南开21春学期2103《计算机病毒分析》在线作业2 319doc.docx
- 文档编号:28207010
- 上传时间:2023-07-09
- 格式:DOCX
- 页数:8
- 大小:19.75KB
南开21春学期2103《计算机病毒分析》在线作业2 319doc.docx
《南开21春学期2103《计算机病毒分析》在线作业2 319doc.docx》由会员分享,可在线阅读,更多相关《南开21春学期2103《计算机病毒分析》在线作业2 319doc.docx(8页珍藏版)》请在冰豆网上搜索。
南开21春学期2103《计算机病毒分析》在线作业2319doc
1.以下不是检测SSDT挂钩的方法是
A.遍历SSDT表 B.使用查杀病毒的软件 C.查找异常的函数入口地址 D.ntoskrnl.exe的地址空间是从804d7000到806cd580
【参考答案】:
B
2.基于Linux模拟常见网络服务的软件的是()。
A.ApateDNS B.Netcat C.INetSim D.Wireshark
【参考答案】:
C
3.病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组()。
A.计算机指令 B.程序代码 C.文件 D.计算机指令或者程序代码
【参考答案】:
C
4.若依次压入数字1、2、3、4,则第二次弹出来的会是()。
A.1 B.2 C.3 D.4
【参考答案】:
B
5.在以下寄存器中用于定位内存节的寄存器是()。
A.通用寄存器 B.段寄存器 C.状态寄存器 D.指令指针
【参考答案】:
B
6.以下不是解释型语言的是
A.Java B.Perl C.NET D.C
【参考答案】:
D
7.单步调试是通过()实现的
A.每条代码之前添加软件断点 B.每条代码之前添加硬件断点 C.标志寄存器中的陷阱标志(trapflag) D.标志寄存器中的zf标志位
【参考答案】:
C
8.可以按()键定义原始字节为代码。
A.C键 B.D键 C.shiftD键 D.U键
【参考答案】:
A
9.下列对内核套件的描述正确的是()。
A.恶意代码将自身安装到一台计算机来允许攻击者访问 B.这是一类只是用来下载其他恶意代码的恶意代码 C.用来启动其他恶意程序的恶意代码 D.设计用来隐藏其他恶意代码的恶意代码网络造成破坏的软件
【参考答案】:
D
10.恶意代码编写者使用()库执行对导入表的修改,挂载DLL到己有程序文件,并且向运行的进程添加函数钩子等。
A.Detours库 B.DLL运行库 C.MFC D.vc运行库
【参考答案】:
A
11.以下那种互联网连接模式允许虚拟机与物理机连接到相同的物理网卡上
A.bridged B.NET C.Host-only D.Custom
【参考答案】:
A
12.一共有()个硬件寄存器存储断点的地址
A.1个 B.3个 C.4个 D.7个
【参考答案】:
C
13.当要判断某个内存地址含义时,应该设置什么类型的断点()
A.软件执行断点 B.硬件执行断点 C.条件断点 D.非条件断点
【参考答案】:
B
14.木马与病毒的重大区别是()。
A.木马会自我复制 B.木马具有隐蔽性 C.木马不具感染性 D.木马通过网络传播
【参考答案】:
C
15.在WinDbg的搜索符号中,()命令允许你使用通配符来搜索函数或者符号。
A.bu B.x C.Ln D.dt
【参考答案】:
B
16.()是一把双刃剑,可以用来分析内部网络、调试应用程序问题,也可以用来嗅探密码、监听在线聊天。
A.ApateDNS B.Netcat C.INetSim D.Wireshark
【参考答案】:
D
17.()常被一种叫做击键记录器的恶意程序所使用,被用来记录击键。
A.DLL注入 B.直接注入 C.APC注入 D.钩子注入
【参考答案】:
D
18.当调试可以修改自身的代码的代码时,应该设置什么类型的断点()
A.软件执行断点 B.硬件执行断点 C.条件断点 D.非条件断点
【参考答案】:
B
19.直接将恶意代码注入到远程进程中的是()。
A.进程注入 B.DLL注入 C.钩子注入 D.直接注入
【参考答案】:
D
20.以下运行DLL文件的语法格式不正确的是()。
A.C:
\rundll32.exerip.dll,Install B.C:
\rundll32.exerip.dll,#5 C.C:
\rundll32rip.dll,InstallServiceServiceNameC:
\netstartServiceName D.C:
\scrip.dll
【参考答案】:
D
21.在获取不到高级语言源码时,()是从机器码中能可信并保持一致地还原得到的最高一层语言。
A.机器指令 B.微指令 C.汇编语言 D.机器码
【参考答案】:
C
22.以下对各断点说法错误的是()。
A.查看堆栈中混淆数据内容的唯一方法时:
待字符串解码函数执行完成后,查看字符串的内容,在字符串解码函数的结束位置设置软件断点 B.条件断点是软件断点中的一种,只有某些条件得到满足时这个断点才能中断执行程序 C.硬件断点非常强大,它可以在不改变你的代码、堆栈以及任何目标资源的前提下进行调试 D.OllyDbg只允许你一次设置一个内存断点,如果你设置了一个新的内存断点,那么之前设置的内存断点就会被移除
【参考答案】:
C
23.ApateDNS在本机上监听UDP()端口。
A.53 B.69 C.161 D.80
【参考答案】:
A
24.用户模式下的APC要求线程必须处于()状态。
A.阻塞状态 B.计时等待状态 C.可警告的等待状态 D.被终止状态
【参考答案】:
C
25.PE文件中的分节中唯一包含代码的节是()。
A..rdata B..text C..data D..rsrc
【参考答案】:
B
26.恶意代码常用注册表()
A.存储配置信息 B.收集系统信息 C.永久安装自己 D.网上注册
【参考答案】:
ABC
27.()是WindowsAPI的标准调用约定
A.cdecl B.stdcall C.fastcall D.压栈与移动
【参考答案】:
BC
28.以下对个各个插件说法正确的是()。
A.OllyDump是OllyDbg最常使用的插件,它能够将一个被调试的进程转储成一个PE文件 B.为了防止恶意代码使用反调试技术,恶意代码分析人员通常在分析恶意代码期间,一直运行调试器隐藏插件 C.OllyDbg的命令行插件允许你用命令行来使用OllyDbg D.OllyDbg默认情况下自带书签插件,书签插件可以将一个内存位置加到书签中,利用书签,下次不需要记住就可以轻松获取那个内存地址
【参考答案】:
ABCD
29.对下面汇编代码的分析正确的是()。
A.mov[ebpvar_4],0对应循环变量的初始化步骤 B.addeax,1对应循环变量的递增,在循环中其最初会通过一个跳转指令而跳过 C.比较发生在cmp处,循环决策在jge处通过条件跳转指令而做出 D.在循环中,通过一个无条件跳转jmp,使得循环变量每次进行递增。
【参考答案】:
ABCD
30.OllyDbg支持的跟踪功能有()。
A.标准回溯跟踪 B.堆栈调用跟踪 C.运行跟踪 D.边缘跟踪
【参考答案】:
ABC
31.恶意代码编写者可以挂钩一个特殊的Winlogon事件,比如()
A.登录 B.注销 C.关机 D.锁屏
【参考答案】:
ABCD
32.微软fastcall约定备用的寄存器是()。
A.EAX B.ECX C.EDX D.EBX
【参考答案】:
BC
33.名字窗口,列举哪些内存地址的名字
A.函数名 B.代码的名字 C.数据的名字 D.字符串
【参考答案】:
ABCD
34.调试器可以用来改变程序的执行方式。
可以通过修改()方式来改变程序执行的方式。
A.修改控制标志 B.修改指令指针 C.修改程序本身 D.修改文件名
【参考答案】:
ABC
35.对一个监听入站连接的服务应用,顺序是()函数,等待客户端的连接。
A.socket、bind、listen和accept B.socket、bind、accept和listen C.bind、sockect、listen和accept D.accept、bind、listen和socket
【参考答案】:
ABCD
36.Netcat被称为“TCP/IP协议栈瑞士军刀”,可以被用在支持端口扫描、隧道、代理、端口转发等的对内对外连接上。
在监听模式下,Netcat充当一个服务器,而在连接模式下作为一个客户端。
Netcat从标准输入得到数据进行网络传输,而它得到的数据,又可以通过标准输出显示到屏幕上。
T.对 F.错
【参考答案】:
T
37.有时,某个标准符号常量不会显示,这时你需要手动加载有关的类型库
T.对 F.错
【参考答案】:
T
38.下载器通常会与漏洞利用打包在一起
T.对 F.错
【参考答案】:
T
39.一个网络程序通常有两个端点:
服务端和客户端。
而恶意代码只能是这两端中客户端。
T.对 F.错
【参考答案】:
F
40.IP地址127.0.0.1会被表示为0x7F000001,而在小端字节序下,表示为0x7F000001。
T.对 F.错
【参考答案】:
F
41.基于链接的分析中,URLDownloadToFile()一般提示计算机病毒会从Internet上下载一个文件
T.对 F.错
【参考答案】:
T
42.在编译器对源码进行编译完成时,还是可以判断源代码使用的是一个常量符号还是一个数字。
T.对 F.错
【参考答案】:
F
43.病毒特征码关注是恶意代码对系统做什么,而主机特征码关注恶意代码本身的特性。
T.对 F.错
【参考答案】:
F
44.这种进程替换技术让恶意代码与被替换进程拥有相同的特权级。
T.对 F.错
【参考答案】:
T
45.恶意代码经常使用自创的加密方法,比如将多个简单加密方法组装到一起。
T.对 F.错
【参考答案】:
T
46.导入表窗口能够列举一个文件的所有导入函数。
T.对 F.错
【参考答案】:
T
47.在默认情况下,IDAPro的反汇编代码中包含PE头或资源节
T.对 F.错
【参考答案】:
F
48.DLL注入时,启动器恶意代码没有调用一个恶意函数。
如前面所述,恶意的代码都位于DllMain函数中,当操作系统将DLL加载到内存时,操作系统会自动调用这些代码。
DLL注入启动器的目的用恶意DLL作为参数,调用createRemoteThread创建远程线程LoadLibrary。
T.对 F.错
【参考答案】:
T
49.WinDbg支持在命令行中使用简单的算数操作符,对内存和寄存器进行直接的操作,如加减乘除。
T.对 F.错
【参考答案】:
T
50.shr和shl指令用于对寄存器做位移操作。
T.对 F.错
【参考答案】:
T
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 计算机病毒分析 南开21春学期2103计算机病毒分析在线作业2 319doc 南开 21 学期 2103 计算机病毒 分析 在线 作业 319 doc