超前自学网南开大学23年秋学期《计算机病毒分析》在线作业一
奥鹏南开大学23年秋季新学期作业参考
23秋学期(仅限-高起专1909、专升本1909)《计算机病毒分析》在线作业-00001
木马与病毒的重大区别是()。
A:木马会自我复制
B:木马具有隐蔽性
C:木马不具感染性
D:木马通过网络传播
正确答案问询微信:424329
能调试内核的调试器是()
A:OllyDbg
B:IDA Pro
C:WinDbg
D:Process Explorer
正确答案问询微信:424329
函数调用约定中,参数是从右到左按序被压入栈,当函数完成时由被调用函数清理栈,并且将返回值保存在EAX中的是()。
A:cdecl
B:stdcall
C:fastcall
D:压栈与移动
正确答案问询微信:424329
计算机体系结构中,()层是由十六进制形式的操作码组成,用于告诉处理器你想它干什么。
A:微指令
B:机器码
C:低级语言
D:高级语言
正确答案问询微信:424329
以下不是检测SSDT挂钩的方法是
A:遍历SSDT表
B:使用查杀病毒的软件
C:查找异常的函数入口地址
D:ntoskrnl.exe的地址空间是从804d7000到806cd580
正确答案问询微信:424329
以下那种互联网连接模式在宿主机和客户机之间创建了一个隔离的私有局域网
A:bridged
B:NET
C:Host-only
D:Custom
正确答案问询微信:424329
()常被一种叫做击键记录器的恶意程序所使用,被用来记录击键 。
A:DLL注入
B:直接注入
C:APC注入
D:钩子注入
正确答案问询微信:424329
OllyDbg表示运行异常处理的快捷键是()。
A:Shift+F6
B:Shift+F7
C:Shift+F8
D:Shift+F9
正确答案问询微信:424329
一共有()个硬件寄存器存储断点的地址
A:1个
B:3个
C:4个
D:7个
正确答案问询微信:424329
以下哈希值做的事是()
A:将哈希值作为标签使用
B:与其他分析师分享哈希值,以帮助他们来识别恶意代码
C:通过哈希值计算文件的生成日期
D:在线搜索这段哈希值,看看这个文件是否已经被识别
正确答案问询微信:424329
OllyDbg的硬件断点最多能设置()个。
A:3个
B:4个
C:5个
D:6个
正确答案问询微信:424329
恶意代码指的是()。
A:计算机病毒
B:间谍软件
C:内核嵌套
D:任何对用户、计算机或网络造成破坏的软件
正确答案问询微信:424329
下列说法错误的是()。
A:恶意代码经常使用多线程。你可以通过选择View-Threads,调出线程面板窗口,查看一个程序的当前线程
B:单击主工具栏中的暂停按钮,可以暂停所有活动的线程
C:给定进程中的每个线程有自己的栈,通常情况下,线程的重要数据都保存在栈中。可以使用OllyDbg的内存映射,来查看内存中栈的内容
D:由于OllyDbg是多线程的,可能需要你先暂停所有的线程,设置一个断点后,继续运行程序,这样可以确保在一个特定线程模式内调试
正确答案问询微信:424329
以下注册表根键中()保存对本地机器全局设置。
A:HKEY_LOCAL_MACHINE(HKLM)
B:HKEY_CURRENT_USER(HKCU)
C:HKEY_CLASSES_ROOT
D:HKEY_CURRENT_CONFIG
正确答案问询微信:424329
以下逻辑运算符中是位移指令的是()
A:OR、AND
B:Shr和shl
C:ror和rol
D:XOR
正确答案问询微信:424329
IDA pro支持()种图形选项
A:1种
B:3种
C:5种
D:7种
正确答案问询微信:424329
PE文件中的分节中包含由可执行文件所使用的资源的是()。
A:.rdata
B:.text
C:.data
D:.rsrc
正确答案问询微信:424329
下列说法错误的是()。
A:fastcall的前一些参数被传到寄存器中,剩下的参数从右到左被加载到栈上
B:不同的编译器会选择使用不同的指令来执行相同的操作
C:VS的函数参数在调用前被移动到栈上
D:即使是同一个编译器,在调用约定方面也可能存在差别。
正确答案问询微信:424329
当单击Resource Hacker工具中分析获得的条目时,看不到的是
A:字符串
B:二进制代码
C:图标
D:菜单
正确答案问询微信:424329
以下Windows API类型中()是表示一个将会被Windows API调用的函数。
A:WORD
B:DWORD
C:Habdles
D:Callback
正确答案问询微信:424329
注入shellcode属于()。
A:进程注入
B:DLL注入
C:钩子注入
D:直接注入
正确答案问询微信:424329
()是一把双刃剑,可以用来分析内部网络、调试应用程序问题,也可以用来嗅探密码、监听在线聊天。
A:ApateDNS
B:Netcat
C:INetSim
D:Wireshark
正确答案问询微信:424329
在以下寄存器中用于定位内存节的寄存器是()。
A:通用寄存器
B:段寄存器
C:状态寄存器
D:指令指针
正确答案问询微信:424329
下面说法错误的是()。
A:启动器通常在text节存储恶意代码,当启动器运行时,它在运行嵌入的可执行程序或者DLL程序之前,从该节将恶意代码提取出来
B:隐藏启动的最流行技术是进程注入。顾名思义,这种技术是将代码注入到另外一个正在运行的进程中,而被注入的进程会不知不觉地运行注入的代码
C:DLL注入是进程注入的一种形式,它强迫一个远程进程加载恶意DLL程序,同时它也是最常使用的秘密加载技术
D:直接注入比DLL注入更加灵活,但是要想注入的代码在不对宿主进程产生副作用的前提下成功运行,直接注入需要大量的定制代码。这种技术可以被用来注入编译过的代码,但更多的时候,它用来注入shellcode
正确答案问询微信:424329
()是一种设置自身或其他恶意代码片段以达到即时或将来秘密运行的恶意代码。
A:后门
B:下载器
C:启动器
D:内核嵌套
正确答案问询微信:424329
恶意代码常用注册表()
A:存储配置信息
B:收集系统信息
C:永久安装自己
D:网上注册
正确答案问询微信:424329
OllyDbg支持的跟踪功能有()。
A:标准回溯跟踪
B:堆栈调用跟踪
C:运行跟踪
D:边缘跟踪
正确答案问询微信:424329
以下哪些是常用的虚拟机软件
A:VMware Player
B:VMware Station
C:VMware Fusion
D:VirtualBox
正确答案问询微信:424329
% System Root%system32driverstcpudp.sys中的登陆记录都包括()
A:用户名
B:Windows域名称
C:密码
D:旧密码
正确答案问询微信:424329
以下方法中是识别标准加密算法的方法是()。[多选]
A:识别涉及加密算法使用的字符串
B:识别引用导入的加密函数
C:搜索常见加密常量的工具
D:查找高熵值的内容
正确答案问询微信:424329
INetSim可以模拟的网络服务有()。
A:HTTP
B:FTP
C:IRC
D:DNS
正确答案问询微信:424329
以下是句柄是在操作系统中被打开或被创建的项的是
A:窗口
B:进程
C:模块
D:菜单
正确答案问询微信:424329
后门拥有一套通用的功能,都有以下那些功能?()
A:操作注册表
B:列举窗口
C:创建目录
D:搜索文件
正确答案问询微信:424329
进程监视器提供默认下面四种过滤功能是()。
A:注册表
B:文件系统
C:进程行为
D:网络
正确答案问询微信:424329
OllyDbg提供了多种机制来帮助分析,包括下面几种()。
A:日志
B:监奥鹏南开大学23年秋季新学期作业参考视
C:帮助
D:标注
正确答案问询微信:424329
木马不具有欺骗性,而具有隐蔽性和非授权性。
A:对
B:错
正确答案问询微信:424329
启动器只能后期执行恶意程序
A:对
B:错
正确答案问询微信:424329
定义原始字节为ASCII字符串
A:对
B:错
正确答案问询微信:424329
直接注入不涉及远程进程的内存空间分配
A:对
B:错
正确答案问询微信:424329
底层远程钩子要求钩子例程被保护在安装钩子的进程中。
A:对
B:错
正确答案问询微信:424329
PE文件格式在头部存储了很多有趣的信息。我们可以使用PEview工具来浏览这些信息。
A:对
B:错
正确答案问询微信:424329
DLL在exe载入后以任意顺序加载。这意味着如果DLL的基地址被重定位了,通常情况下不能预测DLL会被定位到内存的什么位置。DLL的重定位节也可以被移除,一个缺乏重定位节的DLL不能被加载到它的预定基地址,因此它也就不能被加载。
A:对
B:错
正确答案问询微信:424329
INetSim模拟的Dummy网络服务可以记录所有从客户端收到的数据。
A:对
B:错
正确答案问询微信:424329
当重命名假名时,你只需要在一个地方做一次,新名字会扩散到任何被引用的地方
A:对
B:错
正确答案问询微信:424329
Strings程序检测到的一定是真正的字符串。
A:对
B:错
正确答案问询微信:424329
shr和shl指令用于对寄存器做位移操作。
A:对
B:错
正确答案问询微信:424329
反向 shell或者作为一个单独的恶意代码存在,或者作为一个复杂后门程序中的组件而存在。
A:对
B:错
正确答案问询微信:424329
进程监视器的过滤功能开启时,不会记录过滤的事件,因此能阻止监视器消耗过多的内存。
A:对
B:错
正确答案问询微信:424329
异常是恶意代码、恶意代码分析或者调试所独有的。
A:对
B:错
正确答案问询微信:424329
进程替换技术为恶意代码提供了和其他进程一样的特权,恶意代码看起来就像一个合法执行的进程一样,它在内存中的镜像会和磁盘上的一样。
A:对
B:错
正确答案问询微信:424329
