個(gè)庫(kù)中的代碼都會(huì)復(fù)制到可執(zhí)行程序中去，這種鏈接方法是（）。靜態(tài)鏈接動(dòng)態(tài)鏈接運(yùn)行時(shí)鏈接轉(zhuǎn)移鏈接答案:A10.（）是指Windows中的一個(gè)模塊沒有被加載到其預(yù)定基地址時(shí)發(fā)生的情況。內(nèi)存映射基地址重定位斷點(diǎn)跟蹤答案:B11.PE文件中的分節(jié)中包含由可執(zhí)行文件所使用的資源的是（）。.rdata.text.data.rsrc答案:D12.下列關(guān)于OllyDbg運(yùn)行惡意代碼說法錯(cuò)誤的是（）。OllyDbg有幾種調(diào)試惡意代碼的方法

4、，可以用它直接加載可執(zhí)行文件，甚至加載DLL程序如果惡意代碼已經(jīng)在你的系統(tǒng)上運(yùn)行，你可以通過附加進(jìn)程的方式調(diào)試它另外，OllyDbg是一個(gè)靈活的調(diào)試系統(tǒng)，可以用命令行選項(xiàng)運(yùn)行惡意代碼，甚至支持執(zhí)行DLL中某個(gè)函數(shù)可以在在加載惡意代碼程序之前給OllyDbg傳入命令行參數(shù)答案:D13.以下注冊(cè)表根鍵中（）保存對(duì)本地機(jī)器全局設(shè)置。HKEY_LOCAL_MACHINE(HKLM)HKEY_CURRENT_USER(HKCU)HKEY_CLASSES_ROOTHKEY_CURRENT_CONFIG答案:A14.當(dāng)想要在函數(shù)調(diào)用使用特定的參數(shù)時(shí)才發(fā)生中斷，應(yīng)該設(shè)置什么類型的斷點(diǎn)（）軟件執(zhí)行斷點(diǎn)硬件執(zhí)行斷

5、點(diǎn)條件斷點(diǎn)非條件斷點(diǎn)答案:C15.捕獲Poison Ivy為shellcode分配內(nèi)存的最好方法是（）。軟件斷點(diǎn)硬件斷點(diǎn)內(nèi)存斷點(diǎn)條件斷點(diǎn)答案:D16.一共有（）個(gè)硬件寄存器存儲(chǔ)斷點(diǎn)的地址1個(gè)3個(gè)4個(gè)7個(gè)答案:C17.轟動(dòng)全球的震網(wǎng)病毒是（）。木馬蠕蟲病毒后門寄生型病毒答案:B18.當(dāng)單擊Resource Hacker工具中分析獲得的條目時(shí)，看不到的是字符串二進(jìn)制代碼圖標(biāo)菜單答案:B19.下列說法錯(cuò)誤的是（）。惡意代碼經(jīng)常使用多線程。你可以通過選擇View-Threads,調(diào)出線程面板窗口，查看一個(gè)程序的當(dāng)前線程單擊主工具欄中的暫停按鈕，可以暫停所有活動(dòng)的線程給定進(jìn)程中的每個(gè)線程有自己的棧，通常

6、情況下，線程的重要數(shù)據(jù)都保存在棧中?？梢允褂肙llyDbg的內(nèi)存映射，來(lái)查看內(nèi)存中棧的內(nèi)容由于OllyDbg是多線程的，可能需要你先暫停所有的線程，設(shè)置一個(gè)斷點(diǎn)后，繼續(xù)運(yùn)行程序，這樣可以確保在一個(gè)特定線程模式內(nèi)調(diào)試答案:D20.以下Windows API類型中（）是描述一個(gè)雙字節(jié)、32位的無(wú)符號(hào)數(shù)值。WORDDWORDHabdlesCallback答案:B21.在以下寄存器中用于定位要執(zhí)行的下一條指令的寄存器是（）。通用寄存器段寄存器狀態(tài)寄存器指令指針答案:D22.在圖形模式中，以下哪種顏色的箭頭表示的路徑表示一個(gè)無(wú)條件跳轉(zhuǎn)被采用了紅色黃色藍(lán)色綠色答案:C23.在通用寄存器中，（）是基址寄存器

7、。EAXEBXECXEDX答案:B24.GFI沙箱生成報(bào)告不包括哪個(gè)小節(jié)（）。分析摘要文件活動(dòng)注冊(cè)表程序功能答案:D25.下列屬于靜態(tài)高級(jí)分析技術(shù)的描述是（）。檢查可執(zhí)行文件但不查看具體指令的一些技術(shù)分析的目標(biāo)涉及運(yùn)行惡意代碼并觀察系統(tǒng)上的行為，以移除感染，產(chǎn)生有效的檢測(cè)特征碼，或者兩者主要是對(duì)惡意代碼內(nèi)部機(jī)制的逆向工程，通過將可執(zhí)行文件裝載到反匯編器中，查看程序指令，來(lái)發(fā)現(xiàn)惡意代碼到底做了什么使用調(diào)試器來(lái)檢查一個(gè)惡意可執(zhí)行程序運(yùn)行時(shí)刻的內(nèi)部狀態(tài)答案:C二、多選題 (共 10 道試題,共 20 分)26.惡意代碼的存活機(jī)制有（）修改注冊(cè)表特洛伊二進(jìn)制文件DLL加載順序劫持自我消滅答案:ABC2

8、7.名字窗口，列舉哪些內(nèi)存地址的名字函數(shù)名代碼的名字?jǐn)?shù)據(jù)的名字字符串答案:ABCD28.后門的功能有操作注冊(cè)表列舉窗口創(chuàng)建目錄搜索文件答案:ABCD29.IDA Pro 都有以下什么功能（）。識(shí)別函數(shù)標(biāo)記函數(shù)劃分出局部變量劃分出參數(shù)答案:ABCD30.對(duì)下面匯編代碼的分析正確的是（）。mov ebp+var_4,0對(duì)應(yīng)循環(huán)變量的初始化步驟add eax,1對(duì)應(yīng)循環(huán)變量的遞增，在循環(huán)中其最初會(huì)通過一個(gè)跳轉(zhuǎn)指令而跳過比較發(fā)生在cmp處，循環(huán)決策在jge處通過條件跳轉(zhuǎn)指令而做出在循環(huán)中，通過一個(gè)無(wú)條件跳轉(zhuǎn)jmp，使得循環(huán)變量每次進(jìn)行遞增。答案:ABCD31.運(yùn)行計(jì)算機(jī)病毒，監(jiān)控病毒的行為，需要一個(gè)安

9、全、可控的運(yùn)行環(huán)境的原因是什么惡意代碼具有傳染性可以進(jìn)行隔離惡意代碼難以清除環(huán)境容易搭建答案:ABC32.進(jìn)程監(jiān)視器提供默認(rèn)下面四種過濾功能是（）。注冊(cè)表文件系統(tǒng)進(jìn)程行為網(wǎng)絡(luò)答案:ABCD33.微軟fastcall約定備用的寄存器是（）。EAXECXEDXEBX答案:BC34.OllyDbg提供了多種機(jī)制來(lái)幫助分析，包括下面幾種（）。日志監(jiān)視幫助標(biāo)注答案:ABCD35.對(duì)一個(gè)監(jiān)聽入站連接的服務(wù)應(yīng)用，順序是（）函數(shù)，等待客戶端的連接。socket、bind、listen和acceptsocket、bind、accept和listenbind、sockect、listen和acceptaccept

10、、bind、listen和socket答案:ABCD三、判斷題 (共 15 道試題,共 30 分)36.程序運(yùn)行過程中,雖然寄存器的值和內(nèi)存的地址是不斷變化的,但是依舊可以在運(yùn)行時(shí)訪問寄存器的值和內(nèi)存地址答案:錯(cuò)誤37.加殼的目的是使計(jì)算機(jī)病毒更難被檢測(cè)和分析答案:正確38.進(jìn)程監(jiān)視器的過濾功能開啟時(shí)，不會(huì)記錄過濾的事件，因此能阻止監(jiān)視器消耗過多的內(nèi)存。答案:錯(cuò)誤39.暴力破解目的是嘗試使用幾個(gè)不同的XOR密鑰破解，直到碰到你識(shí)別的輸出為止。答案:正確40.Strings程序檢測(cè)到的一定是真正的字符串。答案:錯(cuò)誤41.在小端字節(jié)序中，127.0.0.1 表示為0 x7F 00 00 01。答案:錯(cuò)誤42.在stdcall中，前一些參數(shù)（典型的是前兩個(gè)）被傳到寄存器中，備用的寄存器是EDX和ECX。如果需要的話，剩下的參數(shù)再以從右到左的次序被加載到棧上。答案:錯(cuò)誤43.PE文件格式在頭部存儲(chǔ)了很多有趣的信息。我們可以使用PEview工具來(lái)瀏覽這些信息。答案:正確44.2.DLL只有一個(gè)單一的標(biāo)志，除了那個(gè)標(biāo)志之外，一個(gè)DLL和一個(gè).exe之間沒有實(shí)質(zhì)的區(qū)別。答案:正確45.WinDbg的內(nèi)存窗口不支持通過命令來(lái)瀏覽內(nèi)存。答案:錯(cuò)誤46.反向 shell或者作為一個(gè)單獨(dú)的惡意代碼存在,或者作為一個(gè)