南开大学22春学期《计算机病毒分析》在线作业（活体识别）

22春学期（高起本1709、全层次18032103）《计算机病毒分析》在线作业
试卷总分100得分100
南开大学2022春季学期在线作业需要面部识别才能进入答题界面
第1题病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组。
A、计算机指令
B、程序代码
C、文件
D、计算机指令或者程序代码
正确答案
第2题病毒、和木马是可导致计算机和计算机上的信息损坏的恶意程序。
A、程序
B、蠕虫
C、代码
D、数据
正确答案
第3题堆是程序运行时动态分配的内存，用户一般通过、new等函数申请内存。
A、scanf
B、printf
C、malloc
D、free
正确答案
第4题能调试内核的调试器是
A、OllyDbg
B、IDAPro
C、WinDbg
D、ProcessExplorer
正确答案
函数调用约定中，参数是从右到左按序被压入栈，当函数完成时由被调用函数清理栈，并且将返回值保存在EAX中的是。
A、cdecl
B、stdcall
C、fastcall    奥鹏作业答案
D、压栈与移动
正确答案
第6题PE文件中的分节中唯一包含代码的节是。
A、.rdata
B、.text
C、.data
D、.rsrc
正确答案
第7题计算机体系结构中，层是由十六进制形式的操作码组成，用于告诉处理器你想它干什么。
A、微指令
B、机器码
C、低级语言
D、高级语言
正确答案
第8题基于Linux模拟常见网络服务的软件的是。
A、ApateDNS
B、Netcat
C、INetSim
D、Wireshark
正确答案
第9题轰动全球的震网病毒是。
A、木马
B、蠕虫病毒
C、后门
D、寄生型病毒
正确答案
Shell是一个命令解释器，它解释的命令并且把它们送到内核。
A、系统输入
B、用户输入
C、系统和用户输入
D、输入
正确答案
第11题在WinDbg的搜索符号中，命令允许你使用通配符来搜索函数或者符号。
A、bu
B、x
C、Ln
D、dt
正确答案
木马与病毒的重大区别是。
A、木马会自我复制
B、木马具有隐蔽性
C、木马不具感染性
D、木马通过网络传播
正确答案
第13题以下哪个选项属于木马。
A、震网病毒
B、WannaCry
C、灰鸽子
D、熊猫烧香
正确答案
第14题用户模式下的APC要求线程必须处于状态。
A、阻塞状态
B、计时等待状态
C、可警告的等待状态
D、被终止状态
正确答案
OllyDbg最多同时设置个内存断点。
A、1个
B、2个
C、3个
D、4个
正确答案
第16题而0x52000000对应0x52这个值使用的是字节序。
A、小端
B、大端
C、终端
D、前端
正确答案
第17题以下说法错误的是。
A、OllyDbg可以很容易修改实时数据，如寄存器和标志。它也可以将汇编形式的修补代码直接插入到一个程序
B、OllyDbg可以使用00项或nop指令填充程序
C、键单击高亮的条件跳转指令，然后选择Binary→FillwithNOPs，该操作产生的结果时NOP指令替换了JNZ指令，这个过程会把那个位置上的NOP永久保存在磁盘上，意味着恶意代码以后会接受任意输入的密钥
D、当异常发生时，OllyDbg会暂停运行，然后你可以使用进入异常、跳过异常、运行异常处理
等方法，来决定是否将异常转移到应用程序处理
正确答案
第18题反病毒软件主要是依靠来分析识别可疑文件。
A、文件名
B、病毒文件特征库
C、文件类型
D、病毒文件种类
正确答案
第19题WinDbg的内存窗口支持通过命令来浏览内存，以下WinDbg读选项中，选项描述读取内存数据并以内存32位双字显示。
A、da
B、du
C、dd
D、dc
正确答案
Base64编码将二进制数据转化成个字符的有限字符集。
A、16
B、32
C、48
D、64
正确答案
第21题原始数据转换成Base64的过程相当标准。它使用位的块。
A、8
B、16
C、24
D、32
正确答案
第22题是指Windows中的一个模块没有被加载到其预定基地址时发生的情况。
A、内存映射
B、基地址重定位
C、断点
D、跟踪
正确答案
第23题WinINetAPI实现了层的协议。
A、网络层
B、数据链路层
C、应用层
D、传输层
正确答案
第24题WinDbg的内存窗口支持通过命令来浏览内存，以下WinDbg读选项中，选项描述读取内存数据并以ASCII文本显示。
A、da
B、du
C、dd
D、dc
正确答案
进程浏览器的功能不包括。
A、比较进程浏览器中的DLL列表与在DependencyWalker工具中显示的导入DLL列表来判断一个DLL是否被加载到进程
B、单击验证按钮，可以验证磁盘上的镜像文件是否具有微软的签名认证
C、比较运行前后两个注册表的快照，发现差异
D、一种快速确定一个文档是否恶意的方法，就是打开进程浏览器，然后打开文档。若文档启动了任意进程，你能进程浏览器中看到，并能通过属性窗口中的镜像来定位恶意代码在磁盘上的位置。
正确答案
第26题以下方法中是识别标准加密算法的方法是。[多选]
A、识别涉及加密算法使用的字符串
B、识别引用导入的加密函数
C、搜索常见加密常量的工具
D、查找高熵值的内容
正确答案BCD
第27题对下面汇编代码的分析正确的是。
A、mov[ebp+var_4]0对应循环变量的初始化步骤
B、addeax1对应循环变量的递增，在循环中其最初会通过一个跳转指令而跳过
C、比较发生在cmp处，循环决策在jge处通过条件跳转指令而做出
D、在循环中，通过一个无条件跳转jmp，使得循环变量每次进行递增。
正确答案BCD
第28题以下是分析加密算法目的的是
A、隐藏配置文件信息。
B、窃取信息之后将它保存到一个临时文件。
C、存储需要使用的字符串，并在使用前对其解密。
D、将恶意代码伪装成一个合法的工具，隐藏恶意代码
正确答案BCD
第29题以下哪些是常用的虚拟机软件
A、VMwarePlayer
B、VMwareStation
C、VMwareFusion
D、VirtualBox
正确答案BCD
后门的功能有
A、操作注册表
B、列举窗口
C、创建目录
D、搜索文件
正确答案BCD
第31题OllyDbg提供了多种机制来帮助分析，包括下面几种。
A、日志
B、监视
C、帮助
D、标注
正确答案BCD
第32题调试器可以用来改变程序的执行方式。可以通过修改方式来改变程序执行的方式。
A、修改控制标志
B、修改指令指针
C、修改程序本身
D、修改文件名
正确答案BC
第33题恶意代码作者如何使用DLL多选
A、保存恶意代码
B、通过使用WindowsDLL
C、控制内存使用DLL
D、通过使用第三方DLL
正确答案BD
第34题恶意代码的存活机制有
A、修改注册表
B、特洛伊二进制文件
C、DLL加载顺序劫持
D、自我消灭
正确答案BC
第35题恶意代码常用注册表()
A、存储配置信息
B、收集系统信息
C、永久安装自己
D、网上注册
正确答案BC
第36题哈希是一种用来唯一标识恶意代码的常用方法。
T、对
F、错
第37题在图形模式中，绿色箭头路径表示这个条件跳转没被采用
T、对
F、错
正确答案F
第38题普通病毒的传染能力主要是针对计算机内的文件系统而言。
T、对
F、错
第39题静态分析基础技术是非常简单，同时也可以非常快速应用的，但它在针对复杂的恶意代码时很大程度上是无效的，而且它可能会错过一些重要的行为。
T、对
F、错
第40题有时，某个标准符号常量不会显示，这时你需要手动加载有关的类型库
T、对
F、错
第41题在完成程序的过程中，通用寄存器它们是完全通用的。
T、对
F、错
正确答案F
第42题下载器通常会与异常处理打包在一起
T、对
F、错
正确答案F
第43题Netcat被称为TCP/IP协议栈瑞士军刀，可以被用在支持端口扫描、隧道、代理、端口转发等的对内对外连接上。在监听模式下，Netcat充当一个服务器，而在连接模式下作为一个客户端。Netcat从标准输入得到数据进行网络传输，而它得到的数据，又可以通过标准输出显示到屏幕上。
T、对
F、错
第44题调试器允许你查看任意内存地址、寄存器的内容以及每个函数的参数
T、对
F、错
第45题蠕虫是利用文件寄生来通过网络传播的恶性病毒。
T、对
F、错
正确答案F
第46题当恶意代码编写者想要将恶意代码伪装成一个合法进程，可以使用一种被称为进程注入的方法，将一个可执行文件重写到一个运行进程的内存空间。
T、对
F、错
正确答案F
第47题重命名地址可以修改自动化命名的绝对地址和栈变量。
T、对
F、错
正确答案F
第48题进程监视器视图每一秒更新一次。默认情况下，服务以粉色高亮显示，进程显示为蓝色，新进程为绿色，被终止进程则为红色。绿色和红色的高亮显示是临时的，当进程被完全启动或终止后颜色就会改变。
T、对
F、错
第49题这种进程替换技术让恶意代码与被替换进程拥有相同的特权级。
T、对
F、错
假设你拥有一个恶意的驱动程序，但没有用户态应用程序安装它，这个时候就可以用如OSRDriverLoader的加载工具来加载它。
T、对
F、错

本内容由易百教育整理并发布