|
资料来源:谋学网(www.mouxue.com)计算机病毒分析-[南开大学]22春学期(高起本1709、全层次1803-2103)《计算机病毒分析》在线作业
: t. _, z* W+ Q, H8 Y试卷总分:100 得分:1009 `$ l# {4 z! f7 Z1 [+ H
第1题,病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据影响计算机使用并且能够自我复制的一组+ I! s3 Z! W8 h8 e; r' v
A、计算机指令
* ]* W5 w% g7 J) g' wB、程序代码
2 b) S( Y' K; p/ fC、文件
. Q E, }8 l H4 U' x0 UD、计算机指令或者程序代码
- D8 V2 O( C% v+ k正确资料:) G: m( p# m6 z" _3 b& i# y0 ?3 G& B
9 j* @: G5 |: C# \9 w8 T: V
3 g7 V% p2 n& @- r5 Q N* T1 k第2题,病毒、和木马是可导致计算机和计算机上的信息损坏的恶意程序
) O2 O9 V+ G KA、程序3 v& C9 e5 N/ K$ p6 h ?- k3 ]
B、蠕虫
0 W6 H1 X. s/ \2 X3 tC、代码
$ _# k2 a1 ]3 u3 H& p- i2 vD、数据
1 Z( u; O" n% \' Y1 T3 G j% f$ }正确资料:, ]( I$ Q+ e; X8 `( {
; p+ w5 E2 k7 i2 i3 T
& }. F$ F3 L: d/ g! u4 w第3题,堆是程序运行时动态分配的内存用户一般通过、new等函数申请内存. s& a7 e; v) ^1 ^! F
A、scanf7 v/ B2 \2 @3 I; p
B、printf
8 h8 x) B- o/ r3 c2 o# tC、malloc C# K6 S$ i" U8 h
D、free7 s" t8 M; C7 G; @; r
正确资料:2 }4 n2 r! l( |& y- B/ \5 y
; d; ?* j6 A) K* s2 X2 ^/ B0 P: s* } u* I' D: N/ e. ^
第4题,能调试内核的调试器是
; q" V v) Z; L0 x- ^- v! XA、OllyDbg" ? G8 v% w; q2 H9 K
B、IDA Pro* e# v. C, T) q I" v: N
C、WinDbg$ O+ O" J8 P" Q$ S* R. r- F
D、Process Explorer
6 Y! l6 b" }6 r' P ~: j正确资料:
3 L. e- K6 X* u9 y
) ?, f7 p* y% T6 s4 |' y' D$ W# H' ?. G
资料来源:谋学网(www.mouxue.com),函数调用约定中参数是从右到左按序被压入栈当函数完成时由被调用函数清理栈并且将返回值保存在EAX中的是
& {! E$ w$ |( ~3 kA、cdecl
& |: ?0 ~+ l4 [1 [9 v3 y! QB、stdcall
- t0 m# a6 y9 _# BC、fastcall
4 P8 k+ \4 _: _/ j) T+ z3 w% YD、压栈与移动& @# o. o! ~, `- X+ w$ w% O
正确资料:
/ {* C' v1 g. h0 ^
5 U+ X* m1 `) U+ E; @, A* R7 E7 m+ m% G/ \/ @) o
第6题,PE文件中的分节中唯一包含代码的节是
# P4 I& P! \0 \4 p: A L$ w( [A、.rdata) J7 D6 w) E' N5 \
B、.text% C! O/ K: g0 S7 h; Y. F# R# A
C、.data
) t/ F4 p5 q r0 U, A3 UD、.rsrc
) P8 }" X3 j- P正确资料:5 \) j5 C8 |4 a- G& F
6 d8 Z0 j3 W; a* f) G( r4 Z1 [: p$ Y+ V1 L6 K" x
第7题,计算机体系结构中层是由十六进制形式的操作码组成用于告诉处理器你想它干什么
- [) T3 ^1 h2 F: e% l' p3 |& R+ ?A、微指令- U) i4 Y# i* S
B、机器码% _- O0 x/ x! `. o" H% L' r8 f8 P
C、低级语言; t" r& ]1 Y6 u
D、高级语言' `4 R! f5 b" c/ k
正确资料:$ \2 B' _. k; I. I
: z9 j5 p% J+ I9 i1 k/ i8 C; D8 j
) }! b1 I- R8 b7 i- i第8题,基于Linux模拟常见网络服务的软件的是( _4 ]4 G5 r! e N2 Q& a
A、ApateDNS) H7 _- n" O' H; ]1 ^
B、Netcat
2 H, p) p" a, K# F! j$ G8 E7 u8 G3 m8 QC、INetSim9 [% |9 T( W- h. u7 J x
D、Wireshark
8 {3 Z& ?, r- c7 N% Z" j3 d0 N正确资料:
( Y' b" U" d1 ~5 A2 U$ L) L+ a3 ~+ P6 S7 z3 f, X. j' ^+ g
! [7 e% R. t' A, Y
第9题,轰动全球的震网病毒是
0 r- O& n' N5 S1 c( e( u5 e2 T+ nA、木马3 N0 w: R u/ U% m- t" n
B、蠕虫病毒7 Z. i2 z! V ^( p! ?3 i9 m
C、后门. Z6 g9 H# X0 o+ I% `5 A
D、寄生型病毒' P7 w- v% f m4 g$ ~2 u0 H6 n
正确资料:! k9 E4 Y, R0 ^5 y# @% d1 r
) \( ]& {+ H- J4 X/ n3 J6 p5 a) N
; S5 u) F0 C- m7 M8 [& {( i资料来源:谋学网(www.mouxue.com),Shell是一个命令解释器它解释的命令并且把它们送到内核+ ]% E& m5 o4 K' _0 X0 o6 }
A、系统输入; P3 p( d2 D+ `3 c
B、用户输入3 `9 e, J+ n- T0 i9 ]! B& x
C、系统和用户输入9 _" c3 x/ @: C6 G; |4 ?
D、输入
# | `5 \0 N. X6 a, }正确资料:
9 O: r# D, ~; {, Q" `- e. E8 @/ {6 a! a+ r( I
u& D6 [5 R; y6 M+ h
第11题,在WinDbg的搜索符号中命令允许你使用通配符来搜索函数或者符号, s4 f! `; L6 b3 O
A、bu# g. H% R* e1 b* t
B、x1 @; A3 w9 g8 g# J7 y2 ^
C、Ln
v) b" f; m5 ~; h! z4 t. jD、dt
* U, L5 L/ d! {$ T# r5 H正确资料:
% L/ p6 y: ?6 [: w6 V z' f H- n5 s6 e W6 d2 l7 `$ I- A6 ^
2 w6 T% c9 C4 i5 E
资料来源:谋学网(www.mouxue.com),木马与病毒的重大区别是6 R: F/ y- n2 I7 ]& d6 r
A、木马会自我复制
% M! I4 x* q. i' a( z0 s5 qB、木马具有隐蔽性; m% o, @) E- N, h
C、木马不具感染性
8 S$ u- N3 S; m$ JD、木马通过网络传播" w' J) x h5 D
正确资料:6 v7 L. x8 b( C' w# j* P2 o9 `
7 `4 y( R% ?# S( w
2 I+ {+ y9 M8 u5 q/ p! Q1 n第13题,以下哪个选项属于木马
0 W# M& X& F7 L8 G$ I0 kA、震网病毒+ N+ r) `; R0 D! g' ^6 y' O
B、WannaCry5 t7 {3 P9 M1 P: L @
C、灰鸽子
$ R9 c) {% E1 w: Q, v* BD、熊猫烧香8 t7 u5 \. M& F( G% O/ ~
正确资料:
. H+ f) E0 a' @' c4 t
7 S: [6 ?3 X- B; f4 X( o Q V0 I$ c9 w h9 {+ X+ e! j6 Q
第14题,用户模式下的APC要求线程必须处于状态
1 _* H4 Q* g7 o) u8 }0 SA、阻塞状态$ P/ a3 L/ G1 y
B、计时等待状态 ~5 U C3 D9 U3 u+ x _
C、可警告的等待状态. k9 y# v6 ~1 C7 U/ i5 J
D、被终止状态) Q! }3 T+ }/ v( y; U9 p: h- C
正确资料:2 h1 c, r! z2 A; V) f+ P
) z/ c3 ^, l4 ~$ H+ Q( a$ W O4 ~# m! S) e) X0 p! T! \
资料来源:谋学网(www.mouxue.com),OllyDbg最多同时设置个内存断点5 t( j' t' N/ L6 `+ r& e0 D5 F% z
A、1个
; I- q2 u9 g$ a9 K! }- @5 GB、2个4 p2 h9 h9 Y3 E) i) K8 n
C、3个
. }$ R% J! a. n6 j | RD、4个
9 {! k- \* Z# N1 n4 p' [& h正确资料:
7 C: o* d! g0 g# X8 U9 n
% [& y6 v, Y. [, e# q; n! K5 J$ t. z9 k1 m7 M$ t+ H) w7 X
第16题,而0x52000000对应0x52这个值使用的是字节序: v7 y( I( b( c' I/ T) F: T
A、小端/ }+ v6 d+ _/ Q0 c& k
B、大端" Y" ~6 K1 c1 B! g( M
C、终端8 p, _7 B* s7 ?% t- b
D、前端
- `' f H }/ a; }) t1 u X2 }, |正确资料:
! [7 R n+ E# L }+ k9 _& p. w
$ a. Z; @& s y* z* f* N4 O; @+ X5 e7 @9 d5 m
第17题,以下说法错误的是
. K" t' V" V! E! u; T& NA、OllyDbg可以很容易修改实时数据,如寄存器和标志。它也可以将汇编形式的修补代码直接插入到一个程序
# _9 D% [+ j; G4 @" Q* x8 W' jB、OllyDbg可以使用00项或nop指令填充程序
; M" t- T4 W( q8 F7 I- ^C、键单击高亮的条件跳转指令,然后选择Binary→Fill with NOPs,该操作产生的结果时NOP指令替换了JNZ指令,这个过程会把那个位置上的NOP永久保存在磁盘上,意味着恶意代码以后会接受任意输入的密钥4 n* I1 Q7 Q: {
D、当异常发生时,OllyDbg会暂停运行,然后你可以使用进入异常、跳过异常、运行异常处理- i- M% H- Q2 m$ g+ Z$ ?
等方法,来决定是否将异常转移到应用程序处理- c% P, k6 z! J: X7 v
正确资料:3 Y$ t7 T0 |; y
. x! o* [: m! L; J) a( @
& e$ |+ V# K- p) C4 n; N b第18题,反病毒软件主要是依靠来分析识别可疑文件3 |% ^/ a( m3 q* P
A、文件名
- d. a1 [& `# X2 F, y( U# ^% FB、病毒文件特征库) \7 F/ `1 x \, r; H f3 q2 d$ G
C、文件类型2 F; G R, [$ O! E7 n: X( E5 ~/ ?
D、病毒文件种类( K/ m6 R0 V/ l. g8 v$ a3 a
正确资料:
7 Z) O8 H# a+ ^2 m$ u6 X
) X7 K3 _# S$ ^/ Y0 [ M* I
% r f# E: c: \: g& h' X4 J( j第19题,WinDbg的内存窗口支持通过命令来浏览内存以下WinDbg读选项中选项描述读取内存数据并以内存32位双字显示
- F' j( Z5 l4 m6 t5 H) |) ]A、da! r. M9 n& N# a5 ~
B、du5 L" s& D# `! t# O/ B' c3 l% u
C、dd7 t. o4 ?+ p0 t2 M1 f
D、dc
, ~- A# l- T3 U' ?. i8 q) ?正确资料:
5 j% X! j, P5 d1 l X r* Y0 F; X: b2 h( z, p
( O: R( @6 V4 x) ?- d* @1 ]
资料来源:谋学网(www.mouxue.com),Base64编码将二进制数据转化成个字符的有限字符集
1 a2 N- c/ X! _! S( GA、16
6 f1 N o v% Q. Z. t vB、32
* h" E, R% k3 y/ XC、48; d+ Y3 X+ k- b4 d! v
D、64
; `8 P/ ~1 J' b$ v正确资料:
$ }6 P/ Q* ]. \: d* m9 e/ b, c( I: F4 z2 [6 U
% {+ v* T b7 H9 i7 V
第21题,原始数据转换成Base64的过程相当标准它使用位的块) V7 K0 ?# ?* U2 | j+ }, o1 _
A、8' n. _% F6 x. V, `) U4 t6 T
B、16% c- X1 w2 E. ~3 ^
C、24
8 W& ^8 o3 [! ?$ |D、325 I6 D, A: f* t7 V" _' C$ Z h
正确资料:
2 z2 P4 p5 u+ ?# F6 |' A( b5 B( S; V
. A; g7 _2 h0 Q$ A
9 i' e% |" v+ _2 m+ G第22题,是指Windows中的一个模块没有被加载到其预定基地址时发生的情况
- R8 o5 l& i* [ U2 l3 xA、内存映射
5 i5 |% i2 o/ y2 u) _B、基地址重定位2 W! N) d# a! j
C、断点3 s6 @- l) R/ A; D
D、跟踪
J8 W: e) }: J& x& [; P; y) T正确资料:
/ J* u% Q. e: ~; j! R! q% K6 R9 R4 c. _+ K
/ E# l3 `# p3 u8 B- E1 L3 z! }第23题,WinINetAPI实现了层的协议1 r' p* u# E! K+ K+ w/ N; ]: y* R
A、网络层: p z" }5 \1 U0 ^
B、数据链路层/ W7 P, H! d7 u# e3 M7 g
C、应用层' k( \+ U1 S$ P: l& f. Y/ t* [
D、传输层& ] h8 [; x% h: u6 D
正确资料:7 O- r4 x/ D' @8 g
. W/ ?. |4 z& f! H7 j' v6 } |: ^7 g) k) [ |" u5 u7 Q( R9 I
第24题,WinDbg的内存窗口支持通过命令来浏览内存以下WinDbg读选项中选项描述读取内存数据并以ASCII文本显示
: u" L \* u' R( o* x1 u2 |A、da5 I5 ^/ k; s% l. {
B、du
" y7 n5 \+ O7 H& o; z( QC、dd
& P1 Z, }" w3 qD、dc
+ m* n- A! k1 u( e/ z正确资料:; T0 S7 k" X6 T; t7 L3 |
! q5 a# n; E: a# B
3 u, q9 K) ^# U5 W+ D+ e资料来源:谋学网(www.mouxue.com),进程浏览器的功能不包括
7 f% q) q# V7 c+ E+ WA、比较进程浏览器中的DLL列表与在Dependency Walker工具中显示的导入DLL列表来判断一个DLL是否被加载到进程9 a! T# L) W1 I" i* ~
B、单击验证按钮,可以验证磁盘上的镜像文件是否具有微软的签名认证5 H5 t( K5 S e) H, G X
C、比较运行前后两个注册表的快照,发现差异
4 V$ D7 Y# g; o; p+ w# i9 oD、一种快速确定一个文档是否恶意的方法,就是打开进程浏览器,然后打开文档。若文档启动了任意进程,你能进程浏览器中看到,并能通过属性窗口中的镜像来定位恶意代码在磁盘上的位置。% I9 x$ D4 U( @/ Y* v( K* o
正确资料:
7 o. Q; a: L% _; G- g, @6 Z
- z' J! h$ s/ i* N2 K5 b V: c5 Y8 M$ U; T. |- }
第26题,以下方法中是识别标准加密算法的方法是[多选]
5 L O% T. P8 u* K3 zA、识别涉及加密算法使用的字符串
- U# u0 E z7 o3 D$ Z& g8 n& nB、识别引用导入的加密函数
; @9 [# t W0 P" G, ?# QC、搜索常见加密常量的工具
3 q; L7 j( W7 F8 }1 wD、查找高熵值的内容: O' n2 P% i$ D& B
正确资料:,B,C,D
% {1 S3 S( j* f7 |- F+ h
* O8 K# A0 {8 X+ ^3 m0 K: k5 u! w- K3 c
) n5 R7 h) m/ L) Q- T第27题,对下面汇编代码的分析正确的是% ?6 q1 e( M, z) N) d5 a8 K
A、mov [ebp+var_4],0对应循环变量的初始化步骤/ k% [! X) Q& \9 y& S
B、add eax,1对应循环变量的递增,在循环中其最初会通过一个跳转指令而跳过4 | n- j3 o" J% s" Q N, \0 {
C、比较发生在cmp处,循环决策在jge处通过条件跳转指令而做出, X" b A" \6 M p( G( n
D、在循环中,通过一个无条件跳转jmp,使得循环变量每次进行递增。
2 A+ O( Z3 Q% _: |正确资料:,B,C,D) R8 E- X5 |1 U" s
; r6 s: D) D& W& ]( b' e8 }3 h9 w" K; r9 I
第28题,以下是分析加密算法目的的是" o: Y& ]) ~& P$ q/ L* O3 q
A、隐藏配置文件信息。3 i# Y6 F c+ P( H, C# c# y- k
B、窃取信息之后将它保存到一个临时文件。( x' y7 O6 H8 ]. C9 y: ^& q" a% ?4 _
C、存储需要使用的字符串,并在使用前对其解密。: g% X! z6 z+ _+ A2 C! j
D、将恶意代码伪装成一个合法的工具,隐藏恶意代码& I9 l) |% H: p
正确资料:,B,C,D/ p3 H) D7 I B! s* q
8 b$ J9 T' z0 {& a' H
* s. _; z/ f# E" [8 l3 P
第29题,以下哪些是常用的虚拟机软件, N9 h3 Q9 s: @4 U) z1 O
A、VMware Player# ~- ~, y- o, @2 w3 g; p. e+ `- M6 w# T
B、VMware Station
, @1 b8 ~) l- N+ c) W4 uC、VMware Fusion( A1 q& Q: W4 }# Q R: ~
D、VirtualBox0 H0 P. H' T6 S" {( `
正确资料:,B,C,D* u \% r7 k' T( s
; x* ^/ q: c9 M& U
5 F3 o9 K3 a S9 t- B3 E资料来源:谋学网(www.mouxue.com),后门的功能有
* y6 H% @1 x1 E8 zA、操作注册表
2 q/ S% @. I1 f1 T' M$ k8 |/ |$ fB、列举窗口/ R5 y" I, L' w$ {1 M
C、创建目录 _% C, Y5 h6 V( y: l
D、搜索文件9 Y9 P! `) v& \. c3 r. g# b( [- ~
正确资料:,B,C,D& }7 i; A9 P0 \9 Y! r
0 R3 j, t6 i, \5 w- d+ [
) ]5 G. X( H4 F3 ^
第31题,OllyDbg提供了多种机制来帮助分析包括下面几种
- V/ D* e& q% ~A、日志& c" T( z. C0 l5 _( M% I
B、监视
" w" u5 L- n+ a- o( WC、帮助
8 P3 I# I5 b2 i h7 z9 L9 _D、标注- ~1 b6 l3 [% t0 C a6 A6 }
正确资料:,B,C,D2 ]9 ?$ p5 j8 t" e4 L0 [
9 l7 u. m6 {$ r2 k$ W9 S( [: y; e, x+ u; a
第32题,调试器可以用来改变程序的执行方式可以通过修改方式来改变程序执行的方式 r# B$ O& e: D% x: m q' w1 b3 X& H" t
A、修改控制标志/ K5 Z6 g% ~% d' v# E
B、修改指令指针& }5 h! O) k2 z
C、修改程序本身
' t, ~6 ~0 `- U0 d) w! a/ [, l+ PD、修改文件名
; w1 _) [" `! y" `$ k正确资料:,B,C: r9 t4 Z1 h* H! B! H( ?
$ ^6 t' x) Z G' {
2 E, i; E" e# ^& H- T" J$ {第33题,恶意代码作者如何使用DLL多选
& J5 C5 P9 z7 j) T0 s3 lA、保存恶意代码 O7 K6 H$ V8 l
B、通过使用Windows DLL: w0 ~' ?1 Z9 L- N; f
C、控制内存使用DLL, F4 u0 F3 @! |& Q a" h
D、通过使用第三方DLL
. Y5 S5 P a; [5 |: J2 Y% l正确资料:,B,D; }# a9 y8 L; A& v+ {( _( C
H$ s* A; @- c6 G3 J5 l
^% s/ Z/ C% e5 o* i, u第34题,恶意代码的存活机制有* H0 n, a9 u% ]- A3 u
A、修改注册表
0 `2 R! V+ [, k! e; \. j2 Q- EB、特洛伊二进制文件
, v9 A$ R3 E& TC、DLL加载顺序劫持
2 M: F+ [3 Z3 t$ C) x: C2 M- @D、自我消灭
4 L& b5 B7 Y9 U正确资料:,B,C
# |4 j. z R+ I2 m2 c* u J& X ^9 o2 o1 A
/ N$ X/ R4 |) @" ]1 |7 x第35题,恶意代码常用注册表( V: F |# P* e% W9 P& _9 A
A、存储配置信息) h5 x# l5 R1 t% }; s6 [
B、收集系统信息
, `( k# Q ?; \& m: S+ \' BC、永久安装自己) R, u m# A; Q; b% S
D、网上注册
* u/ }) x2 d+ T7 V7 w8 B) Y正确资料:,B,C' c2 d! R: ~+ `' N# M6 X
/ c* `8 m. F) H5 Y. m' G
/ [& z# ~, G# J# O+ { u6 m; E
第36题,哈希是一种用来唯一标识恶意代码的常用方法
5 N; v8 G* N) `: `$ q, k8 ST、对- [0 E# n' g' _! _1 Q3 G% l* B' @
F、错( D; @9 V, S% K/ I( }$ T+ A
更多资料下载:谋学网(www.mouxue.com)
: k) E7 N1 j1 Q( S+ v
+ t2 t$ d/ t5 _0 ]& p8 \6 C5 o' ^5 g8 u2 g- E7 X
第37题,在图形模式中绿色箭头路径表示这个条件跳转没被采用
9 O, ?8 G* f) P3 GT、对- T% r( t. d! u
F、错
/ Z) ]+ v7 `2 N7 K; E0 h正确资料:F
0 A* }8 X8 I8 H; w( k0 I
1 ]3 h0 C7 y ~* M0 R
- R4 a) u8 l" l" k ^. B第38题,普通病毒的传染能力主要是针对计算机内的文件系统而言# b! I5 E9 [. c: N- T1 C! l
T、对
2 e* R. D9 r/ O/ `& O; K1 w" qF、错
2 N) o) v: J6 @5 z7 q! }1 j2 y1 C5 e更多资料下载:谋学网(www.mouxue.com)2 w% W& P' }9 U1 R
; ~( f: W0 v0 |' n9 ~2 T) Z" l( L/ b8 K% W4 r0 [' T
第39题,静态分析基础技术是非常简单同时也可以非常快速应用的但它在针对复杂的恶意代码时很大程度上是无效的而且它可能会错过一些重要的行为
* e @8 |5 {' [8 a! G" BT、对
: b" z- b( F7 I# N! l* vF、错% n9 r$ a4 e4 X. L4 `2 N) f
更多资料下载:谋学网(www.mouxue.com)/ f' n" ?% ]5 F$ c) b+ m
( s- A6 Z/ F* `8 w, \6 C
! Z1 O$ E/ Y K0 D3 I4 y' c第40题,有时某个标准符号常量不会显示这时你需要手动加载有关的类型库
8 n. s, E4 l1 |& b) WT、对
7 F \4 i7 ~- k# SF、错- { q& y4 t# w3 |
更多资料下载:谋学网(www.mouxue.com)! [2 N( x( P8 [& w x' ~
4 p/ E4 g" r: `9 d0 J; }+ f+ b: }! P& Y; F( F" _* k
第41题,在完成程序的过程中通用寄存器它们是完全通用的
3 w6 v- ^( z3 y% j$ S4 J) ZT、对+ d: K3 I' _& H# e$ K% ^
F、错
& @, | N8 ^& n( W9 [' e R) O正确资料:F
. b$ E r( m, d% l3 \4 w
& F+ _6 B o+ F( I
% c2 f5 I- ~ E第42题,下载器通常会与异常处理打包在一起+ T9 V$ k" ?( o* K9 i" V
T、对4 B) H7 e& d' e1 S
F、错- E% A7 L0 k& r1 M H, H, S
正确资料:F% ?% h- m+ a' J5 J7 H7 G! V
/ B1 q0 r6 [7 n8 n. G( o
+ V7 g4 M6 ^! F5 U7 p第43题,Netcat被称为"TCP/IP协议栈瑞士军刀"可以被用在支持端口扫描、隧道、代理、端口转发等的对内对外连接上在监听模式下Netcat充当一个服务器而在连接模式下作为一个客户端Netcat从标准输入得到数据进行网络传输而它得到的数据又可以通过标准输出显示到屏幕上. P! |0 j7 m6 w
T、对
9 y1 x% U; Z( d3 S3 RF、错
$ [8 B5 \$ w$ K' c6 j更多资料下载:谋学网(www.mouxue.com)
8 o; t) {/ X# c' F6 p+ h# f U
- e! @: N& ?* f& _# E4 [+ R! v( b) F9 u
第44题,调试器允许你查看任意内存地址、寄存器的内容以及每个函数的参数7 }) m. j' A# h
T、对
1 I, x9 h" J6 Q1 @F、错7 ]* l3 F7 Y# t- h, c ?( ]
更多资料下载:谋学网(www.mouxue.com)
% l& {9 S& `' q$ L# p( s, E8 e8 F( L# c
( m2 P- W& u( ^第45题,蠕虫是利用文件寄生来通过网络传播的恶性病毒- q( e5 G4 b/ j+ h1 ?4 @
T、对
% F4 O% ?# h( G3 r4 |- dF、错4 Z Z8 x2 k$ x- o V4 y
正确资料:F5 N6 Z0 K/ \, e( S# d! C
- K9 x# a6 q& Z( ^- I5 m
' k7 [9 F9 ?8 v+ z
第46题,当恶意代码编写者想要将恶意代码伪装成一个合法进程可以使用一种被称为进程注入的方法将一个可执行文件重写到一个运行进程的内存空间$ {, j0 g; h0 Q3 k }3 L
T、对+ g! U8 h2 R# E4 }
F、错* |! m, k" d, z# a _ k4 P
正确资料:F
' N2 _1 |+ Z& I" X& r+ m
& W8 Y. i) U6 W- J. [, A- H) f* P5 B3 w6 @" C4 x1 ]
第47题,重命名地址可以修改自动化命名的绝对地址和栈变量, s/ _- U9 ? a; H
T、对- x& Q# L- c( w4 `
F、错
# e& C! n: k4 ?: z0 o% E! ]6 t) j正确资料:F
% {9 O4 ]! N% e; D7 f2 ?- z
* T: K5 i* m n' l) Y
# `2 T% I+ m! @, v! v+ M& t第48题,进程监视器视图每一秒更新一次默认情况下服务以粉色高亮显示进程显示为蓝色新进程为绿色被终止进程则为红色绿色和红色的高亮显示是临时的当进程被完全启动或终止后颜色就会改变" r+ z/ ]. v- Z0 r0 p
T、对: ~* j8 D0 e/ t3 I4 Z0 |
F、错, r+ e1 A) c8 C6 L% A" b
更多资料下载:谋学网(www.mouxue.com)
+ ?1 ^2 [/ b9 y7 }3 O4 ~
( [: {4 ^; R/ _% X* I0 u
( O5 S8 f! A$ V: k; y第49题,这种进程替换技术让恶意代码与被替换进程拥有相同的特权级
+ y. B' l, d4 M4 s# fT、对6 ]+ _5 ^- V6 o( S4 \% t
F、错
, o* m2 _* o; W更多资料下载:谋学网(www.mouxue.com)4 [6 n* Y( F6 i" p9 A
0 W; V. W$ Q: ~' |8 k+ B% w
B# O* f6 a7 L" ]2 S3 t资料来源:谋学网(www.mouxue.com),假设你拥有一个恶意的驱动程序但没有用户态应用程序安装它这个时候就可以用如OSRDriverLoader的加载工具来加载它
; e5 B1 y1 w b, A) KT、对
0 J! O! o& ~1 ^2 |4 y/ p& CF、错
8 C+ d2 w: K$ a! v& F$ s0 ` J更多资料下载:谋学网(www.mouxue.com)+ `5 v# e% h! U$ A
2 E7 A; w* L/ @; t' |- m4 x" o* R5 k* {
. F$ L) F! `. A' ~3 Y0 S6 n. s c
# S% t6 u1 U0 x+ M. b# A8 o( i6 D
* U6 ~8 K# U- e3 V9 w) m& z0 v- x d- ?7 N# \+ `% b. w
3 x" `3 x: a9 f5 @! Z5 f
( E6 K; n, t9 X5 L' [) b& t: E3 Q3 j! W
) N, c. L& @4 S+ l" r0 D0 N6 K" d4 H' ?6 w
) d2 k0 q# I) j
$ d! t; Q* V* G8 f4 }1 x+ ~* k6 t7 c& B( L2 T0 K
|
|