南开22春计算机病毒分析在线作业-00001试卷总分100 得分100一、单选题 (共 25 道试题,共 50 分)1.下列概念说法错误的是（）。A.内存映射窗口（ViewMemory）显示了被调用程序分配的使用内存块B.基地址重定位是指Windows中的一个模块没有被加载到其预定基地址时发生的情况C.Windows中的所有PE文件都有一个预定的基地址，它在PE文件头中被称为映像基地址D.使用相对地址，无论被加载到内存的哪个位置，所有指令都能正常工作答案D2.（）是指Windows中的一个模块没有被加载到其预定基地址时发生的情况。A.内存映射B.基地址重定位C.断点D.跟踪答案B3.（）常被一种叫做击键记录器的恶意程序所使用，被用来记录击键 。A.DLL注入B.直接注入C.APC注入D.钩子注入答案D4.以下运行DLL文件的语法格式不正确的是（）。A.Crundll32.exe rip.dll,InstallB.Crundll32.exe rip.dll,#5C.Crundll32 rip.dll,InstallService ServiceName Cnet start ServiceNameD.Csc rip.dll答案D5.当一个库被链接到可执行程序时，所有这个库中的代码都会复制到可执行程序中去，这种链接方法是（）。A.静态链接B.动态链接C.运行时链接D.转移链接答案A6.GFI沙箱生成报告不包括哪个小节（）。A.分析摘要B.文件活动C.注册表D.程序功能答案D7.对下面指令分析不正确的是（）。A.要跳转的决定是基于一个比较（cmp）语句来做的B.调剂跳转（jnz），如果这两个值不相等，这个跳转就会发生C.代码跳转（jump）保证了只有一条代码路径会被执行D.对于一个if语句必定有一个条件跳转，所有条件跳转也都对应if语句答案D8.用户模式下的APC要求线程必须处于（）状态。A.阻塞状态B.计时等待状态C.可警告的等待状态D.被终止状态答案C9.进程浏览器的功能不包括（）。A.比较进程浏览器中的DLL列表与在Dependency Walker工具中显示的导入DLL列表来判断一个DLL是否被加载到进程B.单击验证按钮，可以验证磁盘上的镜像文件是否具有微软的签名认证C.比较运行前后两个注册表的快照，发现差异D.一种快速确定一个文档是否恶意的方法，就是打开进程浏览器，然后打开文档。若文档启动了任意进程，你能进程浏览器中看到，并能通过属性窗口中的镜像来定位恶意代码在磁盘上的位置。答案C10.用IDA Pro对一个程序进行反汇编时，字节偶尔会被错误的分类。可以对错误处按（）键来取消函数代码或数据的定义。A.C键B.D键C.shift+D键D.U键答案D11.ApateDNS在本机上监听UDP（）端口。A.53B.69C.161D.80答案A12.以下注册表根键中（）保存定义的类型信息。A.HKEY_LOCAL_MACHINE(HKLM)B.HKEY_CURRENT_USER(HKCU)C.HKEY_CLASSES_ROOTD.HKEY_CURRENT_CONFIG答案C13.恶意代码分析不应该注意（）。A.应该在进入细节之前有一个概要性的理解B.尝试多从不同角度，多使用不同工具和方法来分析恶意代码C.恶意代码本身的特性D.恶意代码本身的特性，尽量关注细节E.恶意代码分析就像是猫抓老鼠的游戏，应该能够快速地应对恶意代码的新变化答案C14.()是一种设置自身或其他恶意代码片段以达到即时或将来秘密运行的恶意代码。A.后门B.下载器C.启动器D.内核嵌套答案C15.OllyDbg的硬件断点最多能设置（）个。A.3个B.4个C.5个D.6个答案B16.以下Windows API类型中（）是表示一个将会被Windows API调用的函数。A.WORDB.DWORDC.HabdlesD.Callback答案D17.直接将恶意代码注入到远程进程中的是（）。A.进程注入B.DLL注入C.钩子注入D.直接注入答案D18.在通用寄存器中，（）是数据寄存器。A.EAXB.EBXC.ECXD.EDX答案D19.（）是可以记录程序详细的运行信息的调试技术。A.内存映射B.基地址重定位C.断点D.跟踪答案D20.下列说法错误的是（）。A.恶意代码经常使用多线程。你可以通过选择View-Threads,调出线程面板窗口，查看一个程序的当前线程B.单击主工具栏中的暂停按钮，可以暂停所有活动的线程C.给定进程中的每个线程有自己的栈，通常情况下，线程的重要数据都保存在栈中。可以使用OllyDbg的内存映射，来查看内存中栈的内容D.由于OllyDbg是多线程的，可能需要你先暂停所有的线程，设置一个断点后，继续运行程序，这样可以确保在一个特定线程模式内调试答案D21.当调试可以修改自身的代码的代码时，应该设置什么类型的断点（）A.软件执行断点B.硬件执行断点C.条件断点D.非条件断点答案B22.加法和减法是从目标操作数中加上或减去（）个值。A.0B.1C.2D.3答案B23.以下对各断点说法错误的是（）。A.查看堆栈中混淆数据内容的唯一方法时：待字符串解码函数执行完成后，查看字符串的内容，在字符串解码函数的结束位置设置软件断点B.条件断点是软件断点中的一种，只有某些条件得到满足时这个断点才能中断执行程序C.硬件断点非常强大，它可以在不改变你的代码、堆栈以及任何目标资源的前提下进行调试D.OllyDbg只允许你一次设置一个内存断点，如果你设置了一个新的内存断点，那么之前设置的内存断点就会被移除答案C24.（）是一把双刃剑，可以用来分析内部网络、调试应用程序问题，也可以用来嗅探密码、监听在线聊天。A.ApateDNSB.NetcatC.INetSimD.Wireshark答案D25.轰动全球的震网病毒是（）。A.木马B.蠕虫病毒C.后门D.寄生型病毒答案B二、多选题 (共 10 道试题,共 20 分)26.后门的功能有A.操作注册表B.列举窗口C.创建目录D.搜索文件答案ABCD27.以下的恶意代码行为中，属于后门的是（）A.netcat反向shellB.windows反向shellC.远程控制工具D.僵尸网络答案ABCD28.OllyDbg支持的跟踪功能有（）。A.标准回溯跟踪B.堆栈调用跟踪C.运行跟踪D.边缘跟踪答案ABC29.运行计算机病毒，监控病毒的行为，需要一个安全、可控的运行环境的原因是什么A.恶意代码具有传染性B.可以进行隔离C.恶意代码难以清除D.环境容易搭建答案ABC30.对一个监听入站连接的服务应用，顺序是（）函数，等待客户端的连接。A.socket、bind、listen和acceptB.socket、bind、accept和listenC.bind、sockect、listen和acceptD.accept、bind、listen和socket答案ABCD31.恶意代码编写者可以挂钩一个特殊的 Winlogon事件,比如()A.登录B.注销C.关机D.锁屏答案ABCD32.后门拥有一套通用的功能，都有以下那些功能？（）A.操作注册表B.列举窗口C.创建目录D.搜索文件答案ABCD33.恶意代码作者如何使用DLL（）多选A.保存恶意代码B.通过使用Windows DLLC.控制内存使用DLLD.通过使用第三方DLL答案ABD34.以下是分析加密算法目的的是A.隐藏配置文件信息。B.窃取信息之后将它保存到一个临时文件。C.存储需要使用的字符串，并在使用前对其解密。D.将恶意代码伪装成一个合法的工具，隐藏恶意代码答案ABCD35.IDA Pro 都有以下什么功能（）。A.识别函数B.标记函数C.划分出局部变量D.划分出参数答案ABCD三、判断题 (共 15 道试题,共 30 分)36.重新编写函数和使用恶意代码中存在的函数是两种基本方法重现恶意代码中的加密或解密函数。答案正确37.异常只能由Bug引起答案错误38.底层远程钩子要求钩子例程被保护在安装钩子的进程中。答案正确39.检测加密的基本方法是使用可以搜索常见加密常量的工具，我们可以使用IDA Pro的FindCrypt2和Krypto ANALyzer插件。答案正确40.OllyDbg是一种具有可视化界面的32位汇编-分析调试器。答案正确41.C键是定义原始字节为数据答案错误42.我们可以使用IDA Pro的FindCrypt2和Krypto ANALyzer插件来搜索常见加密常量的工具。答案正确43.除非有上下文，否则通常情况下，被显示的数据会被格式化为八进制的值。答案正确44.在stdcall中，前一些参数（典型的是前两个）被传到寄存器中，备用的寄存器是EDX和ECX。如果需要的话，剩下的参数再以从右到左的次序被加载到栈上。答案错误45.D键是定义原始字节为代码答案错误46.哈希函数，是一种从任何一种数据中创建小的数字“指纹”的方法。答案正确47.结构体通过一个作为起始指针的基地址来访问。要判断附近的数据字节类型是同一结构的组成部分，还是只是凑巧相互挨着是比较困难的，这依赖于这个结构体的上下文。答案正确48.结构体包含相同类型的元素。答案错误49.如果中断位于一个没有名字、没有签名或可疑的驱动中，不能表明存在Rootkit或者恶意代码。答案错误50.命名常量在二进制文件是以常量名字来存储的答案错误