南开大学22秋学期（高起本1709-1803、全层次1809-2103）《计算机病毒分析》在线作业三

奥鹏南开在线作业满分答案参考

22秋学期（高起本1709-1803、全层次1809-2103）《计算机病毒分析》在线作业-00003

1.能调试内核的调试器是（）
选项A：OllyDbg
选项B：IDA Pro
选项C：WinDbg
选项D：Process Explorer
满分答案问询微信：424329

2.对应a++的汇编代码是（）。
选项A：move eax,[ebp+var_4]
选项B：sub eax,[ebp+var_8]
选项C：sub eax,1
选项D：add eax,1
满分答案问询微信：424329

3.下列属于静态高级分析技术的描述是（）。
选项A：检查可执行文件但不查看具体指令的一些技术分析的目标
选项B：涉及运行恶意代码并观察系统上的行为，以移除感染，产生有效的检测特征码，或者两者
选项C：主要是对恶意代码内部机制的逆向工程，通过将可执行文件装载到反汇编器中，查看程序指令，来发现恶意代码到底做了什么
选项D：使用调试器来检查一个恶意可执行程序运行时刻的内部状态
满分答案问询微信：424329

4.参数是从右到左按序被压入栈，当函数完成时由被调用者清理栈的是（）。
选项A：cdecl
选项B：stdcall
选项C：fastcall
选项D：压栈与移动
满分答案问询微信：424329

5.下列概念说法错误的是（）。
选项A：内存映射窗口（View→Memory）显示了被调用程序分配的使用内存块
选项B：基地址重定位是指Windows中的一个模块没有被加载到其预定基地址时发生的情况
选项C：Windows中的所有PE文件都有一个预定的基地址，它在PE文件头中被称为映像基地址
选项D：使用相对地址，无论被加载到内存的哪个位置，所有指令都能正常工作
满分答案问询微信：424329

6.以下不是解释型语言的是
选项A：Java
选项B：Perl
选项C：NET
选项D：C
满分答案问询微信：424329

7.下面说法错误的是（）。
选项A：启动器通常在text节存储恶意代码，当启动器运行时，它在运行嵌入的可执行程序或者DLL程序之前，从该节将恶意代码提取出来
选项B：隐藏启动的最流行技术是进程注入。顾名思义，这种技术是将代码注入到另外一个正在运行的进程中，而被注入的进程会不知不觉地运行注入的代码
选项C：DLL注入是进程注入的一种形式，它强迫一个远程进程加载恶意DLL程序，同时它也是最常使用的秘密加载技术
选项D：直接注入比DLL注入更加灵活，但是要想注入的代码在不对宿主进程产生副作用的前提下成功运行，直接注入需要大量的定制代码。这种技术可以被用来注入编译过的代码，但更多的时候，它用来注入shellcode
满分答案问询微信：424329

8.（）列出了所有活跃的进程、被进程载入的DLL、各种进程属性和整体系统信息。
选项A：进程监视器
选项B：进程浏览器
选项C：沙箱
选项D：Regshot
满分答案问询微信：424329

9.在图形模式中，以下哪种颜色的箭头表示的路径表示一个无条件跳转被采用了
选项A：红色
选项B：黄色
选项C：蓝色
选项D：绿色
满分答案问询微信：424329

10.当要判断某个内存地址含义时，应该设置什么类型的断点（）
选项A：软件执行断点
选项B：硬件执行断点
选项C：条件断点
选项D：非条件断点
满分答案问询微信：424329

11.进程浏览器的功能不包括（）。
奥鹏南开在线作业满分答案参考 选项A：比较进程浏览器中的DLL列表与在Dependency Walker工具中显示的导入DLL列表来判断一个DLL是否被加载到进程
选项B：单击验证按钮，可以验证磁盘上的镜像文件是否具有微软的签名认证
选项C：比较运行前后两个注册表的快照，发现差异
选项D：一种快速确定一个文档是否恶意的方法，就是打开进程浏览器，然后打开文档。若文档启动了任意进程，你能进程浏览器中看到，并能通过属性窗口中的镜像来定位恶意代码在磁盘上的位置。
满分答案问询微信：424329

12.多数DLL会在PE头的（）打包一个修订位置的列表。
选项A：.text节
选项B：.data节
选项C：.rsrc节
选项D：.reloc节
满分答案问询微信：424329

13.以下Windows API类型中（）是表示一个将会被Windows API调用的函数。
选项A：WORD
选项B：DWORD
选项C：Habdles
选项D：Callback
满分答案问询微信：424329

14.以下那种互联网连接模式允许虚拟机与物理机连接到相同的物理网卡上
选项A：bridged
选项B：NET
选项C：Host-only
选项D：Custom
满分答案问询微信：424329

15.（）常被一种叫做击键记录器的恶意程序所使用，被用来记录击键 。
选项A：DLL注入
选项B：直接注入
选项C：APC注入
选项D：钩子注入
满分答案问询微信：424329

16.病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组（）。
选项A：计算机指令
选项B：程序代码
选项C：文件
选项D：计算机指令或者程序代码
满分答案问询微信：424329

17.对以下代码分析错误的是（）。
选项A：jnz为条件跳转，而jmp为无条件跳转
选项B：while循环与for循环的汇编代码非常相似，唯一的区别在于它缺少一个递增
选项C：while循环停止重复执行的唯一方式，就是那个期望发生的条件跳转
选项D：while循环总要进入一次
满分答案问询微信：424329

18.Hook技术的应用不包括（）
选项A：实现增强的二次开发或补丁
选项B：信息截获
选项C：安全防护
选项D：漏洞分析
满分答案问询微信：424329

19.以下对各断点说法错误的是（）。
选项A：查看堆栈中混淆数据内容的唯一方法时：待字符串解码函数执行完成后，查看字符串的内容，在字符串解码函数的结束位置设置软件断点
选项B：条件断点是软件断点中的一种，只有某些条件得到满足时这个断点才能中断执行程序
选项C：硬件断点非常强大，它可以在不改变你的代码、堆栈以及任何目标资源的前提下进行调试
选项D：OllyDbg只允许你一次设置一个内存断点，如果你设置了一个新的内存断点，那么之前设置的内存断点就会被移除
满分答案问询微信：424329

20.当一个库被链接到可执行程序时，所有这个库中的代码都会复制到可执行程序中去，这种链接方法是（）。
选项A：静态链接
选项B：动态链接
选项C：运行时链接
选项D：转移链接
满分答案问询微信：424329

21.IDA pro支持（）种图形选项
选项A：1种
选项B：3种
选项C：5种
选项D：7种
满分答案问询微信：424329

22.以下不是GFI沙箱的缺点的是（）。
选项A：沙箱只能简单地运行可执行程序，不能带有命令行选项
选项B：沙箱环境的操作系统对恶意代码来说可能不正确
选项C：沙箱不能提供安全的虚拟环境
选项D：恶意代码如果检测到了虚拟机，将会停止运行，或者表现异常。不是所有的沙箱都能完善地考虑这个问题
满分答案问询微信：424329

23.蠕虫与普通病毒相比特有的性质为（）。
选项A：传播性
选项B：隐蔽性
选项C：不利用文件寄生
选项D：破坏性
满分答案问询微信：424329

24.可以按（ ）键定义原始字节为代码。
选项A：C键
选项B：D键
选项C：shift D键
选项D：U键
满分答案问询微信：424329

25.以下哈希值做的事是（）
选项A：将哈希值作为标签使用
选项B：与其他分析师分享哈希值，以帮助他们来识别恶意代码
选项C：通过哈希值计算文件的生成日期
选项D：在线搜索这段哈希值，看看这个文件是否已经被识别
满分答案问询微信：424329

26.后门的功能有
选项A：操作注册表
选项B：列举窗口
选项C：创建目录
选项D：搜索文件
满分答案问询微信：424329

27.微软fastcall约定备用的寄存器是（）。
选项A：EAX
选项B：ECX
选项C：EDX
选项D：EBX
满分答案问询微信：424329

28.IDA Pro 都有以下什么功能（）。
选项A：识别函数
选项B：标记函数
选项C：划分出局部变量
选项D：划分出参数
满分答案问询微信：424329

29.运行计算机病毒，监控病毒的行为，需要一个安全、可控的运行环境的原因是什么
选项A：恶意代码具有传染性
选项B：可以进行隔离
选项C：恶意代码难以清除
选项D：环境容易搭建
满分答案问询微信：424329

30.下列说法正确的是（）。
选项A：IDA Pro有一个在识别结构方面很有用的图形化工具
选项B：从反汇编代码来看，很难知道原始代码是一个switch语句还是一个if语句序列
选项C：switch中各无条件跳转相互影响
选项D：使用了一个跳转表，来更加高效地运行switch结构汇编代码
满分答案问询微信：424329

31.对一个监听入站连接的服务应用，顺序是（）函数，等待客户端的连接。
选项A：socket、bind、listen和accept
选项B：socket、bind、accept和listen
选项C：bind、sockect、listen和accept
选项D：accept、bind、listen和socket
满分答案问询微信：424329

32.以下是分析加密算法目的的是
选项A：隐藏配置文件信息。
选项B：窃取信息之后将它保存到一个临时文件。
选项C：存储需要使用的字符串，并在使用前对其解密。
选项D：将恶意代码伪装成一个合法的工具，隐藏恶意代码
满分答案问询微信：424329

33.下面属于OllyDbg插件的有（）。
选项A：OllyDump
选项B：调试器隐藏插件
选项C：命令行
选项D：书签
满分答案问询微信：424329

34.OllyDbg支持的跟踪功能有（）。
选项A：标准回溯跟踪
选项B：堆栈调用跟踪
选项C：运行跟踪
选项D：边缘跟踪
满分答案问询微信：424329

35.后门拥有一套通用的功能，都有以下那些功能？（）
选项A：操作注册表
选项B：列举窗口
选项C：创建目录
选项D：搜索文件
满分答案问询微信：424329

36.EIP指令指针的唯一作用就是告诉处理器接下来干什么。
选项A：对
选项B：错
满分答案问询微信：424329

37.在编译器对源码进行编译完成时，还是可以判断源代码使用的是一个常量符号还是一个数字。
选项A：对
选项B：错
满分答案问询微信：424329

38.最近安装的钩子放在链的末尾，而最早安装的钩子放在前头，也就是先加入的先获得控制权
选项A：对
选项B：错
满分答案问询微信：424329

39.在操作系统中所有的文件都不可以通过名字空间进行访问。
选项A：对
选项B：错
满分答案问询微信：424329

40.导入表窗口能够列举一个文件的所有导入函数。
选项A：对
选项B：错
满分答案问询微信：424329

41.结构体包含相同类型的元素。
选项A：对
选项B：错
满分答案问询微信：424329

42.哈希函数，是一种从任何一种数据中创建小的数字“指纹”的方法。
选项A：对
选项B：错
满分答案问询微信：424329

43.恶意代码可以通过创建一个新进程，或修改一个已存在的进程，来执行当前程序之外的代码。
选项A：对
选项B：错
满分答案问询微信：424329

44.硬件层是唯一一个物理层，由电子电路组成。
选项A：对
选项B：错
满分答案问询微信：424329

45.COM可以支持任何编程语言，并且被设计成一种可复用的软件组件，并可以被所有程序所利用。
选项A：对
选项B：错
满分答案问询微信：424329

46.计算机病毒分析和查找程序Bug没什么区别
选项A：对
选项B：错
满分答案问询微信：424329

47.在默认情况下，IDA Pro的反汇编代码中包含PE头或资源节
选项A：对
选项B：错
满分答案问询微信：424329

48.静态分析基础技术是非常简单，同时也可以非常快速应用的，但它在针对复杂的恶意代码时很大程度上是无效的，而且它可能会错过一些重要的行为。
选项A：对
选项B：错
满分答案问询微信：424329

49.不同的杀毒软件使用了相同的的特征库和启发式检测方法。
选项A：对
选项B：错
满分答案问询微信：424329

50.启动器只能后期执行恶意程序
选项A：对
选项B：错
满分答案问询微信：424329