南开大学《计算机病毒分析》在线作业答卷

1、21秋学期（1709、1803、1809、1903、1909、2003、2009、2103）计算机病毒分析在线作业试卷总分:100 得分:100一、单选题 (共 25 道试题,共 50 分)蠕虫病毒的传染目标是（）。计算机内的文件系统计算机内的病毒计算机内的木马互联网内的所有计算机答案:D2.对应a+的汇编代码是（）。move eax,ebp+var_4sub eax,ebp+var_8sub eax,1add eax,1答案:D3.以下逻辑运算符中是位移指令的是（）OR、ANDShr和shlror和rolXOR答案:C4.以下那种互联网连接模式允许虚拟机与物理机连接到相同的物理网卡上brid

2、gedNETHost-onlyCustom答案:A5.下列说法错误的是（）。fastcall的前一些参数被传到寄存器中，剩下的参数从右到左被加载到栈上不同的编译器会选择使用不同的指令来执行相同的操作VS的函数参数在调用前被移动到栈上即使是同一个编译器，在调用约定方面也可能存在差别。答案:C6.线程创建需要系统开销，（）能够调用一个现有的线程。进程注入直接注入Hook注入APC注入答案:D7.下列论述错误的是（）。数组是相似数据项的有序集合结构体和数组相似，但是它们包括不同类型的元素使用一个链表，被链接项的访问次序与数据项被保存在内存或磁盘上的次序必须一样在汇编代码中，数组是通过使用一个基地址作

3、为起始点来进行访问的。答案:C8.当要判断某个内存地址含义时，应该设置什么类型的断点（）软件执行断点硬件执行断点条件断点非条件断点答案:B9.当一个库被链接到可执行程序时，所有这个库中的代码都会复制到可执行程序中去，这种链接方法是（）。静态链接动态链接运行时链接转移链接答案:A10.（）是指Windows中的一个模块没有被加载到其预定基地址时发生的情况。内存映射基地址重定位断点跟踪答案:B11.PE文件中的分节中包含由可执行文件所使用的资源的是（）。.rdata.text.data.rsrc答案:D12.下列关于OllyDbg运行恶意代码说法错误的是（）。OllyDbg有几种调试恶意代码的方法

4、，可以用它直接加载可执行文件，甚至加载DLL程序如果恶意代码已经在你的系统上运行，你可以通过附加进程的方式调试它另外，OllyDbg是一个灵活的调试系统，可以用命令行选项运行恶意代码，甚至支持执行DLL中某个函数可以在在加载恶意代码程序之前给OllyDbg传入命令行参数答案:D13.以下注册表根键中（）保存对本地机器全局设置。HKEY_LOCAL_MACHINE(HKLM)HKEY_CURRENT_USER(HKCU)HKEY_CLASSES_ROOTHKEY_CURRENT_CONFIG答案:A14.当想要在函数调用使用特定的参数时才发生中断，应该设置什么类型的断点（）软件执行断点硬件执行断

5、点条件断点非条件断点答案:C15.捕获Poison Ivy为shellcode分配内存的最好方法是（）。软件断点硬件断点内存断点条件断点答案:D16.一共有（）个硬件寄存器存储断点的地址1个3个4个7个答案:C17.轰动全球的震网病毒是（）。木马蠕虫病毒后门寄生型病毒答案:B18.当单击Resource Hacker工具中分析获得的条目时，看不到的是字符串二进制代码图标菜单答案:B19.下列说法错误的是（）。恶意代码经常使用多线程。你可以通过选择View-Threads,调出线程面板窗口，查看一个程序的当前线程单击主工具栏中的暂停按钮，可以暂停所有活动的线程给定进程中的每个线程有自己的栈，通常

6、情况下，线程的重要数据都保存在栈中。可以使用OllyDbg的内存映射，来查看内存中栈的内容由于OllyDbg是多线程的，可能需要你先暂停所有的线程，设置一个断点后，继续运行程序，这样可以确保在一个特定线程模式内调试答案:D20.以下Windows API类型中（）是描述一个双字节、32位的无符号数值。WORDDWORDHabdlesCallback答案:B21.在以下寄存器中用于定位要执行的下一条指令的寄存器是（）。通用寄存器段寄存器状态寄存器指令指针答案:D22.在图形模式中，以下哪种颜色的箭头表示的路径表示一个无条件跳转被采用了红色黄色蓝色绿色答案:C23.在通用寄存器中，（）是基址寄存器

7、。EAXEBXECXEDX答案:B24.GFI沙箱生成报告不包括哪个小节（）。分析摘要文件活动注册表程序功能答案:D25.下列属于静态高级分析技术的描述是（）。检查可执行文件但不查看具体指令的一些技术分析的目标涉及运行恶意代码并观察系统上的行为，以移除感染，产生有效的检测特征码，或者两者主要是对恶意代码内部机制的逆向工程，通过将可执行文件装载到反汇编器中，查看程序指令，来发现恶意代码到底做了什么使用调试器来检查一个恶意可执行程序运行时刻的内部状态答案:C二、多选题 (共 10 道试题,共 20 分)26.恶意代码的存活机制有（）修改注册表特洛伊二进制文件DLL加载顺序劫持自我消灭答案:ABC2

8、7.名字窗口，列举哪些内存地址的名字函数名代码的名字数据的名字字符串答案:ABCD28.后门的功能有操作注册表列举窗口创建目录搜索文件答案:ABCD29.IDA Pro 都有以下什么功能（）。识别函数标记函数划分出局部变量划分出参数答案:ABCD30.对下面汇编代码的分析正确的是（）。mov ebp+var_4,0对应循环变量的初始化步骤add eax,1对应循环变量的递增，在循环中其最初会通过一个跳转指令而跳过比较发生在cmp处，循环决策在jge处通过条件跳转指令而做出在循环中，通过一个无条件跳转jmp，使得循环变量每次进行递增。答案:ABCD31.运行计算机病毒，监控病毒的行为，需要一个安

9、全、可控的运行环境的原因是什么恶意代码具有传染性可以进行隔离恶意代码难以清除环境容易搭建答案:ABC32.进程监视器提供默认下面四种过滤功能是（）。注册表文件系统进程行为网络答案:ABCD33.微软fastcall约定备用的寄存器是（）。EAXECXEDXEBX答案:BC34.OllyDbg提供了多种机制来帮助分析，包括下面几种（）。日志监视帮助标注答案:ABCD35.对一个监听入站连接的服务应用，顺序是（）函数，等待客户端的连接。socket、bind、listen和acceptsocket、bind、accept和listenbind、sockect、listen和acceptaccept

10、、bind、listen和socket答案:ABCD三、判断题 (共 15 道试题,共 30 分)36.程序运行过程中,虽然寄存器的值和内存的地址是不断变化的,但是依旧可以在运行时访问寄存器的值和内存地址答案:错误37.加壳的目的是使计算机病毒更难被检测和分析答案:正确38.进程监视器的过滤功能开启时，不会记录过滤的事件，因此能阻止监视器消耗过多的内存。答案:错误39.暴力破解目的是尝试使用几个不同的XOR密钥破解，直到碰到你识别的输出为止。答案:正确40.Strings程序检测到的一定是真正的字符串。答案:错误41.在小端字节序中，127.0.0.1 表示为0 x7F 00 00 01。答案:错误42.在stdcall中，前一些参数（典型的是前两个）被传到寄存器中，备用的寄存器是EDX和ECX。如果需要的话，剩下的参数再以从右到左的次序被加载到栈上。答案:错误43.PE文件格式在头部存储了很多有趣的信息。我们可以使用PEview工具来浏览这些信息。答案:正确44.2.DLL只有一个单一的标志，除了那个标志之外，一个DLL和一个.exe之间没有实质的区别。答案:正确45.WinDbg的内存窗口不支持通过命令来浏览内存。答案:错误46.反向 shell或者作为一个单独的恶意代码存在,或者作为一个