奥鹏南开《计算机病毒分析》20春期末考核doc.docx
《奥鹏南开《计算机病毒分析》20春期末考核doc.docx》由会员分享,可在线阅读,更多相关《奥鹏南开《计算机病毒分析》20春期末考核doc.docx(7页珍藏版)》请在冰豆网上搜索。
奥鹏南开《计算机病毒分析》20春期末考核doc
1.网络黑客产业链是指黑客们运用技术手段入侵服务器获取站点权限
以及各类账户信息并从中谋取()的一条产业链。
A.非法经济利益B.经济效益C.效益D.利润
【参考答案】:
A
2.下列属于静态高级分析技术的描述是()。
A.检查可执行文件但不查看具体指令的一些技术分析的目标B.涉及运行恶
意代码并观察系统上的行为,以移除感染,产生有效的检测特征码,或者两者C.主要是对恶意代码内部机制的逆向工程,通过将可执行文件装载到反汇
编器中,查看程序指令,来发现恶意代码到底做了什么D.使用调试器来检查
一个恶意可执行程序运行时刻的内部状态
【参考答案】:
C
3.可以按()键定义原始字节为代码。
A.C键B.D键C.shiftD键D.U键
【参考答案】:
A
4.以下WindowsAPI类型中()是表示一个将会被WindowsAPI调用的
函数。
A.WORDB.DWORDC.HabdlesD.Callback
【参考答案】:
D
5.用IDAPm对一个程序进行反汇编时,字节偶尔会被错误的分类。
可
以对错误处按()键来取消函数代码或数据的定义。
A.C键B.D键C.shift+D键D.U键
6•反病毒软件主要是依靠()来分析识别可疑文件。
A.文件名B.病毒文件特征库C.文件类型D.病毒文件种类
【参考答案】:
B
7.IDApro支持()种图形选项
A.1种B.3种C.5种D.7种
【参考答案】:
C
8.以下对各断点说法错误的是()o
A.查看堆栈中混淆数据内容的唯一方法时:
待字符审解码函数执行完成后,查看字符串的内容,在字符吊解码函数的结束位置设置软件断点B.条件断点是软
件断点中的一种,只有某些条件得到满足时这个断点才能中断执行程序C.
硬件断点非常强大,它可以在不改变你的代码、堆栈以及任何LI标资源的前提下进行调试D.OllyDbg只允许你一次设置一个内存断点,如果你设置了一个新的内存断点,那么之前设置的内存断点就会被移除
【参考答案】:
C
9•在通用寄存器中,()是数据寄存器。
A.EAXB.EBXC.ECXD.EDX
【参考答案】:
D
10.WinDbg的内存窗口支持通过命令来浏览内存,以下WinDbg读选项中,()选项描述读取内存数据并以内存32位双字显示。
A.daB.duC.ddD.de
【参考答案】:
c
11•下面说法错误的是()O
A・启动器通常在text节存储恶意代码,当启动器运行时,它在运行嵌入的可执行程序或者DLL程序之前,从该节将恶意代码提取出来B•隐藏启动的最流行技术是进程注入。
顾名思义,这种技术是将代码注入到另外一个正在运行的进程中,而被注入的进程会不知不觉地运行注入的代码C.DLL注入是进程注入的一种形式,它强迫一个远程进程加载恶意DLL程序,同时它也是最常使用的秘密加载技术D.直接注入比DLL注入更加灵活,但是要想注入的代码在不对宿主进程产生副作用的前提下成功运行,直接注入需要大量的定制代码。
这种技术可以被用来注入编译过的代码,但更多的时候,它用来注入shellcode
【参考答案】:
A
12.当要判断某个内存地址含义时,应该设置什么类型的断点()
A.软件执行断点B.硬件执行断点C.条件断点D.非条件断点
【参考答案】:
B
13.011yDbg的硬件断点最多能设置()个。
A.3个B.4个C.5个D.6个
【参考答案】:
B
14.PE文件中的分节中唯一包含代码的节是()o
A.・rdataB・・textC・・dataD・・rsrc
【参考答案】:
B
15.轰动全球的震网病毒是()。
A.木马B.蠕虫病毒C.后门D.寄生型病毒
【参考答案】:
B
16.以下是句柄是在操作系统中被打开或被创建的项的是
A.窗口B.进程C.模块D.菜单
17.011yDbg提供了多种机制来帮助分析,包括下面几种()。
A.日志B.监视C.帮助D.标注
【参考答案】:
ABCD
恶意代码常用注册表0
A.存储配置信息B.收集系统信息C.永久安装自己D.网上注册
【参考答案】:
ABC
19.进程监视器提供默认下面四种过滤功能是()。
A.注册表B.文件系统C.进程行为D.网络
【参考答案】:
ABCD
20.INetSim可以模拟的网络服务有()。
A.HTTPB.FTPC.IRCD.DNS
【参考答案】:
ABCD
21.以下的恶意代码行为中,属于后门的是()
A.netcat反向shellB.windows反向shellC.远程控制—匸具D.僵尸
网络
【参考答案】:
ABCD
22.后门的功能有
A.操作注册表B.列举窗口C.创建目录D.搜索文件
【参考答案】:
ABCD
23.对一个监听入站连接的服务应用,顺序是()函数,等待客户端的
连接。
A.socket、bind、listen和acceptB・socket、bind^accept和listenC・bind>sockect>listenWacceptD・accept、bind>listen和socket
【参考答案】:
ABCD
24.微软fastcall约定备用的寄存器是()。
A.EAXB.ECXC.EDXD.EBX
【参考答案】:
BC
25.运行计算机病毒,监控病毒的行为,需要一个安全、可控的运行环
境的原因是什么
A.恶意代码具有传染性B.可以进行隔离C.恶意代码难以清除D.环
境容易搭建
【参考答案】:
ABC
26.编码不仅仅影响通信,它也可以使恶意代码更加难以分析和理解。
T.对F.错
【参考答案】:
A
27.蠕虫或计算机病毒是可以自我复制和感染其他计算机的恶意代码。
T.对F.错
【参考答案】:
A
28.恶意的应用程序会挂钩一个经常使用的Windows消息。
T.对F.错
29.除非有上下文,否则通常情况下,被显示的数据会被格式化为八进
制的值。
T.对F.错
【参考答案】:
A
30.哈希函数,是一种从任何一种数据中创建小的数字“指纹”的方法。
T.对F.错
【参考答案】:
A
31.Base64加密用ASCII字符串格式表示十六进制数据。
T.对F.错
【参考答案】:
B
32.CreateFile()这个函数被用来创建和打开文件。
T.对F.错
【参考答案】:
A
33.OllyDbg的插件以DLL形式存在,如果要安装某个插件,你将这个插件的DLL放到OllyDbg的安装根目录下即可。
T.对F.错
【参考答案】:
A
34.微软符号也包含多个数据结构的类型信息,但并不包括没有被公开的内部类型。
T.对F.错
【参考答案】:
B
35.在完成程序的过程中,通用寄存器它们是完全通用的。
T.对F.错
【参考答案】:
B
36.简述计算机病毒使用标准加密算法库函数时存在的问题。
【参考答案】:
(1)加密算法的库文件很大,所以恶意代码需要静态的集成或者链接到已有的代码中。
(2)链接主机上现有的代码可能降低可移植性。
(3)标准加密库比较容易探测。
(4)对称加密算法需要考虑如何隐藏密钥。
37.为了隐蔽自身,计算机病毒的使用了多种技术将恶意代码隐藏到正常的Windows资源空间中。
请简述计算机病毒如何使用APC注入技术实现恶意代码的隐蔽启动。
【参考答案】:
异步过程调用APC可以让一个线程在它正常的执行路径运行之前执行一些其它的代码。
每一个线程都有一个附加的APC队列,它们在线程处于可警告的等待状态时被处理。
如果应用程序在线程可警告等待状态时(未运行之询)排入一个APC队列,那么线程将从调用APC函数开始。
线程逐个调用APC队列中的所有APCoAPC队列完成时,线程才继续沿着它规定的路径执行。
恶意代码编写者为了让他们的代码立即获得执行,他们用APC抢占可警告等待状态的线程。
38.简述计算机病毒使用的自定义加密方案。
【参考答案】:
恶意代码经常使用自创的加密方法,一种方案是将多个简单加密方法组装到一起,例如,恶意代码可以先执行一次XOR加密,然后在XOR加密基础上执行Base64加密。
另外一种方案就是开发一种与标准加密算法相似的自定义加密算法。
升级会员 