23秋学期（高起本：1709-2103、专升本/高起专：2003-2103）《计算机病毒分析》在线作业-00002

试卷总分:100  得分:100

一、单选题 (共 25 道试题,共 50 分)

1.OllyDbg的硬件断点最多能设置（）个。

A.3个

B.4个

C.5个

D.6个

2.当代码库被链接时，宿主操作系统会在程序被装载时搜索所需的代码库，如果程序调用了被链接的库函数，这个函数会在代码库中执行,这种链接方法是（）。

A.静态链接

B.动态链接

C.运行时链接

D.转移链接

3.若依次压入数字1、2、3、4，则第二次弹出来的会是（）。

A.1

B.2

C.3

D.4

4.对应a++的汇编代码是（）。

A.move eax,[ebp+var_4]

B.sub eax,[ebp+var_8]

C.sub eax,1

D.add eax,1

5.参数是从右到左按序被压入栈，当函数完成时由被调用者清理栈的是（）。

A.cdecl

B.stdcall

C.fastcall

D.压栈与移动

6.在通用寄存器中，（）是基址寄存器。

A.EAX

B.EBX

C.ECX

D.EDX

7.以下不是检测SSDT挂钩的方法是

A.遍历SSDT表

B.使用查杀病毒的软件

C.查找异常的函数入口地址

D.ntoskrnl.exe的地址空间是从804d7000到806cd580

8.当想要在函数调用使用特定的参数时才发生中断，应该设置什么类型的断点（）

A.软件执行断点

B.硬件执行断点

C.条件断点

D.非条件断点

9.网络黑客产业链是指黑客们运用技术手段入侵服务器获取站点权限以及各类账户信息并从中谋取（）的一条产业链。

A.非法经济利益

B.经济效益

C.效益

D.利润

10.下列论述错误的是（）。

A.数组是相似数据项的有序集合

B.结构体和数组相似，但是它们包括不同类型的元素

C.使用一个链表，被链接项的访问次序与数据项被保存在内存或磁盘上的次序必须一样

D.在汇编代码中，数组是通过使用一个基地址作为起始点来进行访问的。

11.而0x52000000对应0x52这个值使用的是（）字节序。

A.小端

B.大端

C.终端

D.前端

12.以下不是解释型语言的是

A.Java

B.Perl

C.NET

D.C

13.可以按（ ）键定义原始字节为代码。

A.C键

B.D键

C.shift D键

D.U键

14.以下哪个选项属于木马（）。

A.震网病毒

B.WannaCry

C.灰鸽子

D.熊猫烧香

15.恶意代码编写者使用（）库执行对导入表的修改，挂载DLL到己有程序文件，并且向运行的进程添加函数钩子等。

A.Detours库

B.DLL运行库

C.MFC

D.vc运行库

16.APC可以让一个线程在它正常的执行路径运行之前执行一些其他的代码。每一个线程都有一个附加的APC队列，它们在线程处于（）时被处理。

A.阻塞状态

B.计时等待状态

C.可警告的等待状态

D.被终止状态

17.函数调用约定中，参数是从右到左按序被压入栈，当函数完成时由被调用函数清理栈，并且将返回值保存在EAX中的是（）。

A.cdecl

B.stdcall

C.fastcall

D.压栈与移动

18.进程浏览器的功能不包括（）。

A.比较进程浏览器中的DLL列表与在Dependency Walker工具中显示的导入DLL列表来判断一个DLL是否被加载到进程

B.单击验证按钮，可以验证磁盘上的镜像文件是否具有微软的签名认证

C.比较运行前后两个注册表的快照，发现差异

D.一种快速确定一个文档是否恶意的方法，就是打开进程浏览器，然后打开文档。若文档启动了任意进程，你能进程浏览器中看到，并能通过属性窗口中的镜像来定位恶意代码在磁盘上的位置。

19.能调试内核的调试器是（）

A.OllyDbg

B.IDA Pro

C.WinDbg

D.Process Explorer

20.下列对内核套件的描述正确的是（）。

A.恶意代码将自身安装到一台计算机来允许攻击者访问

B.这是一类只是用来下载其他恶意代码的恶意代码

C.用来启动其他恶意程序的恶意代码

D.设计用来隐藏其他恶意代码的恶意代码网络造成破坏的软件

21.以下不是GFI沙箱的缺点的是（）。

A.沙箱只能简单地运行可执行程序，不能带有命令行选项

B.沙箱环境的操作系统对恶意代码来说可能不正确

C.沙箱不能提供安全的虚拟环境

D.恶意代码如果检测到了虚拟机，将会停止运行，或者表现异常。不是所有的沙箱都能完善地考虑这个问题

22.用IDA Pro对一个程序进行反汇编时，字节偶尔会被错误的分类。可以对错误处按（）键来取消函数代码或数据的定义。

A.C键

B.D键

C.shift+D键

D.U键

23.一共有（）个硬件寄存器存储断点的地址

A.1个

B.3个

C.4个

D.7个

24.（）常被一种叫做击键记录器的恶意程序所使用，被用来记录击键 。

A.DLL注入

B.直接注入

C.APC注入

D.钩子注入

25.内存中的（）节用于函数的局部变量和参数，以及控制程序执行流。

A.数据

B.堆

C.代码

D.栈

二、多选题 (共 10 道试题,共 20 分)

26.调试器可以用来改变程序的执行方式。可以通过修改（）方式来改变程序执行的方式。

A.修改控制标志

B.修改指令指针

C.修改程序本身

D.修改文件名

27.名字窗口，列举哪些内存地址的名字

A.函数名

B.代码的名字

C.数据的名字

D.字符串

28.后门的功能有

A.操作注册表

B.列举窗口

C.创建目录

D.搜索文件

29.% System Root%\system32\drivers\tcpudp.sys中的登陆记录都包括（）

A.用户名

B.Windows域名称

C.密码

D.旧密码

30.以下方法中是识别标准加密算法的方法是（）。[多选]

A.识别涉及加密算法使用的字符串

B.识别引用导入的加密函数

C.搜索常见加密常量的工具

D.查找高熵值的内容

31.进程监视器提供默认下面四种过滤功能是（）。

A.注册表

B.文件系统

C.进程行为

D.网络

32.INetSim可以模拟的网络服务有（）。

A.HTTP

B.FTP

C.IRC

D.DNS

33.下列说法正确的是（）。

A.IDA Pro有一个在识别结构方面很有用的图形化工具

B.从反汇编代码来看，很难知道原始代码是一个switch语句还是一个if语句序列

C.switch中各无条件跳转相互影响

D.使用了一个跳转表，来更加高效地运行switch结构汇编代码

34.对下面汇编代码的分析正确的是（）。

A.mov [ebp+var_4],0对应循环变量的初始化步骤

B.add eax,1对应循环变量的递增，在循环中其最初会通过一个跳转指令而跳过

C.比较发生在cmp处，循环决策在jge处通过条件跳转指令而做出

D.在循环中，通过一个无条件跳转jmp，使得循环变量每次进行递增。

35.恶意代码编写者可以挂钩一个特殊的 Winlogon事件,比如()

A.登录

B.注销

C.关机

D.锁屏

三、判断题 (共 15 道试题,共 30 分)

36.当重命名假名时，你只需要在一个地方做一次，新名字会扩散到任何被引用的地方

37.启动器只能立即执行恶意程序

38.WinDbg是一个出色的调试器，它提供了很多OllyDbg所不具备的功能，但其中不包括支持内核调试。

39.OllyDbg中内存断点一次只能设置一个，而硬件断点可以设置4个。

40.哈希是一种用来唯一标识恶意代码的常用方法。

41.除非有上下文，否则通常情况下，被显示的数据会被格式化为八进制的值。

42.nop指令什么事情都不做。当它出现时，直接执行下一条指令。

43.switch语句被程序员用来做一个基于字符或者整数的决策。例如，后门通常使用单一的字节值从一系列动作中选择一个。switch语句通常以两种方式被编译；使用if方式或使用跳转表。

44.加软件断点处的程序在内存处依旧是原程序所对应的机器码

45.数组是相似数据项的无序集合

46.在小端字节序中，127.0.0.1 表示为0x7F 00 00 01。

47.恶意代码与驱动通信最常使用的请求是DeviceIoControl。

48.微软符号也包含多个数据结构的类型信息，但并不包括没有被公开的内部类型。

49.ApdateDNS在本机上通过监听UDP的80端口，对用户指定的IP底做给出虚假的DNS响应。它用你指定的IP地址去响应DNS查询请求。ApateDNS可以使用十六进制和ASCII码来显示所有接收到的请求。

50.未知的计算机病毒不存在不确定性