21春南開大學(xué)《計算機病毒分析》在線作業(yè)-2參考答案

1、21春南開大學(xué)計算機病毒分析在線作業(yè)-2參考答案以下不是檢測SSDT掛鉤的方法是()。A.遍歷SSDT表B.使用查殺病毒的軟件C.查找異常的函數(shù)入口地址D.ntoskrnl.exe的地址空間是從804d7000到806cd580基于Linux模擬常見網(wǎng)絡(luò)服務(wù)的軟件的是()。A.ApateDNSB.NetcatC.INetSimD.Wireshark病毒是指編制或者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù)，影響計算機使用并且能夠自我復(fù)制的一組()。A.計算機指令B.程序代碼C.文件D.計算機指令或者程序代碼若依次壓入數(shù)字1、2、3、4，則第二次彈出來的會是()。A.1B.2C.3D.4在以

2、下寄存器中用于定位內(nèi)存節(jié)的寄存器是()。A.通用寄存器B.段寄存器C.狀態(tài)寄存器D.指令指針以下不是解釋型語言的是()。A.JavaB.PerlC.NETD.C單步調(diào)試是通過()實現(xiàn)的。A.每條代碼之前添加軟件斷點B.每條代碼之前添加硬件斷點C.標(biāo)志寄存器中的陷阱標(biāo)志(trap flag)D.標(biāo)志寄存器中的zf標(biāo)志位可以按()鍵定義原始字節(jié)為代碼。A.C鍵B.D鍵C.shift+D鍵D.U鍵下列對內(nèi)核套件的描述正確的是()。A.惡意代碼將自身安裝到一臺計算機來允許攻擊者訪問B.這是一類只是用來下載其他惡意代碼的惡意代碼C.用來啟動其他惡意程序的惡意代碼D.設(shè)計用來隱藏其他惡意代碼的惡意代碼網(wǎng)絡(luò)

3、造成破壞的軟件惡意代碼編寫者使用()庫執(zhí)行對導(dǎo)入表的修改，掛載DLL到己有程序文件，并且向運行的進(jìn)程添加函數(shù)鉤子等。A.Detours庫B.DLL運行庫C.MFCD.vc運行庫以下哪種互聯(lián)網(wǎng)連接模式允許虛擬機與物理機連接到相同的物理網(wǎng)卡上?()A.bridgedB.NETC.Host-onlyD.Custom一共有()個硬件寄存器存儲斷點的地址。A.1個B.3個C.4個D.7個當(dāng)要判斷某個內(nèi)存地址含義時，應(yīng)該設(shè)置什么類型的斷點?()A.軟件執(zhí)行斷點B.硬件執(zhí)行斷點C.條件斷點D.非條件斷點木馬與病毒的重大區(qū)別是()。A.木馬會自我復(fù)制B.木馬具有隱蔽性C.木馬不具感染性D.木馬通過網(wǎng)絡(luò)傳播在W

4、inDbg的搜索符號中，()命令允許你使用通配符來搜索函數(shù)或者符號。A.buB.xC.LnD.dt()是一把雙刃劍，可以用來分析內(nèi)部網(wǎng)絡(luò)、調(diào)試應(yīng)用程序問題，也可以用來嗅探密碼、監(jiān)聽在線聊天。A.ApateDNSB.NetcatC.INetSimD.Wireshark()常被一種叫做擊鍵記錄器的惡意程序所使用，被用來記錄擊鍵。A.DLL注入B.直接注入C.APC注入D.鉤子注入當(dāng)調(diào)試可以修改自身的代碼的代碼時，應(yīng)該設(shè)置什么類型的斷點?()A.軟件執(zhí)行斷點B.硬件執(zhí)行斷點C.條件斷點D.非條件斷點直接將惡意代碼注入到遠(yuǎn)程進(jìn)程中的是()。A.進(jìn)程注入B.DLL注入C.鉤子注入D.直接注入以下運行DL

5、L文件的語法格式不正確的是()。A.C：rundll32.exe rip.dll，InstallB.C：rundll32.exe rip.dllC.C：rundll32 rip.dll，InstallService ServiceName C：net start ServiceNameD.C：sc rip.dll在獲取不到高級語言源碼時，()是從機器碼中能可信并保持一致地還原得到的最高一層語言。A.機器指令B.微指令C.匯編語言D.機器碼以下對各斷點說法錯誤的是()。A.查看堆棧中混淆數(shù)據(jù)內(nèi)容的唯一方法時：待字符串解碼函數(shù)執(zhí)行完成后，查看字符串的內(nèi)容，在字符串解碼函數(shù)的結(jié)束位置設(shè)置軟件斷點B.

6、條件斷點是軟件斷點中的一種，只有某些條件得到滿足時這個斷點才能中斷執(zhí)行程序C.硬件斷點非常強大，它可以在不改變你的代碼、堆棧以及任何目標(biāo)資源的前提下進(jìn)行調(diào)試D.OllyDbg只允許你一次設(shè)置一個內(nèi)存斷點，如果你設(shè)置了一個新的內(nèi)存斷點，那么之前設(shè)置的內(nèi)存斷點就會被移除ApateDNS在本機上監(jiān)聽UDP()端口。A.53B.69C.161D.80用戶模式下的APC要求線程必須處于()狀態(tài)。A.阻塞狀態(tài)B.計時等待狀態(tài)C.可警告的等待狀態(tài)D.被終止?fàn)顟B(tài)PE文件中的分節(jié)中唯一包含代碼的節(jié)是()。A.rdataB.textC.dataD.rsrc惡意代碼常用注冊表()。A.存儲配置信息B.收集系統(tǒng)信息C

7、.永久安裝自己D.網(wǎng)上注冊()是Windows API的標(biāo)準(zhǔn)調(diào)用約定。A.cdeclB.stdcallC.fastcallD.壓棧與移動以下對個各個插件說法正確的是()。A.OllyDump是OllyDbg最常使用的插件，它能夠?qū)⒁粋€被調(diào)試的進(jìn)程轉(zhuǎn)儲成一個PE文件B.為了防止惡意代碼使用反調(diào)試技術(shù)，惡意代碼分析人員通常在分析惡意代碼期間，一直運行調(diào)試器隱藏插件C.OllyDbg的命令行插件允許你用命令行來使用OllyDbgD.OllyDbg默認(rèn)情況下自帶書簽插件，書簽插件可以將一個內(nèi)存位置加到書簽中，利用書簽，下次不需要記住就可以輕松獲取那個內(nèi)存地址對下面匯編代碼的分析正確的是()。A.mov

8、 ebpvar_4，0對應(yīng)循環(huán)變量的初始化步驟B.add eax，1對應(yīng)循環(huán)變量的遞增，在循環(huán)中其最初會通過一個跳轉(zhuǎn)指令而跳過C.比較發(fā)生在cmp處，循環(huán)決策在jge處通過條件跳轉(zhuǎn)指令而做出D.在循環(huán)中，通過一個無條件跳轉(zhuǎn)jmp，使得循環(huán)變量每次進(jìn)行遞增OllyDbg支持的跟蹤功能有()。A.標(biāo)準(zhǔn)回溯跟蹤B.堆棧調(diào)用跟蹤C.運行跟蹤D.邊緣跟蹤惡意代碼編寫者可以掛鉤一個特殊的Winlogon事件，比如()。A.登錄B.注銷C.關(guān)機D.鎖屏微軟fastcall約定備用的寄存器是()。A.EAXB.ECXC.EDXD.EBX名字窗口，列舉哪些內(nèi)存地址的名字?()A.函數(shù)名B.代碼的名字C.數(shù)據(jù)的名

9、字D.字符串調(diào)試器可以用來改變程序的執(zhí)行方式?？梢酝ㄟ^修改()方式來改變程序執(zhí)行的方式。A.修改控制標(biāo)志B.修改指令指針C.修改程序本身D.修改文件名對一個監(jiān)聽入站連接的服務(wù)應(yīng)用，順序是()函數(shù)，等待客戶端的連接。A.socket、bind、listen和acceptB.socket、bind、accept和listenC.bind、sockect、listen和acceptD.accept、bind、listen和socketNetcat被稱為“TCP/IP協(xié)議棧瑞士軍刀”，可以被用在支持端口掃描、隧道、代理、端口轉(zhuǎn)發(fā)等的對內(nèi)對外連接上。在監(jiān)聽模式下，Netcat充當(dāng)一個服務(wù)器，而在連接模式

10、下作為一個客戶端。Netcat從標(biāo)準(zhǔn)輸入得到數(shù)據(jù)進(jìn)行網(wǎng)絡(luò)傳輸，而它得到的數(shù)據(jù)，又可以通過標(biāo)準(zhǔn)輸出顯示到屏幕上。()A.正確B.錯誤有時，某個標(biāo)準(zhǔn)符號常量不會顯示，這時你需要手動加載有關(guān)的類型庫。()A.正確B.錯誤下載器通常會與漏洞利用打包在一起。()A.正確B.錯誤一個網(wǎng)絡(luò)程序通常有兩個端點：服務(wù)端和客戶端。而惡意代碼只能是這兩端中客戶端。()A.正確B.錯誤IP地址會被表示為0x7F000001，而在小端字節(jié)序下，表示為0x7F000001。()A.正確B.錯誤基于鏈接的分析中，URLDownloadToFile()一般提示計算機病毒會從Internet上下載一個文件。(

11、)A.正確B.錯誤在編譯器對源碼進(jìn)行編譯完成時，還是可以判斷源代碼使用的是一個常量符號還是一個數(shù)字。()A.正確B.錯誤病毒特征碼關(guān)注是惡意代碼對系統(tǒng)做什么，而主機特征碼關(guān)注惡意代碼本身的特性。()A.正確B.錯誤這種進(jìn)程替換技術(shù)讓惡意代碼與被替換進(jìn)程擁有相同的特權(quán)級。()A.正確B.錯誤惡意代碼經(jīng)常使用自創(chuàng)的加密方法，比如將多個簡單加密方法組裝到一起。()A.正確B.錯誤導(dǎo)入表窗口能夠列舉一個文件的所有導(dǎo)入函數(shù)。()A.正確B.錯誤在默認(rèn)情況下，IDA Pro的反匯編代碼中包含PE頭或資源節(jié)。()A.正確B.錯誤DLL注入時，啟動器惡意代碼沒有調(diào)用一個惡意函數(shù)。如前面所述，惡意的代碼都位于D

12、llMain函數(shù)中，當(dāng)操作系統(tǒng)將DLL加載到內(nèi)存時，操作系統(tǒng)會自動調(diào)用這些代碼。DLL注入啟動器的目的用惡意DLL作為參數(shù)，調(diào)用createRemoteThread創(chuàng)建遠(yuǎn)程線程LoadLibrary。()A.正確B.錯誤WinDbg支持在命令行中使用簡單的算數(shù)操作符，對內(nèi)存和寄存器進(jìn)行直接的操作，如加減乘除。()A.正確B.錯誤shr和shl指令用于對寄存器做位移操作。()A.正確B.錯誤 參考答案：B參考答案：C參考答案：C參考答案：B參考答案：B參考答案：D參考答案：C參考答案：A參考答案：D參考答案：A參考答案：A參考答案：C參考答案：B參考答案：C參考答案：B參考答案：D參考答案：D參考答案：B參考答案：D參考答案：D參考答案：C參考答案：C