南开大学23年秋学期《计算机病毒分析》在线作业二

奥鹏南开大学23年秋季新学期作业参考

23秋学期（仅限-高起专1909、专升本1909）《计算机病毒分析》在线作业-00002

（）列出了所有活跃的进程、被进程载入的DLL、各种进程属性和整体系统信息。
A:进程监视器
B:进程浏览器
C:沙箱
D:Regshot
正确答案问询微信：424329

以下那种互联网连接模式在宿主机和客户机之间创建了一个隔离的私有局域网
A:bridged
B:NET
C:Host-only
D:Custom
正确答案问询微信：424329

下列是抓包的工具是（）。
A:ApateDNS
B:Netcat
C:INetSim
D:Wireshark
正确答案问询微信：424329

IDA pro支持（）种图形选项
A:1种
B:3种
C:5种
D:7种
正确答案问询微信：424329

下列属于静态高级分析技术的描述是（）。
A:检查可执行文件但不查看具体指令的一些技术分析的目标
B:涉及运行恶意代码并观察系统上的行为，以移除感染，产生有效的检测特征码，或者两者
C:主要是对恶意代码内部机制的逆向工程，通过将可执行文件装载到反汇编器中，查看程序指令，来发现恶意代码到底做了什么
D:使用调试器来检查一个恶意可执行程序运行时刻的内部状态
正确答案问询微信：424329

函数调用约定中，参数是从右到左按序被压入栈，当函数完成时由被调用函数清理栈，并且将返回值保存在EAX中的是（）。
A:cdecl
B:stdcall
C:fastcall
D:压栈与移动
正确答案问询微信：424329

加法和减法是从目标操作数中加上或减去（）个值。
A:0
B:1
C:2
D:3
正确答案问询微信：424329

以下那种互联网连接模式允许虚拟机与物理机连接到相同的物理网卡上
A:bridged
B:NET
C:Host-only
D:Custom
正确答案问询微信：424329

以下注册表根键中（）保存定义的类型信息。
A:HKEY_LOCAL_MACHINE(HKLM)
B:HKEY_CURRENT_USER(HKCU)
C:HKEY_CLASSES_ROOT
D:HKEY_CURRENT_CONFIG
正确答案问询微信：424329

下列概念说法错误的是（）。
A:内存映射窗口（View→Memory）显示了被调用程序分配的使用内存块
B:基地址重定位是指Windows中的一个模块没有被加载到其预定基地址时发生的情况
C:Windows中的所有PE文件都有一个预定的基地址，它在PE文件头中被称为映像基地址
D:使用相对地址，无论被加载到内存的哪个位置，所有指令都能正常工作
正确答案问询微信：424329

参数是从右到左按序被压入栈，当函数完成时由被调用者清理栈的是（）。
A:cdecl
B:stdcall
C:fastcall
D:压栈与移动
正确答案问询微信：424329

Strings程序搜索（）或以上连续的ASCII或Unicode字符，并以终结符结尾的可打印字符串。
A:2个
B:3个
C:1个
D:0个
正确答案问询微信：424329

在通用寄存器中，（）是数据寄存器。
A:EAX
B:EBX
C:ECX
D:EDX
正确答案问询微信：424329

以下对各断点说法错误的是（）。
A:查看堆栈中混淆数据内容的唯一方法时：待字符串解码函数执行完成后，查看字符串的内容，在字符串解码函数的结束位置设置软件断点
B:条件断点是软件断点中的一种，只有某些条件得到满足时这个断点才能中断执行程序
C:硬件断点非常强大，它可以在不改变你的代码、堆栈以及任何目标资源的前提下进行调试
D:OllyDbg只允许你一次设置一个内存断点，如果你设置了一个新的内存断点，那么之前设置的内存断点就会被移除
正确答案问询微信：424329

线程创建需要系统开销，（）能够调用一个现有的线程。
A:进程注入
B:直接注入
C:Hook注入
D:APC注入
正确答案问询微信：424329

ApateDNS在本机上监听UDP（）端口。
A:53
B:69
C:161
D:80
正确答案问询微信：424329

以下注册表根键中（）保存对本地机器全局设置。
A:HKEY_LOCAL_MACHINE(HKLM)
B:HKEY_CURRENT_USER(HKCU)
C:HKEY_CLASSES_ROOT
D:HKEY_CURRENT_CONFIG
正确答案问询微信：424329

以下不是检测SSDT挂钩的方法是
A:遍历SSDT表
B:使用查杀病毒的软件
C:查找异常的函数入口地址
D:ntoskrnl.exe的地址空间是从804d7000到806cd580
正确答案问询微信：424329

在以下的库函数中（）是用来从远程套接字接收数据。
A:socket
B:recv
C:accept
D:bind
正确答案问询微信：424329

WinDbg的内存窗口支持通过命令来浏览内存，以下WinDbg读选项中，（）选项描述读取内存数据并以ASCII文本显示。
A:da
B:du
C:dd
D:dc
正确答案问询微信：424329

以下不是GFI沙箱的缺点的是（）。
A:沙箱只能简单地运行可执行程序，不能带有命令行选项
B:沙箱环境的操作系统对恶意代码来说可能不正确
C:沙箱不能提供安全的虚拟环境
D:恶意代码如果检测到了虚拟机，将会停止运行，或者表现异常。不是所有的沙箱都能完善地考虑这个问题
正确答案问询微信：424329

若依次压入数字1、2、3、4，则第二次弹出来的会是（）。
A:1
B:2
C:3
D:4
正确答案问询微信：424329

以下逻辑运算符中是位移指令的是（）
A:OR、AND
B:Shr和shl
C:ror和rol
D:XOR
正确答案问询微信：424329

直接将恶意代码注入到远程进程中的是（）。
A:进程注入
B:DLL注入
C:钩子注入
D:直接注入
正确答案问询微信：424329

可以按（ ）键定义原始字节为代码。
A:C键
B:D键
C:shift D键
D:U键
正确答案问询微信：424329

IDA Pro 都有以下什么功能（）。
A:识别函数
B:标记函数
C:划分出局部变量
D:划分出参数
正确答案问询微信：424329

恶意代码作者如何使用DLL（）多选
A:保存恶意代码
B:通过使用Windows DLL
C:控制内存使用DLL
D:通过使用第三方DLL
正确答案问询微信：424329

对下面汇编代码的分析正确的是（）。
A:mov [ebp+var_4],0对应循环变量的初始化步骤
B:add eax,1对应循环变量的递增，在循环中其最初会通过一个跳转指令而跳过
C:比较发生在cmp处，循环决策在jge处通过条件跳转指令而做出
D:在循环中，通过一个无条件跳转jmp，使得循环变量每次进行递增。
正确答案问询微信：4奥鹏南开大学23年秋季新学期作业参考24329

恶意代码编写者可以挂钩一个特殊的 Winlogon事件,比如()
A:登录
B:注销
C:关机
D:锁屏
正确答案问询微信：424329

% System Root%system32driverstcpudp.sys中的登陆记录都包括（）
A:用户名
B:Windows域名称
C:密码
D:旧密码
正确答案问询微信：424329

（）是Windows API的标准调用约定
A:cdecl
B:stdcall
C:fastcall
D:压栈与移动
正确答案问询微信：424329

后门拥有一套通用的功能，都有以下那些功能？（）
A:操作注册表
B:列举窗口
C:创建目录
D:搜索文件
正确答案问询微信：424329

名字窗口，列举哪些内存地址的名字
A:函数名
B:代码的名字
C:数据的名字
D:字符串
正确答案问询微信：424329

以下对个各个插件说法正确的是（）。
A:OllyDump是OllyDbg最常使用的插件，它能够将一个被调试的进程转储成一个PE文件
B:为了防止恶意代码使用反调试技术，恶意代码分析人员通常在分析恶意代码期间，一直运行调试器隐藏插件
C:OllyDbg的命令行插件允许你用命令行来使用OllyDbg
D:OllyDbg默认情况下自带书签插件，书签插件可以将一个内存位置加到书签中，利用书签，下次不需要记住就可以轻松获取那个内存地址
正确答案问询微信：424329

OllyDbg支持的跟踪功能有（）。
A:标准回溯跟踪
B:堆栈调用跟踪
C:运行跟踪
D:边缘跟踪
正确答案问询微信：424329

单步执行代码时，调试器每执行一条指令就会产生一次中断。
A:对
B:错
正确答案问询微信：424329

大部分用户使用管理员权限，如果被病毒感染，不需要权限提升，病毒就可以获得管理员权限
A:对
B:错
正确答案问询微信：424329

定义原始字节为ASCII字符串
A:对
B:错
正确答案问询微信：424329

OllyDbg是一种具有可视化界面的32位汇编-分析调试器。
A:对
B:错
正确答案问询微信：424329

内核模式中，普通Win32函数是不能直接调用
A:对
B:错
正确答案问询微信：424329

如果中断位于一个没有名字、没有签名或可疑的驱动中，不能表明存在Rootkit或者恶意代码。
A:对
B:错
正确答案问询微信：424329

当你想要调试一个正在运行的恶意代码是，OllyDbg也支持附加到一个正在运行的进程，此刻OllyDbg会立即暂停这个程序以及它所有的线程。
A:对
B:错
正确答案问询微信：424329

普通病毒的传染能力主要是针对计算机内的文件系统而言。
A:对
B:错
正确答案问询微信：424329

启动器只能后期执行恶意程序
A:对
B:错
正确答案问询微信：424329

用.reg作为扩展的文件不能包含人类可读的注册表数据。
A:对
B:错
正确答案问询微信：424329

可以在用户模式下无限制地设置软件断点。
A:对
B:错
正确答案问询微信：424329

在 XOR加密中，逆向解密与加密不是使用同一函数。
A:对
B:错
正确答案问询微信：424329

最近安装的钩子放在链的末尾，而最早安装的钩子放在前头，也就是先加入的先获得控制权
A:对
B:错
正确答案问询微信：424329

IP地址127.0.0.1会被表示为0x7F000001,而在小端字节序下，表示为0x7F000001。
A:对
B:错
正确答案问询微信：424329

反汇编时，IDA Pro会决定对反汇编的每一条指令的操作数如何进行格式化
A:对
B:错
正确答案问询微信：424329