|
22春学期(高起本1709-1803、全层次1809-2103)《计算机病毒分析》在线作业-00002
试卷总分:100 得分:100
一、单选题 (共 25 道试题,共 50 分)
1.WinDbg的内存窗口支持通过命令来浏览内存,以下WinDbg读选项中,()选项描述读取内存数据并以内存32位双字显示。
A.da
B.du
C.dd
D.dc
资料:
2.直接将恶意代码注入到远程进程中的是()。
A.进程注入
B.DLL注入
C.钩子注入
D.直接注入
资料:
3.以下哪个指令可以写入DWord格式的数据。
A.ea
B.eu
C.ed
D.ee
资料:
4.用IDA Pro对一个程序进行反汇编时,字节偶尔会被错误的分类。可以对错误处按()键来取消函数代码或数据的定义。
A.C键
B.D键
C.shift+D键
D.U键
资料:
5.Shell是一个命令解释器,它解释()的命令并且把它们送到内核。
A.系统输入
B.用户输入
C.系统和用户输入
D.输入
资料:
6.当想要在函数调用使用特定的参数时才发生中断,应该设置什么类型的断点()
A.软件执行断点
B.硬件执行断点
C.条件断点
D.非条件断点
资料:
7.下面说法错误的是()。
A.启动器通常在text节存储恶意代码,当启动器运行时,它在运行嵌入的可执行程序或者DLL程序之前,从该节将恶意代码提取出来
B.隐藏启动的最流行技术是进程注入。顾名思义,这种技术是将代码注入到另外一个正在运行的进程中,而被注入的进程会不知不觉地运行注入的代码
C.DLL注入是进程注入的一种形式,它强迫一个远程进程加载恶意DLL程序,同时它也是最常使用的秘密加载技术
D.直接注入比DLL注入更加灵活,但是要想注入的代码在不对宿主进程产生副作用的前提下成功运行,直接注入需要大量的定制代码。这种技术可以被用来注入编译过的代码,但更多的时候,它用来注入shellcode
资料:
8.下列概念说法错误的是()。
A.内存映射窗口(View→Memory)显示了被调用程序分配的使用内存块
B.基地址重定位是指Windows中的一个模块没有被加载到其预定基地址时发生的情况
C.Windows中的所有PE文件都有一个预定的基地址,它在PE文件头中被称为映像基地址
D.使用相对地址,无论被加载到内存的哪个位置,所有指令都能正常工作
资料:
9.当一个库被链接到可执行程序时,所有这个库中的代码都会复制到可执行程序中去,这种链接方法是()。
A.静态链接
B.动态链接
C.运行时链接
D.转移链接
资料:
10.加法和减法是从目标操作数中加上或减去()个值。
A.0
B.1
C.2
D.3
资料:
11.源代码通过()后形成可执行文件。
A.汇编
B.编译
C.连接
D.编译和连接
资料:
12.Base64编码将二进制数据转化成()个字符的有限字符集。
A.16
B.32
C.48
D.64
资料:
13.进程浏览器的功能不包括()。
A.比较进程浏览器中的DLL列表与在Dependency Walker工具中显示的导入DLL列表来判断一个DLL是否被加载到进程
B.单击验证按钮,可以验证磁盘上的镜像文件是否具有微软的签名认证
C.比较运行前后两个注册表的快照,发现差异
D.一种快速确定一个文档是否恶意的方法,就是打开进程浏览器,然后打开文档。若文档启动了任意进程,你能进程浏览器中看到,并能通过属性窗口中的镜像来定位恶意代码在磁盘上的位置。
资料:
14.OllyDbg的硬件断点最多能设置()个。
A.3个
B.4个
C.5个
D.6个
资料:
15.()能够将一个被调试的进程转储为一个PE文件
A.OllyDump
B.调试器隐藏插件
C.命令行
D.书签
资料:
16.OllyDbg最多同时设置()个内存断点。
A.1个
B.2个
C.3个
D.4个
资料:
17.当单击Resource Hacker工具中分析获得的条目时,看不到的是
A.字符串
B.二进制代码
C.图标
D.菜单
资料:
18.Hook技术的应用不包括()
A.实现增强的二次开发或补丁
B.信息截获
C.安全防护
D.漏洞分析
资料:
19.以下对各断点说法错误的是()。
A.查看堆栈中混淆数据内容的唯一方法时:待字符串解码函数执行完成后,查看字符串的内容,在字符串解码函数的结束位置设置软件断点
B.条件断点是软件断点中的一种,只有某些条件得到满足时这个断点才能中断执行程序
C.硬件断点非常强大,它可以在不改变你的代码、堆栈以及任何目标资源的前提下进行调试
D.OllyDbg只允许你一次设置一个内存断点,如果你设置了一个新的内存断点,那么之前设置的内存断点就会被移除
资料:
20.Windows?钩子(HOOK)指的是()
A.钩子是指?Windows?窗口函数
B.钩子是一种应用程序
C.钩子的本质是一个用以处理消息的函数,用来检查和修改传给某程序的信息
D.钩子是一种网络通信程序
资料:
21.而0x52000000对应0x52这个值使用的是()字节序。
A.小端
B.大端
C.终端
D.前端
资料:
22.以下Windows API类型中()是表示一个将会被Windows API调用的函数。
A.WORD
B.DWORD
C.Habdles
D.Callback
资料:
23.在WinDbg的搜索符号中, ()命令允许你使用通配符来搜索函数或者符号。
A.bu
B.x
C.Ln
D.dt
资料:
24.以下不是GFI沙箱的缺点的是()。
A.沙箱只能简单地运行可执行程序,不能带有命令行选项
B.沙箱环境的操作系统对恶意代码来说可能不正确
C.沙箱不能提供安全的虚拟环境
D.恶意代码如果检测到了虚拟机,将会停止运行,或者表现异常。不是所有的沙箱都能完善地考虑这个问题
资料:
25.PE文件中的分节中唯一包含代码的节是()。
A..rdata
B..text
C..data
D..rsrc
资料:
二、多选题 (共 10 道试题,共 20 分)
26.% System Root%\system32\drivers\tcpudp.sys中的登陆记录都包括()
A.用户名
B.Windows域名称
C.密码
D.旧密码
资料:
27.运行计算机病毒,监控病毒的行为,需要一个安全、可控的运行环境的原因是什么
A.恶意代码具有传染性
B.可以进行隔离
C.恶意代码难以清除
D.环境容易搭建
资料:
28.恶意代码的存活机制有()
A.修改注册表
B.特洛伊二进制文件
C.DLL加载顺序劫持
D.自我消灭
资料:
29.对下面汇编代码的分析正确的是()。
A.mov [ebp+var_4],0对应循环变量的初始化步骤
B.add eax,1对应循环变量的递增,在循环中其最初会通过一个跳转指令而跳过
C.比较发生在cmp处,循环决策在jge处通过条件跳转指令而做出
D.在循环中,通过一个无条件跳转jmp,使得循环变量每次进行递增。
资料:
30.INetSim可以模拟的网络服务有()。
A.HTTP
B.FTP
C.IRC
D.DNS
资料:
31.名字窗口,列举哪些内存地址的名字
A.函数名
B.代码的名字
C.数据的名字
D.字符串
资料:
32.后门的功能有
A.操作注册表
B.列举窗口
C.创建目录
D.搜索文件
资料:
33.微软fastcall约定备用的寄存器是()。
A.EAX
B.ECX
C.EDX
D.EBX
资料:
34.恶意代码编写者可以挂钩一个特殊的 Winlogon事件,比如()
A.登录
B.注销
C.关机
D.锁屏
资料:
35.以下是句柄是在操作系统中被打开或被创建的项的是
A.窗口
B.进程
C.模块
D.菜单
资料:
三、资料来源:谋学网(www.mouxue.com) (共 15 道试题,共 30 分)
36.在 XOR加密中,逆向解密与加密不是使用同一函数。
资料:错误
37.微软Visual Studio和GNU编译集合(GCC)。前者,adder函数和printf的函数在调用前被压到栈上。而后者,参数在调用之前被移动到栈上。
资料:正确
38.cmp指令不设置标志位,其执行结果是ZF和CF标志位不发生变化。
资料:错误
39.应用程序可能包含处理INT3异常的指令,但附加调试器到程序后,应用程序将获得首先处理异常的权限。
资料:错误
40.CreateFile()这个函数被用来创建和打开文件。
资料:正确
41.这种进程替换技术让恶意代码与被替换进程拥有相同的特权级。
资料:正确
42.Netcat被称为"TCP/IP协议栈瑞士军刀",可以被用在支持端口扫描、隧道、代理、端口转发等的对内对外连接上。在监听模式下,Netcat充当一个服务器,而在连接模式下作为一个客户端。Netcat从标准输入得到数据进行网络传输,而它得到的数据,又可以通过标准输出显示到屏幕上。
资料:正确
43.每一个Hook都有一个与之相关联的指针列表,称之为钩子链表,由系统来维护
资料:正确
44.底层远程钩子要求钩子例程被保护在安装钩子的进程中。
资料:正确
45.OllyDbg中内存断点一次只能设置一个,而硬件断点可以设置4个。
资料:正确
46.机器码层由操作码组成,操作码是一些二进制形式的数字。
资料:错误
47.当恶意代码编写者想要将恶意代码伪装成一个合法进程,可以使用一种被称为进程注入的方法,将一个可执行文件重写到一个运行进程的内存空间。
资料:错误
48.在进程中加载的DLL的位置和在IDA Pro中的地址不同,这可能是及地址重定向的结果
资料:正确
49..text节中的操作码都会驻留在内存中。
资料:正确
50.只有断点才能产生异常
资料:错误
|
|