|
资料来源:谋学网(www.mouxue.com)计算机病毒分析-[南开大学]22春学期(高起本1709、全层次1803-2103)《计算机病毒分析》在线作业
. n4 w4 h6 J1 P7 o; t, j试卷总分:100 得分:100
# T* @+ y9 Z2 l$ q/ G4 n第1题,下列概念说法错误的是6 I; ?% i$ D& G2 Z- z
A、内存映射窗口(View→Memory)显示了被调用程序分配的使用内存块 _. V$ F; {( f) W7 d; E
B、基地址重定位是指Windows中的一个模块没有被加载到其预定基地址时发生的情况4 _3 j/ f* ]7 O" g. _( P7 F
C、Windows中的所有PE文件都有一个预定的基地址,它在PE文件头中被称为映像基地址5 E5 p: h6 P' }7 z
D、使用相对地址,无论被加载到内存的哪个位置,所有指令都能正常工作
' R6 {, }! d7 Q4 ?正确资料:
5 M# [+ }# f$ _1 T- K8 A+ t: c# W8 o9 w- V; m. E4 b
! G1 |- U2 E" ?4 O/ V; ^, Y第2题,是指Windows中的一个模块没有被加载到其预定基地址时发生的情况" Q0 d* t3 ?& W4 [
A、内存映射
" C0 O1 r f+ bB、基地址重定位- `" t3 r9 d! W7 O5 `% G
C、断点5 s9 |6 h! p/ q( U9 v
D、跟踪
( R$ _ R/ o% V4 f$ ~! q正确资料:3 \" `1 ?, l2 L
( B9 [3 s" p9 m* \. ~3 J& ~, O; O
) n# j" S# O$ |3 G1 s+ ]5 X+ ~( n第3题,常被一种叫做击键记录器的恶意程序所使用被用来记录击键
1 _ D5 {' c7 HA、DLL注入( Q' C1 T( F r; Q1 h9 I4 P. J3 v
B、直接注入0 }: i D- n' \& Q
C、APC注入: d/ b* n5 ^) g: V! O. q( v1 U
D、钩子注入
0 t( r9 d/ R' W" r4 L正确资料:
- I) I; Y W' V7 h- @: j/ @6 G7 L( h! k5 Y8 r9 K3 V
" ~* Q7 N6 g) \( t; h- h
第4题,以下运行DLL文件的语法格式不正确的是
9 k! ]6 I3 ]; m' Y- _/ {! NA、C:\rundll32.exe rip.dll,Install) o$ Q. b* h/ S6 p% ]5 _8 p, f
B、C:\rundll32.exe rip.dll,#5
4 n8 T" j0 O( p5 {6 M2 _ b# U# N2 HC、C:\rundll32 rip.dll,InstallService ServiceName C:\net start ServiceName! @: k; O/ [; p/ V5 @ y: S5 {
D、C:\sc rip.dll& B& ]. M+ H0 ^9 S+ M
正确资料:
) E- u D, Q, {& Y2 z9 H+ H3 M& w8 H2 W. L
4 g" O% @- G4 x R资料来源:谋学网(www.mouxue.com),当一个库被链接到可执行程序时所有这个库中的代码都会复制到可执行程序中去这种链接方法是
3 { u4 H, f3 }2 Q0 D4 s: OA、静态链接* i6 C: x9 n; z# l1 @! r1 L% @
B、动态链接
: q1 A1 V# L# ?: vC、运行时链接
5 M$ c9 J% {+ u0 pD、转移链接
" {7 s3 R3 x5 Z6 t4 B$ W1 k正确资料:
+ H% U0 b9 R5 Q$ u- {4 e- p+ d; @( W# ~
* A7 J( o6 a0 Y. U" X1 X$ }第6题,GFI沙箱生成报告不包括哪个小节7 H& N6 B8 K. I0 C; `% h
A、分析摘要
5 P! P# K1 e! ^7 MB、文件活动
/ C u! A6 b: _* Y7 v# Z* i- N- Y* q7 HC、注册表
. Z6 q: u0 G& k7 m; R# u+ w# DD、程序功能
* S6 o, q( q/ N+ c正确资料:
7 B& |3 v$ I/ y5 m
7 ?: k, b3 y; Z4 X( Y( h' z
! \0 T: D4 u3 w q* t7 I第7题,对下面指令分析不正确的是
) U6 Q7 G) g$ ?" @. l' fA、要跳转的决定是基于一个比较(cmp)语句来做的1 N1 G J9 d# c; T6 h5 m4 n
B、调剂跳转(jnz),如果这两个值不相等,这个跳转就会发生; O0 B' c) ?; G# n
C、代码跳转(jump)保证了只有一条代码路径会被执行 q* T) k) p8 M
D、对于一个if语句必定有一个条件跳转,所有条件跳转也都对应if语句
, |6 ?* X* u$ Z, I, O O2 ^' X) ^正确资料:9 U3 \' r7 g& y2 G: D) V
( R8 U2 j I+ f7 G5 }. {
6 T% [4 I% }% T; o8 X: N+ R! O
第8题,用户模式下的APC要求线程必须处于状态
2 z# R' F5 e4 [' VA、阻塞状态5 u( q' C1 p. B" | J: G
B、计时等待状态; [, k8 s1 {% [. B7 [5 P) {7 r
C、可警告的等待状态! A) Q! b5 @& [ o
D、被终止状态9 R4 ^" ]$ E7 P' h. L# L4 ]2 r
正确资料:
* r8 x; q; S: l; C. r. Q G7 x$ Q6 S! m* W0 p. `8 z5 \4 i- F* s
8 U& c# C6 U5 J& p第9题,进程浏览器的功能不包括
6 m$ ]- i5 ^' z- \A、比较进程浏览器中的DLL列表与在Dependency Walker工具中显示的导入DLL列表来判断一个DLL是否被加载到进程
- E/ Y) H, A4 s, E1 S p) FB、单击验证按钮,可以验证磁盘上的镜像文件是否具有微软的签名认证/ [2 N1 W) U7 L/ z0 I
C、比较运行前后两个注册表的快照,发现差异
0 i; R, g6 |( H: o5 m+ c. }4 VD、一种快速确定一个文档是否恶意的方法,就是打开进程浏览器,然后打开文档。若文档启动了任意进程,你能进程浏览器中看到,并能通过属性窗口中的镜像来定位恶意代码在磁盘上的位置。; z7 q1 [" V, M
正确资料:
) u- O% V* n% H+ b6 [, {$ C4 X5 ?' S' j8 L3 J
, W) N4 N L+ w5 O( @
资料来源:谋学网(www.mouxue.com),用IDAPro对一个程序进行反汇编时字节偶尔会被错误的分类可以对错误处按键来取消函数代码或数据的定义! W& Z# X( a O* i& V4 u
A、C键+ {, V# [) f( L, c+ [8 f- E) p
B、D键
, j( n) W! d4 [+ I0 EC、shift+D键, g* S$ J- B3 r/ D5 [' K
D、U键" a; f; }" U: L% t3 Y C
正确资料:$ |) I" Y& t* W+ r) Z
0 z. X% C5 K% h) W7 i4 l
- r4 m5 { N. R第11题,ApateDNS在本机上监听UDP端口
0 h* c" z: ~( ^0 eA、53
* R- r- W; I8 b( s9 n4 q$ qB、691 @) A7 H4 {3 Q! G$ ?- l5 l! |
C、161
f" _. V3 Q4 C. T; t, F5 FD、80. I# f$ c7 Z( }
正确资料:
- C0 o. X! N( J* a* K
9 C# s$ `9 D5 A- }1 B0 Q' @. T8 F+ y# e! z
资料来源:谋学网(www.mouxue.com),以下注册表根键中保存定义的类型信息
4 L6 U$ s# Q5 w6 n4 }$ H2 wA、HKEY_LOCAL_MACHINE(HKLM)
, B+ \+ q2 {$ k7 N+ z5 ]B、HKEY_CURRENT_USER(HKCU)0 r% S4 h0 P0 m8 ^8 F
C、HKEY_CLASSES_ROOT
I( Y" j2 Y% E( y7 B% j! nD、HKEY_CURRENT_CONFIG
* R- [# E. I2 _% f& Q) @/ r2 \9 M正确资料:2 ~* N6 s$ r7 `
8 I5 O3 B# U' D/ e- B) r1 P- C0 Q) R
第13题,恶意代码分析不应该注意! }4 T. @6 j' i! l
A、应该在进入细节之前有一个概要性的理解, p: s( g" w. T+ g. }. F6 ]
B、尝试多从不同角度,多使用不同工具和方法来分析恶意代码/ o5 A6 T C. ^8 c2 _
C、恶意代码本身的特性3 J' p5 G6 n* J5 F* g
D、恶意代码本身的特性,尽量关注细节) P3 A% l. d& I: D5 i
E、恶意代码分析就像是猫抓老鼠的游戏,应该能够快速地应对恶意代码的新变化( O1 T, Q7 P/ x; |: ^
正确资料:3 A$ V4 f5 B. P8 U4 x/ s$ h
# w& B. @' \0 g( K8 {4 y& `. i4 c
: \4 U, s- ?& v% C3 k. c第14题,是一种设置自身或其他恶意代码片段以达到即时或将来秘密运行的恶意代码
+ b1 _& L4 `. a# L" t( t0 QA、后门
' w z+ ]/ q* ^* c2 k gB、下载器
. F, S$ x& r% A8 uC、启动器 X( T, G. m% w* V
D、内核嵌套
5 f$ [& n; |1 ]5 H+ I% z- [0 L正确资料:
1 e4 V3 Q8 X: r+ a, k* B
" ~$ D! z, E) W. T
( s: T. _7 f' ?( G+ Q' \0 E, S& J资料来源:谋学网(www.mouxue.com),OllyDbg的硬件断点最多能设置个
& B/ K2 e+ \0 x& N _A、3个3 P0 K4 h6 _4 M! m0 t( D; g! m- u
B、4个' n, I% y5 _: V% j v. x
C、5个
0 S* J0 L) G6 y- N$ \8 u, WD、6个5 ?+ r' F+ W8 Q- r/ v* @2 D
正确资料:
7 k, Q3 ]" j. }+ h( o u
' p |( a1 k. K4 S3 f( w
( ~- E4 z, O' ~2 x' V第16题,以下WindowsAPI类型中是表示一个将会被WindowsAPI调用的函数
7 b7 W+ x u; j0 P6 T- v9 d% wA、WORD% K, D2 A0 p) f3 ~) g5 b& w
B、DWORD
7 c; I) x# U K3 k( CC、Habdles
2 I3 e7 y% j. R5 AD、Callback
& E+ ^1 O4 g$ P2 v, L正确资料:
; @: S1 M1 T4 X% @$ I, v4 p' }5 S$ L# ]* K
0 C, @- U6 t, E% \第17题,直接将恶意代码注入到远程进程中的是
6 w% ?2 \( }, E+ }) A5 kA、进程注入
* e! t: V7 `# w: M9 N. qB、DLL注入
1 b |, o3 O- n0 I3 G5 q4 EC、钩子注入* G5 J6 f9 v c, J
D、直接注入: Y4 [/ b: _/ u$ g6 Z
正确资料:
1 y3 R+ v) Q. W: P5 V8 y9 b! a) H' }& E# o' e- v
' y Y k1 I Y; J D第18题,在通用寄存器中是数据寄存器" @7 R4 w( S" U
A、EAX- k- ?' Q K. y9 f. m1 K+ I: U
B、EBX3 _+ B7 ?+ r& X: I- D, m
C、ECX
3 {9 }' T/ v' z" Z. s2 @D、EDX$ J9 @* w/ K) U
正确资料:
8 @+ Z! N( `6 b1 o- L
3 ~ x* o7 R) w$ G! _) d' G
! H% z% X; A" ^; }第19题,是可以记录程序详细的运行信息的调试技术3 j7 P; S% W0 `$ k( u9 e1 k
A、内存映射, c* ]! ]. a! ~# q2 ?' o
B、基地址重定位& ]$ `! U% \. d' Q* i" L: t7 B6 z. E
C、断点1 { G; y& H( L* m
D、跟踪9 k) Z$ z* a5 \: ^
正确资料:# |& b$ u& d! q& N
3 \4 d$ W$ {; \) r A {" X+ f/ t, q: R0 o
资料来源:谋学网(www.mouxue.com),下列说法错误的是
+ z" J3 y/ T0 f2 w3 m8 RA、恶意代码经常使用多线程。你可以通过选择View-Threads,调出线程面板窗口,查看一个程序的当前线程0 T) t4 Y1 i+ U ~2 a; b
B、单击主工具栏中的暂停按钮,可以暂停所有活动的线程
+ o* }. t7 x- D7 u3 ?' xC、给定进程中的每个线程有自己的栈,通常情况下,线程的重要数据都保存在栈中。可以使用OllyDbg的内存映射,来查看内存中栈的内容
+ K' r4 h6 b4 q: Z+ @& {6 ?' ~- j8 qD、由于OllyDbg是多线程的,可能需要你先暂停所有的线程,设置一个断点后,继续运行程序,这样可以确保在一个特定线程模式内调试" f. Z; R9 Z1 ^
正确资料: t+ \9 Z5 {' ]; T7 e
; u7 ~3 c2 j; u4 j* X
2 K$ q0 w0 v5 J- K第21题,当调试可以修改自身的代码的代码时应该设置什么类型的断点& v6 x+ |$ C+ |2 V8 E# o, g
A、软件执行断点
$ M' c! y" H0 I2 j+ H" e u2 x8 Z0 SB、硬件执行断点( }. H: I3 ? N$ E6 Z
C、条件断点
1 B. q* O5 P$ N! I- u: X6 |3 uD、非条件断点
8 l8 x: s# b- k1 e+ z正确资料:5 R( ]. d! j" e8 j9 J
4 ?; A5 {/ O1 o, ~6 G+ u* b0 _
4 c+ [, P1 ?7 U第22题,加法和减法是从目标操作数中加上或减去个值2 A" ~& E: U: Y! c
A、0& B7 f- q. c' [, S
B、1
4 t. P4 T6 [& aC、2) ]6 D8 k* X9 D4 Q+ m8 F, n( K# t
D、3# }$ b) B1 e7 F+ }; i* i
正确资料:
0 r+ h( ~/ f, [2 L& L8 v9 |
3 B% i0 d% C$ H: i3 M. g& @8 d& l0 I3 N; n. H
第23题,以下对各断点说法错误的是
; J/ N% X2 T5 x7 ^! aA、查看堆栈中混淆数据内容的唯一方法时:待字符串解码函数执行完成后,查看字符串的内容,在字符串解码函数的结束位置设置软件断点
( g1 z) O, `8 q0 m4 X6 y" ^9 iB、条件断点是软件断点中的一种,只有某些条件得到满足时这个断点才能中断执行程序
' s" t: p6 x6 N3 i9 ]* K0 pC、硬件断点非常强大,它可以在不改变你的代码、堆栈以及任何目标资源的前提下进行调试# A( L% m! w+ M, ]
D、OllyDbg只允许你一次设置一个内存断点,如果你设置了一个新的内存断点,那么之前设置的内存断点就会被移除
" Q8 \. k- O3 C0 @正确资料:6 r6 M- @3 x# H0 H0 n
4 Z9 v( K3 H5 D. Z) V2 q/ z/ L: h5 n- W z1 j5 F1 }7 I7 u6 G0 y
第24题,是一把双刃剑可以用来分析内部网络、调试应用程序问题也可以用来嗅探密码、监听在线聊天 h$ n! Q9 X/ k. Y7 P$ k8 q
A、ApateDNS) J8 f" G' K1 D" Z, U" I
B、Netcat
/ |0 i4 c. {4 x- L' ^# ]C、INetSim
9 ~, E) q- i* ~" `7 FD、Wireshark$ [+ }* V) _$ @* ^3 v4 C
正确资料:7 a% l, G! Q2 d# `" ]
3 U+ _4 n( v& t/ ?2 I( a( A, j e& [
资料来源:谋学网(www.mouxue.com),轰动全球的震网病毒是! i i3 G3 |0 T) n( A; [
A、木马' x# p$ f, e: H; t$ z5 v- n) I
B、蠕虫病毒; V$ z* U, K! Q+ s3 N
C、后门
! M4 _' `7 I9 ^5 E- G6 H% m5 dD、寄生型病毒
- m- S7 ?4 U- C& ~' q正确资料:: h9 y4 M4 X* a Z$ S A" ?
3 p6 v7 ^0 \+ C) N- l1 |
: o) \9 P$ M. ?/ v+ R/ Q8 }% g第26题,后门的功能有
& ?8 t4 G# w) Z6 QA、操作注册表
' E+ x" G6 k EB、列举窗口7 Y* a) `- w$ A) ~4 q3 _
C、创建目录
; t& B: y( T" O/ t4 w4 Z: A: eD、搜索文件 z' t+ G( x8 V+ C! E2 i- L) G$ t. i5 ]
正确资料:,B,C,D4 {0 V" H) ^& R4 D
4 d' i# f4 D5 {9 z- F
( P$ {4 v" l: b第27题,以下的恶意代码行为中属于后门的是
' ^6 x4 Q' N0 o+ N7 P5 E vA、netcat反向shell
6 ` M- w& B8 o! |B、windows反向shell
4 Q- r8 M* A3 f# Z- ?C、远程控制工具' I1 o' t1 ?& f7 l: {2 c, p- f
D、僵尸网络
; q" I$ Q) W3 r' g! X0 p2 m正确资料:,B,C,D U4 X/ G# |7 ~9 R }' e( K! z- [- B
: a7 R- R: t/ N$ E# R% \( D0 o: K8 \% a* |1 [! p3 a0 m
第28题,OllyDbg支持的跟踪功能有' x4 s7 g/ f8 D) r$ B2 L
A、标准回溯跟踪
, C% G* O# G: x9 N" q/ IB、堆栈调用跟踪! a3 S6 t( N* v4 W3 u
C、运行跟踪4 Z$ ~- ~7 X8 C6 _
D、边缘跟踪1 }# h) z7 ]! a D5 _' ]3 Z0 t7 p
正确资料:,B,C2 u2 w1 f4 O) s6 `. S
7 }7 k' ?/ n: ]: u6 m8 J7 k
6 @5 e; ^- T. o. Z, _, \, h第29题,运行计算机病毒监控病毒的行为需要一个安全、可控的运行环境的原因是什么6 O+ e) h0 v, y- ?2 r9 }. D
A、恶意代码具有传染性
+ r) O4 @/ t% S0 \4 U( C4 hB、可以进行隔离, {3 x: L4 b' Z& M
C、恶意代码难以清除
4 J, s/ i" |% _. ED、环境容易搭建) t' t: z+ C" u. D. }" x% c# F
正确资料:,B,C
b# Q- Y" L; X+ K' B/ o# B* Y1 \! I/ L4 ~
1 H4 m1 K) W1 A( ^) G2 t m资料来源:谋学网(www.mouxue.com),对一个监听入站连接的服务应用顺序是函数等待客户端的连接
. X, S5 A O8 e4 A/ u4 p' p3 [A、socket、bind、listen和accept
?* Z I8 ?; |6 xB、socket、bind、accept和listen6 {7 C. O; M6 c# T4 e; f
C、bind、sockect、listen和accept
. S, `: R# b7 C: r j6 [D、accept、bind、listen和socket
0 n- r4 {5 y# D; P; z* W6 G# {正确资料:,B,C,D% @+ H$ W$ h8 A/ B" K7 [( @9 v. y
5 ~8 U7 y0 X% [" W: Y4 Q0 L2 h% W" I, E0 y
第31题,恶意代码编写者可以挂钩一个特殊的Winlogon事件比如* N( h4 r0 M- _ k
A、登录( l% d1 I* H2 H2 N7 ^$ j
B、注销: w" [2 g. |$ m4 D; q
C、关机
" p( D+ m. q/ O% h9 JD、锁屏: ^0 V8 s/ C x! ]
正确资料:,B,C,D9 m3 d+ @) J8 D$ _
, x8 K" R% \6 g" Y7 V
! b2 V' W& w5 T) U. v1 i第32题,后门拥有一套通用的功能都有以下那些功能
/ _5 x1 }: L, D0 }A、操作注册表
7 M6 U! g! B8 X1 X& EB、列举窗口 |& x2 w$ w* `( G5 \
C、创建目录. Z9 P& p- b2 V$ v7 L
D、搜索文件
) j @. ^+ e( V正确资料:,B,C,D
+ X) Q' h1 ^( Z4 y
7 o/ a3 Z W8 Z* l) H; W# a8 j
& L% F+ M; B0 ?8 i第33题,恶意代码作者如何使用DLL多选# L- E* t, B* E8 H( ?5 X
A、保存恶意代码
" r/ [" P* g, k0 UB、通过使用Windows DLL
5 h- F8 d* {& p+ @C、控制内存使用DLL
) F5 l- w. l0 F. A# ]6 d1 zD、通过使用第三方DLL
}' t5 H. ~- R, N# R; ~& @正确资料:,B,D, u% H5 ]# P8 F6 ]# Z, ]. `0 I( w
8 O. e$ I- G$ ?' E
+ b1 j/ I# ~! v6 \% l4 a1 }第34题,以下是分析加密算法目的的是( ]/ _7 C5 Y7 e* x6 t
A、隐藏配置文件信息。
1 @6 q; q) D* {* z6 J1 R |B、窃取信息之后将它保存到一个临时文件。
) M0 Q1 @% }) v- M& K# x- xC、存储需要使用的字符串,并在使用前对其解密。. l5 e \* X2 N8 o2 n6 ?
D、将恶意代码伪装成一个合法的工具,隐藏恶意代码
! ?$ B+ [4 z4 s正确资料:,B,C,D, S1 n5 l3 z3 K; ^: ~- q* y
9 m; e- b& u0 P: n9 Y3 H" w& a9 o' J9 F, q
第35题,IDAPro都有以下什么功能" \# r8 m( n1 d
A、识别函数
4 Z2 r* a+ J. h& R [$ ] p. UB、标记函数# g7 C, ~1 N7 O* t! T' m
C、划分出局部变量
7 n# a! c4 c& P; f7 xD、划分出参数' L3 m1 D( l R5 s
正确资料:,B,C,D4 N' l w2 R8 p0 p" [/ W2 T- N* K& M
1 ]5 _5 e; i! Y# z* ]# j0 B8 u
' X9 J0 z x% N- ^
第36题,重新编写函数和使用恶意代码中存在的函数是两种基本方法重现恶意代码中的加密或解密函数
6 n' C) ]2 |2 _T、对$ T* j) w7 a7 g- {
F、错
! @+ N, D6 Z' X7 R3 s7 u正确资料:
7 n! R" k& _: p+ |; J2 ~5 I8 N1 t7 `. p* u
7 ~% |2 `( q( P! @# d$ P% c
第37题,异常只能由Bug引起
5 I; }: U8 P" E: h; v4 UT、对1 O6 A) f9 q5 K, l
F、错- k6 ~) k8 e; A }' i' J
正确资料:. Z- V0 e- O/ \3 \% B2 e
3 F9 p: M q8 o* A7 u3 E7 ~# ]
- D7 K( b- |; O: H4 i% P P% T第38题,底层远程钩子要求钩子例程被保护在安装钩子的进程中
$ s/ F: d5 L3 |+ b6 A) _ S! \T、对
6 C9 M3 o1 A4 j# v8 v9 oF、错/ Q6 X5 r$ P" F3 a
正确资料:
$ v0 J* K0 ]$ M P9 x1 `$ D, s& P" B/ |) D* I5 k- t
. ?0 n! ~2 H, Y
第39题,检测加密的基本方法是使用可以搜索常见加密常量的工具我们可以使用IDAPro的FindCrypt2和KryptoANALyzer插件
0 F0 k+ v+ F( q9 z) MT、对
9 K2 Z& D5 P8 V0 F! @. CF、错* Y- G* y5 I; S* n5 C1 l
更多资料下载:谋学网(www.mouxue.com) Q& n: J7 B: i- p9 ^! N3 P. `( U
1 {: n" N5 S. o; T; k1 \3 M, O& n, |7 W, Q% G
第40题,OllyDbg是一种具有可视化界面的32位汇编分析调试器! ~* W( A \" |' T# T; |+ Z; k
T、对
a9 ^# K' D0 VF、错
7 R( Q* N3 D7 D正确资料:% L. o" E' L$ g0 m$ I1 w
8 m( y2 o- Z: S# i( `3 P% L: ?7 x" h8 P% ~6 [
第41题,C键是定义原始字节为数据7 Y6 u. ~% y9 e5 l& a- F
T、对
, V/ s2 ^3 a, s$ W% o& h2 SF、错
& o$ B: w: q9 H1 J正确资料:6 U) ~$ G& [& C2 e* o
! i8 K* c! ?* R7 E
: A: R8 D3 S9 {6 T第42题,我们可以使用IDAPro的FindCrypt2和KryptoANALyzer插件来搜索常见加密常量的工具
: _. c7 x5 W3 r- g' \T、对
$ q E; J* l. A5 Z& S9 M: D4 \F、错2 |0 p# t# W0 {% y4 W2 o; u
正确资料:
I4 g2 Y8 `' g, A' J O+ [$ K2 e% |# Q1 ]5 K9 F; Q
$ E; B2 i8 S- E/ \+ f/ B第43题,除非有上下文否则通常情况下被显示的数据会被格式化为八进制的值0 ], N# U9 ^, h7 u
T、对
9 L# ~+ X- w' G% a5 F" oF、错
; D: Y. \% G% ]正确资料:
0 h% F: c+ m6 W6 W+ g L! j
$ `8 Z2 L8 W" i" `) x2 D! ~. k! l
3 d8 ]7 o/ ^$ t$ k9 y% {6 w3 ?2 K第44题,在stdcall中前一些参数典型的是前两个被传到寄存器中备用的寄存器是EDX和ECX如果需要的话剩下的参数再以从右到左的次序被加载到栈上& C) E. t& h9 z' D, c
T、对
" Z6 O5 J& `! w! F0 n% f* y4 KF、错
8 R7 {* q* C# }0 X. \: ~: Y正确资料:F
7 ]; _. u; }9 A9 L4 f& q. B3 s) b/ h! O% {+ D( R! Q; D
* }9 t/ i7 m m+ q. x7 o第45题,D键是定义原始字节为代码
& e+ \ b0 x' }- I8 TT、对1 a, }/ W( i0 j. M1 G. \+ T+ P
F、错
, y+ G2 n; x! ^6 k" J3 ]- u正确资料:F7 C \# n* l2 q0 ^1 E) ]: T
5 O* G3 K% x1 k! {% ~: Q% u2 v, k! G. E: C: y- c
第46题,哈希函数是一种从任何一种数据中创建小的数字"指纹"的方法/ n+ f5 r3 b# [7 g- p
T、对 U3 I: P% C9 t) u
F、错1 g. N! G2 Q. d9 v
正确资料:
; `5 `, i5 K0 Z/ w; U& \# k3 \1 y
2 ? {# g. ~" O4 q: O w5 Q6 w I& u8 P' T
第47题,结构体通过一个作为起始指针的基地址来访问要判断附近的数据字节类型是同一结构的组成部分还是只是凑巧相互挨着是比较困难的这依赖于这个结构体的上下文
0 `( `8 k/ q( e! [T、对
y2 Q, S1 w; }# i, fF、错
0 q9 k$ u6 B0 ~4 M0 B& p正确资料:6 g. Z/ x+ A' R
9 u, k6 l$ v' R3 M$ ^3 C
* e6 W: y& [# {5 B
第48题,结构体包含相同类型的元素* R/ P D1 N X) V9 H; N
T、对
5 p- R8 E! o1 |1 ~0 TF、错2 Q/ _+ Q' L0 u7 v" b# ]$ O
正确资料:
0 j% W9 Y! y2 S% m6 r' @6 W5 G/ R5 ~( z. a8 V& n
( E8 H4 c4 V5 o' X
第49题,如果中断位于一个没有名字、没有签名或可疑的驱动中不能表明存在Rootkit或者恶意代码
8 j. m8 D+ Q' |7 l( W, nT、对' D# k- }& k" g8 Y h
F、错2 x4 M* a, W. R D
正确资料:F) ?: U/ }2 ~( i9 v g, U3 x2 P
! K. q7 M* h1 s4 x
. s D/ p% ^) @* \2 p+ O% J
资料来源:谋学网(www.mouxue.com),命名常量在二进制文件是以常量名字来存储的
1 o) q& U. O! `. E- c& KT、对- p) r! R7 F& \" W
F、错
0 u: S. h+ A5 H' l& v3 e" N8 m1 T正确资料:" v9 V9 y! W" f3 E4 D @6 _
$ k. Y7 k# w/ H: j* I4 r) @
L$ y+ {: n' K6 D* q3 ~4 W- e, M
9 P, L" x: l9 R; g* H% b/ k
; K8 Q3 v" e' J9 K" |+ ^9 }3 e* L( f
7 J5 D! r# A* k9 O* \/ h3 b0 [7 t7 w
9 F& o# C/ m! ~% Q
) I3 E3 D. b. r( t% l" y
" g. [; {+ [ n d, |& w9 l
- }6 B# h! Y9 ?' Q7 H( n! t' `) J+ n# x) \, a1 ^5 Z" t
% s" p7 Y0 j" ]* a! D) ?* C) U. }# }* ~5 \# s
9 K5 r/ [. c1 ~5 ]% D9 f
|
|