22春学期（高起本1709、全层次1803-2103）《计算机病毒分析》在线作业答卷

admin

22春学期（高起本1709-1803、全层次1809-2103）《计算机病毒分析》在线作业-00002
试卷总分:100  得分:100
一、单选题 (共 25 道试题,共 50 分)
1.WinDbg的内存窗口支持通过命令来浏览内存，以下WinDbg读选项中，（）选项描述读取内存数据并以内存32位双字显示。
A.da
B.du
C.dd
D.dc
资料:

2.直接将恶意代码注入到远程进程中的是（）。
A.进程注入
B.DLL注入
C.钩子注入
D.直接注入
资料:

3.以下哪个指令可以写入DWord格式的数据。
A.ea
B.eu
C.ed
D.ee
资料:

4.用IDA Pro对一个程序进行反汇编时，字节偶尔会被错误的分类。可以对错误处按（）键来取消函数代码或数据的定义。
A.C键
B.D键
C.shift+D键
D.U键
资料:

5.Shell是一个命令解释器，它解释（）的命令并且把它们送到内核。
A.系统输入
B.用户输入
C.系统和用户输入
D.输入
资料:

6.当想要在函数调用使用特定的参数时才发生中断，应该设置什么类型的断点（）
A.软件执行断点
B.硬件执行断点
C.条件断点
D.非条件断点
资料:

7.下面说法错误的是（）。
A.启动器通常在text节存储恶意代码，当启动器运行时，它在运行嵌入的可执行程序或者DLL程序之前，从该节将恶意代码提取出来
B.隐藏启动的最流行技术是进程注入。顾名思义，这种技术是将代码注入到另外一个正在运行的进程中，而被注入的进程会不知不觉地运行注入的代码
C.DLL注入是进程注入的一种形式，它强迫一个远程进程加载恶意DLL程序，同时它也是最常使用的秘密加载技术
D.直接注入比DLL注入更加灵活，但是要想注入的代码在不对宿主进程产生副作用的前提下成功运行，直接注入需要大量的定制代码。这种技术可以被用来注入编译过的代码，但更多的时候，它用来注入shellcode
资料:

8.下列概念说法错误的是（）。
A.内存映射窗口（View→Memory）显示了被调用程序分配的使用内存块
B.基地址重定位是指Windows中的一个模块没有被加载到其预定基地址时发生的情况
C.Windows中的所有PE文件都有一个预定的基地址，它在PE文件头中被称为映像基地址
D.使用相对地址，无论被加载到内存的哪个位置，所有指令都能正常工作
资料:

9.当一个库被链接到可执行程序时，所有这个库中的代码都会复制到可执行程序中去，这种链接方法是（）。
A.静态链接
B.动态链接
C.运行时链接
D.转移链接
资料:

10.加法和减法是从目标操作数中加上或减去（）个值。
A.0
B.1
C.2
D.3
资料:

11.源代码通过（）后形成可执行文件。
A.汇编
B.编译
C.连接
D.编译和连接
资料:

12.Base64编码将二进制数据转化成（）个字符的有限字符集。
A.16
B.32
C.48
D.64
资料:

13.进程浏览器的功能不包括（）。
A.比较进程浏览器中的DLL列表与在Dependency Walker工具中显示的导入DLL列表来判断一个DLL是否被加载到进程
B.单击验证按钮，可以验证磁盘上的镜像文件是否具有微软的签名认证
C.比较运行前后两个注册表的快照，发现差异
D.一种快速确定一个文档是否恶意的方法，就是打开进程浏览器，然后打开文档。若文档启动了任意进程，你能进程浏览器中看到，并能通过属性窗口中的镜像来定位恶意代码在磁盘上的位置。
资料:

14.OllyDbg的硬件断点最多能设置（）个。
A.3个
B.4个
C.5个
D.6个
资料:

15.（）能够将一个被调试的进程转储为一个PE文件
A.OllyDump
B.调试器隐藏插件
C.命令行
D.书签
资料:

16.OllyDbg最多同时设置（）个内存断点。
A.1个
B.2个
C.3个
D.4个
资料:

17.当单击Resource Hacker工具中分析获得的条目时，看不到的是
A.字符串
B.二进制代码
C.图标
D.菜单
资料:

18.Hook技术的应用不包括（）
A.实现增强的二次开发或补丁
B.信息截获
C.安全防护
D.漏洞分析
资料:

19.以下对各断点说法错误的是（）。
A.查看堆栈中混淆数据内容的唯一方法时：待字符串解码函数执行完成后，查看字符串的内容，在字符串解码函数的结束位置设置软件断点
B.条件断点是软件断点中的一种，只有某些条件得到满足时这个断点才能中断执行程序
C.硬件断点非常强大，它可以在不改变你的代码、堆栈以及任何目标资源的前提下进行调试
D.OllyDbg只允许你一次设置一个内存断点，如果你设置了一个新的内存断点，那么之前设置的内存断点就会被移除
资料:

20.Windows?钩子（HOOK）指的是（）
A.钩子是指?Windows?窗口函数
B.钩子是一种应用程序
C.钩子的本质是一个用以处理消息的函数，用来检查和修改传给某程序的信息
D.钩子是一种网络通信程序
资料:

21.而0x52000000对应0x52这个值使用的是（）字节序。
A.小端
B.大端
C.终端
D.前端
资料:

22.以下Windows API类型中（）是表示一个将会被Windows API调用的函数。
A.WORD
B.DWORD
C.Habdles
D.Callback
资料:

23.在WinDbg的搜索符号中， （）命令允许你使用通配符来搜索函数或者符号。
A.bu
B.x
C.Ln
D.dt
资料:

24.以下不是GFI沙箱的缺点的是（）。
A.沙箱只能简单地运行可执行程序，不能带有命令行选项
B.沙箱环境的操作系统对恶意代码来说可能不正确
C.沙箱不能提供安全的虚拟环境
D.恶意代码如果检测到了虚拟机，将会停止运行，或者表现异常。不是所有的沙箱都能完善地考虑这个问题
资料:

25.PE文件中的分节中唯一包含代码的节是（）。
A..rdata
B..text
C..data
D..rsrc
资料:

二、多选题 (共 10 道试题,共 20 分)
26.% System Root%\system32\drivers\tcpudp.sys中的登陆记录都包括（）
A.用户名
B.Windows域名称
C.密码
D.旧密码
资料:

27.运行计算机病毒，监控病毒的行为，需要一个安全、可控的运行环境的原因是什么
A.恶意代码具有传染性
B.可以进行隔离
C.恶意代码难以清除
D.环境容易搭建
资料:

28.恶意代码的存活机制有（）
A.修改注册表
B.特洛伊二进制文件
C.DLL加载顺序劫持
D.自我消灭
资料:

29.对下面汇编代码的分析正确的是（）。
A.mov [ebp+var_4],0对应循环变量的初始化步骤
B.add eax,1对应循环变量的递增，在循环中其最初会通过一个跳转指令而跳过
C.比较发生在cmp处，循环决策在jge处通过条件跳转指令而做出
D.在循环中，通过一个无条件跳转jmp，使得循环变量每次进行递增。
资料:

30.INetSim可以模拟的网络服务有（）。
A.HTTP
B.FTP
C.IRC
D.DNS
资料:

31.名字窗口，列举哪些内存地址的名字
A.函数名
B.代码的名字
C.数据的名字
D.字符串
资料:

32.后门的功能有
A.操作注册表
B.列举窗口
C.创建目录
D.搜索文件
资料:

33.微软fastcall约定备用的寄存器是（）。
A.EAX
B.ECX
C.EDX
D.EBX
资料:

34.恶意代码编写者可以挂钩一个特殊的 Winlogon事件,比如()
A.登录
B.注销
C.关机
D.锁屏
资料:

35.以下是句柄是在操作系统中被打开或被创建的项的是
A.窗口
B.进程
C.模块
D.菜单
资料:

三、资料来源：谋学网（www.mouxue.com） (共 15 道试题,共 30 分)
36.在 XOR加密中，逆向解密与加密不是使用同一函数。
资料:错误

37.微软Visual Studio和GNU编译集合（GCC）。前者，adder函数和printf的函数在调用前被压到栈上。而后者，参数在调用之前被移动到栈上。
资料:正确

38.cmp指令不设置标志位，其执行结果是ZF和CF标志位不发生变化。
资料:错误

39.应用程序可能包含处理INT3异常的指令,但附加调试器到程序后,应用程序将获得首先处理异常的权限。
资料:错误

40.CreateFile（）这个函数被用来创建和打开文件。
资料:正确

41.这种进程替换技术让恶意代码与被替换进程拥有相同的特权级。
资料:正确

42.Netcat被称为"TCP/IP协议栈瑞士军刀"，可以被用在支持端口扫描、隧道、代理、端口转发等的对内对外连接上。在监听模式下，Netcat充当一个服务器，而在连接模式下作为一个客户端。Netcat从标准输入得到数据进行网络传输，而它得到的数据，又可以通过标准输出显示到屏幕上。
资料:正确

43.每一个Hook都有一个与之相关联的指针列表，称之为钩子链表，由系统来维护
资料:正确

44.底层远程钩子要求钩子例程被保护在安装钩子的进程中。
资料:正确

45.OllyDbg中内存断点一次只能设置一个，而硬件断点可以设置4个。
资料:正确

46.机器码层由操作码组成，操作码是一些二进制形式的数字。
资料:错误

47.当恶意代码编写者想要将恶意代码伪装成一个合法进程，可以使用一种被称为进程注入的方法，将一个可执行文件重写到一个运行进程的内存空间。
资料:错误

48.在进程中加载的DLL的位置和在IDA Pro中的地址不同，这可能是及地址重定向的结果
资料:正确

49..text节中的操作码都会驻留在内存中。
资料:正确

50.只有断点才能产生异常
资料:错误