奥鹏南开《计算机病毒分析》20春期末考核doc文档格式.docx
- 文档编号:14582266
- 上传时间:2022-10-23
- 格式:DOCX
- 页数:7
- 大小:18.94KB
奥鹏南开《计算机病毒分析》20春期末考核doc文档格式.docx
《奥鹏南开《计算机病毒分析》20春期末考核doc文档格式.docx》由会员分享,可在线阅读,更多相关《奥鹏南开《计算机病毒分析》20春期末考核doc文档格式.docx(7页珍藏版)》请在冰豆网上搜索。
一个恶意可执行程序运行时刻的内部状态
C
3.可以按()键定义原始字节为代码。
A.C键B.D键C.shiftD键D.U键
4.以下WindowsAPI类型中()是表示一个将会被WindowsAPI调用的
函数。
A.WORDB.DWORDC.HabdlesD.Callback
D
5.用IDAPm对一个程序进行反汇编时,字节偶尔会被错误的分类。
可
以对错误处按()键来取消函数代码或数据的定义。
A.C键B.D键C.shift+D键D.U键
6•反病毒软件主要是依靠()来分析识别可疑文件。
A.文件名B.病毒文件特征库C.文件类型D.病毒文件种类
【参考答案】:
B
7.IDApro支持()种图形选项
A.1种B.3种C.5种D.7种
8.以下对各断点说法错误的是()o
A.查看堆栈中混淆数据内容的唯一方法时:
待字符审解码函数执行完成后,查看字符串的内容,在字符吊解码函数的结束位置设置软件断点B.条件断点是软
件断点中的一种,只有某些条件得到满足时这个断点才能中断执行程序C.
硬件断点非常强大,它可以在不改变你的代码、堆栈以及任何LI标资源的前提下进行调试D.OllyDbg只允许你一次设置一个内存断点,如果你设置了一个新的内存断点,那么之前设置的内存断点就会被移除
9•在通用寄存器中,()是数据寄存器。
A.EAXB.EBXC.ECXD.EDX
10.WinDbg的内存窗口支持通过命令来浏览内存,以下WinDbg读选项中,()选项描述读取内存数据并以内存32位双字显示。
A.daB.duC.ddD.de
c
11•下面说法错误的是()O
A・启动器通常在text节存储恶意代码,当启动器运行时,它在运行嵌入的可执行程序或者DLL程序之前,从该节将恶意代码提取出来B•隐藏启动的最流行技术是进程注入。
顾名思义,这种技术是将代码注入到另外一个正在运行的进程中,而被注入的进程会不知不觉地运行注入的代码C.DLL注入是进程注入的一种形式,它强迫一个远程进程加载恶意DLL程序,同时它也是最常使用的秘密加载技术D.直接注入比DLL注入更加灵活,但是要想注入的代码在不对宿主进程产生副作用的前提下成功运行,直接注入需要大量的定制代码。
这种技术可以被用来注入编译过的代码,但更多的时候,它用来注入shellcode
12.当要判断某个内存地址含义时,应该设置什么类型的断点()
A.软件执行断点B.硬件执行断点C.条件断点D.非条件断点
13.011yDbg的硬件断点最多能设置()个。
A.3个B.4个C.5个D.6个
14.PE文件中的分节中唯一包含代码的节是()o
A.・rdataB・・textC・・dataD・・rsrc
15.轰动全球的震网病毒是()。
A.木马B.蠕虫病毒C.后门D.寄生型病毒
16.以下是句柄是在操作系统中被打开或被创建的项的是
A.窗口B.进程C.模块D.菜单
17.011yDbg提供了多种机制来帮助分析,包括下面几种()。
A.日志B.监视C.帮助D.标注
ABCD
恶意代码常用注册表0
A.存储配置信息B.收集系统信息C.永久安装自己D.网上注册
ABC
19.进程监视器提供默认下面四种过滤功能是()。
A.注册表B.文件系统C.进程行为D.网络
20.INetSim可以模拟的网络服务有()。
A.HTTPB.FTPC.IRCD.DNS
21.以下的恶意代码行为中,属于后门的是()
A.netcat反向shellB.windows反向shellC.远程控制—匸具D.僵尸
网络
22.后门的功能有
A.操作注册表B.列举窗口C.创建目录D.搜索文件
23.对一个监听入站连接的服务应用,顺序是()函数,等待客户端的
连接。
A.socket、bind、listen和acceptB・socket、bind^accept和listenC・bind>
sockect>
listenWacceptD・accept、bind>
listen和socket
24.微软fastcall约定备用的寄存器是()。
A.EAXB.ECXC.EDXD.EBX
BC
25.运行计算机病毒,监控病毒的行为,需要一个安全、可控的运行环
境的原因是什么
A.恶意代码具有传染性B.可以进行隔离C.恶意代码难以清除D.环
境容易搭建
26.编码不仅仅影响通信,它也可以使恶意代码更加难以分析和理解。
T.对F.错
27.蠕虫或计算机病毒是可以自我复制和感染其他计算机的恶意代码。
28.恶意的应用程序会挂钩一个经常使用的Windows消息。
29.除非有上下文,否则通常情况下,被显示的数据会被格式化为八进
制的值。
30.哈希函数,是一种从任何一种数据中创建小的数字“指纹”的方法。
31.Base64加密用ASCII字符串格式表示十六进制数据。
32.CreateFile()这个函数被用来创建和打开文件。
33.OllyDbg的插件以DLL形式存在,如果要安装某个插件,你将这个插件的DLL放到OllyDbg的安装根目录下即可。
34.微软符号也包含多个数据结构的类型信息,但并不包括没有被公开的内部类型。
35.在完成程序的过程中,通用寄存器它们是完全通用的。
36.简述计算机病毒使用标准加密算法库函数时存在的问题。
(1)加密算法的库文件很大,所以恶意代码需要静态的集成或者链接到已有的代码中。
(2)链接主机上现有的代码可能降低可移植性。
(3)标准加密库比较容易探测。
(4)对称加密算法需要考虑如何隐藏密钥。
37.为了隐蔽自身,计算机病毒的使用了多种技术将恶意代码隐藏到正常的Windows资源空间中。
请简述计算机病毒如何使用APC注入技术实现恶意代码的隐蔽启动。
异步过程调用APC可以让一个线程在它正常的执行路径运行之前执行一些其它的代码。
每一个线程都有一个附加的APC队列,它们在线程处于可警告的等待状态时被处理。
如果应用程序在线程可警告等待状态时(未运行之询)排入一个APC队列,那么线程将从调用APC函数开始。
线程逐个调用APC队列中的所有APCoAPC队列完成时,线程才继续沿着它规定的路径执行。
恶意代码编写者为了让他们的代码立即获得执行,他们用APC抢占可警告等待状态的线程。
38.简述计算机病毒使用的自定义加密方案。
恶意代码经常使用自创的加密方法,一种方案是将多个简单加密方法组装到一起,例如,恶意代码可以先执行一次XOR加密,然后在XOR加密基础上执行Base64加密。
另外一种方案就是开发一种与标准加密算法相似的自定义加密算法。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 计算机病毒分析 南开 计算机病毒 分析 20 期末 考核 doc