22春学期（高起本1709、全层次1803-2103）《计算机病毒分析》在线作业答案答卷

1144766066

22春学期（高起本1709-1803、全层次1809-2103）《计算机病毒分析》在线作业答案-00003
试卷总分:100  得分:100
一、单选题 (共 25 道试题,共 50 分)
1.病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组（）。
A.计算机指令
B.程序代码
C.文件
D.计算机指令或者程序代码
答案:

2.病毒、（）和木马是可导致计算机和计算机上的信息损坏的恶意程序。
A.程序
B.蠕虫
C.代码
D.数据
答案:

3.堆是程序运行时动态分配的内存，用户一般通过（）、new等函数申请内存。
A.scanf
B.printf
C.malloc
D.free
答案:

4.能调试内核的调试器是（）
A.OllyDbg
B.IDA Pro
C.WinDbg
D.Process Explorer
答案:

5.函数调用约定中，参数是从右到左按序被压入栈，当函数完成时由被调用函数清理栈，并且将返回值保存在EAX中的是（）。
A.cdecl
B.stdcall
C.fastcall
D.压栈与移动
答案:

6.PE文件中的分节中唯一包含代码的节是（）。
A..rdata
B..text
C..data
D..rsrc
答案:

7.计算机体系结构中，（）层是由十六进制形式的操作码组成，用于告诉处理器你想它干什么。
A.微指令
B.机器码
C.低级语言
D.高级语言
答案:

8.基于Linux模拟常见网络服务的软件的是（）。
A.ApateDNS
B.Netcat
C.INetSim
D.Wireshark
答案:

9.轰动全球的震网病毒是（）。
A.木马
B.蠕虫病毒
C.后门
D.寄生型病毒
答案:

10.Shell是一个命令解释器，它解释（）的命令并且把它们送到内核。
A.系统输入
B.用户输入
C.系统和用户输入
D.输入
答案:

11.在WinDbg的搜索符号中， （）命令允许你使用通配符来搜索函数或者符号。
A.bu
B.x
C.Ln
D.dt
答案:

12.木马与病毒的重大区别是（）。
A.木马会自我复制
B.木马具有隐蔽性
C.木马不具感染性
D.木马通过网络传播
答案:

13.以下哪个选项属于木马（）。
A.震网病毒
B.WannaCry
C.灰鸽子
D.熊猫烧香
答案:

14.用户模式下的APC要求线程必须处于（）状态。
A.阻塞状态
B.计时等待状态
C.可警告的等待状态
D.被终止状态
答案:

15.OllyDbg最多同时设置（）个内存断点。
A.1个
B.2个
C.3个
D.4个
答案:

16.而0x52000000对应0x52这个值使用的是（）字节序。
A.小端
B.大端
C.终端
D.前端
答案:

17.以下说法错误的是（）。
A.OllyDbg可以很容易修改实时数据，如寄存器和标志。它也可以将汇编形式的修补代码直接插入到一个程序
B.OllyDbg可以使用00项或nop指令填充程序
C.键单击高亮的条件跳转指令，然后选择Binary→Fill with NOPs，该操作产生的结果时NOP指令替换了JNZ指令，这个过程会把那个位置上的NOP永久保存在磁盘上，意味着恶意代码以后会接受任意输入的密钥
D.当异常发生时，OllyDbg会暂停运行，然后你可以使用进入异常、跳过异常、运行异常处理 等方法，来决定是否将异常转移到应用程序处理
答案:

18.反病毒软件主要是依靠（）来分析识别可疑文件。
A.文件名
B.病毒文件特征库
C.文件类型
D.病毒文件种类
答案:

19.WinDbg的内存窗口支持通过命令来浏览内存，以下WinDbg读选项中，（）选项描述读取内存数据并以内存32位双字显示。
A.da
B.du
C.dd
D.dc
答案:

20.Base64编码将二进制数据转化成（）个字符的有限字符集。
A.16
B.32
C.48
D.64
答案:

21.原始数据转换成Base64的过程相当标准。它使用（）位的块。
A.8
B.16
C.24
D.32
答案:

22.（）是指Windows中的一个模块没有被加载到其预定基地址时发生的情况。
A.内存映射
B.基地址重定位
C.断点
D.跟踪
答案:

23.WinINet API实现了（）层的协议。
A.网络层
B.数据链路层
C.应用层
D.传输层
答案:

24.WinDbg的内存窗口支持通过命令来浏览内存，以下WinDbg读选项中，（）选项描述读取内存数据并以ASCII文本显示。
A.da
B.du
C.dd
D.dc
答案:

25.进程浏览器的功能不包括（）。
A.比较进程浏览器中的DLL列表与在Dependency Walker工具中显示的导入DLL列表来判断一个DLL是否被加载到进程
B.单击验证按钮，可以验证磁盘上的镜像文件是否具有微软的签名认证
C.比较运行前后两个注册表的快照，发现差异
D.一种快速确定一个文档是否恶意的方法，就是打开进程浏览器，然后打开文档。若文档启动了任意进程，你能进程浏览器中看到，并能通过属性窗口中的镜像来定位恶意代码在磁盘上的位置。
答案:

二、多选题 (共 10 道试题,共 20 分)
26.以下方法中是识别标准加密算法的方法是（）。[多选]
A.识别涉及加密算法使用的字符串
B.识别引用导入的加密函数
C.搜索常见加密常量的工具
D.查找高熵值的内容
答案:BCD

27.对下面汇编代码的分析正确的是（）。
A.mov [ebp+var_4],0对应循环变量的初始化步骤
B.add eax,1对应循环变量的递增，在循环中其最初会通过一个跳转指令而跳过
C.比较发生在cmp处，循环决策在jge处通过条件跳转指令而做出
D.在循环中，通过一个雅条件跳转jmp，使得循环变量每次进行递增。
答案:BCD

28.以下是分析加密算法目的的是
A.隐藏配置文件信息。
B.窃取信息之后将它保存到一个临时文件。
C.存储需要使用的字符串，并在使用前对其解密。
D.将恶意代码伪装成一个合法的工具，隐藏恶意代码
答案:BCD

29.以下哪些是常用的虚拟机软件
A.VMware Player
B.VMware Station
C.VMware Fusion
D.VirtualBox
答案:BCD

30.后门的功能有
A.操作注册表
B.列举窗口
C.创建目录
D.搜索文件
答案:BCD

31.OllyDbg提供了多种机制来帮助分析，包括下面几种（）。
A.日志
B.监视
C.帮助
D.标注
答案:BCD

32.调试器可以用来改变程序的执行方式。可以通过修改（）方式来改变程序执行的方式。
A.修改控制标志
B.修改指令指针
C.修改程序本身
D.修改文件名
答案:BC

33.恶意代码作者如何使用DLL（）多选
A.保存恶意代码
B.通过使用Windows DLL
C.控制内存使用DLL
D.通过使用第三方DLL
答案:BD

34.恶意代码的存活机制有（）
A.修改注册表
B.特洛伊二进制文件
C.DLL加载顺序劫持
D.自我消灭
答案:BC

35.恶意代码常用注册表()
A.存储配置信息
B.收集系统信息
C.永久安装自己
D.网上注册
答案:BC

三、答案来源：雅宝题库QV同步1144766066网（www.ybaotk.com） (共 15 道试题,共 30 分)
36.哈希是一种用来唯一标识恶意代码的常用方法。
答案:正确

37.在图形模式中，绿色箭头路径表示这个条件跳转没被采用
答案:错误

38.普通病毒的传染能力主要是针对计算机内的文件系统而言。
答案:正确

39.静态分析基础技术是非常简单，同时也可以非常快速应用的，但它在针对复杂的恶意代码时很大程度上是雅效的，而且它可能会错过一些重要的行为。
答案:正确

40.有时，某个标准符号常量不会显示，这时你需要手动加载有关的类型库
答案:正确

41.在完成程序的过程中，通用寄存器它们是完全通用的。
答案:错误

42.下载器通常会与异常处理打包在一起
答案:错误

43.Netcat被称为"TCP/IP协议栈瑞士军刀"，可以被用在支持端口扫描、隧道、代理、端口转发等的对内对外连接上。在监听模式下，Netcat充当一个服务器，而在连接模式下作为一个客户端。Netcat从标准输入得到数据进行网络传输，而它得到的数据，又可以通过标准输出显示到屏幕上。
答案:正确

44.调试器允许你查看任意内存地址、寄存器的内容以及每个函数的参数
答案:正确

45.蠕虫是利用文件寄生来通过网络传播的恶性病毒。
答案:错误

46.当恶意代码编写者想要将恶意代码伪装成一个合法进程，可以使用一种被称为进程注入的方法，将一个可执行文件重写到一个运行进程的内存空间。
答案:错误

47.重命名地址可以修改自动化命名的绝对地址和栈变量。
答案:错误

48.进程监视器视图每一秒更新一次。默认情况下，服务以粉色高亮显示，进程显示为蓝色，新进程为绿色，被终止进程则为红色。绿色和红色的高亮显示是临时的，当进程被完全启动或终止后颜色就会改变。
答案:正确

49.这种进程替换技术让恶意代码与被替换进程拥有相同的特权级。
答案:正确

50.假设你拥有一个恶意的驱动程序，但没有用户态应用程序安装它，这个时候就可以用如OSR Driver Loader的加载工具来加载它。
答案:正确