計算機病毒分析

《計算機病毒》課程期末復(fù)習(xí)資料第1章惡意代碼分析入門1.1計算機病毒的定義和類型1.2計算機病毒分析的目的1.3計算機病毒分析技術(shù)概述第2章靜態(tài)分析技術(shù)基礎(chǔ)2.1殺毒軟件2.2哈希值2.3特性字符串2.4加殼與混淆2.5PE文獻格式2.6鏈接庫與函數(shù)第3章在虛擬機中分析惡意代碼3.1虛擬機的構(gòu)造3.2創(chuàng)立虛擬機3.3使用虛擬機第4章動態(tài)分析技術(shù)4.1沙箱分析4.2運行病毒和使用進程監(jiān)視4.3ProcessExplorer和Regshot4.4網(wǎng)絡(luò)模擬第5章X86反匯編5.1逆向工程5.2X86體系構(gòu)造5.3CPU匯編指令5.4匯編指令5.5棧操作第6章IDApro6.1加載可執(zhí)行文獻6.2IDApro的窗口6.3IDApro導(dǎo)航6.4交叉引用6.5函數(shù)分析6.6使用圖形選項6.7增強反匯編第7章識別匯編語言中的C語言代碼構(gòu)造7.1識別匯編中的C語言代碼構(gòu)造7.2識別if分支構(gòu)造7.3識別循環(huán)7.4識別函數(shù)調(diào)用7.5識別switch構(gòu)造美化7.6識別數(shù)組、構(gòu)造體、鏈表第8章分析惡意Windows程序8.1WindowsAPI8.2Windows注冊表8.3網(wǎng)絡(luò)API8.4跟蹤病毒運行8.5互斥量8.6異常解決、模式、NativeAPI第9章動態(tài)調(diào)試9.1調(diào)試器介紹9.2使用調(diào)試器9.3用斷點暫停執(zhí)行9.4斷點類型9.5異常9.6修改可執(zhí)行程序第10章OllyDbg10.1Ollydbg加載惡意代碼10.2Ollydbg的窗口美化10.3內(nèi)存映射10.4查看線程、棧、代碼10.5斷點10.6加載DLL、跟蹤10.7異常解決、修補10.8分析shellcode、協(xié)助功效10.9插件、腳本調(diào)試第11章使用WinDbg調(diào)試內(nèi)核11.1驅(qū)動與內(nèi)核代碼11.2使用WinDbg11.3微軟符號表11.4Windows注冊表11.5Rootkit第12章惡意代碼行為12.1下載器、啟動器、后門12.2遠程控制和僵尸網(wǎng)絡(luò)12.3竊取登陸憑證12.4存活機制12.5特洛伊木馬化二進制文獻12.6DLL加載次序劫持12.7權(quán)限提高與顧客態(tài)Rootkit第13章隱蔽的惡意代碼啟動13.1啟動器與進程注入13.2進程替代13.3Hook注入13.4Detours與APC注入第14章數(shù)據(jù)加密14.1加密算法的目的和簡樸的加密算法14.2簡樸的加密方略14.3常見的加密算法14.4自定義加密14.5解密一、客觀部分：★考核知識點:計算機病毒的定義和類型參見講稿章節(jié)：1.1單選題：惡意代碼指的是()。A.計算機病毒B.間諜軟件C.內(nèi)核嵌套D.任何對顧客、計算機或網(wǎng)絡(luò)造成破壞的軟件單選題：病毒、（）和木馬是可造成計算機和計算機上的信息損壞的惡意程序。A.程序B.蠕蟲C.代碼D.數(shù)據(jù)單選題：病毒是指編制或者在計算機程序中插入的破壞計算機功效或者破壞數(shù)據(jù)，影響計算機使用并且能夠自我復(fù)制的一組（）。A.計算機指令B.程序代碼C.文獻D.計算機指令或者程序代碼判斷題：病毒必須能自我執(zhí)行和自我復(fù)制。（）判斷題：蠕蟲是運用文獻寄生來通過網(wǎng)絡(luò)傳輸?shù)膼盒圆《?。（）★考核知識點:計算機病毒分析的目的參見講稿章節(jié)：1.2單選題：下列不是惡意代碼分析的目的的是（）。A.擬定一種可疑的二進制程序究竟能夠做什么B.如何在網(wǎng)絡(luò)上檢測它C.惡意代碼本身的特性D.如何衡量并消除它所帶來的損害判斷題：病毒特性碼關(guān)注是惡意代碼對系統(tǒng)做什么，而主機特性碼關(guān)注惡意代碼本身的特性。（）判斷題：網(wǎng)絡(luò)特性碼能夠在沒有進行惡意代碼分析時創(chuàng)立，但在惡意代碼分析協(xié)助下提取的特性碼往往更加有效的，能夠提供更高的檢測率和更少的誤報。（）★考核知識點:計算機病毒分析技術(shù)概述參見講稿章節(jié)：1.3單選題：下列屬于靜態(tài)高級分析技術(shù)的描述是（）。A.檢查可執(zhí)行文獻但不查看具體指令的某些技術(shù)分析的目的B.動態(tài)分析基礎(chǔ)技術(shù)涉及運行惡意代碼并觀察系統(tǒng)上的行為，以移除感染，產(chǎn)生有效的檢測特性碼，或者兩者C.重要是對惡意代碼內(nèi)部機制的逆向工程，通過將可執(zhí)行文獻裝載到反匯編器中，查看程序指令，來發(fā)現(xiàn)惡意代碼究竟做了什么D.動態(tài)分析高級技術(shù)則使用調(diào)試器來檢查一種惡意可執(zhí)行程序運行時刻的內(nèi)部狀態(tài)判斷題：靜態(tài)分析基礎(chǔ)技術(shù)是非常簡樸，同時也能夠非常快速應(yīng)用的，但它在針對復(fù)雜的惡意代碼時很大程度上是無效的，并且它可能會錯過某些重要的行為。（）★考核知識點:靜態(tài)分析技術(shù)參見講稿章節(jié)：2.1單選題：反病毒軟件重要是依靠（）來分析識別可疑文獻。A文獻名B病毒文獻特性庫C文獻類型D病毒文獻種類參見講稿章節(jié)：2.3單選題：Strings程序搜索（）或以上持續(xù)的ASCII或Unicode字符，并以終止符結(jié)尾的可打印字符串。A.2個B3個C1個D0個判斷題：Strings程序檢測到的一定是真正的字符串。（）判斷題：當加殼的程序運行時，會首先運行一小段脫殼程序，來解壓縮加殼的文獻，然后再運行脫殼的文獻。（）判斷題：當一種程序被加殼后，你必須對它進行脫殼，才干夠執(zhí)行進一步分析。（）★考核知識點:虛擬機的構(gòu)造參見講稿章節(jié)：3.1判斷題：虛擬機是運行在ring0級。（）多選題：下列哪些是慣用的虛擬機軟件（）。A.VMwarePlayer B.VMwareStation C.VMwareFusion D.VirtualBox★考核知識點:創(chuàng)立虛擬機參見講稿章節(jié)：3.2單選題：下列那種互聯(lián)網(wǎng)連接模式在宿主機和客戶機之間創(chuàng)立了一種隔離的私有局域網(wǎng)（）。A.bridgedB.NETC.Host-onlyD.Custom判斷題：未知的計算機病毒不存在不擬定性。（）★考核知識點:X86反匯編參見講稿章節(jié)：5.1單選題：計算機體系構(gòu)造中，（）層是由十六進制形式的操作碼構(gòu)成，用于告訴解決器你想它干什么。A微指令B機器碼C低檔語言D高級語言單選題：在獲取不到高級語言源碼時，（）是從機器碼中能可信并保持一致地還原得到的最高一層語言。A機器指令B微指令C匯編語言D機器碼參見講稿章節(jié)：5.2判斷題：IP地址在小端字節(jié)序下，表達為0x7F000001。（）判斷題：操作數(shù)指向感愛好的值所在的內(nèi)存地址，普通由方括號內(nèi)包含值、寄存器或方程式構(gòu)成，如[eax]。（）★考核知識點:加載可執(zhí)行文獻參見講稿章節(jié)：6.1判斷題：在正當?shù)腜E文獻中，能夠帶有可執(zhí)行文獻。（）判斷題：在進程中加載的DLL的位置和在IDAPro中的地址不同，這可能是及地址重定向的成果。（）判斷題：在默認狀況下，IDAPro的反匯編代碼中包含PE頭或資源節(jié)。（）★考核知識點:識別匯編中的C語言代碼構(gòu)造參見講稿章節(jié)：7.1單選題：下列表明是全局變量的匯編代碼是（）。A.moveax,dword_40CF60B.moveax,[ebp-4]C.moveax,[ebp+var_4]D.movdword_40CF60,eax單選題：對應(yīng)a++的匯編代碼是（）。A.moveeax,[ebp+var_4]B.subeax,[ebp+var_8]C.subeax,1D.addeax,1判斷題：全局變量能夠被一種程序中的任意函數(shù)訪問和使用，在棧中局部變量只能在它被定義的函數(shù)中訪問，在內(nèi)存上。（）★考核知識點:識別if分支構(gòu)造參見講稿章節(jié)：7.2單選題：對下面指令分析不對的的是（）。A.要跳轉(zhuǎn)的決定是基于一種比較（cmp）語句來做的B.調(diào)劑跳轉(zhuǎn)（jnz），如果這兩個值不相等，這個跳轉(zhuǎn)就會發(fā)生C.代碼跳轉(zhuǎn)（jump）確保了只有一條代碼途徑會被執(zhí)行D.對于一種if語句必然有一種條件跳轉(zhuǎn)，全部條件跳轉(zhuǎn)也都對應(yīng)if語句★考核知識點:識別循環(huán)參見講稿章節(jié)：7.3判斷題：switch語句被程序員用來做一種基于字符或者整數(shù)的決策。例如，后門普通使用單一的字節(jié)值從一系列動作中選擇一種。switch語句普通以兩種方式被編譯：使用if方式或使用跳轉(zhuǎn)表。（）★考核知識點:識別函數(shù)調(diào)用參見講稿章節(jié)：7.4單選題：函數(shù)調(diào)用商定中，參數(shù)是從右到左按序被壓入棧，當函數(shù)完畢時由被調(diào)用函數(shù)清理棧，并且將返回值保存在EAX中的是（）。A.cdelB.stdcallC.fastcallD.壓棧與移動多選題：微軟fastcall商定備用的寄存器是（）。A.EAXB.ECXC.EDXD.EBX多選題：（）是WindowsAPI的原則調(diào)用商定。A.cdeclB.stdcallC.fastcallD.壓棧與移動判斷題：在stdcall中，前某些參數(shù)（典型的是前兩個）被傳到寄存器中，備用的寄存器是EDX和ECX（微軟fastcall商定）。如果需要的話，剩余的參數(shù)再以從右到左的次序被加載到棧上。普通使用fastcall比其它商定更高效，由于代碼不需要涉及過多的棧操作。（）判斷題：微軟VisualStudio和GNU編譯集合（GCC）。前者，adder函數(shù)和printf的函數(shù)在調(diào)用前被壓到棧上。而后者，參數(shù)在調(diào)用之前被移動到棧上。（）★考核知識點:識別switch構(gòu)造美化參見講稿章節(jié)：7.5多選題：下列說法對的的是（）。A.IDAPro有一種在識別構(gòu)造方面很有用的圖形化工具B.從反匯編代碼來看，很難懂得原始代碼是一種switch語句還是一種if語句序列C.switch中各無條件跳轉(zhuǎn)互相影響D.使用了一種跳轉(zhuǎn)表，來更加高效地運行switch構(gòu)造匯編代碼判斷題：switch語句被程序員用來做一種基于字符或者整數(shù)的決策。例如，后門普通使用單一的字節(jié)值從一系列動作中選擇一種。switch語句普通以兩種方式被編譯：使用if方式或使用跳轉(zhuǎn)表。（）參見講稿章節(jié)：7.6★考核知識點:識別數(shù)組、構(gòu)造體、鏈表單選題：下列敘述錯誤的是。（）A.數(shù)組是相似數(shù)據(jù)項的有序集合B.構(gòu)造體和數(shù)組相似，但是它們涉及不同類型的元素C.一種鏈表是包含一種數(shù)據(jù)統(tǒng)計序列的數(shù)據(jù)構(gòu)造，并且每一種統(tǒng)計都涉及一種對序列中下一種統(tǒng)計的引用（鏈接）域。使用一種鏈表，被鏈接項的訪問次序與數(shù)據(jù)項被保存在內(nèi)存或磁盤上的次序必須同樣D.在匯編代碼中，數(shù)組是通過使用一種基地址作為起始點來進行訪問的。每一種元素的大小普通并不總是明顯的，但是它能夠通過看這個數(shù)組與否被索引的來進行判斷單選題：（）被定義為一種相似數(shù)據(jù)項的有序集合。A.數(shù)組B.構(gòu)造體C.鏈表D.變量判斷題：構(gòu)造體通過一種作為起始指針的基地址來訪問。要判斷附近的數(shù)據(jù)字節(jié)類型是同一構(gòu)造的構(gòu)成部分，還是只是湊巧互相挨著是比較困難的，這依賴于這個構(gòu)造體的上下文。（）判斷題：構(gòu)造體通過一種作為起始指針的基地址來訪問。要判斷附近的數(shù)據(jù)字節(jié)類型是同一構(gòu)造的構(gòu)成部分，還是只是湊巧互相挨著是比較困難的，這依賴于這個構(gòu)造體的上下文。（）判斷題：構(gòu)造體通過一種作為起始指針的基地址來訪問。要判斷附近的數(shù)據(jù)字節(jié)類型是同一構(gòu)造的構(gòu)成部分，還是只是湊巧互相挨著是比較困難的，這依賴于這個構(gòu)造體的上下文。（）★考核知識點:分析惡意Windows程序參見講稿章節(jié)：8.1單選題：下列WindowsAPI類型中（）是描述一種雙字節(jié)、32位的無符號數(shù)值。AWORDBDWORDChandlesDCallback單選題：下列WindowsAPI類型中（）是表達一種將會被WindowsAPI調(diào)用的函數(shù)。AWORDBDWORDChandlesDCallback判斷題:句柄在它們引用一種對象或其它某個位置這個點上和指針是完全同樣的。（）判斷題:在文獻系統(tǒng)函數(shù)中CreateFile這個函數(shù)被用來創(chuàng)立和打開文獻。（）參見講稿章節(jié)：8.1多選題：惡意代碼作者如何使用DLL（）。A保存惡意代碼B通過使用WindowsDLLC控制內(nèi)存使用DLLD通過使用第三方DLL★考核知識點:調(diào)試器介紹參見講稿章節(jié)：9.1判斷題：只有軟件調(diào)試器，沒有硬件調(diào)試器。（）判斷題：內(nèi)核調(diào)試只需要在一種系統(tǒng)上進行。（）選擇題：能調(diào)試內(nèi)核的調(diào)試器是（）。A.OllyDbg B.IDAPro C.WinDbg D.ProcessExplorer★考核知識點:使用調(diào)試器參見講稿章節(jié)：9.2判斷題：單步執(zhí)行代碼時，調(diào)試器每執(zhí)行一條指令就會產(chǎn)生一次中斷。（）選擇題：單步調(diào)試是通過（）實現(xiàn)的。A．每條代碼之前添加軟件斷點B.每條代碼之前添加硬件斷點C.標志寄存器中的陷阱標志(trapflag)D.標志寄存器中的zf標志位★考核知識點:斷點類型參見講稿章節(jié)：9.4選擇題：當調(diào)試能夠修改本身的代碼的代碼時，應(yīng)當設(shè)立什么類型的斷點（）。A．軟件執(zhí)行斷點B.硬件執(zhí)行斷點C.條件斷點D.非條件斷點★考核知識點:修改可執(zhí)行程序參見講稿章節(jié)：9.6多選題：調(diào)試器能夠用來變化程序的執(zhí)行方式。能夠通過修改（）方式來變化程序執(zhí)行的方式。A．修改控制標志B.修改指令指針C.修改程序本身D.修改文獻名★考核知識點:Ollydbg加載惡意代碼參見講稿章節(jié)：10.1單選題：下列有關(guān)OllyDbg運行惡意代碼說法錯誤的是。（）A.OllyDbg有幾個調(diào)試惡意代碼的辦法。能夠用它直接加載可執(zhí)行文獻，甚至加載DLL程序B.如果惡意代碼已經(jīng)在系統(tǒng)上運行，能夠通過附加進程的方式調(diào)試它C.OllyDbg是一種靈活的調(diào)試系統(tǒng)，能夠用命令行選項運行惡意代碼，甚至支持執(zhí)行DLL中某個函數(shù)D.能夠在在加載惡意代碼程序之前給OllyDbg傳入命令行參數(shù)判斷題：當你想要調(diào)試一種正在運行的惡意代碼時，OllyDbg也支持附加到一種正在運行的進程，此刻OllyDbg會立刻暫停這個程序以及它全部的線程。（）★考核知識點:內(nèi)存映射參見講稿章節(jié)：10.3多選題：下列概念說法對的的是（）A.OllyDbg內(nèi)存映射窗口（View→Memory）顯示了被調(diào)用程序分派的使用內(nèi)存塊B.基地址重定位是指Windows中的一種模塊沒有被加載到其預(yù)定基地址時發(fā)生的狀況C.Windows中的全部PE文獻都有一種預(yù)定的基地址，它在PE文獻頭中被稱為映像基地址D.使用相對地址，無論被加載到內(nèi)存的哪個位置，全部指令都能正常工作單選題：數(shù)據(jù)訪問指令將使用一種絕對地址來訪問內(nèi)存，這個文獻被加載到預(yù)定基地址之外的另一種地址，訪問這個地址就會錯。如果將這個文獻載入到一種不同的地址，就需要變化這條指令。因此，多數(shù)DLL會在PE頭的（）打包一種修訂位置的列表A..text節(jié)B..date節(jié)C..rsrc節(jié)D..reloc節(jié)判斷題：DLL在exe載入后以任意次序加載。這意味著如果DLL的基地址被重定位了，普通狀況下不能預(yù)測DLL會被定位到內(nèi)存的什么位置。DLL的重定位節(jié)也能夠被移除，一種缺少重定位節(jié)的DLL不能被加載到它的預(yù)定基地址，因此它也就不能被加載。（）★考核知識點:查看線程、棧、代碼參見講稿章節(jié)：10.4單選題：下列說法錯誤的是（）。A.惡意代碼經(jīng)常使用多線程。你能夠通過選擇View-Threads,調(diào)出線程面板窗口，查看一種程序的目前線程B.單擊主工具欄中的暫停按鈕，能夠暫停全部活動的線程C.給定進程中的每個線程有自己的棧，普通狀況下，線程的重要數(shù)據(jù)都保存在棧中。能夠使用OllyDbg的內(nèi)存映射，來查看內(nèi)存中棧的內(nèi)容D.由于OllyDbg是多線程的，可能需要你先暫停全部的線程，設(shè)立一種斷點后，繼續(xù)運行程序，這樣能夠確保在一種特定線程模式內(nèi)調(diào)試判斷題：RuntoSelection選項表達在達到選擇的指令之前始終運行。如果選擇的指令不被執(zhí)行，則被調(diào)試程序會始終運行下去。（）★考核知識點:斷點參見講稿章節(jié)：10.5多選題：下列對各斷點說法對的的是（）。A.查看堆棧中混淆數(shù)據(jù)內(nèi)容的唯一辦法時：待字符串解碼函數(shù)執(zhí)行完畢后，查看字符串的內(nèi)容。在字符串解碼函數(shù)的結(jié)束位置設(shè)立軟件斷點。但是，這種辦法只能在程序使用字符串時識別出他們B.條件斷點是軟件斷點中的一種，只有某些條件得到滿足時這個斷點才干中斷執(zhí)行程序。OllyDbg調(diào)試器允許使用體現(xiàn)式，來設(shè)立斷點，每當斷點命中時，都會先計算體現(xiàn)式的值，如果其值不等于0，斷點生效，程序運行中斷C.硬件斷點非常強大，它能夠在不變化你的代碼、堆棧以及任何目的資源的前提下進行調(diào)試。硬件斷點的問題是調(diào)試進程時，它會減少代碼的執(zhí)行速度D.OllyDbg只允許你一次設(shè)立一種內(nèi)存斷點，如果你設(shè)立了一種新的內(nèi)存斷點，那么之前設(shè)立的內(nèi)存斷點就會被移除判斷題：對于調(diào)用頻繁的API函數(shù)，僅當特定參數(shù)傳給它時才中斷程序執(zhí)行，這種狀況下內(nèi)存斷點特別有用。（）判斷題：OllyDbg中內(nèi)存斷點一次只能設(shè)立一種，而硬件斷點能夠設(shè)立4個。（）★考核知識點:分析shellcode、協(xié)助功效參見講稿章節(jié)：10.8多選題：OllyDbg提供了多個機制來協(xié)助分析，涉及下面幾個（）。A.日志B.監(jiān)視C.協(xié)助D.標注★考核知識點:使用WinDbg調(diào)試內(nèi)核參見講稿章節(jié)：11.1判斷題：顧客調(diào)試比起內(nèi)核調(diào)試模式來說更加復(fù)雜，由于進行顧客調(diào)試時，操作系統(tǒng)將被凍。（）判斷題：顧客態(tài)應(yīng)用程序到內(nèi)核態(tài)驅(qū)動的調(diào)用由操作系統(tǒng)完畢，這種調(diào)用難以被跟蹤。（）★考核知識點:下載器、啟動器、后門參見講稿章節(jié)：12.1判斷題：啟動器普通包含一種它要加載的惡意代碼（）。多選題：下列的惡意代碼行為中，屬于后門的是（）。A.netcat反向shell B.windows反向shell C.遠程控制工具 D.僵尸網(wǎng)絡(luò)判斷題：下載器普通會與漏洞運用打包在一起。（）★考核知識點:遠程控制和僵尸網(wǎng)絡(luò)參見講稿章節(jié)：12.2判斷題：客戶端運行在一種被植入惡意代碼的受害主機上。服務(wù)器端作為攻擊者遠程操縱運行命令和控制的單元。（）★考核知識點:存活機制參見講稿章節(jié)：12.4判斷題：全部服務(wù)都存在于注冊表中,如果一種服務(wù)的注冊表鍵被移除,則這個服務(wù)仍舊能能啟動。（）多選題：惡意代碼的存活機制有（）。A.修改注冊表B.特洛伊二進制文獻C.DLL加載次序劫持D.自我消亡★考核知識點:啟動器與進程注入?yún)⒁娭v稿章節(jié)：13.1單選題：直接將惡意代碼注入到遠程進程中的是（）。A.進程注入B.DLL注入C.鉤子注入D.直接注入多選題：下面說法對的的是（）。A.啟動器普通在text節(jié)存儲惡意代碼，當啟動器運行時，它在運行嵌入的可執(zhí)行程序或者DLL程序之前，從該節(jié)將惡意代碼提取出來B.隱藏啟動的最流行技術(shù)是進程注入。顧名思義，這種技術(shù)是將代碼注入到另外一種正在運行的進程中，而被注入的進程會不知不覺地運行注入的代碼C.DLL注入是進程注入的一種形式，它強迫一種遠程進程加載惡意DLL程序，同時它也是最常使用的秘密加載技術(shù)D.直接注入比DLL注入更加靈活，但是要想注入的代碼在不對宿主進程產(chǎn)生副作用的前提下成功運行，直接注入需要大量的定制代碼。這種技術(shù)能夠被用來注入編譯過的代碼，但更多的時候，它用來注入shellcode判斷題：最慣用的辦法是使用WindowsAPI函數(shù)CreateToolhe1p32Snapshot、Process32First和Process32Next，來查找進程列表中的目的進程。一旦發(fā)現(xiàn)目的進程，啟動器會提取目的進程的進程標記（PID），然后用提取的PID調(diào)用createRemoteThread函數(shù)，以獲取目的進程的句柄。（）★考核知識點:進程注入?yún)⒁娭v稿章節(jié)：13.2單選題：進程替代的核心是以（）創(chuàng)立一種進程。A.等待狀態(tài)B.就緒狀態(tài)C.運行狀態(tài)D.掛起狀態(tài)判斷題：當惡意代碼編寫者想要將惡意代碼偽裝成一種正當進程，能夠使用一種被稱為進程注入的辦法，將一種可執(zhí)行文獻重寫到一種運行進程的內(nèi)存空間。（）判斷題：這種進程替代技術(shù)讓惡意代碼與被替代進程擁有相似的特權(quán)級。（）★考核知識點:Hook注入?yún)⒁娭v稿章節(jié)：13.3單選題：（）常被一種叫做擊鍵統(tǒng)計器的惡意程序所使用，被用來統(tǒng)計擊鍵。A.DLL注入B.直接注入C.APC注入D.鉤子注入判斷題：惡意的應(yīng)用程序會掛鉤一種經(jīng)常使用的Windows消息。（）★考核知識點:Detours與APC注入?yún)⒁娭v稿章節(jié)：13.4單選題：線程創(chuàng)立需要系統(tǒng)開銷，（）能夠調(diào)用一種現(xiàn)有的線程。A.進程注入B.直接注入C.Hook注入D.APC注入單選題：APC能夠讓一種線程在它正常的執(zhí)行途徑運行之前執(zhí)行某些其它的代碼。每一種線程都有一種附加的APC隊列，它們在線程處在（）時被解決。A.阻塞狀態(tài)B.計時等待狀態(tài)C.可警告的等待狀態(tài)D.被終止狀態(tài)★考核知識點:數(shù)據(jù)加密參見講稿章節(jié)：14.1多選題：下列是分析加密算法的目的是（）。A隱藏配備文獻信息。例如，命令和控制服務(wù)器域名B竊取信息的時候?qū)⑺４娴揭环N永久文獻C存儲需要使用的字符串，并在使用前對其解密D將惡意代碼偽裝成一種正當?shù)墓ぞ?，隱藏惡意代碼活動中使用的字符串參見講稿章節(jié)：14.2判斷題：由于單字節(jié)加密的弱點，許多惡意代碼編寫者采用稍微復(fù)雜的編碼方案，從而使得暴力探測不那么容易且仍能比較簡樸的實現(xiàn)。（）判斷題：原始數(shù)據(jù)轉(zhuǎn)換成Base64的過程相稱原則。它使用12位的塊。（）參見講稿章節(jié)：14.3多選題：下列辦法中是識別原則加密算法的辦法是（）。A識別涉及加密算法使用的字符串B識別引用導(dǎo)入的加密函數(shù)C搜索常見加密常量的工具D查找高熵值的內(nèi)容二、主觀部分：★考核知識點:計算機病毒的定義和類型參見講稿章節(jié)：1.1填空題：蠕蟲病毒是一種常見的計算機病毒，它運用網(wǎng)絡(luò)進行（），傳染途徑是通過（）。簡答題：簡述病毒的概念?！锟己酥R點:計算機病毒分析技術(shù)概述參見講稿章節(jié)：1.3填空題：惡意代碼分析技術(shù)分析涉及（）,（）,（），（）。簡答題：計算機病毒分析內(nèi)容？★考核知識點:靜態(tài)分析技術(shù)參見講稿章節(jié)：2.1填空題：蠕蟲病毒是一種常見的計算機病毒，它運用網(wǎng)絡(luò)進行（），傳染途徑是通過（）。填空題：木馬與病毒的重大區(qū)別是（），它并不能像病毒那樣（），也并不“刻意”地去感染其它文獻，它重要通過將（），吸引顧客下載執(zhí)行。填空題：惡意代碼分析技術(shù)分析涉及（）、（）、動態(tài)分析基礎(chǔ)技術(shù)、動態(tài)分析高級技術(shù)。簡答題:病毒必須滿足的兩個條件是？★考核知識點:X86反匯編參見講稿章節(jié)：5.2簡答題：簡述操作數(shù)闡明指令要使用的數(shù)據(jù)，有哪幾個?！锟己酥R點:識別匯編中的C語言代碼構(gòu)造參見講稿章節(jié)：7.1填空題：顧客編制程序時使用的地址稱為（）或（），其對應(yīng)的存儲空間稱為（）或（）?！锟己酥R點:識別循環(huán)參見講稿章節(jié)：7.3填空題：for循環(huán)總是有4個組件：（），（），（），（）。★考核知識點:識別switch構(gòu)造美化參見講稿章節(jié)：7.5簡答題：跳轉(zhuǎn)表的概念?！?/p>