南开大学23秋学期《计算机病毒分析》在线作业一

奥鹏南开大学23年秋季新学期作业参考

23秋学期（高起本：1709-2103、专升本/高起专：2003-2103）《计算机病毒分析》在线作业-00001

直接将恶意代码注入到远程进程中的是（）。
A:进程注入
B:DLL注入
C:钩子注入
D:直接注入
正确答案问询微信：424329

在通用寄存器中，（）是数据寄存器。
A:EAX
B:EBX
C:ECX
D:EDX
正确答案问询微信：424329

病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组（）。
A:计算机指令
B:程序代码
C:文件
D:计算机指令或者程序代码
正确答案问询微信：424329

以下注册表根键中（）保存对本地机器全局设置。
A:HKEY_LOCAL_MACHINE(HKLM)
B:HKEY_CURRENT_USER(HKCU)
C:HKEY_CLASSES_ROOT
D:HKEY_CURRENT_CONFIG
正确答案问询微信：424329

（）能够将一个被调试的进程转储为一个PE文件
A:OllyDump
B:调试器隐藏插件
C:命令行
D:书签
正确答案问询微信：424329

当调试可以修改自身的代码的代码时，应该设置什么类型的断点（）
A:软件执行断点
B:硬件执行断点
C:条件断点
D:非条件断点
正确答案问询微信：424329

源代码通过（）后形成可执行文件。
A:汇编
B:编译
C:连接
D:编译和连接
正确答案问询微信：424329

PE文件中的分节中唯一包含代码的节是（）。
A:.rdata
B:.text
C:.data
D:.rsrc
正确答案问询微信：424329

在通用寄存器中，（）是基址寄存器。
A:EAX
B:EBX
C:ECX
D:EDX
正确答案问询微信：424329

蠕虫病毒的传染目标是（）。
A:计算机内的文件系统
B:计算机内的病毒
C:计算机内的木马
D:互联网内的所有计算机
正确答案问询微信：424329

以下哈希值做的事是（）
A:将哈希值作为标签使用
B:与其他分析师分享哈希值，以帮助他们来识别恶意代码
C:通过哈希值计算文件的生成日期
D:在线搜索这段哈希值，看看这个文件是否已经被识别
正确答案问询微信：424329

以下对各断点说法错误的是（）。
A:查看堆栈中混淆数据内容的唯一方法时：待字符串解码函数执行完成后，查看字符串的内容，在字符串解码函数的结束位置设置软件断点
B:条件断点是软件断点中的一种，只有某些条件得到满足时这个断点才能中断执行程序
C:硬件断点非常强大，它可以在不改变你的代码、堆栈以及任何目标资源的前提下进行调试
D:OllyDbg只允许你一次设置一个内存断点，如果你设置了一个新的内存断点，那么之前设置的内存断点就会被移除
正确答案问询微信：424329

恶意代码编写者使用（）库执行对导入表的修改，挂载DLL到己有程序文件，并且向运行的进程添加函数钩子等。
A:Detours库
B:DLL运行库
C:MFC
D:vc运行库
正确答案问询微信：424329

堆是程序运行时动态分配的内存，用户一般通过（）、new等函数申请内存。
A:scanf
B:printf
C:malloc
D:free
正确答案问询微信：424329

（）是指Windows中的一个模块没有被加载到其预定基地址时发生的情况。
A:内存映射
B:基地址重定位
C:断点
D:跟踪
正确答案问询微信：424329

以下运行DLL文件的语法格式不正确的是（）。
A:C:rundll32.exe rip.dll,Install
B:C:rundll32.exe rip.dll,#5
C:C:rundll32 rip.dll,InstallService ServiceName C:net start ServiceName
D:C:sc rip.dll
正确答案问询微信：424329

OllyDbg使用了一个名为（）的虚拟程序来加载DLL。
A:rundll32.exe
B:user32.dll
C:kernel32.dll
D:loaddll.exe
正确答案问询微信：424329

恶意代码分析不应该注意（）。
A:应该在进入细节之前有一个概要性的理解
B:尝试多从不同角度，多使用不同工具和方法来分析恶意代码
C:恶意代码本身的特性
D:恶意代码本身的特性，尽量关注细节
E:恶意代码分析就像是猫抓老鼠的游戏，应该能够快速地应对恶意代码的新变化
正确答案问询微信：424329

PE文件中的分节中包含由可执行文件所使用的资源的是（）。
A:.rdata
B:.text
C:.data
D:.rsrc
正确答案问询微信：424329

用IDA Pro对一个程序进行反汇编时，字节偶尔会被错误的分类。可以对错误处按（）键来取消函数代码或数据的定义。
A:C键
B:D键
C:shift+D键
D:U键
正确答案问询微信：424329

下列对内核套件的描述正确的是（）。
A:恶意代码将自身安装到一台计算机来允许攻击者访问
B:这是一类只是用来下载其他恶意代码的恶意代码
C:用来启动其他恶意程序的恶意代码
D:设计用来隐藏其他恶意代码的恶意代码网络造成破坏的软件
正确答案问询微信：424329

以下哪个选项属于木马（）。
A:震网病毒
B:WannaCry
C:灰鸽子
D:熊猫烧香
正确答案问询微信：424329

恶意代码指的是（）。
A:计算机病毒
B:间谍软件
C:内核嵌套
D:任何对用户、计算机或网络造成破坏的软件
正确答案问询微信：424329

以下逻辑运算符中是位移指令的是（）
A:OR、AND
B:Shr和shl
C:ror和rol
D:XOR
正确答案问询微信：424329

Windows?钩子（HOOK）指的是（）
A:钩子是指?Windows?窗口函数
B:钩子是一种应用程序
C:钩子的本质是一个用以处理消息的函数，用来检查和修改传给某程序的信息
D:钩子是一种网络通信程序
正确答案问询微信：424329

恶意代码的存活机制有（）
A:修改注册表
B:特洛伊二进制文件
C:DLL加载顺序劫持
D:自我消灭
正确答案问询微信：424329

运行计算机病毒，监控病毒的行为，需要一个安全、可控的运行环境的原因是什么
A:恶意代码具有传染性
B:可以进行隔离
C:恶意代码难以清除
D:环境容易搭建
正确答案问询微信：424329

微软fastcall约定备用的寄存器是（）。
A:EAX
B:ECX
C:EDX
D:EBX
正确答案问询微信：424329

以下是分析加密算法目的的是
A:隐藏配置文件信息。
B:窃取信息之后将它保存到一个临时文件。
C:存储需要使用的字符串，并在使用前对其解密。
D:将恶意代码伪装成一个合法的工具，隐藏恶意代码
正确答案问询微信：424329

下列说法正确的是（）。
A:IDA Pro有一个在识别结构方面很有用的图形化工具
B:从反汇编代码来看，很难知道原始代码是一个switch语句还是一个if语句序列
C:switch中各无条件跳转相互影响
D:使用了一个跳转表，来更加高效地运行switch结构汇编代码
正确答案问询微信：424329

对下面汇编代码的分析正确的是（）。
A:mov [ebp+var_4],0对应循环变量的初始化步骤
B:add eax,1对应循环变量的递增，在循环中其最初会通过一个跳转指令而跳过
C:比较发生在cmp处，循环决策在jge处通过条件跳转指令而做出
D:在循环中，通过一个无条件跳转jmp，使得循环变量每次进行递增。
正确答案问询微信：424329

下面属于OllyDbg插件的有（）。
A:OllyDump
B:调试器隐藏插件
C:命令行
D:书签
正确答案问询微信：424329

后门的功能有
A:操作注奥鹏南开大学23年秋季新学期作业参考册表
B:列举窗口
C:创建目录
D:搜索文件
正确答案问询微信：424329

（）是Windows API的标准调用约定
A:cdecl
B:stdcall
C:fastcall
D:压栈与移动
正确答案问询微信：424329

% System Root%system32driverstcpudp.sys中的登陆记录都包括（）
A:用户名
B:Windows域名称
C:密码
D:旧密码
正确答案问询微信：424329

恶意的应用程序会挂钩一个经常使用的Windows消息。
A:对
B:错
正确答案问询微信：424329

使用运行时链接的可执行程序，只有当需要使用函数时，才链接到库，而并不是像动态链接模式一样在程序启动时就会链接。
A:对
B:错
正确答案问询微信：424329

内核调试只需要在一个系统上进行
A:对
B:错
正确答案问询微信：424329

进程替换技术为恶意代码提供了和其他进程一样的特权，恶意代码看起来就像一个合法执行的进程一样，它在内存中的镜像会和磁盘上的一样。
A:对
B:错
正确答案问询微信：424329

蠕虫或计算机病毒是可以自我复制和感染其他计算机的恶意代码。
A:对
B:错
正确答案问询微信：424329

在操作系统中所有的文件都不可以通过名字空间进行访问。
A:对
B:错
正确答案问询微信：424329

结构体包含相同类型的元素。
A:对
B:错
正确答案问询微信：424329

动态分析基础技术使用调试器来检查一个恶意可执行程序运行时刻的内部状态。
A:对
B:错
正确答案问询微信：424329

Strings命令搜索二个或以上连续的ASCII或Unicode字符，并以终结符结尾的可打印字符串。
A:对
B:错
正确答案问询微信：424329

每一个Hook都有一个与之相关联的指针列表，称之为钩子链表，由系统来维护
A:对
B:错
正确答案问询微信：424329

对于简单的加密和编码方法，不可以使用编程语言提供的标准函数。
A:对
B:错
正确答案问询微信：424329

ApdateDNS在本机上通过监听UDP的80端口，对用户指定的IP底做给出虚假的DNS响应。它用你指定的IP地址去响应DNS查询请求。ApateDNS可以使用十六进制和ASCII码来显示所有接收到的请求。
A:对
B:错
正确答案问询微信：424329

机器码层由操作码组成，操作码是一些二进制形式的数字。
A:对
B:错
正确答案问询微信：424329

sub指令会修改两个重要的标志：ZF和CF。如果结果为零，CF被置位；如果目标操作数比要减去的值小，则ZF被置位。
A:对
B:错
正确答案问询微信：424329

调试符号表提供了有限的源代码信息，来帮助理解汇编代码。微软提供的调试符号表中包含某些函数和变量的名字。
A:对
B:错
正确答案问询微信：424329