21秋學(xué)期（1903、1909、2003、2009、2103）《計(jì)算機(jī)病毒分析》在線作業(yè)

試卷總分:100  得分:100

一、單選題 (共 25 道試題,共 50 分)

1.蠕蟲(chóng)病毒的傳染目標(biāo)是（）。

A.計(jì)算機(jī)內(nèi)的文件系統(tǒng)

B.計(jì)算機(jī)內(nèi)的病毒

C.計(jì)算機(jī)內(nèi)的木馬

D.互聯(lián)網(wǎng)內(nèi)的所有計(jì)算機(jī)

答案:D

2.對(duì)應(yīng)a++的匯編代碼是（）。

A.move eax,[ebp+var_4]

B.sub eax,[ebp+var_8]

C.sub eax,1

D.add eax,1

答案:D

3.以下邏輯運(yùn)算符中是位移指令的是（）

A.OR、AND

B.Shr和shl

C.ror和rol

D.XOR

答案:C

4.以下那種互聯(lián)網(wǎng)連接模式允許虛擬機(jī)與物理機(jī)連接到相同的物理網(wǎng)卡上

A.bridged

B.NET

C.Host-only

D.Custom

答案:A

5.下列說(shuō)法錯(cuò)誤的是（）。

A.fastcall的前一些參數(shù)被傳到寄存器中，剩下的參數(shù)從右到左被加載到棧上

B.不同的編譯器會(huì)選擇使用不同的指令來(lái)執(zhí)行相同的操作

C.VS的函數(shù)參數(shù)在調(diào)用前被移動(dòng)到棧上

D.即使是同一個(gè)編譯器，在調(diào)用約定方面也可能存在差別。

答案:C

6.線程創(chuàng)建需要系統(tǒng)開(kāi)銷(xiāo)，（）能夠調(diào)用一個(gè)現(xiàn)有的線程。

A.進(jìn)程注入

B.直接注入

C.Hook注入

D.APC注入

7.下列論述錯(cuò)誤的是（）。

A.數(shù)組是相似數(shù)據(jù)項(xiàng)的有序集合

B.結(jié)構(gòu)體和數(shù)組相似，但是它們包括不同類(lèi)型的元素

C.使用一個(gè)鏈表，被鏈接項(xiàng)的訪問(wèn)次序與數(shù)據(jù)項(xiàng)被保存在內(nèi)存或磁盤(pán)上的次序必須一樣

D.在匯編代碼中，數(shù)組是通過(guò)使用一個(gè)基地址作為起始點(diǎn)來(lái)進(jìn)行訪問(wèn)的。

8.當(dāng)要判斷某個(gè)內(nèi)存地址含義時(shí)，應(yīng)該設(shè)置什么類(lèi)型的斷點(diǎn)（）

A.軟件執(zhí)行斷點(diǎn)

B.硬件執(zhí)行斷點(diǎn)

C.條件斷點(diǎn)

D.非條件斷點(diǎn)

9.當(dāng)一個(gè)庫(kù)被鏈接到可執(zhí)行程序時(shí)，所有這個(gè)庫(kù)中的代碼都會(huì)復(fù)制到可執(zhí)行程序中去，這種鏈接方法是（）。

A.靜態(tài)鏈接

B.動(dòng)態(tài)鏈接

C.運(yùn)行時(shí)鏈接

D.轉(zhuǎn)移鏈接

10.（）是指Windows中的一個(gè)模塊沒(méi)有被加載到其預(yù)定基地址時(shí)發(fā)生的情況。

A.內(nèi)存映射

B.基地址重定位

C.斷點(diǎn)

D.跟蹤

11.PE文件中的分節(jié)中包含由可執(zhí)行文件所使用的資源的是（）。

A..rdata

B..text

C..data

D..rsrc

12.下列關(guān)于OllyDbg運(yùn)行惡意代碼說(shuō)法錯(cuò)誤的是（）。

A.OllyDbg有幾種調(diào)試惡意代碼的方法，可以用它直接加載可執(zhí)行文件，甚至加載DLL程序

B.如果惡意代碼已經(jīng)在你的系統(tǒng)上運(yùn)行，你可以通過(guò)附加進(jìn)程的方式調(diào)試它

C.另外，OllyDbg是一個(gè)靈活的調(diào)試系統(tǒng)，可以用命令行選項(xiàng)運(yùn)行惡意代碼，甚至支持執(zhí)行DLL中某個(gè)函數(shù)

D.可以在在加載惡意代碼程序之前給OllyDbg傳入命令行參數(shù)

13.以下注冊(cè)表根鍵中（）保存對(duì)本地機(jī)器全局設(shè)置。

A.HKEY_LOCAL_MACHINE(HKLM)

B.HKEY_CURRENT_USER(HKCU)

C.HKEY_CLASSES_ROOT

D.HKEY_CURRENT_CONFIG

14.當(dāng)想要在函數(shù)調(diào)用使用特定的參數(shù)時(shí)才發(fā)生中斷，應(yīng)該設(shè)置什么類(lèi)型的斷點(diǎn)（）

A.軟件執(zhí)行斷點(diǎn)

B.硬件執(zhí)行斷點(diǎn)

C.條件斷點(diǎn)

D.非條件斷點(diǎn)

15.捕獲Poison Ivy為shellcode分配內(nèi)存的最好方法是（）。

A.軟件斷點(diǎn)

B.硬件斷點(diǎn)

C.內(nèi)存斷點(diǎn)

D.條件斷點(diǎn)

16.一共有（）個(gè)硬件寄存器存儲(chǔ)斷點(diǎn)的地址

A.1個(gè)

B.3個(gè)

C.4個(gè)

D.7個(gè)

17.轟動(dòng)全球的震網(wǎng)病毒是（）。

A.木馬

B.蠕蟲(chóng)病毒

C.后門(mén)

D.寄生型病毒

18.當(dāng)單擊Resource Hacker工具中分析獲得的條目時(shí)，看不到的是

A.字符串

B.二進(jìn)制代碼

C.圖標(biāo)

D.菜單

19.下列說(shuō)法錯(cuò)誤的是（）。

A.惡意代碼經(jīng)常使用多線程。你可以通過(guò)選擇View-Threads,調(diào)出線程面板窗口，查看一個(gè)程序的當(dāng)前線程

B.單擊主工具欄中的暫停按鈕，可以暫停所有活動(dòng)的線程

C.給定進(jìn)程中的每個(gè)線程有自己的棧，通常情況下，線程的重要數(shù)據(jù)都保存在棧中?？梢允褂肙llyDbg的內(nèi)存映射，來(lái)查看內(nèi)存中棧的內(nèi)容

D.由于OllyDbg是多線程的，可能需要你先暫停所有的線程，設(shè)置一個(gè)斷點(diǎn)后，繼續(xù)運(yùn)行程序，這樣可以確保在一個(gè)特定線程模式內(nèi)調(diào)試

20.以下Windows API類(lèi)型中（）是描述一個(gè)雙字節(jié)、32位的無(wú)符號(hào)數(shù)值。

A.WORD

B.DWORD

C.Habdles

D.Callback

21.在以下寄存器中用于定位要執(zhí)行的下一條指令的寄存器是（）。

A.通用寄存器

B.段寄存器

C.狀態(tài)寄存器

D.指令指針

22.在圖形模式中，以下哪種顏色的箭頭表示的路徑表示一個(gè)無(wú)條件跳轉(zhuǎn)被采用了

A.紅色

B.黃色

C.藍(lán)色

D.綠色

23.在通用寄存器中，（）是基址寄存器。

A.EAX

B.EBX

C.ECX

D.EDX

24.GFI沙箱生成報(bào)告不包括哪個(gè)小節(jié)（）。

A.分析摘要

B.文件活動(dòng)

C.注冊(cè)表

D.程序功能

25.下列屬于靜態(tài)高級(jí)分析技術(shù)的描述是（）。

A.檢查可執(zhí)行文件但不查看具體指令的一些技術(shù)分析的目標(biāo)

B.涉及運(yùn)行惡意代碼并觀察系統(tǒng)上的行為，以移除感染，產(chǎn)生有效的檢測(cè)特征碼，或者兩者

C.主要是對(duì)惡意代碼內(nèi)部機(jī)制的逆向工程，通過(guò)將可執(zhí)行文件裝載到反匯編器中，查看程序指令，來(lái)發(fā)現(xiàn)惡意代碼到底做了什么

D.使用調(diào)試器來(lái)檢查一個(gè)惡意可執(zhí)行程序運(yùn)行時(shí)刻的內(nèi)部狀態(tài)

二、多選題 (共 10 道試題,共 20 分)

26.惡意代碼的存活機(jī)制有（）

A.修改注冊(cè)表

B.特洛伊二進(jìn)制文件

C.DLL加載順序劫持

D.自我消滅

27.名字窗口，列舉哪些內(nèi)存地址的名字

A.函數(shù)名

B.代碼的名字

C.數(shù)據(jù)的名字

D.字符串

28.后門(mén)的功能有

A.操作注冊(cè)表

B.列舉窗口

C.創(chuàng)建目錄

D.搜索文件

29.IDA Pro 都有以下什么功能（）。

A.識(shí)別函數(shù)

B.標(biāo)記函數(shù)

C.劃分出局部變量

D.劃分出參數(shù)

30.對(duì)下面匯編代碼的分析正確的是（）。

A.mov [ebp+var_4],0對(duì)應(yīng)循環(huán)變量的初始化步驟

B.add eax,1對(duì)應(yīng)循環(huán)變量的遞增，在循環(huán)中其最初會(huì)通過(guò)一個(gè)跳轉(zhuǎn)指令而跳過(guò)

C.比較發(fā)生在cmp處，循環(huán)決策在jge處通過(guò)條件跳轉(zhuǎn)指令而做出

D.在循環(huán)中，通過(guò)一個(gè)無(wú)條件跳轉(zhuǎn)jmp，使得循環(huán)變量每次進(jìn)行遞增。

31.運(yùn)行計(jì)算機(jī)病毒，監(jiān)控病毒的行為，需要一個(gè)安全、可控的運(yùn)行環(huán)境的原因是什么

A.惡意代碼具有傳染性

B.可以進(jìn)行隔離

C.惡意代碼難以清除

D.環(huán)境容易搭建

32.進(jìn)程監(jiān)視器提供默認(rèn)下面四種過(guò)濾功能是（）。

A.注冊(cè)表

B.文件系統(tǒng)

C.進(jìn)程行為

D.網(wǎng)絡(luò)

33.微軟fastcall約定備用的寄存器是（）。

A.EAX

B.ECX

C.EDX

D.EBX

34.OllyDbg提供了多種機(jī)制來(lái)幫助分析，包括下面幾種（）。

A.日志

B.監(jiān)視

C.幫助

D.標(biāo)注

35.對(duì)一個(gè)監(jiān)聽(tīng)入站連接的服務(wù)應(yīng)用，順序是（）函數(shù)，等待客戶端的連接。

A.socket、bind、listen和accept

B.socket、bind、accept和listen

C.bind、sockect、listen和accept

D.accept、bind、listen和socket

三、判斷題 (共 15 道試題,共 30 分)

36.程序運(yùn)行過(guò)程中,雖然寄存器的值和內(nèi)存的地址是不斷變化的,但是依舊可以在運(yùn)行時(shí)訪問(wèn)寄存器的值和內(nèi)存地址

37.加殼的目的是使計(jì)算機(jī)病毒更難被檢測(cè)和分析

38.進(jìn)程監(jiān)視器的過(guò)濾功能開(kāi)啟時(shí)，不會(huì)記錄過(guò)濾的事件，因此能阻止監(jiān)視器消耗過(guò)多的內(nèi)存。

39.暴力破解目的是嘗試使用幾個(gè)不同的XOR密鑰破解，直到碰到你識(shí)別的輸出為止。

40.Strings程序檢測(cè)到的一定是真正的字符串。

41.在小端字節(jié)序中，127.0.0.1 表示為0x7F 00 00 01。

42.在stdcall中，前一些參數(shù)（典型的是前兩個(gè)）被傳到寄存器中，備用的寄存器是EDX和ECX。如果需要的話，剩下的參數(shù)再以從右到左的次序被加載到棧上。

43.PE文件格式在頭部存儲(chǔ)了很多有趣的信息。我們可以使用PEview工具來(lái)瀏覽這些信息。

44.2.DLL只有一個(gè)單一的標(biāo)志，除了那個(gè)標(biāo)志之外，一個(gè)DLL和一個(gè).exe之間沒(méi)有實(shí)質(zhì)的區(qū)別。

45.WinDbg的內(nèi)存窗口不支持通過(guò)命令來(lái)瀏覽內(nèi)存。

46.反向 shell或者作為一個(gè)單獨(dú)的惡意代碼存在,或者作為一個(gè)復(fù)雜后門(mén)程序中的組件而存在。

47.對(duì)于簡(jiǎn)單的加密和編碼方法，不可以使用編程語(yǔ)言提供的標(biāo)準(zhǔn)函數(shù)。

48.可以在用戶模式下無(wú)限制地設(shè)置軟件斷點(diǎn)。

49.蠕蟲(chóng)或計(jì)算機(jī)病毒是可以自我復(fù)制和感染其他計(jì)算機(jī)的惡意代碼。

50.在進(jìn)程中加載的DLL的位置和在IDA Pro中的地址不同，這可能是及地址重定向的結(jié)果