南开21春学期2103《计算机病毒分析》在线作业2doc.docx
- 文档编号:25083566
- 上传时间:2023-06-04
- 格式:DOCX
- 页数:8
- 大小:19.91KB
南开21春学期2103《计算机病毒分析》在线作业2doc.docx
《南开21春学期2103《计算机病毒分析》在线作业2doc.docx》由会员分享,可在线阅读,更多相关《南开21春学期2103《计算机病毒分析》在线作业2doc.docx(8页珍藏版)》请在冰豆网上搜索。
南开21春学期2103《计算机病毒分析》在线作业2doc
1.以下注册表根键中()保存对本地机器全局设置。
A.HKEY_LOCAL_MACHINE(HKLM) B.HKEY_CURRENT_USER(HKCU) C.HKEY_CLASSES_ROOT D.HKEY_CURRENT_CONFIG
【参考答案】:
A
2.内存中的()节用于函数的局部变量和参数,以及控制程序执行流。
A.数据 B.堆 C.代码 D.栈
【参考答案】:
D
3.当想要在函数调用使用特定的参数时才发生中断,应该设置什么类型的断点()
A.软件执行断点 B.硬件执行断点 C.条件断点 D.非条件断点
【参考答案】:
C
4.要插入一个跨反汇编窗口,并且在任何时候只要存在对你添加注释的地址的交叉引用就重复回显,应该按()键。
A.; B.:
C.shift D.ctrl
【参考答案】:
A
5.下列是抓包的工具是()。
A.ApateDNS B.Netcat C.INetSim D.Wireshark
【参考答案】:
D
6.在图形模式中,以下哪种颜色的箭头表示的路径表示一个无条件跳转被采用了
A.红色 B.黄色 C.蓝色 D.绿色
【参考答案】:
C
7.木马与病毒的重大区别是()。
A.木马会自我复制 B.木马具有隐蔽性 C.木马不具感染性 D.木马通过网络传播
【参考答案】:
C
8.APC可以让一个线程在它正常的执行路径运行之前执行一些其他的代码。
每一个线程都有一个附加的APC队列,它们在线程处于()时被处理。
A.阻塞状态 B.计时等待状态 C.可警告的等待状态 D.被终止状态
【参考答案】:
C
9.计算机病毒的编写者使用的哪项技术可以使编写的代码,功能不变,语义混淆。
A.垃圾指令 B.多态技术 C.变形技术 D.单项执行技术
【参考答案】:
C
10.在以下寄存器中用于定位要执行的下一条指令的寄存器是()。
A.通用寄存器 B.段寄存器 C.状态寄存器 D.指令指针
【参考答案】:
D
11.()被定义为一个相似数据项的有序集合。
A.数组 B.结构体 C.链表 D.变量
【参考答案】:
A
12.反病毒软件主要是依靠()来分析识别可疑文件。
A.文件名 B.病毒文件特征库 C.文件类型 D.病毒文件种类
【参考答案】:
B
13.网络黑客产业链是指黑客们运用技术手段入侵服务器获取站点权限以及各类账户信息并从中谋取()的一条产业链。
A.非法经济利益 B.经济效益 C.效益 D.利润
【参考答案】:
A
14.当代码库被链接时,宿主操作系统会在程序被装载时搜索所需的代码库,如果程序调用了被链接的库函数,这个函数会在代码库中执行,这种链接方法是()。
A.静态链接 B.动态链接 C.运行时链接 D.转移链接
【参考答案】:
B
15.下列对进程浏览器属性栏的描述错误的是()。
A.线程标签显示所有活跃的线程 B.TCP/IP标签活跃的连接和进程监听的端口 C.镜像标签显示磁盘上可执行程序的路径 D.字符串标签,通过比较包含在磁盘上可执行文件的字符串与内存中同一个可执行文件的字符串,来看两者是否相同
【参考答案】:
D
16.在通用寄存器中,()是数据寄存器。
A.EAX B.EBX C.ECX D.EDX
【参考答案】:
D
17.下面说法错误的是()。
A.启动器通常在text节存储恶意代码,当启动器运行时,它在运行嵌入的可执行程序或者DLL程序之前,从该节将恶意代码提取出来 B.隐藏启动的最流行技术是进程注入。
顾名思义,这种技术是将代码注入到另外一个正在运行的进程中,而被注入的进程会不知不觉地运行注入的代码 C.DLL注入是进程注入的一种形式,它强迫一个远程进程加载恶意DLL程序,同时它也是最常使用的秘密加载技术 D.直接注入比DLL注入更加灵活,但是要想注入的代码在不对宿主进程产生副作用的前提下成功运行,直接注入需要大量的定制代码。
这种技术可以被用来注入编译过的代码,但更多的时候,它用来注入shellcode
【参考答案】:
A
18.用IDAPro对一个程序进行反汇编时,字节偶尔会被错误的分类。
可以对错误处按()键来取消函数代码或数据的定义。
A.C键 B.D键 C.shiftD键 D.U键
【参考答案】:
D
19.()是一把双刃剑,可以用来分析内部网络、调试应用程序问题,也可以用来嗅探密码、监听在线聊天。
A.ApateDNS B.Netcat C.INetSim D.Wireshark
【参考答案】:
D
20.当单击ResourceHacker工具中分析获得的条目时,看不到的是
A.字符串 B.二进制代码 C.图标 D.菜单
【参考答案】:
B
21.以下WindowsAPI类型中()是表示一个将会被WindowsAPI调用的函数。
A.WORD B.DWORD C.Habdles D.Callback
【参考答案】:
D
22.对应a++的汇编代码是()。
A.moveeax,[ebpvar_4] B.subeax,[ebpvar_8] C.subeax,1 D.addeax,1
【参考答案】:
D
23.下列表明是全局变量的汇编代码是()。
A.moveax,dword_40CF60 B.moveax,[ebp-4] C.moveax,[ebpvar_4] D.movdword_40CF60,eax
【参考答案】:
D
24.可以按()键定义原始字节为代码。
A.C键 B.D键 C.shiftD键 D.U键
【参考答案】:
A
25.以下不是检测SSDT挂钩的方法是
A.遍历SSDT表 B.使用查杀病毒的软件 C.查找异常的函数入口地址 D.ntoskrnl.exe的地址空间是从804d7000到806cd580
【参考答案】:
B
26.名字窗口,列举哪些内存地址的名字
A.函数名 B.代码的名字 C.数据的名字 D.字符串
【参考答案】:
ABCD
27.以下方法中是识别标准加密算法的方法是()。
[多选]
A.识别涉及加密算法使用的字符串 B.识别引用导入的加密函数 C.搜索常见加密常量的工具 D.查找高熵值的内容
【参考答案】:
ABCD
28.INetSim可以模拟的网络服务有()。
A.HTTP B.FTP C.IRC D.DNS
【参考答案】:
ABCD
29.()是WindowsAPI的标准调用约定
A.cdecl B.stdcall C.fastcall D.压栈与移动
【参考答案】:
BC
30.恶意代码编写者可以挂钩一个特殊的Winlogon事件,比如()
A.登录 B.注销 C.关机 D.锁屏
【参考答案】:
ABCD
31.运行计算机病毒,监控病毒的行为,需要一个安全、可控的运行环境的原因是什么
A.恶意代码具有传染性 B.可以进行隔离 C.恶意代码难以清除 D.环境容易搭建
【参考答案】:
ABC
32.OllyDbg提供了多种机制来帮助分析,包括下面几种()。
A.日志 B.监视 C.帮助 D.标注
【参考答案】:
ABCD
33.下列说法正确的是()。
A.IDAPro有一个在识别结构方面很有用的图形化工具 B.从反汇编代码来看,很难知道原始代码是一个switch语句还是一个if语句序列 C.switch中各无条件跳转相互影响 D.使用了一个跳转表,来更加高效地运行switch结构汇编代码
【参考答案】:
ABD
34.后门的功能有
A.操作注册表 B.列举窗口 C.创建目录 D.搜索文件
【参考答案】:
ABCD
35.恶意代码作者如何使用DLL()多选
A.保存恶意代码 B.通过使用WindowsDLL C.控制内存使用DLL D.通过使用第三方DLL
【参考答案】:
ABD
36.异常机制不允许一个程序在普通执行流程之外处理事件。
T.对 F.错
【参考答案】:
F
37.一个网络程序通常有两个端点:
服务端和客户端。
而恶意代码只能是这两端中客户端。
T.对 F.错
【参考答案】:
F
38.反向shell是从攻击方发起一个连接,它提供被攻击者通过shell访问攻击方机器的权限。
T.对 F.错
【参考答案】:
F
39.调试器允许你查看任意内存地址、寄存器的内容以及每个函数的参数
T.对 F.错
【参考答案】:
T
40.WinDbg不允许覆盖数据结构上的数据。
T.对 F.错
【参考答案】:
F
41.进程监视器视图每一秒更新一次。
默认情况下,服务以粉色高亮显示,进程显示为蓝色,新进程为绿色,被终止进程则为红色。
绿色和红色的高亮显示是临时的,当进程被完全启动或终止后颜色就会改变。
T.对 F.错
【参考答案】:
T
42.Strings程序检测到的一定是真正的字符串。
T.对 F.错
【参考答案】:
F
43.在操作系统中所有的文件都不可以通过名字空间进行访问。
T.对 F.错
【参考答案】:
F
44.Windows并不要求钩子子程的卸载顺序一定得和安装顺序相反
T.对 F.错
【参考答案】:
T
45.IP地址127.0.0.1会被表示为0x7F000001,而在小端字节序下,表示为0x7F000001。
T.对 F.错
【参考答案】:
F
46.网络特征码可以在没有进行恶意代码分析时创建,但在恶意代码分析帮助下提取的特征码往往更加有效的,可以提供更高的检测率和更少的误报。
T.对 F.错
【参考答案】:
T
47.在合法的PE文件中,可以带有可执行文件
T.对 F.错
【参考答案】:
T
48.进程监视器(ProcessMonitor)是Windows系统下的高级监视工具,它提供一种方式来监控注册表、文件系统、网络、进程和线程行为。
它结合并增强了两种工具的功能:
文件监视器FileMon和注册表监视器RegMon。
T.对 F.错
【参考答案】:
T
49.机器码层由操作码组成,操作码是一些八进制形式的数字
T.对 F.错
【参考答案】:
F
50.当重命名假名时,你只需要在一个地方做一次,新名字会扩散到任何被引用的地方
T.对 F.错
【参考答案】:
T
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 计算机病毒分析 南开 21 学期 2103 计算机病毒 分析 在线 作业 doc