22春學(xué)期（高起本1709-1803、全層次1809-2103）《計(jì)算機(jī)病毒分析》在線作業(yè)-00003

試卷總分:100  得分:100

一、單選題 (共 25 道試題,共 50 分)

1.病毒是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組（）。

A.計(jì)算機(jī)指令

B.程序代碼

C.文件

D.計(jì)算機(jī)指令或者程序代碼

2.病毒、（）和木馬是可導(dǎo)致計(jì)算機(jī)和計(jì)算機(jī)上的信息損壞的惡意程序。

A.程序

B.蠕蟲(chóng)

C.代碼

D.數(shù)據(jù)

3.堆是程序運(yùn)行時(shí)動(dòng)態(tài)分配的內(nèi)存，用戶(hù)一般通過(guò)（）、new等函數(shù)申請(qǐng)內(nèi)存。

A.scanf

B.printf

C.malloc

D.free

4.能調(diào)試內(nèi)核的調(diào)試器是（）

A.OllyDbg

B.IDA Pro

C.WinDbg

D.Process Explorer

5.函數(shù)調(diào)用約定中，參數(shù)是從右到左按序被壓入棧，當(dāng)函數(shù)完成時(shí)由被調(diào)用函數(shù)清理?xiàng)＃⑶覍⒎祷刂当４嬖贓AX中的是（）。

A.cdecl

B.stdcall

C.fastcall

D.壓棧與移動(dòng)

6.PE文件中的分節(jié)中唯一包含代碼的節(jié)是（）。

A..rdata

B..text

C..data

D..rsrc

7.計(jì)算機(jī)體系結(jié)構(gòu)中，（）層是由十六進(jìn)制形式的操作碼組成，用于告訴處理器你想它干什么。

A.微指令

B.機(jī)器碼

C.低級(jí)語(yǔ)言

D.高級(jí)語(yǔ)言

8.基于Linux模擬常見(jiàn)網(wǎng)絡(luò)服務(wù)的軟件的是（）。

A.ApateDNS

B.Netcat

C.INetSim

D.Wireshark

9.轟動(dòng)全球的震網(wǎng)病毒是（）。

A.木馬

B.蠕蟲(chóng)病毒

C.后門(mén)

D.寄生型病毒

10.Shell是一個(gè)命令解釋器，它解釋?zhuān)ǎ┑拿畈⑶野阉鼈兯偷絻?nèi)核。

A.系統(tǒng)輸入

B.用戶(hù)輸入

C.系統(tǒng)和用戶(hù)輸入

D.輸入

11.在WinDbg的搜索符號(hào)中， （）命令允許你使用通配符來(lái)搜索函數(shù)或者符號(hào)。

A.bu

B.x

C.Ln

D.dt

12.木馬與病毒的重大區(qū)別是（）。

A.木馬會(huì)自我復(fù)制

B.木馬具有隱蔽性

C.木馬不具感染性

D.木馬通過(guò)網(wǎng)絡(luò)傳播

13.以下哪個(gè)選項(xiàng)屬于木馬（）。

A.震網(wǎng)病毒

B.WannaCry

C.灰鴿子

D.熊貓燒香

14.用戶(hù)模式下的APC要求線程必須處于（）狀態(tài)。

A.阻塞狀態(tài)

B.計(jì)時(shí)等待狀態(tài)

C.可警告的等待狀態(tài)

D.被終止?fàn)顟B(tài)

15.OllyDbg最多同時(shí)設(shè)置（）個(gè)內(nèi)存斷點(diǎn)。

A.1個(gè)

B.2個(gè)

C.3個(gè)

D.4個(gè)

16.而0x52000000對(duì)應(yīng)0x52這個(gè)值使用的是（）字節(jié)序。

A.小端

B.大端

C.終端

D.前端

17.以下說(shuō)法錯(cuò)誤的是（）。

A.OllyDbg可以很容易修改實(shí)時(shí)數(shù)據(jù)，如寄存器和標(biāo)志。它也可以將匯編形式的修補(bǔ)代碼直接插入到一個(gè)程序

B.OllyDbg可以使用00項(xiàng)或nop指令填充程序

C.鍵單擊高亮的條件跳轉(zhuǎn)指令，然后選擇Binary→Fill with NOPs，該操作產(chǎn)生的結(jié)果時(shí)NOP指令替換了JNZ指令，這個(gè)過(guò)程會(huì)把那個(gè)位置上的NOP永久保存在磁盤(pán)上，意味著惡意代碼以后會(huì)接受任意輸入的密鑰

D.當(dāng)異常發(fā)生時(shí)，OllyDbg會(huì)暫停運(yùn)行，然后你可以使用進(jìn)入異常、跳過(guò)異常、運(yùn)行異常處理 等方法，來(lái)決定是否將異常轉(zhuǎn)移到應(yīng)用程序處理

18.反病毒軟件主要是依靠（）來(lái)分析識(shí)別可疑文件。

A.文件名

B.病毒文件特征庫(kù)

C.文件類(lèi)型

D.病毒文件種類(lèi)

19.WinDbg的內(nèi)存窗口支持通過(guò)命令來(lái)瀏覽內(nèi)存，以下WinDbg讀選項(xiàng)中，（）選項(xiàng)描述讀取內(nèi)存數(shù)據(jù)并以?xún)?nèi)存32位雙字顯示。

A.da

B.du

C.dd

D.dc

20.Base64編碼將二進(jìn)制數(shù)據(jù)轉(zhuǎn)化成（）個(gè)字符的有限字符集。

A.16

B.32

C.48

D.64

21.原始數(shù)據(jù)轉(zhuǎn)換成Base64的過(guò)程相當(dāng)標(biāo)準(zhǔn)。它使用（）位的塊。

A.8

B.16

C.24

D.32

22.（）是指Windows中的一個(gè)模塊沒(méi)有被加載到其預(yù)定基地址時(shí)發(fā)生的情況。

A.內(nèi)存映射

B.基地址重定位

C.斷點(diǎn)

D.跟蹤

23.WinINet API實(shí)現(xiàn)了（）層的協(xié)議。

A.網(wǎng)絡(luò)層

B.數(shù)據(jù)鏈路層

C.應(yīng)用層

D.傳輸層

24.WinDbg的內(nèi)存窗口支持通過(guò)命令來(lái)瀏覽內(nèi)存，以下WinDbg讀選項(xiàng)中，（）選項(xiàng)描述讀取內(nèi)存數(shù)據(jù)并以ASCII文本顯示。

A.da

B.du

C.dd

D.dc

25.進(jìn)程瀏覽器的功能不包括（）。

A.比較進(jìn)程瀏覽器中的DLL列表與在Dependency Walker工具中顯示的導(dǎo)入DLL列表來(lái)判斷一個(gè)DLL是否被加載到進(jìn)程

B.單擊驗(yàn)證按鈕，可以驗(yàn)證磁盤(pán)上的鏡像文件是否具有微軟的簽名認(rèn)證

C.比較運(yùn)行前后兩個(gè)注冊(cè)表的快照，發(fā)現(xiàn)差異

D.一種快速確定一個(gè)文檔是否惡意的方法，就是打開(kāi)進(jìn)程瀏覽器，然后打開(kāi)文檔。若文檔啟動(dòng)了任意進(jìn)程，你能進(jìn)程瀏覽器中看到，并能通過(guò)屬性窗口中的鏡像來(lái)定位惡意代碼在磁盤(pán)上的位置。

二、多選題 (共 10 道試題,共 20 分)

26.以下方法中是識(shí)別標(biāo)準(zhǔn)加密算法的方法是（）。[多選]

A.識(shí)別涉及加密算法使用的字符串

B.識(shí)別引用導(dǎo)入的加密函數(shù)

C.搜索常見(jiàn)加密常量的工具

D.查找高熵值的內(nèi)容

27.對(duì)下面匯編代碼的分析正確的是（）。

A.mov [ebp+var_4],0對(duì)應(yīng)循環(huán)變量的初始化步驟

B.add eax,1對(duì)應(yīng)循環(huán)變量的遞增，在循環(huán)中其最初會(huì)通過(guò)一個(gè)跳轉(zhuǎn)指令而跳過(guò)

C.比較發(fā)生在cmp處，循環(huán)決策在jge處通過(guò)條件跳轉(zhuǎn)指令而做出

D.在循環(huán)中，通過(guò)一個(gè)無(wú)條件跳轉(zhuǎn)jmp，使得循環(huán)變量每次進(jìn)行遞增。

28.以下是分析加密算法目的的是

A.隱藏配置文件信息。

B.竊取信息之后將它保存到一個(gè)臨時(shí)文件。

C.存儲(chǔ)需要使用的字符串，并在使用前對(duì)其解密。

D.將惡意代碼偽裝成一個(gè)合法的工具，隱藏惡意代碼

29.以下哪些是常用的虛擬機(jī)軟件

A.VMware Player

B.VMware Station

C.VMware Fusion

D.VirtualBox

30.后門(mén)的功能有

A.操作注冊(cè)表

B.列舉窗口

C.創(chuàng)建目錄

D.搜索文件

31.OllyDbg提供了多種機(jī)制來(lái)幫助分析，包括下面幾種（）。

A.日志

B.監(jiān)視

C.幫助

D.標(biāo)注

32.調(diào)試器可以用來(lái)改變程序的執(zhí)行方式?？梢酝ㄟ^(guò)修改（）方式來(lái)改變程序執(zhí)行的方式。

A.修改控制標(biāo)志

B.修改指令指針

C.修改程序本身

D.修改文件名

33.惡意代碼作者如何使用DLL（）多選

A.保存惡意代碼

B.通過(guò)使用Windows DLL

C.控制內(nèi)存使用DLL

D.通過(guò)使用第三方DLL

34.惡意代碼的存活機(jī)制有（）

A.修改注冊(cè)表

B.特洛伊二進(jìn)制文件

C.DLL加載順序劫持

D.自我消滅

35.惡意代碼常用注冊(cè)表()

A.存儲(chǔ)配置信息

B.收集系統(tǒng)信息

C.永久安裝自己

D.網(wǎng)上注冊(cè)

三、判斷題 (共 15 道試題,共 30 分)

36.哈希是一種用來(lái)唯一標(biāo)識(shí)惡意代碼的常用方法。

37.在圖形模式中，綠色箭頭路徑表示這個(gè)條件跳轉(zhuǎn)沒(méi)被采用

38.普通病毒的傳染能力主要是針對(duì)計(jì)算機(jī)內(nèi)的文件系統(tǒng)而言。

39.靜態(tài)分析基礎(chǔ)技術(shù)是非常簡(jiǎn)單，同時(shí)也可以非?？焖賾?yīng)用的，但它在針對(duì)復(fù)雜的惡意代碼時(shí)很大程度上是無(wú)效的，而且它可能會(huì)錯(cuò)過(guò)一些重要的行為。

40.有時(shí)，某個(gè)標(biāo)準(zhǔn)符號(hào)常量不會(huì)顯示，這時(shí)你需要手動(dòng)加載有關(guān)的類(lèi)型庫(kù)

41.在完成程序的過(guò)程中，通用寄存器它們是完全通用的。

42.下載器通常會(huì)與異常處理打包在一起

43.Netcat被稱(chēng)為“TCP/IP協(xié)議棧瑞士軍刀”，可以被用在支持端口掃描、隧道、代理、端口轉(zhuǎn)發(fā)等的對(duì)內(nèi)對(duì)外連接上。在監(jiān)聽(tīng)模式下，Netcat充當(dāng)一個(gè)服務(wù)器，而在連接模式下作為一個(gè)客戶(hù)端。Netcat從標(biāo)準(zhǔn)輸入得到數(shù)據(jù)進(jìn)行網(wǎng)絡(luò)傳輸，而它得到的數(shù)據(jù)，又可以通過(guò)標(biāo)準(zhǔn)輸出顯示到屏幕上。

44.調(diào)試器允許你查看任意內(nèi)存地址、寄存器的內(nèi)容以及每個(gè)函數(shù)的參數(shù)

45.蠕蟲(chóng)是利用文件寄生來(lái)通過(guò)網(wǎng)絡(luò)傳播的惡性病毒。

46.當(dāng)惡意代碼編寫(xiě)者想要將惡意代碼偽裝成一個(gè)合法進(jìn)程，可以使用一種被稱(chēng)為進(jìn)程注入的方法，將一個(gè)可執(zhí)行文件重寫(xiě)到一個(gè)運(yùn)行進(jìn)程的內(nèi)存空間。

47.重命名地址可以修改自動(dòng)化命名的絕對(duì)地址和棧變量。

48.進(jìn)程監(jiān)視器視圖每一秒更新一次。默認(rèn)情況下，服務(wù)以粉色高亮顯示，進(jìn)程顯示為藍(lán)色，新進(jìn)程為綠色，被終止進(jìn)程則為紅色。綠色和紅色的高亮顯示是臨時(shí)的，當(dāng)進(jìn)程被完全啟動(dòng)或終止后顏色就會(huì)改變。

49.這種進(jìn)程替換技術(shù)讓惡意代碼與被替換進(jìn)程擁有相同的特權(quán)級(jí)。

50.假設(shè)你擁有一個(gè)惡意的驅(qū)動(dòng)程序，但沒(méi)有用戶(hù)態(tài)應(yīng)用程序安裝它，這個(gè)時(shí)候就可以用如OSR Driver Loader的加載工具來(lái)加載它。