问道深山去,听禅紫气来。

21秋学期(1709、1803、1809、1903、1909、2003、2009、2103)《计算机病毒分析》在线作业

阅读:49 更新时间:2021-12-01 19:01:11

21秋学期(1709、1803、1809、1903、1909、2003、2009、2103)《计算机病毒分析》在线作业


------------------------
1.在WinDbg的搜索符号中, ()命令允许你用符号在没有加载的代码中设置一个延迟断点。
A.bu
B.x
C.Ln
D.dt
答案请点我要此答案,或联系QQ

2.IDA pro支持()种图形选项
A.1种
B.3种
C.5种
D.7种
答案请点我要此答案,或联系QQ

3.以下说法错误的是()。
A.OllyDbg可以很容易修改实时数据,如寄存器和标志。它也可以将汇编形式的修补代码直接插入到一个程序
B.OllyDbg可以使用00项或nop指令填充程序
C.键单击高亮的条件跳转指令,然后选择Binary→Fill with NOPs,该操作产生的结果时NOP指令替换了JNZ指令,这个过程会把那个位置上的NOP永久保存在磁盘上,意味着恶意代码以后会接受任意输入的密钥
D.当异常发生时,OllyDbg会暂停运行,然后你可以使用进入异常、跳过异常、运行异常处理 等方法,来决定是否将异常转移到应用程序处理
答案请点我要此答案,或联系QQ

4.捕获Poison Ivy为shellcode分配内存的最好方法是()。
A.软件断点
B.硬件断点
C.内存断点
D.条件断点
答案请点我要此答案,或联系QQ

5.WinDbg的内存窗口支持通过命令来浏览内存,以下WinDbg读选项中,()选项描述读取内存数据并以内存32位双字显示。
A.da
B.du
C.dd
D.dc
答案请点我要此答案,或联系QQ

6.在WinDbg的搜索符号中, ()命令允许你使用通配符来搜索函数或者符号。
A.bu
B.x
C.Ln
D.dt
答案请点我要此答案,或联系QQ

7.GFI沙箱生成报告不包括哪个小节()。
A.分析摘要
B.文件活动
C.注册表
D.程序功能
答案请点我要此答案,或联系QQ

8.蠕虫病毒的传染目标是()。
A.计算机内的文件系统
B.计算机内的病毒
C.计算机内的木马
D.互联网内的所有计算机
答案请点我要此答案,或联系QQ

9.下列概念说法错误的是()。
A.内存映射窗口(View→Memory)显示了被调用程序分配的使用内存块
B.基地址重定位是指Windows中的一个模块没有被加载到其预定基地址时发生的情况
C.Windows中的所有PE文件都有一个预定的基地址,它在PE文件头中被称为映像基地址
D.使用相对地址,无论被加载到内存的哪个位置,所有指令都能正常工作
答案请点我要此答案,或联系QQ

10.在通用寄存器中,()是基址寄存器。
A.EAX
B.EBX
C.ECX
D.EDX
答案请点我要此答案,或联系QQ

11.Shell是一个命令解释器,它解释()的命令并且把它们送到内核。
A.系统输入
B.用户输入
C.系统和用户输入
D.输入
答案请点我要此答案,或联系QQ

12.进程替换的关键是以()创建一个进程。
A.等待状态
B.就绪状态
C.运行状态
D.挂起状态
答案请点我要此答案,或联系QQ

13.在通用寄存器中,()是数据寄存器。
A.EAX
B.EBX
C.ECX
D.EDX
答案请点我要此答案,或联系QQ

14.线程创建需要系统开销,()能够调用一个现有的线程。
A.进程注入
B.直接注入
C.Hook注入
D.APC注入
答案请点我要此答案,或联系QQ

15.蠕虫与普通病毒相比特有的性质为()。
A.传播性
B.隐蔽性
C.不利用文件寄生
D.破坏性
答案请点我要此答案,或联系QQ

16.以下那种互联网连接模式在宿主机和客户机之间创建了一个隔离的私有局域网
A.bridged
B.NET
C.Host-only
D.Custom
答案请点我要此答案,或联系QQ

17.Hook技术的应用不包括()
A.实现增强的二次开发或补丁
B.信息截获
C.安全防护
D.漏洞分析
答案请点我要此答案,或联系QQ

18.以下哈希值做的事是()
A.将哈希值作为标签使用
B.与其他分析师分享哈希值,以帮助他们来识别恶意代码
C.通过哈希值计算文件的生成日期
D.在线搜索这段哈希值,看看这个文件是否已经被识别
答案请点我要此答案,或联系QQ

19.以下逻辑运算符中是位移指令的是()
A.OR、AND
B.Shr和shl
C.ror和rol
D.XOR
答案请点我要此答案,或联系QQ

20.OllyDbg使用了一个名为()的虚拟程序来加载DLL。
A.rundll32.exe
B.user32.dll
C.kernel32.dll
D.loaddll.exe
答案请点我要此答案,或联系QQ

21.基于Linux模拟常见网络服务的软件的是()。
A.ApateDNS
B.Netcat
C.INetSim
D.Wireshark
答案请点我要此答案,或联系QQ

22.OllyDbg表示运行异常处理的快捷键是()。
A.Shift+F6
B.Shift+F7
C.Shift+F8
D.Shift+F9
答案请点我要此答案,或联系QQ

23.恶意代码指的是()。
A.计算机病毒
B.间谍软件
C.内核嵌套
D.任何对用户、计算机或网络造成破坏的软件
答案请点我要此答案,或联系QQ

24.当一个库被链接到可执行程序时,所有这个库中的代码都会复制到可执行程序中去,这种链接方法是()。
A.静态链接
B.动态链接
C.运行时链接
D.转移链接
答案请点我要此答案,或联系QQ

25.病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组()。
A.计算机指令
B.程序代码
C.文件
D.计算机指令或者程序代码
答案请点我要此答案,或联系QQ

------------------------
1.运行计算机病毒,监控病毒的行为,需要一个安全、可控的运行环境的原因是什么
A.恶意代码具有传染性
B.可以进行隔离
C.恶意代码难以清除
D.环境容易搭建
答案请点我要此答案,或联系QQ

2.INetSim可以模拟的网络服务有()。
A.HTTP
B.FTP
C.IRC
D.DNS
答案请点我要此答案,或联系QQ

3.对一个监听入站连接的服务应用,顺序是()函数,等待客户端的连接。
A.socket、bind、listen和accept
B.socket、bind、accept和listen
C.bind、sockect、listen和accept
D.accept、bind、listen和socket
答案请点我要此答案,或联系QQ

4.以下的恶意代码行为中,属于后门的是()
A.netcat反向shell
B.windows反向shell
C.远程控制工具
D.僵尸网络
答案请点我要此答案,或联系QQ

5.以下哪些是常用的虚拟机软件
A.VMware Player
B.VMware Station
C.VMware Fusion
D.VirtualBox
答案请点我要此答案,或联系QQ

6.()是Windows API的标准调用约定
A.cdecl
B.stdcall
C.fastcall
D.压栈与移动
答案请点我要此答案,或联系QQ

7.以下是句柄是在操作系统中被打开或被创建的项的是
A.窗口
B.进程
C.模块
D.菜单
答案请点我要此答案,或联系QQ

8.名字窗口,列举哪些内存地址的名字
A.函数名
B.代码的名字
C.数据的名字
D.字符串
答案请点我要此答案,或联系QQ

9.后门的功能有
A.操作注册表
B.列举窗口
C.创建目录
D.搜索文件
答案请点我要此答案,或联系QQ

10.对下面汇编代码的分析正确的是()。
A.mov [ebp+var_4],0对应循环变量的初始化步骤
B.add eax,1对应循环变量的递增,在循环中其最初会通过一个跳转指令而跳过
C.比较发生在cmp处,循环决策在jge处通过条件跳转指令而做出
D.在循环中,通过一个无条件跳转jmp,使得循环变量每次进行递增。
答案请点我要此答案,或联系QQ

------------------------
1.当恶意代码编写者想要将恶意代码伪装成一个合法进程,可以使用一种被称为进程注入的方法,将一个可执行文件重写到一个运行进程的内存空间。
T.对
F.错
答案请点我要此答案,或联系QQ

2.Rootkit通过修改操作系统内部函数,来隐藏自己的存在痕迹。
T.对
F.错
答案请点我要此答案,或联系QQ

3.蠕虫或计算机病毒是可以自我复制和感染其他计算机的恶意代码。
T.对
F.错
答案请点我要此答案,或联系QQ

4.对于简单的加密和编码方法,不可以使用编程语言提供的标准函数。
T.对
F.错
答案请点我要此答案,或联系QQ

5.sub指令会修改两个重要的标志:ZF和CF。如果结果为零,CF被置位;如果目标操作数比要减去的值小,则ZF被置位。
T.对
F.错
答案请点我要此答案,或联系QQ

6.如果中断位于一个没有名字、没有签名或可疑的驱动中,不能表明存在Rootkit或者恶意代码。
T.对
F.错
答案请点我要此答案,或联系QQ

7.进程替换技术为恶意代码提供了和其他进程一样的特权,恶意代码看起来就像一个合法执行的进程一样,它在内存中的镜像会和磁盘上的一样。
T.对
F.错
答案请点我要此答案,或联系QQ

8.IDA Pro是一款抓包工具。
T.对
F.错
答案请点我要此答案,或联系QQ

9.CreateFile()这个函数被用来创建和打开文件。
T.对
F.错
答案请点我要此答案,或联系QQ

10.句柄在它们引用一个对象或其他某个位置这个点上和指针是完全一样的。
T.对
F.错
答案请点我要此答案,或联系QQ

11.WinINet API函数被保存在Wininet.dll中。
T.对
F.错
答案请点我要此答案,或联系QQ

12.虚拟机是运行在ring0级
T.对
F.错
答案请点我要此答案,或联系QQ

13.机器码层由操作码组成,操作码是一些八进制形式的数字
T.对
F.错
答案请点我要此答案,或联系QQ

14.一旦发现目标进程,启动器会提取目标进程的进程标识(PID),然后用提取的PID调用createRemoteThread函数,以获取目标进程的句柄。
T.对
F.错
答案请点我要此答案,或联系QQ

15.在stdcall中,前一些参数(典型的是前两个)被传到寄存器中,备用的寄存器是EDX和ECX。如果需要的话,剩下的参数再以从右到左的次序被加载到栈上。
T.对
F.错
答案请点我要此答案,或联系QQ

推荐信息