20秋学期(1709、1803、1809、1903、1909、2003、2009 )《计算机病毒分析》在线作业
试卷总分:100 得分:100
一、单选题 (共 25 道试题,共 50 分)
1.()是可以记录程序详细的运行信息的调试技术。
A.内存映射
B.基地址重定位
C.断点
D.跟踪
答案:D
在WinDbg的搜索符号中, ()命令允许你用符号在没有加载的代码中设置一个延迟断点。
A.bu
B.x
C.Ln
D.dt
答案:A
3.WinDbg的内存窗口支持通过命令来浏览内存,以下WinDbg读选项中,()选项描述读取内存数据并以ASCII文本显示。
A.da
B.du
C.dd
D.dc
答案:A
4.GFI沙箱生成报告不包括哪个小节()。
A.分析摘要
B.文件活动
C.注册表
D.程序功能
答案:D
5.以下哈希值做的事是()
A.将哈希值作为标签使用
B.与其他分析师分享哈希值,以帮助他们来识别恶意代码
C.通过哈希值计算文件的生成日期
D.在线搜索这段哈希值,看看这个文件是否已经被识别
答案:C
6.在获取不到高级语言源码时,()是从机器码中能可信并保持一致地还原得到的最高一层语言。
A.机器指令
B.微指令
C.汇编语言
D.机器码
答案:C
7.而0x52000000对应0x52这个值使用的是()字节序。
A.小端
B.大端
C.终端
D.前端
答案:A
8.以下那个窗口是操作和分析二进制的主要位置,也是反汇编代码所在的地方
A.函数窗口
B.结构窗口
C.反汇编窗口
D.二进制窗口
答案:C
9.()能够将一个被调试的进程转储为一个PE文件
A.OllyDump
B.调试器隐藏插件
C.命令行
D.书签
答案:A
10.源代码通过()后形成可执行文件。
A.汇编
B.编译
C.连接
D.编译和连接
答案:D
11.WinDbg的内存窗口支持通过命令来浏览内存,以下WinDbg读选项中,()选项描述读取内存数据并以内存32位双字显示。
A.da
B.du
C.dd
D.dc
答案:C
12.计算机病毒的编写者使用的哪项技术可以使编写的代码,功能不变,语义混淆。
A.垃圾指令
B.多态技术
C.变形技术
D.单项执行技术
答案:C
13.内存中的()节用于函数的局部变量和参数,以及控制程序执行流。
A.数据
B.堆
C.代码
D.栈
答案:D
14.PE文件中的分节中唯一包含代码的节是()。
<
C..data
答案:B
15.在以下寄存器中用于定位要执行的下一条指令的寄存器是()。
A.通用寄存器
B.段寄存器
C.状态寄存器
D.指令指针
答案:D
16.以下Windows API类型中()是描述一个双字节、32位的无符号数值。
A.WORD
B.DWORD
C.Habdles
在线代码运行器D.Callback
答案:B
下列对内核套件的描述正确的是()。
A.恶意代码将自身安装到一台计算机来允许攻击者访问
B.这是一类只是用来下载其他恶意代码的恶意代码
C.用来启动其他恶意程序
的恶意代码
D.设计用来隐藏其他恶意代码的恶意代码网络造成破坏的软件
答案:D
在WinDbg的搜索符号中, ()命令允许你使用通配符来搜索函数或者符号。
A.bu
B.x
C.Ln
D.dt
答案:B
19.要插入一个跨反汇编窗口,并且在任何时候只要存在对你添加注释的地址的交叉引用就重复回显,应该按()键。
A.;
B.:
C.shift
答案:A
20.()被定义为一个相似数据项的有序集合。
A.数组
B.结构体
C.链表
D.变量
答案:A
21.以下哪个选项属于木马()。
A.震网病毒
B.WannaCry
C.灰鸽子
D.熊猫烧香
答案:C
WinINet API实现了()层的协议。
A.网络层
B.数据链路层
C.应用层
D.传输层
答案:C
23.单步调试是通过( )实现的
A.每条代码之前添加软件断点
B.每条代码之前添加硬件断点
C.标志寄存器中的陷阱标志( trap flag)
D.标志寄存器中的zf标志位
答案:C
24.以下逻辑运算符中是位移指令的是()
A.OR、AND
B.Shr和shl
<和rol
D.XOR
答案:C
25.捕获Poison Ivy为shellcode分配内存的最好方法是()。
A.软件断点
B.硬件断点
C.内存断点
D.条件断点
答案:D
二、多选题 (共 10 道试题,共 20 分)
26.以下哪些是常用的虚拟机软件
A.VMware Player
B.VMware Station
C.VMware Fusion
D.VirtualBox
答案:ABCD
27.恶意代码常用注册表()
A.存储配置信息
B.收集系统信息
C.永久安装自己
D.网上注册
答案:ABC
28.以下的恶意代码行为中,属于后门的是()
Acat反向shell
B.windows反向shell
C.远程控制工具
D.僵尸网络
答案:ABCD
29.()是Windows API的标准调用约定
A.cdecl
B.stdcall
C.fastcall
D.压栈与移动
答案:BC
30.恶意代码作者如何使用DLL()多选
A.保存恶意代码
B.通过使用Windows DLL
C.控制内存使用DLL
D.通过使用第三方DLL
答案:ABD
31.名字窗口,列举哪些内存地址的名字
A.函数名
B.代码的名字
C.数据的名字
D.字符串
答案:ABCD
32.运行计算机病毒,监控病毒的行为,需要一个安全、可控的运行环境的原因是什么
A.恶意代码具有传染性
B.可以进行隔离
C.恶意代码难以清除
D.环境容易搭建
答案:ABC
33.对下面汇编代码的分析正确的是()。
B.add eax,1对应循环变量的递增,在循环中其最初会通过一个跳转指令而跳过
C.比较发生在cmp处,循环决策在jge处通过条件跳转指令而做出
D.在循环中,通过一个无条件跳转jmp,使得循环变量每次进行递增。
答案:ABCD
34.OllyDbg支持的跟踪功能有()。
A.标准回溯跟踪
B.堆栈调用跟踪
C.运行跟踪
D.边缘跟踪
答案:ABC
35.后门的功能有
A.操作注册表
B.列举窗口
C.创建目录
D.搜索文件
答案:ABCD
三、判断题 (共 15 道试题,共 30 分)
定义原始字节为ASCII字符串
答案:错误
37.硬件层是唯一一个物理层,由电子电路组成。
答案:正确
38.恶意代码经常使用自创的加密方法,比如将多个简单加密方法组装到一起。
答案:正确
39.C键是定义原始字节为数据
答案:错误
加软件断点处的程序在内存处依旧是原程序所对应的机器码
答案:错误
内核模式中,普通Win32函数是不能直接调用
答案:正确
42.进程监视器的过滤功能开启时,不会记录过滤的事件,因此能阻止监视器消耗过多的内存。
答案:错误
恶意代码经常使用作为Windows API一部分的注册函数,来修改注册表,以使它们自身能够在系统引导时自动启动运行。
答案:正确
44.在文本模式中,绿箭头路径表示这个条件跳转被采用
答案:错误
当一个程序被加壳后,你必须对它进行脱壳,才能够执行进一步分析。
答案:正确
启动器只能后期执行恶意程序
答案:错误
如果中断位于一个没有名字、没有签名或可疑的驱动中,不能表明存在Rootkit或者恶意代码。
答案:错误
48.基于链接的分析中,URLDownloadToFile() 一般提示计算机病毒会从Internet上下载一个文件
答案:正确
异常是恶意代码、恶意代码分析或者调试所独有的。
答案:错误
50.蠕虫或计算机病毒是可以自我复制和感染其他计算机的恶意代码。
答案:正确
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论