软件安全之恶意代码机理与防护-武汉大学中国大学mooc课后章节答案期末考试题库2023年

软件安全之恶意代码机理与防护_武汉大学中国大学mooc课后章节答案期末考试题库2023年网络嗅探攻击是一类非常常见的攻击方式，其主要威胁到信息的可用性。

参考答案:

错误

安装了还原软件的计算机系统，在重启后可以彻底清除启用了还原保护的分区中的恶意软件。

参考答案:

错误

可信计算思想中的静态可信保障机制与以下哪种安全防护策略最有相似？

参考答案:

校验和检测

相对于WinXP系统而言，目前Win10系统启动速度大大加快，其根本原因是目前计算机的CPU更快，内存更大。

参考答案:

错误

内存中PE文件各节之间的空隙（00填充部分）大小，与以下哪个参数的大小息息相关？

参考答案:

SectionAlignment

恶意代码一定是以文件形式存在于计算机中的。

参考答案:

错误

以下哪个工具最方便用来对目标PE程序进行汉化？

参考答案:

exeScope

《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》自2011年9月1日起施行，该司法解释规定：非法获取计算机信息系统数据或者非法控制计算机信息系统，具有部分情形之一的，应当认定为刑法第二百八十五条第二款规定的“情节严重”。以下不属于该罪“情节严重”的特定情形的是？

参考答案:

明知他人实施非法获取支付结算、证券交易、期货交易等网络金融服务身份认证信息的违法犯罪行为而为其提供程序、工具五人次以上的；

PAE模式下，虽然线性地址依然只有32位，但却寻址64G范围内的物理内存。

参考答案:

正确

本课程C3PE文件格式章节中的例子程序－test.exe（见C3.7）的.rdata节开始位置RVA为2000h，在内存中的VA地址是_______H。（请填写8位阿拉伯数字）

参考答案:

00402000

我们经常可以看到部分网站数据库（譬如成绩记录数据库）被人修改，该类攻击行为破坏了信息的______性。【两个汉字】

参考答案:

完整

GPT分区格式下单分区容量可以突破_______TB，但MBR分区格式下不可以。（填写阿拉伯数字）

参考答案:

2

由于安全评测机构无法获得未知恶意样本构建测试样本集，因此无法对安全产品的未知恶意样本检测能力进行评测。

参考答案:

错误

在获得DLL文件内存加载基地址之后，为了进一步获得其导出的API函数在内存中的真实地址，可以进一步通过______对其进行分析。

参考答案:

引出目录表

以下哪个软件可以用于内核调试？

参考答案:

Windbg

DLL被引出函数的RVA存储在引出目录表下的哪个地址指向的数组中？縀中？

参考答案:

AddressOfFunctions

NTFS文件系统下，如果一个文件较大，NTFS将开辟新空间存放File的具体数据，其通过文件记录（FileRecord）中的______指明每段空间的起始簇号和占用簇的个数。

参考答案:

DataRun

在以下恶意代码中，______在进行目标攻击时并未利用目标系统软件漏洞进行传播。

参考答案:

Mellisa

补丁更新是进行网络蠕虫防护的唯一手段。

参考答案:

错误

分析C7.8样本文件中的virusMacro-127可知，该样本在执行之后，将释放一个名为____的vbs脚本。【所有空均区分大小写】

参考答案:

dsfswhudf.VBE

通过查看以下哪个字段，可以判断一个PE文件是32位还是64位？

参考答案:

可选文件头的Magic

Safety与Security是存在区别的，黑客攻击与恶意代码通常属于Security的范畴。

参考答案:

正确

无论恶意软件攻击技术如何先进，更换计算机硬盘都能够完全清除恶意软件对计算机系统的入侵。

参考答案:

错误

C7.8样本文件中的页面文件22.htm的脚本中有一段加密代码，该段代码解密之后应为document.write(____________)。（答案中间无空格）

参考答案:

"Welcome_"+"Back_"+"To_"+"Luojia!"

C7.8样本文件中的virusMacro-127创建的vbe脚本释放了名为_______的可执行程序。

参考答案:

cdsadd.exe

call指令与jmp指令的功能类似，都将跳转到目标位置继续执行。但call指令执行时，还会将该call指令之后的地址压入堆栈顶端。而这一特性可有效应用于病毒代码的重定位。

参考答案:

正确

通过格式化操作系统所在盘符，可以完全清除系统中的文件型病毒。

参考答案:

错误

80X86处理器的常态工作处理模式是？

参考答案:

保护模式

在传统BIOS的MBR引导模式下，以下关于Windows操作系统引导过程的顺序，正确的是？

参考答案:

BIOS->MBR->DBR->NTLDR(BOOTMGR)

________节的主要作用是将DLL自身实现的函数信息进行标注，以便于其他程序可以动态调用本DLL文件中的函数。

参考答案:

引出函数节

除了宏病毒威胁之外，打开数据文档是不可能存在其他安全隐患的。

参考答案:

错误

宏病毒一种非常古老的恶意代码威胁，当前已经不可能存在这类威胁。

参考答案:

错误

现有一PE文件，通过分析其二进制文件，IMAGE_SECTION_HEADER结构的起始地址和结束地址分别为0x1D0和0x270，由此可知该文件的节数量为_________。

参考答案:

4

下面语句用于创建一个_______对象？SetfNxGxXlsxADAGD=createobject(Chr(83)&Chr(104)&Chr(101)&Chr(108)&Chr(108)&Chr(46)&Chr(65)&Chr(112)&Chr(112)&Chr(108)&Chr(105)&Chr(99)&Chr(97)&Chr(116)&Chr(105)&Chr(111)&Chr(110))

参考答案:

Shell.Application

在VBS恶意脚本程序中，___________是一个经常被使用的浏览器对象，可用于模拟http的GET和POST请求，其经常与ADODB.STREAM对象一起使用，以从远程下载数据并将其释放为本地文件。

参考答案:

XMLHTTP

Office宏的编写语言是？

参考答案:

VBA

Options.SaveNormalPrompt=False此举代码的作用是？

参考答案:

如果公用模板被修改，不要弹框提示用户

以下哪个宏在Offcie程序打开时自动触发？

参考答案:

AutoExec

当文档工程被加密后，通过以下哪个工具可以解除其加密口令?

参考答案:

VBAPasswordBypasser

引入目录表（ImportTable）的开始位置RVA和大小位于PE文件可选文件头DataDirecotry结构（共16项）中的第________项。

参考答案:

2

在FAT32文件系统中，文件分配表有两份，即FAT1和FAT2，当一个文件被我们误删除之后，我们还可以直接从FAT2中找到对应的簇链表对FAT1进行修复，从而快速恢复该文件。

参考答案:

错误

DLL被引出函数的函数名字符串的RVA存储在引出函数节下的哪个字段指向的表中？

参考答案:

AddressOfNames

FAT32文件系统进行文件空间分配的最小单位是簇，一个簇通常包含多个扇区。

参考答案:

正确

硬盘MBR主引导扇区最后两个字节必须以“55AA”作为结束

参考答案:

正确

磁盘MBR扇区的分区表数据被破坏之后将无法恢复，因此要及时备份MBR扇区所有数据。

参考答案:

错误

当vbs文件执行死循环时，应打开任务管理器结束以下哪个进程？

参考答案:

wscript.exe

以下哪个宏在定义在文档（非模板）中将被对应操作自动触发。

参考答案:

AutoClose

如果要阻止用户通过Word点击“宏”或“查看宏”按钮查看宏代码，可以定义以下哪个宏来拦截该操作。

参考答案:

ToolsMacro

Office文档启用宏后，在Office文档打开窗口通过快捷键______可以进入VisualBasic编辑器窗口。

参考答案:

Alt+F11

并口硬盘的数据线比串口硬盘的数据线宽，显然其传输速度更快。

参考答案:

错误

Windows环境下，默认情况下每个进程均可以直接访问其他进程的用户区内存空间。

参考答案:

错误

如果需要手工从目标PE文件中提取其图标数据并生成.ico文件的话，我们需要从以下哪类型资源中提取数据？

参考答案:

GROUPICON+ICON

以下是某硬盘的分区表信息（MBR分区格式），通过分析可知，该硬盘的第一个主分区应为______GB。（按1K=1000计算，小数点后保留一位，四舍五入，答案不含单位）【图片】

参考答案:

53.7

DLL文件可能加载到非预期的ImageBase地址，PE文件使用______解决该问题。

参考答案:

重定位机制

下图是某U盘［FAT32文件系统］下某个文件的目录项，由引导扇区参数可知该分区每个簇包含16个扇区［512字节／扇区］，由此可计算出该文件共占用_______个簇的存储空间？［请填写阿拉伯数字，10进制］【图片】

参考答案:

23

DLL在编译时的初始文件名字符串的RVA存储在引出目录表下的哪个字段中？

参考答案:

Name

Window系统中，.DL.SY.SCR和.OCX文件都属于PE文件格式。

参考答案:

正确

在PE文件格式中，PE文件头的Signature（即“PE\0\0”）位于MZDOS头及DosStub之后，32位程序的Signature开始于000000B0位置。

参考答案:

错误

引出目录表的开始位置就是引出函数节的开始位置，因此找到引出函数节就可以定位到引出目录表。

参考答案:

错误

一个具有图标和菜单的可执行文件通常都具有资源节。

参考答案:

正确

硬盘中线性逻辑寻址方式（LBA）的寻址单位是？

参考答案:

扇区

PAE内存分页模式下，在进行虚拟地址到物理地址转化计算中，一个32位虚拟地址（线性地址）可以划分为4个部分：页目录指针表项（PDPTE）、页目录表项（PDE）、页表项（PTE），以及页内偏移。32位虚拟地址0x00403016对应的PDE=________。

参考答案:

2

内存内核区的所有数据是所有进程共享的，用户态代码可以直接访问。

参考答案:

错误

hello25.exe程序从系统的user32.dll模块中引入了MessageBoxA函数以实现弹框功能。当hello25.exe程序被执行时，user32.dll被装载之后位于进程内存空间的内核区。

参考答案:

错误

PE文件的可选文件头是可选的，可以不要。

参考答案:

错误

在进行函数引入时，必须在引入函数节部分注明目标函数名字，否则无法进行索引定位。

参考答案:

错误

无论是在32位还是64位系统，病毒代码在获得当前kernel32模块中的任一VA地址之后，只要通过地址逐一递减并验证指向位置是否为PE文件头部特征，必然可以顺利找到kernel32模块的基地址。

参考答案:

错误

C7.8样本文件中的virusMacro-127创建了_______对象，并利用该对象的Open方法运行该vbe脚本。

参考答案:

Shell.Application

DLL文件的编译生成时间存储在其引出函数目录表的时间戳信息中，在针对恶意代码的取证分析过程中，该时间信息对于了解样本出现的开始日期具有一定参考意义。

参考答案:

正确

C7.8样本文件中的virusMacro-127执行后释放的vbs脚本被存储在___变量中。

参考答案:

hgvfcdsfdsfff

每一个PE文件都必须有一个数据节和代码节，且这两个节不可以合并为一个节。

参考答案:

错误

当一个PE可执行文件装载到内存之后，引入地址表（IAT表）指向的数据将被对应函数在内存中的VA地址所代替。

参考答案:

正确

电脑被感染计算机病毒之后，通过更换硬盘可以彻底防止任何病毒再生。

参考答案:

错误

在FAT32分区下，当文件通过Shift＋Del的方式删除之后，以下哪个部分将发生变化？

参考答案:

目录项中的文件名首字节，首簇高位，以及文件对应的FAT表项

在FAT32分区下，当文件被放入回收站之后，该文件目录项中的以下哪部分数据将发生变化？

参考答案:

文件名的第一个字节

PE文件一旦被签名之后，该文件的任何地方被修改都将导致签名验证无法通过。

参考答案:

错误

下图为某程序的.rdata节（开始位置RVA：2000，文件偏移量：800H）在内存中的主要数据。通过分析可知，MessageBoxA函数的VA地址=0x________【填入8个16进制数字或大写字母，高位在前，低位在后，譬如76F8BBE2，00002050】【图片】

参考答案:

7689EA11

下图为某程序的.rdata节（开始位置RVA：2000，文件偏移量：800H）在内存中的主要数据。通过分析可知，文件808H-80BH偏移处的值是0x________。【填入8个16进制数字或大写字母，高位在前，低位在后，譬如76F8BBE2，00002050】【图片】

参考答案:

0000208C##%_YZPRLFH_%##8C200000

下图为某PE程序的部分16进制数据截图，内存中RVA地址0040B341H在该PE文件中的文件偏移地址为：______h。【8位16进制数据，高位在前，字母大写】【图片】

参考答案:

00008541

请分析附件文件Zoomit.exe，通过分析可知：最大尺寸的ICON的RVA是__________。【8位16进制数据，高位在前，字母大写】

参考答案:

0006CC90

请分析附件文件，通过分析可知：最大尺寸的ICON对应的文件Size是__________。【8位16进制数据，高位在前，字母大写】

参考答案:

00000EA8

当文件被误删除之后，不应继续往该文件所在的分区继续写入数据，否则可能造成被删除的文件被覆盖导致无法恢复。

参考答案:

正确

请分析附件文件，该文件中包含一个名为BINRES的资源，请将该文件提取之后保存为rczoomit64.exe，分析该文件可知，其ImageBase为________【按实际位数填写所有16进制数据，高位在前，字母大写】

参考答案:

0000000140000000

如果要理解Windows下恶意代码在感染程序过程可能涉及到的目标程序的图标修改机理，我们需要重点学习本课程的哪一部分内容？

参考答案:

第3、4周PE文件格式与实践

在你看来，信息系统存在安全问题的本质原因是：

参考答案:

信息资产具有价值

传统感染型PE病毒因为在代码寄生过程中的目标HOST程序多样，无法事先确定自身病毒代码即将寄生的位置，但二进制代码中存在部分固化的VA地址，因此需要给目标PE程序新增一个重定位节，以确保病毒代码中的VA地址能够得到动态修正。

参考答案:

错误

由于文件感染型病毒需要在目标程序新增代码甚至新增节，其在感染过程中必将增加目标程序大小。为了有效隐藏自己，病毒代码通常都应尽力做到精简以缩小自身体积。

参考答案:

错误

对于计算机病毒来说，如果其感染目标程序都位于当前操作系统之内，感染目标也只在本机运行，则其需要使用的相关API函数的地址在当前系统是确定的，因此可以采用硬编码的方式将API函数的地址固化在病毒代码中，直接调用即可。

参考答案:

错误

screnc.exe是微软提供的一款脚本加、解密工具，被其加密的脚本以#@~^作为开始字符。

参考答案:

错误

打开C7.8样本文件中的文档macro3.doc，查找Flag，分析可知该Flag放在窗体UserForm1的________控件中，flag=_______。（第一个答案为控件名称，第二个答案为字符串，不用加引号、区分大小写，用空格隔开）

参考答案:

TextBox1XueDaHanWuLiGuo##%_YZPRLFH_%##UserForm1.TextBox1XueDaHanWuLiGuo

对于代码寄生型病毒来说，如果对方程序自身有完整性校验，则对该程序进行感染将会导致目标程序运行异常。但是捆绑释放型的感染方式则可以有效避免出现此类情况。

参考答案:

正确

NTFS文件系统中，文件内容的存放位置是？

参考答案:

MFT或数据区

fs:[0]的指向为进程当前活动线程的SEH异常处理结构的链首位置，通过访问该链表的末端SEH结构的第二个字段，可以获得一个指向kernel32模块内部的地址。该方法在从XP到Win10等不同的操作系统中均具有良好通用性。

参考答案:

错误

硬盘中PE文件各节之间的空隙（00填充部分）大小，与以下哪个参数的大小息息相关？

参考答案:

FileAlignment

PEB模块为进程环境块，其位于操作系统内核空间，通过用户态程序无法访问。

参考答案:

错误

对于捆绑型病毒A来说，如果要感染目标B，一般来说采用A+B的方式，但在这种方式下被感染后的程序图标为A的图标。如果要做到目标被感染程序后的图标不发生变化，直接将将感染程序B放在前面，将捆绑病毒A放在后面（即B+A）即可，无需