24秋学期（高起本：1809-2103、专升本/高起专：2103）《计算机病毒分析》在线作业-00003

试卷总分:100  得分:100

一、单选题 (共 25 道试题,共 50 分)

1.对应a++的汇编代码是（）。

A.move eax,[ebp+var_4]

B.sub eax,[ebp+var_8]

C.sub eax,1

D.add eax,1

2.以下说法错误的是（）。

A.OllyDbg可以很容易修改实时数据，如寄存器和标志。它也可以将汇编形式的修补代码直接插入到一个程序

B.OllyDbg可以使用00项或nop指令填充程序

C.键单击高亮的条件跳转指令，然后选择Binary→Fill with NOPs，该操作产生的结果时NOP指令替换了JNZ指令，这个过程会把那个位置上的NOP永久保存在磁盘上，意味着恶意代码以后会接受任意输入的密钥

D.当异常发生时，OllyDbg会暂停运行，然后你可以使用进入异常、跳过异常、运行异常处理 等方法，来决定是否将异常转移到应用程序处理

3.恶意代码编写者使用（）库执行对导入表的修改，挂载DLL到己有程序文件，并且向运行的进程添加函数钩子等。

A.Detours库

B.DLL运行库

C.MFC

D.vc运行库

4.用户模式下的APC要求线程必须处于（）状态。

A.阻塞状态

B.计时等待状态

C.可警告的等待状态

D.被终止状态

5.以下逻辑运算符中是位移指令的是（）

A.OR、AND

B.Shr和shl

C.ror和rol

D.XOR

6.蠕虫与普通病毒相比特有的性质为（）。

A.传播性

B.隐蔽性

C.不利用文件寄生

D.破坏性

7.内存中的（）节用于函数的局部变量和参数，以及控制程序执行流。

A.数据

B.堆

C.代码

D.栈

8.APC可以让一个线程在它正常的执行路径运行之前执行一些其他的代码。每一个线程都有一个附加的APC队列，它们在线程处于（）时被处理。

A.阻塞状态

B.计时等待状态

C.可警告的等待状态

D.被终止状态

9.下列对进程浏览器属性栏的描述错误的是（）。

A.线程标签显示所有活跃的线程

B.TCP/IP标签活跃的连接和进程监听的端口

C.镜像标签显示磁盘上可执行程序的路径

D.字符串标签，通过比较包含在磁盘上可执行文件的字符串与内存中同一个可执行文件的字符串，来看两者是否相同

10.源代码通过（）后形成可执行文件。

A.汇编

B.编译

C.连接

D.编译和连接

11.当要判断某个内存地址含义时，应该设置什么类型的断点（）

A.软件执行断点

B.硬件执行断点

C.条件断点

D.非条件断点

12.在以下寄存器中用于定位要执行的下一条指令的寄存器是（）。

A.通用寄存器

B.段寄存器

C.状态寄存器

D.指令指针

13.Strings程序搜索（）或以上连续的ASCII或Unicode字符，并以终结符结尾的可打印字符串。

A.2个

B.3个

C.1个

D.0个

14.（）常被一种叫做击键记录器的恶意程序所使用，被用来记录击键 。

A.DLL注入

B.直接注入

C.APC注入

D.钩子注入

15.进程浏览器的功能不包括（）。

A.比较进程浏览器中的DLL列表与在Dependency Walker工具中显示的导入DLL列表来判断一个DLL是否被加载到进程

B.单击验证按钮，可以验证磁盘上的镜像文件是否具有微软的签名认证

C.比较运行前后两个注册表的快照，发现差异

D.一种快速确定一个文档是否恶意的方法，就是打开进程浏览器，然后打开文档。若文档启动了任意进程，你能进程浏览器中看到，并能通过属性窗口中的镜像来定位恶意代码在磁盘上的位置。

16.而0x52000000对应0x52这个值使用的是（）字节序。

A.小端

B.大端

C.终端

D.前端

17.下列是抓包的工具是（）。

A.ApateDNS

B.Netcat

C.INetSim

D.Wireshark

18.若依次压入数字1、2、3、4，则第二次弹出来的会是（）。

A.1

B.2

C.3

D.4

19.注入shellcode属于（）。

A.进程注入

B.DLL注入

C.钩子注入

D.直接注入

20.轰动全球的震网病毒是（）。

A.木马

B.蠕虫病毒

C.后门

D.寄生型病毒

21.能调试内核的调试器是（）

A.OllyDbg

B.IDA Pro

C.WinDbg

D.Process Explorer

22.反病毒软件主要是依靠（）来分析识别可疑文件。

A.文件名

B.病毒文件特征库

C.文件类型

D.病毒文件种类

23.以下Windows API类型中（）是表示一个将会被Windows API调用的函数。

A.WORD

B.DWORD

C.Habdles

D.Callback

24.以下那种互联网连接模式在宿主机和客户机之间创建了一个隔离的私有局域网

A.bridged

B.NET

C.Host-only

D.Custom

25.一共有（）个硬件寄存器存储断点的地址

A.1个

B.3个

C.4个

D.7个

二、多选题 (共 10 道试题,共 20 分)

26.恶意代码作者如何使用DLL（）多选

A.保存恶意代码

B.通过使用Windows DLL

C.控制内存使用DLL

D.通过使用第三方DLL

27.微软fastcall约定备用的寄存器是（）。

A.EAX

B.ECX

C.EDX

D.EBX

28.运行计算机病毒，监控病毒的行为，需要一个安全、可控的运行环境的原因是什么

A.恶意代码具有传染性

B.可以进行隔离

C.恶意代码难以清除

D.环境容易搭建

29.IDA Pro 都有以下什么功能（）。

A.识别函数

B.标记函数

C.划分出局部变量

D.划分出参数

30.恶意代码的存活机制有（）

A.修改注册表

B.特洛伊二进制文件

C.DLL加载顺序劫持

D.自我消灭

31.下面属于OllyDbg插件的有（）。

A.OllyDump

B.调试器隐藏插件

C.命令行

D.书签

32.以下方法中是识别标准加密算法的方法是（）。[多选]

A.识别涉及加密算法使用的字符串

B.识别引用导入的加密函数

C.搜索常见加密常量的工具

D.查找高熵值的内容

33.调试器可以用来改变程序的执行方式。可以通过修改（）方式来改变程序执行的方式。

A.修改控制标志

B.修改指令指针

C.修改程序本身

D.修改文件名

34.对下面汇编代码的分析正确的是（）。

A.mov [ebp+var_4],0对应循环变量的初始化步骤

B.add eax,1对应循环变量的递增，在循环中其最初会通过一个跳转指令而跳过

C.比较发生在cmp处，循环决策在jge处通过条件跳转指令而做出

D.在循环中，通过一个无条件跳转jmp，使得循环变量每次进行递增。

35.恶意代码常用注册表()

A.存储配置信息

B.收集系统信息

C.永久安装自己

D.网上注册

三、判断题 (共 15 道试题,共 30 分)

36.Windows 并不要求钩子子程的卸载顺序一定得和安装顺序相反

37.机器码层由操作码组成，操作码是一些八进制形式的数字

38.有时，某个标准符号常量不会显示，这时你需要手动加载有关的类型库

39.nop指令什么事情都不做。当它出现时，直接执行下一条指令。

40.这种进程替换技术让恶意代码与被替换进程拥有相同的特权级。

41.恶意代码经常使用自创的加密方法，比如将多个简单加密方法组装到一起。

42.Execute till Return选项会在当前函数返回时暂停执行。如果这个函数不会终止，被调用程序会一直执行下去。

43.Strings命令搜索二个或以上连续的ASCII或Unicode字符，并以终结符结尾的可打印字符串。

44.反向 shell或者作为一个单独的恶意代码存在,或者作为一个复杂后门程序中的组件而存在。

45.对于攻击者，自定义加密方法拥有它自身的优势，并不是因为它保留了简单加密策略的特点。

46.在反向shell中,攻击者能够如同在本地系统上一样自如的运行命令。

47.定义原始字节为ASCII字符串

48.一个网络程序通常有两个端点：服务端和客户端。而恶意代码只能是这两端中客户端。

49.WinDbg是一个出色的调试器，它提供了很多OllyDbg所不具备的功能，但其中不包括支持内核调试。

50.在x86汇编语言中，一条指令由一个助记符，以及零个或多个操作数组成。