南开大学23年春学期《计算机病毒分析》在线作业二

奥鹏南开大学新学期作业参考

23春学期（高起本：1709-2103、专升本/高起专：1909-2103）《计算机病毒分析》在线作业-00002

以下哈希值做的事是（）
A:将哈希值作为标签使用
B:与其他分析师分享哈希值，以帮助他们来识别恶意代码
C:通过哈希值计算文件的生成日期
D:在线搜索这段哈希值，看看这个文件是否已经被识别
正确答案问询微信：424329

当要判断某个内存地址含义时，应该设置什么类型的断点（）
A:软件执行断点
B:硬件执行断点
C:条件断点
D:非条件断点
正确答案问询微信：424329

以下注册表根键中（）保存定义的类型信息。
A:HKEY_LOCAL_MACHINE(HKLM)
B:HKEY_CURRENT_USER(HKCU)
C:HKEY_CLASSES_ROOT
D:HKEY奥鹏南开大学新学期作业参考 代做2元一门_CURRENT_CONFIG
正确答案问询微信：424329

当代码库被链接时，宿主操作系统会在程序被装载时搜索所需的代码库，如果程序调用了被链接的库函数，这个函数会在代码库中执行,这种链接方法是（）。
A:静态链接
B:动态链接
C:运行时链接
D:转移链接
正确答案问询微信：424329

反病毒软件主要是依靠（）来分析识别可疑文件。
A:文件名
B:病毒文件特征库
C:文件类型
D:病毒文件种类
正确答案问询微信：424329

下列说法错误的是（）。
A:恶意代码经常使用多线程。你可以通过选择View-Threads,调出线程面板窗口，查看一个程序的当前线程
B:单击主工具栏中的暂停按钮，可以暂停所有活动的线程
C:给定进程中的每个线程有自己的栈，通常情况下，线程的重要数据都保存在栈中。可以使用OllyDbg的内存映射，来查看内存中栈的内容
D:由于OllyDbg是多线程的，可能需要你先暂停所有的线程，设置一个断点后，继续运行程序，这样可以确保在一个特定线程模式内调试
正确答案问询微信：424329

WinDbg的内存窗口支持通过命令来浏览内存，以下WinDbg读选项中，（）选项描述读取内存数据并以ASCII文本显示。
A:da
B:du
C:dd
D:dc
正确答案问询微信：424329

下列概念说法错误的是（）。
A:内存映射窗口（View→Memory）显示了被调用程序分配的使用内存块
B:基地址重定位是指Windows中的一个模块没有被加载到其预定基地址时发生的情况
C:Windows中的所有PE文件都有一个预定的基地址，它在PE文件头中被称为映像基地址
D:使用相对地址，无论被加载到内存的哪个位置，所有指令都能正常工作
正确答案问询微信：424329

下列论述错误的是（）。
A:数组是相似数据项的有序集合
B:结构体和数组相似，但是它们包括不同类型的元素
C:使用一个链表，被链接项的访问次序与数据项被保存在内存或磁盘上的次序必须一样
D:在汇编代码中，数组是通过使用一个基地址作为起始点来进行访问的。
正确答案问询微信：424329

病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组（）。
A:计算机指令
B:程序代码
C:文件
D:计算机指令或者程序代码
正确答案问询微信：424329

OllyDbg最多同时设置（）个内存断点。
A:1个
B:2个
C:3个
D:4个
正确答案问询微信：424329

堆是程序运行时动态分配的内存，用户一般通过（）、new等函数申请内存。
A:scanf
B:printf
C:malloc
D:free
正确答案问询微信：424329

在以下寄存器中用于定位内存节的寄存器是（）。
A:通用寄存器
B:段寄存器
C:状态寄存器
D:指令指针
正确答案问询微信：424329

当调试可以修改自身的代码的代码时，应该设置什么类型的断点（）
A:软件执行断点
B:硬件执行断点
C:条件断点
D:非条件断点
正确答案问询微信：424329

而0x52000000对应0x52这个值使用的是（）字节序。
A:小端
B:大端
C:终端
D:前端
正确答案问询微信：424329

捕获Poison Ivy为shellcode分配内存的最好方法是（）。
A:软件断点
B:硬件断点
C:内存断点
D:条件断点
正确答案问询微信：424329

以下不是GFI沙箱的缺点的是（）。
A:沙箱只能简单地运行可执行程序，不能带有命令行选项
B:沙箱环境的操作系统对恶意代码来说可能不正确
C:沙箱不能提供安全的虚拟环境
D:恶意代码如果检测到了虚拟机，将会停止运行，或者表现异常。不是所有的沙箱都能完善地考虑这个问题
正确答案问询微信：424329

基于Linux模拟常见网络服务的软件的是（）。
A:ApateDNS
B:Netcat
C:INetSim
D:Wireshark
正确答案问询微信：424329

下列对进程浏览器属性栏的描述错误的是（）。
A:线程标签显示所有活跃的线程
B:TCP/IP标签活跃的连接和进程监听的端口
C:镜像标签显示磁盘上可执行程序的路径
D:字符串标签，通过比较包含在磁盘上可执行文件的字符串与内存中同一个可执行文件的字符串，来看两者是否相同
正确答案问询微信：424329

OllyDbg的硬件断点最多能设置（）个。
A:3个
B:4个
C:5个
D:6个
正确答案问询微信：424329

线程创建需要系统开销，（）能够调用一个现有的线程。
A:进程注入
B:直接注入
C:Hook注入
D:APC注入
正确答案问询微信：424329

以下不是解释型语言的是
A:Java
B:Perl
C:NET
D:C
正确答案问询微信：424329

可以按（ ）键定义原始字节为代码。
A:C键
B:D键
C:shift D键
D:U键
正确答案问询微信：424329

一共有（）个硬件寄存器存储断点的地址
A:1个
B:3个
C:4个
D:7个
正确答案问询微信：424329

Shell是一个命令解释器，它解释（）的命令并且把它们送到内核。
A:系统输入
B:用户输入
C:系统和用户输入
D:输入
正确答案问询微信：424329

微软fastcall约定备用的寄存器是（）。
A:EAX
B:ECX
C:EDX
D:EBX
正确答案问询微信：424329

OllyDbg提供了多种机制来帮助分析，包括下面几种（）。
A:日志
B:监视
C:帮助
D:标注
正确答案问询微信：424329

以下是分析加密算法目的的是
A:隐藏配置文件信息。
B:窃取信息之后将它保存到一个临时文件。
C:存储需要使用的字符串，并在使用前对其解密。
D:将恶意代码伪装成一个合法的工具，隐藏恶意代码
正确答案问询微信：424329

（）是Windows API的标准调用约定
A:cdecl
B:stdcall
C:fastcall
D:压栈与移动
正确答案问询微信：424329

以下对个各个插件说法正确的是（）。
A:OllyDump是OllyDbg最常使用的插件，它能够将一个被调试的进程转储成一个PE文件
B:为了防止恶意代码使用反调试技术，恶意代码分析人员通常在分析恶意代码期间，一直运行调试器隐藏插件
C:OllyDbg的命令行插件允许你用命令行来使用OllyDbg
D:OllyDbg默认情况下自带书签插件，书签插件可以将一个内存位置加到书签中，利用书签，下次不需要记住就可以轻松获取那个内存地址
正确答案问询微信：424329

以下方法中是识别标准加密算法的方法是（）。[多选]
A:识别涉及加密算法使用的字符串
B:识别引用导入的加密函数
C:搜索常见加密常量的工具
D:查找高熵值的内容
正确答案问询微信：424329

% System Root%system32driverstcpudp.sys中的登陆记录都包括（）
A:用户名
B:Windows域名称
C:密码
D:旧密码
正确答案问询微信：424329

名字窗口，列举哪些内存地址的名字
A:函数名
B:代码的名字
C:数据的名字
D:字符串
正确答案问询微信：424329

IDA Pro 都有以下什么功能（）。
A:识别函数
B:标记函数
C:划分出局部变量
D:划分出参数
正确答案问询微信：424329

恶意代码编写者可以挂钩一个特殊的 Winlogon事件,比如()
A:登录
B:注销
C:关机
D:锁屏
正确答案问询微信：424329

未知的计算机病毒不存在不确定性
A:对
B:错
正确答案问询微信：424329

病毒必须能自我执行和自我复制。
A:对
B:错
正确答案问询微信：424329

程序运行过程中,虽然寄存器的值和内存的地址是不断变化的,但是依旧可以在运行时访问寄存器的值和内存地址
A:对
B:错
正确答案问询微信：424329

在默认情况下，IDA Pro的反汇编代码中包含PE头或资源节
A:对
B:错
正确答案问询微信：424329

导入表窗口能够列举一个文件的所有导入函数。
A:对
B:错
正确答案问询微信：424329

下载器通常会与异常处理打包在一起
A:对
B:错
正确答案问询微信：424329

OllyDbg中内存断点一次只能设置一个，而硬件断点可以设置4个。
A:对
B:错
正确答案问询微信：424329

异常机制不允许一个程序在普通执行流程之外处理事件。
A:对
B:错
正确答案问询微信：424329

WinDbg的内存窗口不支持通过命令来浏览内存。
A:对
B:错
正确答案问询微信：424329

蠕虫或计算机病毒是可以自我复制和感染其他计算机的恶意代码。
A:对
B:错
正确答案问询微信：424329

病毒特征码关注是恶意代码对系统做什么，而主机特征码关注恶意代码本身的特性。
A:对
B:错
正确答案问询微信：424329

当一个程序被加壳后，你必须对它进行脱壳，才能够执行进一步分析。
A:对
B:错
正确答案问询微信：424329

在完成程序的过程中，通用寄存器它们是完全通用的。
A:对
B:错
正确答案问询微信：424329

IDA Pro是一款抓包工具。
A:对
B:错
正确答案问询微信：424329

重命名地址可以修改自动化命名的绝对地址和栈变量。
A:对
B:错
正确答案问询微信：424329