南开大学22年春学期《计算机病毒分析》在线作业-00002

1、-本页为预览页PAGE14-本页为预览页-本页为预览页22春学期（高起本1709-1803、全层次1809-2103）计算机病毒分析在线作业-00002第1题. WinDbg的内存窗口支持通过命令来浏览内存，以下WinDbg读选项中，（）选项描述读取内存数据并以内存32位双字显示。选项A：da选项B：du选项C：dd选项D：dc参考答案：C第2题. 直接将恶意代码注入到远程进程中的是（）。选项A：进程注入选项B：DLL注入选项C：钩子注入选项D：直接注入参考答案：D第3题. 以下哪个指令可以写入DWord格式的数据。选项A：ea选项B：eu选项C：ed选项D：ee参考答案：C第4题. 用IDA

2、 Pro对一个程序进行反汇编时，字节偶尔会被错误的分类。可以对错误处按（）键来取消函数代码或数据的定义。选项A：C键选项B：D键选项C：shift+D键选项D：U键参考答案：D第5题. Shell是一个命令解释器，它解释（）的命令并且把它们送到内核。选项A：系统输入选项B：用户输入选项C：系统和用户输入选项D：输入参考答案：B第6题. 当想要在函数调用使用特定的参数时才发生中断，应该设置什么类型的断点（）选项A：软件执行断点选项B：硬件执行断点选项C：条件断点选项D：非条件断点参考答案：C第7题. 下面说法错误的是（）。选项A：启动器通常在text节存储恶意代码，当启动器运行时，它在运行嵌入的

3、可执行程序或者DLL程序之前，从该节将恶意代码提取出来选项B：隐藏启动的最流行技术是进程注入。顾名思义，这种技术是将代码注入到另外一个正在运行的进程中，而被注入的进程会不知不觉地运行注入的代码选项C：DLL注入是进程注入的一种形式，它强迫一个远程进程加载恶意DLL程序，同时它也是最常使用的秘密加载技术选项D：直接注入比DLL注入更加灵活，但是要想注入的代码在不对宿主进程产生副作用的前提下成功运行，直接注入需要大量的定制代码。这种技术可以被用来注入编译过的代码，但更多的时候，它用来注入shellcode参考答案：A第8题. 下列概念说法错误的是（）。选项A：内存映射窗口（ViewMemory）显

4、示了被调用程序分配的使用内存块选项B：基地址重定位是指Windows中的一个模块没有被加载到其预定基地址时发生的情况选项C：Windows中的所有PE文件都有一个预定的基地址，它在PE文件头中被称为映像基地址选项D：使用相对地址，无论被加载到内存的哪个位置，所有指令都能正常工作参考答案：D第9题. 当一个库被链接到可执行程序时，所有这个库中的代码都会复制到可执行程序中去，这种链接方法是（）。选项A：静态链接选项B：动态链接选项C：运行时链接选项D：转移链接参考答案：A第10题. 加法和减法是从目标操作数中加上或减去（）个值。选项A：0选项B：1选项C：2选项D：3参考答案：B第11题. 源代码

5、通过（）后形成可执行文件。选项A：汇编选项B：编译选项C：连接选项D：编译和连接参考答案：D第12题. Base64编码将二进制数据转化成（）个字符的有限字符集。选项A：16选项B：32选项C：48选项D：64参考答案：D第13题. 进程浏览器的功能不包括（）。选项A：比较进程浏览器中的DLL列表与在Dependency Walker工具中显示的导入DLL列表来判断一个DLL是否被加载到进程选项B：单击验证按钮，可以验证磁盘上的镜像文件是否具有微软的签名认证选项C：比较运行前后两个注册表的快照，发现差异选项D：一种快速确定一个文档是否恶意的方法，就是打开进程浏览器，然后打开文档。若文档启动了任

6、意进程，你能进程浏览器中看到，并能通过属性窗口中的镜像来定位恶意代码在磁盘上的位置。参考答案：C第14题. OllyDbg的硬件断点最多能设置（）个。选项A：3个选项B：4个选项C：5个选项D：6个参考答案：B第15题. （）能够将一个被调试的进程转储为一个PE文件选项A：OllyDump选项B：调试器隐藏插件选项C：命令行选项D：书签参考答案：A第16题. OllyDbg最多同时设置（）个内存断点。选项A：1个选项B：2个选项C：3个选项D：4个参考答案：A第17题. 当单击Resource Hacker工具中分析获得的条目时，看不到的是选项A：字符串选项B：二进制代码选项C：图标选项D：菜

7、单参考答案：B第18题. Hook技术的应用不包括（）选项A：实现增强的二次开发或补丁选项B：信息截获选项C：安全防护选项D：漏洞分析参考答案：D第19题. 以下对各断点说法错误的是（）。选项A：查看堆栈中混淆数据内容的唯一方法时：待字符串解码函数执行完成后，查看字符串的内容，在字符串解码函数的结束位置设置软件断点选项B：条件断点是软件断点中的一种，只有某些条件得到满足时这个断点才能中断执行程序选项C：硬件断点非常强大，它可以在不改变你的代码、堆栈以及任何目标资源的前提下进行调试选项D：OllyDbg只允许你一次设置一个内存断点，如果你设置了一个新的内存断点，那么之前设置的内存断点就会被移除参

8、考答案：C第20题. Windows?钩子（HOOK）指的是（）选项A：钩子是指?Windows?窗口函数选项B：钩子是一种应用程序选项C：钩子的本质是一个用以处理消息的函数，用来检查和修改传给某程序的信息选项D：钩子是一种网络通信程序参考答案：A第21题. 而0 x52000000对应0 x52这个值使用的是（）字节序。选项A：小端选项B：大端选项C：终端选项D：前端参考答案：A第22题. 以下Windows API类型中（）是表示一个将会被Windows API调用的函数。选项A：WORD选项B：DWORD选项C：Habdles选项D：Callback参考答案：D第23题. 在WinDbg

9、的搜索符号中， （）命令允许你使用通配符来搜索函数或者符号。选项A：bu选项B：x选项C：Ln选项D：dt参考答案：B第24题. 以下不是GFI沙箱的缺点的是（）。选项A：沙箱只能简单地运行可执行程序，不能带有命令行选项选项B：沙箱环境的操作系统对恶意代码来说可能不正确选项C：沙箱不能提供安全的虚拟环境选项D：恶意代码如果检测到了虚拟机，将会停止运行，或者表现异常。不是所有的沙箱都能完善地考虑这个问题参考答案：C第25题. PE文件中的分节中唯一包含代码的节是（）。选项A：.rdata选项B：.text选项C：.data选项D：.rsrc参考答案：B第26题. % System Root%sy

10、stem32driverstcpudp.sys中的登陆记录都包括（）选项A：用户名选项B：Windows域名称选项C：密码选项D：旧密码参考答案：A,B,C,D第27题. 运行计算机病毒，监控病毒的行为，需要一个安全、可控的运行环境的原因是什么选项A：恶意代码具有传染性选项B：可以进行隔离选项C：恶意代码难以清除选项D：环境容易搭建参考答案：A,B,C第28题. 恶意代码的存活机制有（）选项A：修改注册表选项B：特洛伊二进制文件选项C：DLL加载顺序劫持选项D：自我消灭参考答案：A,B,C第29题. 对下面汇编代码的分析正确的是（）。选项A：mov ebp+var_4,0对应循环变量的初始化步

11、骤选项B：add eax,1对应循环变量的递增，在循环中其最初会通过一个跳转指令而跳过选项C：比较发生在cmp处，循环决策在jge处通过条件跳转指令而做出选项D：在循环中，通过一个无条件跳转jmp，使得循环变量每次进行递增。参考答案：A,B,C,D第30题. INetSim可以模拟的网络服务有（）。选项A：HTTP选项B：FTP选项C：IRC选项D：DNS参考答案：A,B,C,D第31题. 名字窗口，列举哪些内存地址的名字选项A：函数名选项B：代码的名字选项C：数据的名字选项D：字符串参考答案：A,B,C,D第32题. 后门的功能有选项A：操作注册表选项B：列举窗口选项C：创建目录选项D：搜索

12、文件参考答案：A,B,C,D第33题. 微软fastcall约定备用的寄存器是（）。选项A：EAX选项B：ECX选项C：EDX选项D：EBX参考答案：B,C第34题. 恶意代码编写者可以挂钩一个特殊的 Winlogon事件,比如()选项A：登录选项B：注销选项C：关机选项D：锁屏参考答案：A,B,C,D第35题. 以下是句柄是在操作系统中被打开或被创建的项的是选项A：窗口选项B：进程选项C：模块选项D：菜单参考答案：A,B,C,D第36题. 在 XOR加密中，逆向解密与加密不是使用同一函数。选项A：对选项B：错参考答案：B第37题. 微软Visual Studio和GNU编译集合（GCC）。前

13、者，adder函数和printf的函数在调用前被压到栈上。而后者，参数在调用之前被移动到栈上。选项A：对选项B：错参考答案：A第38题. cmp指令不设置标志位，其执行结果是ZF和CF标志位不发生变化。选项A：对选项B：错参考答案：B第39题. 应用程序可能包含处理INT3异常的指令,但附加调试器到程序后,应用程序将获得首先处理异常的权限。选项A：对选项B：错参考答案：B第40题. CreateFile（）这个函数被用来创建和打开文件。选项A：对选项B：错参考答案：A第41题. 这种进程替换技术让恶意代码与被替换进程拥有相同的特权级。选项A：对选项B：错参考答案：A第42题. Netcat被称

14、为“TCP/IP协议栈瑞士军刀”，可以被用在支持端口扫描、隧道、代理、端口转发等的对内对外连接上。在监听模式下，Netcat充当一个服务器，而在连接模式下作为一个客户端。Netcat从标准输入得到数据进行网络传输，而它得到的数据，又可以通过标准输出显示到屏幕上。选项A：对选项B：错参考答案：A第43题. 每一个Hook都有一个与之相关联的指针列表，称之为钩子链表，由系统来维护选项A：对选项B：错参考答案：A第44题. 底层远程钩子要求钩子例程被保护在安装钩子的进程中。选项A：对选项B：错参考答案：A第45题. OllyDbg中内存断点一次只能设置一个，而硬件断点可以设置4个。选项A：对选项B：错参考答案：A第46题. 机器码层由操作码组成，操作码是一些二进制形式的数字。选项A：对选项B：错参考答案：B第