22秋學(xué)期（高起本1709-1803、全層次1809-2103）《計(jì)算機(jī)病毒分析》在線作業(yè)-00002

試卷總分:100  得分:100

一、單選題 (共 25 道試題,共 50 分)

1.（）是一把雙刃劍，可以用來(lái)分析內(nèi)部網(wǎng)絡(luò)、調(diào)試應(yīng)用程序問(wèn)題，也可以用來(lái)嗅探密碼、監(jiān)聽(tīng)在線聊天。

A.ApateDNS

B.Netcat

C.INetSim

D.Wireshark

2.PE文件中的分節(jié)中唯一包含代碼的節(jié)是（）。

A..rdata

B..text

C..data

D..rsrc

3.單步調(diào)試是通過(guò)（ ）實(shí)現(xiàn)的

A.每條代碼之前添加軟件斷點(diǎn)

B.每條代碼之前添加硬件斷點(diǎn)

C.標(biāo)志寄存器中的陷阱標(biāo)志( trap flag)

D.標(biāo)志寄存器中的zf標(biāo)志位

4.以下不是惡意代碼分析的目標(biāo)的是（）。

A.確定一個(gè)可疑的二進(jìn)制程序到底可以做什么

B.如何在網(wǎng)絡(luò)上檢測(cè)它

C.惡意代碼本身的特性

D.如何衡量并消除它所帶來(lái)的損害

5.木馬與病毒的重大區(qū)別是（）。

A.木馬會(huì)自我復(fù)制

B.木馬具有隱蔽性

C.木馬不具感染性

D.木馬通過(guò)網(wǎng)絡(luò)傳播

6.在以下寄存器中用于定位要執(zhí)行的下一條指令的寄存器是（）。

A.通用寄存器

B.段寄存器

C.狀態(tài)寄存器

D.指令指針

7.惡意代碼指的是（）。

A.計(jì)算機(jī)病毒

B.間諜軟件

C.內(nèi)核嵌套

D.任何對(duì)用戶、計(jì)算機(jī)或網(wǎng)絡(luò)造成破壞的軟件

8.（）是指Windows中的一個(gè)模塊沒(méi)有被加載到其預(yù)定基地址時(shí)發(fā)生的情況。

A.內(nèi)存映射

B.基地址重定位

C.斷點(diǎn)

D.跟蹤

9.網(wǎng)絡(luò)黑客產(chǎn)業(yè)鏈?zhǔn)侵负诳蛡冞\(yùn)用技術(shù)手段入侵服務(wù)器獲取站點(diǎn)權(quán)限以及各類賬戶信息并從中謀?。ǎ┑囊粭l產(chǎn)業(yè)鏈。

A.非法經(jīng)濟(jì)利益

B.經(jīng)濟(jì)效益

C.效益

D.利潤(rùn)

10.在通用寄存器中，（）是基址寄存器。

A.EAX

B.EBX

C.ECX

D.EDX

11.OllyDbg最多同時(shí)設(shè)置（）個(gè)內(nèi)存斷點(diǎn)。

A.1個(gè)

B.2個(gè)

C.3個(gè)

D.4個(gè)

12.以下說(shuō)法錯(cuò)誤的是（）。

A.OllyDbg可以很容易修改實(shí)時(shí)數(shù)據(jù)，如寄存器和標(biāo)志。它也可以將匯編形式的修補(bǔ)代碼直接插入到一個(gè)程序

B.OllyDbg可以使用00項(xiàng)或nop指令填充程序

C.鍵單擊高亮的條件跳轉(zhuǎn)指令，然后選擇Binary→Fill with NOPs，該操作產(chǎn)生的結(jié)果時(shí)NOP指令替換了JNZ指令，這個(gè)過(guò)程會(huì)把那個(gè)位置上的NOP永久保存在磁盤(pán)上，意味著惡意代碼以后會(huì)接受任意輸入的密鑰

D.當(dāng)異常發(fā)生時(shí)，OllyDbg會(huì)暫停運(yùn)行，然后你可以使用進(jìn)入異常、跳過(guò)異常、運(yùn)行異常處理 等方法，來(lái)決定是否將異常轉(zhuǎn)移到應(yīng)用程序處理

13.捕獲Poison Ivy為shellcode分配內(nèi)存的最好方法是（）。

A.軟件斷點(diǎn)

B.硬件斷點(diǎn)

C.內(nèi)存斷點(diǎn)

D.條件斷點(diǎn)

14.當(dāng)調(diào)試可以修改自身的代碼的代碼時(shí)，應(yīng)該設(shè)置什么類型的斷點(diǎn)（）

A.軟件執(zhí)行斷點(diǎn)

B.硬件執(zhí)行斷點(diǎn)

C.條件斷點(diǎn)

D.非條件斷點(diǎn)

15.以下注冊(cè)表根鍵中（）保存對(duì)本地機(jī)器全局設(shè)置。

A.HKEY_LOCAL_MACHINE(HKLM)

B.HKEY_CURRENT_USER(HKCU)

C.HKEY_CLASSES_ROOT

D.HKEY_CURRENT_CONFIG

16.()是一種設(shè)置自身或其他惡意代碼片段以達(dá)到即時(shí)或?qū)?lái)秘密運(yùn)行的惡意代碼。

A.后門(mén)

B.下載器

C.啟動(dòng)器

D.內(nèi)核嵌套

17.對(duì)以下代碼分析錯(cuò)誤的是（）。

A.jnz為條件跳轉(zhuǎn)，而jmp為無(wú)條件跳轉(zhuǎn)

B.while循環(huán)與for循環(huán)的匯編代碼非常相似，唯一的區(qū)別在于它缺少一個(gè)遞增

C.while循環(huán)停止重復(fù)執(zhí)行的唯一方式，就是那個(gè)期望發(fā)生的條件跳轉(zhuǎn)

D.while循環(huán)總要進(jìn)入一次

18.以下不是GFI沙箱的缺點(diǎn)的是（）。

A.沙箱只能簡(jiǎn)單地運(yùn)行可執(zhí)行程序，不能帶有命令行選項(xiàng)

B.沙箱環(huán)境的操作系統(tǒng)對(duì)惡意代碼來(lái)說(shuō)可能不正確

C.沙箱不能提供安全的虛擬環(huán)境

D.惡意代碼如果檢測(cè)到了虛擬機(jī)，將會(huì)停止運(yùn)行，或者表現(xiàn)異常。不是所有的沙箱都能完善地考慮這個(gè)問(wèn)題

19.函數(shù)調(diào)用約定中，參數(shù)是從右到左按序被壓入棧，當(dāng)函數(shù)完成時(shí)由被調(diào)用函數(shù)清理?xiàng)?，并且將返回值保存在EAX中的是（）。

A.cdecl

B.stdcall

C.fastcall

D.壓棧與移動(dòng)

20.當(dāng)想要在函數(shù)調(diào)用使用特定的參數(shù)時(shí)才發(fā)生中斷，應(yīng)該設(shè)置什么類型的斷點(diǎn)（）

A.軟件執(zhí)行斷點(diǎn)

B.硬件執(zhí)行斷點(diǎn)

C.條件斷點(diǎn)

D.非條件斷點(diǎn)

21.以下邏輯運(yùn)算符中是位移指令的是（）

A.OR、AND

B.Shr和shl

C.ror和rol

D.XOR

22.要插入一個(gè)跨反匯編窗口，并且在任何時(shí)候只要存在對(duì)你添加注釋的地址的交叉引用就重復(fù)回顯，應(yīng)該按（）鍵。

A.；

B.：

C.shift

D.ctrl

23.多數(shù)DLL會(huì)在PE頭的（）打包一個(gè)修訂位置的列表。

A..text節(jié)

B..data節(jié)

C..rsrc節(jié)

D..reloc節(jié)

24.Shell是一個(gè)命令解釋器，它解釋（）的命令并且把它們送到內(nèi)核。

A.系統(tǒng)輸入

B.用戶輸入

C.系統(tǒng)和用戶輸入

D.輸入

25.下面說(shuō)法錯(cuò)誤的是（）。

A.啟動(dòng)器通常在text節(jié)存儲(chǔ)惡意代碼，當(dāng)啟動(dòng)器運(yùn)行時(shí)，它在運(yùn)行嵌入的可執(zhí)行程序或者DLL程序之前，從該節(jié)將惡意代碼提取出來(lái)

B.隱藏啟動(dòng)的最流行技術(shù)是進(jìn)程注入。顧名思義，這種技術(shù)是將代碼注入到另外一個(gè)正在運(yùn)行的進(jìn)程中，而被注入的進(jìn)程會(huì)不知不覺(jué)地運(yùn)行注入的代碼

C.DLL注入是進(jìn)程注入的一種形式，它強(qiáng)迫一個(gè)遠(yuǎn)程進(jìn)程加載惡意DLL程序，同時(shí)它也是最常使用的秘密加載技術(shù)

D.直接注入比DLL注入更加靈活，但是要想注入的代碼在不對(duì)宿主進(jìn)程產(chǎn)生副作用的前提下成功運(yùn)行，直接注入需要大量的定制代碼。這種技術(shù)可以被用來(lái)注入編譯過(guò)的代碼，但更多的時(shí)候，它用來(lái)注入shellcode

二、多選題 (共 10 道試題,共 20 分)

26.微軟fastcall約定備用的寄存器是（）。

A.EAX

B.ECX

C.EDX

D.EBX

27.以下是分析加密算法目的的是

A.隱藏配置文件信息。

B.竊取信息之后將它保存到一個(gè)臨時(shí)文件。

C.存儲(chǔ)需要使用的字符串，并在使用前對(duì)其解密。

D.將惡意代碼偽裝成一個(gè)合法的工具，隱藏惡意代碼

28.對(duì)下面匯編代碼的分析正確的是（）。

A.mov [ebp+var_4],0對(duì)應(yīng)循環(huán)變量的初始化步驟

B.add eax,1對(duì)應(yīng)循環(huán)變量的遞增，在循環(huán)中其最初會(huì)通過(guò)一個(gè)跳轉(zhuǎn)指令而跳過(guò)

C.比較發(fā)生在cmp處，循環(huán)決策在jge處通過(guò)條件跳轉(zhuǎn)指令而做出

D.在循環(huán)中，通過(guò)一個(gè)無(wú)條件跳轉(zhuǎn)jmp，使得循環(huán)變量每次進(jìn)行遞增。

29.惡意代碼常用注冊(cè)表()

A.存儲(chǔ)配置信息

B.收集系統(tǒng)信息

C.永久安裝自己

D.網(wǎng)上注冊(cè)

30.以下的惡意代碼行為中，屬于后門(mén)的是（）

A.netcat反向shell

B.windows反向shell

C.遠(yuǎn)程控制工具

D.僵尸網(wǎng)絡(luò)

31.后門(mén)的功能有

A.操作注冊(cè)表

B.列舉窗口

C.創(chuàng)建目錄

D.搜索文件

32.對(duì)一個(gè)監(jiān)聽(tīng)入站連接的服務(wù)應(yīng)用，順序是（）函數(shù)，等待客戶端的連接。

A.socket、bind、listen和accept

B.socket、bind、accept和listen

C.bind、sockect、listen和accept

D.accept、bind、listen和socket

33.OllyDbg提供了多種機(jī)制來(lái)幫助分析，包括下面幾種（）。

A.日志

B.監(jiān)視

C.幫助

D.標(biāo)注

34.以下是句柄是在操作系統(tǒng)中被打開(kāi)或被創(chuàng)建的項(xiàng)的是

A.窗口

B.進(jìn)程

C.模塊

D.菜單

35.% System Root%\system32\drivers\tcpudp.sys中的登陸記錄都包括（）

A.用戶名

B.Windows域名稱

C.密碼

D.舊密碼

三、判斷題 (共 15 道試題,共 30 分)

36.在文件系統(tǒng)函數(shù)中CreateFile這個(gè)函數(shù)被用來(lái)創(chuàng)建和打開(kāi)文件。

37.在x86匯編語(yǔ)言中，一條指令由一個(gè)助記符，以及零個(gè)或多個(gè)操作數(shù)組成。

38.最近安裝的鉤子放在鏈的末尾，而最早安裝的鉤子放在前頭，也就是先加入的先獲得控制權(quán)

39.Run to Selection選項(xiàng)表示在到達(dá)選擇的指令之前一直運(yùn)行。如果選擇的指令不被執(zhí)行，則被調(diào)試程序會(huì)一直運(yùn)行下去。

40.為了在用戶模式中操作硬件或改變內(nèi)核中的狀態(tài)，必須依賴Windows API。

41.應(yīng)用程序可能包含處理INT3異常的指令,但附加調(diào)試器到程序后,應(yīng)用程序?qū)@得首先處理異常的權(quán)限。

42.單步執(zhí)行代碼時(shí)，調(diào)試器每執(zhí)行一條指令就會(huì)產(chǎn)生一次中斷。

43.對(duì)于調(diào)用頻繁的API函數(shù)，僅當(dāng)特定參數(shù)傳給它時(shí)才中斷程序執(zhí)行，這種情況下內(nèi)存斷點(diǎn)特別有用。

44.WinDbg不允許覆蓋數(shù)據(jù)結(jié)構(gòu)上的數(shù)據(jù)。

45.用戶調(diào)試比起內(nèi)核調(diào)試模式來(lái)說(shuō)更加復(fù)雜，因?yàn)檫M(jìn)行用戶調(diào)試時(shí)，操作系統(tǒng)將被凍結(jié)。

46.重新編寫(xiě)函數(shù)和使用惡意代碼中存在的函數(shù)是兩種基本方法重現(xiàn)惡意代碼中的加密或解密函數(shù)。

47.惡意代碼可以通過(guò)創(chuàng)建一個(gè)新進(jìn)程，或修改一個(gè)已存在的進(jìn)程，來(lái)執(zhí)行當(dāng)前程序之外的代碼。

48.大眾性的惡意代碼比針對(duì)性惡意代碼具有更大的安全威脅，你的安全產(chǎn)品很可能不會(huì)幫你們防御它們。

49.數(shù)組是相似數(shù)據(jù)項(xiàng)的無(wú)序集合

50.Base64加密用ASCII字符串格式表示十六進(jìn)制數(shù)據(jù)。

奧鵬，國(guó)開(kāi)，廣開(kāi)，電大在線，各省平臺(tái)，新疆一體化等平臺(tái)學(xué)習(xí)
詳情請(qǐng)咨詢QQ : 3230981406或微信:aopopenfd777