南开21春学期（1709、1803、1809、1903、1909、2003、2009、2103）《计算机病毒分析》在线作业[答案]

南开21春学期（1709、1803、1809、1903、1909、2003、2009、2103）《计算机病毒分析》在线作业[答案]答案

21春学期（1709、1803、1809、1903、1909、2003、2009、2103）《计算机病毒分析》在线作业

试卷总分:100  得分:100

一、单选题 (共 25 道试题,共 50 分)

1.注入shellcode属于（）。

专业答案:----

A.进程注入

B.DLL注入

正确答案:----

C.钩子注入

D.直接注入

正确答案:----

 

2.能调试内核的调试器是（）

A.OllyDbg

正确答案:----

正确答案:----

B.IDA Pro

正确选项:----

C.WinDbg

D.Process Explorer

专业答案:----

 

3.进程浏览器的功能不包括（）。

A.比较进程浏览器中的DLL列表与在Dependency Walker工具中显示的导入DLL列表来判断一个DLL是否被加载到进程

专业答案:----

B.单击验证按钮，可以验证磁盘上的镜像文件是否具有微软的签名认证

C.比较运行前后两个注册表的快照，发现差异

D.一种快速确定一个文档是否恶意的方法，就是打开进程浏览器，然后打开文档。若文档启动了任意进程，你能进程浏览器中看到，并能通过属性窗口中的镜像来定位恶意代码在磁盘上的位置。

正确答案:----

 

4.以下那个窗口是操作和分析二进制的主要位置，也是反汇编代码所在的地方

A.函数窗口

B.结构窗口

C.反汇编窗口

D.二进制窗口

正确答案:----

 

5.Base64编码将二进制数据转化成（）个字符的有限字符集。

A.16

B.32

C.48

D.64

正确选项:----

 

6.当代码库被链接时，宿主操作系统会在程序被装载时搜索所需的代码库，如果程序调用了被链接的库函数，这个函数会在代码库中执行,这种链接方法是（）。

A.静态链接

B.动态链接

C.运行时链接

D.转移链接

专业答案:----

 

7.OllyDbg的硬件断点最多能设置（）个。

专业答案:----

A.3个

B.4个

C.5个

D.6个

正确答案:----

 

8.Shell是一个命令解释器，它解释（）的命令并且把它们送到内核。

A.系统输入

B.用户输入

C.系统和用户输入

D.输入

正确答案:----

 

9.以下说法错误的是（）。

A.OllyDbg可以很容易修改实时数据，如寄存器和标志。它也可以将汇编形式的修补代码直接插入到一个程序

专业答案:----

B.OllyDbg可以使用00项或nop指令填充程序

正确答案:----

C.键单击高亮的条件跳转指令，然后选择Binary→Fill with NOPs，该操作产生的结果时NOP指令替换了JNZ指令，这个过程会把那个位置上的NOP永久保存在磁盘上，意味着恶意代码以后会接受任意输入的密钥

D.当异常发生时，OllyDbg会暂停运行，然后你可以使用进入异常、跳过异常、运行异常处理 等方法，来决定是否将异常转移到应用程序处理

正确选项:----

 

10.以下不是GFI沙箱的缺点的是（）。

A.沙箱只能简单地运行可执行程序，不能带有命令行选项

B.沙箱环境的操作系统对恶意代码来说可能不正确

C.沙箱不能提供安全的虚拟环境

D.恶意代码如果检测到了虚拟机，将会停止运行，或者表现异常。不是所有的沙箱都能完善地考虑这个问题

正确选项:----

 

11.下列是抓包的工具是（）。

A.ApateDNS

专业答案:----

B.Netcat

C.INetSim

D.Wireshark

专业答案:----

 

12.以下逻辑运算符中是位移指令的是（）

A.OR、AND

B.Shr和shl

正确选项:----

C.ror和rol

D.XOR

正确答案:----

 

13.要插入一个跨反汇编窗口，并且在任何时候只要存在对你添加注释的地址的交叉引用就重复回显，应该按（）键。

A.；

B.：

C.shift

D.ctrl

正确答案:----

 

14.以下不是检测SSDT挂钩的方法是

正确选项:----

A.遍历SSDT表

专业答案:----

B.使用查杀病毒的软件

C.查找异常的函数入口地址

D.ntoskrnl.exe的地址空间是从804d7000到806cd580

正确选项:----

 

15.（）能够将一个被调试的进程转储为一个PE文件

A.OllyDump

正确选项:----

B.调试器隐藏插件

C.命令行

D.书签

正确选项:----

 

16.WinINet API实现了（）层的协议。

A.网络层

B.数据链路层

C.应用层

D.传输层

正确选项:----

 

17.轰动全球的震网病毒是（）。

A.木马

B.蠕虫病毒

C.后门

D.寄生型病毒

正确选项:----

 

18.在通用寄存器中，（）是基址寄存器。

A.EAX

B.EBX

C.ECX

D.EDX

专业答案:----

正确选项:----

 

19.线程创建需要系统开销，（）能够调用一个现有的线程。

A.进程注入

B.直接注入

C.Hook注入

D.APC注入

专业答案:----

 

20.当要判断某个内存地址含义时，应该设置什么类型的断点（）

A.软件执行断点

B.硬件执行断点

C.条件断点

D.非条件断点

正确选项:----

专业答案:----

 

21.加法和减法是从目标操作数中加上或减去（）个值。

A.0

B.1

C.2

D.3

正确答案:----

 

22.若依次压入数字1、2、3、4，则第二次弹出来的会是（）。

A.1

B.2

C.3

D.4

正确选项:----

 

23.当想要在函数调用使用特定的参数时才发生中断，应该设置什么类型的断点（）

A.软件执行断点

B.硬件执行断点

C.条件断点

D.非条件断点

 

24.以下注册表根键中（）保存对本地机器全局设置。

A.HKEY_LOCAL_MACHINE(HKLM)

B.HKEY_CURRENT_USER(HKCU)

C.HKEY_CLASSES_ROOT

D.HKEY_CURRENT_CONFIG

正确答案:----

 

25.GFI沙箱生成报告不包括哪个小节（）。

A.分析摘要

B.文件活动

C.注册表

D.程序功能

专业答案:----

 

南开21春学期（1709、1803、1809、1903、1909、2003、2009、2103）《计算机病毒分析》在线作业[答案]标准满分答案

二、多选题 (共 10 道试题,共 20 分)

26.恶意代码作者如何使用DLL（）多选

正确选项:----

A.保存恶意代码

B.通过使用Windows DLL

正确选项:----

正确选项:----

C.控制内存使用DLL

D.通过使用第三方DLL

正确答案:----

 

27.以下对个各个插件说法正确的是（）。

A.OllyDump是OllyDbg最常使用的插件，它能够将一个被调试的进程转储成一个PE文件

正确答案:----

B.为了防止恶意代码使用反调试技术，恶意代码分析人员通常在分析恶意代码期间，一直运行调试器隐藏插件

C.OllyDbg的命令行插件允许你用命令行来使用OllyDbg

正确选项:----

D.OllyDbg默认情况下自带书签插件，书签插件可以将一个内存位置加到书签中，利用书签，下次不需要记住就可以轻松获取那个内存地址

专业答案:----

 

28.OllyDbg支持的跟踪功能有（）。

正确答案:----

A.标准回溯跟踪

B.堆栈调用跟踪

C.运行跟踪

D.边缘跟踪

正确答案:----

 

29.以下的恶意代码行为中，属于后门的是（）

A.netcat反向shell

B.windows反向shell

专业答案:----

C.远程控制工具

D.僵尸网络

正确选项:----

 

30.后门拥有一套通用的功能，都有以下那些功能？（）

A.操作注册表

B.列举窗口

C.创建目录

D.搜索文件

专业答案:----

 

31.名字窗口，列举哪些内存地址的名字

A.函数名

B.代码的名字

C.数据的名字

D.字符串

专业答案:----

 

32.IDA Pro 都有以下什么功能（）。

正确答案:----

A.识别函数

B.标记函数

C.划分出局部变量

D.划分出参数

正确选项:----

 

33.INetSim可以模拟的网络服务有（）。

A.HTTP

B.FTP

C.IRC

D.DNS

正确选项:----

 

34.微软fastcall约定备用的寄存器是（）。

A.EAX

B.ECX

C.EDX

D.EBX

正确答案:----

 

35.以下哪些是常用的虚拟机软件

A.VMware Player

B.VMware Station

C.VMware Fusion

D.VirtualBox

专业答案:----

 

三、判断题 (共 15 道试题,共 30 分)

36.EIP指令指针的唯一作用就是告诉处理器接下来干什么。

 

37.检测加密的基本方法是使用可以搜索常见加密常量的工具，我们可以使用IDA Pro的FindCrypt2和Krypto ANALyzer插件。

正确选项:----

 

38.WinDbg的内存窗口不支持通过命令来浏览内存。

专业答案:----

 

39.导入表窗口能够列举一个文件的所有导入函数。

 

40.只要使用了KnownDLL，所有的DLL都会收到保护。

专业答案:----

 

41.恶意的应用程序会挂钩一个经常使用的Windows消息。

正确选项:----

 

42.微软Visual Studio和GNU编译集合（GCC）。前者，adder函数和printf的函数在调用前被压到栈上。而后者，参数在调用之前被移动到栈上。

正确答案:----

 

43.可以在用户模式下无限制地设置软件断点。

 

44.恶意代码与驱动通信最常使用的请求是DeviceIoControl。

专业答案:----

 

45.与导入函数类似，DLL和EXE的导出函数，是用来与其他程序和代码进行交互时所使用的。

专业答案:----

 

46.调试器允许你查看任意内存地址、寄存器的内容以及每个函数的参数

 

47.WinDbg支持在命令行中使用简单的算数操作符，对内存和寄存器进行直接的操作，如加减乘除。

正确答案:----

 

48.异常是恶意代码、恶意代码分析或者调试所独有的。

 

49.D键是定义原始字节为代码

正确选项:----

 

50.所有服务都存在于注册表中,如果一个服务的注册表键被移除,则这个服务依旧能能启动。

 

南开21春学期（1709、1803、1809、1903、1909、2003、2009、2103）《计算机病毒分析》在线作业[答案]历年真题如下：