MOOC 软件安全之恶意代码机理与防护-武汉大学 中国大学慕课答案

MOOC软件安全之恶意代码机理与防护-武汉大学中国大学慕课答案C1单元测试1、问题：在你看来，信息系统存在安全问题的本质原因是：选项：A、信息资产具有价值B、信息系统存在漏洞C、恶意代码快速增长D、信息系统开发未遵循安全开发流程（如SDL－IT）正确答案:【信息资产具有价值】2、问题：如果要理解Windows下恶意代码在感染程序过程可能涉及到的目标程序的图标修改机理，我们需要重点学习本课程的哪一部分内容？选项：A、第2周计算机引导与磁盘结构B、第3、4周PE文件格式与实践C、第6周WindowsPE病毒D、第9周网络木马正确答案:【第3、4周PE文件格式与实践】3、问题：Safety和Security都是安全的含义，但是他们却存在差异，以下事件中属于Security范畴的是？选项：A、桥梁倒塌导致主机损坏B、计算机病毒爆发导致电脑数据丢失C、雷击事件导致电脑烧毁D、洪水爆发导致手机浸泡无法开机正确答案:【计算机病毒爆发导致电脑数据丢失】4、问题：在本章第一个勒索邮件案例中，如果被勒索人的电脑摄像头拍摄信息被他人获取，这危害了信息的什么属性？选项：A、保密性B、可用性C、完整性D、不可否认性正确答案:【保密性】5、问题：在信息安全模型PDR中，D是指？选项：A、DefeatB、DefenceC、DetectionD、Description正确答案:【Detection】6、问题：以下关于恶意软件的说法，正确的是？选项：A、恶意软件是指设计目的是为了实现特定恶意功能的一类程序。B、恶意软件是指所有可能对系统带来危害的程序。C、在Windows下，恶意软件都是EXE可执行文件。D、恶意软件就是计算机病毒。正确答案:【恶意软件是指设计目的是为了实现特定恶意功能的一类程序。】7、问题：以下哪个恶意代码主要用于窃取伊朗工业控制系统数据？【推荐阅读：震网事件的九年再复盘与思考（作者：antiylab）】选项：A、StuxnetB、DuquC、FlameD、CIH正确答案:【Duqu】8、问题：在震网（StuxNet）蠕虫的攻击事件中，以下哪个漏洞用于进入与互联网隔离的内网之中？【推荐阅读：震网事件的九年再复盘与思考（作者：antiylab）】选项：A、MS10-061：打印机后台程序服务漏洞B、MS08-017：RPC远程执行漏洞C、MS10-046：快捷方式文件解析漏洞D、MS10-073：内核模式驱动程序漏洞正确答案:【MS10-046：快捷方式文件解析漏洞】9、问题：在以下防护工具或系统中，可有效用于隔离安全风险的是？选项：A、VMWareB、SandboxIEC、EMETD、HIPS正确答案:【VMWare#SandboxIE】10、问题：以下哪些属于电脑被感染恶意软件后可能导致的后果？选项：A、屏幕操作被录像B、键盘击键被记录C、电脑爆炸D、电脑资料被盗正确答案:【屏幕操作被录像#键盘击键被记录#电脑资料被盗】C2单元测试1、问题：在传统BIOS的MBR引导模式下，以下关于Windows操作系统引导过程的顺序，正确的是？选项：A、BIOS-NTLDR(BOOTMGR)-DBR-MBRB、BIOS-MBR-DBR-NTLDR(BOOTMGR)C、MBR-DBR-NTLDR(BOOTMGR)-BIOSD、MBR-BIOS-DBR-NTLDR(BOOTMGR)E、BIOS-MBR-NTLDR(BOOTMGR)-DBR正确答案:【BIOS-MBR-DBR-NTLDR(BOOTMGR)】2、问题：80X86处理器的常态工作处理模式是？选项：A、虚实模式、保护模以及虚拟86模式B、虚拟86模式C、实模式D、保护模式正确答案:【保护模式】3、问题：PAE内存分页模式下，在进行虚拟地址到物理地址转化计算中，一个32位虚拟地址（线性地址）可以划分为4个部分：页目录指针表项（PDPTE）、页目录表项（PDE）、页表项（PTE），以及页内偏移。32位虚拟地址0x00403016对应的PDE=________。选项：A、0B、1C、2D、3E、4正确答案:【2】4、问题：硬盘中线性逻辑寻址方式（LBA）的寻址单位是？选项：A、簇B、柱面C、磁道D、扇区E、磁头正确答案:【扇区】5、问题：在MBR分区格式下，一个分区大小不能超过______TB。选项：A、1B、2C、4D、8正确答案:【2】6、问题：NTFS文件系统下，如果一个文件较大，NTFS将开辟新空间存放File的具体数据，其通过文件记录（FileRecord）中的_________指明各部分数据的起始簇号和占用簇的个数？选项：A、FR头B、$DATAC、DataRunD、MFT记录号E、FAT表项中的簇链表正确答案:【DataRun】7、问题：NTFS文件系统中，文件内容的存放位置是？选项：A、MFT或数据区B、MFTC、数据区D、DBR正确答案:【MFT或数据区】8、问题：在FAT32分区下，当文件被放入回收站之后，该文件目录项中的以下哪部分数据将发生变化？选项：A、首簇高位B、文件名的第一个字节C、首簇低位D、文件大小正确答案:【文件名的第一个字节】9、问题：在FAT32分区下，当文件通过Shift＋Del的方式删除之后，以下哪个部分将发生变化？选项：A、目录项中的文件名首字节，首簇高位，文件对应的FAT表项，以及文件内容B、目录项中的文件名首字节，首簇高位，以及文件对应的FAT表项C、仅目录项中的文件名首字节和文件对应的FAT表项D、仅首簇高位和文件对应的FAT表项正确答案:【目录项中的文件名首字节，首簇高位，以及文件对应的FAT表项】10、问题：电脑被感染计算机病毒之后，通过更换硬盘可以彻底防止任何病毒再生。选项：A、正确B、错误正确答案:【错误】11、问题：hello25.exe程序从系统的user32.dll模块中引入了MessageBoxA函数以实现弹框功能。当hello25.exe程序被执行时，user32.dll被装载之后位于进程内存空间的内核区。选项：A、正确B、错误正确答案:【错误】12、问题：内存内核区的所有数据是所有进程共享的，用户态代码可以直接访问。选项：A、正确B、错误正确答案:【错误】13、问题：Windows环境下，默认情况下每个进程均可以直接访问其他进程的用户区内存空间。选项：A、正确B、错误正确答案:【错误】14、问题：并口硬盘的数据线比串口硬盘的数据线宽，显然其传输速度更快。选项：A、正确B、错误正确答案:【错误】15、问题：磁盘MBR扇区的分区表数据被破坏之后将无法恢复，因此要及时备份MBR扇区所有数据。选项：A、正确B、错误正确答案:【错误】16、问题：硬盘MBR主引导扇区最后两个字节必须以“55AA”作为结束选项：A、正确B、错误正确答案:【正确】17、问题：FAT32文件系统进行文件空间分配的最小单位是簇，一个簇通常包含多个扇区。选项：A、正确B、错误正确答案:【正确】18、问题：当文件被误删除之后，不应继续往该文件所在的分区继续写入数据，否则可能造成被删除的文件被覆盖导致无法恢复。选项：A、正确B、错误正确答案:【正确】19、问题：在FAT32文件系统中，文件分配表有两份，即FAT1和FAT2，当一个文件被我们误删除之后，我们还可以直接从FAT2中找到对应的簇链表对FAT1进行修复，从而快速恢复该文件。选项：A、正确B、错误正确答案:【错误】20、问题：通过格式化操作系统所在盘符，可以完全清除系统中的文件型病毒。选项：A、正确B、错误正确答案:【错误】21、填空题：以下是某硬盘的分区表信息（MBR分区格式），通过分析可知，该硬盘的第一个主分区应为______GB。（按1K=1000计算，小数点后保留一位，四舍五入，答案不含单位）正确答案:【53.7】22、填空题：下图是某U盘［FAT32文件系统］下某个文件的目录项，由引导扇区参数可知该分区每个簇包含16个扇区［512字节／扇区］，由此可计算出该文件共占用_______个簇的存储空间？［请填写阿拉伯数字，10进制］正确答案:【23】C3单元测试1、问题：硬盘中PE文件各节之间的空隙（00填充部分）大小，与以下哪个参数的大小息息相关？选项：A、SizeOfImageB、FileAlignmentC、SizeofHeadersD、SectionAlignmentE、SizeofImage正确答案:【FileAlignment】2、问题：PE文件以下哪个字段指向程序首条指令执行的位置？选项：A、SizeOfImageB、SectionAlignmentC、AddressOfEntryPointD、BaseofCodeE、ImageBase正确答案:【AddressOfEntryPoint】3、问题：本课程C3章节使用的test.exe示例程序在内存中的节对齐粒度是？选项：A、4000HB、500HC、200HD、1000HE、2000H正确答案:【1000H】4、问题：________节的主要作用是将DLL自身实现的函数信息进行标注，以便于其他程序可以动态调用本DLL文件中的函数。选项：A、引入函数节B、引出函数节C、数据节D、代码节E、资源节正确答案:【引出函数节】5、问题：现有一PE文件，通过分析其二进制文件，IMAGE_SECTION_HEADER结构的起始地址和结束地址分别为0x1D0和0x270，由此可知该文件的节数量为_________。选项：A、3B、4C、5D、6正确答案:【4】6、问题：引入目录表（ImportTable）的开始位置RVA和大小位于PE文件可选文件头DataDirecotry结构（共16项）中的第________项。选项：A、1B、2C、3D、13正确答案:【2】7、问题：DLL被引出函数的函数名字符串的RVA存储在引出函数节下的哪个字段指向的表中？选项：A、AddressOfFunctionsB、AddressOfNamesC、AddressOfNameOrdinalsD、Name正确答案:【AddressOfNames】8、问题：如果需要手工从目标PE文件中提取其图标数据并生成.ico文件的话，我们需要从以下哪类型资源中提取数据？选项：A、ICONB、BITMAPC、GROUPICOND、GROUPICON+ICON正确答案:【GROUPICON+ICON】9、问题：DLL文件可能加载到非预期的ImageBase地址，PE文件使用______解决该问题。选项：A、函数引入机制B、资源动态分配机制C、重定位机制D、函数引出机制E、资源节正确答案:【重定位机制】10、问题：DLL在编译时的初始文件名字符串的RVA存储在引出目录表下的哪个字段中？选项：A、AddressOfFunctionsB、AddressOfNamesC、AddressOfNameOrdinalsD、Name正确答案:【Name】11、问题：Window系统中，.DL.SY.SCR和.OCX文件都属于PE文件格式。选项：A、正确B、错误正确答案:【正确】12、问题：在PE文件格式中，PE文件头的Signature（即“PE\0\0”）位于MZDOS头及DosStub之后，32位程序的Signature开始于000000B0位置。选项：A、正确B、错误正确答案:【错误】13、问题：引出目录表的开始位置就是引出函数节的开始位置，因此找到引出函数节就可以定位到引出目录表。选项：A、正确B、错误正确答案:【错误】14、问题：一个具有图标和菜单的可执行文件通常都具有资源节。选项：A、正确B、错误正确答案:【正确】15、问题：PE文件的可选文件头是可选的，可以不要。选项：A、正确B、错误正确答案:【错误】16、问题：在进行函数引入时，必须在引入函数节部分注明目标函数名字，否则无法进行索引定位。选项：A、正确B、错误正确答案:【错误】17、问题：DLL文件的编译生成时间存储在其引出函数目录表的时间戳信息中，在针对恶意代码的取证分析过程中，该时间信息对于了解样本出现的开始日期具有一定参考意义。选项：A、正确B、错误正确答案:【正确】18、问题：每一个PE文件都必须有一个数据节和代码节，且这两个节不可以合并为一个节。选项：A、正确B、错误正确答案:【错误】19、问题：当一个PE可执行文件装载到内存之后，引入地址表（IAT表）指向的数据将被对应函数在内存中的VA地址所代替。选项：A、正确B、错误正确答案:【正确】20、问题：PE文件一旦被签名之后，该文件的任何地方被修改都将导致签名验证无法通过。选项：A、正确B、错误正确答案:【错误】21、填空题：下图为某程序的.rdata节（开始位置RVA：2000，文件偏移量：800H）在内存中的主要数据。通过分析可知，MessageBoxA函数的VA地址=0x________【填入8个16进制数字或大写字母，高位在前，低位在后，譬如76F8BBE2，00002050】正确答案:【7689EA11】22、填空题：下图为某程序的.rdata节（开始位置RVA：2000，文件偏移量：800H）在内存中的主要数据。通过分析可知，文件808H-80BH偏移处的值是0x________。【填入8个16进制数字或大写字母，高位在前，低位在后，譬如76F8BBE2，00002050】正确答案:【0000208C##%_YZPRLFH_%##8C200000】23、填空题：下图为某PE程序的部分16进制数据截图，内存中RVA地址0040B341H在该PE文件中的文件偏移地址为：______h。【8位16进制数据，高位在前，字母大写】正确答案:【00008541】24、填空题：请分析附件文件Zoomit.exe，通过分析可知：最大尺寸的ICON的RVA是__________。【8位16进制数据，高位在前，字母大写】正确答案:【0006CC90】25、填空题：请分析附件文件，通过分析可知：最大尺寸的ICON对应的文件Size是__________。【8位16进制数据，高位在前，字母大写】正确答案:【00000EA8】26、填空题：请分析附件文件，该文件中包含一个名为BINRES的资源，请将该文件提取之后保存为rczoomit64.exe，分析该文件可知，其ImageBase为________【按实际位数填写所有16进制数据，高位在前，字母大写】正确答案:【0000000140000000】C6单元测试1、问题：如下图所示，在命令行输入命令“ddds:[fs:[30]+0c]”之后，在数据窗口开始“7763DCA0”地址的含义是？（实验系统环境为Win10，test.exe程序为32位）选项：A、PEB结构开始位置B、LDR_MODULE结构开始位置C、PEB_LDR_DATA结构开始位置D、TEB结构开始位置正确答案:【PEB_LDR_DATA结构开始位置】2、问题：以下代码对@pushsz进行了宏定义，对于该宏的正确描述的是？@pushszMACROstrLOCALnextcallnextdbstr,0next:ENDM选项：A、该宏仅用于定义一个字符串。B、该宏用于定义一个字符串，并将字符串首地址压入堆栈顶端。C、该宏多次使用时会出错，因为相同的标号不能出现两次及以上。D、这是一段混淆代码，主要用于干扰反汇编工具。正确答案:【该宏用于定义一个字符串，并将字符串首地址压入堆栈顶端。】3、问题：PE病毒在进行目标文件搜索时，通常会以目标文件后缀为条件来遍历计算机硬盘，以下哪类后缀程序不应该是PE文件的感染目标？选项：A、EXEB、SCRC、DLLD、COM正确答案:【COM】4、问题：为了提高对感染速度，PE病毒通常将目标程序读入到内存中之后进行感染操作，以下哪个函数执行之后将返回目标程序在内存中的开始地址。选项：A、CreateFileB、CreateFileMappingC、MapViewOfFileD、UnmapViewFile正确答案:【MapViewOfFile】5、问题：当传统感染型PE病毒在目标程序中添加病毒感染代码之后，通常其采用修改PE文件________字段的方式来使得病毒代码能够最先获得控制权。选项：A、ImageBaseB、EIPC、AddressOfEntryPointD、START正确答案:【AddressOfEntryPoint】6、问题：在目标PE程序图标替换过程中，可以使用BeginUpdateResource(),UpdateResource(),EndUpdateResource()等API函数，实现用自定义的ico文件类替换exe程序原来的图标的功能。UpdateResource()函数的第三个参数是指？选项：A、将被更新的资源的名称字符串B、目标ICO文件句柄C、将被替换的目标资源类型D、将被更新资源的语言标识正确答案:【将被更新的资源的名称字符串】7、问题：PE病毒可以将恶意负载以资源的方式存储在自身文件中，并在适当时候进行资源释放和执行。在操作过程中，以下哪个函数将不需要被用到？选项：A、FindResourceB、LoadResourceC、SizeOfResourceD、UpdateResource正确答案:【UpdateResource】8、问题：课程C6.8所提供的PEB-pass-123.rar中的PEB.exe程序在Win10下运行之后，获得的是以下哪个模块的地址?选项：A、kernel32.dllB、ntdll.dllC、kernelbase.dllD、PEB.exe正确答案:【kernelbase.dll】9、问题：熊猫烧香病毒采用了“Virus+Host”的感染方式，其缺陷是被感染程序的图标会发生变化。如需让目标程序图标同步为HOST程序图标，则需要对目标程序的以下哪个区域进行修改？选项：A、图标节B、代码节C、资源节D、数据节正确答案:【资源节】10、问题：传统文件感染型病毒在进行API函数自搜索时，主要是基于kernel32模块的何种机制进行的？选项：A、函数引入机制B、资源定位机制C、重定位机制D、函数引出机制正确答案:【函数引出机制】11、问题：传统感染型PE病毒因为在代码寄生过程中的目标HOST程序多样，无法事先确定自身病毒代码即将寄生的位置，但二进制代码中存在部分固化的VA地址，因此需要给目标PE程序新增一个重定位节，以确保病毒代码中的VA地址能够得到动态修正。选项：A、正确B、错误正确答案:【错误】12、问题：由于文件感染型病毒需要在目标程序新增代码甚至新增节，其在感染过程中必将增加目标程序大小。为了有效隐藏自己，病毒代码通常都应尽力做到精简以缩小自身体积。选项：A、正确B、错误正确答案:【错误】13、问题：对于计算机病毒来说，如果其感染目标程序都位于当前操作系统之内，感染目标也只在本机运行，则其需要使用的相关API函数的地址在当前系统是确定的，因此可以采用硬编码的方式将API函数的地址固化在病毒代码中，直接调用即可。选项：A、正确B、错误正确答案:【错误】14、问题：对于代码寄生型病毒来说，如果对方程序自身有完整性校验，则对该程序进行感染将会导致目标程序运行异常。但是捆绑释放型的感染方式则可以有效避免出现此类情况。选项：A、正确B、错误正确答案:【正确】15、问题：对于捆绑型病毒A来说，如果要感染目标B，一般来说采用A+B的方式，但在这种方式下被感染后的程序图标为A的图标。如果要做到目标被感染程序后的图标不发生变化，直接将将感染程序B放在前面，将捆绑病毒A放在后面（即B+A）即可，无需再做其他变换。选项：A、正确B、错误正确答案:【错误】16、问题：PEB模块为进程环境块，其位于操作系统内核空间，通过用户态程序无法访问。选项：A、正确B、错误正确答案:【错误】17、问题：fs:[0]的指向为进程当前活动线程的SEH异常处理结构的链首位置，通过访问该链表的末端SEH结构的第二个字段，可以获得一个指向kernel32模块内部的地址。该方法在从XP到Win10等不同的操作系统中均具有良好通用性。选项：A、正确B、错误正确答案:【错误】18、问题：对于较强破坏能力的计算机病毒来说，病毒破坏模块的触发条件决定了该病毒的潜伏期的长短，潜伏期越长，感染的目标群体越大，最终形成的整体破坏力就越大。选项：A、正确B、错误正确答案:【错误】19、问题：call指令与jmp指令的功能类似，都将跳转到目标位置继续执行。但call指令执行时，还会将该call指令之后的地址压入堆栈顶端。而这一特性可有效应用于病毒代码的重定位。选项：A、正确B、错误正确答案:【正确】20、问题：无论是在32位还是64位系统，病毒代码在获得当前kernel32模块中的任一VA地址之后，只要通过地址逐一递减并验证指向位置是否为PE文件头部特征，必然可以顺利找到kernel32模块的基地址。选项：A、正确B、错误正确答案:【错误】21、填空题：下图为课程提供的SEH.exe程序的相关反汇编代码，以下______地址处的指令执行之后，______寄存器中存放的是SEH链中最后一个EXCEPITON_REGISTARTION结构的Handler。（填入8位地址与寄存器名，以空格隔开）正确答案:【00401010eax##%_YZPRLFH_%##00401010EAX】22、填空题：以下为课程例子中的感染例子源代码的部分片段，按照程序预期设计，以下_____行语句执行之后，______寄存器中存放的是指向kernel32模块内部的地址。【填入两位阿拉伯数字行号与寄存器名称，以空格隔开】正确答案:【54eax##%_YZPRLFH_%##54EAX】23、填空题：课程提供的病毒感染例子在使用masm32默认编译选项完成编译之后，该程序XP下实际运行时也会提示错误，该错误的原因是因为某节的默认属性为只读，但该程序需要在该节进行写操作。而要进行修复，除了手工或者PE工具修改该节属性之外，还可以在link时增加一个修改节属性的选项来修改指定其属性为可读可写可执行(rwe)，即/section:_(1)_,_(2)_。（填入节名与属性，以空格隔开）正确答案:【.textrwe##%_YZPRLFH_%##.textRWE】24、填空题：课程提供的病毒感染例子程序在感染目标程序之后，为了避免对同一个程序反复感染，将在被感染程序中写入一个感染标志，该感染标志是___（1）___，对于课程配套给出的test.exe文件来说，感染标志的FOA开始位置是___（2）____？（空1填写英文字母，高位在前低位在后；空2填写大写的8位16进制数，以空格隔开）正确答案:【dark000000B8##%_YZPRLFH_%##DARK000000B8】C7单元测试1、问题：Office文档启用宏后，在Office文档打开窗口通过快捷键______可以进入VisualBasic编辑器窗口。选项：A、Alt+F9B、Alt+F10C、Alt+F11D、Alt+F12正确答案:【Alt+F11】2、问题：如果要阻止用户通过Word点击“宏”或“查看宏”按钮查看宏代码，可以定义以下哪个宏来拦截该操作。选项：A、Macro_View()B、ViewVBCode()C、ToolsMacroD、MacroView()正确答案:【ToolsMacro】3、问题：以下哪个宏在定义在文档（非模板）中将被对应操作自动触发。选项：A、AutoCloseB、AutoExitC、AutoNewD、AutoExec正确答案:【AutoClose】4、问题：当vbs文件执行死循环时，应打开任务管理器结束以下哪个进程？选项：A、explorer.exeB、wscript.exeC、cscript.exeD、taskmgr.exe正确答案:【wscript.exe】5、问题：当文档工程被加密后，通过以下哪个工具可以解除其加密口令?选项：A、scrdecB、VisualStudioC、OLEDumpD、VBAPasswordBypasser正确答案:【VBAPasswordBypasser】6、问题：以下哪个宏在Offcie程序打开时自动触发？选项：A、AutoOpenB、Document_OpenC、AutoExecD、OfficeOpen正确答案:【AutoExec】7、问题：Options.SaveNormalPrompt=False此举代码的作用是？选项：A、关闭文档的自动保存功能B、使Office的文档保存按钮失效C、当用户选择保存文档时，直接保存，不要提示用户D、如果公用模板被修改，不要弹框提示用户正确答案:【如果公用模板被修改，不要弹框提示用户】8、问题：Office宏的编写语言是？选项：A、VBAB、VBSC、JSD、Powershell正确答案:【VBA】9、问题：在VBS恶意脚本程序中，___________是一个经常被使用的浏览器对象，可用于模拟http的GET和POST请求，其经常与ADODB.STREAM对象一起使用，以从远程下载数据并将其释放为本地文件。选项：A、XMLB、HTTPC、XMLHTTPD、Request正确答案:【XMLHTTP】10、问题：下面语句用于创建一个_______对象？SetfNxGxXlsxADAGD=createobject(Chr(83)Chr(104)Chr(101)Chr(108)Chr(108)Chr(46)Chr(65)Chr(112)Chr(112)Chr(108)Chr(105)Chr(99)Chr(97)Chr(116)Chr(105)Chr(111)Chr(110))选项：A、Shell.ApplicationB、XML.HttpRequestC、Adodb.StreamD、Wscript.WSHRemote正确答案:【Shell.Application】11、问题：使用oledump工具可以在不运行宏的情况下查看宏代码，以此降低分析风险。选项：A、正确B、错误正确答案:【正确】12、问题：宏病毒一种非常古老的恶意代码威胁，当前已经不可能存在这类威胁。选项：A、正确B、错误正确答案:【错误】13、问题：除了宏病毒威胁之外，打开数据文档是不可能存在其他安全隐患的。选项：A、正确B、错误正确答案:【错误】14、问题：文件自身不带宏代码的文档也有可能触发执行