南开23春学期《计算机病毒分析》在线作业[正确答案]

南开23春学期《计算机病毒分析》在线作业[正确答案]单选题答案

23春学期（高起本：1709-2103、专升本/高起专：1909-2103）《计算机病毒分析》在线作业-00001

试卷总分:100  得分:100

一、单选题 (共 25 道试题,共 50 分)

1.Windows?钩子（HOOK）指的是（）

正确答案：C

A.钩子是指?Windows?窗口函数

随机答案：ABCD

B.钩子是一种应用程序

C.钩子的本质是一个用以处理消息的函数，用来检查和修改传给某程序的信息

D.钩子是一种网络通信程序

正确选项:--------

 

2.直接将恶意代码注入到远程进程中的是（）。

A.进程注入

B.DLL注入

正确选项:--------

C.钩子注入

D.直接注入

随机答案：ABCD

 

3.Strings程序搜索（）或以上连续的ASCII或Unicode字符，并以终结符结尾的可打印字符串。

正确答案：D

A.2个

B.3个

C.1个

D.0个

正确答案：B

 

4.下列对进程浏览器属性栏的描述错误的是（）。

A.线程标签显示所有活跃的线程

B.TCP/IP标签活跃的连接和进程监听的端口

C.镜像标签显示磁盘上可执行程序的路径

D.字符串标签，通过比较包含在磁盘上可执行文件的字符串与内存中同一个可执行文件的字符串，来看两者是否相同

正确答案：A

 

5.（）被定义为一个相似数据项的有序集合。

A.数组

B.结构体

C.链表

D.变量

随机答案：ABCD

 

6.以下哈希值做的事是（）

A.将哈希值作为标签使用

B.与其他分析师分享哈希值，以帮助他们来识别恶意代码

C.通过哈希值计算文件的生成日期

D.在线搜索这段哈希值，看看这个文件是否已经被识别

正确答案：C

 

7.PE文件中的分节中包含由可执行文件所使用的资源的是（）。

A..rdata

正确答案：C

正确答案：B

B..text

C..data

D..rsrc

正确选项:--------

 

8.当想要在函数调用使用特定的参数时才发生中断，应该设置什么类型的断点（）

A.软件执行断点

B.硬件执行断点

C.条件断点

D.非条件断点

正确答案：B

正确答案：A

 

9.病毒、（）和木马是可导致计算机和计算机上的信息损坏的恶意程序。

A.程序

B.蠕虫

C.代码

D.数据

正确答案：B

 

10.在以下寄存器中用于定位要执行的下一条指令的寄存器是（）。

A.通用寄存器

B.段寄存器

C.状态寄存器

D.指令指针

随机答案：ABCD

 

11.原始数据转换成Base64的过程相当标准。它使用（）位的块。

A.8

B.16

C.24

D.32

随机答案：ABCD

 

12.OllyDbg最多同时设置（）个内存断点。

正确答案：A

A.1个

B.2个

C.3个

D.4个

正确答案：B

 

13.以下不是检测SSDT挂钩的方法是

正确答案：B

A.遍历SSDT表

正确答案：D

B.使用查杀病毒的软件

C.查找异常的函数入口地址

D.ntoskrnl.exe的地址空间是从804d7000到806cd580

正确选项:--------

 

14.在WinDbg的搜索符号中， （）命令允许你使用通配符来搜索函数或者符号。

正确答案：B

A.bu

B.x

C.Ln

D.dt

正确答案：A

 

15.以下不是解释型语言的是

A.Java

B.Perl

C.NET

D.C

正确答案：B

 

16.能调试内核的调试器是（）

A.OllyDbg

正确答案：D

正确答案：C

B.IDA Pro

正确答案：D

C.WinDbg

D.Process Explorer

正确选项:--------

 

17.以下对各断点说法错误的是（）。

A.查看堆栈中混淆数据内容的唯一方法时：待字符串解码函数执行完成后，查看字符串的内容，在字符串解码函数的结束位置设置软件断点

B.条件断点是软件断点中的一种，只有某些条件得到满足时这个断点才能中断执行程序

C.硬件断点非常强大，它可以在不改变你的代码、堆栈以及任何目标资源的前提下进行调试

D.OllyDbg只允许你一次设置一个内存断点，如果你设置了一个新的内存断点，那么之前设置的内存断点就会被移除

正确答案：B

 

18.（）是指Windows中的一个模块没有被加载到其预定基地址时发生的情况。

正确选项:--------

A.内存映射

B.基地址重定位

C.断点

D.跟踪

正确答案：C

 

19.单步调试是通过（ ）实现的

A.每条代码之前添加软件断点

B.每条代码之前添加硬件断点

C.标志寄存器中的陷阱标志( trap flag)

D.标志寄存器中的zf标志位

正确答案：B

 

20.下列对内核套件的描述正确的是（）。

A.恶意代码将自身安装到一台计算机来允许攻击者访问

B.这是一类只是用来下载其他恶意代码的恶意代码

C.用来启动其他恶意程序的恶意代码

D.设计用来隐藏其他恶意代码的恶意代码网络造成破坏的软件

正确答案：C

 

21.恶意代码分析不应该注意（）。

A.应该在进入细节之前有一个概要性的理解

B.尝试多从不同角度，多使用不同工具和方法来分析恶意代码

C.恶意代码本身的特性

D.恶意代码本身的特性，尽量关注细节

正确答案：A

E.恶意代码分析就像是猫抓老鼠的游戏，应该能够快速地应对恶意代码的新变化

 

22.用IDA Pro对一个程序进行反汇编时，字节偶尔会被错误的分类。可以对错误处按（）键来取消函数代码或数据的定义。

正确答案：D

A.C键

B.D键

正确答案：A

正确答案：C

C.shift+D键

D.U键

正确答案：C

 

23.线程创建需要系统开销，（）能够调用一个现有的线程。

A.进程注入

B.直接注入

C.Hook注入

D.APC注入

随机答案：ABCD

 

24.当调试可以修改自身的代码的代码时，应该设置什么类型的断点（）

A.软件执行断点

B.硬件执行断点

C.条件断点

D.非条件断点

 

25.木马与病毒的重大区别是（）。

A.木马会自我复制

B.木马具有隐蔽性

C.木马不具感染性

D.木马通过网络传播

正确答案：A

 

南开23春学期《计算机病毒分析》在线作业[正确答案]多选题答案

二、多选题 (共 10 道试题,共 20 分)

26.运行计算机病毒，监控病毒的行为，需要一个安全、可控的运行环境的原因是什么

A.恶意代码具有传染性

B.可以进行隔离

C.恶意代码难以清除

D.环境容易搭建

正确答案：C

 

27.后门拥有一套通用的功能，都有以下那些功能？（）

A.操作注册表

B.列举窗口

C.创建目录

D.搜索文件

正确答案：D

 

28.调试器可以用来改变程序的执行方式。可以通过修改（）方式来改变程序执行的方式。

A.修改控制标志

B.修改指令指针

C.修改程序本身

D.修改文件名

正确答案：D

 

29.以下是分析加密算法目的的是

A.隐藏配置文件信息。

B.窃取信息之后将它保存到一个临时文件。

C.存储需要使用的字符串，并在使用前对其解密。

D.将恶意代码伪装成一个合法的工具，隐藏恶意代码

正确选项:--------

 

30.微软fastcall约定备用的寄存器是（）。

A.EAX

B.ECX

C.EDX

正确答案：B

D.EBX

正确答案：B

 

31.以下方法中是识别标准加密算法的方法是（）。[多选]

A.识别涉及加密算法使用的字符串

B.识别引用导入的加密函数

C.搜索常见加密常量的工具

D.查找高熵值的内容

正确选项:--------

 

32.IDA Pro 都有以下什么功能（）。

随机答案：ABCD

A.识别函数

B.标记函数

C.划分出局部变量

D.划分出参数

正确答案：C

 

33.% System Root%system32drivers cpudp.sys中的登陆记录都包括（）

正确答案：B

A.用户名

B.Windows域名称

正确答案：B

C.密码

D.旧密码

正确答案：B

 

34.（）是Windows API的标准调用约定

正确答案：B

A.cdecl

正确选项:--------

B.stdcall

正确答案：A

C.fastcall

D.压栈与移动

正确选项:--------

 

35.下面属于OllyDbg插件的有（）。

正确答案：C

A.OllyDump

正确答案：B

B.调试器隐藏插件

C.命令行

D.书签

正确答案：B

 

三、判断题 (共 15 道试题,共 30 分)

36.重命名地址可以修改自动化命名的绝对地址和栈变量。

 

37.在 XOR加密中，逆向解密与加密不是使用同一函数。

 

38.INetSim模拟的Dummy网络服务可以记录所有从客户端收到的数据。

正确选项:--------

 

39.nop指令什么事情都不做。当它出现时，直接执行下一条指令。

 

40..text节中的操作码都会驻留在内存中。

 

41.对于攻击者，自定义加密方法拥有它自身的优势，并不是因为它保留了简单加密策略的特点。