【MOOC】软件安全之恶意代码机理与防护-武汉大学 中国大学慕课MOOC答案

【MOOC】软件安全之恶意代码机理与防护-武汉大学中国大学慕课MOOC答案C1单元测试1、【单选题】在你看来，信息系统存在安全问题的本质原因是：本题答案：【信息资产具有价值】2、【单选题】如果要理解Windows下恶意代码在感染程序过程可能涉及到的目标程序的图标修改机理，我们需要重点学习本课程的哪一部分内容？本题答案：【第3、4周PE文件格式与实践】3、【单选题】Safety和Security都是安全的含义，但是他们却存在差异，以下事件中属于Security范畴的是？本题答案：【计算机病毒爆发导致电脑数据丢失】4、【单选题】在本章第一个勒索邮件案例中，如果被勒索人的电脑摄像头拍摄信息被他人获取，这危害了信息的什么属性？本题答案：【保密性】5、【单选题】在信息安全模型PDR中，D是指？本题答案：【Detection】6、【单选题】以下关于恶意软件的说法，正确的是？本题答案：【恶意软件是指设计目的是为了实现特定恶意功能的一类程序。】7、【单选题】以下哪个恶意代码主要用于窃取伊朗工业控制系统数据？【推荐阅读：震网事件的九年再复盘与思考（作者：antiylab）】本题答案：【Duqu】8、【单选题】在震网（StuxNet）蠕虫的攻击事件中，以下哪个漏洞用于进入与互联网隔离的内网之中？【推荐阅读：震网事件的九年再复盘与思考（作者：antiylab）】本题答案：【MS10-046：快捷方式文件解析漏洞】9、【多选题】在以下防护工具或系统中，可有效用于隔离安全风险的是？本题答案：【VMWare#SandboxIE】10、【多选题】以下哪些属于电脑被感染恶意软件后可能导致的后果？本题答案：【屏幕操作被录像#键盘击键被记录#电脑资料被盗】C2单元测试1、【单选题】在传统BIOS的MBR引导模式下，以下关于Windows操作系统引导过程的顺序，正确的是？本题答案：【BIOS-MBR-DBR-NTLDR(BOOTMGR)】2、【单选题】80X86处理器的常态工作处理模式是？本题答案：【保护模式】3、【单选题】PAE内存分页模式下，在进行虚拟地址到物理地址转化计算中，一个32位虚拟地址（线性地址）可以划分为4个部分：页目录指针表项（PDPTE）、页目录表项（PDE）、页表项（PTE），以及页内偏移。32位虚拟地址0x00403016对应的PDE=________。本题答案：【2】4、【单选题】硬盘中线性逻辑寻址方式（LBA）的寻址单位是？本题答案：【扇区】5、【单选题】在MBR分区格式下，一个分区大小不能超过______TB。本题答案：【2】6、【单选题】NTFS文件系统下，如果一个文件较大，NTFS将开辟新空间存放File的具体数据，其通过文件记录（FileRecord）中的_________指明各部分数据的起始簇号和占用簇的个数？本题答案：【DataRun】7、【单选题】NTFS文件系统中，文件内容的存放位置是？本题答案：【MFT或数据区】8、【单选题】在FAT32分区下，当文件被放入回收站之后，该文件目录项中的以下哪部分数据将发生变化？本题答案：【文件名的第一个字节】9、【单选题】在FAT32分区下，当文件通过Shift＋Del的方式删除之后，以下哪个部分将发生变化？本题答案：【目录项中的文件名首字节，首簇高位，以及文件对应的FAT表项】10、【判断题】电脑被感染计算机病毒之后，通过更换硬盘可以彻底防止任何病毒再生。本题答案：【错误】11、【判断题】hello25.exe程序从系统的user32.dll模块中引入了MessageBoxA函数以实现弹框功能。当hello25.exe程序被执行时，user32.dll被装载之后位于进程内存空间的内核区。本题答案：【错误】12、【判断题】内存内核区的所有数据是所有进程共享的，用户态代码可以直接访问。本题答案：【错误】13、【判断题】Windows环境下，默认情况下每个进程均可以直接访问其他进程的用户区内存空间。本题答案：【错误】14、【判断题】并口硬盘的数据线比串口硬盘的数据线宽，显然其传输速度更快。本题答案：【错误】15、【判断题】磁盘MBR扇区的分区表数据被破坏之后将无法恢复，因此要及时备份MBR扇区所有数据。本题答案：【错误】16、【判断题】硬盘MBR主引导扇区最后两个字节必须以“55AA”作为结束本题答案：【正确】17、【判断题】FAT32文件系统进行文件空间分配的最小单位是簇，一个簇通常包含多个扇区。本题答案：【正确】18、【判断题】当文件被误删除之后，不应继续往该文件所在的分区继续写入数据，否则可能造成被删除的文件被覆盖导致无法恢复。本题答案：【正确】19、【判断题】在FAT32文件系统中，文件分配表有两份，即FAT1和FAT2，当一个文件被我们误删除之后，我们还可以直接从FAT2中找到对应的簇链表对FAT1进行修复，从而快速恢复该文件。本题答案：【错误】20、【判断题】通过格式化操作系统所在盘符，可以完全清除系统中的文件型病毒。本题答案：【错误】21、【填空题】以下是某硬盘的分区表信息（MBR分区格式），通过分析可知，该硬盘的第一个主分区应为______GB。（按1K=1000计算，小数点后保留一位，四舍五入，答案不含单位）本题答案：【53.7】22、【填空题】下图是某U盘［FAT32文件系统］下某个文件的目录项，由引导扇区参数可知该分区每个簇包含16个扇区［512字节／扇区］，由此可计算出该文件共占用_______个簇的存储空间？［请填写阿拉伯数字，10进制］本题答案：【23】C3单元测试1、【单选题】硬盘中PE文件各节之间的空隙（00填充部分）大小，与以下哪个参数的大小息息相关？本题答案：【FileAlignment】2、【单选题】PE文件以下哪个字段指向程序首条指令执行的位置？本题答案：【AddressOfEntryPoint】3、【单选题】本课程C3章节使用的test.exe示例程序在内存中的节对齐粒度是？本题答案：【1000H】4、【单选题】________节的主要作用是将DLL自身实现的函数信息进行标注，以便于其他程序可以动态调用本DLL文件中的函数。本题答案：【引出函数节】5、【单选题】现有一PE文件，通过分析其二进制文件，IMAGE_SECTION_HEADER结构的起始地址和结束地址分别为0x1D0和0x270，由此可知该文件的节数量为_________。本题答案：【4】6、【单选题】引入目录表（ImportTable）的开始位置RVA和大小位于PE文件可选文件头DataDirecotry结构（共16项）中的第________项。本题答案：【2】7、【单选题】DLL被引出函数的函数名字符串的RVA存储在引出函数节下的哪个字段指向的表中？本题答案：【AddressOfNames】8、【单选题】如果需要手工从目标PE文件中提取其图标数据并生成.ico文件的话，我们需要从以下哪类型资源中提取数据？本题答案：【GROUPICON+ICON】9、【单选题】DLL文件可能加载到非预期的ImageBase地址，PE文件使用______解决该问题。本题答案：【重定位机制】10、【单选题】DLL在编译时的初始文件名字符串的RVA存储在引出目录表下的哪个字段中？本题答案：【Name】11、【判断题】Window系统中，.DL.SY.SCR和.OCX文件都属于PE文件格式。本题答案：【正确】12、【判断题】在PE文件格式中，PE文件头的Signature（即“PE\0\0”）位于MZDOS头及DosStub之后，32位程序的Signature开始于000000B0位置。本题答案：【错误】13、【判断题】引出目录表的开始位置就是引出函数节的开始位置，因此找到引出函数节就可以定位到引出目录表。本题答案：【错误】14、【判断题】一个具有图标和菜单的可执行文件通常都具有资源节。本题答案：【正确】15、【判断题】PE文件的可选文件头是可选的，可以不要。本题答案：【错误】16、【判断题】在进行函数引入时，必须在引入函数节部分注明目标函数名字，否则无法进行索引定位。本题答案：【错误】17、【判断题】DLL文件的编译生成时间存储在其引出函数目录表的时间戳信息中，在针对恶意代码的取证分析过程中，该时间信息对于了解样本出现的开始日期具有一定参考意义。本题答案：【正确】18、【判断题】每一个PE文件都必须有一个数据节和代码节，且这两个节不可以合并为一个节。本题答案：【错误】19、【判断题】当一个PE可执行文件装载到内存之后，引入地址表（IAT表）指向的数据将被对应函数在内存中的VA地址所代替。本题答案：【正确】20、【判断题】PE文件一旦被签名之后，该文件的任何地方被修改都将导致签名验证无法通过。本题答案：【错误】21、【填空题】下图为某程序的.rdata节（开始位置RVA：2000，文件偏移量：800H）在内存中的主要数据。通过分析可知，MessageBoxA函数的VA地址=0x________【填入8个16进制数字或大写字母，高位在前，低位在后，譬如76F8BBE2，00002050】本题答案：【7689EA11】22、【填空题】下图为某程序的.rdata节（开始位置RVA：2000，文件偏移量：800H）在内存中的主要数据。通过分析可知，文件808H-80BH偏移处的值是0x________。【填入8个16进制数字或大写字母，高位在前，低位在后，譬如76F8BBE2，00002050】本题答案：【0000208C##%_YZPRLFH_%##8C200000】23、【填空题】下图为某PE程序的部分16进制数据截图，内存中RVA地址0040B341H在该PE文件中的文件偏移地址为：______h。【8位16进制数据，高位在前，字母大写】本题答案：【00008541】24、【填空题】请分析附件文件Zoomit.exe，通过分析可知：最大尺寸的ICON的RVA是__________。【8位16进制数据，高位在前，字母大写】本题答案：【0006CC90】25、【填空题】请分析附件文件，通过分析可知：最大尺寸的ICON对应的文件Size是__________。【8位16进制数据，高位在前，字母大写】本题答案：【00000EA8】26、【填空题】请分析附件文件，该文件中包含一个名为BINRES的资源，请将该文件提取之后保存为rczoomit64.exe，分析该文件可知，其ImageBase为________【按实际位数填写所有16进制数据，高位在前，字母大写】本题答案：【0000000140000000】C6单元测试1、【单选题】如下图所示，在命令行输入命令“ddds:[fs:[30]+0c]”之后，在数据窗口开始“7763DCA0”地址的含义是？（实验系统环境为Win10，test.exe程序为32位）本题答案：【PEB_LDR_DATA结构开始位置】2、【单选题】以下代码对@pushsz进行了宏定义，对于该宏的正确描述的是？@pushszMACROstrLOCALnextcallnextdbstr,0next:ENDM本题答案：【该宏用于定义一个字符串，并将字符串首地址压入堆栈顶端。】3、【单选题】PE病毒在进行目标文件搜索时，通常会以目标文件后缀为条件来遍历计算机硬盘，以下哪类后缀程序不应该是PE文件的感染目标？本题答案：【COM】4、【单选题】为了提高对感染速度，PE病毒通常将目标程序读入到内存中之后进行感染操作，以下哪个函数执行之后将返回目标程序在内存中的开始地址。本题答案：【MapViewOfFile】5、【单选题】当传统感染型PE病毒在目标程序中添加病毒感染代码之后，通常其采用修改PE文件________字段的方式来使得病毒代码能够最先获得控制权。本题答案：【AddressOfEntryPoint】6、【单选题】在目标PE程序图标替换过程中，可以使用BeginUpdateResource(),UpdateResource(),EndUpdateResource()等API函数，实现用自定义的ico文件类替换exe程序原来的图标的功能。UpdateResource()函数的第三个参数是指？本题答案：【将被更新的资源的名称字符串】7、【单选题】PE病毒可以将恶意负载以资源的方式存储在自身文件中，并在适当时候进行资源释放和执行。在操作过程中，以下哪个函数将不需要被用到？本题答案：【UpdateResource】8、【单选题】课程C6.8所提供的PEB-pass-123.rar中的PEB.exe程序在Win10下运行之后，获得的是以下哪个模块的地址?本题答案：【kernelbase.dll】9、【单选题】熊猫烧香病毒采用了“Virus+Host”的感染方式，其缺陷是被感染程序的图标会发生变化。如需让目标程序图标同步为HOST程序图标，则需要对目标程序的以下哪个区域进行修改？本题答案：【资源节】10、【单选题】传统文件感染型病毒在进行API函数自搜索时，主要是基于kernel32模块的何种机制进行的？本题答案：【函数引出机制】11、【判断题】传统感染型PE病毒因为在代码寄生过程中的目标HOST程序多样，无法事先确定自身病毒代码即将寄生的位置，但二进制代码中存在部分固化的VA地址，因此需要给目标PE程序新增一个重定位节，以确保病毒代码中的VA地址能够得到动态修正。本题答案：【错误】12、【判断题】由于文件感染型病毒需要在目标程序新增代码甚至新增节，其在感染过程中必将增加目标程序大小。为了有效隐藏自己，病毒代码通常都应尽力做到精简以缩小自身体积。本题答案：【错误】13、【判断题】对于计算机病毒来说，如果其感染目标程序都位于当前操作系统之内，感染目标也只在本机运行，则其需要使用的相关API函数的地址在当前系统是确定的，因此可以采用硬编码的方式将API函数的地址固化在病毒代码中，直接调用即可。本题答案：【错误】14、【判断题】对于代码寄生型病毒来说，如果对方程序自身有完整性校验，则对该程序进行感染将会导致目标程序运行异常。但是捆绑释放型的感染方式则可以有效避免出现此类情况。本题答案：【正确】15、【判断题】对于捆绑型病毒A来说，如果要感染目标B，一般来说采用A+B的方式，但在这种方式下被感染后的程序图标为A的图标。如果要做到目标被感染程序后的图标不发生变化，直接将将感染程序B放在前面，将捆绑病毒A放在后面（即B+A）即可，无需再做其他变换。本题答案：【错误】16、【判断题】PEB模块为进程环境块，其位于操作系统内核空间，通过用户态程序无法访问。本题答案：【错误】17、【判断题】fs:[0]的指向为进程当前活动线程的SEH异常处理结构的链首位置，通过访问该链表的末端SEH结构的第二个字段，可以获得一个指向kernel32模块内部的地址。该方法在从XP到Win10等不同的操作系统中均具有良好通用性。本题答案：【错误】18、【判断题】对于较强破坏能力的计算机病毒来说，病毒破坏模块的触发条件决定了该病毒的潜伏期的长短，潜伏期越长，感染的目标群体越大，最终形成的整体破坏力就越大。本题答案：【错误】19、【判断题】call指令与jmp指令的功能类似，都将跳转到目标位置继续执行。但call指令执行时，还会将该call指令之后的地址压入堆栈顶端。而这一特性可有效应用于病毒代码的重定位。本题答案：【正确】20、【判断题】无论是在32位还是64位系统，病毒代码在获得当前kernel32模块中的任一VA地址之后，只要通过地址逐一递减并验证指向位置是否为PE文件头部特征，必然可以顺利找到kernel32模块的基地址。本题答案：【错误】21、【填空题】下图为课程提供的SEH.exe程序的相关反汇编代码，以下______地址处的指令执行之后，______寄存器中存放的是SEH链中最后一个EXCEPITON_REGISTARTION结构的Handler。（填入8位地址与寄存器名，以空格隔开）本题答案：【00401010eax##%_YZPRLFH_%##00401010EAX】22、【填空题】以下为课程例子中的感染例子源代码的部分片段，按照程序预期设计，以下_____行语句执行之后，______寄存器中存放的是指向kernel32模块内部的地址。【填入两位阿拉伯数字行号与寄存器名称，以空格隔开】本题答案：【54eax##%_YZPRLFH_%##54EAX】23、【填空题】课程提供的病毒感染例子在使用masm32默认编译选项完成编译之后，该程序XP下实际运行时也会提示错误，该错误的原因是因为某节的默认属性为只读，但该程序需要在该节进行写操作。而要进行修复，除了手工或者PE工具修改该节属性之外，还可以在link时增加一个修改节属性的选项来修改指定其属性为可读可写可执行(rwe)，即/section:_(1)_,_(2)_。（填入节名与属性，以空格隔开）本题答案：【.textrwe##%_YZPRLFH_%##.textRWE】24、【填空题】课程提供的病毒感染例子程序在感染目标程序之后，为了避免对同一个程序反复感染，将在被感染程序中写入一个感染标志，该感染标志是___（1）___，对于课程配套给出的test.exe文件来说，感染标志的FOA开始位置是___（2）____？（空1填写英文字母，高位在前低位在后；空2填写大写的8位16进制数，以空格隔开）本题答案：【dark000000B8##%_YZPRLFH_%##DARK000000B8】C7单元测试1、【单选题】Office文档启用宏后，在Office文档打开窗口通过快捷键______可以进入VisualBasic编辑器窗口。本题答案：【Alt+F11】2、【单选题】如果要阻止用户通过Word点击“宏”或“查看宏”按钮查看宏代码，可以定义以下哪个宏来拦截该操作。本题答案：【ToolsMacro】3、【单选题】以下哪个宏在定义在文档（非模板）中将被对应操作自动触发。本题答案：【AutoClose】4、【单选题】当vbs文件执行死循环时，应打开任务管理器结束以下哪个进程？本题答案：【wscript.exe】5、【单选题】当文档工程被加密后，通过以下哪个工具可以解除其加密口令?本题答案：【VBAPasswordBypasser】6、【单选题】以下哪个宏在Offcie程序打开时自动触发？本题答案：【AutoExec】7、【单选题】Options.SaveNormalPrompt=False此举代码的作用是？本题答案：【如果公用模板被修改，不要弹框提示用户】8、【单选题】Office宏的编写语言是？本题答案：【VBA】9、【单选题】在VBS恶意脚本程序中，___________是一个经常被使用的浏览器对象，可用于模拟http的GET和POST请求，其经常与ADODB.STREAM对象一起使用，以从远程下载数据并将其释放为本地文件。本题答案：【XMLHTTP】10、【单选题】下面语句用于创建一个_______对象？SetfNxGxXlsxADAGD=createobject(Chr(83)Chr(104)Chr(101)Chr(108)Chr(108)Chr(46)Chr(65)Chr(112)Chr(112)Chr(108)Chr(105)Chr(99)Chr(97)Chr(116)Chr(105)Chr(111)Chr(110))本题答案：【Shell.Application】11、【判断题】使用oledump工具可以在不运行宏的情况下查看宏代码，以此降低分析风险。本题答案：【正确】12、【判断题】宏病毒一种非常古老的恶意代码威胁，当前已经不可能存在这类威胁。本题答案：【错误】13、【判断题】除了宏病毒威胁之外，打开数据文档是不可能存在其他安全隐患的。本题答案：【错误】14、【判断题】文件自身不带宏代码的文档也有可能触发执行宏。本题答案：【正确】15、【判断题】在编写完宏之后，我们可以在VBA编辑器下文档的工程属性-保护栏中设置访问密码，同时应选择“查看时锁定工程”，这样他人便无法再查看宏代码，可充分保障宏的安全。本题答案：【错误】16、【判断题】无文件攻击一定不会在文件系统留下任何文件。本题答案：【错误】17、【判断题】PowershellISE是微软官方提供的一款powershll脚本调试器，系统本身并不默认提供，但是可从微软网站下载安装