问道深山去,听禅紫气来。

20春学期(1709、1803、1809、1903、1909、2003)《计算机病毒分析》在线作业

阅读:31 更新时间:2020-08-09 15:14:13

20春学期(1709、1803、1809、1903、1909、2003)《计算机病毒分析》在线作业


------------------------
1.以下不是检测SSDT挂钩的方法是
A.遍历SSDT表
B.使用查杀病毒的软件
C.查找异常的函数入口地址
D.ntoskrnl.exe的地址空间是从804d7000到806cd580
答案请点我要此答案,或联系QQ

2.下列论述错误的是()。
A.数组是相似数据项的有序集合
B.结构体和数组相似,但是它们包括不同类型的元素
C.使用一个链表,被链接项的访问次序与数据项被保存在内存或磁盘上的次序必须一样
D.在汇编代码中,数组是通过使用一个基地址作为起始点来进行访问的。
答案请点我要此答案,或联系QQ

3.下列概念说法错误的是()。
A.内存映射窗口(View→Memory)显示了被调用程序分配的使用内存块
B.基地址重定位是指Windows中的一个模块没有被加载到其预定基地址时发生的情况
C.Windows中的所有PE文件都有一个预定的基地址,它在PE文件头中被称为映像基地址
D.使用相对地址,无论被加载到内存的哪个位置,所有指令都能正常工作
答案请点我要此答案,或联系QQ

4.基于Linux模拟常见网络服务的软件的是()。
A.ApateDNS
B.Netcat
C.INetSim
D.Wireshark
答案请点我要此答案,或联系QQ

5.加法和减法是从目标操作数中加上或减去()个值。
A.0
B.1
C.2
D.3
答案请点我要此答案,或联系QQ

6.以下注册表根键中()保存对本地机器全局设置。
A.HKEY_LOCAL_MACHINE(HKLM)
B.HKEY_CURRENT_USER(HKCU)
C.HKEY_CLASSES_ROOT
D.HKEY_CURRENT_CONFIG
答案请点我要此答案,或联系QQ

7.以下那个窗口是操作和分析二进制的主要位置,也是反汇编代码所在的地方
A.函数窗口
B.结构窗口
C.反汇编窗口
D.二进制窗口
答案请点我要此答案,或联系QQ

8.OllyDbg最多同时设置()个内存断点。
A.1个
B.2个
C.3个
D.4个
答案请点我要此答案,或联系QQ

9.下列说法错误的是()。
A.fastcall的前一些参数被传到寄存器中,剩下的参数从右到左被加载到栈上
B.不同的编译器会选择使用不同的指令来执行相同的操作
C.VS的函数参数在调用前被移动到栈上
D.即使是同一个编译器,在调用约定方面也可能存在差别。
答案请点我要此答案,或联系QQ

10.以下注册表根键中()保存定义的类型信息。
A.HKEY_LOCAL_MACHINE(HKLM)
B.HKEY_CURRENT_USER(HKCU)
C.HKEY_CLASSES_ROOT
D.HKEY_CURRENT_CONFIG
答案请点我要此答案,或联系QQ

11.捕获Poison Ivy为shellcode分配内存的最好方法是()。
A.软件断点
B.硬件断点
C.内存断点
D.条件断点
答案请点我要此答案,或联系QQ

12.注入shellcode属于()。
A.进程注入
B.DLL注入
C.钩子注入
D.直接注入
答案请点我要此答案,或联系QQ

13.在通用寄存器中,()是数据寄存器。
A.EAX
B.EBX
C.ECX
D.EDX
答案请点我要此答案,或联系QQ

14.能调试内核的调试器是()
A.OllyDbg
B.IDA Pro
C.WinDbg
D.Process Explorer
答案请点我要此答案,或联系QQ

15.当想要在函数调用使用特定的参数时才发生中断,应该设置什么类型的断点()
A.软件执行断点
B.硬件执行断点
C.条件断点
D.非条件断点
答案请点我要此答案,或联系QQ

16.多数DLL会在PE头的()打包一个修订位置的列表。
A..text节
B..data节
C..rsrc节
D..reloc节
答案请点我要此答案,或联系QQ

17.当代码库被链接时,宿主操作系统会在程序被装载时搜索所需的代码库,如果程序调用了被链接的库函数,这个函数会在代码库中执行,这种链接方法是()。
A.静态链接
B.动态链接
C.运行时链接
D.转移链接
答案请点我要此答案,或联系QQ

18.进程替换的关键是以()创建一个进程。
A.等待状态
B.就绪状态
C.运行状态
D.挂起状态
答案请点我要此答案,或联系QQ

19.要插入一个跨反汇编窗口,并且在任何时候只要存在对你添加注释的地址的交叉引用就重复回显,应该按()键。
A.;
B.:
C.shift
D.ctrl
答案请点我要此答案,或联系QQ

20.以下Windows API类型中()是表示一个将会被Windows API调用的函数。
A.WORD
B.DWORD
C.Habdles
D.Callback
答案请点我要此答案,或联系QQ

21.轰动全球的震网病毒是()。
A.木马
B.蠕虫病毒
C.后门
D.寄生型病毒
答案请点我要此答案,或联系QQ

22.病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组()。
A.计算机指令
B.程序代码
C.文件
D.计算机指令或者程序代码
答案请点我要此答案,或联系QQ

23.对应a++的汇编代码是()。
A.move eax,[ebp+var_4]
B.sub eax,[ebp+var_8]
C.sub eax,1
D.add eax,1
答案请点我要此答案,或联系QQ

24.()是指Windows中的一个模块没有被加载到其预定基地址时发生的情况。
A.内存映射
B.基地址重定位
C.断点
D.跟踪
答案请点我要此答案,或联系QQ

25.在通用寄存器中,()是基址寄存器。
A.EAX
B.EBX
C.ECX
D.EDX
答案请点我要此答案,或联系QQ

------------------------
1.下列说法正确的是()。
A.IDA Pro有一个在识别结构方面很有用的图形化工具
B.从反汇编代码来看,很难知道原始代码是一个switch语句还是一个if语句序列
C.switch中各无条件跳转相互影响
D.使用了一个跳转表,来更加高效地运行switch结构汇编代码
答案请点我要此答案,或联系QQ

2.恶意代码编写者可以挂钩一个特殊的 Winlogon事件,比如()
A.登录
B.注销
C.关机
D.锁屏
答案请点我要此答案,或联系QQ

3.以下方法中是识别标准加密算法的方法是()。[多选]
A.识别涉及加密算法使用的字符串
B.识别引用导入的加密函数
C.搜索常见加密常量的工具
D.查找高熵值的内容
答案请点我要此答案,或联系QQ

4.()是Windows API的标准调用约定
A.cdecl
B.stdcall
C.fastcall
D.压栈与移动
答案请点我要此答案,或联系QQ

5.后门的功能有
A.操作注册表
B.列举窗口
C.创建目录
D.搜索文件
答案请点我要此答案,或联系QQ

6.OllyDbg提供了多种机制来帮助分析,包括下面几种()。
A.日志
B.监视
C.帮助
D.标注
答案请点我要此答案,或联系QQ

7.以下对个各个插件说法正确的是()。
A.OllyDump是OllyDbg最常使用的插件,它能够将一个被调试的进程转储成一个PE文件
B.为了防止恶意代码使用反调试技术,恶意代码分析人员通常在分析恶意代码期间,一直运行调试器隐藏插件
C.OllyDbg的命令行插件允许你用命令行来使用OllyDbg
D.OllyDbg默认情况下自带书签插件,书签插件可以将一个内存位置加到书签中,利用书签,下次不需要记住就可以轻松获取那个内存地址
答案请点我要此答案,或联系QQ

8.INetSim可以模拟的网络服务有()。
A.HTTP
B.FTP
C.IRC
D.DNS
答案请点我要此答案,或联系QQ

9.以下是句柄是在操作系统中被打开或被创建的项的是
A.窗口
B.进程
C.模块
D.菜单
答案请点我要此答案,或联系QQ

10.对下面汇编代码的分析正确的是()。
A.mov [ebp+var_4],0对应循环变量的初始化步骤
B.add eax,1对应循环变量的递增,在循环中其最初会通过一个跳转指令而跳过
C.比较发生在cmp处,循环决策在jge处通过条件跳转指令而做出
D.在循环中,通过一个无条件跳转jmp,使得循环变量每次进行递增。
答案请点我要此答案,或联系QQ

------------------------
1.在默认情况下,IDA Pro的反汇编代码中包含PE头或资源节
T.对
F.错
答案请点我要此答案,或联系QQ

2.可以对快照进行任意的分支
T.对
F.错
答案请点我要此答案,或联系QQ

3.对于简单的加密和编码方法,不可以使用编程语言提供的标准函数。
T.对
F.错
答案请点我要此答案,或联系QQ

4.IP地址127.0.0.1会被表示为0x7F000001,而在小端字节序下,表示为0x7F000001。
T.对
F.错
答案请点我要此答案,或联系QQ

5.我们可以使用IDA Pro的FindCrypt2和Krypto ANALyzer插件来搜索常见加密常量的工具。
T.对
F.错
答案请点我要此答案,或联系QQ

6.启动器通常包含一个它要加载的恶意代码
T.对
F.错
答案请点我要此答案,或联系QQ

7.大众性的恶意代码比针对性恶意代码具有更大的安全威胁,你的安全产品很可能不会帮你们防御它们。
T.对
F.错
答案请点我要此答案,或联系QQ

8.对于攻击者,自定义加密方法拥有它自身的优势,并不是因为它保留了简单加密策略的特点。
T.对
F.错
答案请点我要此答案,或联系QQ

9.INetSim模拟的Dummy网络服务可以记录所有从客户端收到的数据。
T.对
F.错
答案请点我要此答案,或联系QQ

10.一旦发现目标进程,启动器会提取目标进程的进程标识(PID),然后用提取的PID调用createRemoteThread函数,以获取目标进程的句柄。
T.对
F.错
答案请点我要此答案,或联系QQ

11.sub指令会修改两个重要的标志:ZF和CF。如果结果为零,CF被置位;如果目标操作数比要减去的值小,则ZF被置位。
T.对
F.错
答案请点我要此答案,或联系QQ

12.只有断点才能产生异常
T.对
F.错
答案请点我要此答案,或联系QQ

13.一个进程一定包含多个由CPU执行的线程。
T.对
F.错
答案请点我要此答案,或联系QQ

14.在监听模式下,Netcat充当一个客户端,而在连接模式下作为一个服务器。
T.对
F.错
答案请点我要此答案,或联系QQ

15.由于单字节加密的弱点,许多恶意代码编写者采用稍微复杂的编码方案,从而使得暴力探测不那么容易且仍能比较简单的实现。
T.对
F.错
答案请点我要此答案,或联系QQ

尝试在线代写作业

推荐信息