《21春南开大学《计算机病毒分析》在线作业-2参考答案》由会员分享,可在线阅读,更多相关《21春南开大学《计算机病毒分析》在线作业-2参考答案(10页珍藏版)》请在金锄头文库上搜索。
1、21春南开大学计算机病毒分析在线作业-2参考答案以下不是检测SSDT挂钩的方法是()。A.遍历SSDT表B.使用查杀病毒的软件C.查找异常的函数入口地址D.ntoskrnl.exe的地址空间是从804d7000到806cd580基于Linux模拟常见网络服务的软件的是()。A.ApateDNSB.NetcatC.INetSimD.Wireshark病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组()。A.计算机指令B.程序代码C.文件D.计算机指令或者程序代码若依次压入数字1、2、3、4,则第二次弹出来的会是()。A.1B.2C.3D.4在以
2、下寄存器中用于定位内存节的寄存器是()。A.通用寄存器B.段寄存器C.状态寄存器D.指令指针以下不是解释型语言的是()。A.JavaB.PerlC.NETD.C单步调试是通过()实现的。A.每条代码之前添加软件断点B.每条代码之前添加硬件断点C.标志寄存器中的陷阱标志(trap flag)D.标志寄存器中的zf标志位可以按()键定义原始字节为代码。A.C键B.D键C.shift+D键D.U键下列对内核套件的描述正确的是()。A.恶意代码将自身安装到一台计算机来允许攻击者访问B.这是一类只是用来下载其他恶意代码的恶意代码C.用来启动其他恶意程序的恶意代码D.设计用来隐藏其他恶意代码的恶意代码网络
3、造成破坏的软件恶意代码编写者使用()库执行对导入表的修改,挂载DLL到己有程序文件,并且向运行的进程添加函数钩子等。A.Detours库B.DLL运行库C.MFCD.vc运行库以下哪种互联网连接模式允许虚拟机与物理机连接到相同的物理网卡上?()A.bridgedB.NETC.Host-onlyD.Custom一共有()个硬件寄存器存储断点的地址。A.1个B.3个C.4个D.7个当要判断某个内存地址含义时,应该设置什么类型的断点?()A.软件执行断点B.硬件执行断点C.条件断点D.非条件断点木马与病毒的重大区别是()。A.木马会自我复制B.木马具有隐蔽性C.木马不具感染性D.木马通过网络传播在W
4、inDbg的搜索符号中,()命令允许你使用通配符来搜索函数或者符号。A.buB.xC.LnD.dt()是一把双刃剑,可以用来分析内部网络、调试应用程序问题,也可以用来嗅探密码、监听在线聊天。A.ApateDNSB.NetcatC.INetSimD.Wireshark()常被一种叫做击键记录器的恶意程序所使用,被用来记录击键。A.DLL注入B.直接注入C.APC注入D.钩子注入当调试可以修改自身的代码的代码时,应该设置什么类型的断点?()A.软件执行断点B.硬件执行断点C.条件断点D.非条件断点直接将恶意代码注入到远程进程中的是()。A.进程注入B.DLL注入C.钩子注入D.直接注入以下运行DL
5、L文件的语法格式不正确的是()。A.C:rundll32.exe rip.dll,InstallB.C:rundll32.exe rip.dllC.C:rundll32 rip.dll,InstallService ServiceName C:net start ServiceNameD.C:sc rip.dll在获取不到高级语言源码时,()是从机器码中能可信并保持一致地还原得到的最高一层语言。A.机器指令B.微指令C.汇编语言D.机器码以下对各断点说法错误的是()。A.查看堆栈中混淆数据内容的唯一方法时:待字符串解码函数执行完成后,查看字符串的内容,在字符串解码函数的结束位置设置软件断点B.
6、条件断点是软件断点中的一种,只有某些条件得到满足时这个断点才能中断执行程序C.硬件断点非常强大,它可以在不改变你的代码、堆栈以及任何目标资源的前提下进行调试D.OllyDbg只允许你一次设置一个内存断点,如果你设置了一个新的内存断点,那么之前设置的内存断点就会被移除ApateDNS在本机上监听UDP()端口。A.53B.69C.161D.80用户模式下的APC要求线程必须处于()状态。A.阻塞状态B.计时等待状态C.可警告的等待状态D.被终止状态PE文件中的分节中唯一包含代码的节是()。A.rdataB.textC.dataD.rsrc恶意代码常用注册表()。A.存储配置信息B.收集系统信息C
7、.永久安装自己D.网上注册()是Windows API的标准调用约定。A.cdeclB.stdcallC.fastcallD.压栈与移动以下对个各个插件说法正确的是()。A.OllyDump是OllyDbg最常使用的插件,它能够将一个被调试的进程转储成一个PE文件B.为了防止恶意代码使用反调试技术,恶意代码分析人员通常在分析恶意代码期间,一直运行调试器隐藏插件C.OllyDbg的命令行插件允许你用命令行来使用OllyDbgD.OllyDbg默认情况下自带书签插件,书签插件可以将一个内存位置加到书签中,利用书签,下次不需要记住就可以轻松获取那个内存地址对下面汇编代码的分析正确的是()。A.mov
8、 ebpvar_4,0对应循环变量的初始化步骤B.add eax,1对应循环变量的递增,在循环中其最初会通过一个跳转指令而跳过C.比较发生在cmp处,循环决策在jge处通过条件跳转指令而做出D.在循环中,通过一个无条件跳转jmp,使得循环变量每次进行递增OllyDbg支持的跟踪功能有()。A.标准回溯跟踪B.堆栈调用跟踪C.运行跟踪D.边缘跟踪恶意代码编写者可以挂钩一个特殊的Winlogon事件,比如()。A.登录B.注销C.关机D.锁屏微软fastcall约定备用的寄存器是()。A.EAXB.ECXC.EDXD.EBX名字窗口,列举哪些内存地址的名字?()A.函数名B.代码的名字C.数据的名
9、字D.字符串调试器可以用来改变程序的执行方式。可以通过修改()方式来改变程序执行的方式。A.修改控制标志B.修改指令指针C.修改程序本身D.修改文件名对一个监听入站连接的服务应用,顺序是()函数,等待客户端的连接。A.socket、bind、listen和acceptB.socket、bind、accept和listenC.bind、sockect、listen和acceptD.accept、bind、listen和socketNetcat被称为“TCP/IP协议栈瑞士军刀”,可以被用在支持端口扫描、隧道、代理、端口转发等的对内对外连接上。在监听模式下,Netcat充当一个服务器,而在连接模式
10、下作为一个客户端。Netcat从标准输入得到数据进行网络传输,而它得到的数据,又可以通过标准输出显示到屏幕上。()A.正确B.错误有时,某个标准符号常量不会显示,这时你需要手动加载有关的类型库。()A.正确B.错误下载器通常会与漏洞利用打包在一起。()A.正确B.错误一个网络程序通常有两个端点:服务端和客户端。而恶意代码只能是这两端中客户端。()A.正确B.错误IP地址127.0.0.1会被表示为0x7F000001,而在小端字节序下,表示为0x7F000001。()A.正确B.错误基于链接的分析中,URLDownloadToFile()一般提示计算机病毒会从Internet上下载一个文件。(
11、)A.正确B.错误在编译器对源码进行编译完成时,还是可以判断源代码使用的是一个常量符号还是一个数字。()A.正确B.错误病毒特征码关注是恶意代码对系统做什么,而主机特征码关注恶意代码本身的特性。()A.正确B.错误这种进程替换技术让恶意代码与被替换进程拥有相同的特权级。()A.正确B.错误恶意代码经常使用自创的加密方法,比如将多个简单加密方法组装到一起。()A.正确B.错误导入表窗口能够列举一个文件的所有导入函数。()A.正确B.错误在默认情况下,IDA Pro的反汇编代码中包含PE头或资源节。()A.正确B.错误DLL注入时,启动器恶意代码没有调用一个恶意函数。如前面所述,恶意的代码都位于D
12、llMain函数中,当操作系统将DLL加载到内存时,操作系统会自动调用这些代码。DLL注入启动器的目的用恶意DLL作为参数,调用createRemoteThread创建远程线程LoadLibrary。()A.正确B.错误WinDbg支持在命令行中使用简单的算数操作符,对内存和寄存器进行直接的操作,如加减乘除。()A.正确B.错误shr和shl指令用于对寄存器做位移操作。()A.正确B.错误 参考答案:B参考答案:C参考答案:C参考答案:B参考答案:B参考答案:D参考答案:C参考答案:A参考答案:D参考答案:A参考答案:A参考答案:C参考答案:B参考答案:C参考答案:B参考答案:D参考答案:D参考答案:B参考答案:D参考答案:D参考答案:C参考答案:C参考答案:A参考答案:C参考答案:B参考答案:ABC参考答案:BC参考答案:ABCD参考答案:ABCD参考答案:ABC参考答案:ABCD参考答案:BC参考答案:ABCD参考答案:ABC参考答案:ABCD参考答案:A参考答案:A参考答案:A参考答案:B参考答案:B参考答案:A参考答案:B参考答案:B参考答案:A参考答案:A参考答案:A参考答案:B参考答案:A参考答案:A参考答案:A
