《南开大学21春学期(1709、1803、1809、1903、1909、2003、2009、2103)《计算机病毒分析》在线作业3》由会员分享,可在线阅读,更多相关《南开大学21春学期(1709、1803、1809、1903、1909、2003、2009、2103)《计算机病毒分析》在线作业3(8页珍藏版)》请在金锄头文库上搜索。
1、21春学期(1709、1803、1809、1903、1909、2003、2009、2103)计算机病毒分析在线作业试卷总分:100 得分:100一、单选题 (共 25 道试题,共 50 分)1.注入shellcode属于()。A.进程注入B.DLL注入C.钩子注入D.直接注入答案:D2.能调试内核的调试器是()A.OllyDbgB.IDA ProC.WinDbgD.Process Explorer答案:C3.进程浏览器的功能不包括()。A.比较进程浏览器中的DLL列表与在Dependency Walker工具中显示的导入DLL列表来判断一个DLL是否被加载到进程B.单击验证按钮,可以验证磁盘上
2、的镜像文件是否具有微软的签名认证C.比较运行前后两个注册表的快照,发现差异D.一种快速确定一个文档是否恶意的方法,就是打开进程浏览器,然后打开文档。若文档启动了任意进程,你能进程浏览器中看到,并能通过属性窗口中的镜像来定位恶意代码在磁盘上的位置。答案:C4.以下那个窗口是操作和分析二进制的主要位置,也是反汇编代码所在的地方A.函数窗口B.结构窗口C.反汇编窗口D.二进制窗口答案:C5.Base64编码将二进制数据转化成()个字符的有限字符集。A.16B.32C.48D.64答案:D6.当代码库被链接时,宿主操作系统会在程序被装载时搜索所需的代码库,如果程序调用了被链接的库函数,这个函数会在代码
3、库中执行,这种链接方法是()。A.静态链接B.动态链接C.运行时链接D.转移链接答案:B7.OllyDbg的硬件断点最多能设置()个。A.3个B.4个C.5个D.6个答案:B8.Shell是一个命令解释器,它解释()的命令并且把它们送到内核。A.系统输入B.用户输入C.系统和用户输入D.输入答案:B9.以下说法错误的是()。A.OllyDbg可以很容易修改实时数据,如寄存器和标志。它也可以将汇编形式的修补代码直接插入到一个程序B.OllyDbg可以使用00项或nop指令填充程序C.键单击高亮的条件跳转指令,然后选择BinaryFill with NOPs,该操作产生的结果时NOP指令替换了JN
4、Z指令,这个过程会把那个位置上的NOP永久保存在磁盘上,意味着恶意代码以后会接受任意输入的密钥D.当异常发生时,OllyDbg会暂停运行,然后你可以使用进入异常、跳过异常、运行异常处理 等方法,来决定是否将异常转移到应用程序处理答案:C10.以下不是GFI沙箱的缺点的是()。A.沙箱只能简单地运行可执行程序,不能带有命令行选项B.沙箱环境的操作系统对恶意代码来说可能不正确C.沙箱不能提供安全的虚拟环境D.恶意代码如果检测到了虚拟机,将会停止运行,或者表现异常。不是所有的沙箱都能完善地考虑这个问题答案:C11.下列是抓包的工具是()。A.ApateDNSB.NetcatC.INetSimD.Wi
5、reshark答案:D12.以下逻辑运算符中是位移指令的是()A.OR、ANDB.Shr和shlC.ror和rolD.XOR答案:C13.要插入一个跨反汇编窗口,并且在任何时候只要存在对你添加注释的地址的交叉引用就重复回显,应该按()键。A.;B.:C.shiftD.ctrl答案:A14.以下不是检测SSDT挂钩的方法是A.遍历SSDT表B.使用查杀病毒的软件C.查找异常的函数入口地址D.ntoskrnl.exe的地址空间是从804d7000到806cd580答案:B15.()能够将一个被调试的进程转储为一个PE文件A.OllyDumpB.调试器隐藏插件C.命令行D.书签答案:A16.WinI
6、Net API实现了()层的协议。A.网络层B.数据链路层C.应用层D.传输层答案:C17.轰动全球的震网病毒是()。A.木马B.蠕虫病毒C.后门D.寄生型病毒答案:B18.在通用寄存器中,()是基址寄存器。A.EAXB.EBXC.ECXD.EDX答案:B19.线程创建需要系统开销,()能够调用一个现有的线程。A.进程注入B.直接注入C.Hook注入D.APC注入答案:D20.当要判断某个内存地址含义时,应该设置什么类型的断点()A.软件执行断点B.硬件执行断点C.条件断点D.非条件断点答案:B21.加法和减法是从目标操作数中加上或减去()个值。A.0B.1C.2D.3答案:B22.若依次压入
7、数字1、2、3、4,则第二次弹出来的会是()。A.1B.2C.3D.4答案:B23.当想要在函数调用使用特定的参数时才发生中断,应该设置什么类型的断点()A.软件执行断点B.硬件执行断点C.条件断点D.非条件断点答案:C24.以下注册表根键中()保存对本地机器全局设置。A.HKEY_LOCAL_MACHINE(HKLM)B.HKEY_CURRENT_USER(HKCU)C.HKEY_CLASSES_ROOTD.HKEY_CURRENT_CONFIG答案:A25.GFI沙箱生成报告不包括哪个小节()。A.分析摘要B.文件活动C.注册表D.程序功能答案:D二、多选题 (共 10 道试题,共 20
8、分)26.恶意代码作者如何使用DLL()多选A.保存恶意代码B.通过使用Windows DLLC.控制内存使用DLLD.通过使用第三方DLL答案:ABD27.以下对个各个插件说法正确的是()。A.OllyDump是OllyDbg最常使用的插件,它能够将一个被调试的进程转储成一个PE文件B.为了防止恶意代码使用反调试技术,恶意代码分析人员通常在分析恶意代码期间,一直运行调试器隐藏插件C.OllyDbg的命令行插件允许你用命令行来使用OllyDbgD.OllyDbg默认情况下自带书签插件,书签插件可以将一个内存位置加到书签中,利用书签,下次不需要记住就可以轻松获取那个内存地址答案:ABCD28.O
9、llyDbg支持的跟踪功能有()。A.标准回溯跟踪B.堆栈调用跟踪C.运行跟踪D.边缘跟踪答案:ABC29.以下的恶意代码行为中,属于后门的是()A.netcat反向shellB.windows反向shellC.远程控制工具D.僵尸网络答案:ABCD30.后门拥有一套通用的功能,都有以下那些功能?()A.操作注册表B.列举窗口C.创建目录D.搜索文件答案:ABCD31.名字窗口,列举哪些内存地址的名字A.函数名B.代码的名字C.数据的名字D.字符串答案:ABCD32.IDA Pro 都有以下什么功能()。A.识别函数B.标记函数C.划分出局部变量D.划分出参数答案:ABCD33.INetSim
10、可以模拟的网络服务有()。A.HTTPB.FTPC.IRCD.DNS答案:ABCD34.微软fastcall约定备用的寄存器是()。A.EAXB.ECXC.EDXD.EBX答案:BC35.以下哪些是常用的虚拟机软件A.VMware PlayerB.VMware StationC.VMware FusionD.VirtualBox答案:ABCD三、判断题 (共 15 道试题,共 30 分)36.EIP指令指针的唯一作用就是告诉处理器接下来干什么。答案:正确37.检测加密的基本方法是使用可以搜索常见加密常量的工具,我们可以使用IDA Pro的FindCrypt2和Krypto ANALyzer插件
11、。答案:正确 38.WinDbg的内存窗口不支持通过命令来浏览内存。答案:错误39.导入表窗口能够列举一个文件的所有导入函数。答案:正确40.只要使用了KnownDLL,所有的DLL都会收到保护。答案:错误41.恶意的应用程序会挂钩一个经常使用的Windows消息。答案:错误42.微软Visual Studio和GNU编译集合(GCC)。前者,adder函数和printf的函数在调用前被压到栈上。而后者,参数在调用之前被移动到栈上。答案:正确43.可以在用户模式下无限制地设置软件断点。答案:正确44.恶意代码与驱动通信最常使用的请求是DeviceIoControl。答案:正确45.与导入函数类似,DLL和EXE的导出函数,是用来与其他程序和代码进行交互时所使用的。答案:正确46.调试器允许你查看任意内存地址、寄存器的内容以及每个函数的参数答案:正确47.WinDbg支持在命令行中使用简单的算数操作符,对内存和寄存器进行直接的操作,如加减乘除。答案:正确48.异常是恶意代码、恶意代码分析或者调试所独有的。答案:错误49.D键是定义原始字节为代码答案:错误在线考试、网考小企鹅:216825494850.所有服务都存在于注册表中,如果一个服务的注册表键被移除,则这个服务依旧能能启动。答案:错误
