《21春南开大学《计算机病毒分析》在线作业参考答案》由会员分享,可在线阅读,更多相关《21春南开大学《计算机病毒分析》在线作业参考答案(10页珍藏版)》请在金锄头文库上搜索。
1、21春南开大学计算机病毒分析在线作业参考答案以下注册表根键中()保存对本地机器全局设置。A.HKEY_LOCAL_MACHINE(HKLM)B.HKEY_CURRENT_USER(HKCU)C.HKEY_CLASSES_ROOTD.HKEY_CURRENT_CONFIG内存中的()节用于函数的局部变量和参数,以及控制程序执行流。A.数据B.堆C.代码D.栈当想要在函数调用使用特定的参数时才发生中断,应该设置什么类型的断点?()A.软件执行断点B.硬件执行断点C.条件断点D.非条件断点要插入一个跨反汇编窗口,并且在任何时候只要存在对你添加注释的地址的交叉引用就重复回显,应该按()键。A.;B.:
2、C.shiftD.ctrl下列是抓包的工具是()。A.ApateDNSB.NetcatC.INetSimD.Wireshark在图形模式中,以下哪种颜色的箭头表示的路径表示一个无条件跳转被采用了?()A.红色B.黄色C.蓝色D.绿色木马与病毒的重大区别是()。A.木马会自我复制B.木马具有隐蔽性C.木马不具感染性D.木马通过网络传播APC可以让一个线程在它正常的执行路径运行之前执行一些其他的代码。每一个线程都有一个附加的APC队列,它们在线程处于()时被处理。A.阻塞状态B.计时等待状态C.可警告的等待状态D.被终止状态计算机病毒的编写者使用的哪项技术可以使编写的代码,功能不变,语义混淆?()
3、A.垃圾指令B.多态技术C.变形技术D.单项执行技术在以下寄存器中用于定位要执行的下一条指令的寄存器是()。A.通用寄存器B.段寄存器C.状态寄存器D.指令指针()被定义为一个相似数据项的有序集合。A.数组B.结构体C.链表D.变量反病毒软件主要是依靠()来分析识别可疑文件。A.文件名B.病毒文件特征库C.文件类型D.病毒文件种类网络黑客产业链是指黑客们运用技术手段入侵服务器获取站点权限以及各类账户信息并从中谋取()的一条产业链。A.非法经济利益B.经济效益C.效益D.利润当代码库被链接时,宿主操作系统会在程序被装载时搜索所需的代码库,如果程序调用了被链接的库函数,这个函数会在代码库中执行,这
4、种链接方法是()。A.静态链接B.动态链接C.运行时链接D.转移链接下列对进程浏览器属性栏的描述错误的是()。A.线程标签显示所有活跃的线程B.TCP/IP标签活跃的连接和进程监听的端口C.镜像标签显示磁盘上可执行程序的路径D.字符串标签,通过比较包含在磁盘上可执行文件的字符串与内存中同一个可执行文件的字符串,来看两者是否相同在通用寄存器中,()是数据寄存器。A.EAXB.EBXC.ECXD.EDX下面说法错误的是()。A.启动器通常在text节存储恶意代码,当启动器运行时,它在运行嵌入的可执行程序或者DLL程序之前,从该节将恶意代码提取出来B.隐藏启动的最流行技术是进程注入。顾名思义,这种技
5、术是将代码注入到另外一个正在运行的进程中,而被注入的进程会不知不觉地运行注入的代码C.DLL注入是进程注入的一种形式,它强迫一个远程进程加载恶意DLL程序,同时它也是最常使用的秘密加载技术D.直接注入比DLL注入更加灵活,但是要想注入的代码在不对宿主进程产生副作用的前提下成功运行,直接注入需要大量的定制代码。这种技术可以被用来注入编译过的代码,但更多的时候,它用来注入shellcode用IDA Pro对一个程序进行反汇编时,字节偶尔会被错误的分类。可以对错误处按()键来取消函数代码或数据的定义。A.C键B.D键C.shiftD键D.U键()是一把双刃剑,可以用来分析内部网络、调试应用程序问题,
6、也可以用来嗅探密码、监听在线聊天。A.ApateDNSB.NetcatC.INetSimD.Wireshark当单击Resource Hacker工具中分析获得的条目时,看不到的是()。A.字符串B.二进制代码C.图标D.菜单以下Windows API类型中()是表示一个将会被Windows API调用的函数。A.WORDB.DWORDC.HabdlesD.Callback对应a+的汇编代码是()。A.move eax,ebpvar_4B.sub eax,ebpvar_8C.sub eax,1D.add eax,1下列表明是全局变量的汇编代码是()。A.mov eax,dword_40CF60
7、B.mov eax,ebp-4C.mov eax,ebpvar_4D.mov dword_40CF60,eax可以按()键定义原始字节为代码。A.C键B.D键C.shift D键D.U键以下不是检测SSDT挂钩的方法是()。A.遍历SSDT表B.使用查杀病毒的软件C.查找异常的函数入口地址D.ntoskrnl.exe的地址空间是从804d7000到806cd580名字窗口,列举哪些内存地址的名字?()A.函数名B.代码的名字C.数据的名字D.字符串以下方法中是识别标准加密算法的方法是()。A.识别涉及加密算法使用的字符串B.识别引用导入的加密函数C.搜索常见加密常量的工具D.查找高熵值的内容I
8、NetSim可以模拟的网络服务有()。A.HTTPB.FTPC.IRCD.DNS()是Windows API的标准调用约定。A.cdeclB.stdcallC.fastcallD.压栈与移动恶意代码编写者可以挂钩一个特殊的Winlogon事件,比如()。A.登录B.注销C.关机D.锁屏运行计算机病毒,监控病毒的行为,需要一个安全、可控的运行环境的原因是什么?()A.恶意代码具有传染性B.可以进行隔离C.恶意代码难以清除D.环境容易搭建OllyDbg提供了多种机制来帮助分析,包括下面几种:()A.日志B.监视C.帮助D.标注下列说法正确的是()。A.IDA Pro有一个在识别结构方面很有用的图形
9、化工具B.从反汇编代码来看,很难知道原始代码是一个switch语句还是一个if语句序列C.switch中各无条件跳转相互影响D.使用了一个跳转表,来更加高效地运行switch结构汇编代码后门的功能有()。A.操作注册表B.列举窗口C.创建目录D.搜索文件恶意代码作者如何使用DLL()。A.保存恶意代码B.通过使用Windows DLLC.控制内存使用DLLD.通过使用第三方DLL异常机制不允许一个程序在普通执行流程之外处理事件。()A.正确B.错误一个网络程序通常有两个端点:服务端和客户端。而恶意代码只能是这两端中客户端。()A.正确B.错误反向shell是从攻击方发起一个连接,它提供被攻击者
10、通过shell访问攻击方机器的权限。()A.正确B.错误调试器允许你查看任意内存地址、寄存器的内容以及每个函数的参数。()A.正确B.错误WinDbg不允许覆盖数据结构上的数据。()A.正确B.错误进程监视器视图每一秒更新一次。默认情况下,服务以粉色高亮显示,进程显示为蓝色,新进程为绿色,被终止进程则为红色。绿色和红色的高亮显示是临时的,当进程被完全启动或终止后颜色就会改变。()A.正确B.错误Strings程序检测到的一定是真正的字符串。()A.正确B.错误在操作系统中所有的文件都不可以通过名字空间进行访问。()A.正确B.错误Windows并不要求钩子子程的卸载顺序一定得和安装顺序相反。(
11、)A.正确B.错误IP地址127.0.0.1会被表示为0x7F000001,而在小端字节序下,表示为0x7F000001。()A.正确B.错误网络特征码可以在没有进行恶意代码分析时创建,但在恶意代码分析帮助下提取的特征码往往更加有效的,可以提供更高的检测率和更少的误报。()A.正确B.错误在合法的PE文件中,可以带有可执行文件。()A.正确B.错误进程监视器(Process Monitor)是Windows系统下的高级监视工具,它提供一种方式来监控注册表、文件系统、网络、进程和线程行为。它结合并增强了两种工具的功能:文件监视器FileMon和注册表监视器RegMon。()A.正确B.错误机器码
12、层由操作码组成,操作码是一些八进制形式的数字。()A.正确B.错误当重命名假名时,你只需要在一个地方做一次,新名字会扩散到任何被引用的地方。()A.正确B.错误 参考答案:A参考答案:D参考答案:C参考答案:A参考答案:D参考答案:C参考答案:C参考答案:C参考答案:C参考答案:D参考答案:A参考答案:B参考答案:A参考答案:B参考答案:D参考答案:D参考答案:A参考答案:D参考答案:D参考答案:B参考答案:D参考答案:D参考答案:D参考答案:A参考答案:B参考答案:ABCD参考答案:ABCD参考答案:ABCD参考答案:BC参考答案:ABCD参考答案:ABC参考答案:ABCD参考答案:ABD参考答案:ABCD参考答案:ABD参考答案:B参考答案:B参考答案:B参考答案:A参考答案:B参考答案:A参考答案:B参考答案:B参考答案:A参考答案:B参考答案:A参考答案:A参考答案:A参考答案:B参考答案:A
