南開大學(xué)22年春學(xué)期《計(jì)算機(jī)病毒分析》在線作業(yè)-00001

1、-本頁為預(yù)覽頁P(yáng)AGE14-本頁為預(yù)覽頁-本頁為預(yù)覽頁22春學(xué)期（高起本1709-1803、全層次1809-2103）計(jì)算機(jī)病毒分析在線作業(yè)-00001第1題. 下列概念說法錯誤的是（）。選項(xiàng)A：內(nèi)存映射窗口（ViewMemory）顯示了被調(diào)用程序分配的使用內(nèi)存塊選項(xiàng)B：基地址重定位是指Windows中的一個(gè)模塊沒有被加載到其預(yù)定基地址時(shí)發(fā)生的情況選項(xiàng)C：Windows中的所有PE文件都有一個(gè)預(yù)定的基地址，它在PE文件頭中被稱為映像基地址選項(xiàng)D：使用相對地址，無論被加載到內(nèi)存的哪個(gè)位置，所有指令都能正常工作參考答案：D第2題. （）是指Windows中的一個(gè)模塊沒有被加載到其預(yù)定基地址時(shí)發(fā)生的

2、情況。選項(xiàng)A：內(nèi)存映射選項(xiàng)B：基地址重定位選項(xiàng)C：斷點(diǎn)選項(xiàng)D：跟蹤參考答案：B第3題. （）常被一種叫做擊鍵記錄器的惡意程序所使用，被用來記錄擊鍵 。選項(xiàng)A：DLL注入選項(xiàng)B：直接注入選項(xiàng)C：APC注入選項(xiàng)D：鉤子注入?yún)⒖即鸢福篋第4題. 以下運(yùn)行DLL文件的語法格式不正確的是（）。選項(xiàng)A：C:rundll32.exe rip.dll,Install選項(xiàng)B：C:rundll32.exe rip.dll,#5選項(xiàng)C：C:rundll32 rip.dll,InstallService ServiceName C:net start ServiceName選項(xiàng)D：C:sc rip.dll參考答案：D

3、第5題. 當(dāng)一個(gè)庫被鏈接到可執(zhí)行程序時(shí)，所有這個(gè)庫中的代碼都會復(fù)制到可執(zhí)行程序中去，這種鏈接方法是（）。選項(xiàng)A：靜態(tài)鏈接選項(xiàng)B：動態(tài)鏈接選項(xiàng)C：運(yùn)行時(shí)鏈接選項(xiàng)D：轉(zhuǎn)移鏈接參考答案：A第6題. GFI沙箱生成報(bào)告不包括哪個(gè)小節(jié)（）。選項(xiàng)A：分析摘要選項(xiàng)B：文件活動選項(xiàng)C：注冊表選項(xiàng)D：程序功能參考答案：D第7題. 對下面指令分析不正確的是（）。選項(xiàng)A：要跳轉(zhuǎn)的決定是基于一個(gè)比較（cmp）語句來做的選項(xiàng)B：調(diào)劑跳轉(zhuǎn)（jnz），如果這兩個(gè)值不相等，這個(gè)跳轉(zhuǎn)就會發(fā)生選項(xiàng)C：代碼跳轉(zhuǎn)（jump）保證了只有一條代碼路徑會被執(zhí)行選項(xiàng)D：對于一個(gè)if語句必定有一個(gè)條件跳轉(zhuǎn)，所有條件跳轉(zhuǎn)也都對應(yīng)if語句參考答案

4、：D第8題. 用戶模式下的APC要求線程必須處于（）狀態(tài)。選項(xiàng)A：阻塞狀態(tài)選項(xiàng)B：計(jì)時(shí)等待狀態(tài)選項(xiàng)C：可警告的等待狀態(tài)選項(xiàng)D：被終止?fàn)顟B(tài)參考答案：C第9題. 進(jìn)程瀏覽器的功能不包括（）。選項(xiàng)A：比較進(jìn)程瀏覽器中的DLL列表與在Dependency Walker工具中顯示的導(dǎo)入DLL列表來判斷一個(gè)DLL是否被加載到進(jìn)程選項(xiàng)B：單擊驗(yàn)證按鈕，可以驗(yàn)證磁盤上的鏡像文件是否具有微軟的簽名認(rèn)證選項(xiàng)C：比較運(yùn)行前后兩個(gè)注冊表的快照，發(fā)現(xiàn)差異選項(xiàng)D：一種快速確定一個(gè)文檔是否惡意的方法，就是打開進(jìn)程瀏覽器，然后打開文檔。若文檔啟動了任意進(jìn)程，你能進(jìn)程瀏覽器中看到，并能通過屬性窗口中的鏡像來定位惡意代碼在磁盤上

5、的位置。參考答案：C第10題. 用IDA Pro對一個(gè)程序進(jìn)行反匯編時(shí)，字節(jié)偶爾會被錯誤的分類?？梢詫﹀e誤處按（）鍵來取消函數(shù)代碼或數(shù)據(jù)的定義。選項(xiàng)A：C鍵選項(xiàng)B：D鍵選項(xiàng)C：shift+D鍵選項(xiàng)D：U鍵參考答案：D第11題. ApateDNS在本機(jī)上監(jiān)聽UDP（）端口。選項(xiàng)A：53選項(xiàng)B：69選項(xiàng)C：161選項(xiàng)D：80參考答案：A第12題. 以下注冊表根鍵中（）保存定義的類型信息。選項(xiàng)A：HKEY_LOCAL_MACHINE(HKLM)選項(xiàng)B：HKEY_CURRENT_USER(HKCU)選項(xiàng)C：HKEY_CLASSES_ROOT選項(xiàng)D：HKEY_CURRENT_CONFIG參考答案：C第1

6、3題. 惡意代碼分析不應(yīng)該注意（）。選項(xiàng)A：應(yīng)該在進(jìn)入細(xì)節(jié)之前有一個(gè)概要性的理解選項(xiàng)B：嘗試多從不同角度，多使用不同工具和方法來分析惡意代碼選項(xiàng)C：惡意代碼本身的特性選項(xiàng)D：惡意代碼本身的特性，盡量關(guān)注細(xì)節(jié)選項(xiàng)E：惡意代碼分析就像是貓抓老鼠的游戲，應(yīng)該能夠快速地應(yīng)對惡意代碼的新變化參考答案：C第14題. ()是一種設(shè)置自身或其他惡意代碼片段以達(dá)到即時(shí)或?qū)砻孛苓\(yùn)行的惡意代碼。選項(xiàng)A：后門選項(xiàng)B：下載器選項(xiàng)C：啟動器選項(xiàng)D：內(nèi)核嵌套參考答案：C第15題. OllyDbg的硬件斷點(diǎn)最多能設(shè)置（）個(gè)。選項(xiàng)A：3個(gè)選項(xiàng)B：4個(gè)選項(xiàng)C：5個(gè)選項(xiàng)D：6個(gè)參考答案：B第16題. 以下Windows API類

7、型中（）是表示一個(gè)將會被Windows API調(diào)用的函數(shù)。選項(xiàng)A：WORD選項(xiàng)B：DWORD選項(xiàng)C：Habdles選項(xiàng)D：Callback參考答案：D第17題. 直接將惡意代碼注入到遠(yuǎn)程進(jìn)程中的是（）。選項(xiàng)A：進(jìn)程注入選項(xiàng)B：DLL注入選項(xiàng)C：鉤子注入選項(xiàng)D：直接注入?yún)⒖即鸢福篋第18題. 在通用寄存器中，（）是數(shù)據(jù)寄存器。選項(xiàng)A：EAX選項(xiàng)B：EBX選項(xiàng)C：ECX選項(xiàng)D：EDX參考答案：D第19題. （）是可以記錄程序詳細(xì)的運(yùn)行信息的調(diào)試技術(shù)。選項(xiàng)A：內(nèi)存映射選項(xiàng)B：基地址重定位選項(xiàng)C：斷點(diǎn)選項(xiàng)D：跟蹤參考答案：D第20題. 下列說法錯誤的是（）。選項(xiàng)A：惡意代碼經(jīng)常使用多線程。你可以通過選

8、擇View-Threads,調(diào)出線程面板窗口，查看一個(gè)程序的當(dāng)前線程選項(xiàng)B：單擊主工具欄中的暫停按鈕，可以暫停所有活動的線程選項(xiàng)C：給定進(jìn)程中的每個(gè)線程有自己的棧，通常情況下，線程的重要數(shù)據(jù)都保存在棧中?？梢允褂肙llyDbg的內(nèi)存映射，來查看內(nèi)存中棧的內(nèi)容選項(xiàng)D：由于OllyDbg是多線程的，可能需要你先暫停所有的線程，設(shè)置一個(gè)斷點(diǎn)后，繼續(xù)運(yùn)行程序，這樣可以確保在一個(gè)特定線程模式內(nèi)調(diào)試參考答案：D第21題. 當(dāng)調(diào)試可以修改自身的代碼的代碼時(shí)，應(yīng)該設(shè)置什么類型的斷點(diǎn)（）選項(xiàng)A：軟件執(zhí)行斷點(diǎn)選項(xiàng)B：硬件執(zhí)行斷點(diǎn)選項(xiàng)C：條件斷點(diǎn)選項(xiàng)D：非條件斷點(diǎn)參考答案：B第22題. 加法和減法是從目標(biāo)操作數(shù)中加

9、上或減去（）個(gè)值。選項(xiàng)A：0選項(xiàng)B：1選項(xiàng)C：2選項(xiàng)D：3參考答案：B第23題. 以下對各斷點(diǎn)說法錯誤的是（）。選項(xiàng)A：查看堆棧中混淆數(shù)據(jù)內(nèi)容的唯一方法時(shí)：待字符串解碼函數(shù)執(zhí)行完成后，查看字符串的內(nèi)容，在字符串解碼函數(shù)的結(jié)束位置設(shè)置軟件斷點(diǎn)選項(xiàng)B：條件斷點(diǎn)是軟件斷點(diǎn)中的一種，只有某些條件得到滿足時(shí)這個(gè)斷點(diǎn)才能中斷執(zhí)行程序選項(xiàng)C：硬件斷點(diǎn)非常強(qiáng)大，它可以在不改變你的代碼、堆棧以及任何目標(biāo)資源的前提下進(jìn)行調(diào)試選項(xiàng)D：OllyDbg只允許你一次設(shè)置一個(gè)內(nèi)存斷點(diǎn)，如果你設(shè)置了一個(gè)新的內(nèi)存斷點(diǎn)，那么之前設(shè)置的內(nèi)存斷點(diǎn)就會被移除參考答案：C第24題. （）是一把雙刃劍，可以用來分析內(nèi)部網(wǎng)絡(luò)、調(diào)試應(yīng)用程序問

10、題，也可以用來嗅探密碼、監(jiān)聽在線聊天。選項(xiàng)A：ApateDNS選項(xiàng)B：Netcat選項(xiàng)C：INetSim選項(xiàng)D：Wireshark參考答案：D第25題. 轟動全球的震網(wǎng)病毒是（）。選項(xiàng)A：木馬選項(xiàng)B：蠕蟲病毒選項(xiàng)C：后門選項(xiàng)D：寄生型病毒參考答案：B第26題. 后門的功能有選項(xiàng)A：操作注冊表選項(xiàng)B：列舉窗口選項(xiàng)C：創(chuàng)建目錄選項(xiàng)D：搜索文件參考答案：A,B,C,D第27題. 以下的惡意代碼行為中，屬于后門的是（）選項(xiàng)A：netcat反向shell選項(xiàng)B：windows反向shell選項(xiàng)C：遠(yuǎn)程控制工具選項(xiàng)D：僵尸網(wǎng)絡(luò)參考答案：A,B,C,D第28題. OllyDbg支持的跟蹤功能有（）。選項(xiàng)A：

11、標(biāo)準(zhǔn)回溯跟蹤選項(xiàng)B：堆棧調(diào)用跟蹤選項(xiàng)C：運(yùn)行跟蹤選項(xiàng)D：邊緣跟蹤參考答案：A,B,C第29題. 運(yùn)行計(jì)算機(jī)病毒，監(jiān)控病毒的行為，需要一個(gè)安全、可控的運(yùn)行環(huán)境的原因是什么選項(xiàng)A：惡意代碼具有傳染性選項(xiàng)B：可以進(jìn)行隔離選項(xiàng)C：惡意代碼難以清除選項(xiàng)D：環(huán)境容易搭建參考答案：A,B,C第30題. 對一個(gè)監(jiān)聽入站連接的服務(wù)應(yīng)用，順序是（）函數(shù)，等待客戶端的連接。選項(xiàng)A：socket、bind、listen和accept選項(xiàng)B：socket、bind、accept和listen選項(xiàng)C：bind、sockect、listen和accept選項(xiàng)D：accept、bind、listen和socket參考答案：A

12、,B,C,D第31題. 惡意代碼編寫者可以掛鉤一個(gè)特殊的 Winlogon事件,比如()選項(xiàng)A：登錄選項(xiàng)B：注銷選項(xiàng)C：關(guān)機(jī)選項(xiàng)D：鎖屏參考答案：A,B,C,D第32題. 后門擁有一套通用的功能，都有以下那些功能？（）選項(xiàng)A：操作注冊表選項(xiàng)B：列舉窗口選項(xiàng)C：創(chuàng)建目錄選項(xiàng)D：搜索文件參考答案：A,B,C,D第33題. 惡意代碼作者如何使用DLL（）多選選項(xiàng)A：保存惡意代碼選項(xiàng)B：通過使用Windows DLL選項(xiàng)C：控制內(nèi)存使用DLL選項(xiàng)D：通過使用第三方DLL參考答案：A,B,D第34題. 以下是分析加密算法目的的是選項(xiàng)A：隱藏配置文件信息。選項(xiàng)B：竊取信息之后將它保存到一個(gè)臨時(shí)文件。選項(xiàng)C

13、：存儲需要使用的字符串，并在使用前對其解密。選項(xiàng)D：將惡意代碼偽裝成一個(gè)合法的工具，隱藏惡意代碼參考答案：A,B,C,D第35題. IDA Pro 都有以下什么功能（）。選項(xiàng)A：識別函數(shù)選項(xiàng)B：標(biāo)記函數(shù)選項(xiàng)C：劃分出局部變量選項(xiàng)D：劃分出參數(shù)參考答案：A,B,C,D第36題. 重新編寫函數(shù)和使用惡意代碼中存在的函數(shù)是兩種基本方法重現(xiàn)惡意代碼中的加密或解密函數(shù)。選項(xiàng)A：對選項(xiàng)B：錯參考答案：A第37題. 異常只能由Bug引起選項(xiàng)A：對選項(xiàng)B：錯參考答案：B第38題. 底層遠(yuǎn)程鉤子要求鉤子例程被保護(hù)在安裝鉤子的進(jìn)程中。選項(xiàng)A：對選項(xiàng)B：錯參考答案：A第39題. 檢測加密的基本方法是使用可以搜索常見

14、加密常量的工具，我們可以使用IDA Pro的FindCrypt2和Krypto ANALyzer插件。選項(xiàng)A：對選項(xiàng)B：錯參考答案：A第40題. OllyDbg是一種具有可視化界面的32位匯編-分析調(diào)試器。選項(xiàng)A：對選項(xiàng)B：錯參考答案：A第41題. C鍵是定義原始字節(jié)為數(shù)據(jù)選項(xiàng)A：對選項(xiàng)B：錯參考答案：B第42題. 我們可以使用IDA Pro的FindCrypt2和Krypto ANALyzer插件來搜索常見加密常量的工具。選項(xiàng)A：對選項(xiàng)B：錯參考答案：A第43題. 除非有上下文，否則通常情況下，被顯示的數(shù)據(jù)會被格式化為八進(jìn)制的值。選項(xiàng)A：對選項(xiàng)B：錯參考答案：A第44題. 在stdcall中，前一些參數(shù)（典型的是前兩個(gè)）被傳到寄存器中，備用的寄存器是EDX和ECX。如果需要的話，剩下的參數(shù)再以從右到左的次序被加載到棧上。選項(xiàng)A：對選項(xiàng)B：錯參考答案：B第45題. D鍵是定義原始字節(jié)為代碼選項(xiàng)A：對選項(xiàng)B：錯參考答案：B第46題. 哈希函數(shù)，是一種從任何一種數(shù)據(jù)中創(chuàng)建小的數(shù)字“指紋”的方法。選項(xiàng)A：對選項(xiàng)B：錯參考答案：A第47題. 結(jié)構(gòu)體通過