D.一种快速确定一个文档是否恶意的方法,就是打开进程浏览器,然后打开文档。若文档启动了任意进程,你能进程浏览器中看到,并能通过属性窗口中的镜像来定位恶意代码在磁盘上的位置。
正确答案:B
正确答案:C
二、多选题 (共 10 道试题,共 20 分)
26.以下方法中是识别标准加密算法的方法是()。[多选]
A.识别涉及加密算法使用的字符串
B.识别引用导入的加密函数
C.搜索常见加密常量的工具
D.查找高熵值的内容
正确答案:A
27.对下面汇编代码的分析正确的是()。
A.mov [ebp+var_4],0对应循环变量的初始化步骤
B.add eax,1对应循环变量的递增,在循环中其最初会通过一个跳转指令而跳过
正确答案:C
C.比较发生在cmp处,循环决策在jge处通过条件跳转指令而做出
D.在循环中,通过一个无条件跳转jmp,使得循环变量每次进行递增。
正确答案:C
28.以下是分析加密算法目的的是
A.隐藏配置文件信息。
B.窃取信息之后将它保存到一个临时文件。
C.存储需要使用的字符串,并在使用前对其解密。
D.将恶意代码伪装成一个合法的工具,隐藏恶意代码
正确答案:A
29.以下哪些是常用的虚拟机软件
A.VMware Player
B.VMware Station
C.VMware Fusion
D.VirtualBox
正确答案:D
30.后门的功能有
A.操作注册表
B.列举窗口
C.创建目录
D.搜索文件
正确答案:A
31.OllyDbg提供了多种机制来帮助分析,包括下面几种()。
正确答案:C
A.日志
B.监视
C.帮助
D.标注
正确答案:C
32.调试器可以用来改变程序的执行方式。可以通过修改()方式来改变程序执行的方式。
A.修改控制标志
B.修改指令指针
C.修改程序本身
D.修改文件名
正确答案:C
33.恶意代码作者如何使用DLL()多选
正确答案:C
A.保存恶意代码
B.通过使用Windows DLL
正确答案:D
正确答案:B
C.控制内存使用DLL
D.通过使用第三方DLL
正确答案:A
34.恶意代码的存活机制有()
A.修改注册表
B.特洛伊二进制文件
C.DLL加载顺序劫持
正确答案:D
D.自我消灭
正确答案:B
35.恶意代码常用注册表()
A.存储配置信息
B.收集系统信息
C.永久安装自己
D.网上注册
正确答案:A
三、判断题 (共 15 道试题,共 30 分)
36.哈希是一种用来唯一标识恶意代码的常用方法。
37.在图形模式中,绿色箭头路径表示这个条件跳转没被采用
38.普通病毒的传染能力主要是针对计算机内的文件系统而言。
39.静态分析基础技术是非常简单,同时也可以非常快速应用的,但它在针对复杂的恶意代码时很大程度上是无效的,而且它可能会错过一些重要的行为。
40.有时,某个标准符号常量不会显示,这时你需要手动加载有关的类型库
41.在完成程序的过程中,通用寄存器它们是完全通用的。
42.下载器通常会与异常处理打包在一起
43.Netcat被称为“TCP/IP协议栈瑞士军刀”,可以被用在支持端口扫描、隧道、代理、端口转发等的对内对外连接上。在监听模式下,Netcat充当一个服务器,而在连接模式下作为一个客户端。Netcat从标准输入得到数据进行网络传输,而它得到的数据,又可以通过标准输出显示到屏幕上。
正确答案:B
44.调试器允许你查看任意内存地址、寄存器的内容以及每个函数的参数
45.蠕虫是利用文件寄生来通过网络传播的恶性病毒。
46.当恶意代码编写者想要将恶意代码伪装成一个合法进程,可以使用一种被称为进程注入的方法,将一个可执行文件重写到一个运行进程的内存空间。
47.重命名地址可以修改自动化命名的绝对地址和栈变量。
48.进程监视器视图每一秒更新一次。默认情况下,服务以粉色高亮显示,进程显示为蓝色,新进程为绿色,被终止进程则为红色。绿色和红色的高亮显示是临时的,当进程被完全启动或终止后颜色就会改变。
49.这种进程替换技术让恶意代码与被替换进程拥有相同的特权级。
50.假设你拥有一个恶意的驱动程序,但没有用户态应用程序安装它,这个时候就可以用如OSR Driver Loader的加载工具来加载它。
正确答案:C
南开22春学期《计算机病毒分析》在线作业[答案]历年参考题目如下:
21春学期(1709、1803、1809、1903、1909、2003、2009、2103)《计算机病毒分析》在线作业
试卷总分:100 得分:100
一、单选题 (共 25 道试题,共 50 分)
1.注入shellcode属于()。
A.进程注入
B.DLL注入
C.钩子注入
D.直接注入
2.能调试内核的调试器是()
A.OllyDbg
B.IDA Pro
C.WinDbg
D.Process Explorer
3.进程浏览器的功能不包括()。
A.比较进程浏览器中的DLL列表与在Dependency Walker工具中显示的导入DLL列表来判断一个DLL是否被加载到进程
B.单击验证按钮,可以验证磁盘上的镜像文件是否具有微软的签名认证
C.比较运行前后两个注册表的快照,发现差异
D.一种快速确定一个文档是否恶意的方法,就是打开进程浏览器,然后打开文档。若文档启动了任意进程,你能进程浏览器中看到,并能通过属性窗口中的镜像来定位恶意代码在磁盘上的位置。
4.以下那个窗口是操作和分析二进制的主要位置,也是反汇编代码所在的地方
A.函数窗口
B.结构窗口
C.反汇编窗口
D.二进制窗口
5.Base64编码将二进制数据转化成()个字符的有限字符集。
A.16
B.32
C.48
D.64
6.当代码库被链接时,宿主操作系统会在程序被装载时搜索所需的代码库,如果程序调用了被链接的库函数,这个函数会在代码库中执行,这种链接方法是()。
A.静态链接
B.动态链接
C.运行时链接
D.转移链接
7.OllyDbg的硬件断点最多能设置()个。
A.3个
B.4个
C.5个
D.6个
8.Shell是一个命令解释器,它解释()的命令并且把它们送到内核。
A.系统输入
B.用户输入
C.系统和用户输入
D.输入
9.以下说法错误的是()。
A.OllyDbg可以很容易修改实时数据,如寄存器和标志。它也可以将汇编形式的修补代码直接插入到一个程序
B.OllyDbg可以使用00项或nop指令填充程序
C.键单击高亮的条件跳转指令,然后选择Binary→Fill with NOPs,该操作产生的结果时NOP指令替换了JNZ指令,这个过程会把那个位置上的NOP永久保存在磁盘上,意味着恶意代码以后会接受任意输入的密钥
D.当异常发生时,OllyDbg会暂停运行,然后你可以使用进入异常、跳过异常、运行异常处理 等方法,来决定是否将异常转移到应用程序处理
10.以下不是GFI沙箱的缺点的是()。
A.沙箱只能简单地运行可执行程序,不能带有命令行选项
B.沙箱环境的操作系统对恶意代码来说可能不正确
C.沙箱不能提供安全的虚拟环境
D.恶意代码如果检测到了虚拟机,将会停止运行,或者表现异常。不是所有的沙箱都能完善地考虑这个问题
11.下列是抓包的工具是()。
A.ApateDNS
B.Netcat
C.INetSim
D.Wireshark
12.以下逻辑运算符中是位移指令的是()
A.OR、AND
B.Shr和shl
C.ror和rol
D.XOR
13.要插入一个跨反汇编窗口,并且在任何时候只要存在对你添加注释的地址的交叉引用就重复回显,应该按()键。
A.;
B.:
C.shift
D.ctrl
14.以下不是检测SSDT挂钩的方法是
A.遍历SSDT表
B.使用查杀病毒的软件
C.查找异常的函数入口地址
D.ntoskrnl.exe的地址空间是从804d7000到806cd580
15.()能够将一个被调试的进程转储为一个PE文件
A.OllyDump
B.调试器隐藏插件
C.命令行
D.书签
16.WinINet API实现了()层的协议。
A.网络层
B.数据链路层
C.应用层
D.传输层
17.轰动全球的震网病毒是()。
A.木马
B.蠕虫病毒
C.后门
D.寄生型病毒
18.在通用寄存器中,()是基址寄存器。
A.EAX
B.EBX
C.ECX
D.EDX
19.线程创建需要系统开销,()能够调用一个现有的线程。
A.进程注入
B.直接注入
C.Hook注入
D.APC注入
20.当要判断某个内存地址含义时,应该设置什么类型的断点()
A.软件执行断点
B.硬件执行断点
C.条件断点
D.非条件断点
21.加法和减法是从目标操作数中加上或减去()个值。
A.0
B.1
C.2
D.3
22.若依次压入数字1、2、3、4,则第二次弹出来的会是()。
A.1
B.2
C.3
D.4
23.当想要在函数调用使用特定的参数时才发生中断,应该设置什么类型的断点()
A.软件执行断点
B.硬件执行断点
C.条件断点
D.非条件断点
24.以下注册表根键中()保存对本地机器全局设置。
A.HKEY_LOCAL_MACHINE(HKLM)
B.HKEY_CURRENT_USER(HKCU)
C.HKEY_CLASSES_ROOT
D.HKEY_CURRENT_CONFIG
25.GFI沙箱生成报告不包括哪个小节()。
A.分析摘要
B.文件活动
C.注册表
D.程序功能
二、多选题 (共 10 道试题,共 20 分)
26.恶意代码作者如何使用DLL()多选
A.保存恶意代码
B.通过使用Windows DLL
C.控制内存使用DLL
D.通过使用第三方DLL
27.以下对个各个插件说法正确的是()。
A.OllyDump是OllyDbg最常使用的插件,它能够将一个被调试的进程转储成一个PE文件
B.为了防止恶意代码使用反调试技术,恶意代码分析人员通常在分析恶意代码期间,一直运行调试器隐藏插件
C.OllyDbg的命令行插件允许你用命令行来使用OllyDbg
D.OllyDbg默认情况下自带书签插件,书签插件可以将一个内存位置加到书签中,利用书签,下次不需要记住就可以轻松获取那个内存地址
28.OllyDbg支持的跟踪功能有()。
A.标准回溯跟踪
B.堆栈调用跟踪
C.运行跟踪
D.边缘跟踪
29.以下的恶意代码行为中,属于后门的是()
A.netcat反向shell
B.windows反向shell
C.远程控制工具
D.僵尸网络
30.后门拥有一套通用的功能,都有以下那些功能?()
A.操作注册表
B.列举窗口
C.创建目录
D.搜索文件
31.名字窗口,列举哪些内存地址的名字
A.函数名
B.代码的名字
C.数据的名字
D.字符串
32.IDA Pro 都有以下什么功能()。
A.识别函数
B.标记函数
C.划分出局部变量
D.划分出参数
33.INetSim可以模拟的网络服务有()。
A.HTTP
B.FTP
C.IRC
D.DNS
34.微软fastcall约定备用的寄存器是()。
A.EAX
B.ECX
C.EDX
D.EBX
35.以下哪些是常用的虚拟机软件
A.VMware Player
B.VMware Station
C.VMware Fusion
D.VirtualBox
三、判断题 (共 15 道试题,共 30 分)
36.EIP指令指针的唯一作用就是告诉处理器接下来干什么。
37.检测加密的基本方法是使用可以搜索常见加密常量的工具,我们可以使用IDA Pro的FindCrypt2和Krypto ANALyzer插件。
38.WinDbg的内存窗口不支持通过命令来浏览内存。
39.导入表窗口能够列举一个文件的所有导入函数。
40.只要使用了KnownDLL,所有的DLL都会收到保护。
41.恶意的应用程序会挂钩一个经常使用的Windows消息。
42.微软Visual Studio和GNU编译集合(GCC)。前者,adder函数和printf的函数在调用前被压到栈上。而后者,参数在调用之前被移动到栈上。
43.可以在用户模式下无限制地设置软件断点。
44.恶意代码与驱动通信最常使用的请求是DeviceIoControl。
45.与导入函数类似,DLL和EXE的导出函数,是用来与其他程序和代码进行交互时所使用的。
46.调试器允许你查看任意内存地址、寄存器的内容以及每个函数的参数
47.WinDbg支持在命令行中使用简单的算数操作符,对内存和寄存器进行直接的操作,如加减乘除。
48.异常是恶意代码、恶意代码分析或者调试所独有的。
49.D键是定义原始字节为代码
50.所有服务都存在于注册表中,如果一个服务的注册表键被移除,则这个服务依旧能能启动。
[奥鹏]南开22春学期《计算机病毒分析》在线作业[答案]相关练习题:
5、制定研究计划的基本要求是什么?
加快推进以改善民生为重点的社会建设,涉及面广,除优先发展教育外,还包括( )。
下列不属于附加刑的是()
所有细胞的表面均有由磷酯双分子层和镶嵌蛋白质构成的生物膜即细胞膜。( )
关于知识与信息的关系,以下说法错误的是( )
关于心交感神经兴奋时的作用,错误的是:()
目标实施过程中,管理者必须进行控制。有力的领导控制是实现目标动态控制的关键。
A ( ) is an electronic screen which shows you how much to pay.
主观过错是承担环境行政责任的必要条件。
企业规模扩大了之后,要谨慎对待扩大员工招聘。
要注意从自己的教育实践中总结经验,需要注意的是()。
木材的防腐朽、防干裂加工是()
定位不是针对潜在顾客的心理采取行动,而是针对企业产品采取行动
根据我国刑事诉讼法的规定,一审人民法院作出的无罪判决应在何种情况下执行?( )
面试官对某一位候选者在长相或行为与自己相似时的偏袒是 .
根据声环境质量标准(GB3096-2008),工业生产、仓储物流为主要功能的区域属于( )类区
山叶钢琴“弹钢琴的孩子不会变坏”这一广告口号属于()类型的口号。
负反馈放大电路的含义是( )。
