超前自学网南开大学22秋学期《计算机病毒分析》在线作业一
奥鹏教育南开大学平时作业
22秋学期(高起本1709-1803、全层次1809-2103)《计算机病毒分析》在线作业-00001
下列属于静态高级分析技术的描述是()。
A:检查可执行文件但不查看具体指令的一些技术分析的目标
B:涉及运行恶意代码并观察系统上的行为,以移除感染,产生有效的检测特征码,或者两者
C:主要是对恶意代码内部机制的逆向工程,通过将可执行文件装载到反汇编器中,查看程序指令,来发现恶意代码到底做了什么
D:使用调试器来检查一个恶意可执行程序运行时刻的内部状态
正确答案获取微信:424329
当想要在函数调用使用特定的参数时才发生中断,应该设置奥鹏教育南开大学平时作业什么类型的断点()
A:软件执行断点
B:硬件执行断点
C:条件断点
D:非条件断点
正确答案获取微信:424329
函数调用约定中,参数是从右到左按序被压入栈,当函数完成时由被调用函数清理栈,并且将返回值保存在EAX中的是()。
A:cdecl
B:stdcall
C:fastcall
D:压栈与移动
正确答案获取微信:424329
OllyDbg最多同时设置()个内存断点。
A:1个
B:2个
C:3个
D:4个
正确答案获取微信:424329
木马与病毒的重大区别是()。
A:木马会自我复制
B:木马具有隐蔽性
C:木马不具感染性
D:木马通过网络传播
正确答案获取微信:424329
()是可以记录程序详细的运行信息的调试技术。
A:内存映射
B:基地址重定位
C:断点
D:跟踪
正确答案获取微信:424329
OllyDbg的硬件断点最多能设置()个。
A:3个
B:4个
C:5个
D:6个
正确答案获取微信:424329
蠕虫与普通病毒相比特有的性质为()。
A:传播性
B:隐蔽性
C:不利用文件寄生
D:破坏性
正确答案获取微信:424329
在以下寄存器中用于定位要执行的下一条指令的寄存器是()。
A:通用寄存器
B:段寄存器
C:状态寄存器
D:指令指针
正确答案获取微信:424329
网络黑客产业链是指黑客们运用技术手段入侵服务器获取站点权限以及各类账户信息并从中谋取()的一条产业链。
A:非法经济利益
B:经济效益
C:效益
D:利润
正确答案获取微信:424329
Base64编码将二进制数据转化成()个字符的有限字符集。
A:16
B:32
C:48
D:64
正确答案获取微信:424329
恶意代码编写者使用()库执行对导入表的修改,挂载DLL到己有程序文件,并且向运行的进程添加函数钩子等。
A:Detours库
B:DLL运行库
C:MFC
D:vc运行库
正确答案获取微信:424329
以下说法错误的是()。
A:OllyDbg可以很容易修改实时数据,如寄存器和标志。它也可以将汇编形式的修补代码直接插入到一个程序
B:OllyDbg可以使用00项或nop指令填充程序
C:键单击高亮的条件跳转指令,然后选择Binary→Fill with NOPs,该操作产生的结果时NOP指令替换了JNZ指令,这个过程会把那个位置上的NOP永久保存在磁盘上,意味着恶意代码以后会接受任意输入的密钥
D:当异常发生时,OllyDbg会暂停运行,然后你可以使用进入异常、跳过异常、运行异常处理
等方法,来决定是否将异常转移到应用程序处理
正确答案获取微信:424329
以下那个窗口是操作和分析二进制的主要位置,也是反汇编代码所在的地方
A:函数窗口
B:结构窗口
C:反汇编窗口
D:二进制窗口
正确答案获取微信:424329
以下注册表根键中()保存对本地机器全局设置。
A:HKEY_LOCAL_MACHINE(HKLM)
B:HKEY_CURRENT_USER(HKCU)
C:HKEY_CLASSES_ROOT
D:HKEY_CURRENT_CONFIG
正确答案获取微信:424329
内存中的()节用于函数的局部变量和参数,以及控制程序执行流。
A:数据
B:堆
C:代码
D:栈
正确答案获取微信:424329
在获取不到高级语言源码时,()是从机器码中能可信并保持一致地还原得到的最高一层语言。
A:机器指令
B:微指令
C:汇编语言
D:机器码
正确答案获取微信:424329
PE文件中的分节中唯一包含代码的节是()。
A:.rdata
B:.text
C:.data
D:.rsrc
正确答案获取微信:424329
下列概念说法错误的是()。
A:内存映射窗口(View→Memory)显示了被调用程序分配的使用内存块
B:基地址重定位是指Windows中的一个模块没有被加载到其预定基地址时发生的情况
C:Windows中的所有PE文件都有一个预定的基地址,它在PE文件头中被称为映像基地址
D:使用相对地址,无论被加载到内存的哪个位置,所有指令都能正常工作
正确答案获取微信:424329
计算机体系结构中,()层是由十六进制形式的操作码组成,用于告诉处理器你想它干什么。
A:微指令
B:机器码
C:低级语言
D:高级语言
正确答案获取微信:424329
下列是抓包的工具是()。
A:ApateDNS
B:Netcat
C:INetSim
D:Wireshark
正确答案获取微信:424329
以下Windows API类型中()是描述一个双字节、32位的无符号数值。
A:WORD
B:DWORD
C:Habdles
D:Callback
正确答案获取微信:424329
当代码库被链接时,宿主操作系统会在程序被装载时搜索所需的代码库,如果程序调用了被链接的库函数,这个函数会在代码库中执行,这种链接方法是()。
A:静态链接
B:动态链接
C:运行时链接
D:转移链接
正确答案获取微信:424329
以下那种互联网连接模式在宿主机和客户机之间创建了一个隔离的私有局域网
A:bridged
B:NET
C:Host-only
D:Custom
正确答案获取微信:424329
OllyDbg使用了一个名为()的虚拟程序来加载DLL。
A:rundll32.exe
B:user32.dll
C:kernel32.dll
D:loaddll.exe
正确答案获取微信:424329
()是Windows API的标准调用约定
A:cdecl
B:stdcall
C:fastcall
D:压栈与移动
正确答案获取微信:424329
微软fastcall约定备用的寄存器是()。
A:EAX
B:ECX
C:EDX
D:EBX
正确答案获取微信:424329
恶意代码作者如何使用DLL()多选
A:保存恶意代码
B:通过使用Windows DLL
C:控制内存使用DLL
D:通过使用第三方DLL
正确答案获取微信:424329
后门拥有一套通用的功能,都有以下那些功能?()
A:操作注册表
B:列举窗口
C:创建目录
D:搜索文件
正确答案获取微信:424329
对一个监听入站连接的服务应用,顺序是()函数,等待客户端的连接。
A:socket、bind、listen和accept
B:socket、bind、accept和listen
C:bind、sockect、listen和accept
D:accept、bind、listen和socket
正确答案获取微信:424329
以下是句柄是在操作系统中被打开或被创建的项的是
A:窗口
B:进程
C:模块
D:菜单
正确答案获取微信:424329
以下的恶意代码行为中,属于后门的是()
A:netcat反向shell
B:windows反向shell
C:远程控制工具
D:僵尸网络
正确答案获取微信:424329
IDA Pro 都有以下什么功能()。
A:识别函数
B:标记函数
C:划分出局部变量
D:划分出参数
正确答案获取微信:424329
恶意代码编写者可以挂钩一个特殊的 Winlogon事件,比如()
A:登录
B:注销
C:关机
D:锁屏
正确答案获取微信:424329
进程监视器提供默认下面四种过滤功能是()。
A:注册表
B:文件系统
C:进程行为
D:网络
正确答案获取微信:424329
进程监视器(Process Monitor)是Windows系统下的高级监视工具,它提供一种方式来监控注册表、文件系统、网络、进程和线程行为。它结合并增强了两种工具的功能:文件监视器FileMon和注册表监视器RegMon。
A:对
B:错
正确答案获取微信:424329
大部分用户使用管理员权限,如果被病毒感染,不需要权限提升,病毒就可以获得管理员权限
A:对
B:错
正确答案获取微信:424329
暴力破解目的是尝试使用几个不同的XOR密钥破解,直到碰到你识别的输出为止。
A:对
B:错
正确答案获取微信:424329
启动器通常包含一个它要加载的恶意代码
A:对
B:错
正确答案获取微信:424329
Strings命令搜索二个或以上连续的ASCII或Unicode字符,并以终结符结尾的可打印字符串。
A:对
B:错
正确答案获取微信:424329
重命名地址可以修改自动化命名的绝对地址和栈变量。
A:对
B:错
正确答案获取微信:424329
命名常量在二进制文件是以常量名字来存储的
A:对
B:错
正确答案获取微信:424329
shr和shl指令用于对寄存器做位移操作。
A:对
B:错
正确答案获取微信:424329
计算机病毒分析和查找程序Bug没什么区别
A:对
B:错
正确答案获取微信:424329
句柄在它们引用一个对象或其他某个位置这个点上和指针是完全一样的。
A:对
B:错
正确答案获取微信:424329
只查看后门使用和导入的 Windows函数,不能确定后门程序实现的功能。
A:对
B:错
正确答案获取微信:424329
Execute till Return选项会在当前函数返回时暂停执行。如果这个函数不会终止,被调用程序会一直执行下去。
A:对
B:错
正确答案获取微信:424329
WinDbg是一个出色的调试器,它提供了很多OllyDbg所不具备的功能,但其中不包括支持内核调试。
A:对
B:错
正确答案获取微信:424329
可以对快照进行任意的分支
A:对
B:错
正确答案获取微信:424329
蠕虫是利用文件寄生来通过网络传播的恶性病毒。
A:对
B:错
正确答案获取微信:424329
