![南开22秋学期《计算机病毒分析》在线作业[答案][答案]](/uploads/allimg/240110/b96b57ecb653d9dfd948f441aa4037c5.jpg)
正确答案:A
正确答案:A
正确答案:C
22秋学期(高起本1709-2103、全层次2109-2103)《计算机病毒分析》在线作业-00002
正确答案:D
正确答案:C
正确答案:D
正确答案:B
试卷总分:100 得分:100
一、单选题 (共 25 道试题,共 50 分)
1.()是一把双刃剑,可以用来分析内部网络、调试应用程序问题,也可以用来嗅探密码、监听在线聊天。
A.ApateDNS
正确答案:D
正确答案:C
B.Netcat
C.INetSim
D.Wireshark
正确答案:D
正确答案:A
2.PE文件中的分节中唯一包含代码的节是()。
A..rdata
正确答案:C
正确答案:C
正确答案:A
正确答案:A
B..text
C..data
D..rsrc
正确答案:A
正确答案:A
3.单步调试是通过( )实现的
A.每条代码之前添加软件断点
B.每条代码之前添加硬件断点
C.标志寄存器中的陷阱标志( trap flag)
D.标志寄存器中的zf标志位
正确答案:D
正确答案:D
正确答案:A
正确答案:A
正确答案:D
正确答案:A
正确答案:C
正确答案:C
4.以下不是恶意代码分析的目标的是()。
A.确定一个可疑的二进制程序到底可以做什么
B.如何在网络上检测它
C.恶意代码本身的特性
D.如何衡量并消除它所带来的损害
正确答案:B
正确答案:D
5.木马与病毒的重大区别是()。
A.木马会自我复制
B.木马具有隐蔽性
C.木马不具感染性
D.木马通过网络传播
正确答案:B
正确答案:B
6.在以下寄存器中用于定位要执行的下一条指令的寄存器是()。
A.通用寄存器
B.段寄存器
C.状态寄存器
D.指令指针
正确答案:D
正确答案:B
7.恶意代码指的是()。
A.计算机病毒
B.间谍软件
C.内核嵌套
D.任何对用户、计算机或网络造成破坏的软件
正确答案:A
正确答案:A
8.()是指Windows中的一个模块没有被加载到其预定基地址时发生的情况。
正确答案:B
正确答案:D
A.内存映射
正确答案:D
B.基地址重定位
C.断点
D.跟踪
正确答案:D
正确答案:B
9.网络黑客产业链是指黑客们运用技术手段入侵服务器获取站点权限以及各类账户信息并从中谋取()的一条产业链。
A.非法经济利益
B.经济效益
C.效益
D.利润
正确答案:A
正确答案:A
10.在通用寄存器中,()是基址寄存器。
A.EAX
B.EBX
C.ECX
D.EDX
正确答案:A
正确答案:B
正确答案:D
正确答案:D
正确答案:A
11.OllyDbg最多同时设置()个内存断点。
正确答案:A
正确答案:A
正确答案:C
A.1个
B.2个
C.3个
D.4个
正确答案:D
正确答案:A
12.以下说法错误的是()。
A.OllyDbg可以很容易修改实时数据,如寄存器和标志。它也可以将汇编形式的修补代码直接插入到一个程序
正确答案:D
正确答案:C
B.OllyDbg可以使用00项或nop指令填充程序
正确答案:D
正确答案:B
C.键单击高亮的条件跳转指令,然后选择Binary→Fill with NOPs,该操作产生的结果时NOP指令替换了JNZ指令,这个过程会把那个位置上的NOP永久保存在磁盘上,意味着恶意代码以后会接受任意输入的密钥
D.当异常发生时,OllyDbg会暂停运行,然后你可以使用进入异常、跳过异常、运行异常处理 等方法,来决定是否将异常转移到应用程序处理
正确答案:D
正确答案:B
13.捕获Poison Ivy为shellcode分配内存的最好方法是()。
正确答案:D
正确答案:B
A.软件断点
B.硬件断点
C.内存断点
D.条件断点
正确答案:C
正确答案:D
14.当调试可以修改自身的代码的代码时,应该设置什么类型的断点()
A.软件执行断点
B.硬件执行断点
C.条件断点
D.非条件断点
正确答案:D
正确答案:C
正确答案:D
正确答案:C
15.以下注册表根键中()保存对本地机器全局设置。
A.HKEY_LOCAL_MACHINE(HKLM)
B.HKEY_CURRENT_USER(HKCU)
C.HKEY_CLASSES_ROOT
D.HKEY_CURRENT_CONFIG
正确答案:B
正确答案:D
16.()是一种设置自身或其他恶意代码片段以达到即时或将来秘密运行的恶意代码。
A.后门
B.下载器
C.启动器
D.内核嵌套
正确答案:C
正确答案:A
17.对以下代码分析错误的是()。
A.jnz为条件跳转,而jmp为无条件跳转
B.while循环与for循环的汇编代码非常相似,唯一的区别在于它缺少一个递增
C.while循环停止重复执行的唯一方式,就是那个期望发生的条件跳转
D.while循环总要进入一次
正确答案:C
正确答案:B
21.以下不是GFI沙箱的缺点的是()。
A.沙箱只能简单地运行可执行程序,不能带有命令行选项
B.沙箱环境的操作系统对恶意代码来说可能不正确
C.沙箱不能提供安全的虚拟环境
D.恶意代码如果检测到了虚拟机,将会停止运行,或者表现异常。不是所有的沙箱都能完善地考虑这个问题
正确答案:B
正确答案:D
19.函数调用约定中,参数是从右到左按序被压入栈,当函数完成时由被调用函数清理栈,并且将返回值保存在EAX中的是()。
A.cdecl
正确答案:A
正确答案:B
B.stdcall
正确答案:C
正确答案:D
正确答案:C
C.fastcall
D.压栈与移动
正确答案:A
正确答案:B
20.当想要在函数调用使用特定的参数时才发生中断,应该设置什么类型的断点()
A.软件执行断点
B.硬件执行断点
C.条件断点
D.非条件断点
21.以下逻辑运算符中是位移指令的是()
A.OR、AND
B.Shr和shl
正确答案:A
正确答案:C
C.ror和rol
D.XOR
正确答案:C
正确答案:D
22.要插入一个跨反汇编窗口,并且在任何时候只要存在对你添加注释的地址的交叉引用就重复回显,应该按()键。
A.;
B.
C.shift
D.ctrl
正确答案:A
正确答案:A
23.多数DLL会在PE头的()打包一个修订位置的列表。
正确答案:B
正确答案:A
A..text节
B..data节
正确答案:D
正确答案:B
C..rsrc节
D..reloc节
正确答案:A
正确答案:A
24.Shell是一个命令解释器,它解释()的命令并且把它们送到内核。
A.系统输入
B.用户输入
C.系统和用户输入
D.输入
正确答案:A
正确答案:C
25.下面说法错误的是()。
A.启动器通常在text节存储恶意代码,当启动器运行时,它在运行嵌入的可执行程序或者DLL程序之前,从该节将恶意代码提取出来
正确答案:C
正确答案:A
B.隐藏启动的最流行技术是进程注入。顾名思义,这种技术是将代码注入到另外一个正在运行的进程中,而被注入的进程会不知不觉地运行注入的代码
C.DLL注入是进程注入的一种形式,它强迫一个远程进程加载恶意DLL程序,同时它也是最常使用的秘密加载技术
正确答案:A
正确答案:D
D.直接注入比DLL注入更加灵活,但是要想注入的代码在不对宿主进程产生副作用的前提下成功运行,直接注入需要大量的定制代码。这种技术可以被用来注入编译过的代码,但更多的时候,它用来注入shellcode
正确答案:D
正确答案:B
正确答案:C
正确答案:A
二、多选题 (共 10 道试题,共 20 分)
26.微软fastcall约定备用的寄存器是()。
A.EAX
B.ECX
C.EDX
D.EBX
正确答案:A
正确答案:A
27.以下是分析加密算法目的的是
A.隐藏配置文件信息。
B.窃取信息之后将它保存到一个临时文件。
C.存储需要使用的字符串,并在使用前对其解密。
D.将恶意代码伪装成一个合法的工具,隐藏恶意代码
正确答案:C
正确答案:C
28.对下面汇编代码的分析正确的是()。
A.mov [ebp+var_4],0对应循环变量的初始化步骤
B.add eax,1对应循环变量的递增,在循环中其最初会通过一个跳转指令而跳过
正确答案:A
正确答案:C
C.比较发生在cmp处,循环决策在jge处通过条件跳转指令而做出
D.在循环中,通过一个无条件跳转jmp,使得循环变量每次进行递增。
正确答案:D
正确答案:A
29.恶意代码常用注册表()
A.存储配置信息
B.收集系统信息
C.永久安装自己
D.网上注册
正确答案:D
正确答案:B
30.以下的恶意代码行为中,属于后门的是()
A.netcat反向shell
B.windows反向shell
正确答案:D
正确答案:B
C.远程控制工具
D.僵尸网络
正确答案:C
正确答案:B
31.后门的功能有
A.操作注册表
B.列举窗口
C.创建目录
D.搜索文件
正确答案:B
正确答案:A
32.对一个监听入站连接的服务应用,顺序是()函数,等待客户端的连接。
A.socket、bind、listen和accept
正确答案:B
正确答案:B
正确答案:C
B.socket、bind、accept和listen
正确答案:D
正确答案:B
正确答案:C
C.bind、sockect、listen和accept
正确答案:A
正确答案:C
正确答案:A
D.accept、bind、listen和socket
正确答案:A
正确答案:D
正确答案:B
33.OllyDbg提供了多种机制来帮助分析,包括下面几种()。
正确答案:A
正确答案:A
A.日志
B.监视
C.帮助
D.标注
正确答案:A
正确答案:B
34.以下是句柄是在操作系统中被打开或被创建的项的是
A.窗口
B.进程
C.模块
D.菜单
正确答案:C
正确答案:A
35.% System Root%system32drivers cpudp.sys中的登陆记录都包括()
正确答案:C
正确答案:C
A.用户名
B.Windows域名称
正确答案:A
正确答案:A
C.密码
D.旧密码
正确答案:A
正确答案:A
三、判断题 (共 15 道试题,共 30 分)
36.在文件系统函数中CreateFile这个函数被用来创建和打开文件。
37.在x86汇编语言中,一条指令由一个助记符,以及零个或多个操作数组成。
38.最近安装的钩子放在链的末尾,而最早安装的钩子放在前头,也就是先加入的先获得控制权
39.Run to Selection选项表示在到达选择的指令之前一直运行。如果选择的指令不被执行,则被调试程序会一直运行下去。
40.为了在用户模式中操作硬件或改变内核中的状态,必须依赖Windows API。
正确答案:A
正确答案:B
41.应用程序可能包含处理INT3异常的指令,但附加调试器到程序后,应用程序将获得首先处理异常的权限。
42.单步执行代码时,调试器每执行一条指令就会产生一次中断。
43.对于调用频繁的API函数,仅当特定参数传给它时才中断程序执行,这种情况下内存断点特别有用。
44.WinDbg不允许覆盖数据结构上的数据。
正确答案:C
正确答案:C
45.用户调试比起内核调试模式来说更加复杂,因为进行用户调试时,操作系统将被冻结。
46.重新编写函数和使用恶意代码中存在的函数是两种基本方法重现恶意代码中的加密或解密函数。
47.恶意代码可以通过创建一个新进程,或修改一个已存在的进程,来执行当前程序之外的代码。
48.大众性的恶意代码比针对性恶意代码具有更大的安全威胁,你的安全产品很可能不会帮你们防御它们。
49.数组是相似数据项的无序集合
50.Base64加密用ASCII字符串格式表示十六进制数据。
南开22秋学期《计算机病毒分析》在线作业[答案]历年参考题目如下:
《计算机病毒分析》19秋期末考核-0001
一、单选题 (共 15 道试题,共 30 分)
1.下列是抓包的工具是()。
A.Wireshark
B.Netcat
C.INetSim
D.ApateDNS
正确答案:D
2.注入shellcode属于()。
正确答案:C
A.钩子注入
B.进程注入
C.直接注入
D.DLL注入
正确答案:D
3.以下哪个选项属于木马()。
A.震网病毒
B.熊猫烧香
C.灰鸽子
D.WannaCry
正确答案:A
4.Strings程序搜索()或以上连续的ASCII或Unicode字符,并以终结符结尾的可打印字符串。
正确答案:A
A.3个
B.2个
C.1个
D.0个
正确答案:B
5.OllyDbg最多同时设置()个内存断点。
A.4个
B.3个
C.2个
D.1个
正确答案:C
6.OllyDbg使用了一个名为()的虚拟程序来加载DLL。
正确答案:A
A.user32.dll
正确答案:A
B.rundll32.exe
正确答案:A
C.loaddll.exe
正确答案:B
D.kernel32.dll
正确答案:A
7.堆是程序运行时动态分配的内存,用户一般通过()、new等函数申请内存。
A.scanf
B.printf
C.malloc
D.free
正确答案:C
8.病毒、()和木马是可导致计算机和计算机上的信息损坏的恶意程序。
A.蠕虫
B.程序
C.数据
D.代码
正确答案:A
9.WinDbg的内存窗口支持通过命令来浏览内存,以下WinDbg读选项中,()选项描述读取内存数据并以内存32位双字显示。
正确答案:C
A.du
正确答案:D
B.dd
正确答案:D
C.dc
正确答案:D
D.da
正确答案:B
10.进程替换的关键是以()创建一个进程。
A.运行状态
B.等待状态
C.挂起状态
D.就绪状态
正确答案:D
11.用IDA Pro对一个程序进行反汇编时,字节偶尔会被错误的分类。可以对错误处按()键来取消函数代码或数据的定义。
正确答案:B
A.shift+D键
正确答案:C
正确答案:C
B.U键
C.D键
D.C键
正确答案:A
12.以下那种互联网连接模式在宿主机和客户机之间创建了一个隔离的私有局域网
A.bridged
正确答案:A
B.NET
C.Host-only
D.Custom
正确答案:A
13.APC可以让一个线程在它正常的执行路径运行之前执行一些其他的代码。每一个线程都有一个附加的APC队列,它们在线程处于()时被处理。
A.阻塞状态
B.计时等待状态
C.被终止状态
D.可警告的等待状态
正确答案:A
14.()是一种设置自身或其他恶意代码片段以达到即时或将来秘密运行的恶意代码。
A.启动器
B.后门
C.内核嵌套
D.下载器
正确答案:A
15.反病毒软件主要是依靠()来分析识别可疑文件。
A.病毒文件种类
B.病毒文件特征库
C.文件类型
D.文件名
正确答案:C
二、多选题 (共 10 道试题,共 20 分)
16.下面属于OllyDbg插件的有()。
正确答案:C
A.调试器隐藏插件
B.命令行
C.书签
D.OllyDump
正确答案:A
17.恶意代码编写者可以挂钩一个特殊的 Winlogon事件,比如()
A.锁屏
B.登录
C.注销
D.关机
正确答案:C
18.对一个监听入站连接的服务应用,顺序是()函数,等待客户端的连接。
A.socket、bind、listen和accept
B.socket、bind、accept和listen
C.bind、sockect、listen和accept
D.accept、bind、listen和socket
19.以下是句柄是在操作系统中被打开或被创建的项的是
A.进程
B.菜单
C.窗口
D.模块
正确答案:A
20.名字窗口,列举哪些内存地址的名字
A.数据的名字
B.字符串
C.函数名
D.代码的名字
正确答案:B
21.调试器可以用来改变程序的执行方式。可以通过修改()方式来改变程序执行的方式。
A.修改程序本身
B.修改文件名
C.修改控制标志
D.修改指令指针
正确答案:C
22.运行计算机病毒,监控病毒的行为,需要一个安全、可控的运行环境的原因是什么
A.环境容易搭建
B.恶意代码难以清除
C.恶意代码具有传染性
D.可以进行隔离
正确答案:B
23.微软fastcall约定备用的寄存器是()。
A.EDX
B.ECX
C.EBX
D.EAX
正确答案:C
24.后门拥有一套通用的功能,都有以下那些功能?()
A.操作注册表
B.搜索文件
C.创建目录
D.列举窗口
正确答案:C
25.()是Windows API的标准调用约定
正确答案:C
A.压栈与移动
B.stdcall
C.fastcall
D.cdecl
正确答案:D
三、判断题 (共 10 道试题,共 20 分)
26.微软符号也包含多个数据结构的类型信息,但并不包括没有被公开的内部类型。
27.C键是定义原始字节为数据
28.动态分析基础技术使用调试器来检查一个恶意可执行程序运行时刻的内部状态。
29.我们怀疑一个XOR加密的可执行文件时,其中针对单字节加密的一种对策是暴力破解。
30.EIP指令指针的唯一作用就是告诉处理器接下来干什么。
31.标准加密库比较容易探测不是使用标准的加密存在一些潜在的漏洞。
32.在合法的PE文件中,可以带有可执行文件
33.数组是相似数据项的无序集合
34.蠕虫或计算机病毒是可以自我复制和感染其他计算机的恶意代码。
35.OllyDbg是多线程的。
正确答案:A
四、计算题 (共 1 道试题,共 9 分)
