軟件安全之惡意代碼機(jī)理與防護(hù)-武漢大學(xué)中國(guó)大學(xué)mooc課后章節(jié)答案期末考試題庫(kù)2023年_第1頁(yè)
軟件安全之惡意代碼機(jī)理與防護(hù)-武漢大學(xué)中國(guó)大學(xué)mooc課后章節(jié)答案期末考試題庫(kù)2023年_第2頁(yè)
軟件安全之惡意代碼機(jī)理與防護(hù)-武漢大學(xué)中國(guó)大學(xué)mooc課后章節(jié)答案期末考試題庫(kù)2023年_第3頁(yè)
軟件安全之惡意代碼機(jī)理與防護(hù)-武漢大學(xué)中國(guó)大學(xué)mooc課后章節(jié)答案期末考試題庫(kù)2023年_第4頁(yè)
軟件安全之惡意代碼機(jī)理與防護(hù)-武漢大學(xué)中國(guó)大學(xué)mooc課后章節(jié)答案期末考試題庫(kù)2023年_第5頁(yè)
已閱讀5頁(yè),還剩17頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

軟件安全之惡意代碼機(jī)理與防護(hù)_武漢大學(xué)中國(guó)大學(xué)mooc課后章節(jié)答案期末考試題庫(kù)2023年網(wǎng)絡(luò)嗅探攻擊是一類非常常見(jiàn)的攻擊方式,其主要威脅到信息的可用性。

參考答案:

錯(cuò)誤

安裝了還原軟件的計(jì)算機(jī)系統(tǒng),在重啟后可以徹底清除啟用了還原保護(hù)的分區(qū)中的惡意軟件。

參考答案:

錯(cuò)誤

可信計(jì)算思想中的靜態(tài)可信保障機(jī)制與以下哪種安全防護(hù)策略最有相似?

參考答案:

校驗(yàn)和檢測(cè)

相對(duì)于WinXP系統(tǒng)而言,目前Win10系統(tǒng)啟動(dòng)速度大大加快,其根本原因是目前計(jì)算機(jī)的CPU更快,內(nèi)存更大。

參考答案:

錯(cuò)誤

內(nèi)存中PE文件各節(jié)之間的空隙(00填充部分)大小,與以下哪個(gè)參數(shù)的大小息息相關(guān)?

參考答案:

SectionAlignment

惡意代碼一定是以文件形式存在于計(jì)算機(jī)中的。

參考答案:

錯(cuò)誤

以下哪個(gè)工具最方便用來(lái)對(duì)目標(biāo)PE程序進(jìn)行漢化?

參考答案:

exeScope

《最高人民法院、最高人民檢察院關(guān)于辦理危害計(jì)算機(jī)信息系統(tǒng)安全刑事案件應(yīng)用法律若干問(wèn)題的解釋》自2011年9月1日起施行,該司法解釋規(guī)定:非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)或者非法控制計(jì)算機(jī)信息系統(tǒng),具有部分情形之一的,應(yīng)當(dāng)認(rèn)定為刑法第二百八十五條第二款規(guī)定的“情節(jié)嚴(yán)重”。以下不屬于該罪“情節(jié)嚴(yán)重”的特定情形的是?

參考答案:

明知他人實(shí)施非法獲取支付結(jié)算、證券交易、期貨交易等網(wǎng)絡(luò)金融服務(wù)身份認(rèn)證信息的違法犯罪行為而為其提供程序、工具五人次以上的;

PAE模式下,雖然線性地址依然只有32位,但卻尋址64G范圍內(nèi)的物理內(nèi)存。

參考答案:

正確

本課程C3PE文件格式章節(jié)中的例子程序-test.exe(見(jiàn)C3.7)的.rdata節(jié)開(kāi)始位置RVA為2000h,在內(nèi)存中的VA地址是_______H。(請(qǐng)?zhí)顚?xiě)8位阿拉伯?dāng)?shù)字)

參考答案:

00402000

我們經(jīng)??梢钥吹讲糠志W(wǎng)站數(shù)據(jù)庫(kù)(譬如成績(jī)記錄數(shù)據(jù)庫(kù))被人修改,該類攻擊行為破壞了信息的______性?!緝蓚€(gè)漢字】

參考答案:

完整

GPT分區(qū)格式下單分區(qū)容量可以突破_______TB,但MBR分區(qū)格式下不可以。(填寫(xiě)阿拉伯?dāng)?shù)字)

參考答案:

2

由于安全評(píng)測(cè)機(jī)構(gòu)無(wú)法獲得未知惡意樣本構(gòu)建測(cè)試樣本集,因此無(wú)法對(duì)安全產(chǎn)品的未知惡意樣本檢測(cè)能力進(jìn)行評(píng)測(cè)。

參考答案:

錯(cuò)誤

在獲得DLL文件內(nèi)存加載基地址之后,為了進(jìn)一步獲得其導(dǎo)出的API函數(shù)在內(nèi)存中的真實(shí)地址,可以進(jìn)一步通過(guò)______對(duì)其進(jìn)行分析。

參考答案:

引出目錄表

以下哪個(gè)軟件可以用于內(nèi)核調(diào)試?

參考答案:

Windbg

DLL被引出函數(shù)的RVA存儲(chǔ)在引出目錄表下的哪個(gè)地址指向的數(shù)組中?縀中?

參考答案:

AddressOfFunctions

NTFS文件系統(tǒng)下,如果一個(gè)文件較大,NTFS將開(kāi)辟新空間存放File的具體數(shù)據(jù),其通過(guò)文件記錄(FileRecord)中的______指明每段空間的起始簇號(hào)和占用簇的個(gè)數(shù)。

參考答案:

DataRun

在以下惡意代碼中,______在進(jìn)行目標(biāo)攻擊時(shí)并未利用目標(biāo)系統(tǒng)軟件漏洞進(jìn)行傳播。

參考答案:

Mellisa

補(bǔ)丁更新是進(jìn)行網(wǎng)絡(luò)蠕蟲(chóng)防護(hù)的唯一手段。

參考答案:

錯(cuò)誤

分析C7.8樣本文件中的virusMacro-127可知,該樣本在執(zhí)行之后,將釋放一個(gè)名為_(kāi)___的vbs腳本。【所有空均區(qū)分大小寫(xiě)】

參考答案:

dsfswhudf.VBE

通過(guò)查看以下哪個(gè)字段,可以判斷一個(gè)PE文件是32位還是64位?

參考答案:

可選文件頭的Magic

Safety與Security是存在區(qū)別的,黑客攻擊與惡意代碼通常屬于Security的范疇。

參考答案:

正確

無(wú)論惡意軟件攻擊技術(shù)如何先進(jìn),更換計(jì)算機(jī)硬盤(pán)都能夠完全清除惡意軟件對(duì)計(jì)算機(jī)系統(tǒng)的入侵。

參考答案:

錯(cuò)誤

C7.8樣本文件中的頁(yè)面文件22.htm的腳本中有一段加密代碼,該段代碼解密之后應(yīng)為document.write(____________)。(答案中間無(wú)空格)

參考答案:

"Welcome_"+"Back_"+"To_"+"Luojia!"

C7.8樣本文件中的virusMacro-127創(chuàng)建的vbe腳本釋放了名為_(kāi)______的可執(zhí)行程序。

參考答案:

cdsadd.exe

call指令與jmp指令的功能類似,都將跳轉(zhuǎn)到目標(biāo)位置繼續(xù)執(zhí)行。但call指令執(zhí)行時(shí),還會(huì)將該call指令之后的地址壓入堆棧頂端。而這一特性可有效應(yīng)用于病毒代碼的重定位。

參考答案:

正確

通過(guò)格式化操作系統(tǒng)所在盤(pán)符,可以完全清除系統(tǒng)中的文件型病毒。

參考答案:

錯(cuò)誤

80X86處理器的常態(tài)工作處理模式是?

參考答案:

保護(hù)模式

在傳統(tǒng)BIOS的MBR引導(dǎo)模式下,以下關(guān)于Windows操作系統(tǒng)引導(dǎo)過(guò)程的順序,正確的是?

參考答案:

BIOS->MBR->DBR->NTLDR(BOOTMGR)

________節(jié)的主要作用是將DLL自身實(shí)現(xiàn)的函數(shù)信息進(jìn)行標(biāo)注,以便于其他程序可以動(dòng)態(tài)調(diào)用本DLL文件中的函數(shù)。

參考答案:

引出函數(shù)節(jié)

除了宏病毒威脅之外,打開(kāi)數(shù)據(jù)文檔是不可能存在其他安全隱患的。

參考答案:

錯(cuò)誤

宏病毒一種非常古老的惡意代碼威脅,當(dāng)前已經(jīng)不可能存在這類威脅。

參考答案:

錯(cuò)誤

現(xiàn)有一PE文件,通過(guò)分析其二進(jìn)制文件,IMAGE_SECTION_HEADER結(jié)構(gòu)的起始地址和結(jié)束地址分別為0x1D0和0x270,由此可知該文件的節(jié)數(shù)量為_(kāi)________。

參考答案:

4

下面語(yǔ)句用于創(chuàng)建一個(gè)_______對(duì)象?SetfNxGxXlsxADAGD=createobject(Chr(83)&Chr(104)&Chr(101)&Chr(108)&Chr(108)&Chr(46)&Chr(65)&Chr(112)&Chr(112)&Chr(108)&Chr(105)&Chr(99)&Chr(97)&Chr(116)&Chr(105)&Chr(111)&Chr(110))

參考答案:

Shell.Application

在VBS惡意腳本程序中,___________是一個(gè)經(jīng)常被使用的瀏覽器對(duì)象,可用于模擬http的GET和POST請(qǐng)求,其經(jīng)常與ADODB.STREAM對(duì)象一起使用,以從遠(yuǎn)程下載數(shù)據(jù)并將其釋放為本地文件。

參考答案:

XMLHTTP

Office宏的編寫(xiě)語(yǔ)言是?

參考答案:

VBA

Options.SaveNormalPrompt=False此舉代碼的作用是?

參考答案:

如果公用模板被修改,不要彈框提示用戶

以下哪個(gè)宏在Offcie程序打開(kāi)時(shí)自動(dòng)觸發(fā)?

參考答案:

AutoExec

當(dāng)文檔工程被加密后,通過(guò)以下哪個(gè)工具可以解除其加密口令?

參考答案:

VBAPasswordBypasser

引入目錄表(ImportTable)的開(kāi)始位置RVA和大小位于PE文件可選文件頭DataDirecotry結(jié)構(gòu)(共16項(xiàng))中的第________項(xiàng)。

參考答案:

2

在FAT32文件系統(tǒng)中,文件分配表有兩份,即FAT1和FAT2,當(dāng)一個(gè)文件被我們誤刪除之后,我們還可以直接從FAT2中找到對(duì)應(yīng)的簇鏈表對(duì)FAT1進(jìn)行修復(fù),從而快速恢復(fù)該文件。

參考答案:

錯(cuò)誤

DLL被引出函數(shù)的函數(shù)名字符串的RVA存儲(chǔ)在引出函數(shù)節(jié)下的哪個(gè)字段指向的表中?

參考答案:

AddressOfNames

FAT32文件系統(tǒng)進(jìn)行文件空間分配的最小單位是簇,一個(gè)簇通常包含多個(gè)扇區(qū)。

參考答案:

正確

硬盤(pán)MBR主引導(dǎo)扇區(qū)最后兩個(gè)字節(jié)必須以“55AA”作為結(jié)束

參考答案:

正確

磁盤(pán)MBR扇區(qū)的分區(qū)表數(shù)據(jù)被破壞之后將無(wú)法恢復(fù),因此要及時(shí)備份MBR扇區(qū)所有數(shù)據(jù)。

參考答案:

錯(cuò)誤

當(dāng)vbs文件執(zhí)行死循環(huán)時(shí),應(yīng)打開(kāi)任務(wù)管理器結(jié)束以下哪個(gè)進(jìn)程?

參考答案:

wscript.exe

以下哪個(gè)宏在定義在文檔(非模板)中將被對(duì)應(yīng)操作自動(dòng)觸發(fā)。

參考答案:

AutoClose

如果要阻止用戶通過(guò)Word點(diǎn)擊“宏”或“查看宏”按鈕查看宏代碼,可以定義以下哪個(gè)宏來(lái)攔截該操作。

參考答案:

ToolsMacro

Office文檔啟用宏后,在Office文檔打開(kāi)窗口通過(guò)快捷鍵______可以進(jìn)入VisualBasic編輯器窗口。

參考答案:

Alt+F11

并口硬盤(pán)的數(shù)據(jù)線比串口硬盤(pán)的數(shù)據(jù)線寬,顯然其傳輸速度更快。

參考答案:

錯(cuò)誤

Windows環(huán)境下,默認(rèn)情況下每個(gè)進(jìn)程均可以直接訪問(wèn)其他進(jìn)程的用戶區(qū)內(nèi)存空間。

參考答案:

錯(cuò)誤

如果需要手工從目標(biāo)PE文件中提取其圖標(biāo)數(shù)據(jù)并生成.ico文件的話,我們需要從以下哪類型資源中提取數(shù)據(jù)?

參考答案:

GROUPICON+ICON

以下是某硬盤(pán)的分區(qū)表信息(MBR分區(qū)格式),通過(guò)分析可知,該硬盤(pán)的第一個(gè)主分區(qū)應(yīng)為_(kāi)_____GB。(按1K=1000計(jì)算,小數(shù)點(diǎn)后保留一位,四舍五入,答案不含單位)【圖片】

參考答案:

53.7

DLL文件可能加載到非預(yù)期的ImageBase地址,PE文件使用______解決該問(wèn)題。

參考答案:

重定位機(jī)制

下圖是某U盤(pán)[FAT32文件系統(tǒng)]下某個(gè)文件的目錄項(xiàng),由引導(dǎo)扇區(qū)參數(shù)可知該分區(qū)每個(gè)簇包含16個(gè)扇區(qū)[512字節(jié)/扇區(qū)],由此可計(jì)算出該文件共占用_______個(gè)簇的存儲(chǔ)空間?[請(qǐng)?zhí)顚?xiě)阿拉伯?dāng)?shù)字,10進(jìn)制]【圖片】

參考答案:

23

DLL在編譯時(shí)的初始文件名字符串的RVA存儲(chǔ)在引出目錄表下的哪個(gè)字段中?

參考答案:

Name

Window系統(tǒng)中,.DL.SY.SCR和.OCX文件都屬于PE文件格式。

參考答案:

正確

在PE文件格式中,PE文件頭的Signature(即“PE\0\0”)位于MZDOS頭及DosStub之后,32位程序的Signature開(kāi)始于000000B0位置。

參考答案:

錯(cuò)誤

引出目錄表的開(kāi)始位置就是引出函數(shù)節(jié)的開(kāi)始位置,因此找到引出函數(shù)節(jié)就可以定位到引出目錄表。

參考答案:

錯(cuò)誤

一個(gè)具有圖標(biāo)和菜單的可執(zhí)行文件通常都具有資源節(jié)。

參考答案:

正確

硬盤(pán)中線性邏輯尋址方式(LBA)的尋址單位是?

參考答案:

扇區(qū)

PAE內(nèi)存分頁(yè)模式下,在進(jìn)行虛擬地址到物理地址轉(zhuǎn)化計(jì)算中,一個(gè)32位虛擬地址(線性地址)可以劃分為4個(gè)部分:頁(yè)目錄指針表項(xiàng)(PDPTE)、頁(yè)目錄表項(xiàng)(PDE)、頁(yè)表項(xiàng)(PTE),以及頁(yè)內(nèi)偏移。32位虛擬地址0x00403016對(duì)應(yīng)的PDE=________。

參考答案:

2

內(nèi)存內(nèi)核區(qū)的所有數(shù)據(jù)是所有進(jìn)程共享的,用戶態(tài)代碼可以直接訪問(wèn)。

參考答案:

錯(cuò)誤

hello25.exe程序從系統(tǒng)的user32.dll模塊中引入了MessageBoxA函數(shù)以實(shí)現(xiàn)彈框功能。當(dāng)hello25.exe程序被執(zhí)行時(shí),user32.dll被裝載之后位于進(jìn)程內(nèi)存空間的內(nèi)核區(qū)。

參考答案:

錯(cuò)誤

PE文件的可選文件頭是可選的,可以不要。

參考答案:

錯(cuò)誤

在進(jìn)行函數(shù)引入時(shí),必須在引入函數(shù)節(jié)部分注明目標(biāo)函數(shù)名字,否則無(wú)法進(jìn)行索引定位。

參考答案:

錯(cuò)誤

無(wú)論是在32位還是64位系統(tǒng),病毒代碼在獲得當(dāng)前kernel32模塊中的任一VA地址之后,只要通過(guò)地址逐一遞減并驗(yàn)證指向位置是否為PE文件頭部特征,必然可以順利找到kernel32模塊的基地址。

參考答案:

錯(cuò)誤

C7.8樣本文件中的virusMacro-127創(chuàng)建了_______對(duì)象,并利用該對(duì)象的Open方法運(yùn)行該vbe腳本。

參考答案:

Shell.Application

DLL文件的編譯生成時(shí)間存儲(chǔ)在其引出函數(shù)目錄表的時(shí)間戳信息中,在針對(duì)惡意代碼的取證分析過(guò)程中,該時(shí)間信息對(duì)于了解樣本出現(xiàn)的開(kāi)始日期具有一定參考意義。

參考答案:

正確

C7.8樣本文件中的virusMacro-127執(zhí)行后釋放的vbs腳本被存儲(chǔ)在___變量中。

參考答案:

hgvfcdsfdsfff

每一個(gè)PE文件都必須有一個(gè)數(shù)據(jù)節(jié)和代碼節(jié),且這兩個(gè)節(jié)不可以合并為一個(gè)節(jié)。

參考答案:

錯(cuò)誤

當(dāng)一個(gè)PE可執(zhí)行文件裝載到內(nèi)存之后,引入地址表(IAT表)指向的數(shù)據(jù)將被對(duì)應(yīng)函數(shù)在內(nèi)存中的VA地址所代替。

參考答案:

正確

電腦被感染計(jì)算機(jī)病毒之后,通過(guò)更換硬盤(pán)可以徹底防止任何病毒再生。

參考答案:

錯(cuò)誤

在FAT32分區(qū)下,當(dāng)文件通過(guò)Shift+Del的方式刪除之后,以下哪個(gè)部分將發(fā)生變化?

參考答案:

目錄項(xiàng)中的文件名首字節(jié),首簇高位,以及文件對(duì)應(yīng)的FAT表項(xiàng)

在FAT32分區(qū)下,當(dāng)文件被放入回收站之后,該文件目錄項(xiàng)中的以下哪部分?jǐn)?shù)據(jù)將發(fā)生變化?

參考答案:

文件名的第一個(gè)字節(jié)

PE文件一旦被簽名之后,該文件的任何地方被修改都將導(dǎo)致簽名驗(yàn)證無(wú)法通過(guò)。

參考答案:

錯(cuò)誤

下圖為某程序的.rdata節(jié)(開(kāi)始位置RVA:2000,文件偏移量:800H)在內(nèi)存中的主要數(shù)據(jù)。通過(guò)分析可知,MessageBoxA函數(shù)的VA地址=0x________【填入8個(gè)16進(jìn)制數(shù)字或大寫(xiě)字母,高位在前,低位在后,譬如76F8BBE2,00002050】【圖片】

參考答案:

7689EA11

下圖為某程序的.rdata節(jié)(開(kāi)始位置RVA:2000,文件偏移量:800H)在內(nèi)存中的主要數(shù)據(jù)。通過(guò)分析可知,文件808H-80BH偏移處的值是0x________?!咎钊?個(gè)16進(jìn)制數(shù)字或大寫(xiě)字母,高位在前,低位在后,譬如76F8BBE2,00002050】【圖片】

參考答案:

0000208C##%_YZPRLFH_%##8C200000

下圖為某PE程序的部分16進(jìn)制數(shù)據(jù)截圖,內(nèi)存中RVA地址0040B341H在該P(yáng)E文件中的文件偏移地址為:______h。【8位16進(jìn)制數(shù)據(jù),高位在前,字母大寫(xiě)】【圖片】

參考答案:

00008541

請(qǐng)分析附件文件Zoomit.exe,通過(guò)分析可知:最大尺寸的ICON的RVA是__________?!?位16進(jìn)制數(shù)據(jù),高位在前,字母大寫(xiě)】

參考答案:

0006CC90

請(qǐng)分析附件文件,通過(guò)分析可知:最大尺寸的ICON對(duì)應(yīng)的文件Size是__________?!?位16進(jìn)制數(shù)據(jù),高位在前,字母大寫(xiě)】

參考答案:

00000EA8

當(dāng)文件被誤刪除之后,不應(yīng)繼續(xù)往該文件所在的分區(qū)繼續(xù)寫(xiě)入數(shù)據(jù),否則可能造成被刪除的文件被覆蓋導(dǎo)致無(wú)法恢復(fù)。

參考答案:

正確

請(qǐng)分析附件文件,該文件中包含一個(gè)名為BINRES的資源,請(qǐng)將該文件提取之后保存為rczoomit64.exe,分析該文件可知,其ImageBase為_(kāi)_______【按實(shí)際位數(shù)填寫(xiě)所有16進(jìn)制數(shù)據(jù),高位在前,字母大寫(xiě)】

參考答案:

0000000140000000

如果要理解Windows下惡意代碼在感染程序過(guò)程可能涉及到的目標(biāo)程序的圖標(biāo)修改機(jī)理,我們需要重點(diǎn)學(xué)習(xí)本課程的哪一部分內(nèi)容?

參考答案:

第3、4周PE文件格式與實(shí)踐

在你看來(lái),信息系統(tǒng)存在安全問(wèn)題的本質(zhì)原因是:

參考答案:

信息資產(chǎn)具有價(jià)值

傳統(tǒng)感染型PE病毒因?yàn)樵诖a寄生過(guò)程中的目標(biāo)HOST程序多樣,無(wú)法事先確定自身病毒代碼即將寄生的位置,但二進(jìn)制代碼中存在部分固化的VA地址,因此需要給目標(biāo)PE程序新增一個(gè)重定位節(jié),以確保病毒代碼中的VA地址能夠得到動(dòng)態(tài)修正。

參考答案:

錯(cuò)誤

由于文件感染型病毒需要在目標(biāo)程序新增代碼甚至新增節(jié),其在感染過(guò)程中必將增加目標(biāo)程序大小。為了有效隱藏自己,病毒代碼通常都應(yīng)盡力做到精簡(jiǎn)以縮小自身體積。

參考答案:

錯(cuò)誤

對(duì)于計(jì)算機(jī)病毒來(lái)說(shuō),如果其感染目標(biāo)程序都位于當(dāng)前操作系統(tǒng)之內(nèi),感染目標(biāo)也只在本機(jī)運(yùn)行,則其需要使用的相關(guān)API函數(shù)的地址在當(dāng)前系統(tǒng)是確定的,因此可以采用硬編碼的方式將API函數(shù)的地址固化在病毒代碼中,直接調(diào)用即可。

參考答案:

錯(cuò)誤

screnc.exe是微軟提供的一款腳本加、解密工具,被其加密的腳本以#@~^作為開(kāi)始字符。

參考答案:

錯(cuò)誤

打開(kāi)C7.8樣本文件中的文檔macro3.doc,查找Flag,分析可知該Flag放在窗體UserForm1的________控件中,flag=_______。(第一個(gè)答案為控件名稱,第二個(gè)答案為字符串,不用加引號(hào)、區(qū)分大小寫(xiě),用空格隔開(kāi))

參考答案:

TextBox1XueDaHanWuLiGuo##%_YZPRLFH_%##UserForm1.TextBox1XueDaHanWuLiGuo

對(duì)于代碼寄生型病毒來(lái)說(shuō),如果對(duì)方程序自身有完整性校驗(yàn),則對(duì)該程序進(jìn)行感染將會(huì)導(dǎo)致目標(biāo)程序運(yùn)行異常。但是捆綁釋放型的感染方式則可以有效避免出現(xiàn)此類情況。

參考答案:

正確

NTFS文件系統(tǒng)中,文件內(nèi)容的存放位置是?

參考答案:

MFT或數(shù)據(jù)區(qū)

fs:[0]的指向?yàn)檫M(jìn)程當(dāng)前活動(dòng)線程的SEH異常處理結(jié)構(gòu)的鏈?zhǔn)孜恢?,通過(guò)訪問(wèn)該鏈表的末端SEH結(jié)構(gòu)的第二個(gè)字段,可以獲得一個(gè)指向kernel32模塊內(nèi)部的地址。該方法在從XP到Win10等不同的操作系統(tǒng)中均具有良好通用性。

參考答案:

錯(cuò)誤

硬盤(pán)中PE文件各節(jié)之間的空隙(00填充部分)大小,與以下哪個(gè)參數(shù)的大小息息相關(guān)?

參考答案:

FileAlignment

PEB模塊為進(jìn)程環(huán)境塊,其位于操作系統(tǒng)內(nèi)核空間,通過(guò)用戶態(tài)程序無(wú)法訪問(wèn)。

參考答案:

錯(cuò)誤

對(duì)于捆綁型病毒A來(lái)說(shuō),如果要感染目標(biāo)B,一般來(lái)說(shuō)采用A+B的方式,但在這種方式下被感染后的程序圖標(biāo)為A的圖標(biāo)。如果要做到目標(biāo)被感染程序后的圖標(biāo)不發(fā)生變化,直接將將感染程序B放在前面,將捆綁病毒A放在后面(即B+A)即可,無(wú)需

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論