22秋學(xué)期（高起本1709-1803、全層次1809-2103）《計算機(jī)病毒分析》在線作業(yè)-00002

試卷總分:100  得分:100

一、單選題 (共 25 道試題,共 50 分)

1.（）是一把雙刃劍，可以用來分析內(nèi)部網(wǎng)絡(luò)、調(diào)試應(yīng)用程序問題，也可以用來嗅探密碼、監(jiān)聽在線聊天。

A.ApateDNS

B.Netcat

C.INetSim

D.Wireshark

2.PE文件中的分節(jié)中唯一包含代碼的節(jié)是（）。

A..rdata

B..text

C..data

D..rsrc

3.單步調(diào)試是通過（ ）實現(xiàn)的

A.每條代碼之前添加軟件斷點

B.每條代碼之前添加硬件斷點

C.標(biāo)志寄存器中的陷阱標(biāo)志( trap flag)

D.標(biāo)志寄存器中的zf標(biāo)志位

4.以下不是惡意代碼分析的目標(biāo)的是（）。

A.確定一個可疑的二進(jìn)制程序到底可以做什么

B.如何在網(wǎng)絡(luò)上檢測它

C.惡意代碼本身的特性

D.如何衡量并消除它所帶來的損害

5.木馬與病毒的重大區(qū)別是（）。

A.木馬會自我復(fù)制

B.木馬具有隱蔽性

C.木馬不具感染性

D.木馬通過網(wǎng)絡(luò)傳播

6.在以下寄存器中用于定位要執(zhí)行的下一條指令的寄存器是（）。

A.通用寄存器

B.段寄存器

C.狀態(tài)寄存器

D.指令指針

7.惡意代碼指的是（）。

A.計算機(jī)病毒

B.間諜軟件

C.內(nèi)核嵌套

D.任何對用戶、計算機(jī)或網(wǎng)絡(luò)造成破壞的軟件

8.（）是指Windows中的一個模塊沒有被加載到其預(yù)定基地址時發(fā)生的情況。

A.內(nèi)存映射

B.基地址重定位

C.斷點

D.跟蹤

9.網(wǎng)絡(luò)黑客產(chǎn)業(yè)鏈?zhǔn)侵负诳蛡冞\(yùn)用技術(shù)手段入侵服務(wù)器獲取站點權(quán)限以及各類賬戶信息并從中謀?。ǎ┑囊粭l產(chǎn)業(yè)鏈。

A.非法經(jīng)濟(jì)利益

B.經(jīng)濟(jì)效益

C.效益

D.利潤

10.在通用寄存器中，（）是基址寄存器。

A.EAX

B.EBX

C.ECX

D.EDX

11.OllyDbg最多同時設(shè)置（）個內(nèi)存斷點。

A.1個

B.2個

C.3個

D.4個

12.以下說法錯誤的是（）。

A.OllyDbg可以很容易修改實時數(shù)據(jù)，如寄存器和標(biāo)志。它也可以將匯編形式的修補(bǔ)代碼直接插入到一個程序

B.OllyDbg可以使用00項或nop指令填充程序

C.鍵單擊高亮的條件跳轉(zhuǎn)指令，然后選擇Binary→Fill with NOPs，該操作產(chǎn)生的結(jié)果時NOP指令替換了JNZ指令，這個過程會把那個位置上的NOP永久保存在磁盤上，意味著惡意代碼以后會接受任意輸入的密鑰

D.當(dāng)異常發(fā)生時，OllyDbg會暫停運(yùn)行，然后你可以使用進(jìn)入異常、跳過異常、運(yùn)行異常處理 等方法，來決定是否將異常轉(zhuǎn)移到應(yīng)用程序處理

13.捕獲Poison Ivy為shellcode分配內(nèi)存的最好方法是（）。

A.軟件斷點

B.硬件斷點

C.內(nèi)存斷點

D.條件斷點

14.當(dāng)調(diào)試可以修改自身的代碼的代碼時，應(yīng)該設(shè)置什么類型的斷點（）

A.軟件執(zhí)行斷點

B.硬件執(zhí)行斷點

C.條件斷點

D.非條件斷點

15.以下注冊表根鍵中（）保存對本地機(jī)器全局設(shè)置。

A.HKEY_LOCAL_MACHINE(HKLM)

B.HKEY_CURRENT_USER(HKCU)

C.HKEY_CLASSES_ROOT

D.HKEY_CURRENT_CONFIG

16.()是一種設(shè)置自身或其他惡意代碼片段以達(dá)到即時或?qū)砻孛苓\(yùn)行的惡意代碼。

A.后門

B.下載器

C.啟動器

D.內(nèi)核嵌套

17.對以下代碼分析錯誤的是（）。

A.jnz為條件跳轉(zhuǎn)，而jmp為無條件跳轉(zhuǎn)

B.while循環(huán)與for循環(huán)的匯編代碼非常相似，唯一的區(qū)別在于它缺少一個遞增

C.while循環(huán)停止重復(fù)執(zhí)行的唯一方式，就是那個期望發(fā)生的條件跳轉(zhuǎn)

D.while循環(huán)總要進(jìn)入一次

18.以下不是GFI沙箱的缺點的是（）。

A.沙箱只能簡單地運(yùn)行可執(zhí)行程序，不能帶有命令行選項

B.沙箱環(huán)境的操作系統(tǒng)對惡意代碼來說可能不正確

C.沙箱不能提供安全的虛擬環(huán)境

D.惡意代碼如果檢測到了虛擬機(jī)，將會停止運(yùn)行，或者表現(xiàn)異常。不是所有的沙箱都能完善地考慮這個問題

19.函數(shù)調(diào)用約定中，參數(shù)是從右到左按序被壓入棧，當(dāng)函數(shù)完成時由被調(diào)用函數(shù)清理棧，并且將返回值保存在EAX中的是（）。

A.cdecl

B.stdcall

C.fastcall

D.壓棧與移動

20.當(dāng)想要在函數(shù)調(diào)用使用特定的參數(shù)時才發(fā)生中斷，應(yīng)該設(shè)置什么類型的斷點（）

A.軟件執(zhí)行斷點

B.硬件執(zhí)行斷點

C.條件斷點

D.非條件斷點

21.以下邏輯運(yùn)算符中是位移指令的是（）

A.OR、AND

B.Shr和shl

C.ror和rol

D.XOR

22.要插入一個跨反匯編窗口，并且在任何時候只要存在對你添加注釋的地址的交叉引用就重復(fù)回顯，應(yīng)該按（）鍵。

A.；

B.：

C.shift

D.ctrl

23.多數(shù)DLL會在PE頭的（）打包一個修訂位置的列表。

A..text節(jié)

B..data節(jié)

C..rsrc節(jié)

D..reloc節(jié)

24.Shell是一個命令解釋器，它解釋（）的命令并且把它們送到內(nèi)核。

A.系統(tǒng)輸入

B.用戶輸入

C.系統(tǒng)和用戶輸入

D.輸入

25.下面說法錯誤的是（）。

A.啟動器通常在text節(jié)存儲惡意代碼，當(dāng)啟動器運(yùn)行時，它在運(yùn)行嵌入的可執(zhí)行程序或者DLL程序之前，從該節(jié)將惡意代碼提取出來

B.隱藏啟動的最流行技術(shù)是進(jìn)程注入。顧名思義，這種技術(shù)是將代碼注入到另外一個正在運(yùn)行的進(jìn)程中，而被注入的進(jìn)程會不知不覺地運(yùn)行注入的代碼

C.DLL注入是進(jìn)程注入的一種形式，它強(qiáng)迫一個遠(yuǎn)程進(jìn)程加載惡意DLL程序，同時它也是最常使用的秘密加載技術(shù)

D.直接注入比DLL注入更加靈活，但是要想注入的代碼在不對宿主進(jìn)程產(chǎn)生副作用的前提下成功運(yùn)行，直接注入需要大量的定制代碼。這種技術(shù)可以被用來注入編譯過的代碼，但更多的時候，它用來注入shellcode

二、多選題 (共 10 道試題,共 20 分)

26.微軟fastcall約定備用的寄存器是（）。

A.EAX

B.ECX

C.EDX

D.EBX

27.以下是分析加密算法目的的是

A.隱藏配置文件信息。

B.竊取信息之后將它保存到一個臨時文件。

C.存儲需要使用的字符串，并在使用前對其解密。

D.將惡意代碼偽裝成一個合法的工具，隱藏惡意代碼

28.對下面匯編代碼的分析正確的是（）。

A.mov [ebp+var_4],0對應(yīng)循環(huán)變量的初始化步驟

B.add eax,1對應(yīng)循環(huán)變量的遞增，在循環(huán)中其最初會通過一個跳轉(zhuǎn)指令而跳過

C.比較發(fā)生在cmp處，循環(huán)決策在jge處通過條件跳轉(zhuǎn)指令而做出

D.在循環(huán)中，通過一個無條件跳轉(zhuǎn)jmp，使得循環(huán)變量每次進(jìn)行遞增。

29.惡意代碼常用注冊表()

A.存儲配置信息

B.收集系統(tǒng)信息

C.永久安裝自己

D.網(wǎng)上注冊

30.以下的惡意代碼行為中，屬于后門的是（）

A.netcat反向shell

B.windows反向shell

C.遠(yuǎn)程控制工具

D.僵尸網(wǎng)絡(luò)

31.后門的功能有

A.操作注冊表

B.列舉窗口

C.創(chuàng)建目錄

D.搜索文件

32.對一個監(jiān)聽入站連接的服務(wù)應(yīng)用，順序是（）函數(shù)，等待客戶端的連接。

A.socket、bind、listen和accept

B.socket、bind、accept和listen

C.bind、sockect、listen和accept

D.accept、bind、listen和socket

33.OllyDbg提供了多種機(jī)制來幫助分析，包括下面幾種（）。

A.日志

B.監(jiān)視

C.幫助

D.標(biāo)注

34.以下是句柄是在操作系統(tǒng)中被打開或被創(chuàng)建的項的是

A.窗口

B.進(jìn)程

C.模塊

D.菜單

35.% System Root%\system32\drivers\tcpudp.sys中的登陸記錄都包括（）

A.用戶名

B.Windows域名稱

C.密碼

D.舊密碼

三、判斷題 (共 15 道試題,共 30 分)

36.在文件系統(tǒng)函數(shù)中CreateFile這個函數(shù)被用來創(chuàng)建和打開文件。

37.在x86匯編語言中，一條指令由一個助記符，以及零個或多個操作數(shù)組成。

38.最近安裝的鉤子放在鏈的末尾，而最早安裝的鉤子放在前頭，也就是先加入的先獲得控制權(quán)

39.Run to Selection選項表示在到達(dá)選擇的指令之前一直運(yùn)行。如果選擇的指令不被執(zhí)行，則被調(diào)試程序會一直運(yùn)行下去。

40.為了在用戶模式中操作硬件或改變內(nèi)核中的狀態(tài)，必須依賴Windows API。

41.應(yīng)用程序可能包含處理INT3異常的指令,但附加調(diào)試器到程序后,應(yīng)用程序?qū)@得首先處理異常的權(quán)限。

42.單步執(zhí)行代碼時，調(diào)試器每執(zhí)行一條指令就會產(chǎn)生一次中斷。

43.對于調(diào)用頻繁的API函數(shù)，僅當(dāng)特定參數(shù)傳給它時才中斷程序執(zhí)行，這種情況下內(nèi)存斷點特別有用。

44.WinDbg不允許覆蓋數(shù)據(jù)結(jié)構(gòu)上的數(shù)據(jù)。

45.用戶調(diào)試比起內(nèi)核調(diào)試模式來說更加復(fù)雜，因為進(jìn)行用戶調(diào)試時，操作系統(tǒng)將被凍結(jié)。

46.重新編寫函數(shù)和使用惡意代碼中存在的函數(shù)是兩種基本方法重現(xiàn)惡意代碼中的加密或解密函數(shù)。

47.惡意代碼可以通過創(chuàng)建一個新進(jìn)程，或修改一個已存在的進(jìn)程，來執(zhí)行當(dāng)前程序之外的代碼。

48.大眾性的惡意代碼比針對性惡意代碼具有更大的安全威脅，你的安全產(chǎn)品很可能不會幫你們防御它們。

49.數(shù)組是相似數(shù)據(jù)項的無序集合

50.Base64加密用ASCII字符串格式表示十六進(jìn)制數(shù)據(jù)。

奧鵬，國開，廣開，電大在線，各省平臺，新疆一體化等平臺學(xué)習(xí)
詳情請咨詢QQ : 3230981406或微信:aopopenfd777