南开22年5月《计算机病毒分析》在线作业参考

作业帮

22春学期（高起本1709、全层次1803-2103）《计算机病毒分析》在线作业
1.[单选题] 下列概念说法错误的是（）。
答案资料下载请参考帮助中心说明
    A.内存映射窗口（View→Memory）显示了被调用程序分配的使用内存块
    B.基地址重定位是指Windows中的一个模块没有被加载到其预定基地址时发生的情况
    C.Windows中的所有PE文件都有一个预定的基地址，它在PE文件头中被称为映像基地址
    D.使用相对地址，无论被加载到内存的哪个位置，所有指令都能正常工作
2.[单选题] （）是指Windows中的一个模块没有被加载到其预定基地址时发生的情况。
    A.内存映射
    B.基地址重定位
    C.断点
    D.跟踪
3.[单选题] （）常被一种叫做击键记录器的恶意程序所使用，被用来记录击键 。
    A.DLL注入
    B.直接注入
    C.APC注入
    D.钩子注入
4.[单选题] 以下运行DLL文件的语法格式不正确的是（）。
    A.C:\>rundll32.exe rip.dll,Install
    B.C:\>rundll32.exe rip.dll,#5
    C.C:\>rundll32 rip.dll,InstallService ServiceName  C:\>net start ServiceName
    D.C:\>sc rip.dll
5.[单选题] 当一个库被链接到可执行程序时，所有这个库中的代码都会复制到可执行程序中去，这种链接方法是（）。
    A.静态链接
    B.动态链接
    C.运行时链接
    D.转移链接
6.[单选题] GFI沙箱生成报告不包括哪个小节（）。
    A.分析摘要
    B.文件活动
    C.注册表
    D.程序功能
7.[单选题] 对下面指令分析不正确的是（）。
    A.要跳转的决定是基于一个比较（cmp）语句来做的
    B.调剂跳转（jnz），如果这两个值不相等，这个跳转就会发生
    C.代码跳转（jump）保证了只有一条代码路径会被执行    北语网院答案无忧答案网整理
    D.对于一个if语句必定有一个条件跳转，所有条件跳转也都对应if语句
8.[单选题] 用户模式下的APC要求线程必须处于（）状态。
    A.阻塞状态
    B.计时等待状态
    C.可警告的等待状态
    D.被终止状态
9.[单选题] 进程浏览器的功能不包括（）。
    A.比较进程浏览器中的DLL列表与在Dependency Walker工具中显示的导入DLL列表来判断一个DLL是否被加载到进程
    B.单击验证按钮，可以验证磁盘上的镜像文件是否具有微软的签名认证
    C.比较运行前后两个注册表的快照，发现差异
    D.一种快速确定一个文档是否恶意的方法，就是打开进程浏览器，然后打开文档。若文档启动了任意进程，你能进程浏览器中看到，并能通过属性窗口中的镜像来定位恶意代码在磁盘上的位置。
10.[单选题] 用IDA Pro对一个程序进行反汇编时，字节偶尔会被错误的分类。可以对错误处按（）键来取消函数代码或数据的定义。
    A.C键
    B.D键
    C.shift+D键
    D.U键
11.[单选题] ApateDNS在本机上监听UDP（）端口。
    A.53
    B.69
    C.161
    D.80
12.[单选题] 以下注册表根键中（）保存定义的类型信息。
    A.HKEY_LOCAL_MACHINE(HKLM)
    B.HKEY_CURRENT_USER(HKCU)
    C.HKEY_CLASSES_ROOT
    D.HKEY_CURRENT_CONFIG
13.[单选题] 恶意代码分析不应该注意（）。
    A.应该在进入细节之前有一个概要性的理解
    B.尝试多从不同角度，多使用不同工具和方法来分析恶意代码
    C.恶意代码本身的特性
    D.恶意代码本身的特性，尽量关注细节
    E.恶意代码分析就像是猫抓老鼠的游戏，应该能够快速地应对恶意代码的新变化
14.[单选题] ()是一种设置自身或其他恶意代码片段以达到即时或将来秘密运行的恶意代码。
    A.后门
    B.下载器
    C.启动器
    D.内核嵌套
15.[单选题] OllyDbg的硬件断点最多能设置（）个。
    A.3个
    B.4个
    C.5个
    D.6个
16.[单选题] 以下Windows API类型中（）是表示一个将会被Windows API调用的函数。
    A.WORD
    B.DWORD
    C.Habdles
    D.Callback
17.[单选题] 直接将恶意代码注入到远程进程中的是（）。
    A.进程注入
    B.DLL注入
    C.钩子注入
    D.直接注入
18.[单选题] 在通用寄存器中，（）是数据寄存器。
    A.EAX
    B.EBX
    C.ECX
    D.EDX
19.[单选题] （）是可以记录程序详细的运行信息的调试技术。
    A.内存映射
    B.基地址重定位
    C.断点
    D.跟踪
20.[单选题] 下列说法错误的是（）。
    A.恶意代码经常使用多线程。你可以通过选择View-Threads,调出线程面板窗口，查看一个程序的当前线程
    B.单击主工具栏中的暂停按钮，可以暂停所有活动的线程
    C.给定进程中的每个线程有自己的栈，通常情况下，线程的重要数据都保存在栈中。可以使用OllyDbg的内存映射，来查看内存中栈的内容
    D.由于OllyDbg是多线程的，可能需要你先暂停所有的线程，设置一个断点后，继续运行程序，这样可以确保在一个特定线程模式内调试
21.[单选题] 当调试可以修改自身的代码的代码时，应该设置什么类型的断点（）
    A.软件执行断点
    B.硬件执行断点
    C.条件断点
    D.非条件断点
22.[单选题] 加法和减法是从目标操作数中加上或减去（）个值。
    A.0
    B.1
    C.2
    D.3
23.[单选题] 以下对各断点说法错误的是（）。
    A.查看堆栈中混淆数据内容的唯一方法时：待字符串解码函数执行完成后，查看字符串的内容，在字符串解码函数的结束位置设置软件断点
    B.条件断点是软件断点中的一种，只有某些条件得到满足时这个断点才能中断执行程序
    C.硬件断点非常强大，它可以在不改变你的代码、堆栈以及任何目标资源的前提下进行调试
    D.OllyDbg只允许你一次设置一个内存断点，如果你设置了一个新的内存断点，那么之前设置的内存断点就会被移除
24.[单选题] （）是一把双刃剑，可以用来分析内部网络、调试应用程序问题，也可以用来嗅探密码、监听在线聊天。
    A.ApateDNS
    B.Netcat
    C.INetSim
    D.Wireshark
25.[单选题] 轰动全球的震网病毒是（）。
    A.木马
    B.蠕虫病毒
    C.后门
    D.寄生型病毒
26.[多选题] 后门的功能有
    A.操作注册表
    B.列举窗口
    C.创建目录
    D.搜索文件
27.[多选题] 以下的恶意代码行为中，属于后门的是（）
    A.netcat反向shell
    B.windows反向shell
    C.远程控制工具
    D.僵尸网络
28.[多选题] OllyDbg支持的跟踪功能有（）。
    A.标准回溯跟踪
    B.堆栈调用跟踪
    C.运行跟踪
    D.边缘跟踪
29.[多选题] 运行计算机病毒，监控病毒的行为，需要一个安全、可控的运行环境的原因是什么
    A.恶意代码具有传染性
    B.可以进行隔离
    C.恶意代码难以清除
    D.环境容易搭建
30.[多选题] 对一个监听入站连接的服务应用，顺序是（）函数，等待客户端的连接。
    A.socket、bind、listen和accept
    B.socket、bind、accept和listen
    C.bind、sockect、listen和accept
    D.accept、bind、listen和socket
31.[多选题] 恶意代码编写者可以挂钩一个特殊的 Winlogon事件,比如()
    A.登录
    B.注销
    C.关机
    D.锁屏
32.[多选题] 后门拥有一套通用的功能，都有以下那些功能？（）
    A.操作注册表
    B.列举窗口
    C.创建目录
    D.搜索文件
33.[多选题] 恶意代码作者如何使用DLL（）多选
    A.保存恶意代码
    B.通过使用Windows DLL
    C.控制内存使用DLL
    D.通过使用第三方DLL
34.[多选题] 以下是分析加密算法目的的是
    A.隐藏配置文件信息。
    B.窃取信息之后将它保存到一个临时文件。
    C.存储需要使用的字符串，并在使用前对其解密。
    D.将恶意代码伪装成一个合法的工具，隐藏恶意代码
35.[多选题] IDA Pro 都有以下什么功能（）。
    A.识别函数
    B.标记函数
    C.划分出局部变量
    D.划分出参数
36.[判断题] 重新编写函数和使用恶意代码中存在的函数是两种基本方法重现恶意代码中的加密或解密函数。
    A.对
    B.错
37.[判断题] 异常只能由Bug引起
    A.对
    B.错
38.[判断题] 底层远程钩子要求钩子例程被保护在安装钩子的进程中。
    A.对
    B.错
39.[判断题] 检测加密的基本方法是使用可以搜索常见加密常量的工具，我们可以使用IDA Pro的FindCrypt2和Krypto ANALyzer插件。
    A.对
    B.错
40.[判断题] OllyDbg是一种具有可视化界面的32位汇编-分析调试器。
    A.对
    B.错
41.[判断题] C键是定义原始字节为数据
    A.对
    B.错
42.[判断题] 我们可以使用IDA Pro的FindCrypt2和Krypto ANALyzer插件来搜索常见加密常量的工具。
    A.对
    B.错
43.[判断题] 除非有上下文，否则通常情况下，被显示的数据会被格式化为八进制的值。
    A.对
    B.错
44.[判断题] 在stdcall中，前一些参数（典型的是前两个）被传到寄存器中，备用的寄存器是EDX和ECX。如果需要的话，剩下的参数再以从右到左的次序被加载到栈上。
    A.对
    B.错
45.[判断题] D键是定义原始字节为代码
    A.对
    B.错
46.[判断题] 哈希函数，是一种从任何一种数据中创建小的数字“指纹”的方法。
    A.对
    B.错
47.[判断题] 结构体通过一个作为起始指针的基地址来访问。要判断附近的数据字节类型是同一结构的组成部分，还是只是凑巧相互挨着是比较困难的，这依赖于这个结构体的上下文。
    A.对
    B.错
48.[判断题] 结构体包含相同类型的元素。
    A.对
    B.错
49.[判断题] 如果中断位于一个没有名字、没有签名或可疑的驱动中，不能表明存在Rootkit或者恶意代码。
    A.对
    B.错
50.[判断题] 命名常量在二进制文件是以常量名字来存储的
    A.对
    B.错

西南大学答案无忧答案网发布