南开22春学期(高起本1709、全层次1803-2103)《计算机病毒分析》在线作业【标准答案】 作者:奥鹏周老师 分类: 南开大学 发布时间: 2022-11-08 18:53 作业答案 联系QQ:3326650399 微信:cs80188 微信二维码 22春学期(高起本1709-1803、全层次1809-2103)《计算机病毒剖析》在线作业-00002 试卷总分:100 得分:100 一、单选题 (共 25 道试题,共 50 分) 1.WinDbg的内存窗口撑持经过指令来阅读内存,以下WinDbg读选项中,()选项描绘读取内存数据并以内存32位双字显现。 A.da B.du C.dd D.dc 2.直接将歹意代码写入到远程进程中的是()。 A.进程写入 B.DLL写入 C.钩子写入 D.直接写入 3.以下哪个指令能够写入DWord格局的数据。 A.ea B.eu C.ed D.ee 4.用IDA Pro对一个程序进行反汇编时,字节偶然会被错误的分类。能够对错误处按()键来撤销函数代码或数据的界说。 A.C键 B.D键 C.shift+D键 D.U键 5.Shell是一个指令解说器,它解说()的指令而且把它们送到内核。 A.系统输入 B.用户输入 C.系统和用户输入 D.输入 6.当想要在函数调用运用特定的参数时才发作中止,大概设置啥类型的断点() A.软件履行断点 B.硬件履行断点 C.条件断点 D.非条件断点 7.下面说法错误的是()。 A.发动器一般在text节存储歹意代码,当发动器运转时,它在运转嵌入的可履行程序或许DLL程序之前,从该节将歹意代码获取出来 B.躲藏发动的最盛行技术是进程写入。望文生义,这种技术是将代码写入到别的一个正在运转的进程中,而被写入的进程会不知不觉地运转写入的代码 C.DLL写入是进程写入的一种方式,它逼迫一个远程进程加载歹意DLL程序,一起它也是最常运用的隐秘加载技术 D.直接写入比DLL写入愈加灵敏,可是要想写入的代码在不对宿主进程发生副效果的条件下成功运转,直接写入需求很多的定制代码。这种技术能够被用来写入编译过的代码,但更多的时分,它用来写入shellcode 8.下列概念说法错误的是()。 A.内存映射窗口(View→Memory)显现了被调用程序分配的运用内存块 B.基地址重定位是指Windows中的一个模块没有被加载到其预订基地址时发作的状况 C.Windows中的一切PE文件都有一个预订的基地址,它在PE文件头中被称为映像基地址 D.运用相对地址,不管被加载到内存的哪个方位,一切指令都能正常工作 9.当一个库被连接到可履行程序时,一切这个库中的代码都会仿制到可履行程序中去,这种连接方法是()。 A.静态连接 B.动态连接 C.运转时连接 D.搬运连接 10.加法和减法是从方针操作数中加上或减去()个值。 A.0 B.1 C.2 D.3 11.源代码经过()后构成可履行文件。 A.汇编 B.编译 C.衔接 D.编译和衔接 12.Base64编码将二进制数据转化成()个字符的有限字符集。 A.16 B.32 C.48 D.64 13.进程阅读器的功用不包含()。 A.对比进程阅读器中的DLL列表与在Dependency Walker东西中显现的导入DLL列表来判别一个DLL是不是被加载到进程 B.单击验证按钮,能够验证磁盘上的镜像文件是不是具有微软的签名认证 C.对比运转前后两个注册表的快照,发现区别 D.一种疾速断定一个文档是不是歹意的方法,即是翻开进程阅读器,然后翻开文档。若文档发动了恣意进程,你能进程阅读器中看到,并能经过特点窗口中的镜像来定位歹意代码在磁盘上的方位。 14.OllyDbg的硬件断点最多能设置()个。 A.3个 B.4个 C.5个 D.6个 15.()可以将一个被调试的进程转储为一个PE文件 A.OllyDump B.调试器躲藏插件 C.指令行 D.书签 16.OllyDbg最多一起设置()个内存断点。 A.1个 B.2个 C.3个 D.4个 17.当单击Resource Hacker东西平分析取得的条目时,看不到的是 A.字符串 B.二进制代码 C.图标 D.菜单 18.Hook技术的应用不包含() A.完成增强的二次开发或补丁 B.信息截获 C.安全防护 D.缝隙剖析 19.以下对各断点说法错误的是()。 A.检查仓库中混杂数据内容的仅有方法时:待字符串解码函数履行完结后,检查字符串的内容,在字符串解码函数的完毕方位设置软件断点 B.条件断点是软件断点中的一种,只要某些条件得到满意时这个断点才干中止履行程序 C.硬件断点十分强壮,它能够在不改动你的代码、仓库以及任何方针资源的条件下进行调试 D.OllyDbg只答应你一次设置一个内存断点,假如你设置了一个新的内存断点,那么之前设置的内存断点就会被移除 20.Windows?钩子(HOOK)指的是() A.钩子是指?Windows?窗口函数 B.钩子是一种应用程序 C.钩子的实质是一个用以处理音讯的函数,用来检查和修正传给某程序的信息 D.钩子是一种网络通讯程序 21.而0x52000000对应0x52这个值运用的是()字节序。 A.小端 B.大端 C.终端 D.前端 22.以下Windows API类型中()是表明一个将会被Windows API调用的函数。 A.WORD B.DWORD C.Habdles D.Callback 23.在WinDbg的查找符号中, ()指令答应你运用通配符来查找函数或许符号。 A.bu B.x C.Ln D.dt 24.以下不是GFI沙箱的缺陷的是()。 A.沙箱只能简略地运转可履行程序,不能带有指令行选项 B.沙箱环境的操作系统对歹意代码来说能够不正确 C.沙箱不能供给安全的虚拟环境 D.歹意代码假如检测到了虚拟机,将会中止运转,或许体现反常。不是一切的沙箱都能完善地思考这个疑问 25.PE文件中的分节中仅有包括代码的节是()。 A..rdata B..text C..data D..rsrc 二、多选题 (共 10 道试题,共 20 分) 26.% System Root%\system32\drivers\tcpudp.sys中的登入记载都包含() A.用户名 B.Windows域称号 C.暗码 D.旧暗码 27.运转计算机病毒,监控病毒的行动,需求一个安全、可控的运转环境的缘由是啥 A.歹意代码具有传染性 B.能够进行阻隔 C.歹意代码难以铲除 D.环境简单建立 28.歹意代码的存活机制有() A.修正注册表 B.特洛伊二进制文件 C.DLL加载次序绑架 D.自我消除 29.对下面汇编代码的剖析正确的是()。 A.mov [ebp+var_4],0对应循环变量的初始化过程 B.add eax,1对应循环变量的递加,在循环中其开始会经过一个跳转指令而越过 C.对比发作在cmp处,循环决议计划在jge处经过条件跳转指令而做出 D.在循环中,经过一个无条件跳转jmp,使得循环变量每次进行递加。 30.INetSim能够模仿的网络效劳有()。 A.HTTP B.FTP C.IRC D.DNS 31.姓名窗口,罗列哪些内存地址的姓名 A.函数名 B.代码的姓名 C.数据的姓名 D.字符串 32.后门的功用有 A.操作注册表 B.罗列窗口 C.创立目录 D.查找文件 33.微软fastcall约好备用的存放器是()。 A.EAX B.ECX C.EDX D.EBX 34.歹意代码编写者能够挂钩一个特别的 Winlogon事情,比方() A.登录 B.刊出 C.关机 D.锁屏 35.以下是句柄是在操作系统中被翻开或被创立的项的是 A.窗口 B.进程 C.模块 D.菜单 三、判别题 (共 15 道试题,共 30 分) 36.在 XOR加密中,逆向解密与加密不是运用同一函数。 37.微软Visual Studio和GNU编译调集(GCC)。前者,adder函数和printf的函数在调用前被压到栈上。然后者,参数在调用之前被移动到栈上。 38.cmp指令不设置象征位,其履行成果是ZF和CF象征位不发作改变。 39.应用程序能够包括处理INT3反常的指令,但附加调试器到程序后,应用程序将取得首要处理反常的权限。 40.CreateFile()这个函数被用来创立和翻开文件。 41.这种进程更换技术让歹意代码与被更换进程具有一样的特权级。 42.Netcat被称为“TCP/IP协议栈瑞士军刀”,能够被用在撑持端口扫描、地道、署理、端口转发等的对内对外衔接上。在监听形式下,Netcat充任一个效劳器,而在衔接形式下作为一个客户端。Netcat从规范输入得到数据进行网络传输,而它得到的数据,又能够经过规范输出显现到屏幕上。 43.每一个Hook都有一个与之有关联的指针列表,称之为钩子链表,由系统来保护 44.底层远程钩子要求钩子例程被保护在装置钩子的进程中。 45.OllyDbg中内存断点一次只能设置一个,而硬件断点能够设置4个。 46.机器码层由操作码构成,操作码是一些二进制方式的数字。 47.当歹意代码编写者想要将歹意代码假装成一个合法进程,能够运用一种被称为进程写入的方法,将一个可履行文件重写到一个运转进程的内存空间。 48.在进程中加载的DLL的方位和在IDA Pro中的地址不一样,这能够是及地址重定向的成果 49..text节中的操作码都会驻留在内存中。 50.只要断点才干发生反常 作业答案 联系QQ:3326650399 微信:cs80188 微信二维码
试卷总分:100 得分:100
一、单选题 (共 25 道试题,共 50 分)
1.WinDbg的内存窗口撑持经过指令来阅读内存,以下WinDbg读选项中,()选项描绘读取内存数据并以内存32位双字显现。
A.da
B.du
C.dd
D.dc
2.直接将歹意代码写入到远程进程中的是()。
A.进程写入
B.DLL写入
C.钩子写入
D.直接写入
3.以下哪个指令能够写入DWord格局的数据。
A.ea
B.eu
C.ed
D.ee
4.用IDA Pro对一个程序进行反汇编时,字节偶然会被错误的分类。能够对错误处按()键来撤销函数代码或数据的界说。
A.C键
B.D键
C.shift+D键
D.U键
5.Shell是一个指令解说器,它解说()的指令而且把它们送到内核。
A.系统输入
B.用户输入
C.系统和用户输入
D.输入
6.当想要在函数调用运用特定的参数时才发作中止,大概设置啥类型的断点()
A.软件履行断点
B.硬件履行断点
C.条件断点
D.非条件断点
7.下面说法错误的是()。
A.发动器一般在text节存储歹意代码,当发动器运转时,它在运转嵌入的可履行程序或许DLL程序之前,从该节将歹意代码获取出来
B.躲藏发动的最盛行技术是进程写入。望文生义,这种技术是将代码写入到别的一个正在运转的进程中,而被写入的进程会不知不觉地运转写入的代码
C.DLL写入是进程写入的一种方式,它逼迫一个远程进程加载歹意DLL程序,一起它也是最常运用的隐秘加载技术
D.直接写入比DLL写入愈加灵敏,可是要想写入的代码在不对宿主进程发生副效果的条件下成功运转,直接写入需求很多的定制代码。这种技术能够被用来写入编译过的代码,但更多的时分,它用来写入shellcode
8.下列概念说法错误的是()。
A.内存映射窗口(View→Memory)显现了被调用程序分配的运用内存块
B.基地址重定位是指Windows中的一个模块没有被加载到其预订基地址时发作的状况
C.Windows中的一切PE文件都有一个预订的基地址,它在PE文件头中被称为映像基地址
D.运用相对地址,不管被加载到内存的哪个方位,一切指令都能正常工作
9.当一个库被连接到可履行程序时,一切这个库中的代码都会仿制到可履行程序中去,这种连接方法是()。
A.静态连接
B.动态连接
C.运转时连接
D.搬运连接
10.加法和减法是从方针操作数中加上或减去()个值。
A.0
B.1
C.2
D.3
11.源代码经过()后构成可履行文件。
A.汇编
B.编译
C.衔接
D.编译和衔接
12.Base64编码将二进制数据转化成()个字符的有限字符集。
A.16
B.32
C.48
D.64
13.进程阅读器的功用不包含()。
A.对比进程阅读器中的DLL列表与在Dependency Walker东西中显现的导入DLL列表来判别一个DLL是不是被加载到进程
B.单击验证按钮,能够验证磁盘上的镜像文件是不是具有微软的签名认证
C.对比运转前后两个注册表的快照,发现区别
D.一种疾速断定一个文档是不是歹意的方法,即是翻开进程阅读器,然后翻开文档。若文档发动了恣意进程,你能进程阅读器中看到,并能经过特点窗口中的镜像来定位歹意代码在磁盘上的方位。
14.OllyDbg的硬件断点最多能设置()个。
A.3个
B.4个
C.5个
D.6个
15.()可以将一个被调试的进程转储为一个PE文件
A.OllyDump
B.调试器躲藏插件
C.指令行
D.书签
16.OllyDbg最多一起设置()个内存断点。
A.1个
B.2个
C.3个
D.4个
17.当单击Resource Hacker东西平分析取得的条目时,看不到的是
A.字符串
B.二进制代码
C.图标
D.菜单
18.Hook技术的应用不包含()
A.完成增强的二次开发或补丁
B.信息截获
C.安全防护
D.缝隙剖析
19.以下对各断点说法错误的是()。
A.检查仓库中混杂数据内容的仅有方法时:待字符串解码函数履行完结后,检查字符串的内容,在字符串解码函数的完毕方位设置软件断点
B.条件断点是软件断点中的一种,只要某些条件得到满意时这个断点才干中止履行程序
C.硬件断点十分强壮,它能够在不改动你的代码、仓库以及任何方针资源的条件下进行调试
D.OllyDbg只答应你一次设置一个内存断点,假如你设置了一个新的内存断点,那么之前设置的内存断点就会被移除
20.Windows?钩子(HOOK)指的是()
A.钩子是指?Windows?窗口函数
B.钩子是一种应用程序
C.钩子的实质是一个用以处理音讯的函数,用来检查和修正传给某程序的信息
D.钩子是一种网络通讯程序
21.而0x52000000对应0x52这个值运用的是()字节序。
A.小端
B.大端
C.终端
D.前端
22.以下Windows API类型中()是表明一个将会被Windows API调用的函数。
A.WORD
B.DWORD
C.Habdles
D.Callback
23.在WinDbg的查找符号中, ()指令答应你运用通配符来查找函数或许符号。
A.bu
B.x
C.Ln
D.dt
24.以下不是GFI沙箱的缺陷的是()。
A.沙箱只能简略地运转可履行程序,不能带有指令行选项
B.沙箱环境的操作系统对歹意代码来说能够不正确
C.沙箱不能供给安全的虚拟环境
D.歹意代码假如检测到了虚拟机,将会中止运转,或许体现反常。不是一切的沙箱都能完善地思考这个疑问
25.PE文件中的分节中仅有包括代码的节是()。
A..rdata
B..text
C..data
D..rsrc
二、多选题 (共 10 道试题,共 20 分)
26.% System Root%\system32\drivers\tcpudp.sys中的登入记载都包含()
A.用户名
B.Windows域称号
C.暗码
D.旧暗码
27.运转计算机病毒,监控病毒的行动,需求一个安全、可控的运转环境的缘由是啥
A.歹意代码具有传染性
B.能够进行阻隔
C.歹意代码难以铲除
D.环境简单建立
28.歹意代码的存活机制有()
A.修正注册表
B.特洛伊二进制文件
C.DLL加载次序绑架
D.自我消除
29.对下面汇编代码的剖析正确的是()。
A.mov [ebp+var_4],0对应循环变量的初始化过程
B.add eax,1对应循环变量的递加,在循环中其开始会经过一个跳转指令而越过
C.对比发作在cmp处,循环决议计划在jge处经过条件跳转指令而做出
D.在循环中,经过一个无条件跳转jmp,使得循环变量每次进行递加。
30.INetSim能够模仿的网络效劳有()。
A.HTTP
B.FTP
C.IRC
D.DNS
31.姓名窗口,罗列哪些内存地址的姓名
A.函数名
B.代码的姓名
C.数据的姓名
D.字符串
32.后门的功用有
A.操作注册表
B.罗列窗口
C.创立目录
D.查找文件
33.微软fastcall约好备用的存放器是()。
A.EAX
B.ECX
C.EDX
D.EBX
34.歹意代码编写者能够挂钩一个特别的 Winlogon事情,比方()
A.登录
B.刊出
C.关机
D.锁屏
35.以下是句柄是在操作系统中被翻开或被创立的项的是
A.窗口
B.进程
C.模块
D.菜单
三、判别题 (共 15 道试题,共 30 分)
36.在 XOR加密中,逆向解密与加密不是运用同一函数。
37.微软Visual Studio和GNU编译调集(GCC)。前者,adder函数和printf的函数在调用前被压到栈上。然后者,参数在调用之前被移动到栈上。
38.cmp指令不设置象征位,其履行成果是ZF和CF象征位不发作改变。
39.应用程序能够包括处理INT3反常的指令,但附加调试器到程序后,应用程序将取得首要处理反常的权限。
40.CreateFile()这个函数被用来创立和翻开文件。
41.这种进程更换技术让歹意代码与被更换进程具有一样的特权级。
42.Netcat被称为“TCP/IP协议栈瑞士军刀”,能够被用在撑持端口扫描、地道、署理、端口转发等的对内对外衔接上。在监听形式下,Netcat充任一个效劳器,而在衔接形式下作为一个客户端。Netcat从规范输入得到数据进行网络传输,而它得到的数据,又能够经过规范输出显现到屏幕上。
43.每一个Hook都有一个与之有关联的指针列表,称之为钩子链表,由系统来保护
44.底层远程钩子要求钩子例程被保护在装置钩子的进程中。
45.OllyDbg中内存断点一次只能设置一个,而硬件断点能够设置4个。
46.机器码层由操作码构成,操作码是一些二进制方式的数字。
47.当歹意代码编写者想要将歹意代码假装成一个合法进程,能够运用一种被称为进程写入的方法,将一个可履行文件重写到一个运转进程的内存空间。
48.在进程中加载的DLL的方位和在IDA Pro中的地址不一样,这能够是及地址重定向的成果
49..text节中的操作码都会驻留在内存中。
50.只要断点才干发生反常
作业答案 联系QQ:3326650399 微信:cs80188