22秋学期(高起本1709-1803、全层次1809-2103)《计算机病毒分析》在线作业-00002 试卷总分:100 得分:100 一、单选题 (共 25 道试题,共 50 分) 1.()是一把双刃剑,可以用来分析内部网络、调试
22秋学期(高起本1709-1803、全层次1809-2103)《计算机病毒分析》在线作业-00002
试卷总分:100 得分:100
一、单选题 (共 25 道试题,共 50 分)
1.()是一把双刃剑,可以用来分析内部网络、调试应用程序问题,也可以用来嗅探密码、监听在线聊天。
A.ApateDNS
B.Netcat
C.INetSim
D.Wireshark
2.PE文件中的分节中唯一包含代码的节是()。
A..rdata
B..text
C..data
D..rsrc
3.单步调试是通过( )实现的
A.每条代码之前添加软件断点
B.每条代码之前添加硬件断点
C.标志寄存器中的陷阱标志( trap flag)
D.标志寄存器中的zf标志位
4.以下不是恶意代码分析的目标的是()。
A.确定一个可疑的二进制程序到底可以做什么
B.如何在网络上检测它
C.恶意代码本身的特性
D.如何衡量并消除它所带来的损害
5.木马与病毒的重大区别是()。
A.木马会自我复制
B.木马具有隐蔽性
C.木马不具感染性
D.木马通过网络传播
6.在以下寄存器中用于定位要执行的下一条指令的寄存器是()。
A.通用寄存器
B.段寄存器
C.状态寄存器
D.指令指针
7.恶意代码指的是()。
A.计算机病毒
B.间谍软件
C.内核嵌套
D.任何对用户、计算机或网络造成破坏的软件
8.()是指Windows中的一个模块没有被加载到其预定基地址时发生的情况。
A.内存映射
B.基地址重定位
C.断点
D.跟踪
9.网络黑客产业链是指黑客们运用技术手段入侵服务器获取站点权限以及各类账户信息并从中谋取()的一条产业链。
A.非法经济利益
B.经济效益
C.效益
D.利润
10.在通用寄存器中,()是基址寄存器。
A.EAX
B.EBX
C.ECX
D.EDX
11.OllyDbg最多同时设置()个内存断点。
A.1个
B.2个
C.3个
D.4个
12.以下说法错误的是()。
A.OllyDbg可以很容易修改实时数据,如寄存器和标志。它也可以将汇编形式的修补代码直接插入到一个程序
B.OllyDbg可以使用00项或nop指令填充程序
C.键单击高亮的条件跳转指令,然后选择Binary→Fill with NOPs,该操作产生的结果时NOP指令替换了JNZ指令,这个过程会把那个位置上的NOP永久保存在磁盘上,意味着恶意代码以后会接受任意输入的密钥
D.当异常发生时,OllyDbg会暂停运行,然后你可以使用进入异常、跳过异常、运行异常处理 等方法,来决定是否将异常转移到应用程序处理
13.捕获Poison Ivy为shellcode分配内存的最好方法是()。
A.软件断点
B.硬件断点
C.内存断点
D.条件断点
14.当调试可以修改自身的代码的代码时,应该设置什么类型的断点()
A.软件执行断点
B.硬件执行断点
C.条件断点
D.非条件断点
15.以下注册表根键中()保存对本地机器全局设置。
A.HKEY_LOCAL_MACHINE(HKLM)
B.HKEY_CURRENT_USER(HKCU)
C.HKEY_CLASSES_ROOT
D.HKEY_CURRENT_CONFIG
16.()是一种设置自身或其他恶意代码片段以达到即时或将来秘密运行的恶意代码。
A.后门
B.下载器
C.启动器
D.内核嵌套
17.对以下代码分析错误的是()。
A.jnz为条件跳转,而jmp为无条件跳转
B.while循环与for循环的汇编代码非常相似,唯一的区别在于它缺少一个递增
C.while循环停止重复执行的唯一方式,就是那个期望发生的条件跳转
D.while循环总要进入一次
18.以下不是GFI沙箱的缺点的是()。
A.沙箱只能简单地运行可执行程序,不能带有命令行选项
B.沙箱环境的操作系统对恶意代码来说可能不正确
C.沙箱不能提供安全的虚拟环境
D.恶意代码如果检测到了虚拟机,将会停止运行,或者表现异常。不是所有的沙箱都能完善地考虑这个问题
19.函数调用约定中,参数是从右到左按序被压入栈,当函数完成时由被调用函数清理栈,并且将返回值保存在EAX中的是()。
A.cdecl
B.stdcall
C.fastcall
D.压栈与移动
20.当想要在函数调用使用特定的参数时才发生中断,应该设置什么类型的断点()
A.软件执行断点
B.硬件执行断点
C.条件断点
D.非条件断点
21.以下逻辑运算符中是位移指令的是()
A.OR、AND
B.Shr和shl
C.ror和rol
D.XOR
22.要插入一个跨反汇编窗口,并且在任何时候只要存在对你添加注释的地址的交叉引用就重复回显,应该按()键。
A.;
B.:
C.shift
D.ctrl
23.多数DLL会在PE头的()打包一个修订位置的列表。
A..text节
B..data节
C..rsrc节
D..reloc节
24.Shell是一个命令解释器,它解释()的命令并且把它们送到内核。
A.系统输入
B.用户输入
C.系统和用户输入
D.输入
25.下面说法错误的是()。
A.启动器通常在text节存储恶意代码,当启动器运行时,它在运行嵌入的可执行程序或者DLL程序之前,从该节将恶意代码提取出来
B.隐藏启动的最流行技术是进程注入。顾名思义,这种技术是将代码注入到另外一个正在运行的进程中,而被注入的进程会不知不觉地运行注入的代码
C.DLL注入是进程注入的一种形式,它强迫一个远程进程加载恶意DLL程序,同时它也是最常使用的秘密加载技术
D.直接注入比DLL注入更加灵活,但是要想注入的代码在不对宿主进程产生副作用的前提下成功运行,直接注入需要大量的定制代码。这种技术可以被用来注入编译过的代码,但更多的时候,它用来注入shellcode
二、多选题 (共 10 道试题,共 20 分)
26.微软fastcall约定备用的寄存器是()。
A.EAX
B.ECX
C.EDX
D.EBX
27.以下是分析加密算法目的的是
A.隐藏配置文件信息。
B.窃取信息之后将它保存到一个临时文件。
C.存储需要使用的字符串,并在使用前对其解密。
D.将恶意代码伪装成一个合法的工具,隐藏恶意代码
28.对下面汇编代码的分析正确的是()。
A.mov [ebp+var_4],0对应循环变量的初始化步骤
B.add eax,1对应循环变量的递增,在循环中其最初会通过一个跳转指令而跳过
C.比较发生在cmp处,循环决策在jge处通过条件跳转指令而做出
D.在循环中,通过一个无条件跳转jmp,使得循环变量每次进行递增。
29.恶意代码常用注册表()
A.存储配置信息
B.收集系统信息
C.永久安装自己
D.网上注册
30.以下的恶意代码行为中,属于后门的是()
A.netcat反向shell
B.windows反向shell
C.远程控制工具
D.僵尸网络
31.后门的功能有
A.操作注册表
B.列举窗口
C.创建目录
D.搜索文件
32.对一个监听入站连接的服务应用,顺序是()函数,等待客户端的连接。
A.socket、bind、listen和accept
B.socket、bind、accept和listen
C.bind、sockect、listen和accept
D.accept、bind、listen和socket
33.OllyDbg提供了多种机制来帮助分析,包括下面几种()。
A.日志
B.监视
C.帮助
D.标注
34.以下是句柄是在操作系统中被打开或被创建的项的是
A.窗口
B.进程
C.模块
D.菜单
35.% System Root%\system32\drivers\tcpudp.sys中的登陆记录都包括()
A.用户名
B.Windows域名称
C.密码
D.旧密码
三、判断题 (共 15 道试题,共 30 分)
36.在文件系统函数中CreateFile这个函数被用来创建和打开文件。
37.在x86汇编语言中,一条指令由一个助记符,以及零个或多个操作数组成。
38.最近安装的钩子放在链的末尾,而最早安装的钩子放在前头,也就是先加入的先获得控制权
39.Run to Selection选项表示在到达选择的指令之前一直运行。如果选择的指令不被执行,则被调试程序会一直运行下去。
40.为了在用户模式中操作硬件或改变内核中的状态,必须依赖Windows API。
41.应用程序可能包含处理INT3异常的指令,但附加调试器到程序后,应用程序将获得首先处理异常的权限。
42.单步执行代码时,调试器每执行一条指令就会产生一次中断。
43.对于调用频繁的API函数,仅当特定参数传给它时才中断程序执行,这种情况下内存断点特别有用。
44.WinDbg不允许覆盖数据结构上的数据。
45.用户调试比起内核调试模式来说更加复杂,因为进行用户调试时,操作系统将被冻结。
46.重新编写函数和使用恶意代码中存在的函数是两种基本方法重现恶意代码中的加密或解密函数。
47.恶意代码可以通过创建一个新进程,或修改一个已存在的进程,来执行当前程序之外的代码。
48.大众性的恶意代码比针对性恶意代码具有更大的安全威胁,你的安全产品很可能不会帮你们防御它们。
49.数组是相似数据项的无序集合
50.Base64加密用ASCII字符串格式表示十六进制数据。
