南開大學22年春學期《計算機病毒分析》在線作業(yè)-00001

1、-本頁為預覽頁PAGE14-本頁為預覽頁-本頁為預覽頁22春學期（高起本1709-1803、全層次1809-2103）計算機病毒分析在線作業(yè)-00001第1題. 下列概念說法錯誤的是（）。選項A：內(nèi)存映射窗口（ViewMemory）顯示了被調(diào)用程序分配的使用內(nèi)存塊選項B：基地址重定位是指Windows中的一個模塊沒有被加載到其預定基地址時發(fā)生的情況選項C：Windows中的所有PE文件都有一個預定的基地址，它在PE文件頭中被稱為映像基地址選項D：使用相對地址，無論被加載到內(nèi)存的哪個位置，所有指令都能正常工作參考答案：D第2題. （）是指Windows中的一個模塊沒有被加載到其預定基地址時發(fā)生的

2、情況。選項A：內(nèi)存映射選項B：基地址重定位選項C：斷點選項D：跟蹤參考答案：B第3題. （）常被一種叫做擊鍵記錄器的惡意程序所使用，被用來記錄擊鍵 。選項A：DLL注入選項B：直接注入選項C：APC注入選項D：鉤子注入?yún)⒖即鸢福篋第4題. 以下運行DLL文件的語法格式不正確的是（）。選項A：C:rundll32.exe rip.dll,Install選項B：C:rundll32.exe rip.dll,#5選項C：C:rundll32 rip.dll,InstallService ServiceName C:net start ServiceName選項D：C:sc rip.dll參考答案：D

3、第5題. 當一個庫被鏈接到可執(zhí)行程序時，所有這個庫中的代碼都會復制到可執(zhí)行程序中去，這種鏈接方法是（）。選項A：靜態(tài)鏈接選項B：動態(tài)鏈接選項C：運行時鏈接選項D：轉移鏈接參考答案：A第6題. GFI沙箱生成報告不包括哪個小節(jié)（）。選項A：分析摘要選項B：文件活動選項C：注冊表選項D：程序功能參考答案：D第7題. 對下面指令分析不正確的是（）。選項A：要跳轉的決定是基于一個比較（cmp）語句來做的選項B：調(diào)劑跳轉（jnz），如果這兩個值不相等，這個跳轉就會發(fā)生選項C：代碼跳轉（jump）保證了只有一條代碼路徑會被執(zhí)行選項D：對于一個if語句必定有一個條件跳轉，所有條件跳轉也都對應if語句參考答案

4、：D第8題. 用戶模式下的APC要求線程必須處于（）狀態(tài)。選項A：阻塞狀態(tài)選項B：計時等待狀態(tài)選項C：可警告的等待狀態(tài)選項D：被終止狀態(tài)參考答案：C第9題. 進程瀏覽器的功能不包括（）。選項A：比較進程瀏覽器中的DLL列表與在Dependency Walker工具中顯示的導入DLL列表來判斷一個DLL是否被加載到進程選項B：單擊驗證按鈕，可以驗證磁盤上的鏡像文件是否具有微軟的簽名認證選項C：比較運行前后兩個注冊表的快照，發(fā)現(xiàn)差異選項D：一種快速確定一個文檔是否惡意的方法，就是打開進程瀏覽器，然后打開文檔。若文檔啟動了任意進程，你能進程瀏覽器中看到，并能通過屬性窗口中的鏡像來定位惡意代碼在磁盤上

5、的位置。參考答案：C第10題. 用IDA Pro對一個程序進行反匯編時，字節(jié)偶爾會被錯誤的分類?？梢詫﹀e誤處按（）鍵來取消函數(shù)代碼或數(shù)據(jù)的定義。選項A：C鍵選項B：D鍵選項C：shift+D鍵選項D：U鍵參考答案：D第11題. ApateDNS在本機上監(jiān)聽UDP（）端口。選項A：53選項B：69選項C：161選項D：80參考答案：A第12題. 以下注冊表根鍵中（）保存定義的類型信息。選項A：HKEY_LOCAL_MACHINE(HKLM)選項B：HKEY_CURRENT_USER(HKCU)選項C：HKEY_CLASSES_ROOT選項D：HKEY_CURRENT_CONFIG參考答案：C第1

6、3題. 惡意代碼分析不應該注意（）。選項A：應該在進入細節(jié)之前有一個概要性的理解選項B：嘗試多從不同角度，多使用不同工具和方法來分析惡意代碼選項C：惡意代碼本身的特性選項D：惡意代碼本身的特性，盡量關注細節(jié)選項E：惡意代碼分析就像是貓抓老鼠的游戲，應該能夠快速地應對惡意代碼的新變化參考答案：C第14題. ()是一種設置自身或其他惡意代碼片段以達到即時或?qū)砻孛苓\行的惡意代碼。選項A：后門選項B：下載器選項C：啟動器選項D：內(nèi)核嵌套參考答案：C第15題. OllyDbg的硬件斷點最多能設置（）個。選項A：3個選項B：4個選項C：5個選項D：6個參考答案：B第16題. 以下Windows API類

7、型中（）是表示一個將會被Windows API調(diào)用的函數(shù)。選項A：WORD選項B：DWORD選項C：Habdles選項D：Callback參考答案：D第17題. 直接將惡意代碼注入到遠程進程中的是（）。選項A：進程注入選項B：DLL注入選項C：鉤子注入選項D：直接注入?yún)⒖即鸢福篋第18題. 在通用寄存器中，（）是數(shù)據(jù)寄存器。選項A：EAX選項B：EBX選項C：ECX選項D：EDX參考答案：D第19題. （）是可以記錄程序詳細的運行信息的調(diào)試技術。選項A：內(nèi)存映射選項B：基地址重定位選項C：斷點選項D：跟蹤參考答案：D第20題. 下列說法錯誤的是（）。選項A：惡意代碼經(jīng)常使用多線程。你可以通過選

8、擇View-Threads,調(diào)出線程面板窗口，查看一個程序的當前線程選項B：單擊主工具欄中的暫停按鈕，可以暫停所有活動的線程選項C：給定進程中的每個線程有自己的棧，通常情況下，線程的重要數(shù)據(jù)都保存在棧中?？梢允褂肙llyDbg的內(nèi)存映射，來查看內(nèi)存中棧的內(nèi)容選項D：由于OllyDbg是多線程的，可能需要你先暫停所有的線程，設置一個斷點后，繼續(xù)運行程序，這樣可以確保在一個特定線程模式內(nèi)調(diào)試參考答案：D第21題. 當調(diào)試可以修改自身的代碼的代碼時，應該設置什么類型的斷點（）選項A：軟件執(zhí)行斷點選項B：硬件執(zhí)行斷點選項C：條件斷點選項D：非條件斷點參考答案：B第22題. 加法和減法是從目標操作數(shù)中加

9、上或減去（）個值。選項A：0選項B：1選項C：2選項D：3參考答案：B第23題. 以下對各斷點說法錯誤的是（）。選項A：查看堆棧中混淆數(shù)據(jù)內(nèi)容的唯一方法時：待字符串解碼函數(shù)執(zhí)行完成后，查看字符串的內(nèi)容，在字符串解碼函數(shù)的結束位置設置軟件斷點選項B：條件斷點是軟件斷點中的一種，只有某些條件得到滿足時這個斷點才能中斷執(zhí)行程序選項C：硬件斷點非常強大，它可以在不改變你的代碼、堆棧以及任何目標資源的前提下進行調(diào)試選項D：OllyDbg只允許你一次設置一個內(nèi)存斷點，如果你設置了一個新的內(nèi)存斷點，那么之前設置的內(nèi)存斷點就會被移除參考答案：C第24題. （）是一把雙刃劍，可以用來分析內(nèi)部網(wǎng)絡、調(diào)試應用程序問

10、題，也可以用來嗅探密碼、監(jiān)聽在線聊天。選項A：ApateDNS選項B：Netcat選項C：INetSim選項D：Wireshark參考答案：D第25題. 轟動全球的震網(wǎng)病毒是（）。選項A：木馬選項B：蠕蟲病毒選項C：后門選項D：寄生型病毒參考答案：B第26題. 后門的功能有選項A：操作注冊表選項B：列舉窗口選項C：創(chuàng)建目錄選項D：搜索文件參考答案：A,B,C,D第27題. 以下的惡意代碼行為中，屬于后門的是（）選項A：netcat反向shell選項B：windows反向shell選項C：遠程控制工具選項D：僵尸網(wǎng)絡參考答案：A,B,C,D第28題. OllyDbg支持的跟蹤功能有（）。選項A：

11、標準回溯跟蹤選項B：堆棧調(diào)用跟蹤選項C：運行跟蹤選項D：邊緣跟蹤參考答案：A,B,C第29題. 運行計算機病毒，監(jiān)控病毒的行為，需要一個安全、可控的運行環(huán)境的原因是什么選項A：惡意代碼具有傳染性選項B：可以進行隔離選項C：惡意代碼難以清除選項D：環(huán)境容易搭建參考答案：A,B,C第30題. 對一個監(jiān)聽入站連接的服務應用，順序是（）函數(shù)，等待客戶端的連接。選項A：socket、bind、listen和accept選項B：socket、bind、accept和listen選項C：bind、sockect、listen和accept選項D：accept、bind、listen和socket參考答案：A

12、,B,C,D第31題. 惡意代碼編寫者可以掛鉤一個特殊的 Winlogon事件,比如()選項A：登錄選項B：注銷選項C：關機選項D：鎖屏參考答案：A,B,C,D第32題. 后門擁有一套通用的功能，都有以下那些功能？（）選項A：操作注冊表選項B：列舉窗口選項C：創(chuàng)建目錄選項D：搜索文件參考答案：A,B,C,D第33題. 惡意代碼作者如何使用DLL（）多選選項A：保存惡意代碼選項B：通過使用Windows DLL選項C：控制內(nèi)存使用DLL選項D：通過使用第三方DLL參考答案：A,B,D第34題. 以下是分析加密算法目的的是選項A：隱藏配置文件信息。選項B：竊取信息之后將它保存到一個臨時文件。選項C

13、：存儲需要使用的字符串，并在使用前對其解密。選項D：將惡意代碼偽裝成一個合法的工具，隱藏惡意代碼參考答案：A,B,C,D第35題. IDA Pro 都有以下什么功能（）。選項A：識別函數(shù)選項B：標記函數(shù)選項C：劃分出局部變量選項D：劃分出參數(shù)參考答案：A,B,C,D第36題. 重新編寫函數(shù)和使用惡意代碼中存在的函數(shù)是兩種基本方法重現(xiàn)惡意代碼中的加密或解密函數(shù)。選項A：對選項B：錯參考答案：A第37題. 異常只能由Bug引起選項A：對選項B：錯參考答案：B第38題. 底層遠程鉤子要求鉤子例程被保護在安裝鉤子的進程中。選項A：對選項B：錯參考答案：A第39題. 檢測加密的基本方法是使用可以搜索常見

14、加密常量的工具，我們可以使用IDA Pro的FindCrypt2和Krypto ANALyzer插件。選項A：對選項B：錯參考答案：A第40題. OllyDbg是一種具有可視化界面的32位匯編-分析調(diào)試器。選項A：對選項B：錯參考答案：A第41題. C鍵是定義原始字節(jié)為數(shù)據(jù)選項A：對選項B：錯參考答案：B第42題. 我們可以使用IDA Pro的FindCrypt2和Krypto ANALyzer插件來搜索常見加密常量的工具。選項A：對選項B：錯參考答案：A第43題. 除非有上下文，否則通常情況下，被顯示的數(shù)據(jù)會被格式化為八進制的值。選項A：對選項B：錯參考答案：A第44題. 在stdcall中，前一些參數(shù)（典型的是前兩個）被傳到寄存器中，備用的寄存器是EDX和ECX。如果需要的話，剩下的參數(shù)再以從右到左的次序被加載到棧上。選項A：對選項B：錯參考答案：B第45題. D鍵是定義原始字節(jié)為代碼選項A：對選項B：錯參考答案：B第46題. 哈希函數(shù)，是一種從任何一種數(shù)據(jù)中創(chuàng)建小的數(shù)字“指紋”的方法。選項A：對選項B：錯參考答案：A第47題. 結構體通過