南开《计算机病毒分析》19秋期末考核【标准答案】

《计算机病毒分析》19秋期末考核-0001

一、单选题 (共 15 道试题,共 30 分)

1.下列是抓包的工具是（）。

A.Wireshark

B.Netcat

C.INetSim

D.ApateDNS

2.注入shellcode属于（）。

A.钩子注入

B.进程注入

C.直接注入

D.DLL注入

3.以下哪个选项属于木马（）。

A.震网病毒

B.熊猫烧香

C.灰鸽子

D.WannaCry

4.Strings程序搜索（）或以上连续的ASCII或Unicode字符，并以终结符结尾的可打印字符串。

A.3个

B.2个

C.1个

D.0个

5.OllyDbg最多同时设置（）个内存断点。

A.4个

B.3个

C.2个

D.1个

6.OllyDbg使用了一个名为（）的虚拟程序来加载DLL。

A.user32.dll

B.rundll32.exe

C.loaddll.exe

D.kernel32.dll

7.堆是程序运行时动态分配的内存，用户一般通过（）、new等函数申请内存。

A.scanf

B.printf

C.malloc

D.free

8.病毒、（）和木马是可导致计算机和计算机上的信息损坏的恶意程序。

A.蠕虫

B.程序

C.数据

D.代码

9.WinDbg的内存窗口支持通过命令来浏览内存，以下WinDbg读选项中，（）选项描述读取内存数据并以内存32位双字显示。

A.du

B.dd

C.dc

D.da

10.进程替换的关键是以（）创建一个进程。

A.运行状态

B.等待状态

C.挂起状态

D.就绪状态

11.用IDA Pro对一个程序进行反汇编时，字节偶尔会被错误的分类。可以对错误处按（）键来取消函数代码或数据的定义。

A.shift+D键

B.U键

C.D键

D.C键

12.以下那种互联网连接模式在宿主机和客户机之间创建了一个隔离的私有局域网

A.bridged

B.NET

C.Host-only

D.Custom

13.APC可以让一个线程在它正常的执行路径运行之前执行一些其他的代码。每一个线程都有一个附加的APC队列，它们在线程处于（）时被处理。

A.阻塞状态

B.计时等待状态

C.被终止状态

D.可警告的等待状态

14.()是一种设置自身或其他恶意代码片段以达到即时或将来秘密运行的恶意代码。

A.启动器

B.后门

C.内核嵌套

D.下载器

15.反病毒软件主要是依靠（）来分析识别可疑文件。

A.病毒文件种类

B.病毒文件特征库

C.文件类型

D.文件名

二、多选题 (共 10 道试题,共 20 分)

16.下面属于OllyDbg插件的有（）。

A.调试器隐藏插件

B.命令行

C.书签

D.OllyDump

17.恶意代码编写者可以挂钩一个特殊的 Winlogon事件,比如()

A.锁屏

B.登录

C.注销

D.关机

18.对一个监听入站连接的服务应用，顺序是（）函数，等待客户端的连接。

A.socket、bind、listen和accept

B.socket、bind、accept和listen

C.bind、sockect、listen和accept

D.accept、bind、listen和socket

19.以下是句柄是在操作系统中被打开或被创建的项的是

A.进程

B.菜单

C.窗口

D.模块

20.名字窗口，列举哪些内存地址的名字

A.数据的名字

B.字符串

C.函数名

D.代码的名字

21.调试器可以用来改变程序的执行方式。可以通过修改（）方式来改变程序执行的方式。

A.修改程序本身

B.修改文件名

C.修改控制标志

D.修改指令指针

22.运行计算机病毒，监控病毒的行为，需要一个安全、可控的运行环境的原因是什么

A.环境容易搭建

B.恶意代码难以清除

C.恶意代码具有传染性

D.可以进行隔离

23.微软fastcall约定备用的寄存器是（）。

A.EDX

B.ECX

C.EBX

D.EAX

24.后门拥有一套通用的功能，都有以下那些功能？（）

A.操作注册表

B.搜索文件

C.创建目录

D.列举窗口

25.（）是Windows API的标准调用约定

A.压栈与移动

B.stdcall

C.fastcall

D.cdecl

三、判断题 (共 10 道试题,共 20 分)

26.微软符号也包含多个数据结构的类型信息，但并不包括没有被公开的内部类型。

27.C键是定义原始字节为数据

28.动态分析基础技术使用调试器来检查一个恶意可执行程序运行时刻的内部状态。

29.我们怀疑一个XOR加密的可执行文件时，其中针对单字节加密的一种对策是暴力破解。

30.EIP指令指针的唯一作用就是告诉处理器接下来干什么。

31.标准加密库比较容易探测不是使用标准的加密存在一些潜在的漏洞。

32.在合法的PE文件中，可以带有可执行文件

33.数组是相似数据项的无序集合

34.蠕虫或计算机病毒是可以自我复制和感染其他计算机的恶意代码。

35.OllyDbg是多线程的。

四、计算题 (共 1 道试题,共 9 分)

Rootkit通过修改操作系统的内部函数，来隐藏病毒存在的痕迹。Rootkit经常使用的隐藏技术是挂钩系统服务描述符表（SSDT）。下面通过lm m nt命令列出了一个被感染系统的SSDT表。在该系统中，ntoskrnl.exe模块在内存中的起始位置是0x804d7000到806cd580。并通过lm命令列出了内核中其它模块的装载位置。请从列出的SSD信息和内核装载模块信息中，分析并定位Rootkit所挂钩的可疑函数入口地址和该可疑函数所在的内核模块。

1) SSDT表信息

kd> lm m nt

…

8050122C: 805401F0 80636C9C 805B28BC 80603BE0

8050123C: 805E1ED0 8059A438 8061A80C 805BA520

8050124C: 805CA104 8060A348 805E8A40 805D7AC8

8050125C: 8060BE48 8056BC5C 805CA3CA F7AD94A4

8050126C: 8056A404 8059BAC 8059920C 805C5F80

…

2) 内核装载模块信息

kd>lm

…

F7AC7000 F7AC8580 intelid

F7AC9000 F7ACA700 usbdvr

F7AD9000 F7ADA680 dmload

F7AED000 F7AEE280 vmmouse

五、简答题 (共 3 道试题,共 21 分)

简述相对于使用物理机器，使用虚拟机进行计算机病毒动态分析的优点和缺点？

基于功能分类，列举至少5种不同类型的计算机病毒，并简述不同类型的恶意行为。

IAT Hook和Inline Hook是计算机病毒常用的用户态Rootkit技术，简述IAT Hook和Inline Hook的实现原理。