奥鹏南开20春学期1709、1803、1809、1903、1909、2003计算机病毒分析在线作业随机

1、1.参数是从右到左按序被压入栈，当函数完成时由被调用者清理栈的是（）。A.cdecl B.stdcall C.fastcallD.压栈与移动【参考答案】：A2.内存中的（）节用于函数的局部变景和参数，以及控制程序执行流。A.数据B.堆C.代码D.栈【参考答案】：D3.（）列出了所有活跃的进程、被进程载入的DLL、各种进程属性和整体系统信息。A.进程监视器B.进程浏览器C.沙箱D.Regshot【参考答案】：B4.基于Linux模拟常见网络服务的软件的是（）。A.ApateDNS B.Netcat C.INetSim D.Wireshark【参考答案】：C5.在获取不到高级语言源码时，（）是从机

2、器码中能可信并保持一致地还原得到的最高一层语言。A.机器指令B.微指令C.汇编语言D.机器码【参考答案】：C6.PE文件中的分节中唯一包含代码的节是（）。A.rdata B.text C.data D.rsrc【参考答案】：B7.下面说法错误的是()。A.启动器通常在text节存储恶意代码，当启动器运行时，它在运行嵌入的可执 行程序或者DLL程序之前，从该节将恶意代码提取出来B.隐藏启动的最流行技术是进程注入。顾名思义，这种技术是将代码注入到另外一个正在运行的进程 中，而被注入的进程会不知不觉地运行注入的代码C.DLL注入是进程注入的一种形式，它强迫一个远程进程加载恶意DLL程序，同时它也是最

3、常使用的秘密 加载技术D.直接注入比DLL注入更加灵活，但是要想注入的代码在不对宿主进程产生副作用的前提下成功运行, 直接注入需要大量的定制代码。这种技术可 以被用来注入编译过的代码，但更多的时候，它用来注入shellcode【参考答案】：A8.()是可以记录程序详细的运行信息的调试技术。A.内存映射B.基地址重定位C.断点D.跟踪【参考答案】：D9.当单击Resource Hacker工具中分析获得的条目时，看不到的是A.字符申B.二进制代码C.图标D.菜单【参考答案】：B10.()是指Windows中的一个模块没有被加载到其预定基地址时发生的情况。A.内存映射B.基地址重定位C.断点D.跟

4、踪【参考答案】：B11.Hook技术的应用不包括()A.实现增强的二次开发或补丁B.信息截获C.安全防护D.漏洞分析12.恶意代码指的是（）A.计算机病蠹B.间谍软件C.内核嵌套D.任何对用户、计算机或网络造成破坏的软件【参考答案】：D13. ApateDNS在本机上监听UDP（）端口。A.53B.69C.161D.80【参考答案】：A14.OllyDbg使用了一个名为（）的虚拟程序来加载DLLA.rundll32.exe B.user32.dll C.kernel32.dll D.loaddll.exe【参考答案】：D15.（）常被一种叫做击键记录器的恶意程序所使用， 被用来记录击键A.D

5、LL注入B.直接注入C.APC注入D.钩子注入【参考答案】：D16.轰动全球的震网病毒是（）。A.木马B.蠕虫病蠹C.后门D.寄生型病蠹【参考答案】：B17.Base64编码将二进制数据转化成（）个字符的有限字符集。A.16B.32C.48D.64【参考答案】：D18.捕获Poison Ivy为shellcode分配内存的最好方法是（）A.软件断点B.硬件断点C.内存断点D.条件断点【参考答案】：D19.以下注册表根键中（）保存定义的类型信息。A.HKEY_LOCAL_MACHINE（HKLM）B.HKEY_CURRENT_USER（HKCUC.HKEY_CLASSES_ROOT D.HKEY

6、_CURRENT_CONFIG【参考答案】：C20.对以下代码分析错误的是（）。A.jnz为条件跳转，而jmp为无条件跳转B.while循环与for循环的汇编代 码非常相似，唯一的区别在于它缺少一个递增C.while循环停止重复执行的唯一方式，就是那个期望发生的条件跳转D.while循环总要进入一次【参考答案】：D21.以下逻辑运算符中是位移指令的是（）A.OR AND B.Shr和shl C.ror和rol D.XOR【参考答案】：C22.当想要在函数调用使用特定的参数时才发生中断，应该设置什么类型的断点（）A.软件执行断点B.硬件执行断点C.条件断点D.非条件断点【参考答案】：C23.多数

7、DLL会在PE头的（）打包一个修订位置的列表。A.text节B.data节C.rsrc节D.reloc节【参考答案】：D24.而0 x52000000对应0 x52这个值使用的是（）字节序。A.小端B.大端C.终端D.前端【参考答案】：A25.用户模式下的APC要求线程必须处于（）状态。A.阻塞状态B.计时等待状态C.可警告的等待状态D.被终止状态【参考答案】：C26.下列说法正确的是（）。A.IDA Pro有一个在识别结构方面很有用的图形化工具B.从反汇编代码来看，彳艮难知道原始代码是一个switch语句还是一个if语句序歹UC.switch中各无条件跳转相互影响D.使用了 一个跳转表，来更

8、加局效地运行switch结构汇编代码【参考答案】：ABD27.恶意代码编写者可以挂钩一个特殊的Winlogon事件,比如（）A.登录B.注销C.关机D.锁屏【参考答案】：ABCD28.恶意代码作者如何使用DLL（）多选A.保存恶意代码B.通过使用Windows DLLC.控制内存使用DLL D.通过使用第三方DLL【参考答案】：ABD29.对下面汇编代码的分析正确的是（）。A.mov ebp+var_4,0对应循环变量的初始化步骤B.add eax,1对应循环变量的递增，在循环中其最初会通过一个跳转指令而跳过C.比较发生在cmp处，循环决策在jge处通过条件跳转指令而做出D.在循环中，通过一个

9、无条件跳转jmp,使得循环变量每次进行递增。【参考答案】：ABCD30. % System Root%system32driverstcpudp.sys中的登陆记录都包括（）A.用户名B.Windows域名称C.密码D.旧密码【参考答案】：ABCD31.后门的功能有A.操作注册表B.列举窗口C.创建目录D.搜索文件【参考答案】：ABCD32.（）是Windows API的标准调用约定A.cdecl B.stdcall C.fastcallD.压栈与移动【参考答案】：BC33.下面属于OllyDbg插件的有（）。A.OllyDumpB.调试器隐藏插件C.命令行D.书签【参考答案】：ABCD34.

10、以下是句柄是在操作系统中被打开或被创建的项的是A.窗口B.进程C.模块D.菜单【参考答案】：ABCD35.以下对个各个插件说法正确的是（）。A.OllyDump是OllyDbg最常使用的插件，它能够将一个被调试的进程转储成一 个PE文件B.为了防止恶意代码使用反调试技术，恶意代码分析人员通常在分析恶意代码期间，一直运行调试器隐藏插件C.OllyDbg的命令行插件允许你用命令行来使用OllyDbg D.OllyDbg默认情况下自带书签插件，书签插件 可以将一个内存位置加到书签中，利用书签，下次不需要记住就可以轻松获取那 个内存地址【参考答案】：ABCD36.恶意代码可以通过创建一个新进程，或修改

11、一个已存在的进程，来 执行当前程序之外的代码。T.对F.错【参考答案】：A37.结构体通过一个作为起始指针的基地址来访问。要判断附近的数据 字节类型是同一结构的组成部分，还是只是凑巧相互挨着是比较困难 的，这依赖于这个结构体的上下文。T.对F.错【参考答案】：A38.加硬件断点处的程序在内存处依旧是原程序所对应的机器码T.对F.错【参考答案】：A39.在操作系统中所有的文件都不可以通过名字空间进行访问。T.对F.错【参考答案】：B40.虚拟机是运行在ring0级T.对F.错【参考答案】：B41.PE文件格式在头部存储了很多有趣的信息。我们可以使用PEview工具来浏览这些信息。T.对F.错【参考答案】：A42.操作数指向感兴趣的值所在的内存地址，一般由方括号内包含值、 寄存器或方程式组成，如eax。T.对F.错【参考答案】：A43.Strings程序检测到的一定是真正的字符串。T.对F.错【参考答案】：B44.在x86汇编语言中，一条指令由一个助记符，以及零个或多个操作 数组成。T.对F.错【参考答案】：T45.WinDbg是一个出色的调试器，它提供了很多OllyDbg所不具备的功 能，但其中不包括支持内核调试。T.对F.错【参考答案】：F46. WinDbg的内存窗口不支持通过命令来浏览内存。T.对F.错【参考答