南开大学23秋学期《计算机病毒分析》在线作业三

奥鹏南开大学23年秋季新学期作业参考

23秋学期（高起本：1709-2103、专升本/高起专：2003-2103）《计算机病毒分析》在线作业-00003

下列对内核套件的描述正确的是（）。
A:恶意代码将自身安装到一台计算机来允许攻击者访问
B:这是一类只是用来下载其他恶意代码的恶意代码
C:用来启动其他恶意程序的恶意代码
D:设计用来隐藏其他恶意代码的恶意代码网络造成破坏的软件
正确答案问询微信：424329

WinDbg的内存窗口支持通过命令来浏览内存，以下WinDbg读选项中，（）选项描述读取内存数据并以ASCII文本显示。
A:da
B:du
C:dd
D:dc
正确答案问询微信：424329

轰动全球的震网病毒是（）。
A:木马
B:蠕虫病毒
C:后门
D:寄生型病毒
正确答案问询微信：424329

下列论述错误的是（）。
A:数组是相似数据项的有序集合
B:结构体和数组相似，但是它们包括不同类型的元素
C:使用一个链表，被链接项的访问次序与数据项被保存在内存或磁盘上的次序必须一样
D:在汇编代码中，数组是通过使用一个基地址作为起始点来进行访问的。
正确答案问询微信：424329

对以下代码分析错误的是（）。
A:jnz为条件跳转，而jmp为无条件跳转
B:while循环与for循环的汇编代码非常相似，唯一的区别在于它缺少一个递增
C:while循环停止重复执行的唯一方式，就是那个期望发生的条件跳转
D:while循环总要进入一次
正确答案问询微信：424329

蠕虫与普通病毒相比特有的性质为（）。
A:传播性
B:隐蔽性
C:不利用文件寄生
D:破坏性
正确答案问询微信：424329

注入shellcode属于（）。
A:进程注入
B:DLL注入
C:钩子注入
D:直接注入
正确答案问询微信：424329

()是一种设置自身或其他恶意代码片段以达到即时或将来秘密运行的恶意代码。
A:后门
B:下载器
C:启动器
D:内核嵌套
正确答案问询微信：424329

下列概念说法错误的是（）。
A:内存映射窗口（View→Memory）显示了被调用程序分配的使用内存块
B:基地址重定位是指Windows中的一个模块没有被加载到其预定基地址时发生的情况
C:Windows中的所有PE文件都有一个预定的基地址，它在PE文件头中被称为映像基地址
D:使用相对地址，无论被加载到内存的哪个位置，所有指令都能正常工作
正确答案问询微信：424329

若依次压入数字1、2、3、4，则第二次弹出来的会是（）。
A:1
B:2
C:3
D:4
正确答案问询微信：424329

病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组（）。
A:计算机指令
B:程序代码
C:文件
D:计算机指令或者程序代码
正确答案问询微信：424329

加法和减法是从目标操作数中加上或减去（）个值。
A:0
B:1
C:2
D:3
正确答案问询微信：424329

以下不是恶意代码分析的目标的是（）。
A:确定一个可疑的二进制程序到底可以做什么
B:如何在网络上检测它
C:恶意代码本身的特性
D:如何衡量并消除它所带来的损害
正确答案问询微信：424329

蠕虫病毒的传染目标是（）。
A:计算机内的文件系统
B:计算机内的病毒
C:计算机内的木马
D:互联网内的所有计算机
正确答案问询微信：424329

WinINet API实现了（）层的协议。
A:网络层
B:数据链路层
C:应用层
D:传输层
正确答案问询微信：424329

对应a++的汇编代码是（）。
A:move eax,[ebp+var_4]
B:sub eax,[ebp+var_8]
C:sub eax,1
D:add eax,1
正确答案问询微信：424329

堆是程序运行时动态分配的内存，用户一般通过（）、new等函数申请内存。
A:scanf
B:printf
C:malloc
D:free
正确答案问询微信：424329

可以按（ ）键定义原始字节为代码。
A:C键
B:D键
C:shift D键
D:U键
正确答案问询微信：424329

单步调试是通过（ ）实现的
A:每条代码之前添加软件断点
B:每条代码之前添加硬件断点
C:标志寄存器中的陷阱标志( trap flag)
D:标志寄存器中的zf标志位
正确答案问询微信：424329

参数是从右到左按序被压入栈，当函数完成时由被调用者清理栈的是（）。
A:cdecl
B:stdcall
C:fastcall
D:压栈与移动
正确答案问询微信：424329

GFI沙箱生成报告不包括哪个小节（）。
A:分析摘要
B:文件活动
C:注册表
D:程序功能
正确答案问询微信：424329

以下运行DLL文件的语法格式不正确的是（）。
A:C:rundll32.exe rip.dll,Install
B:C:rundll32.exe rip.dll,#5
C:C:rundll32 rip.dll,InstallService ServiceName C:net start ServiceName
D:C:sc rip.dll
正确答案问询微信：424329

以下哈希值做的事是（）
A:将哈希值作为标签使用
B:与其他分析师分享哈希值，以帮助他们来识别恶意代码
C:通过哈希值计算文件的生成日期
D:在线搜索这段哈希值，看看这个文件是否已经被识别
正确答案问询微信：424329

基于Linux模拟常见网络服务的软件的是（）。
A:ApateDNS
B:Netcat
C:INetSim
D:Wireshark
正确答案问询微信：424329

进程浏览器的功能不包括（）。
A:比较进程浏览器中的DLL列表与在Dependency Walker工具中显示的导入DLL列表来判断一个DLL是否被加载到进程
B:单击验证按钮，可以验证磁盘上的镜像文件是否具有微软的签名认证
C:比较运行前后两个注册表的快照，发现差异
D:一种快速确定一个文档是否恶意的方法，就是打开进程浏览器，然后打开文档。若文档启动了任意进程，你能进程浏览器中看到，并能通过属性窗口中的镜像来定位恶意代码在磁盘上的位置。
正确答案问询微信：424329

下列说法正确的是（）。
A:IDA Pro有一个在识别结构方面很有用的图形化工具
B:从反汇编代码来看，很难知道原始代码是一个switch语句还是一个if语句序列
C:switch中各无条件跳转相互影响
D:使用了一个跳转表，来更加高效地运行switch结构汇编代码
正确答案问询微信：424329

以下是分析加密算法目的的是
A:隐藏配置文件信息。
B:窃取信息之后将它保存到一个临时文件。
C:存储需要使用的字符串，并在使用前对其解密。
D:将恶意代码伪装成一个合法的工具，隐藏恶意代码
正确答案问询微信：424329

以下方法中是识别标准加密算法的方法是（）。[多选]
A:识别涉及加密算法使用的字符串
B:识别引用导入的加密函数
C:搜索常见加密常量的工具
D:查找高熵值的内容
正确答案问询微信：424329

以下的恶意代码奥鹏南开大学23年秋季新学期作业参考行为中，属于后门的是（）
A:netcat反向shell
B:windows反向shell
C:远程控制工具
D:僵尸网络
正确答案问询微信：424329

后门的功能有
A:操作注册表
B:列举窗口
C:创建目录
D:搜索文件
正确答案问询微信：424329

名字窗口，列举哪些内存地址的名字
A:函数名
B:代码的名字
C:数据的名字
D:字符串
正确答案问询微信：424329

% System Root%system32driverstcpudp.sys中的登陆记录都包括（）
A:用户名
B:Windows域名称
C:密码
D:旧密码
正确答案问询微信：424329

INetSim可以模拟的网络服务有（）。
A:HTTP
B:FTP
C:IRC
D:DNS
正确答案问询微信：424329

以下哪些是常用的虚拟机软件
A:VMware Player
B:VMware Station
C:VMware Fusion
D:VirtualBox
正确答案问询微信：424329

（）是Windows API的标准调用约定
A:cdecl
B:stdcall
C:fastcall
D:压栈与移动
正确答案问询微信：424329

OllyDbg是一种具有可视化界面的32位汇编-分析调试器。
A:对
B:错
正确答案问询微信：424329

恶意代码经常使用作为Windows API一部分的注册函数，来修改注册表，以使它们自身能够在系统引导时自动启动运行。
A:对
B:错
正确答案问询微信：424329

电脑肉鸡，也就是受别人控制的远程电脑，可以是各种系统。
A:对
B:错
正确答案问询微信：424329

单步执行代码时，调试器每执行一条指令就会产生一次中断。
A:对
B:错
正确答案问询微信：424329

在文本模式中，绿色箭头路径表示这个条件跳转被采用
A:对
B:错
正确答案问询微信：424329

可以对快照进行任意的分支
A:对
B:错
正确答案问询微信：424329

PE文件格式在头部存储了很多有趣的信息。我们可以使用PEview工具来浏览这些信息。
A:对
B:错
正确答案问询微信：424329

普通病毒的传染能力主要是针对计算机内的文件系统而言。
A:对
B:错
正确答案问询微信：424329

哈希是一种用来唯一标识恶意代码的常用方法。
A:对
B:错
正确答案问询微信：424329

与导入函数类似，DLL和EXE的导出函数，是用来与其他程序和代码进行交互时所使用的。
A:对
B:错
正确答案问询微信：424329

进程监视器（Process Monitor）是Windows系统下的高级监视工具，它提供一种方式来监控注册表、文件系统、网络、进程和线程行为。它结合并增强了两种工具的功能：文件监视器FileMon和注册表监视器RegMon。
A:对
B:错
正确答案问询微信：424329

没有必要用不同反病毒软件对同一文件进行测试。
A:对
B:错
正确答案问询微信：424329

重新编写函数和使用恶意代码中存在的函数是两种基本方法重现恶意代码中的加密或解密函数。
A:对
B:错
正确答案问询微信：424329

定义原始字节为ASCII字符串
A:对
B:错
正确答案问询微信：424329

CreateFile（）这个函数被用来创建和打开文件。
A:对
B:错
正确答案问询微信：424329