22春學(xué)期(高起本1709-1803、全層次1809-2103)《計算機(jī)病毒分析》在線作業(yè)-00003
試卷總分:100 得分:100
一、單選題 (共 25 道試題,共 50 分)
1.病毒是指編制或者在計算機(jī)程序中插入的破壞計算機(jī)功能或者破壞數(shù)據(jù),影響計算機(jī)使用并且能夠自我復(fù)制的一組()。
A.計算機(jī)指令
B.程序代碼
C.文件
D.計算機(jī)指令或者程序代碼
2.病毒、()和木馬是可導(dǎo)致計算機(jī)和計算機(jī)上的信息損壞的惡意程序。
A.程序
B.蠕蟲
C.代碼
D.數(shù)據(jù)
3.堆是程序運(yùn)行時動態(tài)分配的內(nèi)存,用戶一般通過()、new等函數(shù)申請內(nèi)存。
A.scanf
B.printf
C.malloc
D.free
4.能調(diào)試內(nèi)核的調(diào)試器是()
A.OllyDbg
B.IDA Pro
C.WinDbg
D.Process Explorer
5.函數(shù)調(diào)用約定中,參數(shù)是從右到左按序被壓入棧,當(dāng)函數(shù)完成時由被調(diào)用函數(shù)清理棧,并且將返回值保存在EAX中的是()。
A.cdecl
B.stdcall
C.fastcall
D.壓棧與移動
6.PE文件中的分節(jié)中唯一包含代碼的節(jié)是()。
A..rdata
B..text
C..data
D..rsrc
7.計算機(jī)體系結(jié)構(gòu)中,()層是由十六進(jìn)制形式的操作碼組成,用于告訴處理器你想它干什么。
A.微指令
B.機(jī)器碼
C.低級語言
D.高級語言
8.基于Linux模擬常見網(wǎng)絡(luò)服務(wù)的軟件的是()。
A.ApateDNS
B.Netcat
C.INetSim
D.Wireshark
9.轟動全球的震網(wǎng)病毒是()。
A.木馬
B.蠕蟲病毒
C.后門
D.寄生型病毒
10.Shell是一個命令解釋器,它解釋()的命令并且把它們送到內(nèi)核。
A.系統(tǒng)輸入
B.用戶輸入
C.系統(tǒng)和用戶輸入
D.輸入
11.在WinDbg的搜索符號中, ()命令允許你使用通配符來搜索函數(shù)或者符號。
A.bu
B.x
C.Ln
D.dt
12.木馬與病毒的重大區(qū)別是()。
A.木馬會自我復(fù)制
B.木馬具有隱蔽性
C.木馬不具感染性
D.木馬通過網(wǎng)絡(luò)傳播
13.以下哪個選項屬于木馬()。
A.震網(wǎng)病毒
B.WannaCry
C.灰鴿子
D.熊貓燒香
14.用戶模式下的APC要求線程必須處于()狀態(tài)。
A.阻塞狀態(tài)
B.計時等待狀態(tài)
C.可警告的等待狀態(tài)
D.被終止?fàn)顟B(tài)
15.OllyDbg最多同時設(shè)置()個內(nèi)存斷點(diǎn)。
A.1個
B.2個
C.3個
D.4個
16.而0x52000000對應(yīng)0x52這個值使用的是()字節(jié)序。
A.小端
B.大端
C.終端
D.前端
17.以下說法錯誤的是()。
A.OllyDbg可以很容易修改實時數(shù)據(jù),如寄存器和標(biāo)志。它也可以將匯編形式的修補(bǔ)代碼直接插入到一個程序
B.OllyDbg可以使用00項或nop指令填充程序
C.鍵單擊高亮的條件跳轉(zhuǎn)指令,然后選擇Binary→Fill with NOPs,該操作產(chǎn)生的結(jié)果時NOP指令替換了JNZ指令,這個過程會把那個位置上的NOP永久保存在磁盤上,意味著惡意代碼以后會接受任意輸入的密鑰
D.當(dāng)異常發(fā)生時,OllyDbg會暫停運(yùn)行,然后你可以使用進(jìn)入異常、跳過異常、運(yùn)行異常處理 等方法,來決定是否將異常轉(zhuǎn)移到應(yīng)用程序處理
18.反病毒軟件主要是依靠()來分析識別可疑文件。
A.文件名
B.病毒文件特征庫
C.文件類型
D.病毒文件種類
19.WinDbg的內(nèi)存窗口支持通過命令來瀏覽內(nèi)存,以下WinDbg讀選項中,()選項描述讀取內(nèi)存數(shù)據(jù)并以內(nèi)存32位雙字顯示。
A.da
B.du
C.dd
D.dc
20.Base64編碼將二進(jìn)制數(shù)據(jù)轉(zhuǎn)化成()個字符的有限字符集。
A.16
B.32
C.48
D.64
21.原始數(shù)據(jù)轉(zhuǎn)換成Base64的過程相當(dāng)標(biāo)準(zhǔn)。它使用()位的塊。
A.8
B.16
C.24
D.32
22.()是指Windows中的一個模塊沒有被加載到其預(yù)定基地址時發(fā)生的情況。
A.內(nèi)存映射
B.基地址重定位
C.斷點(diǎn)
D.跟蹤
23.WinINet API實現(xiàn)了()層的協(xié)議。
A.網(wǎng)絡(luò)層
B.數(shù)據(jù)鏈路層
C.應(yīng)用層
D.傳輸層
24.WinDbg的內(nèi)存窗口支持通過命令來瀏覽內(nèi)存,以下WinDbg讀選項中,()選項描述讀取內(nèi)存數(shù)據(jù)并以ASCII文本顯示。
A.da
B.du
C.dd
D.dc
25.進(jìn)程瀏覽器的功能不包括()。
A.比較進(jìn)程瀏覽器中的DLL列表與在Dependency Walker工具中顯示的導(dǎo)入DLL列表來判斷一個DLL是否被加載到進(jìn)程
B.單擊驗證按鈕,可以驗證磁盤上的鏡像文件是否具有微軟的簽名認(rèn)證
C.比較運(yùn)行前后兩個注冊表的快照,發(fā)現(xiàn)差異
D.一種快速確定一個文檔是否惡意的方法,就是打開進(jìn)程瀏覽器,然后打開文檔。若文檔啟動了任意進(jìn)程,你能進(jìn)程瀏覽器中看到,并能通過屬性窗口中的鏡像來定位惡意代碼在磁盤上的位置。
二、多選題 (共 10 道試題,共 20 分)
26.以下方法中是識別標(biāo)準(zhǔn)加密算法的方法是()。[多選]
A.識別涉及加密算法使用的字符串
B.識別引用導(dǎo)入的加密函數(shù)
C.搜索常見加密常量的工具
D.查找高熵值的內(nèi)容
27.對下面匯編代碼的分析正確的是()。
A.mov [ebp+var_4],0對應(yīng)循環(huán)變量的初始化步驟
B.add eax,1對應(yīng)循環(huán)變量的遞增,在循環(huán)中其最初會通過一個跳轉(zhuǎn)指令而跳過
C.比較發(fā)生在cmp處,循環(huán)決策在jge處通過條件跳轉(zhuǎn)指令而做出
D.在循環(huán)中,通過一個無條件跳轉(zhuǎn)jmp,使得循環(huán)變量每次進(jìn)行遞增。
28.以下是分析加密算法目的的是
A.隱藏配置文件信息。
B.竊取信息之后將它保存到一個臨時文件。
C.存儲需要使用的字符串,并在使用前對其解密。
D.將惡意代碼偽裝成一個合法的工具,隱藏惡意代碼
29.以下哪些是常用的虛擬機(jī)軟件
A.VMware Player
B.VMware Station
C.VMware Fusion
D.VirtualBox
30.后門的功能有
A.操作注冊表
B.列舉窗口
C.創(chuàng)建目錄
D.搜索文件
31.OllyDbg提供了多種機(jī)制來幫助分析,包括下面幾種()。
A.日志
B.監(jiān)視
C.幫助
D.標(biāo)注
32.調(diào)試器可以用來改變程序的執(zhí)行方式??梢酝ㄟ^修改()方式來改變程序執(zhí)行的方式。
A.修改控制標(biāo)志
B.修改指令指針
C.修改程序本身
D.修改文件名
33.惡意代碼作者如何使用DLL()多選
A.保存惡意代碼
B.通過使用Windows DLL
C.控制內(nèi)存使用DLL
D.通過使用第三方DLL
34.惡意代碼的存活機(jī)制有()
A.修改注冊表
B.特洛伊二進(jìn)制文件
C.DLL加載順序劫持
D.自我消滅
35.惡意代碼常用注冊表()
A.存儲配置信息
B.收集系統(tǒng)信息
C.永久安裝自己
D.網(wǎng)上注冊
三、判斷題 (共 15 道試題,共 30 分)
36.哈希是一種用來唯一標(biāo)識惡意代碼的常用方法。
37.在圖形模式中,綠色箭頭路徑表示這個條件跳轉(zhuǎn)沒被采用
38.普通病毒的傳染能力主要是針對計算機(jī)內(nèi)的文件系統(tǒng)而言。
39.靜態(tài)分析基礎(chǔ)技術(shù)是非常簡單,同時也可以非常快速應(yīng)用的,但它在針對復(fù)雜的惡意代碼時很大程度上是無效的,而且它可能會錯過一些重要的行為。
40.有時,某個標(biāo)準(zhǔn)符號常量不會顯示,這時你需要手動加載有關(guān)的類型庫
41.在完成程序的過程中,通用寄存器它們是完全通用的。
42.下載器通常會與異常處理打包在一起
43.Netcat被稱為“TCP/IP協(xié)議棧瑞士軍刀”,可以被用在支持端口掃描、隧道、代理、端口轉(zhuǎn)發(fā)等的對內(nèi)對外連接上。在監(jiān)聽模式下,Netcat充當(dāng)一個服務(wù)器,而在連接模式下作為一個客戶端。Netcat從標(biāo)準(zhǔn)輸入得到數(shù)據(jù)進(jìn)行網(wǎng)絡(luò)傳輸,而它得到的數(shù)據(jù),又可以通過標(biāo)準(zhǔn)輸出顯示到屏幕上。
44.調(diào)試器允許你查看任意內(nèi)存地址、寄存器的內(nèi)容以及每個函數(shù)的參數(shù)
45.蠕蟲是利用文件寄生來通過網(wǎng)絡(luò)傳播的惡性病毒。
46.當(dāng)惡意代碼編寫者想要將惡意代碼偽裝成一個合法進(jìn)程,可以使用一種被稱為進(jìn)程注入的方法,將一個可執(zhí)行文件重寫到一個運(yùn)行進(jìn)程的內(nèi)存空間。
47.重命名地址可以修改自動化命名的絕對地址和棧變量。
48.進(jìn)程監(jiān)視器視圖每一秒更新一次。默認(rèn)情況下,服務(wù)以粉色高亮顯示,進(jìn)程顯示為藍(lán)色,新進(jìn)程為綠色,被終止進(jìn)程則為紅色。綠色和紅色的高亮顯示是臨時的,當(dāng)進(jìn)程被完全啟動或終止后顏色就會改變。
49.這種進(jìn)程替換技術(shù)讓惡意代碼與被替換進(jìn)程擁有相同的特權(quán)級。
50.假設(shè)你擁有一個惡意的驅(qū)動程序,但沒有用戶態(tài)應(yīng)用程序安裝它,這個時候就可以用如OSR Driver Loader的加載工具來加載它。