超前自学网南开大学

南开大学23年春学期《计算机病毒分析》在线作业三

奥鹏南开大学新学期作业参考

23春学期(高起本:1709-2103、专升本/高起专:1909-2103)《计算机病毒分析》在线作业-00003

内存中的()节用于函数的局部变量和参数,以及控制程序执行流。
A:数据
B:堆
C:代码
D:栈
正确答案问询微信:424329

PE文件中的分节中唯一包含代码的节是()。
A:.rdata
B:.text
C:.data
D:.rsrc
正确答案问询微信:424329

轰动全球的震网病毒是()。
A:木马
B:蠕虫病毒
C:后门
D:寄生型病毒
正确答案问询微信:424329

Windows?钩子(HOOK)指的是()
A:钩子是指?Windows?窗口函数
B:钩子是一种应用程序
C:钩子的本质是一个用以处理消息的函数,用来检查和修改传给某程序的信息
D:钩子是一种网络通信程序
正确答案问询微信:424329

以下对各断点说法错误的是()。
A:查看堆栈中混淆数据内容的唯一方法时:待字符串解码函数执行完成后,查看字符串的内容,在字符串解码函数的结束位置设置软件断点
B:条件断点是软件断点中的一种,只有某些条件得到满足时这个断点才能中断执行程序
C:硬件断点非常强大,它可以在不改变你的代码、堆栈以及任何目标资源的前提下进行调试
D:OllyDbg只允许你一次设置一个内存断点,如果你设置了一个新的内存断点,那么之前设置的内存断点就会被移除
正确答案问询微信:424329

在通用寄存器中,()是基址寄存器。
A:EAX
B:EBX
C:ECX
D:EDX
正确答案问询微信:424329

多数DLL会在PE头的()打包一个修订位置的列表。
A:.text节
B:.data节
C:.rsrc节
D:.reloc节
正确答案问询微信:424329

进程浏览器的功能不包括()。
A:比较进程浏览器中的DLL列表与在Dependency Walker工具中显示的导入DLL列表来判断一个DLL是否被加载到进程
B:单击验证按钮,可以验证磁盘上的镜像文件是否具有微软的签名认证
C:比较运行前后两个注册表的快照,发现差异
D:一种快速确定一个文档是否恶意的方法,就是打开进程浏览器,然后打开文档。若文档启动了任意进程,你能进程浏览器中看到,并能通过属性窗口中的镜像来定位恶意代码在磁盘上的位置。
正确答案问询微信:424329

下列属于静态高级分析技术的描述是()。
A:检查可执行文件但不查看具体指令的一些技术分析的目标
B:涉及运行恶意代码并观察系统上的行为,以移除感染,产生有效的检测特征码,或者两者
C:主要是对恶意代码内部机制的逆向工程,通过将可执行文件装载到反汇编器中,查看程序指令,来发现恶意代码到底做了什么
D:使用调试器来检查一个恶意可执行程序运行时刻的内部状态
正确答案问询微信:424329

当代码库被链接时,宿主操作系统会在程序被装载时搜索所需的代码库,如果程序调用了被链接的库函数,这个函数会在代码库中执行,这种链接方法是()。
A:静态链接
B:动态链接
C:运行时链接
D:转移链接
正确答案问询微信:424329

蠕虫与普通病毒相比特有的性质为()。
A:传播性
B:隐蔽性
C:不利用文件寄生
D:破坏性
正确答案问询微信:424329

以下说法错误的是()。
A:OllyDbg可以很容易修改实时数据,如寄存器和标志。它也可以将汇编形式的修补代码直接插入到一个程序
B:OllyDbg可以使用00项或nop指令填充程序
C:键单击高亮的条件跳转指令,然后选择Binary→Fill with NOPs,该操作产生的结果时NOP指令替换了JNZ指令,这个过程会把那个位置上的NOP永久保存在磁盘上,意味着恶意代码以后会接受任意输入的密钥
D:当异常发生时,OllyDbg会暂停运行,然后你可以使用进入异常、跳过异常、运行异常处理
等方法,来决定是否将异常转移到应用程序处理
正确答案问询微信:424329

参数是从右到左按序被压入栈,当函数完成时由被调用者清理栈的是()。
A:cdecl
B:stdcall
C:fastcall
D:压栈与移动
正确答案问询微信:424329

APC可以让一个线程在它正常的执行路径运行之前执行一些其他的代码。每一个线程都有一个附加的APC队列,它们在线程处于()时被处理。
A:阻塞状态
B:计时等待状态
C:可警告的等待状态
D:被终止状态
正确答案问询微信:424329

以下哈希值做的事是()
A:将哈希值作为标签使用
B:与其他分析师分享哈希值,以帮助他们来识别恶意代码
C:通过哈希值计算文件的生成日期
D:在线搜索这段哈希值,看看这个文件是否已经被识别
正确答案问询微信:424329

()是一把双刃剑,可以用来分析内部网络、调试应用程序问题,也可以用来嗅探密码、监听在线聊天。
A:ApateDNS
B:Netcat
C:INetSim
D:Wireshark
正确答案问询微信:424329

()能够将一个被调试的进程转储为一个PE文件
A:OllyDump
B:调试器隐藏插件
C:命令行
D:书签
正确答案问询微信:424329

下列说法错误的是()。
A:fastcall的前一些参数被传到寄存器中,剩下的参数从右到左被加载到栈上
B:不同的编译器会选择使用不同的指令来执行相同的操作
C:VS的函数参数在调用前被移动到栈上
D:即使是同一个编译器,在调用约定方面也可能存在差别。
正确答案问询微信:424329

以下注册表根键中()保存定义的类型信息。
A:HKEY_LOCAL_MACHINE(HKLM)
B:HKEY_CURRENT_USER(HKCU)
C:HKEY_CLASSES_ROOT
D:HKEY_CURRENT_CONFIG
正确答案问询微信:424329

在以下寄存器中用于定位要执行的下一条指令的寄存器是()。
A:通用寄存器
B:段寄存器
C:状态寄存器
D:指令指针
正确答案问询微信:424329

注入shellcode属于()。
A:进程注入
B:DLL注入
C:钩子注入
D:直接注入
正确答案问询微信:424329

下列说法错误的是()。
A:恶意代码经常使用多线程。你可以通过选择View-Threads,调出线程面板窗口,查看一个程序的当前线程
B:单击主工具栏中的暂停按钮,可以暂停所有活动的线程
C:给定进程中的每个线程有自己的栈,通常情况下,线程的重要数据都保存在栈中。可以使用OllyDbg的内存映射奥鹏南开大学新学期作业参考 代做2元一门,来查看内存中栈的内容
D:由于OllyDbg是多线程的,可能需要你先暂停所有的线程,设置一个断点后,继续运行程序,这样可以确保在一个特定线程模式内调试
正确答案问询微信:424329

单步调试是通过( )实现的
A:每条代码之前添加软件断点
B:每条代码之前添加硬件断点
C:标志寄存器中的陷阱标志( trap flag)
D:标志寄存器中的zf标志位
正确答案问询微信:424329

Shell是一个命令解释器,它解释()的命令并且把它们送到内核。
A:系统输入
B:用户输入
C:系统和用户输入
D:输入
正确答案问询微信:424329

下列关于OllyDbg运行恶意代码说法错误的是()。
A:OllyDbg有几种调试恶意代码的方法,可以用它直接加载可执行文件,甚至加载DLL程序
B:如果恶意代码已经在你的系统上运行,你可以通过附加进程的方式调试它
C:另外,OllyDbg是一个灵活的调试系统,可以用命令行选项运行恶意代码,甚至支持执行DLL中某个函数
D:可以在在加载恶意代码程序之前给OllyDbg传入命令行参数
正确答案问询微信:424329

运行计算机病毒,监控病毒的行为,需要一个安全、可控的运行环境的原因是什么
A:恶意代码具有传染性
B:可以进行隔离
C:恶意代码难以清除
D:环境容易搭建
正确答案问询微信:424329

以下对个各个插件说法正确的是()。
A:OllyDump是OllyDbg最常使用的插件,它能够将一个被调试的进程转储成一个PE文件
B:为了防止恶意代码使用反调试技术,恶意代码分析人员通常在分析恶意代码期间,一直运行调试器隐藏插件
C:OllyDbg的命令行插件允许你用命令行来使用OllyDbg
D:OllyDbg默认情况下自带书签插件,书签插件可以将一个内存位置加到书签中,利用书签,下次不需要记住就可以轻松获取那个内存地址
正确答案问询微信:424329

OllyDbg支持的跟踪功能有()。
A:标准回溯跟踪
B:堆栈调用跟踪
C:运行跟踪
D:边缘跟踪
正确答案问询微信:424329

OllyDbg提供了多种机制来帮助分析,包括下面几种()。
A:日志
B:监视
C:帮助
D:标注
正确答案问询微信:424329

恶意代码作者如何使用DLL()多选
A:保存恶意代码
B:通过使用Windows DLL
C:控制内存使用DLL
D:通过使用第三方DLL
正确答案问询微信:424329

以下方法中是识别标准加密算法的方法是()。[多选]
A:识别涉及加密算法使用的字符串
B:识别引用导入的加密函数
C:搜索常见加密常量的工具
D:查找高熵值的内容
正确答案问询微信:424329

IDA Pro 都有以下什么功能()。
A:识别函数
B:标记函数
C:划分出局部变量
D:划分出参数
正确答案问询微信:424329

下面属于OllyDbg插件的有()。
A:OllyDump
B:调试器隐藏插件
C:命令行
D:书签
正确答案问询微信:424329

% System Root%system32driverstcpudp.sys中的登陆记录都包括()
A:用户名
B:Windows域名称
C:密码
D:旧密码
正确答案问询微信:424329

后门拥有一套通用的功能,都有以下那些功能?()
A:操作注册表
B:列举窗口
C:创建目录
D:搜索文件
正确答案问询微信:424329

普通病毒的传染能力主要是针对计算机内的文件系统而言。
A:对
B:错
正确答案问询微信:424329

编码不仅仅影响通信,它也可以使恶意代码更加难以分析和理解。
A:对
B:错
正确答案问询微信:424329

在编译器对源码进行编译完成时,还是可以判断源代码使用的是一个常量符号还是一个数字。
A:对
B:错
正确答案问询微信:424329

我们怀疑一个XOR加密的可执行文件时,其中针对单字节加密的一种对策是暴力破解。
A:对
B:错
正确答案问询微信:424329

结构体通过一个作为起始指针的基地址来访问。要判断附近的数据字节类型是同一结构的组成部分,还是只是凑巧相互挨着是比较困难的,这依赖于这个结构体的上下文。
A:对
B:错
正确答案问询微信:424329

下载器从互联网上下载其它的病毒,然后在服务器系统中运行
A:对
B:错
正确答案问询微信:424329

反向 shell或者作为一个单独的恶意代码存在,或者作为一个复杂后门程序中的组件而存在。
A:对
B:错
正确答案问询微信:424329

病毒必须能自我执行和自我复制。
A:对
B:错
正确答案问询微信:424329

nop指令什么事情都不做。当它出现时,直接执行下一条指令。
A:对
B:错
正确答案问询微信:424329

.text节中的操作码都会驻留在内存中。
A:对
B:错
正确答案问询微信:424329

启动器通常包含一个它要加载的恶意代码
A:对
B:错
正确答案问询微信:424329

硬件层是唯一一个物理层,由电子电路组成。
A:对
B:错
正确答案问询微信:424329

一个网络程序通常有两个端点:服务端和客户端。而恶意代码只能是这两端中客户端。
A:对
B:错
正确答案问询微信:424329

加壳的目的是使计算机病毒更难被检测和分析
A:对
B:错
正确答案问询微信:424329

cmp指令不设置标志位,其执行结果是ZF和CF标志位不发生变化。
A:对
B:错
正确答案问询微信:424329

分享到:

提供优质的教育资源

公众号: 超前自学网