南开22春学期(高起本1709、全层次1803-2103)《计算机病毒分析》在线作业【标准答案】

作者:佚名 字体:[增加 减小] 来源:互联网 时间:2022-09-01 11:40

22春学期(高起本1709-1803、全层次1809-2103)《计算机病毒分析》在线作业-00002 试卷总分:100 得分:100 一、单选题 (共 25 道试题,共 50 分) 1.WinDbg的内存窗口支持通过命令来浏览内存,以下
22春学期(高起本1709-1803、全层次1809-2103)《计算机病毒分析》在线作业-00002
试卷总分:100  得分:100
一、单选题 (共 25 道试题,共 50 分)
1.WinDbg的内存窗口支持通过命令来浏览内存,以下WinDbg读选项中,()选项描述读取内存数据并以内存32位双字显示。
A.da
B.du
C.dd
D.dc
 
2.直接将恶意代码注入到远程进程中的是()。
A.进程注入
B.DLL注入
C.钩子注入
D.直接注入
 
3.以下哪个指令可以写入DWord格式的数据。
A.ea
B.eu
C.ed
D.ee
 
4.用IDA Pro对一个程序进行反汇编时,字节偶尔会被错误的分类。可以对错误处按()键来取消函数代码或数据的定义。
A.C键
B.D键
C.shift+D键
D.U键
 
5.Shell是一个命令解释器,它解释()的命令并且把它们送到内核。
A.系统输入
B.用户输入
C.系统和用户输入
D.输入
 
6.当想要在函数调用使用特定的参数时才发生中断,应该设置什么类型的断点()
A.软件执行断点
B.硬件执行断点
C.条件断点
D.非条件断点
 
7.下面说法错误的是()。
A.启动器通常在text节存储恶意代码,当启动器运行时,它在运行嵌入的可执行程序或者DLL程序之前,从该节将恶意代码提取出来
B.隐藏启动的最流行技术是进程注入。顾名思义,这种技术是将代码注入到另外一个正在运行的进程中,而被注入的进程会不知不觉地运行注入的代码
C.DLL注入是进程注入的一种形式,它强迫一个远程进程加载恶意DLL程序,同时它也是最常使用的秘密加载技术
D.直接注入比DLL注入更加灵活,但是要想注入的代码在不对宿主进程产生副作用的前提下成功运行,直接注入需要大量的定制代码。这种技术可以被用来注入编译过的代码,但更多的时候,它用来注入shellcode
 
8.下列概念说法错误的是()。
A.内存映射窗口(View→Memory)显示了被调用程序分配的使用内存块
B.基地址重定位是指Windows中的一个模块没有被加载到其预定基地址时发生的情况
C.Windows中的所有PE文件都有一个预定的基地址,它在PE文件头中被称为映像基地址
D.使用相对地址,无论被加载到内存的哪个位置,所有指令都能正常工作
 
9.当一个库被链接到可执行程序时,所有这个库中的代码都会复制到可执行程序中去,这种链接方法是()。
A.静态链接
B.动态链接
C.运行时链接
D.转移链接
 
10.加法和减法是从目标操作数中加上或减去()个值。
A.0
B.1
C.2
D.3
 
11.源代码通过()后形成可执行文件。
A.汇编
B.编译
C.连接
D.编译和连接
 
12.Base64编码将二进制数据转化成()个字符的有限字符集。
A.16
B.32
C.48
D.64
 
13.进程浏览器的功能不包括()。
A.比较进程浏览器中的DLL列表与在Dependency Walker工具中显示的导入DLL列表来判断一个DLL是否被加载到进程
B.单击验证按钮,可以验证磁盘上的镜像文件是否具有微软的签名认证
C.比较运行前后两个注册表的快照,发现差异
D.一种快速确定一个文档是否恶意的方法,就是打开进程浏览器,然后打开文档。若文档启动了任意进程,你能进程浏览器中看到,并能通过属性窗口中的镜像来定位恶意代码在磁盘上的位置。
 
14.OllyDbg的硬件断点最多能设置()个。
A.3个
B.4个
C.5个
D.6个
 
15.()能够将一个被调试的进程转储为一个PE文件
A.OllyDump
B.调试器隐藏插件
C.命令行
D.书签
 
16.OllyDbg最多同时设置()个内存断点。
A.1个
B.2个
C.3个
D.4个
 
17.当单击Resource Hacker工具中分析获得的条目时,看不到的是
A.字符串
B.二进制代码
C.图标
D.菜单
 
18.Hook技术的应用不包括()
A.实现增强的二次开发或补丁
B.信息截获
C.安全防护
D.漏洞分析
 
19.以下对各断点说法错误的是()。
A.查看堆栈中混淆数据内容的唯一方法时:待字符串解码函数执行完成后,查看字符串的内容,在字符串解码函数的结束位置设置软件断点
B.条件断点是软件断点中的一种,只有某些条件得到满足时这个断点才能中断执行程序
C.硬件断点非常强大,它可以在不改变你的代码、堆栈以及任何目标资源的前提下进行调试
D.OllyDbg只允许你一次设置一个内存断点,如果你设置了一个新的内存断点,那么之前设置的内存断点就会被移除
 
20.Windows?钩子(HOOK)指的是()
A.钩子是指?Windows?窗口函数
B.钩子是一种应用程序
C.钩子的本质是一个用以处理消息的函数,用来检查和修改传给某程序的信息
D.钩子是一种网络通信程序
 
21.而0x52000000对应0x52这个值使用的是()字节序。
A.小端
B.大端
C.终端
D.前端
 
22.以下Windows API类型中()是表示一个将会被Windows API调用的函数。
A.WORD
B.DWORD
C.Habdles
D.Callback
 
23.在WinDbg的搜索符号中, ()命令允许你使用通配符来搜索函数或者符号。
A.bu
B.x
C.Ln
D.dt
 
24.以下不是GFI沙箱的缺点的是()。
A.沙箱只能简单地运行可执行程序,不能带有命令行选项
B.沙箱环境的操作系统对恶意代码来说可能不正确
C.沙箱不能提供安全的虚拟环境
D.恶意代码如果检测到了虚拟机,将会停止运行,或者表现异常。不是所有的沙箱都能完善地考虑这个问题
 
25.PE文件中的分节中唯一包含代码的节是()。
A..rdata
B..text
C..data
D..rsrc
 
二、多选题 (共 10 道试题,共 20 分)
26.% System Root%\system32\drivers\tcpudp.sys中的登陆记录都包括()
A.用户名
B.Windows域名称
C.密码
D.旧密码
 
27.运行计算机病毒,监控病毒的行为,需要一个安全、可控的运行环境的原因是什么
A.恶意代码具有传染性
B.可以进行隔离
C.恶意代码难以清除
D.环境容易搭建
 
28.恶意代码的存活机制有()
A.修改注册表
B.特洛伊二进制文件
C.DLL加载顺序劫持
D.自我消灭
 
29.对下面汇编代码的分析正确的是()。
A.mov [ebp+var_4],0对应循环变量的初始化步骤
B.add eax,1对应循环变量的递增,在循环中其最初会通过一个跳转指令而跳过
C.比较发生在cmp处,循环决策在jge处通过条件跳转指令而做出
D.在循环中,通过一个无条件跳转jmp,使得循环变量每次进行递增。
 
30.INetSim可以模拟的网络服务有()。
A.HTTP
B.FTP
C.IRC
D.DNS
 
31.名字窗口,列举哪些内存地址的名字
A.函数名
B.代码的名字
C.数据的名字
D.字符串
 
32.后门的功能有
A.操作注册表
B.列举窗口
C.创建目录
D.搜索文件
 
33.微软fastcall约定备用的寄存器是()。
A.EAX
B.ECX
C.EDX
D.EBX
 
34.恶意代码编写者可以挂钩一个特殊的 Winlogon事件,比如()
A.登录
B.注销
C.关机
D.锁屏
 
35.以下是句柄是在操作系统中被打开或被创建的项的是
A.窗口
B.进程
C.模块
D.菜单
 
三、判断题 (共 15 道试题,共 30 分)
36.在 XOR加密中,逆向解密与加密不是使用同一函数。
 
37.微软Visual Studio和GNU编译集合(GCC)。前者,adder函数和printf的函数在调用前被压到栈上。而后者,参数在调用之前被移动到栈上。
 
38.cmp指令不设置标志位,其执行结果是ZF和CF标志位不发生变化。
 
39.应用程序可能包含处理INT3异常的指令,但附加调试器到程序后,应用程序将获得首先处理异常的权限。
 
40.CreateFile()这个函数被用来创建和打开文件。
 
41.这种进程替换技术让恶意代码与被替换进程拥有相同的特权级。
 
42.Netcat被称为“TCP/IP协议栈瑞士军刀”,可以被用在支持端口扫描、隧道、代理、端口转发等的对内对外连接上。在监听模式下,Netcat充当一个服务器,而在连接模式下作为一个客户端。Netcat从标准输入得到数据进行网络传输,而它得到的数据,又可以通过标准输出显示到屏幕上。
 
43.每一个Hook都有一个与之相关联的指针列表,称之为钩子链表,由系统来维护
 
44.底层远程钩子要求钩子例程被保护在安装钩子的进程中。
 
45.OllyDbg中内存断点一次只能设置一个,而硬件断点可以设置4个。
 
46.机器码层由操作码组成,操作码是一些二进制形式的数字。
 
47.当恶意代码编写者想要将恶意代码伪装成一个合法进程,可以使用一种被称为进程注入的方法,将一个可执行文件重写到一个运行进程的内存空间。
 
48.在进程中加载的DLL的位置和在IDA Pro中的地址不同,这可能是及地址重定向的结果
 
49..text节中的操作码都会驻留在内存中。
 
50.只有断点才能产生异常
 
Tag:  

作业咨询:
点击这里给我发消息

论文咨询:
点击这里给我发消息

合作加盟:
点击这里给我发消息

服务时间:
8:30-24:00(工作日)