奧鵬南開《計算機病毒分析》20春期末考核.doc

1、1 .網絡黑客產業(yè)鏈是指黑客們運用技術手段入侵服務器獲取站點權限 以及各類賬戶信息并從中謀取。的一條產業(yè)鏈。A.非法經濟利益B.經濟效益C.效益 D.利潤【參考答案】:A2 .下列屬于靜態(tài)高級分析技術的描述是O。A.檢查可執(zhí)行文件但不查看具體指令的一些技術分析的目標B.涉及運行惡意代碼并觀察系統(tǒng)上的行為，以移除感染，產生有效的檢測特征碼，或者兩 者C.主要是對惡意代碼內部機制的逆向工程，通過將可執(zhí)行文件裝載到反匯編器中，查看程序指令，來發(fā)現(xiàn)惡意代碼到底做了什么D.使用調試器來檢查一個惡意可執(zhí)行程序運行時刻的內部狀態(tài)【參考答案】：C3 .可以按。鍵定義原始字節(jié)為代碼。A. C 鍵 B. D 鍵

2、C. shift D 鍵 D. U 鍵【參考答案】：A4 .以下Windows API類型中。是表示一個將會被Windows API調用的 函數(shù)。A. WORD B. DWORD C. Habdles D. Callback【參考答案】：D5 .用IDA Pro對一個程序進行反匯編時，字節(jié)偶爾會被錯誤的分類。可 以對錯誤處按。鍵來取消函數(shù)代碼或數(shù)據(jù)的定義。A.C 鍵 B.D 鍵 C. shift+D 鍵 D. U 鍵6,反病毒軟件主要是依靠。來分析識別可疑文件。A.文件名B.病毒文件特征庫C.文件類型D.病毒文件種類【參考答案】：B7 . IDA pro支持（）種圖形選項A. 1種 B. 3種

3、 C. 5種 D. 7種【參考答案】:C8 .以下對各斷點說法錯誤的是。A.查看堆棧中混淆數(shù)據(jù)內容的唯一方法時：待字符串解碼函數(shù)執(zhí)行完成后，查看 字符串的內容，在字符用解碼函數(shù)的結束位置設置軟件斷點B.條件斷點是軟件斷點中的一種，只有某些條件得到滿足時這個斷點才能中斷執(zhí)行程序C.硬件斷點非常強大，它可以在不改變你的代碼、堆棧以及任何目標資源的前提下 進行調試 D. OllyDbg只允許你一次設置一個內存斷點，如果你設置了一個新 的內存斷點，那么之前設置的內存斷點就會被移除【參考答案】：C9 .在通用寄存器中，。是數(shù)據(jù)寄存器。A. EAX B. EBX C. ECX D. EDX【參考答案】：D

4、10. WinDbg的內存窗口支持通過命令來瀏覽內存，以下WinDbg讀選項中，。選項描述讀取內存數(shù)據(jù)并以內存32位雙字顯示。A. da B. du C. dd D. de【參考答案】：c11 .下面說法錯誤的是。A.啟動器通常在text節(jié)存儲惡意代碼，當啟動器運行時，它在運行嵌入的可執(zhí) 行程序或者DLL程序之前，從該節(jié)將惡意代碼提取出來 B.隱藏啟動的最流行 技術是進程注入。顧名思義，這種技術是將代碼注入到另外一個正在運行的進程 中，而被注入的進程會不知不覺地運行注入的代碼 C. DLL注入是進程注入的 一種形式，它強迫一個遠程進程加載惡意DLL程序，同時它也是最常使用的秘密 加載技術 D.

5、直接注入比DLL注入更加靈活，但是要想注入的代碼在不對宿主 進程產生副作用的前提下成功運行，直接注入需要大量的定制代碼。這種技術可 以被用來注入編譯過的代碼，但更多的時候，它用來注入shellcode【參考答案】：A12 .當要判斷某個內存地址含義時，應該設置什么類型的斷點（）A.軟件執(zhí)行斷點 B.硬件執(zhí)行斷點 C.條件斷點D.非條件斷點【參考答案】:B13 .011yDbg的硬件斷點最多能設置O個。A. 3個 B.4個 C. 5個 D. 6個【參考答案】:B14 . PE文件中的分節(jié)中唯一包含代碼的節(jié)是。A. rdata B. text C. data D. . rsrc【參考答案】：B15

6、 .轟動全球的震網病毒是。A.木馬B.蠕蟲病毒C.后門D.寄生型病毒【參考答案】：B16 .以下是句柄是在操作系統(tǒng)中被打開或被創(chuàng)建的項的是A.窗口 B.進程 C.模塊 D.菜單【參考答案】:ABCD17.011yDbg提供了多種機制來幫助分析，包括下面幾種。A.日志 B.監(jiān)視 C.幫助 D.標注【參考答案】：ABCD18 .惡意代碼常用注冊表0A.存儲配置信息B.收集系統(tǒng)信息 C.永久安裝自己 D.網上注冊【參考答案】：ABC19 .進程監(jiān)視器提供默認下面四種過濾功能是（）。A.注冊表 B.文件系統(tǒng)C.進程行為D.網絡【參考答案】：ABCD1.1 INetSim可以模擬的網絡服務有。A. HT

7、TP B.FTP C. IRC D. DNS【參考答案】：ABCD21 .以下的惡意代碼行為中，屬于后門的是。A. netcat反向shell B. windows反向shellC.遠程控制工具D.僵尸網絡【參考答案】：ABCD22 .后門的功能有A.操作注冊表B.列舉窗口 C.創(chuàng)建目錄D.搜索文件【參考答案】：ABCD23 .對一個監(jiān)聽入站連接的服務應用，順序是（）函數(shù)，等待客戶端的 連接。A. socket、 bind、 listen 和 accept B. socket、 bind accept 和 listen C.bind、 sockect> listen W accept D

8、.accept、 bind> listen 和 socket【參考答案】：ABCD24 .微軟fastcall約定備用的寄存器是。A. EAX B. ECX C. EDX D. EBX【參考答案】：BC25 .運行計算機病毒，監(jiān)控病毒的行為，需要一個安全、可控的運行環(huán) 境的原因是什么A.惡意代碼具有傳染性B.可以進行隔離 C.惡意代碼難以清除D.環(huán)境容易搭建【參考答案】：ABC26 .編碼不僅僅影響通信，它也可以使惡意代碼更加難以分析和理解。T.對 F.錯【參考答案】:A27 .蠕蟲或計算機病毒是可以自我復制和感染其他計算機的惡意代碼。T.對 F.錯【參考答案】：A28 .惡意的應用程序

9、會掛鉤一個經常使用的Windows消息。T.對 F.錯【參考答案】：B29 .除非有上下文，否則通常情況下，被顯示的數(shù)據(jù)會被格式化為八進 制的值。T.對 F.錯【參考答案】:A30 .哈希函數(shù)，是一種從任何一種數(shù)據(jù)中創(chuàng)建小的數(shù)字“指紋”的方法。T.對 F.錯【參考答案】：A31 . Base64加密用ASCII字符串格式表示十六進制數(shù)據(jù)。T.對 F.錯【參考答案】：B32 .CreateFile ()這個函數(shù)被用來創(chuàng)建和打開文件。T.對 F.錯【參考答案】：A33 .011yDbg的插件以DLL形式存在，如果要安裝某個插件，你將這個 插件的DLL放到OllyDbg的安裝根目錄下即可。T.對 F

10、.錯【參考答案】：A34 .微軟符號也包含多個數(shù)據(jù)結構的類型信息，但并不包括沒有被公開 的內部類型。T.對 F.錯【參考答案】:B35 .在完成程序的過程中，通用寄存器它們是完全通用的。T.對 F.錯【參考答案】：B36 .簡述計算機病毒使用標準加密算法庫函數(shù)時存在的問題?！緟⒖即鸢浮浚海?）加密算法的庫文件很大，所以惡意代碼需要靜態(tài)的集成或 者鏈接到已有的代碼中。（2）鏈接主機上現(xiàn)有的代碼可能降低可移植性0 （3） 標準加密庫比較容易探測。（4）對稱加密算法需要考慮如何隱藏密鑰。37 .為了隱蔽自身，計算機病毒的使用了多種技術將惡意代碼隱藏到正常的Windows資源空間中。請簡述計算機病毒如何使用APC注入技術實現(xiàn)惡意代碼的隱蔽啟動。【參考答案】：異步過程調用APC可以讓一個線程在它正常的執(zhí)行路徑運行之前 執(zhí)行一些其它的代碼。每一個線程都有一個附加的APC隊列，它們在線程處于 可警告的等待狀態(tài)時被處理。如果應用程序在線程可警告等待狀態(tài)時（未運行 之前）排入一個APC隊列，那么線程將從調用APC函數(shù)開始。線程逐個調用APC 隊列中的所有APC?！盇PC隊列完成時，線程才繼續(xù)沿著它規(guī)定的路徑執(zhí)行。惡 意代碼編寫者為了讓他們的