需要答案請加QQ：3230981406 微信：aopopenfd777

可做奧鵬全部院校在線作業(yè)、離線作業(yè)、畢業(yè)論文

21秋學期（1709、1803、1809、1903、1909、2003、2009、2103）《計算機病毒分析》在線作業(yè)

試卷總分:100  得分:100

一、單選題 (共 25 道試題,共 50 分)

1.蠕蟲病毒的傳染目標是（）。

A.計算機內(nèi)的文件系統(tǒng)

B.計算機內(nèi)的病毒

C.計算機內(nèi)的木馬

D.互聯(lián)網(wǎng)內(nèi)的所有計算機

答案:D

2.對應a++的匯編代碼是（）。

A.move eax,[ebp+var_4]

B.sub eax,[ebp+var_8]

C.sub eax,1

D.add eax,1

答案:D

3.以下邏輯運算符中是位移指令的是（）

A.OR、AND

B.Shr和shl

C.ror和rol

D.XOR

答案:C

4.以下那種互聯(lián)網(wǎng)連接模式允許虛擬機與物理機連接到相同的物理網(wǎng)卡上

A.bridged

B.NET

C.Host-only

D.Custom

答案:A

5.下列說法錯誤的是（）。

A.fastcall的前一些參數(shù)被傳到寄存器中，剩下的參數(shù)從右到左被加載到棧上

B.不同的編譯器會選擇使用不同的指令來執(zhí)行相同的操作

C.VS的函數(shù)參數(shù)在調(diào)用前被移動到棧上

D.即使是同一個編譯器，在調(diào)用約定方面也可能存在差別。

答案:C

6.線程創(chuàng)建需要系統(tǒng)開銷，（）能夠調(diào)用一個現(xiàn)有的線程。

A.進程注入

B.直接注入

C.Hook注入

D.APC注入

7.下列論述錯誤的是（）。

A.數(shù)組是相似數(shù)據(jù)項的有序集合

B.結(jié)構(gòu)體和數(shù)組相似，但是它們包括不同類型的元素

C.使用一個鏈表，被鏈接項的訪問次序與數(shù)據(jù)項被保存在內(nèi)存或磁盤上的次序必須一樣

D.在匯編代碼中，數(shù)組是通過使用一個基地址作為起始點來進行訪問的。

8.當要判斷某個內(nèi)存地址含義時，應該設置什么類型的斷點（）

A.軟件執(zhí)行斷點

B.硬件執(zhí)行斷點

C.條件斷點

D.非條件斷點

9.當一個庫被鏈接到可執(zhí)行程序時，所有這個庫中的代碼都會復制到可執(zhí)行程序中去，這種鏈接方法是（）。

A.靜態(tài)鏈接

B.動態(tài)鏈接

C.運行時鏈接

D.轉(zhuǎn)移鏈接

10.（）是指Windows中的一個模塊沒有被加載到其預定基地址時發(fā)生的情況。

A.內(nèi)存映射

B.基地址重定位

C.斷點

D.跟蹤

11.PE文件中的分節(jié)中包含由可執(zhí)行文件所使用的資源的是（）。

A..rdata

B..text

C..data

D..rsrc

12.下列關于OllyDbg運行惡意代碼說法錯誤的是（）。

A.OllyDbg有幾種調(diào)試惡意代碼的方法，可以用它直接加載可執(zhí)行文件，甚至加載DLL程序

B.如果惡意代碼已經(jīng)在你的系統(tǒng)上運行，你可以通過附加進程的方式調(diào)試它

C.另外，OllyDbg是一個靈活的調(diào)試系統(tǒng)，可以用命令行選項運行惡意代碼，甚至支持執(zhí)行DLL中某個函數(shù)

D.可以在在加載惡意代碼程序之前給OllyDbg傳入命令行參數(shù)

13.以下注冊表根鍵中（）保存對本地機器全局設置。

A.HKEY_LOCAL_MACHINE(HKLM)

B.HKEY_CURRENT_USER(HKCU)

C.HKEY_CLASSES_ROOT

D.HKEY_CURRENT_CONFIG

14.當想要在函數(shù)調(diào)用使用特定的參數(shù)時才發(fā)生中斷，應該設置什么類型的斷點（）

A.軟件執(zhí)行斷點

B.硬件執(zhí)行斷點

C.條件斷點

D.非條件斷點

15.捕獲Poison Ivy為shellcode分配內(nèi)存的最好方法是（）。

A.軟件斷點

B.硬件斷點

C.內(nèi)存斷點

D.條件斷點

16.一共有（）個硬件寄存器存儲斷點的地址

A.1個

B.3個

C.4個

D.7個

17.轟動全球的震網(wǎng)病毒是（）。

A.木馬

B.蠕蟲病毒

C.后門

D.寄生型病毒

18.當單擊Resource Hacker工具中分析獲得的條目時，看不到的是

A.字符串

B.二進制代碼

C.圖標

D.菜單

19.下列說法錯誤的是（）。

A.惡意代碼經(jīng)常使用多線程。你可以通過選擇View-Threads,調(diào)出線程面板窗口，查看一個程序的當前線程

B.單擊主工具欄中的暫停按鈕，可以暫停所有活動的線程

C.給定進程中的每個線程有自己的棧，通常情況下，線程的重要數(shù)據(jù)都保存在棧中。可以使用OllyDbg的內(nèi)存映射，來查看內(nèi)存中棧的內(nèi)容

D.由于OllyDbg是多線程的，可能需要你先暫停所有的線程，設置一個斷點后，繼續(xù)運行程序，這樣可以確保在一個特定線程模式內(nèi)調(diào)試

20.以下Windows API類型中（）是描述一個雙字節(jié)、32位的無符號數(shù)值。

A.WORD

B.DWORD

C.Habdles

D.Callback

21.在以下寄存器中用于定位要執(zhí)行的下一條指令的寄存器是（）。

A.通用寄存器

B.段寄存器

C.狀態(tài)寄存器

D.指令指針

22.在圖形模式中，以下哪種顏色的箭頭表示的路徑表示一個無條件跳轉(zhuǎn)被采用了

A.紅色

B.黃色

C.藍色

D.綠色

23.在通用寄存器中，（）是基址寄存器。

A.EAX

B.EBX

C.ECX

D.EDX

24.GFI沙箱生成報告不包括哪個小節(jié)（）。

A.分析摘要

B.文件活動

C.注冊表

D.程序功能

25.下列屬于靜態(tài)高級分析技術(shù)的描述是（）。

A.檢查可執(zhí)行文件但不查看具體指令的一些技術(shù)分析的目標

B.涉及運行惡意代碼并觀察系統(tǒng)上的行為，以移除感染，產(chǎn)生有效的檢測特征碼，或者兩者

C.主要是對惡意代碼內(nèi)部機制的逆向工程，通過將可執(zhí)行文件裝載到反匯編器中，查看程序指令，來發(fā)現(xiàn)惡意代碼到底做了什么

D.使用調(diào)試器來檢查一個惡意可執(zhí)行程序運行時刻的內(nèi)部狀態(tài)

二、多選題 (共 10 道試題,共 20 分)

26.惡意代碼的存活機制有（）

A.修改注冊表

B.特洛伊二進制文件

C.DLL加載順序劫持

D.自我消滅

27.名字窗口，列舉哪些內(nèi)存地址的名字

A.函數(shù)名

B.代碼的名字

C.數(shù)據(jù)的名字

D.字符串

28.后門的功能有

A.操作注冊表

B.列舉窗口

C.創(chuàng)建目錄

D.搜索文件

29.IDA Pro 都有以下什么功能（）。

A.識別函數(shù)

B.標記函數(shù)

C.劃分出局部變量

D.劃分出參數(shù)

30.對下面匯編代碼的分析正確的是（）。

A.mov [ebp+var_4],0對應循環(huán)變量的初始化步驟

B.add eax,1對應循環(huán)變量的遞增，在循環(huán)中其最初會通過一個跳轉(zhuǎn)指令而跳過

C.比較發(fā)生在cmp處，循環(huán)決策在jge處通過條件跳轉(zhuǎn)指令而做出

D.在循環(huán)中，通過一個無條件跳轉(zhuǎn)jmp，使得循環(huán)變量每次進行遞增。

31.運行計算機病毒，監(jiān)控病毒的行為，需要一個安全、可控的運行環(huán)境的原因是什么

A.惡意代碼具有傳染性

B.可以進行隔離

C.惡意代碼難以清除

D.環(huán)境容易搭建

32.進程監(jiān)視器提供默認下面四種過濾功能是（）。

A.注冊表

B.文件系統(tǒng)

C.進程行為

D.網(wǎng)絡

33.微軟fastcall約定備用的寄存器是（）。

A.EAX

B.ECX

C.EDX

D.EBX

34.OllyDbg提供了多種機制來幫助分析，包括下面幾種（）。

A.日志

B.監(jiān)視

C.幫助

D.標注

35.對一個監(jiān)聽入站連接的服務應用，順序是（）函數(shù)，等待客戶端的連接。

A.socket、bind、listen和accept

B.socket、bind、accept和listen

C.bind、sockect、listen和accept

D.accept、bind、listen和socket

三、判斷題 (共 15 道試題,共 30 分)

36.程序運行過程中,雖然寄存器的值和內(nèi)存的地址是不斷變化的,但是依舊可以在運行時訪問寄存器的值和內(nèi)存地址

37.加殼的目的是使計算機病毒更難被檢測和分析

38.進程監(jiān)視器的過濾功能開啟時，不會記錄過濾的事件，因此能阻止監(jiān)視器消耗過多的內(nèi)存。

39.暴力破解目的是嘗試使用幾個不同的XOR密鑰破解，直到碰到你識別的輸出為止。

40.Strings程序檢測到的一定是真正的字符串。

41.在小端字節(jié)序中，127.0.0.1 表示為0x7F 00 00 01。

42.在stdcall中，前一些參數(shù)（典型的是前兩個）被傳到寄存器中，備用的寄存器是EDX和ECX。如果需要的話，剩下的參數(shù)再以從右到左的次序被加載到棧上。

43.PE文件格式在頭部存儲了很多有趣的信息。我們可以使用PEview工具來瀏覽這些信息。

44.2.DLL只有一個單一的標志，除了那個標志之外，一個DLL和一個.exe之間沒有實質(zhì)的區(qū)別。

45.WinDbg的內(nèi)存窗口不支持通過命令來瀏覽內(nèi)存。

46.反向 shell或者作為一個單獨的惡意代碼存在,或者作為一個復雜后門程序中的組件而存在。

47.對于簡單的加密和編碼方法，不可以使用編程語言提供的標準函數(shù)。

48.可以在用戶模式下無限制地設置軟件斷點。

49.蠕蟲或計算機病毒是可以自我復制和感染其他計算機的惡意代碼。

50.在進程中加載的DLL的位置和在IDA Pro中的地址不同，這可能是及地址重定向的結(jié)果