|
资料来源:谋学网(www.mouxue.com)-[南开大学(本部)]《计算机病毒分析》20春期末考核
* `. |8 _( S7 m2 z7 F! T: L试卷总分:100 得分:100
3 U' _6 e4 S! i. k- H3 C第1题,网络黑客产业链是指黑客们运用技术手段入侵服务器获取站点权限以及各类账户信息并从中谋取()的一条产业链。
1 O# ^# b1 z) P: D* GA、非法经济利益
, e9 f' J1 z7 \2 g5 i" a' y# sB、经济效益; w6 j, }/ |' }3 v$ Z6 x( Y
C、效益( m# \/ t+ E8 \4 P/ x. n9 h
D、利润, a4 X: F# q/ c9 L1 x
正确资料:
& {' ?0 j8 |- y$ n4 ]- g& I( g& [
9 L( v/ {7 h+ W5 o; p
第2题,下列属于静态高级分析技术的描述是()。& T8 v& i4 B) s7 Z6 u1 Y
A、检查可执行文件但不查看具体指令的一些技术分析的目标6 a& O6 G/ T" t: ]; I( P# [
B、涉及运行恶意代码并观察系统上的行为,以移除感染,产生有效的检测特征码,或者两者
) \, ^* t) r$ d) H# m& EC、主要是对恶意代码内部机制的逆向工程,通过将可执行文件装载到反汇编器中,查看程序指令,来发现恶意代码到底做了什么
$ T1 F$ s6 K4 s: [7 `3 n& ?D、使用调试器来检查一个恶意可执行程序运行时刻的内部状态9 a$ c1 p# V) j F' X
正确资料:, @$ M/ A$ z [7 v2 t( ]7 c; m/ K+ X2 U
9 i+ O. s+ Y- }+ j. P# P2 j% h7 P: A) ~% [) e0 y5 u/ }- `: l
第3题,可以按()键定义原始字节为代码。/ j4 j, K P/ Y9 T& m8 \% O
A、C键* t+ H7 E2 P! I; W2 e1 q
B、D键: p! r& s+ A" d/ d, q" V& E3 x
C、shift D键0 T5 \1 O% c9 _
D、U键
- W8 P/ p8 c/ ] F2 |9 i. D$ q正确资料:
9 \& E6 R7 @& t& b: h8 G
3 M7 ~8 t9 ]: ?! t: E
# {3 n3 E' P& G! ]+ z% ~8 A第4题,以下Windows API类型中()是表示一个将会被Windows API调用的函数。' O: _ R, r* H; `, x, N' D( |
A、WORD
* h y+ i! G) V4 {5 w4 h. _B、DWORD& P- Z/ t" K7 E' m0 N
C、Habdles
; Y* ]# K5 O% B( S RD、Callback
) B! A; f9 R7 o2 ]正确资料:
0 n9 P1 \, b" ?. C$ k; @* G' }; t+ j* d' j5 w8 U9 l9 v
4 ?0 [6 \7 [6 s1 ]" K: L资料来源:谋学网(www.mouxue.com),用IDA Pro对一个程序进行反汇编时,字节偶尔会被错误的分类。可以对错误处按()键来取消函数代码或数据的定义。5 t+ s7 ]" C9 x7 ]
A、C键7 V: ]8 x7 b0 c3 y1 Q: [7 m' x
B、D键
: F3 C( @* ~: }! fC、shift+D键3 m0 ~( a4 l3 [
D、U键
( U/ t' u' e+ r; N$ J# N正确资料:; X3 s5 Y3 @8 F4 o5 s
* Y. i8 N0 U/ Z
& n3 n- `& Y5 n0 ?( x" W$ |第6题,反病毒软件主要是依靠()来分析识别可疑文件。- w$ z, D j" d8 R3 ^% }: u
A、文件名
* O. b' F, p( G' D! i7 jB、病毒文件特征库. K3 P4 U" P- l( b0 K, D
C、文件类型6 R8 G. a5 l2 H
D、病毒文件种类
; q% y' j1 ~- N2 T$ ?# Z7 f正确资料:: X3 s! Q% e9 n
. ~, {! l% O ] l' o5 F
- B* I |$ C- A- [. K; H3 H3 y第7题,IDA pro支持()种图形选项
& x- x# T) d2 B4 I* R5 ~) ZA、1种4 W2 T& O6 G+ J" g9 B+ g w+ \
B、3种
$ K' }/ }) W) M6 t* VC、5种8 Z2 l( G2 \! L9 o4 T. |$ P
D、7种: j. ^( U$ s" U) }0 l4 G
正确资料: m2 q |. L; Q/ G7 B( p2 s
2 _3 P5 ?2 L' q' c( o) E+ h3 y0 p$ R0 W5 p# T
第8题,以下对各断点说法错误的是()。
/ v" \: }9 V/ ^A、查看堆栈中混淆数据内容的唯一方法时:待字符串解码函数执行完成后,查看字符串的内容,在字符串解码函数的结束位置设置软件断点
$ d+ v; t; _* j3 GB、条件断点是软件断点中的一种,只有某些条件得到满足时这个断点才能中断执行程序# V. p3 a# A# V- p% e8 j4 N' L% L
C、硬件断点非常强大,它可以在不改变你的代码、堆栈以及任何目标资源的前提下进行调试
2 l8 O$ x) O" e, n7 v3 j. J& o8 }4 @D、OllyDbg只允许你一次设置一个内存断点,如果你设置了一个新的内存断点,那么之前设置的内存断点就会被移除 s' O9 O6 F5 K
正确资料:) C3 \: u+ v! Z9 b, }# d, D/ Y
" z0 p5 |7 r B9 f5 L
) b( u! {" U. O# [3 ^1 @第9题,在通用寄存器中,()是数据寄存器。
; T# ]7 g3 N9 uA、EAX
p7 v+ `& _# I/ L3 o- y0 L7 v- `& [8 wB、EBX8 C* g# @' T4 }- y- v
C、ECX6 D5 }+ C. O( `- [
D、EDX+ I1 }2 ?- K2 `3 x) Q+ P, y! V
正确资料:
2 z) Y; H' l! A) i; t p4 \4 `! D: z
' g' o' o0 P m' A* t$ S资料来源:谋学网(www.mouxue.com),WinDbg的内存窗口支持通过命令来浏览内存,以下WinDbg读选项中,()选项描述读取内存数据并以内存32位双字显示。
. Q; t$ i6 k" l; t7 DA、da1 V3 I- n5 r9 \9 x2 ^+ F+ v
B、du
) F; P% z0 d* w. Y% ?C、dd
$ y0 [, K5 Z: D) x. KD、dc
/ ?+ r' a8 @3 _8 U正确资料:
# t& U* e) t9 W8 d5 @* ]
. P) F9 `3 C& \& i* J2 u( ^
- c! L( N4 Q( u1 b1 n第11题,下面说法错误的是()。
0 [) z" T4 u4 `2 R5 x) t0 I6 ]# SA、启动器通常在text节存储恶意代码,当启动器运行时,它在运行嵌入的可执行程序或者DLL程序之前,从该节将恶意代码提取出来
# M4 v8 ?0 W7 j: h- p$ [B、隐藏启动的最流行技术是进程注入。顾名思义,这种技术是将代码注入到另外一个正在运行的进程中,而被注入的进程会不知不觉地运行注入的代码
8 Y8 q& i1 a- f& ~) uC、DLL注入是进程注入的一种形式,它强迫一个远程进程加载恶意DLL程序,同时它也是最常使用的秘密加载技术2 A0 J9 H5 h! p* T8 ?
D、直接注入比DLL注入更加灵活,但是要想注入的代码在不对宿主进程产生副作用的前提下成功运行,直接注入需要大量的定制代码。这种技术可以被用来注入编译过的代码,但更多的时候,它用来注入shellcode# T7 I% x$ M9 i4 X0 B
正确资料:
+ Y0 u, @& t3 {8 k
3 m% S. p. W5 p7 Z, O- Y! q* ~4 U- h2 [" q2 D
资料来源:谋学网(www.mouxue.com),当要判断某个内存地址含义时,应该设置什么类型的断点()
6 W! Y T5 z8 ]( }A、软件执行断点2 j' T4 V7 @/ ?8 K
B、硬件执行断点: L, o. A; O$ j$ ]: u& J
C、条件断点' [. h* |0 Z6 E' Y+ J% r# s
D、非条件断点# @; c J. X7 b. u' O9 t& [
正确资料:
6 K0 _1 }5 b4 Y7 G7 D$ U! Q
! s/ G9 ^/ f8 N& d: t
4 b. U _- O+ ~+ Y* ~, L2 ?第13题,OllyDbg的硬件断点最多能设置()个。% @* i4 [/ x _- C; U; Z
A、3个9 G- A ]/ F) y( C
B、4个
6 x' c$ Q. B& n; BC、5个
3 U& _$ w L3 c4 J3 o( pD、6个7 D7 F, j: n( v. v* P! @1 x
正确资料:9 `& m, i/ V. ~& o1 }; E$ Q& \
4 M0 h/ i' m/ r4 K L& S0 D- Y! I, c9 n
第14题,PE文件中的分节中唯一包含代码的节是()。1 l$ S) P5 W, G6 L: b
A、.rdata
- s' Z( ?& h% q4 s# WB、.text
1 c4 l* t' Z9 x8 k+ I2 \C、.data
" C$ q% z& Q8 g$ E0 HD、.rsrc
1 u4 {- b# @5 h; e& Y0 K. K正确资料:
6 ^4 K" l% b+ a' B0 d' G
5 L9 A+ x W/ ?$ t4 L- I7 ?- R: K/ Q D( }' F( m) P, g5 }
资料来源:谋学网(www.mouxue.com),轰动全球的震网病毒是()。" f. } v0 h) A; O2 p, O
A、木马3 r R \/ o1 q! H5 z
B、蠕虫病毒, C# H8 B5 ]& b& R D$ [, \
C、后门% ~8 r& c- P8 ~; D" \# W
D、寄生型病毒
. j# |2 r( G/ {正确资料:
2 I# L7 f( g4 d6 ?! C/ W3 {5 c5 L4 s8 Q5 h
: z5 b, E7 [6 \$ Z8 [" m8 c第16题,以下是句柄是在操作系统中被打开或被创建的项的是
( T* h! e$ I* E0 o, O% S/ G3 c7 P4 EA、窗口
h2 d4 J1 I, x# j6 n: v/ HB、进程5 c0 f7 t% p1 ?# G, _, A
C、模块! R6 y) s! ?" \. D- S1 G
D、菜单
* F! _5 Y& N% c, B正确资料:,B,C,D
/ C; `1 V; e v7 H
2 C; }+ X! f5 `' ~: [7 m7 y t/ b8 w3 F3 R# {5 [
第17题,OllyDbg提供了多种机制来帮助分析,包括下面几种()。: m, V3 l7 c& I2 {2 V( S1 K
A、日志
$ ~* p4 `+ B! UB、监视
- l; V6 @4 T! @4 @% SC、帮助! I' o' A! J' i7 @8 p, y) y
D、标注
% h- ~: V/ L5 e正确资料:,B,C,D! Y- y0 S4 \: k/ x! S% F# ]6 B I. s
. b9 e+ T5 P/ P$ Z
. e2 {0 p5 c; C) h4 R1 }, r第18题,恶意代码常用注册表()
' ` r' T2 ^6 e4 wA、存储配置信息
: B3 ~4 o3 {+ q. m1 P- ~B、收集系统信息
& ]7 ^! W5 \2 V2 JC、永久安装自己
5 l, y; B$ i3 q' P& x0 gD、网上注册
; V' K0 j* n# o7 M9 q2 \8 P# s正确资料:,B,C
1 |; D* o8 x# k% A- Z3 D" T* s" P9 j3 c4 O, B
$ Z8 n8 M# G) Y4 i* [第19题,进程监视器提供默认下面四种过滤功能是()。: c& b' J. V5 B& r+ X
A、注册表
5 y! l3 k2 c7 @4 V$ wB、文件系统
( _0 l* S9 |5 G; }, \C、进程行为
- o( @' r# w. c2 hD、网络
& |( Q% u+ ~% ]( N9 a/ K正确资料:,B,C,D) c1 D# G- E9 T E( H$ s8 [
- Y* Z$ f1 k! a8 A9 }) e. @
+ C+ f. `! q4 d; {; R
资料来源:谋学网(www.mouxue.com),INetSim可以模拟的网络服务有()。, ^% o) o1 T, y% s- G
A、HTTP
5 j A/ P' I- r- ^' [. hB、FTP
4 u. \0 x1 N& b+ V" p0 D$ JC、IRC' A9 o' b5 z" ?! ^7 {" Z# B' j; h
D、DNS
- k4 I7 f) ^9 ~4 w( c2 G2 Y正确资料:,B,C,D' [1 [3 X8 e& F% T! Z: I) n6 Z4 U
# f2 {0 F: X0 J6 |8 S
4 \# s% l A5 C: v第21题,以下的恶意代码行为中,属于后门的是()4 c8 ^7 v: P$ y
A、netcat反向shell5 T, S6 D4 I+ S& F# C
B、windows反向shell
4 J+ g3 k {* ?4 q/ R. QC、远程控制工具
! N$ q% ~2 f Y7 R( ]! rD、僵尸网络
7 B% w: v0 [/ U( r; n3 x正确资料:,B,C,D
, w6 T S. y) N i0 }2 Y
3 b7 u$ l, t! y$ \3 T9 X1 y8 _9 b7 a& S5 b
第22题,后门的功能有
8 o1 D4 y2 ~! n" C# h4 R$ _' UA、操作注册表0 H& z( t6 N; Q7 T
B、列举窗口
- N5 _ W# N/ l9 s* j1 BC、创建目录
]1 ]3 [0 ?3 G7 A# c/ h/ uD、搜索文件# D1 F* u, V/ h; x- o
正确资料:,B,C,D
A2 v/ q2 U# |) j3 e+ u' w. ^" v* o, s/ ]5 E$ Z+ |
( n0 m2 Y5 o3 y2 B
第23题,对一个监听入站连接的服务应用,顺序是()函数,等待客户端的连接。, `9 ~& }- R5 e( }* ]$ D; z2 u# c
A、socket、bind、listen和accept' p. d# C3 O! o' f# w, r( k1 j V
B、socket、bind、accept和listen5 q, @0 J8 S) f0 |. W6 f
C、bind、sockect、listen和accept
2 ^% n1 B9 }. U$ b6 x& {D、accept、bind、listen和socket+ m" v; o) O& e( h# J5 w
正确资料:,B,C,D# T" l. L( J8 G% |1 A- P6 t1 X
- Y$ o) ~' R* H# J; D; A2 P, A9 z8 `* K" K3 T; ?
第24题,微软fastcall约定备用的寄存器是()。
) u6 J2 l" Y% s/ g" G: z; `A、EAX
# |9 B8 e8 [, u( n( X( b! XB、ECX
- T: b; h7 {2 k# b0 b( M. a/ H8 |C、EDX. v, Z+ J/ s$ L
D、EBX
% Y0 c1 P G0 |, m正确资料:,C
5 o2 m! q# G5 i0 |8 u. s$ r' ]1 R, X' R$ O. M
7 e' G- Q& c' Z( _' I7 D# H; b3 X- j资料来源:谋学网(www.mouxue.com),运行计算机病毒,监控病毒的行为,需要一个安全、可控的运行环境的原因是什么+ h& s# v1 f* Z w) }' {, @
A、恶意代码具有传染性
1 y2 c+ e/ M' ?, Q7 zB、可以进行隔离
/ _$ k0 B# ^6 V! Q, {C、恶意代码难以清除4 t5 |+ Y, O# I; z! n* S
D、环境容易搭建
6 E. i' }5 j R- O5 F- E3 [; e正确资料:,B,C
4 h6 g9 Q. p2 K }8 h$ N+ o1 F9 \+ U) v+ T% f4 O% h' `3 R( N1 q7 _- j$ {
6 X k0 F8 ?" A( O8 k: [+ H& z1 b3 h第26题,编码不仅仅影响通信,它也可以使恶意代码更加难以分析和理解。% L2 {& J2 |" ^3 u* u! _0 O6 e: d
T、对8 t% m4 ]% _% x
F、错
b6 ~' H& y/ y' w% h8 m, |# r8 S4 u更多资料下载:谋学网(www.mouxue.com)& }% V: j) D) ~5 H9 z. Q
! U: K' `6 t4 ]' B: _. N
2 l* J, t- ?3 Y) C7 G" y+ _第27题,蠕虫或计算机病毒是可以自我复制和感染其他计算机的恶意代码。
6 b7 a3 p. A+ E5 X$ AT、对
: h! P) Q: l% u# K) nF、错
. ^, |' ]. i( c+ {更多资料下载:谋学网(www.mouxue.com)
( f' [9 M+ R5 |# y U4 p* l. v. o ^- l0 d3 f* T3 Q
- u; [9 v' u! @4 y, U. D第28题,恶意的应用程序会挂钩一个经常使用的Windows消息。( E) u# _- d6 G# g
T、对
8 ]8 @" z8 ]7 j( d7 EF、错
7 I* Z- E0 F! |: J7 t正确资料:F6 \8 A) j: X+ v8 d: p1 G
8 ^) ^( l4 U. n r0 T6 }: O4 L
6 o1 W8 ?! O- U- z% y第29题,除非有上下文,否则通常情况下,被显示的数据会被格式化为八进制的值。* j" |" Z5 x5 k0 X0 r
T、对
& L. J: j* i/ E9 `+ b m) Z3 s/ OF、错
9 Z% g( a! q/ ` R. S更多资料下载:谋学网(www.mouxue.com)
/ W" c: P2 |8 x9 f
K0 D* g0 R% Y: ~4 ~
: h, d# m/ n& _' }0 s3 y q资料来源:谋学网(www.mouxue.com),哈希函数,是一种从任何一种数据中创建小的数字"指纹"的方法。
/ [: p' S! m$ ]: |& vT、对+ x: x) P! A Z2 a
F、错: e8 L9 T! t. O
更多资料下载:谋学网(www.mouxue.com)0 q$ X L/ v/ D
+ r) |8 N& r B& H0 E5 q
, A8 y) \: v, D Z) Y8 F第31题,Base64加密用ASCII字符串格式表示十六进制数据。
# ]2 w3 n7 v9 _9 n* [$ d8 TT、对
" S, Q8 j. g% x2 m5 X) S" u; i: R8 IF、错
- h+ X: T0 j3 H5 A! r. o$ }0 y, d正确资料:F! W( P4 g0 f! k$ c7 r0 i! b
: S4 D1 Y0 h) g! D0 c: O( N
% d8 i& G5 f! N3 @& P+ D$ {4 }$ `第32题,CreateFile()这个函数被用来创建和打开文件。
. Q0 ]3 T8 t+ Q; x" T2 RT、对
/ ]* s4 D) J% |0 p/ l4 P* ~F、错# G( |0 f4 n: r; V- ]0 g
更多资料下载:谋学网(www.mouxue.com)% W" J2 T* K, l! l* q% _
' h9 R" g' L! Y% m6 m/ D, p4 _% M, k( P8 n' |
第33题,OllyDbg的插件以DLL形式存在,如果要安装某个插件,你将这个插件的DLL放到OllyDbg的安装根目录下即可。9 A7 Z l+ s# d: V5 z& p
T、对; Z) \. |7 F) s) k; _) D
F、错$ ]9 r7 C% C( y1 J6 M+ s' _
更多资料下载:谋学网(www.mouxue.com)1 |0 L Y" k/ ?- J: |( i, G2 `8 x
/ R# ~9 |6 M, x; f r
& T" Y7 x3 O: L: A第34题,微软符号也包含多个数据结构的类型信息,但并不包括没有被公开的内部类型。" Z/ g/ u2 f) Y7 N! H* M
T、对6 F' j6 L' |4 Q. N+ w
F、错& a0 p( n$ J3 q J$ P" P. }
正确资料:F
- |' R( M. P1 w- f! F5 s7 k+ ~+ L1 @
/ E/ C, {6 J% W* R
第35题,在完成程序的过程中,通用寄存器它们是完全通用的。
c$ P ?$ B* D; F8 J7 [5 a2 hT、对2 u* w, `; ^# ~
F、错
# a! [' o$ r/ P; Z正确资料:F
" |# [1 h6 z" ~" ], d O; a+ U+ x* [, k
2 y" X3 o# h/ i7 Q第36题,简述计算机病毒使用标准加密算法库函数时存在的问题。$ z, z: t4 [- j& K- s
正确资料:
( u8 u# C2 H5 ^5 ?1 X; V6 j0 y# ]% E. V+ c6 R2 u( E
- y$ V" I1 f. U3 D9 w4 G) E
第37题,为了隐蔽自身,计算机病毒的使用了多种技术将恶意代码隐藏到正常的Windows资源空间中。请简述计算机病毒如何使用APC注入技术实现恶意代码的隐蔽启动。
8 @' @+ } i4 e8 t& g7 }4 z正确资料:
( S; h- V2 B0 J) \9 \( C! a: m& J: J$ T- x+ N
+ Y& Q5 X6 V6 {, w1 T第38题,简述计算机病毒使用的自定义加密方案。
0 g$ D8 A! l- b正确资料:
: d* s; {( x4 n8 C0 O4 C1 P+ W# h, t0 r# Q5 ], l
" }" h# S) [; z* [
2 P7 N) S/ K* H# j" C x
. U, ]/ I0 w$ k" {% n& M& k5 g. H1 g0 ~) \8 t- s6 M7 E
: A, f$ k# @0 p( |! O2 ?, r* V2 @
9 Q" `- E( q: ]( {& a+ o0 Z+ X8 q( d9 X
9 d7 M" F/ u# p5 h6 Y
; G8 _* y5 `3 u7 s6 w
, B- f2 g" c6 k9 Z( M9 X) y; w9 F7 B1 f2 u T, w
3 c" q) D7 A3 }6 ] }6 _: b7 q9 g( L5 _1 w
|
|