南开大学22春“信息安全”《计算机病毒分析》离线作业（一）辅导答案50

书山有路勤为径，学海无涯苦作舟！ 住在富人区的她南开大学22春“信息安全”计算机病毒分析离线作业（一）辅导答案一.综合考核(共50题)1.OllyDbg支持的跟踪功能有()。A.标准回溯跟踪B.堆栈调用跟踪C.运行跟踪D.边缘跟踪参考答案：ABC2.下列对进程浏览器属性栏的描述错误的是()。A.线程标签显示所有活跃的线程B.TCP/IP标签活跃的连接和进程监听的端口C.镜像标签显示磁盘上可执行程序的路径D.字符串标签，通过比较包含在磁盘上可执行文件的字符串与内存中同一个可执行文件的字符串，来看两者是否相同参考答案：D3.OllyDbg的硬件断点最多能设置()个。A.3个B.4个C.5个D.6个参考答案：B4.直接将恶意代码注入到远程进程中的是()。A.进程注入B.DLL注入C.钩子注入D.直接注入参考答案：D5.木马与病毒的重大区别是()。A.木马会自我复制B.木马具有隐蔽性C.木马不具感染性D.木马通过网络传播参考答案：C6.Shell是一个命令解释器，它解释()的命令并且把它们送到内核。A.系统输入B.用户输入C.系统和用户输入D.输入参考答案：B7.可以按()键定义原始字节为代码。A.C键B.D键C.shift D键D.U键参考答案：A8.与导入函数类似，DLL和EXE的导出函数，是用来与其他程序和代码进行交互时所使用的。()A.正确B.错误参考答案：A9.单步调试是通过()实现的。A.每条代码之前添加软件断点B.每条代码之前添加硬件断点C.标志寄存器中的陷阱标志(trap flag)D.标志寄存器中的zf标志位参考答案：C10.用IDA Pro对一个程序进行反汇编时，字节偶尔会被错误的分类。可以对错误处按()键来取消函数代码或数据的定义。A.C键B.D键C.shiftD键D.U键参考答案：D11.后门的功能有()。A.操作注册表B.列举窗口C.创建目录D.搜索文件参考答案：ABCD12.当调试可以修改自身的代码的代码时，应该设置什么类型的断点?()A.软件执行断点B.硬件执行断点C.条件断点D.非条件断点参考答案：B13.当重命名假名时，你只需要在一个地方做一次，新名字会扩散到任何被引用的地方。()A.正确B.错误参考答案：A14.在操作系统中所有的文件都不可以通过名字空间进行访问。()A.正确B.错误参考答案：B15.可以在用户模式下无限制地设置软件断点。()A.正确B.错误参考答案：A16.只要使用了KnownDLL，所有的DLL都会收到保护。()A.正确B.错误参考答案：B17.线程创建需要系统开销，()能够调用一个现有的线程。A.进程注入B.直接注入C.Hook注入D.APC注入参考答案：D18.进程浏览器的功能不包括()。A.比较进程浏览器中的DLL列表与在Dependency Walker工具中显示的导入DLL列表来判断一个DLL是否被加载到进程B.单击验证按钮，可以验证磁盘上的镜像文件是否具有微软的签名认证C.比较运行前后两个注册表的快照，发现差异D.一种快速确定一个文档是否恶意的方法，就是打开进程浏览器，然后打开文档。若文档启动了任意进程，你能进程浏览器中看到，并能通过属性窗口中的镜像来定位恶意代码在磁盘上的位置参考答案：C19.Netcat被称为“TCP/IP协议栈瑞士军刀”，可以被用在支持端口扫描、隧道、代理、端口转发等的对内对外连接上。在监听模式下，Netcat充当一个服务器，而在连接模式下作为一个客户端。Netcat从标准输入得到数据进行网络传输，而它得到的数据，又可以通过标准输出显示到屏幕上。()A.正确B.错误参考答案：A20.ApateDNS在本机上监听UDP()端口。A.53B.69C.161D.80参考答案：A21.以下Windows API类型中()是表示一个将会被Windows API调用的函数。A.WORDB.DWORDC.HabdlesD.Callback参考答案：D22.计算机病毒的编写者使用的哪项技术可以使编写的代码，功能不变，语义混淆?()A.垃圾指令B.多态技术C.变形技术D.单项执行技术参考答案：C23.下列说法正确的是()。A.IDA Pro有一个在识别结构方面很有用的图形化工具B.从反汇编代码来看，很难知道原始代码是一个switch语句还是一个if语句序列C.switch中各无条件跳转相互影响D.使用了一个跳转表，来更加高效地运行switch结构汇编代码参考答案：ABD24.GFI沙箱生成报告不包括哪个小节?()A.分析摘要B.文件活动C.注册表D.程序功能参考答案：D25.对一个监听入站连接的服务应用，顺序是()函数，等待客户端的连接。A.socket、bind、listen和acceptB.socket、bind、accept和listenC.bind、sockect、listen和acceptD.accept、bind、listen和socket参考答案：ABCD26.下列对内核套件的描述正确的是()。A.恶意代码将自身安装到一台计算机来允许攻击者访问B.这是一类只是用来下载其他恶意代码的恶意代码C.用来启动其他恶意程序的恶意代码D.设计用来隐藏其他恶意代码的恶意代码网络造成破坏的软件参考答案：D27.调试器允许你查看任意内存地址、寄存器的内容以及每个函数的参数。()A.正确B.错误参考答案：A28.恶意代码常用注册表()。A.存储配置信息B.收集系统信息C.永久安装自己D.网上注册参考答案：ABC29.以下不是检测SSDT挂钩的方法是()。A.遍历SSDT表B.使用查杀病毒的软件C.查找异常的函数入口地址D.ntoskrnl.exe的地址空间是从804d7000到806cd580参考答案：B30.INetSim可以模拟的网络服务有()。A.HTTPB.FTPC.IRCD.DNS参考答案：ABCD31.以下哪个窗口是操作和分析二进制的主要位置，也是反汇编代码所在的地方?()A.函数窗口B.结构窗口C.反汇编窗口D.二进制窗口参考答案：C32.注入shellcode属于()。A.进程注入B.DLL注入C.钩子注入D.直接注入参考答案：D33.异常是恶意代码、恶意代码分析或者调试所独有的。()A.正确B.错误参考答案：B34.在以下寄存器中用于定位内存节的寄存器是()。A.通用寄存器B.段寄存器C.状态寄存器D.指令指针参考答案：B35.这种进程替换技术让恶意代码与被替换进程拥有相同的特权级。()A.正确B.错误参考答案：A36.下载器通常会与漏洞利用打包在一起。()A.正确B.错误参考答案：A37.有时，某个标准符号常量不会显示，这时你需要手动加载有关的类型库。()A.正确B.错误参考答案：A38.恶意的应用程序会挂钩一个经常使用的Windows消息。()A.正确B.错误参考答案：B39.在以下寄存器中用于定位要执行的下一条指令的寄存器是()。A.通用寄存器B.段寄存器C.状态寄存器D.指令指针参考答案：D40.()能够将一个被调试的进程转储为一个PE文件。A.OllyDumpB.调试器隐藏插件C.命令行D.书签参考答案：A41.进程监视器视图每一秒更新一次。默认情况下，服务以粉色高亮显示，进程显示为蓝色，新进程为绿色，被终止进程则为红色。绿色和红色的高亮显示是临时的，当进程被完全启动或终止后颜色就会改变。()A.正确B.错误参考答案：A42.轰动全球的震网病毒是()。A.木马B.蠕虫病毒C.后门D.寄生型病毒参考答案：B43.以下对各断点说法错误的是()。A.查看堆栈中混淆数据内容的唯一方法时：待字符串解码函数执行完成后，查看字符串的内容，在字符串解码函数的结束位置设置软件断点B.条件断点是软件断点中的一种，只有某些条件得到满足时这个断点才能中断执行程序C.硬件断点非常强大，它可以在不改变你的代码、堆栈以及任何目标资源的前提下进行调试D.OllyDbg只允许你一次设置一个内存断点，如果你设置了一个新的内存断点，那么之前设置的内存断点就会被移除参考答案：C44.进程监视器(Process Monitor)是Windows系统下的高级监视工具，它提供一种方式来监控注册表、文件系统、网络、进程和线程行为。它结合并增强了两种工具的功能：文件监视器FileMon和注册表监视器RegMon。()A.正确B.错误参考答案：A45.当想要在函数调用使用特定的参数时才发生中断，应该设置什么类型的断点?()A.软件执行断点B.硬件执行断点C.条件断点D.非条件断点参考答案：C46.恶意代码与驱动通信最常使用的请求是DeviceIoControl。()A.正确B.错误参考答案：A47.WinDbg的内存窗口不支持通过命令来浏览内存。()A.正确B.错误参考答案：B48.内存中的()节用于函数的局部变量和参数，以及控制程序执行流。A.数据B.堆C.代码D.栈参考答案：D49.导入表窗口能够列举一个文件的所有导入函数。()A.正确B.错误参考答案：A50.加法和减法是从目标操作数中加上或减去()个值。A.0B.1C.2D.3参考答案：B