21春学期(1709、1803、1809、1903、1909、2003、2009、2103)《计算机病毒分析》在线作业
试卷总分:100 得分:100
一、单选题 (共 25 道试题,共 50 分)
1.注入shellcode属于()。
A.进程注入
B.DLL注入
C.钩子注入
D.直接注入
2.能调试内核的调试器是()
A.OllyDbg
B.IDA Pro
C.WinDbg
D.Process Explorer
3.进程浏览器的功能不包括()。
A.比较进程浏览器中的DLL列表与在Dependency Walker工具中显示的导入DLL列表来判断一个DLL是否被加载到进程
B.单击验证按钮,可以验证磁盘上的镜像文件是否具有微软的签名认证
C.比较运行前后两个注册表的快照,发现差异
D.一种快速确定一个文档是否恶意的方法,就是打开进程浏览器,然后打开文档。若文档启动了任意进程,你能进程浏览器中看到,并能通过属性窗口中的镜像来定位恶意代码在磁盘上的位置。
4.以下那个窗口是操作和分析二进制的主要位置,也是反汇编代码所在的地方
A.函数窗口
B.结构窗口
C.反汇编窗口
D.二进制窗口
5.Base64编码将二进制数据转化成()个字符的有限字符集。
A.16
B.32
C.48
D.64
6.当代码库被链接时,宿主操作系统会在程序被装载时搜索所需的代码库,如果程序调用了被链接的库函数,这个函数会在代码库中执行,这种链接方法是()。
A.静态链接
B.动态链接
C.运行时链接
D.转移链接
7.OllyDbg的硬件断点最多能设置()个。
A.3个
B.4个
C.5个
D.6个
8.Shell是一个命令解释器,它解释()的命令并且把它们送到内核。
A.系统输入
B.用户输入
C.系统和用户输入
D.输入
9.以下说法错误的是()。
A.OllyDbg可以很容易修改实时数据,如寄存器和标志。它也可以将汇编形式的修补代码直接插入到一个程序
B.OllyDbg可以使用00项或nop指令填充程序
C.键单击高亮的条件跳转指令,然后选择Binary→Fill with NOPs,该操作产生的结果时NOP指令替换了JNZ指令,这个过程会把那个位置上的NOP永久保存在磁盘上,意味着恶意代码以后会接受任意输入的密钥
D.当异常发生时,OllyDbg会暂停运行,然后你可以使用进入异常、跳过异常、运行异常处理 等方法,来决定是否将异常转移到应用程序处理
10.以下不是GFI沙箱的缺点的是()。
A.沙箱只能简单地运行可执行程序,不能带有命令行选项
B.沙箱环境的操作系统对恶意代码来说可能不正确
C.沙箱不能提供安全的虚拟环境
D.恶意代码如果检测到了虚拟机,将会停止运行,或者表现异常。不是所有的沙箱都能完善地考虑这个问题
11.下列是抓包的工具是()。
A.ApateDNS
B.Netcat
C.INetSim
D.Wireshark
12.以下逻辑运算符中是位移指令的是()
A.OR、AND
B.Shr和shl
C.ror和rol
D.XOR
13.要插入一个跨反汇编窗口,并且在任何时候只要存在对你添加注释的地址的交叉引用就重复回显,应该按()键。
A.;
B.:
C.shift
D.ctrl
14.以下不是检测SSDT挂钩的方法是
A.遍历SSDT表
B.使用查杀病毒的软件
C.查找异常的函数入口地址
D.ntoskrnl.exe的地址空间是从804d7000到806cd580
15.()能够将一个被调试的进程转储为一个PE文件
A.OllyDump
B.调试器隐藏插件
C.命令行奥鹏作业答案请进open5.net或请联系QQ/微信:18866732
D.书签
16.WinINet API实现了()层的协议。
A.网络层
B.数据链路层
C.应用层
D.传输层
17.轰动全球的震网病毒是()。
A.木马
B.蠕虫病毒
C.后门
D.寄生型病毒
18.在通用寄存器中,()是基址寄存器。
A.EAX
B.EBX
C.ECX
D.EDX
19.线程创建需要系统开销,()能够调用一个现有的线程。
A.进程注入
B.直接注入
C.Hook注入
D.APC注入
20.当要判断某个内存地址含义时,应该设置什么类型的断点()
A.软件执行断点
B.硬件执行断点
C.条件断点
D.非条件断点
21.加法和减法是从目标操作数中加上或减去()个值。
A.0
B.1
C.2
D.3
22.若依次压入数字1、2、3、4,则第二次弹出来的会是()。
A.1
B.2
C.3
D.4
23.当想要在函数调用使用特定的参数时才发生中断,应该设置什么类型的断点()
A.软件执行断点
B.硬件执行断点
C.条件断点
D.非条件断点
24.以下注册表根键中()保存对本地机器全局设置。
A.HKEY_LOCAL_MACHINE(HKLM)
B.HKEY_CURRENT_USER(HKCU)
C.HKEY_CLASSES_ROOT
D.HKEY_CURRENT_CONFIG
25.GFI沙箱生成报告不包括哪个小节()。
A.分析摘要
B.文件活动
C.注册表
D.程序功能
二、多选题 (共 10 道试题,共 20 分)
26.恶意代码作者如何使用DLL()多选
A.保存恶意代码
B.通过使用Windows DLL
C.控制内存使用DLL
D.通过使用第三方DLL
27.以下对个各个插件说法正确的是()。
A.OllyDump是OllyDbg最常使用的插件,它能够将一个被调试的进程转储成一个PE文件
B.为了防止恶意代码使用反调试技术,恶意代码分析人员通常在分析恶意代码期间,一直运行调试器隐藏插件
C.OllyDbg的命令行插件允许你用命令行来使用OllyDbg
D.OllyDbg默认情况下自带书签插件,书签插件可以将一个内存位置加到书签中,利用书签,下次不需要记住就可以轻松获取那个内存地址
28.OllyDbg支持的跟踪功能有()。
A.标准回溯跟踪
B.堆栈调用跟踪
C.运行跟踪
D.边缘跟踪
29.以下的恶意代码行为中,属于后门的是()
A.netcat反向shell
B.windows反向shell
C.远程控制工具
D.僵尸网络
30.后门拥有一套通用的功能,都有以下那些功能?()
A.操作注册表
B.列举窗口
C.创建目录
D.搜索文件
31.名字窗口,列举哪些内存地址的名字
A.函数名
B.代码的名字
C.数据的名字
D.字符串
32.IDA Pro 都有以下什么功能()。
A.识别函数
B.标记函数
C.划分出局部变量
D.划分出参数
33.INetSim可以模拟的网络服务有()。
A.HTTP
B.FTP
C.IRC
D.DNS
34.微软fastcall约定备用的寄存器是()。
A.EAX
B.ECX
C.EDX
D.EBX
35.以下哪些是常用的虚拟机软件
A.VMware Player
B.VMware Station
C.VMware Fusion
D.VirtualBox
三、判断题 (共 15 道试题,共 30 分)
36.EIP指令指针的唯一作用就是告诉处理器接下来干什么。
37.检测加密的基本方法是使用可以搜索常见加密常量的工具,我们可以使用IDA Pro的FindCrypt2和Krypto ANALyzer插件。
38.WinDbg的内存窗口不支持通过命令来浏览内存。
39.导入表窗口能够列举一个文件的所有导入函数。
40.只要使用了KnownDLL,所有的DLL都会收到保护。
41.恶意的应用程序会挂钩一个经常使用的Windows消息。
42.微软Visual Studio和GNU编译集合(GCC)。前者,adder函数和printf的函数在调用前被压到栈上。而后者,参数在调用之前被移动到栈上。
43.可以在用户模式下无限制地设置软件断点。
44.恶意代码与驱动通信最常使用的请求是DeviceIoControl。
45.与导入函数类似,DLL和EXE的导出函数,是用来与其他程序和代码进行交互时所使用的。
46.调试器允许你查看任意内存地址、寄存器的内容以及每个函数的参数
47.WinDbg支持在命令行中使用简单的算数操作符,对内存和寄存器进行直接的操作,如加减乘除。
48.异常是恶意代码、恶意代码分析或者调试所独有的。
49.D键是定义原始字节为代码
50.所有服务都存在于注册表中,如果一个服务的注册表键被移除,则这个服务依旧能能启动。
转载请注明:奥鹏作业之家 » 【奥鹏】南开21春学期(1709、1803、1809、1903、1909、2003、2009、2103)《计算机病毒分析》在线作业