奥鹏22秋学期（高起本1709-1803、全层次1809-2103）《计算机病毒分析》在线作业答卷非免费答案

admin

答案来源：www.ybaotk.com
22秋学期（高起本1709-1803、全层次1809-2103）《计算机病毒分析》在线作业-00003
试卷总分:100  得分:100

一、单选题 (共 25 道试题,共 50 分)

1.能调试内核的调试器是（）

A.OllyDbg

B.IDA Pro

C.WinDbg

D.Process Explorer

答案:


2.对应a++的汇编代码是（）。

A.move eax,[ebp+var_4]

B.sub eax,[ebp+var_8]

C.sub eax,1

D.add eax,1

答案:


3.下列属于静态高级分析技术的描述是（）。

A.检查可执行文件但不查看具体指令的一些技术分析的目标

B.涉及运行恶意代码并观察系统上的行为，以移除感染，产生有效的检测特征码，或者两者

C.主要是对恶意代码内部机制的逆向工程，通过将可执行文件装载到反汇编器中，查看程序指令，来发现恶意代码到底做了什么

D.使用调试器来检查一个恶意可执行程序运行时刻的内部状态

答案:


4.参数是从右到左按序被压入栈，当函数完成时由被调用者清理栈的是（）。

A.cdecl

B.stdcall

C.fastcall

D.压栈与移动

答案:


5.下列概念说法错误的是（）。

A.内存映射窗口（View→Memory）显示了被调用程序分配的使用内存块

B.基地址重定位是指Windows中的一个模块没有被加载到其预定基地址时发生的情况

C.Windows中的所有PE文件都有一个预定的基地址，它在PE文件头中被称为映像基地址

D.使用相对地址，无论被加载到内存的哪个位置，所有指令都能正常工作

答案:


6.以下不是解释型语言的是

A.Java

B.Perl

C.NET

D.C

答案:


7.下面说法错误的是（）。

A.启动器通常在text节存储恶意代码，当启动器运行时，它在运行嵌入的可执行程序或者DLL程序之前，从该节将恶意代码提取出来

B.隐藏启动的最流行技术是进程注入。顾名思义，这种技术是将代码注入到另外一个正在运行的进程中，而被注入的进程会不知不觉地运行注入的代码

C.DLL注入是进程注入的一种形式，它强迫一个远程进程加载恶意DLL程序，同时它也是最常使用的秘密加载技术

D.直接注入比DLL注入更加灵活，但是要想注入的代码在不对宿主进程产生副作用的前提下成功运行，直接注入需要大量的定制代码。这种技术可以被用来注入编译过的代码，但更多的时候，它用来注入shellcode

答案:


8.（）列出了所有活跃的进程、被进程载入的DLL、各种进程属性和整体系统信息。

A.进程监视器

B.进程浏览器

C.沙箱

D.Regshot

答案:


9.在图形模式中，以下哪种颜色的箭头表示的路径表示一个无条件跳转被采用了

A.红色

B.黄色

C.蓝色

D.绿色

答案:


10.当要判断某个内存地址含义时，应该设置什么类型的断点（）

A.软件执行断点

B.硬件执行断点

C.条件断点

D.非条件断点

答案:


11.进程浏览器的功能不包括（）。

A.比较进程浏览器中的DLL列表与在Dependency Walker工具中显示的导入DLL列表来判断一个DLL是否被加载到进程

B.单击验证按钮，可以验证磁盘上的镜像文件是否具有微软的签名认证

C.比较运行前后两个注册表的快照，发现差异

D.一种快速确定一个文档是否恶意的方法，就是打开进程浏览器，然后打开文档。若文档启动了任意进程，你能进程浏览器中看到，并能通过属性窗口中的镜像来定位恶意代码在磁盘上的位置。

答案:


12.多数DLL会在PE头的（）打包一个修订位置的列表。

A..text节

B..data节

C..rsrc节

D..reloc节

答案:


13.以下Windows API类型中（）是表示一个将会被Windows API调用的函数。

A.WORD

B.DWORD

C.Habdles

D.Callback

答案:


14.以下那种互联网连接模式允许虚拟机与物理机连接到相同的物理网卡上

A.bridged

B.NET

C.Host-only

D.Custom

答案:


15.（）常被一种叫做击键记录器的恶意程序所使用，被用来记录击键 。

A.DLL注入

B.直接注入

C.APC注入

D.钩子注入

答案:


16.病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组（）。

A.计算机指令

B.程序代码

C.文件

D.计算机指令或者程序代码

答案:


17.对以下代码分析错误的是（）。

A.jnz为条件跳转，而jmp为无条件跳转

B.while循环与for循环的汇编代码非常相似，唯一的区别在于它缺少一个递增

C.while循环停止重复执行的唯一方式，就是那个期望发生的条件跳转

D.while循环总要进入一次

答案:


18.Hook技术的应用不包括（）

A.实现增强的二次开发或补丁

B.信息截获

C.安全防护

D.漏洞分析

答案:


19.以下对各断点说法错误的是（）。

A.查看堆栈中混淆数据内容的唯一方法时：待字符串解码函数执行完成后，查看字符串的内容，在字符串解码函数的结束位置设置软件断点

B.条件断点是软件断点中的一种，只有某些条件得到满足时这个断点才能中断执行程序

C.硬件断点非常强大，它可以在不改变你的代码、堆栈以及任何目标资源的前提下进行调试

D.OllyDbg只允许你一次设置一个内存断点，如果你设置了一个新的内存断点，那么之前设置的内存断点就会被移除

答案:


20.当一个库被链接到可执行程序时，所有这个库中的代码都会复制到可执行程序中去，这种链接方法是（）。

A.静态链接

B.动态链接

C.运行时链接

D.转移链接

答案:


21.IDA pro支持（）种图形选项

A.1种

B.3种

C.5种

D.7种

答案:


22.以下不是GFI沙箱的缺点的是（）。

A.沙箱只能简单地运行可执行程序，不能带有命令行选项

B.沙箱环境的操作系统对恶意代码来说可能不正确

C.沙箱不能提供安全的虚拟环境

D.恶意代码如果检测到了虚拟机，将会停止运行，或者表现异常。不是所有的沙箱都能完善地考虑这个问题

答案:


23.蠕虫与普通病毒相比特有的性质为（）。

A.传播性

B.隐蔽性

C.不利用文件寄生

D.破坏性

答案:


24.可以按（ ）键定义原始字节为代码。

A.C键

B.D键

C.shift D键

D.U键

答案:


25.以下哈希值做的事是（）

A.将哈希值作为标签使用

B.与其他分析师分享哈希值，以帮助他们来识别恶意代码

C.通过哈希值计算文件的生成日期

D.在线搜索这段哈希值，看看这个文件是否已经被识别

答案:


二、多选题 (共 10 道试题,共 20 分)

26.后门的功能有

A.操作注册表

B.列举窗口

C.创建目录

D.搜索文件

答案:CD


27.微软fastcall约定备用的寄存器是（）。

A.EAX

B.ECX

C.EDX

D.EBX

答案:C


28.IDA Pro 都有以下什么功能（）。

A.识别函数

B.标记函数

C.划分出局部变量

D.划分出参数

答案:CD


29.运行计算机病毒，监控病毒的行为，需要一个安全、可控的运行环境的原因是什么

A.恶意代码具有传染性

B.可以进行隔离

C.恶意代码难以清除

D.环境容易搭建

答案:C


30.下列说法正确的是（）。

A.IDA Pro有一个在识别结构方面很有用的图形化工具

B.从反汇编代码来看，很难知道原始代码是一个switch语句还是一个if语句序列

C.switch中各无条件跳转相互影响

D.使用了一个跳转表，来更加高效地运行switch结构汇编代码

答案:


31.对一个监听入站连接的服务应用，顺序是（）函数，等待客户端的连接。

A.socket、bind、listen和accept

B.socket、bind、accept和listen

C.bind、sockect、listen和accept

D.accept、bind、listen和socket

答案:CD


32.以下是分析加密算法目的的是

A.隐藏配置文件信息。

B.窃取信息之后将它保存到一个临时文件。

C.存储需要使用的字符串，并在使用前对其解密。

D.将恶意代码伪装成一个合法的工具，隐藏恶意代码

答案:CD


33.下面属于OllyDbg插件的有（）。

A.OllyDump

B.调试器隐藏插件

C.命令行

D.书签

答案:CD


34.OllyDbg支持的跟踪功能有（）。

A.标准回溯跟踪

B.堆栈调用跟踪

C.运行跟踪

D.边缘跟踪

答案:C


35.后门拥有一套通用的功能，都有以下那些功能？（）

A.操作注册表

B.列举窗口

C.创建目录

D.搜索文件

答案:CD


三、答案来源：雅宝题库网（www.ybaotk.com） (共 15 道试题,共 30 分)

36.EIP指令指针的唯一作用就是告诉处理器接下来干什么。

答案:正确


37.在编译器对源码进行编译完成时，还是可以判断源代码使用的是一个常量符号还是一个数字。

答案:错误


38.最近安装的钩子放在链的末尾，而最早安装的钩子放在前头，也就是先加入的先获得控制权

答案:错误


39.在操作系统中所有的文件都不可以通过名字空间进行访问。

答案:错误


40.导入表窗口能够列举一个文件的所有导入函数。

答案:正确


41.结构体包含相同类型的元素。

答案:错误


42.哈希函数，是一种从任何一种数据中创建小的数字"指纹"的方法。

答案:正确


43.恶意代码可以通过创建一个新进程，或修改一个已存在的进程，来执行当前程序之外的代码。

答案:正确


44.硬件层是唯一一个物理层，由电子电路组成。

答案:正确


45.COM可以支持任何编程语言，并且被设计成一种可复用的软件组件，并可以被所有程序所利用。

答案:正确


46.计算机病毒分析和查找程序Bug没什么区别

答案:正确


47.在默认情况下，IDA Pro的反汇编代码中包含PE头或资源节

答案:错误


48.静态分析基础技术是非常简单，同时也可以非常快速应用的，但它在针对复杂的恶意代码时很大程度上是无效的，而且它可能会错过一些重要的行为。

答案:正确


49.不同的杀毒软件使用了相同的的特征库和启发式检测方法。

答案:错误


50.启动器只能后期执行恶意程序

答案:错误
答案来源：www.ybaotk.com