南开23春《计算机病毒分析》在线作业-00001【标准答案】

23春学期（高起本：1709-2103、专升本/高起专：1909-2103）《计算机病毒分析》在线作业-00001
试卷总分:100 得分:100
一、单选题 (共 25 道试题,共 50 分)
1.Windows?钩子（HOOK）指的是（）
A.钩子是指?Windows?窗口函数
B.钩子是一种应用程序
C.钩子的本质是一个用以处理消息的函数，用来检查和修改传给某程序的信息
D.钩子是一种网络通信程序

2.直接将恶意代码注入到远程进程中的是（）。
A.进程注入
B.DLL注入
C.钩子注入
D.直接注入

3.Strings程序搜索（）或以上连续的ASCII或Unicode字符，并以终结符结尾的可打印字符串。
A.2个
B.3个
C.1个
D.0个

4.下列对进程浏览器属性栏的描述错误的是（）。
A.线程标签显示所有活跃的线程
B.TCP/IP标签活跃的连接和进程监听的端口
C.镜像标签显示磁盘上可执行程序的路径
D.字符串标签，通过比较包含在磁盘上可执行文件的字符串与内存中同一个可执行文件的字符串，来看两者是否相同

5.（）被定义为一个相似数据项的有序集合。
A.数组
B.结构体
C.链表
D.变量

6.以下哈希值做的事是（）
A.将哈希值作为标签使用
B.与其他分析师分享哈希值，以帮助他们来识别恶意代码
C.通过哈希值计算文件的生成日期
D.在线搜索这段哈希值，看看这个文件是否已经被识别

7.PE文件中的分节中包含由可执行文件所使用的资源的是（）。
A..rdata
B..text
C..data
D..rsrc

8.当想要在函数调用使用特定的参数时才发生中断，应该设置什么类型的断点（）
A.软件执行断点
B.硬件执行断点
C.条件断点
D.非条件断点

9.病毒、（）和木马是可导致计算机和计算机上的信息损坏的恶意程序。
A.程序
B.蠕虫
C.代码
D.数据

10.在以下寄存器中用于定位要执行的下一条指令的寄存器是（）。
A.通用寄存器
B.段寄存器
C.状态寄存器
D.指令指针

11.原始数据转换成Base64的过程相当标准。它使用（）位的块。
A.8
B.16
C.24
D.32

12.OllyDbg最多同时设置（）个内存断点。
A.1个
B.2个
C.3个
D.4个

13.以下不是检测SSDT挂钩的方法是
A.遍历SSDT表
B.使用查杀病毒的软件
C.查找异常的函数入口地址
D.ntoskrnl.exe的地址空间是从804d7000到806cd580

14.在WinDbg的搜索符号中， （）命令允许你使用通配符来搜索函数或者符号。
A.bu
B.x
C.Ln
D.dt

15.以下不是解释型语言的是
A.Java
B.Perl
C.NET
D.C

16.能调试内核的调试器是（）
A.OllyDbg
B.IDA Pro
C.WinDbg
D.Process Explorer

17.以下对各断点说法错误的是（）。
A.查看堆栈中混淆数据内容的唯一方法时：待字符串解码函数执行完成后，查看字符串的内容，在字符串解码函数的结束位置设置软件断点
B.条件断点是软件断点中的一种，只有某些条件得到满足时这个断点才能中断执行程序
C.硬件断点非常强大，它可以在不改变你的代码、堆栈以及任何目标资源的前提下进行调试
D.OllyDbg只允许你一次设置一个内存断点，如果你设置了一个新的内存断点，那么之前设置的内存断点就会被移除

18.（）是指Windows中的一个模块没有被加载到其预定基地址时发生的情况。
A.内存映射
B.基地址重定位
C.断点
D.跟踪

19.单步调试是通过（ ）实现的南开答案请进：opzy.net或请联系微信：1095258436

A.每条代码之前添加软件断点
B.每条代码之前添加硬件断点
C.标志寄存器中的陷阱标志( trap flag)
D.标志寄存器中的zf标志位

20.下列对内核套件的描述正确的是（）。
A.恶意代码将自身安装到一台计算机来允许攻击者访问
B.这是一类只是用来下载其他恶意代码的恶意代码
C.用来启动其他恶意程序的恶意代码
D.设计用来隐藏其他恶意代码的恶意代码网络造成破坏的软件

21.恶意代码分析不应该注意（）。
A.应该在进入细节之前有一个概要性的理解
B.尝试多从不同角度，多使用不同工具和方法来分析恶意代码
C.恶意代码本身的特性
D.恶意代码本身的特性，尽量关注细节
E.恶意代码分析就像是猫抓老鼠的游戏，应该能够快速地应对恶意代码的新变化

22.用IDA Pro对一个程序进行反汇编时，字节偶尔会被错误的分类。可以对错误处按（）键来取消函数代码或数据的定义。
A.C键
B.D键
C.shift+D键
D.U键

23.线程创建需要系统开销，（）能够调用一个现有的线程。
A.进程注入
B.直接注入
C.Hook注入
D.APC注入

24.当调试可以修改自身的代码的代码时，应该设置什么类型的断点（）
A.软件执行断点
B.硬件执行断点
C.条件断点
D.非条件断点

25.木马与病毒的重大区别是（）。
A.木马会自我复制
B.木马具有隐蔽性
C.木马不具感染性
D.木马通过网络传播

二、多选题 (共 10 道试题,共 20 分)
26.运行计算机病毒，监控病毒的行为，需要一个安全、可控的运行环境的原因是什么
A.恶意代码具有传染性
B.可以进行隔离
C.恶意代码难以清除
D.环境容易搭建

27.后门拥有一套通用的功能，都有以下那些功能？（）
A.操作注册表
B.列举窗口
C.创建目录
D.搜索文件

28.调试器可以用来改变程序的执行方式。可以通过修改（）方式来改变程序执行的方式。
A.修改控制标志
B.修改指令指针
C.修改程序本身
D.修改文件名

29.以下是分析加密算法目的的是
A.隐藏配置文件信息。
B.窃取信息之后将它保存到一个临时文件。
C.存储需要使用的字符串，并在使用前对其解密。
D.将恶意代码伪装成一个合法的工具，隐藏恶意代码

30.微软fastcall约定备用的寄存器是（）。
A.EAX
B.ECX
C.EDX
D.EBX

31.以下方法中是识别标准加密算法的方法是（）。[多选]
A.识别涉及加密算法使用的字符串
B.识别引用导入的加密函数
C.搜索常见加密常量的工具
D.查找高熵值的内容

32.IDA Pro 都有以下什么功能（）。
A.识别函数
B.标记函数
C.划分出局部变量
D.划分出参数

33.% System Root%\system32\drivers\tcpudp.sys中的登陆记录都包括（）
A.用户名
B.Windows域名称
C.密码
D.旧密码

34.（）是Windows API的标准调用约定
A.cdecl
B.stdcall
C.fastcall
D.压栈与移动

35.下面属于OllyDbg插件的有（）。
A.OllyDump
B.调试器隐藏插件
C.命令行
D.书签

三、判断题 (共 15 道试题,共 30 分)
36.重命名地址可以修改自动化命名的绝对地址和栈变量。

37.在 XOR加密中，逆向解密与加密不是使用同一函数。

38.INetSim模拟的Dummy网络服务可以记录所有从客户端收到的数据。

39.nop指令什么事情都不做。当它出现时，直接执行下一条指令。

40..text节中的操作码都会驻留在内存中。

41.对于攻击者，自定义加密方法拥有它自身的优势，并不是因为它保留了简单加密策略的特点。

42.DLL在exe载入后以任意顺序加载。这意味着如果DLL的基地址被重定位了，通常情况下不能预测DLL会被定位到内存的什么位置。DLL的重定位节也可以被移除，一个缺乏重定位节的DLL不能被加载到它的预定基地址，因此它也就不能被加载。

43.你可以修改自动化命名的虚拟地址和栈变量。

44.微软符号也包含多个数据结构的类型信息，但并不包括没有被公开的内部类型。

45.使用运行时链接的可执行程序，只有当需要使用函数时，才链接到库，而并不是像动态链接模式一样在程序启动时就会链接。

46.普通病毒的传染能力主要是针对计算机内的文件系统而言。

47.一旦发现目标进程，启动器会提取目标进程的进程标识（PID），然后用提取的PID调用createRemoteThread函数，以获取目标进程的句柄。

48.shr和shl指令用于对寄存器做位移操作。

49.当重命名假名时，你只需要在一个地方做一次，新名字会扩散到任何被引用的地方

50.底层远程钩子要求钩子例程被保护在安装钩子的进程中。