MOOC 軟件安全之惡意代碼機(jī)理與防護(hù)-武漢大學(xué) 中國大學(xué)慕課答案

MOOC軟件安全之惡意代碼機(jī)理與防護(hù)-武漢大學(xué)中國大學(xué)慕課答案C1單元測試1、問題：在你看來，信息系統(tǒng)存在安全問題的本質(zhì)原因是：選項：A、信息資產(chǎn)具有價值B、信息系統(tǒng)存在漏洞C、惡意代碼快速增長D、信息系統(tǒng)開發(fā)未遵循安全開發(fā)流程（如SDL－IT）正確答案:【信息資產(chǎn)具有價值】2、問題：如果要理解Windows下惡意代碼在感染程序過程可能涉及到的目標(biāo)程序的圖標(biāo)修改機(jī)理，我們需要重點(diǎn)學(xué)習(xí)本課程的哪一部分內(nèi)容？選項：A、第2周計算機(jī)引導(dǎo)與磁盤結(jié)構(gòu)B、第3、4周PE文件格式與實(shí)踐C、第6周WindowsPE病毒D、第9周網(wǎng)絡(luò)木馬正確答案:【第3、4周PE文件格式與實(shí)踐】3、問題：Safety和Security都是安全的含義，但是他們卻存在差異，以下事件中屬于Security范疇的是？選項：A、橋梁倒塌導(dǎo)致主機(jī)損壞B、計算機(jī)病毒爆發(fā)導(dǎo)致電腦數(shù)據(jù)丟失C、雷擊事件導(dǎo)致電腦燒毀D、洪水爆發(fā)導(dǎo)致手機(jī)浸泡無法開機(jī)正確答案:【計算機(jī)病毒爆發(fā)導(dǎo)致電腦數(shù)據(jù)丟失】4、問題：在本章第一個勒索郵件案例中，如果被勒索人的電腦攝像頭拍攝信息被他人獲取，這危害了信息的什么屬性？選項：A、保密性B、可用性C、完整性D、不可否認(rèn)性正確答案:【保密性】5、問題：在信息安全模型PDR中，D是指？選項：A、DefeatB、DefenceC、DetectionD、Description正確答案:【Detection】6、問題：以下關(guān)于惡意軟件的說法，正確的是？選項：A、惡意軟件是指設(shè)計目的是為了實(shí)現(xiàn)特定惡意功能的一類程序。B、惡意軟件是指所有可能對系統(tǒng)帶來危害的程序。C、在Windows下，惡意軟件都是EXE可執(zhí)行文件。D、惡意軟件就是計算機(jī)病毒。正確答案:【惡意軟件是指設(shè)計目的是為了實(shí)現(xiàn)特定惡意功能的一類程序?！?、問題：以下哪個惡意代碼主要用于竊取伊朗工業(yè)控制系統(tǒng)數(shù)據(jù)？【推薦閱讀：震網(wǎng)事件的九年再復(fù)盤與思考（作者：antiylab）】選項：A、StuxnetB、DuquC、FlameD、CIH正確答案:【Duqu】8、問題：在震網(wǎng)（StuxNet）蠕蟲的攻擊事件中，以下哪個漏洞用于進(jìn)入與互聯(lián)網(wǎng)隔離的內(nèi)網(wǎng)之中？【推薦閱讀：震網(wǎng)事件的九年再復(fù)盤與思考（作者：antiylab）】選項：A、MS10-061：打印機(jī)后臺程序服務(wù)漏洞B、MS08-017：RPC遠(yuǎn)程執(zhí)行漏洞C、MS10-046：快捷方式文件解析漏洞D、MS10-073：內(nèi)核模式驅(qū)動程序漏洞正確答案:【MS10-046：快捷方式文件解析漏洞】9、問題：在以下防護(hù)工具或系統(tǒng)中，可有效用于隔離安全風(fēng)險的是？選項：A、VMWareB、SandboxIEC、EMETD、HIPS正確答案:【VMWare#SandboxIE】10、問題：以下哪些屬于電腦被感染惡意軟件后可能導(dǎo)致的后果？選項：A、屏幕操作被錄像B、鍵盤擊鍵被記錄C、電腦爆炸D、電腦資料被盜正確答案:【屏幕操作被錄像#鍵盤擊鍵被記錄#電腦資料被盜】C2單元測試1、問題：在傳統(tǒng)BIOS的MBR引導(dǎo)模式下，以下關(guān)于Windows操作系統(tǒng)引導(dǎo)過程的順序，正確的是？選項：A、BIOS-NTLDR(BOOTMGR)-DBR-MBRB、BIOS-MBR-DBR-NTLDR(BOOTMGR)C、MBR-DBR-NTLDR(BOOTMGR)-BIOSD、MBR-BIOS-DBR-NTLDR(BOOTMGR)E、BIOS-MBR-NTLDR(BOOTMGR)-DBR正確答案:【BIOS-MBR-DBR-NTLDR(BOOTMGR)】2、問題：80X86處理器的常態(tài)工作處理模式是？選項：A、虛實(shí)模式、保護(hù)模以及虛擬86模式B、虛擬86模式C、實(shí)模式D、保護(hù)模式正確答案:【保護(hù)模式】3、問題：PAE內(nèi)存分頁模式下，在進(jìn)行虛擬地址到物理地址轉(zhuǎn)化計算中，一個32位虛擬地址（線性地址）可以劃分為4個部分：頁目錄指針表項（PDPTE）、頁目錄表項（PDE）、頁表項（PTE），以及頁內(nèi)偏移。32位虛擬地址0x00403016對應(yīng)的PDE=________。選項：A、0B、1C、2D、3E、4正確答案:【2】4、問題：硬盤中線性邏輯尋址方式（LBA）的尋址單位是？選項：A、簇B、柱面C、磁道D、扇區(qū)E、磁頭正確答案:【扇區(qū)】5、問題：在MBR分區(qū)格式下，一個分區(qū)大小不能超過______TB。選項：A、1B、2C、4D、8正確答案:【2】6、問題：NTFS文件系統(tǒng)下，如果一個文件較大，NTFS將開辟新空間存放File的具體數(shù)據(jù)，其通過文件記錄（FileRecord）中的_________指明各部分?jǐn)?shù)據(jù)的起始簇號和占用簇的個數(shù)？選項：A、FR頭B、$DATAC、DataRunD、MFT記錄號E、FAT表項中的簇鏈表正確答案:【DataRun】7、問題：NTFS文件系統(tǒng)中，文件內(nèi)容的存放位置是？選項：A、MFT或數(shù)據(jù)區(qū)B、MFTC、數(shù)據(jù)區(qū)D、DBR正確答案:【MFT或數(shù)據(jù)區(qū)】8、問題：在FAT32分區(qū)下，當(dāng)文件被放入回收站之后，該文件目錄項中的以下哪部分?jǐn)?shù)據(jù)將發(fā)生變化？選項：A、首簇高位B、文件名的第一個字節(jié)C、首簇低位D、文件大小正確答案:【文件名的第一個字節(jié)】9、問題：在FAT32分區(qū)下，當(dāng)文件通過Shift＋Del的方式刪除之后，以下哪個部分將發(fā)生變化？選項：A、目錄項中的文件名首字節(jié)，首簇高位，文件對應(yīng)的FAT表項，以及文件內(nèi)容B、目錄項中的文件名首字節(jié)，首簇高位，以及文件對應(yīng)的FAT表項C、僅目錄項中的文件名首字節(jié)和文件對應(yīng)的FAT表項D、僅首簇高位和文件對應(yīng)的FAT表項正確答案:【目錄項中的文件名首字節(jié)，首簇高位，以及文件對應(yīng)的FAT表項】10、問題：電腦被感染計算機(jī)病毒之后，通過更換硬盤可以徹底防止任何病毒再生。選項：A、正確B、錯誤正確答案:【錯誤】11、問題：hello25.exe程序從系統(tǒng)的user32.dll模塊中引入了MessageBoxA函數(shù)以實(shí)現(xiàn)彈框功能。當(dāng)hello25.exe程序被執(zhí)行時，user32.dll被裝載之后位于進(jìn)程內(nèi)存空間的內(nèi)核區(qū)。選項：A、正確B、錯誤正確答案:【錯誤】12、問題：內(nèi)存內(nèi)核區(qū)的所有數(shù)據(jù)是所有進(jìn)程共享的，用戶態(tài)代碼可以直接訪問。選項：A、正確B、錯誤正確答案:【錯誤】13、問題：Windows環(huán)境下，默認(rèn)情況下每個進(jìn)程均可以直接訪問其他進(jìn)程的用戶區(qū)內(nèi)存空間。選項：A、正確B、錯誤正確答案:【錯誤】14、問題：并口硬盤的數(shù)據(jù)線比串口硬盤的數(shù)據(jù)線寬，顯然其傳輸速度更快。選項：A、正確B、錯誤正確答案:【錯誤】15、問題：磁盤MBR扇區(qū)的分區(qū)表數(shù)據(jù)被破壞之后將無法恢復(fù)，因此要及時備份MBR扇區(qū)所有數(shù)據(jù)。選項：A、正確B、錯誤正確答案:【錯誤】16、問題：硬盤MBR主引導(dǎo)扇區(qū)最后兩個字節(jié)必須以“55AA”作為結(jié)束選項：A、正確B、錯誤正確答案:【正確】17、問題：FAT32文件系統(tǒng)進(jìn)行文件空間分配的最小單位是簇，一個簇通常包含多個扇區(qū)。選項：A、正確B、錯誤正確答案:【正確】18、問題：當(dāng)文件被誤刪除之后，不應(yīng)繼續(xù)往該文件所在的分區(qū)繼續(xù)寫入數(shù)據(jù)，否則可能造成被刪除的文件被覆蓋導(dǎo)致無法恢復(fù)。選項：A、正確B、錯誤正確答案:【正確】19、問題：在FAT32文件系統(tǒng)中，文件分配表有兩份，即FAT1和FAT2，當(dāng)一個文件被我們誤刪除之后，我們還可以直接從FAT2中找到對應(yīng)的簇鏈表對FAT1進(jìn)行修復(fù)，從而快速恢復(fù)該文件。選項：A、正確B、錯誤正確答案:【錯誤】20、問題：通過格式化操作系統(tǒng)所在盤符，可以完全清除系統(tǒng)中的文件型病毒。選項：A、正確B、錯誤正確答案:【錯誤】21、填空題：以下是某硬盤的分區(qū)表信息（MBR分區(qū)格式），通過分析可知，該硬盤的第一個主分區(qū)應(yīng)為______GB。（按1K=1000計算，小數(shù)點(diǎn)后保留一位，四舍五入，答案不含單位）正確答案:【53.7】22、填空題：下圖是某U盤［FAT32文件系統(tǒng)］下某個文件的目錄項，由引導(dǎo)扇區(qū)參數(shù)可知該分區(qū)每個簇包含16個扇區(qū)［512字節(jié)／扇區(qū)］，由此可計算出該文件共占用_______個簇的存儲空間？［請?zhí)顚懓⒗當(dāng)?shù)字，10進(jìn)制］正確答案:【23】C3單元測試1、問題：硬盤中PE文件各節(jié)之間的空隙（00填充部分）大小，與以下哪個參數(shù)的大小息息相關(guān)？選項：A、SizeOfImageB、FileAlignmentC、SizeofHeadersD、SectionAlignmentE、SizeofImage正確答案:【FileAlignment】2、問題：PE文件以下哪個字段指向程序首條指令執(zhí)行的位置？選項：A、SizeOfImageB、SectionAlignmentC、AddressOfEntryPointD、BaseofCodeE、ImageBase正確答案:【AddressOfEntryPoint】3、問題：本課程C3章節(jié)使用的test.exe示例程序在內(nèi)存中的節(jié)對齊粒度是？選項：A、4000HB、500HC、200HD、1000HE、2000H正確答案:【1000H】4、問題：________節(jié)的主要作用是將DLL自身實(shí)現(xiàn)的函數(shù)信息進(jìn)行標(biāo)注，以便于其他程序可以動態(tài)調(diào)用本DLL文件中的函數(shù)。選項：A、引入函數(shù)節(jié)B、引出函數(shù)節(jié)C、數(shù)據(jù)節(jié)D、代碼節(jié)E、資源節(jié)正確答案:【引出函數(shù)節(jié)】5、問題：現(xiàn)有一PE文件，通過分析其二進(jìn)制文件，IMAGE_SECTION_HEADER結(jié)構(gòu)的起始地址和結(jié)束地址分別為0x1D0和0x270，由此可知該文件的節(jié)數(shù)量為_________。選項：A、3B、4C、5D、6正確答案:【4】6、問題：引入目錄表（ImportTable）的開始位置RVA和大小位于PE文件可選文件頭DataDirecotry結(jié)構(gòu)（共16項）中的第________項。選項：A、1B、2C、3D、13正確答案:【2】7、問題：DLL被引出函數(shù)的函數(shù)名字符串的RVA存儲在引出函數(shù)節(jié)下的哪個字段指向的表中？選項：A、AddressOfFunctionsB、AddressOfNamesC、AddressOfNameOrdinalsD、Name正確答案:【AddressOfNames】8、問題：如果需要手工從目標(biāo)PE文件中提取其圖標(biāo)數(shù)據(jù)并生成.ico文件的話，我們需要從以下哪類型資源中提取數(shù)據(jù)？選項：A、ICONB、BITMAPC、GROUPICOND、GROUPICON+ICON正確答案:【GROUPICON+ICON】9、問題：DLL文件可能加載到非預(yù)期的ImageBase地址，PE文件使用______解決該問題。選項：A、函數(shù)引入機(jī)制B、資源動態(tài)分配機(jī)制C、重定位機(jī)制D、函數(shù)引出機(jī)制E、資源節(jié)正確答案:【重定位機(jī)制】10、問題：DLL在編譯時的初始文件名字符串的RVA存儲在引出目錄表下的哪個字段中？選項：A、AddressOfFunctionsB、AddressOfNamesC、AddressOfNameOrdinalsD、Name正確答案:【Name】11、問題：Window系統(tǒng)中，.DL.SY.SCR和.OCX文件都屬于PE文件格式。選項：A、正確B、錯誤正確答案:【正確】12、問題：在PE文件格式中，PE文件頭的Signature（即“PE\0\0”）位于MZDOS頭及DosStub之后，32位程序的Signature開始于000000B0位置。選項：A、正確B、錯誤正確答案:【錯誤】13、問題：引出目錄表的開始位置就是引出函數(shù)節(jié)的開始位置，因此找到引出函數(shù)節(jié)就可以定位到引出目錄表。選項：A、正確B、錯誤正確答案:【錯誤】14、問題：一個具有圖標(biāo)和菜單的可執(zhí)行文件通常都具有資源節(jié)。選項：A、正確B、錯誤正確答案:【正確】15、問題：PE文件的可選文件頭是可選的，可以不要。選項：A、正確B、錯誤正確答案:【錯誤】16、問題：在進(jìn)行函數(shù)引入時，必須在引入函數(shù)節(jié)部分注明目標(biāo)函數(shù)名字，否則無法進(jìn)行索引定位。選項：A、正確B、錯誤正確答案:【錯誤】17、問題：DLL文件的編譯生成時間存儲在其引出函數(shù)目錄表的時間戳信息中，在針對惡意代碼的取證分析過程中，該時間信息對于了解樣本出現(xiàn)的開始日期具有一定參考意義。選項：A、正確B、錯誤正確答案:【正確】18、問題：每一個PE文件都必須有一個數(shù)據(jù)節(jié)和代碼節(jié)，且這兩個節(jié)不可以合并為一個節(jié)。選項：A、正確B、錯誤正確答案:【錯誤】19、問題：當(dāng)一個PE可執(zhí)行文件裝載到內(nèi)存之后，引入地址表（IAT表）指向的數(shù)據(jù)將被對應(yīng)函數(shù)在內(nèi)存中的VA地址所代替。選項：A、正確B、錯誤正確答案:【正確】20、問題：PE文件一旦被簽名之后，該文件的任何地方被修改都將導(dǎo)致簽名驗(yàn)證無法通過。選項：A、正確B、錯誤正確答案:【錯誤】21、填空題：下圖為某程序的.rdata節(jié)（開始位置RVA：2000，文件偏移量：800H）在內(nèi)存中的主要數(shù)據(jù)。通過分析可知，MessageBoxA函數(shù)的VA地址=0x________【填入8個16進(jìn)制數(shù)字或大寫字母，高位在前，低位在后，譬如76F8BBE2，00002050】正確答案:【7689EA11】22、填空題：下圖為某程序的.rdata節(jié)（開始位置RVA：2000，文件偏移量：800H）在內(nèi)存中的主要數(shù)據(jù)。通過分析可知，文件808H-80BH偏移處的值是0x________?！咎钊?個16進(jìn)制數(shù)字或大寫字母，高位在前，低位在后，譬如76F8BBE2，00002050】正確答案:【0000208C##%_YZPRLFH_%##8C200000】23、填空題：下圖為某PE程序的部分16進(jìn)制數(shù)據(jù)截圖，內(nèi)存中RVA地址0040B341H在該P(yáng)E文件中的文件偏移地址為：______h?！?位16進(jìn)制數(shù)據(jù)，高位在前，字母大寫】正確答案:【00008541】24、填空題：請分析附件文件Zoomit.exe，通過分析可知：最大尺寸的ICON的RVA是__________?！?位16進(jìn)制數(shù)據(jù)，高位在前，字母大寫】正確答案:【0006CC90】25、填空題：請分析附件文件，通過分析可知：最大尺寸的ICON對應(yīng)的文件Size是__________?！?位16進(jìn)制數(shù)據(jù)，高位在前，字母大寫】正確答案:【00000EA8】26、填空題：請分析附件文件，該文件中包含一個名為BINRES的資源，請將該文件提取之后保存為rczoomit64.exe，分析該文件可知，其ImageBase為________【按實(shí)際位數(shù)填寫所有16進(jìn)制數(shù)據(jù)，高位在前，字母大寫】正確答案:【0000000140000000】C6單元測試1、問題：如下圖所示，在命令行輸入命令“ddds:[fs:[30]+0c]”之后，在數(shù)據(jù)窗口開始“7763DCA0”地址的含義是？（實(shí)驗(yàn)系統(tǒng)環(huán)境為Win10，test.exe程序?yàn)?2位）選項：A、PEB結(jié)構(gòu)開始位置B、LDR_MODULE結(jié)構(gòu)開始位置C、PEB_LDR_DATA結(jié)構(gòu)開始位置D、TEB結(jié)構(gòu)開始位置正確答案:【PEB_LDR_DATA結(jié)構(gòu)開始位置】2、問題：以下代碼對@pushsz進(jìn)行了宏定義，對于該宏的正確描述的是？@pushszMACROstrLOCALnextcallnextdbstr,0next:ENDM選項：A、該宏僅用于定義一個字符串。B、該宏用于定義一個字符串，并將字符串首地址壓入堆棧頂端。C、該宏多次使用時會出錯，因?yàn)橄嗤臉?biāo)號不能出現(xiàn)兩次及以上。D、這是一段混淆代碼，主要用于干擾反匯編工具。正確答案:【該宏用于定義一個字符串，并將字符串首地址壓入堆棧頂端?！?、問題：PE病毒在進(jìn)行目標(biāo)文件搜索時，通常會以目標(biāo)文件后綴為條件來遍歷計算機(jī)硬盤，以下哪類后綴程序不應(yīng)該是PE文件的感染目標(biāo)？選項：A、EXEB、SCRC、DLLD、COM正確答案:【COM】4、問題：為了提高對感染速度，PE病毒通常將目標(biāo)程序讀入到內(nèi)存中之后進(jìn)行感染操作，以下哪個函數(shù)執(zhí)行之后將返回目標(biāo)程序在內(nèi)存中的開始地址。選項：A、CreateFileB、CreateFileMappingC、MapViewOfFileD、UnmapViewFile正確答案:【MapViewOfFile】5、問題：當(dāng)傳統(tǒng)感染型PE病毒在目標(biāo)程序中添加病毒感染代碼之后，通常其采用修改PE文件________字段的方式來使得病毒代碼能夠最先獲得控制權(quán)。選項：A、ImageBaseB、EIPC、AddressOfEntryPointD、START正確答案:【AddressOfEntryPoint】6、問題：在目標(biāo)PE程序圖標(biāo)替換過程中，可以使用BeginUpdateResource(),UpdateResource(),EndUpdateResource()等API函數(shù)，實(shí)現(xiàn)用自定義的ico文件類替換exe程序原來的圖標(biāo)的功能。UpdateResource()函數(shù)的第三個參數(shù)是指？選項：A、將被更新的資源的名稱字符串B、目標(biāo)ICO文件句柄C、將被替換的目標(biāo)資源類型D、將被更新資源的語言標(biāo)識正確答案:【將被更新的資源的名稱字符串】7、問題：PE病毒可以將惡意負(fù)載以資源的方式存儲在自身文件中，并在適當(dāng)時候進(jìn)行資源釋放和執(zhí)行。在操作過程中，以下哪個函數(shù)將不需要被用到？選項：A、FindResourceB、LoadResourceC、SizeOfResourceD、UpdateResource正確答案:【UpdateResource】8、問題：課程C6.8所提供的PEB-pass-123.rar中的PEB.exe程序在Win10下運(yùn)行之后，獲得的是以下哪個模塊的地址?選項：A、kernel32.dllB、ntdll.dllC、kernelbase.dllD、PEB.exe正確答案:【kernelbase.dll】9、問題：熊貓燒香病毒采用了“Virus+Host”的感染方式，其缺陷是被感染程序的圖標(biāo)會發(fā)生變化。如需讓目標(biāo)程序圖標(biāo)同步為HOST程序圖標(biāo)，則需要對目標(biāo)程序的以下哪個區(qū)域進(jìn)行修改？選項：A、圖標(biāo)節(jié)B、代碼節(jié)C、資源節(jié)D、數(shù)據(jù)節(jié)正確答案:【資源節(jié)】10、問題：傳統(tǒng)文件感染型病毒在進(jìn)行API函數(shù)自搜索時，主要是基于kernel32模塊的何種機(jī)制進(jìn)行的？選項：A、函數(shù)引入機(jī)制B、資源定位機(jī)制C、重定位機(jī)制D、函數(shù)引出機(jī)制正確答案:【函數(shù)引出機(jī)制】11、問題：傳統(tǒng)感染型PE病毒因?yàn)樵诖a寄生過程中的目標(biāo)HOST程序多樣，無法事先確定自身病毒代碼即將寄生的位置，但二進(jìn)制代碼中存在部分固化的VA地址，因此需要給目標(biāo)PE程序新增一個重定位節(jié)，以確保病毒代碼中的VA地址能夠得到動態(tài)修正。選項：A、正確B、錯誤正確答案:【錯誤】12、問題：由于文件感染型病毒需要在目標(biāo)程序新增代碼甚至新增節(jié)，其在感染過程中必將增加目標(biāo)程序大小。為了有效隱藏自己，病毒代碼通常都應(yīng)盡力做到精簡以縮小自身體積。選項：A、正確B、錯誤正確答案:【錯誤】13、問題：對于計算機(jī)病毒來說，如果其感染目標(biāo)程序都位于當(dāng)前操作系統(tǒng)之內(nèi)，感染目標(biāo)也只在本機(jī)運(yùn)行，則其需要使用的相關(guān)API函數(shù)的地址在當(dāng)前系統(tǒng)是確定的，因此可以采用硬編碼的方式將API函數(shù)的地址固化在病毒代碼中，直接調(diào)用即可。選項：A、正確B、錯誤正確答案:【錯誤】14、問題：對于代碼寄生型病毒來說，如果對方程序自身有完整性校驗(yàn)，則對該程序進(jìn)行感染將會導(dǎo)致目標(biāo)程序運(yùn)行異常。但是捆綁釋放型的感染方式則可以有效避免出現(xiàn)此類情況。選項：A、正確B、錯誤正確答案:【正確】15、問題：對于捆綁型病毒A來說，如果要感染目標(biāo)B，一般來說采用A+B的方式，但在這種方式下被感染后的程序圖標(biāo)為A的圖標(biāo)。如果要做到目標(biāo)被感染程序后的圖標(biāo)不發(fā)生變化，直接將將感染程序B放在前面，將捆綁病毒A放在后面（即B+A）即可，無需再做其他變換。選項：A、正確B、錯誤正確答案:【錯誤】16、問題：PEB模塊為進(jìn)程環(huán)境塊，其位于操作系統(tǒng)內(nèi)核空間，通過用戶態(tài)程序無法訪問。選項：A、正確B、錯誤正確答案:【錯誤】17、問題：fs:[0]的指向?yàn)檫M(jìn)程當(dāng)前活動線程的SEH異常處理結(jié)構(gòu)的鏈?zhǔn)孜恢?，通過訪問該鏈表的末端SEH結(jié)構(gòu)的第二個字段，可以獲得一個指向kernel32模塊內(nèi)部的地址。該方法在從XP到Win10等不同的操作系統(tǒng)中均具有良好通用性。選項：A、正確B、錯誤正確答案:【錯誤】18、問題：對于較強(qiáng)破壞能力的計算機(jī)病毒來說，病毒破壞模塊的觸發(fā)條件決定了該病毒的潛伏期的長短，潛伏期越長，感染的目標(biāo)群體越大，最終形成的整體破壞力就越大。選項：A、正確B、錯誤正確答案:【錯誤】19、問題：call指令與jmp指令的功能類似，都將跳轉(zhuǎn)到目標(biāo)位置繼續(xù)執(zhí)行。但call指令執(zhí)行時，還會將該call指令之后的地址壓入堆棧頂端。而這一特性可有效應(yīng)用于病毒代碼的重定位。選項：A、正確B、錯誤正確答案:【正確】20、問題：無論是在32位還是64位系統(tǒng)，病毒代碼在獲得當(dāng)前kernel32模塊中的任一VA地址之后，只要通過地址逐一遞減并驗(yàn)證指向位置是否為PE文件頭部特征，必然可以順利找到kernel32模塊的基地址。選項：A、正確B、錯誤正確答案:【錯誤】21、填空題：下圖為課程提供的SEH.exe程序的相關(guān)反匯編代碼，以下______地址處的指令執(zhí)行之后，______寄存器中存放的是SEH鏈中最后一個EXCEPITON_REGISTARTION結(jié)構(gòu)的Handler。（填入8位地址與寄存器名，以空格隔開）正確答案:【00401010eax##%_YZPRLFH_%##00401010EAX】22、填空題：以下為課程例子中的感染例子源代碼的部分片段，按照程序預(yù)期設(shè)計，以下_____行語句執(zhí)行之后，______寄存器中存放的是指向kernel32模塊內(nèi)部的地址?！咎钊雰晌话⒗?dāng)?shù)字行號與寄存器名稱，以空格隔開】正確答案:【54eax##%_YZPRLFH_%##54EAX】23、填空題：課程提供的病毒感染例子在使用masm32默認(rèn)編譯選項完成編譯之后，該程序XP下實(shí)際運(yùn)行時也會提示錯誤，該錯誤的原因是因?yàn)槟彻?jié)的默認(rèn)屬性為只讀，但該程序需要在該節(jié)進(jìn)行寫操作。而要進(jìn)行修復(fù)，除了手工或者PE工具修改該節(jié)屬性之外，還可以在link時增加一個修改節(jié)屬性的選項來修改指定其屬性為可讀可寫可執(zhí)行(rwe)，即/section:_(1)_,_(2)_。（填入節(jié)名與屬性，以空格隔開）正確答案:【.textrwe##%_YZPRLFH_%##.textRWE】24、填空題：課程提供的病毒感染例子程序在感染目標(biāo)程序之后，為了避免對同一個程序反復(fù)感染，將在被感染程序中寫入一個感染標(biāo)志，該感染標(biāo)志是___（1）___，對于課程配套給出的test.exe文件來說，感染標(biāo)志的FOA開始位置是___（2）____？（空1填寫英文字母，高位在前低位在后；空2填寫大寫的8位16進(jìn)制數(shù)，以空格隔開）正確答案:【dark000000B8##%_YZPRLFH_%##DARK000000B8】C7單元測試1、問題：Office文檔啟用宏后，在Office文檔打開窗口通過快捷鍵______可以進(jìn)入VisualBasic編輯器窗口。選項：A、Alt+F9B、Alt+F10C、Alt+F11D、Alt+F12正確答案:【Alt+F11】2、問題：如果要阻止用戶通過Word點(diǎn)擊“宏”或“查看宏”按鈕查看宏代碼，可以定義以下哪個宏來攔截該操作。選項：A、Macro_View()B、ViewVBCode()C、ToolsMacroD、MacroView()正確答案:【ToolsMacro】3、問題：以下哪個宏在定義在文檔（非模板）中將被對應(yīng)操作自動觸發(fā)。選項：A、AutoCloseB、AutoExitC、AutoNewD、AutoExec正確答案:【AutoClose】4、問題：當(dāng)vbs文件執(zhí)行死循環(huán)時，應(yīng)打開任務(wù)管理器結(jié)束以下哪個進(jìn)程？選項：A、explorer.exeB、wscript.exeC、cscript.exeD、taskmgr.exe正確答案:【wscript.exe】5、問題：當(dāng)文檔工程被加密后，通過以下哪個工具可以解除其加密口令?選項：A、scrdecB、VisualStudioC、OLEDumpD、VBAPasswordBypasser正確答案:【VBAPasswordBypasser】6、問題：以下哪個宏在Offcie程序打開時自動觸發(fā)？選項：A、AutoOpenB、Document_OpenC、AutoExecD、OfficeOpen正確答案:【AutoExec】7、問題：Options.SaveNormalPrompt=False此舉代碼的作用是？選項：A、關(guān)閉文檔的自動保存功能B、使Office的文檔保存按鈕失效C、當(dāng)用戶選擇保存文檔時，直接保存，不要提示用戶D、如果公用模板被修改，不要彈框提示用戶正確答案:【如果公用模板被修改，不要彈框提示用戶】8、問題：Office宏的編寫語言是？選項：A、VBAB、VBSC、JSD、Powershell正確答案:【VBA】9、問題：在VBS惡意腳本程序中，___________是一個經(jīng)常被使用的瀏覽器對象，可用于模擬http的GET和POST請求，其經(jīng)常與ADODB.STREAM對象一起使用，以從遠(yuǎn)程下載數(shù)據(jù)并將其釋放為本地文件。選項：A、XMLB、HTTPC、XMLHTTPD、Request正確答案:【XMLHTTP】10、問題：下面語句用于創(chuàng)建一個_______對象？SetfNxGxXlsxADAGD=createobject(Chr(83)Chr(104)Chr(101)Chr(108)Chr(108)Chr(46)Chr(65)Chr(112)Chr(112)Chr(108)Chr(105)Chr(99)Chr(97)Chr(116)Chr(105)Chr(111)Chr(110))選項：A、Shell.ApplicationB、XML.HttpRequestC、Adodb.StreamD、Wscript.WSHRemote正確答案:【Shell.Application】11、問題：使用oledump工具可以在不運(yùn)行宏的情況下查看宏代碼，以此降低分析風(fēng)險。選項：A、正確B、錯誤正確答案:【正確】12、問題：宏病毒一種非常古老的惡意代碼威脅，當(dāng)前已經(jīng)不可能存在這類威脅。選項：A、正確B、錯誤正確答案:【錯誤】13、問題：除了宏病毒威脅之外，打開數(shù)據(jù)文檔是不可能存在其他安全隱患的。選項：A、正確B、錯誤正確答案:【錯誤】14、問題：文件自身不帶宏代碼的文檔也有可能觸發(fā)執(zhí)行