南開大學(xué)22秋學(xué)期《計(jì)算機(jī)病毒分析》在線作業(yè)答卷

22秋學(xué)期（高起本1709-1803、全層次1809-2103）《計(jì)算機(jī)病毒分析》在線作業(yè)-00001試卷總分:100得分:100一、單選題(共25道試題,共50分)下列屬于靜態(tài)高級(jí)分析技術(shù)的描述是（）。檢查可執(zhí)行文件但不查看具體指令的一些技術(shù)分析的目標(biāo)涉及運(yùn)行惡意代碼并觀察系統(tǒng)上的行為，以移除感染，產(chǎn)生有效的檢測(cè)特征碼，或者兩者主要是對(duì)惡意代碼內(nèi)部機(jī)制的逆向工程，通過(guò)將可執(zhí)行文件裝載到反匯編器中，查看程序指令，來(lái)發(fā)現(xiàn)惡意代碼到底做了什么使用調(diào)試器來(lái)檢查一個(gè)惡意可執(zhí)行程序運(yùn)行時(shí)刻的內(nèi)部狀態(tài)答案:C2.當(dāng)想要在函數(shù)調(diào)用使用特定的參數(shù)時(shí)才發(fā)生中斷，應(yīng)該設(shè)置什么類型的斷點(diǎn)（）軟件執(zhí)行斷點(diǎn)硬件執(zhí)行斷點(diǎn)條件斷點(diǎn)非條件斷點(diǎn)答案:C3.函數(shù)調(diào)用約定中，參數(shù)是從右到左按序被壓入棧，當(dāng)函數(shù)完成時(shí)由被調(diào)用函數(shù)清理?xiàng)?，并且將返回值保存在EAX中的是（）。cdeclstdcallfastcall壓棧與移動(dòng)答案:B4.OllyDbg最多同時(shí)設(shè)置（）個(gè)內(nèi)存斷點(diǎn)。1個(gè)2個(gè)3個(gè)4個(gè)答案:A5.木馬與病毒的重大區(qū)別是（）。木馬會(huì)自我復(fù)制木馬具有隱蔽性木馬不具感染性木馬通過(guò)網(wǎng)絡(luò)傳播答案:C6.（）是可以記錄程序詳細(xì)的運(yùn)行信息的調(diào)試技術(shù)。內(nèi)存映射基地址重定位斷點(diǎn)跟蹤答案:D7.OllyDbg的硬件斷點(diǎn)最多能設(shè)置（）個(gè)。3個(gè)4個(gè)5個(gè)6個(gè)答案:B8.蠕蟲與普通病毒相比特有的性質(zhì)為（）。傳播性隱蔽性不利用文件寄生破壞性答案:C9.在以下寄存器中用于定位要執(zhí)行的下一條指令的寄存器是（）。通用寄存器段寄存器狀態(tài)寄存器指令指針答案:D10.網(wǎng)絡(luò)黑客產(chǎn)業(yè)鏈?zhǔn)侵负诳蛡冞\(yùn)用技術(shù)手段入侵服務(wù)器獲取站點(diǎn)權(quán)限以及各類賬戶信息并從中謀取（）的一條產(chǎn)業(yè)鏈。非法經(jīng)濟(jì)利益經(jīng)濟(jì)效益效益利潤(rùn)答案:A11.Base64編碼將二進(jìn)制數(shù)據(jù)轉(zhuǎn)化成（）個(gè)字符的有限字符集。16324864答案:D12.惡意代碼編寫者使用（）庫(kù)執(zhí)行對(duì)導(dǎo)入表的修改，掛載DLL到己有程序文件，并且向運(yùn)行的進(jìn)程添加函數(shù)鉤子等。Detours庫(kù)DLL運(yùn)行庫(kù)MFCvc運(yùn)行庫(kù)答案:A13.以下說(shuō)法錯(cuò)誤的是（）。OllyDbg可以很容易修改實(shí)時(shí)數(shù)據(jù)，如寄存器和標(biāo)志。它也可以將匯編形式的修補(bǔ)代碼直接插入到一個(gè)程序OllyDbg可以使用00項(xiàng)或nop指令填充程序鍵單擊高亮的條件跳轉(zhuǎn)指令，然后選擇Binary→FillwithNOPs，該操作產(chǎn)生的結(jié)果時(shí)NOP指令替換了JNZ指令，這個(gè)過(guò)程會(huì)把那個(gè)位置上的NOP永久保存在磁盤上，意味著惡意代碼以后會(huì)接受任意輸入的密鑰當(dāng)異常發(fā)生時(shí)，OllyDbg會(huì)暫停運(yùn)行，然后你可以使用進(jìn)入異常、跳過(guò)異常、運(yùn)行異常處理等方法，來(lái)決定是否將異常轉(zhuǎn)移到應(yīng)用程序處理答案:C14.以下那個(gè)窗口是操作和分析二進(jìn)制的主要位置，也是反匯編代碼所在的地方函數(shù)窗口結(jié)構(gòu)窗口反匯編窗口二進(jìn)制窗口答案:C15.以下注冊(cè)表根鍵中（）保存對(duì)本地機(jī)器全局設(shè)置。HKEY_LOCAL_MACHINE(HKLM)HKEY_CURRENT_USER(HKCU)HKEY_CLASSES_ROOTHKEY_CURRENT_CONFIG答案:A16.內(nèi)存中的（）節(jié)用于函數(shù)的局部變量和參數(shù)，以及控制程序執(zhí)行流。數(shù)據(jù)堆代碼棧答案:D17.在獲取不到高級(jí)語(yǔ)言源碼時(shí)，（）是從機(jī)器碼中能可信并保持一致地還原得到的最高一層語(yǔ)言。機(jī)器指令微指令匯編語(yǔ)言機(jī)器碼答案:C18.PE文件中的分節(jié)中唯一包含代碼的節(jié)是（）。.rdata.text.data.rsrc答案:B19.下列概念說(shuō)法錯(cuò)誤的是（）。內(nèi)存映射窗口（View→Memory）顯示了被調(diào)用程序分配的使用內(nèi)存塊基地址重定位是指Windows中的一個(gè)模塊沒(méi)有被加載到其預(yù)定基地址時(shí)發(fā)生的情況Windows中的所有PE文件都有一個(gè)預(yù)定的基地址，它在PE文件頭中被稱為映像基地址使用相對(duì)地址，無(wú)論被加載到內(nèi)存的哪個(gè)位置，所有指令都能正常工作答案:D20.計(jì)算機(jī)體系結(jié)構(gòu)中，（）層是由十六進(jìn)制形式的操作碼組成，用于告訴處理器你想它干什么。微指令機(jī)器碼低級(jí)語(yǔ)言高級(jí)語(yǔ)言答案:B21.下列是抓包的工具是（）。ApateDNSNetcatINetSimWireshark答案:D22.以下WindowsAPI類型中（）是描述一個(gè)雙字節(jié)、32位的無(wú)符號(hào)數(shù)值。WORDDWORDHabdlesCallback答案:B23.當(dāng)代碼庫(kù)被鏈接時(shí)，宿主操作系統(tǒng)會(huì)在程序被裝載時(shí)搜索所需的代碼庫(kù)，如果程序調(diào)用了被鏈接的庫(kù)函數(shù)，這個(gè)函數(shù)會(huì)在代碼庫(kù)中執(zhí)行,這種鏈接方法是（）。靜態(tài)鏈接動(dòng)態(tài)鏈接運(yùn)行時(shí)鏈接轉(zhuǎn)移鏈接答案:B24.以下那種互聯(lián)網(wǎng)連接模式在宿主機(jī)和客戶機(jī)之間創(chuàng)建了一個(gè)隔離的私有局域網(wǎng)bridgedNETHost-onlyCustom答案:C25.OllyDbg使用了一個(gè)名為（）的虛擬程序來(lái)加載DLL。rundll32.exeuser32.dllkernel32.dllloaddll.exe答案:D二、多選題(共10道試題,共20分)26.（）是WindowsAPI的標(biāo)準(zhǔn)調(diào)用約定cdeclstdcallfastcall壓棧與移動(dòng)答案:BC27.微軟fastcall約定備用的寄存器是（）。EAXECXEDXEBX答案:BC28.惡意代碼作者如何使用DLL（）多選保存惡意代碼通過(guò)使用WindowsDLL控制內(nèi)存使用DLL通過(guò)使用第三方DLL答案:ABD29.后門擁有一套通用的功能，都有以下那些功能？（）操作注冊(cè)表列舉窗口創(chuàng)建目錄搜索文件答案:ABCD30.對(duì)一個(gè)監(jiān)聽入站連接的服務(wù)應(yīng)用，順序是（）函數(shù)，等待客戶端的連接。socket、bind、listen和acceptsocket、bind、accept和listenbind、sockect、listen和acceptaccept、bind、listen和socket答案:ABCD31.以下是句柄是在操作系統(tǒng)中被打開或被創(chuàng)建的項(xiàng)的是窗口進(jìn)程模塊菜單答案:ABCD32.以下的惡意代碼行為中，屬于后門的是（）netcat反向shellwindows反向shell遠(yuǎn)程控制工具僵尸網(wǎng)絡(luò)答案:ABCD33.IDAPro都有以下什么功能（）。識(shí)別函數(shù)標(biāo)記函數(shù)劃分出局部變量劃分出參數(shù)答案:ABCD34.惡意代碼編寫者可以掛鉤一個(gè)特殊的Winlogon事件,比如()登錄注銷關(guān)機(jī)鎖屏答案:ABCD35.進(jìn)程監(jiān)視器提供默認(rèn)下面四種過(guò)濾功能是（）。注冊(cè)表文件系統(tǒng)進(jìn)程行為網(wǎng)絡(luò)答案:ABCD三、判斷題(共15道試題,共30分)36.進(jìn)程監(jiān)視器（ProcessMonitor）是Windows系統(tǒng)下的高級(jí)監(jiān)視工具，它提供一種方式來(lái)監(jiān)控注冊(cè)表、文件系統(tǒng)、網(wǎng)絡(luò)、進(jìn)程和線程行為。它結(jié)合并增強(qiáng)了兩種工具的功能：文件監(jiān)視器FileMon和注冊(cè)表監(jiān)視器RegMon。答案:正確37.大部分用戶使用管理員權(quán)限，如果被病毒感染，不需要權(quán)限提升，病毒就可以獲得管理員權(quán)限答案:正確38.暴力破解目的是嘗試使用幾個(gè)不同的XOR密鑰破解，直到碰到你識(shí)別的輸出為止。答案:正確39.啟動(dòng)器通常包含一個(gè)它要加載的惡意代碼答案:正確40.Strings命令搜索二個(gè)或以上連續(xù)的ASCII或Unicode字符，并以終結(jié)符結(jié)尾的可打印字符串。答案:錯(cuò)誤41.重命名地址可以修改自動(dòng)化命名的絕對(duì)地址和棧變量。答案:錯(cuò)誤42.命名常量在二進(jìn)制文件是以常量名字來(lái)存儲(chǔ)的答案:錯(cuò)誤43.shr和shl指令用于對(duì)寄存器做位移操作。答案:正確44.計(jì)算機(jī)病毒分析和查找程序Bug沒(méi)什么區(qū)別答案:正確45.句柄在它們引用一個(gè)對(duì)象或其他某個(gè)位置這個(gè)點(diǎn)上和指針是完全一樣的。答案:錯(cuò)誤46.只查看后門使用和導(dǎo)入的Windows函數(shù),不能確定后門程序?qū)崿F(xiàn)的功能。答案:錯(cuò)誤47.Execu