超前自学网南开大学23年春《计算机病毒分析》在线作业三
奥鹏南开大学新学期作业参考
23春学期(仅限-高起专1903、专升本1903)《计算机病毒分析》在线作业-00003
函数调用约定中,参数是从右到左按序被压入栈,当函数完成时由被调用函数清理栈,并且将返回值保存在EAX中的是()。
A:cdecl
B:stdcall
C:fastcall
D:压栈与移动
正确答案问询微信:424329
在以下寄存器中用于定位要执行的下一条指令的寄存器是()。
A:通用寄存器
B:段寄存器
C:状态寄存器
D:指令指针
正确答案问询微信:424329
()是可以记录程序详细的运行信息的调试技术。
A:内存映射
B:基地址重定位
C:断点
D:跟踪
正确答案问询微信:424329
当调试可以修改自身的代码的代码时,应该设置什么类型的断点()
A:软件执行断点
B:硬件执行断点
C:条件断点
D:非条件断点
正确答案问询微信:424329
()是一种设置自身或其他恶意代码片段以达到即时或将来秘密运行的恶意代码。
A:后门
B:下载器
C:启动器
D:内核嵌套
正确答案问询微信:424329
下列说法错误的是()。
A:fastcall的前一些参数被传到寄存器中,剩下的参数从右到左被加载到栈上
B:不同的编译器会选择使用不同的指令来执行相同的操作
C:VS的函数参数在调用前被移动到栈上
D:即使是同一个编译器,在调用约定方面也可能存在差别。
正确答案问询微信:424329
堆是程序运行时动态分配的内存,用户一般通过()、new等函数申请内存。
A:scanf
B:printf
C:malloc
D:free
正确答案问询微信:424329
下面说法错误的是()。
A:启动器通常在text节存储恶意代码,当启动器运行时,它在运行嵌入的可执行程序或者DLL程序之前,从该节将恶意代码提取出来
B:隐藏启动的最流行技术是进程注入。顾名思义,这种技术是将代码注入到另外一个正在运行的进程中,而被注入的进程会不知不觉地运行注入的代码
C:DLL注入是进程注入的一种形式,它强迫一个远程进程加载恶意DLL程序,同时它也是最常使用的秘密加载技术
D:直接注入比DLL注入更加灵活,但是要想注入的代码在不对宿主进程产生副作用的前提下成功运行,直接注入需要大量的定制代码。这种技术可以被用来注入编译过的代码,但更多的时候,它用来注入shellcode
正确答案问询微信:424329
下列属于静态高级分析技术的描述是()。
A:检查可执行文件但不查看具体指令的一些技术分析的目标
B:涉及运行恶意代码并观察系统上的行为,以移除感染,产生有效的检测特征码,或者两者
C:主要是对恶意代码内部机制的逆向工程,通过将可执行文件装载到反汇编器中,查看程序指令,来发现恶意代码到底做了什么
D:使用调试器来检查一个恶意可执行程序运行时刻的内部状态
正确答案问询微信:424329
能调试内核的调试器是()
A:OllyDbg
B:IDA Pro
C:WinDbg
D:Process Explorer
正确答案问询微信:424329
Strings程序搜索()或以上连续的ASCII或Unicode字符,并以终结符结尾的可打印字符串。
A:2个
B:3个
C:1个
D:0个
正确答案问询微信:424329
Windows?钩子(HOOK)指的是()
A:钩子是指?Windows?窗口函数
B:钩子是一种应用程序
C:钩子的本质是一个用以处理消息的函数,用来检查和修改传给某程序的信息
D:钩子是一种网络通信程序
正确答案问询微信:424329
以下对各断点说法错误的是()。
A:查看堆栈中混淆数据内容的唯一方法时:待字符串解码函数执行完成后,查看字符串的内容,在字符串解码函数的结束位置设置软件断点
B:条件断点是软件断点中的一种,只有某些条件得到满足时这个断点才能中断执行程序
C:硬件断点非常强大,它可以在不改变你的代码、堆栈以及任何目标资源的前提下进行调试
D:OllyDbg只允许你一次设置一个内存断点,如果你设置了一个新的内存断点,那么之前设置的内存断点就会被移除
正确答案问询微信:424329
OllyDbg使用了一个名为()的虚拟程序来加载DLL。
A:rundll32.exe
B:user32.dll
C:kernel32.dll
D:loaddll.exe
正确答案问询微信:424329
若依次压入数字1、2、3、4,则第二次弹出来的会是()。
A:1
B:2
C:3
D:4
正确答案问询微信:424329
用户模式下的APC要求线程必须处于()状态。
A:阻塞状态
B:计时等待状态
C:可警告的等待状态
D:被终止状态
正确答案问询微信:424329
下列说法错误的是()。
A:恶意代码经常使用多线程。你可以通过选择View-Threads,调出线程面板窗口,查看一个程序的当前线程
B:单击主工具栏中的暂停按钮,可以暂停所有活动的线程
C:给定进程中的每个线程有自己的栈,通常情况下,线程的重要数据都保存在栈中。可以使用OllyDbg的内存映射,来查看内存中栈的内容
D:由于OllyDbg是多线程的,可能需要你先暂停所有的线程,设置一个断点后,继续运行程序,这样可以确保在一个特定线程模式内调试
正确答案问询微信:424329
当单击Resource Hacker工具中分析获得的条目时,看不到的是
A:字符串
B:二进制代码
C:图标
D:菜单
正确答案问询微信:424329
下列是抓包的工具是()。
A:ApateDNS
B:Netcat
C:INetSim
D:Wireshark
正确答案问询微信:424329
下列对内核套件的描述正确的是()。
A:恶意代码将自身安装到一台计算机来允许攻击者访问
B:这是一类只是用来下载其他恶意代码的恶意代码
C:用来启动其他恶意程序的恶意代码
D:设计用来隐藏其他恶意代码的恶意代码网络造成破坏的软件
正确答案问询微信:424329
在WinDbg的搜索符号中, ()命令允许你使用通配符来搜索函数或者符号。
A:bu
B:x
C:Ln
D:dt
正确答案问询微信:424329
单步调试是通过( )实现的
A:每条代码之前添加软件断点
B:每条代码之前奥鹏南开大学新学期作业参考 代做2元一门添加硬件断点
C:标志寄存器中的陷阱标志( trap flag)
D:标志寄存器中的zf标志位
正确答案问询微信:424329
内存中的()节用于函数的局部变量和参数,以及控制程序执行流。
A:数据
B:堆
C:代码
D:栈
正确答案问询微信:424329
以下不是GFI沙箱的缺点的是()。
A:沙箱只能简单地运行可执行程序,不能带有命令行选项
B:沙箱环境的操作系统对恶意代码来说可能不正确
C:沙箱不能提供安全的虚拟环境
D:恶意代码如果检测到了虚拟机,将会停止运行,或者表现异常。不是所有的沙箱都能完善地考虑这个问题
正确答案问询微信:424329
对以下代码分析错误的是()。
A:jnz为条件跳转,而jmp为无条件跳转
B:while循环与for循环的汇编代码非常相似,唯一的区别在于它缺少一个递增
C:while循环停止重复执行的唯一方式,就是那个期望发生的条件跳转
D:while循环总要进入一次
正确答案问询微信:424329
恶意代码的存活机制有()
A:修改注册表
B:特洛伊二进制文件
C:DLL加载顺序劫持
D:自我消灭
正确答案问询微信:424329
()是Windows API的标准调用约定
A:cdecl
B:stdcall
C:fastcall
D:压栈与移动
正确答案问询微信:424329
以下的恶意代码行为中,属于后门的是()
A:netcat反向shell
B:windows反向shell
C:远程控制工具
D:僵尸网络
正确答案问询微信:424329
进程监视器提供默认下面四种过滤功能是()。
A:注册表
B:文件系统
C:进程行为
D:网络
正确答案问询微信:424329
以下是分析加密算法目的的是
A:隐藏配置文件信息。
B:窃取信息之后将它保存到一个临时文件。
C:存储需要使用的字符串,并在使用前对其解密。
D:将恶意代码伪装成一个合法的工具,隐藏恶意代码
正确答案问询微信:424329
恶意代码常用注册表()
A:存储配置信息
B:收集系统信息
C:永久安装自己
D:网上注册
正确答案问询微信:424329
% System Root%system32driverstcpudp.sys中的登陆记录都包括()
A:用户名
B:Windows域名称
C:密码
D:旧密码
正确答案问询微信:424329
对一个监听入站连接的服务应用,顺序是()函数,等待客户端的连接。
A:socket、bind、listen和accept
B:socket、bind、accept和listen
C:bind、sockect、listen和accept
D:accept、bind、listen和socket
正确答案问询微信:424329
下面属于OllyDbg插件的有()。
A:OllyDump
B:调试器隐藏插件
C:命令行
D:书签
正确答案问询微信:424329
对下面汇编代码的分析正确的是()。
A:mov [ebp+var_4],0对应循环变量的初始化步骤
B:add eax,1对应循环变量的递增,在循环中其最初会通过一个跳转指令而跳过
C:比较发生在cmp处,循环决策在jge处通过条件跳转指令而做出
D:在循环中,通过一个无条件跳转jmp,使得循环变量每次进行递增。
正确答案问询微信:424329
这种进程替换技术让恶意代码与被替换进程拥有相同的特权级。
A:对
B:错
正确答案问询微信:424329
为了在用户模式中操作硬件或改变内核中的状态,必须依赖Windows API。
A:对
B:错
正确答案问询微信:424329
可以在用户模式下无限制地设置软件断点。
A:对
B:错
正确答案问询微信:424329
使用运行时链接的可执行程序,只有当需要使用函数时,才链接到库,而并不是像动态链接模式一样在程序启动时就会链接。
A:对
B:错
正确答案问询微信:424329
DLL注入时,启动器恶意代码没有调用一个恶意函数。如前面所述,恶意的代码都位于DllMain函数中,当操作系统将DLL加载到内存时,操作系统会自动调用这些代码。DLL注入启动器的目的用恶意DLL作为参数,调用createRemoteThread创建远程线程LoadLibrary。
A:对
B:错
正确答案问询微信:424329
标准加密库比较容易探测不是使用标准的加密存在一些潜在的漏洞。
A:对
B:错
正确答案问询微信:424329
.text节中的操作码都会驻留在内存中。
A:对
B:错
正确答案问询微信:424329
应用程序可能包含处理INT3异常的指令,但附加调试器到程序后,应用程序将获得首先处理异常的权限。
A:对
B:错
正确答案问询微信:424329
程序运行过程中,虽然寄存器的值和内存的地址是不断变化的,但是依旧可以在运行时访问寄存器的值和内存地址
A:对
B:错
正确答案问询微信:424329
恶意的应用程序会挂钩一个经常使用的Windows消息。
A:对
B:错
正确答案问询微信:424329
用户调试比起内核调试模式来说更加复杂,因为进行用户调试时,操作系统将被冻结。
A:对
B:错
正确答案问询微信:424329
对于简单的加密和编码方法,不可以使用编程语言提供的标准函数。
A:对
B:错
正确答案问询微信:424329
OllyDbg中内存断点一次只能设置一个,而硬件断点可以设置4个。
A:对
B:错
正确答案问询微信:424329
不同的杀毒软件使用了相同的的特征库和启发式检测方法。
A:对
B:错
正确答案问询微信:424329
EIP指令指针的唯一作用就是告诉处理器接下来干什么。
A:对
B:错
正确答案问询微信:424329
