南开大学22春学期《计算机病毒分析》在线作业答卷

22春学期（高起本1709-1803、全层次1809-2103）《计算机病毒分析》在线作业-00003试卷总分:100得分:100一、单选题(共25道试题,共50分)病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组（）。计算机指令程序代码文件计算机指令或者程序代码答案:C2.病毒、（）和木马是可导致计算机和计算机上的信息损坏的恶意程序。程序蠕虫代码数据答案:B3.堆是程序运行时动态分配的内存，用户一般通过（）、new等函数申请内存。scanfprintfmallocfree答案:C4.能调试内核的调试器是（）OllyDbgIDAProWinDbgProcessExplorer答案:C5.函数调用约定中，参数是从右到左按序被压入栈，当函数完成时由被调用函数清理栈，并且将返回值保存在EAX中的是（）。cdeclstdcallfastcall压栈与移动答案:B6.PE文件中的分节中唯一包含代码的节是（）。.rdata.text.data.rsrc答案:B7.计算机体系结构中，（）层是由十六进制形式的操作码组成，用于告诉处理器你想它干什么。微指令机器码低级语言高级语言答案:B8.基于Linux模拟常见网络服务的软件的是（）。ApateDNSNetcatINetSimWireshark答案:C9.轰动全球的震网病毒是（）。木马蠕虫病毒后门寄生型病毒答案:B10.Shell是一个命令解释器，它解释（）的命令并且把它们送到内核。系统输入用户输入系统和用户输入输入答案:B11.在WinDbg的搜索符号中，（）命令允许你使用通配符来搜索函数或者符号。buxLndt答案:B12.木马与病毒的重大区别是（）。木马会自我复制木马具有隐蔽性木马不具感染性木马通过网络传播答案:C13.以下哪个选项属于木马（）。震网病毒WannaCry灰鸽子熊猫烧香答案:C14.用户模式下的APC要求线程必须处于（）状态。阻塞状态计时等待状态可警告的等待状态被终止状态答案:C15.OllyDbg最多同时设置（）个内存断点。1个2个3个4个答案:A16.而0x52000000对应0x52这个值使用的是（）字节序。小端大端终端前端答案:A17.以下说法错误的是（）。OllyDbg可以很容易修改实时数据，如寄存器和标志。它也可以将汇编形式的修补代码直接插入到一个程序OllyDbg可以使用00项或nop指令填充程序键单击高亮的条件跳转指令，然后选择Binary→FillwithNOPs，该操作产生的结果时NOP指令替换了JNZ指令，这个过程会把那个位置上的NOP永久保存在磁盘上，意味着恶意代码以后会接受任意输入的密钥当异常发生时，OllyDbg会暂停运行，然后你可以使用进入异常、跳过异常、运行异常处理等方法，来决定是否将异常转移到应用程序处理答案:C18.反病毒软件主要是依靠（）来分析识别可疑文件。文件名病毒文件特征库文件类型病毒文件种类答案:B19.WinDbg的内存窗口支持通过命令来浏览内存，以下WinDbg读选项中，（）选项描述读取内存数据并以内存32位双字显示。dadudddc答案:C20.Base64编码将二进制数据转化成（）个字符的有限字符集。16324864答案:D21.原始数据转换成Base64的过程相当标准。它使用（）位的块。8162432答案:C22.（）是指Windows中的一个模块没有被加载到其预定基地址时发生的情况。内存映射基地址重定位断点跟踪答案:B23.WinINetAPI实现了（）层的协议。网络层数据链路层应用层传输层答案:C24.WinDbg的内存窗口支持通过命令来浏览内存，以下WinDbg读选项中，（）选项描述读取内存数据并以ASCII文本显示。dadudddc答案:A25.进程浏览器的功能不包括（）。比较进程浏览器中的DLL列表与在DependencyWalker工具中显示的导入DLL列表来判断一个DLL是否被加载到进程单击验证按钮，可以验证磁盘上的镜像文件是否具有微软的签名认证比较运行前后两个注册表的快照，发现差异一种快速确定一个文档是否恶意的方法，就是打开进程浏览器，然后打开文档。若文档启动了任意进程，你能进程浏览器中看到，并能通过属性窗口中的镜像来定位恶意代码在磁盘上的位置。答案:C二、多选题(共10道试题,共20分)26.以下方法中是识别标准加密算法的方法是（）。[多选]识别涉及加密算法使用的字符串识别引用导入的加密函数搜索常见加密常量的工具查找高熵值的内容答案:ABCD27.对下面汇编代码的分析正确的是（）。mov[ebp+var_4],0对应循环变量的初始化步骤addeax,1对应循环变量的递增，在循环中其最初会通过一个跳转指令而跳过比较发生在cmp处，循环决策在jge处通过条件跳转指令而做出在循环中，通过一个无条件跳转jmp，使得循环变量每次进行递增。答案:ABCD28.以下是分析加密算法目的的是隐藏配置文件信息。窃取信息之后将它保存到一个临时文件。存储需要使用的字符串，并在使用前对其解密。将恶意代码伪装成一个合法的工具，隐藏恶意代码答案:ABCD29.以下哪些是常用的虚拟机软件VMwarePlayerVMwareStationVMwareFusionVirtualBox答案:ABCD30.后门的功能有操作注册表列举窗口创建目录搜索文件答案:ABCD31.OllyDbg提供了多种机制来帮助分析，包括下面几种（）。日志监视帮助标注答案:ABCD32.调试器可以用来改变程序的执行方式。可以通过修改（）方式来改变程序执行的方式。修改控制标志修改指令指针修改程序本身修改文件名答案:ABC33.恶意代码作者如何使用DLL（）多选保存恶意代码通过使用WindowsDLL控制内存使用DLL通过使用第三方DLL答案:ABD34.恶意代码的存活机制有（）修改注册表特洛伊二进制文件DLL加载顺序劫持自我消灭答案:ABC35.恶意代码常用注册表()存储配置信息收集系统信息永久安装自己网上注册答案:ABC三、判断题(共15道试题,共30分)36.哈希是一种用来唯一标识恶意代码的常用方法。答案:正确37.在图形模式中，绿色箭头路径表示这个条件跳转没被采用答案:错误38.普通病毒的传染能力主要是针对计算机内的文件系统而言。答案:正确39.静态分析基础技术是非常简单，同时也可以非常快速应用的，但它在针对复杂的恶意代码时很大程度上是无效的，而且它可能会错过一些重要的行为。答案:正确40.有时，某个标准符号常量不会显示，这时你需要手动加载有关的类型库答案:正确41.在完成程序的过程中，通用寄存器它们是完全通用的。答案:错误42.下载器通常会与异常处理打包在一起答案:错误43.Netcat被称为“TCP/IP协议栈瑞士军刀”，可以被用在支持端口扫描、隧道、代理、端口转发等的对内对外连接上。在监听模式下，Netcat充当一个服务器，而在连接模式下作为一个客户端。Netcat从标准输入得到数据进行网络传输，而它得到的数据，又可以通过标准输出显示到屏幕上。答案:正确44.调试器允许你查看任意内存地址、寄存器的内容以及每个函数的参数答案:正确45.蠕虫是利用文件寄生来通过网络传播的恶性病毒。答案:错误46.当恶意代码编写者想要将恶意代码伪装成一个合法进程，可以使用一种被称为进程注入的方法，将一个可执行文件重写到一个运行进程的内存空间。答案:错误47.重命名地址可以修改自动化命名的绝对地址和栈变量。答案:错误48.进程监视器视图每一秒更新一次。默认情况下，服务以粉色高亮显示，进程显示为蓝