南开大学22秋学期（高起本1709-1803、全层次1809-2103）《计算机病毒分析》在线作业一

奥鹏南开在线作业满分答案参考

22秋学期（高起本1709-奥鹏南开在线作业满分答案参考1803、全层次1809-2103）《计算机病毒分析》在线作业-00001

1.下列属于静态高级分析技术的描述是（）。
选项A：检查可执行文件但不查看具体指令的一些技术分析的目标
选项B：涉及运行恶意代码并观察系统上的行为，以移除感染，产生有效的检测特征码，或者两者
选项C：主要是对恶意代码内部机制的逆向工程，通过将可执行文件装载到反汇编器中，查看程序指令，来发现恶意代码到底做了什么
选项D：使用调试器来检查一个恶意可执行程序运行时刻的内部状态
满分答案问询微信：424329

2.当想要在函数调用使用特定的参数时才发生中断，应该设置什么类型的断点（）
选项A：软件执行断点
选项B：硬件执行断点
选项C：条件断点
选项D：非条件断点
满分答案问询微信：424329

3.函数调用约定中，参数是从右到左按序被压入栈，当函数完成时由被调用函数清理栈，并且将返回值保存在EAX中的是（）。
选项A：cdecl
选项B：stdcall
选项C：fastcall
选项D：压栈与移动
满分答案问询微信：424329

4.OllyDbg最多同时设置（）个内存断点。
选项A：1个
选项B：2个
选项C：3个
选项D：4个
满分答案问询微信：424329

5.木马与病毒的重大区别是（）。
选项A：木马会自我复制
选项B：木马具有隐蔽性
选项C：木马不具感染性
选项D：木马通过网络传播
满分答案问询微信：424329

6.（）是可以记录程序详细的运行信息的调试技术。
选项A：内存映射
选项B：基地址重定位
选项C：断点
选项D：跟踪
满分答案问询微信：424329

7.OllyDbg的硬件断点最多能设置（）个。
选项A：3个
选项B：4个
选项C：5个
选项D：6个
满分答案问询微信：424329

8.蠕虫与普通病毒相比特有的性质为（）。
选项A：传播性
选项B：隐蔽性
选项C：不利用文件寄生
选项D：破坏性
满分答案问询微信：424329

9.在以下寄存器中用于定位要执行的下一条指令的寄存器是（）。
选项A：通用寄存器
选项B：段寄存器
选项C：状态寄存器
选项D：指令指针
满分答案问询微信：424329

10.网络黑客产业链是指黑客们运用技术手段入侵服务器获取站点权限以及各类账户信息并从中谋取（）的一条产业链。
选项A：非法经济利益
选项B：经济效益
选项C：效益
选项D：利润
满分答案问询微信：424329

11.Base64编码将二进制数据转化成（）个字符的有限字符集。
选项A：16
选项B：32
选项C：48
选项D：64
满分答案问询微信：424329

12.恶意代码编写者使用（）库执行对导入表的修改，挂载DLL到己有程序文件，并且向运行的进程添加函数钩子等。
选项A：Detours库
选项B：DLL运行库
选项C：MFC
选项D：vc运行库
满分答案问询微信：424329

13.以下说法错误的是（）。
选项A：OllyDbg可以很容易修改实时数据，如寄存器和标志。它也可以将汇编形式的修补代码直接插入到一个程序
选项B：OllyDbg可以使用00项或nop指令填充程序
选项C：键单击高亮的条件跳转指令，然后选择Binary→Fill with NOPs，该操作产生的结果时NOP指令替换了JNZ指令，这个过程会把那个位置上的NOP永久保存在磁盘上，意味着恶意代码以后会接受任意输入的密钥
选项D：当异常发生时，OllyDbg会暂停运行，然后你可以使用进入异常、跳过异常、运行异常处理
等方法，来决定是否将异常转移到应用程序处理
满分答案问询微信：424329

14.以下那个窗口是操作和分析二进制的主要位置，也是反汇编代码所在的地方
选项A：函数窗口
选项B：结构窗口
选项C：反汇编窗口
选项D：二进制窗口
满分答案问询微信：424329

15.以下注册表根键中（）保存对本地机器全局设置。
选项A：HKEY_LOCAL_MACHINE(HKLM)
选项B：HKEY_CURRENT_USER(HKCU)
选项C：HKEY_CLASSES_ROOT
选项D：HKEY_CURRENT_CONFIG
满分答案问询微信：424329

16.内存中的（）节用于函数的局部变量和参数，以及控制程序执行流。
选项A：数据
选项B：堆
选项C：代码
选项D：栈
满分答案问询微信：424329

17.在获取不到高级语言源码时，（）是从机器码中能可信并保持一致地还原得到的最高一层语言。
选项A：机器指令
选项B：微指令
选项C：汇编语言
选项D：机器码
满分答案问询微信：424329

18.PE文件中的分节中唯一包含代码的节是（）。
选项A：.rdata
选项B：.text
选项C：.data
选项D：.rsrc
满分答案问询微信：424329

19.下列概念说法错误的是（）。
选项A：内存映射窗口（View→Memory）显示了被调用程序分配的使用内存块
选项B：基地址重定位是指Windows中的一个模块没有被加载到其预定基地址时发生的情况
选项C：Windows中的所有PE文件都有一个预定的基地址，它在PE文件头中被称为映像基地址
选项D：使用相对地址，无论被加载到内存的哪个位置，所有指令都能正常工作
满分答案问询微信：424329

20.计算机体系结构中，（）层是由十六进制形式的操作码组成，用于告诉处理器你想它干什么。
选项A：微指令
选项B：机器码
选项C：低级语言
选项D：高级语言
满分答案问询微信：424329

21.下列是抓包的工具是（）。
选项A：ApateDNS
选项B：Netcat
选项C：INetSim
选项D：Wireshark
满分答案问询微信：424329

22.以下Windows API类型中（）是描述一个双字节、32位的无符号数值。
选项A：WORD
选项B：DWORD
选项C：Habdles
选项D：Callback
满分答案问询微信：424329

23.当代码库被链接时，宿主操作系统会在程序被装载时搜索所需的代码库，如果程序调用了被链接的库函数，这个函数会在代码库中执行,这种链接方法是（）。
选项A：静态链接
选项B：动态链接
选项C：运行时链接
选项D：转移链接
满分答案问询微信：424329

24.以下那种互联网连接模式在宿主机和客户机之间创建了一个隔离的私有局域网
选项A：bridged
选项B：NET
选项C：Host-only
选项D：Custom
满分答案问询微信：424329

25.OllyDbg使用了一个名为（）的虚拟程序来加载DLL。
选项A：rundll32.exe
选项B：user32.dll
选项C：kernel32.dll
选项D：loaddll.exe
满分答案问询微信：424329

26.（）是Windows API的标准调用约定
选项A：cdecl
选项B：stdcall
选项C：fastcall
选项D：压栈与移动
满分答案问询微信：424329

27.微软fastcall约定备用的寄存器是（）。
选项A：EAX
选项B：ECX
选项C：EDX
选项D：EBX
满分答案问询微信：424329

28.恶意代码作者如何使用DLL（）多选
选项A：保存恶意代码
选项B：通过使用Windows DLL
选项C：控制内存使用DLL
选项D：通过使用第三方DLL
满分答案问询微信：424329

29.后门拥有一套通用的功能，都有以下那些功能？（）
选项A：操作注册表
选项B：列举窗口
选项C：创建目录
选项D：搜索文件
满分答案问询微信：424329

30.对一个监听入站连接的服务应用，顺序是（）函数，等待客户端的连接。
选项A：socket、bind、listen和accept
选项B：socket、bind、accept和listen
选项C：bind、sockect、listen和accept
选项D：accept、bind、listen和socket
满分答案问询微信：424329

31.以下是句柄是在操作系统中被打开或被创建的项的是
选项A：窗口
选项B：进程
选项C：模块
选项D：菜单
满分答案问询微信：424329

32.以下的恶意代码行为中，属于后门的是（）
选项A：netcat反向shell
选项B：windows反向shell
选项C：远程控制工具
选项D：僵尸网络
满分答案问询微信：424329

33.IDA Pro 都有以下什么功能（）。
选项A：识别函数
选项B：标记函数
选项C：划分出局部变量
选项D：划分出参数
满分答案问询微信：424329

34.恶意代码编写者可以挂钩一个特殊的 Winlogon事件,比如()
选项A：登录
选项B：注销
选项C：关机
选项D：锁屏
满分答案问询微信：424329

35.进程监视器提供默认下面四种过滤功能是（）。
选项A：注册表
选项B：文件系统
选项C：进程行为
选项D：网络
满分答案问询微信：424329

36.进程监视器（Process Monitor）是Windows系统下的高级监视工具，它提供一种方式来监控注册表、文件系统、网络、进程和线程行为。它结合并增强了两种工具的功能：文件监视器FileMon和注册表监视器RegMon。
选项A：对
选项B：错
满分答案问询微信：424329

37.大部分用户使用管理员权限，如果被病毒感染，不需要权限提升，病毒就可以获得管理员权限
选项A：对
选项B：错
满分答案问询微信：424329

38.暴力破解目的是尝试使用几个不同的XOR密钥破解，直到碰到你识别的输出为止。
选项A：对
选项B：错
满分答案问询微信：424329

39.启动器通常包含一个它要加载的恶意代码
选项A：对
选项B：错
满分答案问询微信：424329

40.Strings命令搜索二个或以上连续的ASCII或Unicode字符，并以终结符结尾的可打印字符串。
选项A：对
选项B：错
满分答案问询微信：424329

41.重命名地址可以修改自动化命名的绝对地址和栈变量。
选项A：对
选项B：错
满分答案问询微信：424329

42.命名常量在二进制文件是以常量名字来存储的
选项A：对
选项B：错
满分答案问询微信：424329

43.shr和shl指令用于对寄存器做位移操作。
选项A：对
选项B：错
满分答案问询微信：424329

44.计算机病毒分析和查找程序Bug没什么区别
选项A：对
选项B：错
满分答案问询微信：424329

45.句柄在它们引用一个对象或其他某个位置这个点上和指针是完全一样的。
选项A：对
选项B：错
满分答案问询微信：424329

46.只查看后门使用和导入的 Windows函数,不能确定后门程序实现的功能。
选项A：对
选项B：错
满分答案问询微信：424329

47.Execute till Return选项会在当前函数返回时暂停执行。如果这个函数不会终止，被调用程序会一直执行下去。
选项A：对
选项B：错
满分答案问询微信：424329

48.WinDbg是一个出色的调试器，它提供了很多OllyDbg所不具备的功能，但其中不包括支持内核调试。
选项A：对
选项B：错
满分答案问询微信：424329

49.可以对快照进行任意的分支
选项A：对
选项B：错
满分答案问询微信：424329

50.蠕虫是利用文件寄生来通过网络传播的恶性病毒。
选项A：对
选项B：错
满分答案问询微信：424329