南開大學(xué)22秋學(xué)期《計算機病毒分析》在線作業(yè)答卷

22秋學(xué)期（高起本1709-1803、全層次1809-2103）《計算機病毒分析》在線作業(yè)-00001試卷總分:100得分:100一、單選題(共25道試題,共50分)下列屬于靜態(tài)高級分析技術(shù)的描述是（）。檢查可執(zhí)行文件但不查看具體指令的一些技術(shù)分析的目標涉及運行惡意代碼并觀察系統(tǒng)上的行為，以移除感染，產(chǎn)生有效的檢測特征碼，或者兩者主要是對惡意代碼內(nèi)部機制的逆向工程，通過將可執(zhí)行文件裝載到反匯編器中，查看程序指令，來發(fā)現(xiàn)惡意代碼到底做了什么使用調(diào)試器來檢查一個惡意可執(zhí)行程序運行時刻的內(nèi)部狀態(tài)答案:C2.當想要在函數(shù)調(diào)用使用特定的參數(shù)時才發(fā)生中斷，應(yīng)該設(shè)置什么類型的斷點（）軟件執(zhí)行斷點硬件執(zhí)行斷點條件斷點非條件斷點答案:C3.函數(shù)調(diào)用約定中，參數(shù)是從右到左按序被壓入棧，當函數(shù)完成時由被調(diào)用函數(shù)清理棧，并且將返回值保存在EAX中的是（）。cdeclstdcallfastcall壓棧與移動答案:B4.OllyDbg最多同時設(shè)置（）個內(nèi)存斷點。1個2個3個4個答案:A5.木馬與病毒的重大區(qū)別是（）。木馬會自我復(fù)制木馬具有隱蔽性木馬不具感染性木馬通過網(wǎng)絡(luò)傳播答案:C6.（）是可以記錄程序詳細的運行信息的調(diào)試技術(shù)。內(nèi)存映射基地址重定位斷點跟蹤答案:D7.OllyDbg的硬件斷點最多能設(shè)置（）個。3個4個5個6個答案:B8.蠕蟲與普通病毒相比特有的性質(zhì)為（）。傳播性隱蔽性不利用文件寄生破壞性答案:C9.在以下寄存器中用于定位要執(zhí)行的下一條指令的寄存器是（）。通用寄存器段寄存器狀態(tài)寄存器指令指針答案:D10.網(wǎng)絡(luò)黑客產(chǎn)業(yè)鏈是指黑客們運用技術(shù)手段入侵服務(wù)器獲取站點權(quán)限以及各類賬戶信息并從中謀取（）的一條產(chǎn)業(yè)鏈。非法經(jīng)濟利益經(jīng)濟效益效益利潤答案:A11.Base64編碼將二進制數(shù)據(jù)轉(zhuǎn)化成（）個字符的有限字符集。16324864答案:D12.惡意代碼編寫者使用（）庫執(zhí)行對導(dǎo)入表的修改，掛載DLL到己有程序文件，并且向運行的進程添加函數(shù)鉤子等。Detours庫DLL運行庫MFCvc運行庫答案:A13.以下說法錯誤的是（）。OllyDbg可以很容易修改實時數(shù)據(jù)，如寄存器和標志。它也可以將匯編形式的修補代碼直接插入到一個程序OllyDbg可以使用00項或nop指令填充程序鍵單擊高亮的條件跳轉(zhuǎn)指令，然后選擇Binary→FillwithNOPs，該操作產(chǎn)生的結(jié)果時NOP指令替換了JNZ指令，這個過程會把那個位置上的NOP永久保存在磁盤上，意味著惡意代碼以后會接受任意輸入的密鑰當異常發(fā)生時，OllyDbg會暫停運行，然后你可以使用進入異常、跳過異常、運行異常處理等方法，來決定是否將異常轉(zhuǎn)移到應(yīng)用程序處理答案:C14.以下那個窗口是操作和分析二進制的主要位置，也是反匯編代碼所在的地方函數(shù)窗口結(jié)構(gòu)窗口反匯編窗口二進制窗口答案:C15.以下注冊表根鍵中（）保存對本地機器全局設(shè)置。HKEY_LOCAL_MACHINE(HKLM)HKEY_CURRENT_USER(HKCU)HKEY_CLASSES_ROOTHKEY_CURRENT_CONFIG答案:A16.內(nèi)存中的（）節(jié)用于函數(shù)的局部變量和參數(shù)，以及控制程序執(zhí)行流。數(shù)據(jù)堆代碼棧答案:D17.在獲取不到高級語言源碼時，（）是從機器碼中能可信并保持一致地還原得到的最高一層語言。機器指令微指令匯編語言機器碼答案:C18.PE文件中的分節(jié)中唯一包含代碼的節(jié)是（）。.rdata.text.data.rsrc答案:B19.下列概念說法錯誤的是（）。內(nèi)存映射窗口（View→Memory）顯示了被調(diào)用程序分配的使用內(nèi)存塊基地址重定位是指Windows中的一個模塊沒有被加載到其預(yù)定基地址時發(fā)生的情況Windows中的所有PE文件都有一個預(yù)定的基地址，它在PE文件頭中被稱為映像基地址使用相對地址，無論被加載到內(nèi)存的哪個位置，所有指令都能正常工作答案:D20.計算機體系結(jié)構(gòu)中，（）層是由十六進制形式的操作碼組成，用于告訴處理器你想它干什么。微指令機器碼低級語言高級語言答案:B21.下列是抓包的工具是（）。ApateDNSNetcatINetSimWireshark答案:D22.以下WindowsAPI類型中（）是描述一個雙字節(jié)、32位的無符號數(shù)值。WORDDWORDHabdlesCallback答案:B23.當代碼庫被鏈接時，宿主操作系統(tǒng)會在程序被裝載時搜索所需的代碼庫，如果程序調(diào)用了被鏈接的庫函數(shù)，這個函數(shù)會在代碼庫中執(zhí)行,這種鏈接方法是（）。靜態(tài)鏈接動態(tài)鏈接運行時鏈接轉(zhuǎn)移鏈接答案:B24.以下那種互聯(lián)網(wǎng)連接模式在宿主機和客戶機之間創(chuàng)建了一個隔離的私有局域網(wǎng)bridgedNETHost-onlyCustom答案:C25.OllyDbg使用了一個名為（）的虛擬程序來加載DLL。rundll32.exeuser32.dllkernel32.dllloaddll.exe答案:D二、多選題(共10道試題,共20分)26.（）是WindowsAPI的標準調(diào)用約定cdeclstdcallfastcall壓棧與移動答案:BC27.微軟fastcall約定備用的寄存器是（）。EAXECXEDXEBX答案:BC28.惡意代碼作者如何使用DLL（）多選保存惡意代碼通過使用WindowsDLL控制內(nèi)存使用DLL通過使用第三方DLL答案:ABD29.后門擁有一套通用的功能，都有以下那些功能？（）操作注冊表列舉窗口創(chuàng)建目錄搜索文件答案:ABCD30.對一個監(jiān)聽入站連接的服務(wù)應(yīng)用，順序是（）函數(shù)，等待客戶端的連接。socket、bind、listen和acceptsocket、bind、accept和listenbind、sockect、listen和acceptaccept、bind、listen和socket答案:ABCD31.以下是句柄是在操作系統(tǒng)中被打開或被創(chuàng)建的項的是窗口進程模塊菜單答案:ABCD32.以下的惡意代碼行為中，屬于后門的是（）netcat反向shellwindows反向shell遠程控制工具僵尸網(wǎng)絡(luò)答案:ABCD33.IDAPro都有以下什么功能（）。識別函數(shù)標記函數(shù)劃分出局部變量劃分出參數(shù)答案:ABCD34.惡意代碼編寫者可以掛鉤一個特殊的Winlogon事件,比如()登錄注銷關(guān)機鎖屏答案:ABCD35.進程監(jiān)視器提供默認下面四種過濾功能是（）。注冊表文件系統(tǒng)進程行為網(wǎng)絡(luò)答案:ABCD三、判斷題(共15道試題,共30分)36.進程監(jiān)視器（ProcessMonitor）是Windows系統(tǒng)下的高級監(jiān)視工具，它提供一種方式來監(jiān)控注冊表、文件系統(tǒng)、網(wǎng)絡(luò)、進程和線程行為。它結(jié)合并增強了兩種工具的功能：文件監(jiān)視器FileMon和注冊表監(jiān)視器RegMon。答案:正確37.大部分用戶使用管理員權(quán)限，如果被病毒感染，不需要權(quán)限提升，病毒就可以獲得管理員權(quán)限答案:正確38.暴力破解目的是嘗試使用幾個不同的XOR密鑰破解，直到碰到你識別的輸出為止。答案:正確39.啟動器通常包含一個它要加載的惡意代碼答案:正確40.Strings命令搜索二個或以上連續(xù)的ASCII或Unicode字符，并以終結(jié)符結(jié)尾的可打印字符串。答案:錯誤41.重命名地址可以修改自動化命名的絕對地址和棧變量。答案:錯誤42.命名常量在二進制文件是以常量名字來存儲的答案:錯誤43.shr和shl指令用于對寄存器做位移操作。答案:正確44.計算機病毒分析和查找程序Bug沒什么區(qū)別答案:正確45.句柄在它們引用一個對象或其他某個位置這個點上和指針是完全一樣的。答案:錯誤46.只查看后門使用和導(dǎo)入的Windows函數(shù),不能確定后門程序?qū)崿F(xiàn)的功能。答案:錯誤47.Execu