南開(kāi)大學(xué)22春學(xué)期《計(jì)算機(jī)病毒分析》在線(xiàn)作業(yè)答卷

22春學(xué)期（高起本1709-1803、全層次1809-2103）《計(jì)算機(jī)病毒分析》在線(xiàn)作業(yè)-00003試卷總分:100得分:100一、單選題(共25道試題,共50分)病毒是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組（）。計(jì)算機(jī)指令程序代碼文件計(jì)算機(jī)指令或者程序代碼答案:C2.病毒、（）和木馬是可導(dǎo)致計(jì)算機(jī)和計(jì)算機(jī)上的信息損壞的惡意程序。程序蠕蟲(chóng)代碼數(shù)據(jù)答案:B3.堆是程序運(yùn)行時(shí)動(dòng)態(tài)分配的內(nèi)存，用戶(hù)一般通過(guò)（）、new等函數(shù)申請(qǐng)內(nèi)存。scanfprintfmallocfree答案:C4.能調(diào)試內(nèi)核的調(diào)試器是（）OllyDbgIDAProWinDbgProcessExplorer答案:C5.函數(shù)調(diào)用約定中，參數(shù)是從右到左按序被壓入棧，當(dāng)函數(shù)完成時(shí)由被調(diào)用函數(shù)清理?xiàng)＃⑶覍⒎祷刂当４嬖贓AX中的是（）。cdeclstdcallfastcall壓棧與移動(dòng)答案:B6.PE文件中的分節(jié)中唯一包含代碼的節(jié)是（）。.rdata.text.data.rsrc答案:B7.計(jì)算機(jī)體系結(jié)構(gòu)中，（）層是由十六進(jìn)制形式的操作碼組成，用于告訴處理器你想它干什么。微指令機(jī)器碼低級(jí)語(yǔ)言高級(jí)語(yǔ)言答案:B8.基于Linux模擬常見(jiàn)網(wǎng)絡(luò)服務(wù)的軟件的是（）。ApateDNSNetcatINetSimWireshark答案:C9.轟動(dòng)全球的震網(wǎng)病毒是（）。木馬蠕蟲(chóng)病毒后門(mén)寄生型病毒答案:B10.Shell是一個(gè)命令解釋器，它解釋?zhuān)ǎ┑拿畈⑶野阉鼈兯偷絻?nèi)核。系統(tǒng)輸入用戶(hù)輸入系統(tǒng)和用戶(hù)輸入輸入答案:B11.在WinDbg的搜索符號(hào)中，（）命令允許你使用通配符來(lái)搜索函數(shù)或者符號(hào)。buxLndt答案:B12.木馬與病毒的重大區(qū)別是（）。木馬會(huì)自我復(fù)制木馬具有隱蔽性木馬不具感染性木馬通過(guò)網(wǎng)絡(luò)傳播答案:C13.以下哪個(gè)選項(xiàng)屬于木馬（）。震網(wǎng)病毒W(wǎng)annaCry灰鴿子熊貓燒香答案:C14.用戶(hù)模式下的APC要求線(xiàn)程必須處于（）狀態(tài)。阻塞狀態(tài)計(jì)時(shí)等待狀態(tài)可警告的等待狀態(tài)被終止?fàn)顟B(tài)答案:C15.OllyDbg最多同時(shí)設(shè)置（）個(gè)內(nèi)存斷點(diǎn)。1個(gè)2個(gè)3個(gè)4個(gè)答案:A16.而0x52000000對(duì)應(yīng)0x52這個(gè)值使用的是（）字節(jié)序。小端大端終端前端答案:A17.以下說(shuō)法錯(cuò)誤的是（）。OllyDbg可以很容易修改實(shí)時(shí)數(shù)據(jù)，如寄存器和標(biāo)志。它也可以將匯編形式的修補(bǔ)代碼直接插入到一個(gè)程序OllyDbg可以使用00項(xiàng)或nop指令填充程序鍵單擊高亮的條件跳轉(zhuǎn)指令，然后選擇Binary→FillwithNOPs，該操作產(chǎn)生的結(jié)果時(shí)NOP指令替換了JNZ指令，這個(gè)過(guò)程會(huì)把那個(gè)位置上的NOP永久保存在磁盤(pán)上，意味著惡意代碼以后會(huì)接受任意輸入的密鑰當(dāng)異常發(fā)生時(shí)，OllyDbg會(huì)暫停運(yùn)行，然后你可以使用進(jìn)入異常、跳過(guò)異常、運(yùn)行異常處理等方法，來(lái)決定是否將異常轉(zhuǎn)移到應(yīng)用程序處理答案:C18.反病毒軟件主要是依靠（）來(lái)分析識(shí)別可疑文件。文件名病毒文件特征庫(kù)文件類(lèi)型病毒文件種類(lèi)答案:B19.WinDbg的內(nèi)存窗口支持通過(guò)命令來(lái)瀏覽內(nèi)存，以下WinDbg讀選項(xiàng)中，（）選項(xiàng)描述讀取內(nèi)存數(shù)據(jù)并以?xún)?nèi)存32位雙字顯示。dadudddc答案:C20.Base64編碼將二進(jìn)制數(shù)據(jù)轉(zhuǎn)化成（）個(gè)字符的有限字符集。16324864答案:D21.原始數(shù)據(jù)轉(zhuǎn)換成Base64的過(guò)程相當(dāng)標(biāo)準(zhǔn)。它使用（）位的塊。8162432答案:C22.（）是指Windows中的一個(gè)模塊沒(méi)有被加載到其預(yù)定基地址時(shí)發(fā)生的情況。內(nèi)存映射基地址重定位斷點(diǎn)跟蹤答案:B23.WinINetAPI實(shí)現(xiàn)了（）層的協(xié)議。網(wǎng)絡(luò)層數(shù)據(jù)鏈路層應(yīng)用層傳輸層答案:C24.WinDbg的內(nèi)存窗口支持通過(guò)命令來(lái)瀏覽內(nèi)存，以下WinDbg讀選項(xiàng)中，（）選項(xiàng)描述讀取內(nèi)存數(shù)據(jù)并以ASCII文本顯示。dadudddc答案:A25.進(jìn)程瀏覽器的功能不包括（）。比較進(jìn)程瀏覽器中的DLL列表與在DependencyWalker工具中顯示的導(dǎo)入DLL列表來(lái)判斷一個(gè)DLL是否被加載到進(jìn)程單擊驗(yàn)證按鈕，可以驗(yàn)證磁盤(pán)上的鏡像文件是否具有微軟的簽名認(rèn)證比較運(yùn)行前后兩個(gè)注冊(cè)表的快照，發(fā)現(xiàn)差異一種快速確定一個(gè)文檔是否惡意的方法，就是打開(kāi)進(jìn)程瀏覽器，然后打開(kāi)文檔。若文檔啟動(dòng)了任意進(jìn)程，你能進(jìn)程瀏覽器中看到，并能通過(guò)屬性窗口中的鏡像來(lái)定位惡意代碼在磁盤(pán)上的位置。答案:C二、多選題(共10道試題,共20分)26.以下方法中是識(shí)別標(biāo)準(zhǔn)加密算法的方法是（）。[多選]識(shí)別涉及加密算法使用的字符串識(shí)別引用導(dǎo)入的加密函數(shù)搜索常見(jiàn)加密常量的工具查找高熵值的內(nèi)容答案:ABCD27.對(duì)下面匯編代碼的分析正確的是（）。mov[ebp+var_4],0對(duì)應(yīng)循環(huán)變量的初始化步驟addeax,1對(duì)應(yīng)循環(huán)變量的遞增，在循環(huán)中其最初會(huì)通過(guò)一個(gè)跳轉(zhuǎn)指令而跳過(guò)比較發(fā)生在cmp處，循環(huán)決策在jge處通過(guò)條件跳轉(zhuǎn)指令而做出在循環(huán)中，通過(guò)一個(gè)無(wú)條件跳轉(zhuǎn)jmp，使得循環(huán)變量每次進(jìn)行遞增。答案:ABCD28.以下是分析加密算法目的的是隱藏配置文件信息。竊取信息之后將它保存到一個(gè)臨時(shí)文件。存儲(chǔ)需要使用的字符串，并在使用前對(duì)其解密。將惡意代碼偽裝成一個(gè)合法的工具，隱藏惡意代碼答案:ABCD29.以下哪些是常用的虛擬機(jī)軟件VMwarePlayerVMwareStationVMwareFusionVirtualBox答案:ABCD30.后門(mén)的功能有操作注冊(cè)表列舉窗口創(chuàng)建目錄搜索文件答案:ABCD31.OllyDbg提供了多種機(jī)制來(lái)幫助分析，包括下面幾種（）。日志監(jiān)視幫助標(biāo)注答案:ABCD32.調(diào)試器可以用來(lái)改變程序的執(zhí)行方式。可以通過(guò)修改（）方式來(lái)改變程序執(zhí)行的方式。修改控制標(biāo)志修改指令指針修改程序本身修改文件名答案:ABC33.惡意代碼作者如何使用DLL（）多選保存惡意代碼通過(guò)使用WindowsDLL控制內(nèi)存使用DLL通過(guò)使用第三方DLL答案:ABD34.惡意代碼的存活機(jī)制有（）修改注冊(cè)表特洛伊二進(jìn)制文件DLL加載順序劫持自我消滅答案:ABC35.惡意代碼常用注冊(cè)表()存儲(chǔ)配置信息收集系統(tǒng)信息永久安裝自己網(wǎng)上注冊(cè)答案:ABC三、判斷題(共15道試題,共30分)36.哈希是一種用來(lái)唯一標(biāo)識(shí)惡意代碼的常用方法。答案:正確37.在圖形模式中，綠色箭頭路徑表示這個(gè)條件跳轉(zhuǎn)沒(méi)被采用答案:錯(cuò)誤38.普通病毒的傳染能力主要是針對(duì)計(jì)算機(jī)內(nèi)的文件系統(tǒng)而言。答案:正確39.靜態(tài)分析基礎(chǔ)技術(shù)是非常簡(jiǎn)單，同時(shí)也可以非?？焖賾?yīng)用的，但它在針對(duì)復(fù)雜的惡意代碼時(shí)很大程度上是無(wú)效的，而且它可能會(huì)錯(cuò)過(guò)一些重要的行為。答案:正確40.有時(shí)，某個(gè)標(biāo)準(zhǔn)符號(hào)常量不會(huì)顯示，這時(shí)你需要手動(dòng)加載有關(guān)的類(lèi)型庫(kù)答案:正確41.在完成程序的過(guò)程中，通用寄存器它們是完全通用的。答案:錯(cuò)誤42.下載器通常會(huì)與異常處理打包在一起答案:錯(cuò)誤43.Netcat被稱(chēng)為“TCP/IP協(xié)議棧瑞士軍刀”，可以被用在支持端口掃描、隧道、代理、端口轉(zhuǎn)發(fā)等的對(duì)內(nèi)對(duì)外連接上。在監(jiān)聽(tīng)模式下，Netcat充當(dāng)一個(gè)服務(wù)器，而在連接模式下作為一個(gè)客戶(hù)端。Netcat從標(biāo)準(zhǔn)輸入得到數(shù)據(jù)進(jìn)行網(wǎng)絡(luò)傳輸，而它得到的數(shù)據(jù)，又可以通過(guò)標(biāo)準(zhǔn)輸出顯示到屏幕上。答案:正確44.調(diào)試器允許你查看任意內(nèi)存地址、寄存器的內(nèi)容以及每個(gè)函數(shù)的參數(shù)答案:正確45.蠕蟲(chóng)是利用文件寄生來(lái)通過(guò)網(wǎng)絡(luò)傳播的惡性病毒。答案:錯(cuò)誤46.當(dāng)惡意代碼編寫(xiě)者想要將惡意代碼偽裝成一個(gè)合法進(jìn)程，可以使用一種被稱(chēng)為進(jìn)程注入的方法，將一個(gè)可執(zhí)行文件重寫(xiě)到一個(gè)運(yùn)行進(jìn)程的內(nèi)存空間。答案:錯(cuò)誤47.重命名地址可以修改自動(dòng)化命名的絕對(duì)地址和棧變量。答案:錯(cuò)誤48.進(jìn)程監(jiān)視器視圖每一秒更新一次。默認(rèn)情況下，服務(wù)以粉色高亮顯示，進(jìn)程顯示為藍(lán)