南开24秋学期(高起本:1809-2103、专升本高起专:2103)《计算机病毒分析》在线作业(标准答案)
试卷总分:100 得分:100
一、单选题 (共 25 道试题,共 50 分)
1.若依次压入数字1、2、3、4,则第二次弹出来的会是()。
A.1
B.2
C.3
D.4
2.下列说法错误的是()。
A.fastcall的前一些参数被传到寄存器中,剩下的参数从右到左被加载到栈上
B.不同的编译器会选择使用不同的指令来执行相同的操作
C.VS的函数参数在调用前被移动到栈上
D.即使是同一个编译器,在调用约定方面也可能存在差别。
3.OllyDbg最多同时设置()个内存断点。
A.1个
B.2个
C.3个
D.4个
4.下列论述错误的是()。
A.数组是相似数据项的有序集合
B.结构体和数组相似,但是它们包括不同类型的元素
C.使用一个链表,被链接项的访问次序与数据项被保存在内存或磁盘上的次序必须一样
D.在汇编代码中,数组是通过使用一个基地址作为起始点来进行访问的。
5.Windows?钩子(HOOK)指的是()
A.钩子是指?Windows?窗口函数
B.钩子是一种应用程序
C.钩子的本质是一个用以处理消息的函数,用来检查和修改传给某程序的信息
D.钩子是一种网络通信程序
6.以下不是恶意代码分析的目标的是()。
A.确定一个可疑的二进制程序到底可以做什么
B.如何在网络上检测它
C.恶意代码本身的特性
D.如何衡量并消除它所带来的损害
7.多数DLL会在PE头的()打包一个修订位置的列表。
A..text节
B..data节
C..rsrc节
D..reloc节
8.用IDA Pro对一个程序进行反汇编时,字节偶尔会被错误的分类。可以对错误处按()键来取消函数代码或数据的定义。
A.C键
B.D键
C.shift+D键
D.U键
9.()是一把双刃剑,可以用来分析内部网络、调试应用程序问题,也可以用来嗅探密码、监听在线聊天。
A.ApateDNS
B.Netcat
C.INetSim
D.Wireshark
10.以下不是检测SSDT挂钩的方法是
A.遍历SSDT表
B.使用查杀病毒的软件
C.查找异常的函数入口地址
D.ntoskrnl.exe的地址空间是从804d7000到806cd580
11.PE文件中的分节中唯一包含代码的节是()。
A..rdata
B..text
C..data
D..rsrc
12.基于Linux模拟常见网络服务的软件的是()。
A.ApateDNS
B.Netcat
C.INetSim
D.Wireshark
13.PE文件中的分节中包含由可执行文件所使用的资源的是()。
A..rdata
B..text
C..data
D..rsrc
14.计算机体系结构中,()层是由十六进制形式的操作码组成,用于告诉处理器你想它干什么。
A.微指令
B.机器码
C.低级语言
D.高级语言
15.OllyDbg的硬件断点最多能设置()个。
A.3个
B.4个
C.5个
D.6个
16.Hook技术的应用不包括()
A.实现增强的二次开发或补丁
B.信息截获
C.安全防护
D.漏洞分析
17.()是可以记录程序详细的运行信息的调试技术。
A.内存映射
B.基地址重定位
C.断点
D.跟踪
18.恶意代码指的是()。
A.计算机病毒
B.间谍软件
C.内核嵌套
D.任何对用户、计算机或网络造成破坏的软件
19.以下对各断点说法错误的是()。
A.查看堆栈中混淆数据内容的唯一方法时:待字符串解码函数执行完成后,查看字符串的内容,在字符串解码函数的结束位置设置软件断点
B.条件断点是软件断点中的一种,只有某些条件得到满足时这个断点才能中断执行程序
C.硬件断点非常强大,它可以在不改变你的代码、堆栈以及任何目标资源的前提下进行调试
D.OllyDbg只允许你一次设置一个内存断点,如果你设置了一个新的内存断点,那么之前设置的内存断点就会被移除
20.对下面指令分析不正确的是()。
A.要跳转的决定是基于一个比较(cmp)语句来做的
B.调剂跳转(jnz),如果这两个值不相等,这个跳转就会发生
C.代码跳转(jump)保证了只有一条代码路径会被执行
D.对于一个if语句必定有一个条件跳转,所有条件跳转也都对应if语句
21.用户模式下的APC要求线程必须处于()状态。
A.阻塞状态
B.计时等待状态
C.可警告的等待状态
D.被终止状态
22.Base64编码将二进制数据转化成()个字符的有限字符集。
A.16
B.32
C.48
D.64
23.在获取不到高级语言源码时,()是从机器码中能可信并保持一致地还原得到的最高一层语言。
A.机器指令
B.微指令
C.汇编语言
D.机器码
24.Shell是一个命令解释器,它解释()的命令并且把它们送到内核。
A.系统输入
B.用户输入
C.系统和用户输入
D.输入
25.计算机病毒的编写者使用的哪项技术可以使编写的代码,功能不变,语义混淆。
A.垃圾指令
B.多态技术
C.变形技术
D.单项执行技术
二、多选题 (共 10 道试题,共 20 分)
26.以下是句柄是在操作系统中被打开或被创建的项的是
A.窗口
B.进程
C.模块
D.菜单
27.下列说法正确的是()。
A.IDA Pro有一个在识别结构方面很有用的图形化工具
B.从反汇编代码来看,很难知道原始代码是一个switch语句还是一个if语句序列
C.switch中各无条件跳转相互影响
D.使用了一个跳转表,来更加高效地运行switch结构汇编代码
28.名字窗口,列举哪些内存地址的名字
A.函数名
B.代码的名字
C.数据的名字
D.字符串
29.以下哪些是常用的虚拟机软件
A.VMware Player
B.VMware Station
C.VMware Fusion
D.VirtualBox
30.以下对个各个插件说法正确的是()。
A.OllyDump是OllyDbg最常使用的插件,它能够将一个被调试的进程转储成一个PE文件
B.为了防止恶意代码使用反调试技术,恶意代码分析人员通常在分析恶意代码期间,一直运行调试器隐藏插件
C.OllyDbg的命令行插件允许你用命令行来使用OllyDbg
D.OllyDbg默认情况下自带书签插件,书签插件可以将一个内存位置加到书签中,利用书签,下次不需要记住就可以轻松获取那个内存地址
31.进程监视器提供默认下面四种过滤功能是()。
A.注册表
B.文件系统
C.进程行为
D.网络
32.后门的功能有
A.操作注册表
B.列举窗口
C.创建目录
D.搜索文件
33.% System Root%\system32\drivers\tcpudp.sys中的登陆记录都包括()
A.用户名
B.Windows域名称
C.密码
D.旧密码
34.恶意代码的存活机制有()
A.修改注册表
B.特洛伊二进制文件
C.DLL加载顺序劫持
D.自我消灭
35.恶意代码编写者可以挂钩一个特殊的 Winlogon事件,比如()
A.登录
B.注销
C.关机
D.锁屏
三、判断题 (共 15 道试题,共 30 分)
36.异常只能由Bug引起
37.动态分析基础技术使用调试器来检查一个恶意可执行程序运行时刻的内部状态。
38.在 XOR加密中,逆向解密与加密不是使用同一函数。
39.为了在用户模式中操作硬件或改变内核中的状态,必须依赖Windows API。
40.OllyDbg是一种具有可视化界面的32位汇编-分析调试器。
41.在监听模式下,Netcat充当一个客户端,而在连接模式下作为一个服务器。
42.单步执行代码时,调试器每执行一条指令就会产生一次中断。
43.启动器通常包含一个它要加载的恶意代码
44.加硬件断点处的程序在内存处依旧是原程序所对应的机器码
45.计算机病毒分析和查找程序Bug没什么区别
46.cmp指令不设置标志位,其执行结果是ZF和CF标志位不发生变化。
47.我们怀疑一个XOR加密的可执行文件时,其中针对单字节加密的一种对策是暴力破解。
48.在文件系统函数中CreateFile这个函数被用来创建和打开文件。
49.在编译器对源码进行编译完成时,还是可以判断源代码使用的是一个常量符号还是一个数字。
50.暴力破解目的是尝试使用几个不同的XOR密钥破解,直到碰到你识别的输出为止。
