《南开大学22春“信息安全”《计算机病毒分析》作业考核易错、难点汇编⑥(带答案)试卷号:2》由会员分享,可在线阅读,更多相关《南开大学22春“信息安全”《计算机病毒分析》作业考核易错、难点汇编⑥(带答案)试卷号:2(14页珍藏版)》请在装配图网上搜索。
1、书山有路勤为径,学海无涯苦作舟! 住在富人区的她南开大学22春“信息安全”计算机病毒分析作业考核易错、难点汇编(带答案)一.综合考核(共45题)1.调试器可以用来改变程序的执行方式。可以通过修改()方式来改变程序执行的方式。A.修改控制标志B.修改指令指针C.修改程序本身D.修改文件名参考答案:ABC2.D键是定义原始字节为代码。()A.正确B.错误参考答案:B3.IDA Pro都有以下什么功能?()A.识别函数B.标记函数C.划分出局部变量D.划分出参数参考答案:ABCD4.进程浏览器的功能不包括()。A.比较进程浏览器中的DLL列表与在Dependency Walker工具中显示的导入DL
2、L列表来判断一个DLL是否被加载到进程B.单击验证按钮,可以验证磁盘上的镜像文件是否具有微软的签名认证C.比较运行前后两个注册表的快照,发现差异D.一种快速确定一个文档是否恶意的方法,就是打开进程浏览器,然后打开文档。若文档启动了任意进程,你能进程浏览器中看到,并能通过属性窗口中的镜像来定位恶意代码在磁盘上的位置参考答案:C5.对下面汇编代码的分析正确的是()。A.mov ebpvar_4,0对应循环变量的初始化步骤B.add eax,1对应循环变量的递增,在循环中其最初会通过一个跳转指令而跳过C.比较发生在cmp处,循环决策在jge处通过条件跳转指令而做出D.在循环中,通过一个无条件跳转jm
3、p,使得循环变量每次进行递增参考答案:ABCD6.下列对进程浏览器属性栏的描述错误的是()。A.线程标签显示所有活跃的线程B.TCP/IP标签活跃的连接和进程监听的端口C.镜像标签显示磁盘上可执行程序的路径D.字符串标签,通过比较包含在磁盘上可执行文件的字符串与内存中同一个可执行文件的字符串,来看两者是否相同参考答案:D7.APC可以让一个线程在它正常的执行路径运行之前执行一些其他的代码。每一个线程都有一个附加的APC队列,它们在线程处于()时被处理。A.阻塞状态B.计时等待状态C.可警告的等待状态D.被终止状态参考答案:C8.下面说法错误的是()。A.启动器通常在text节存储恶意代码,当启
4、动器运行时,它在运行嵌入的可执行程序或者DLL程序之前,从该节将恶意代码提取出来B.隐藏启动的最流行技术是进程注入。顾名思义,这种技术是将代码注入到另外一个正在运行的进程中,而被注入的进程会不知不觉地运行注入的代码C.DLL注入是进程注入的一种形式,它强迫一个远程进程加载恶意DLL程序,同时它也是最常使用的秘密加载技术D.直接注入比DLL注入更加灵活,但是要想注入的代码在不对宿主进程产生副作用的前提下成功运行,直接注入需要大量的定制代码。这种技术可以被用来注入编译过的代码,但更多的时候,它用来注入shellcode参考答案:A9.后门的功能有()。A.操作注册表B.列举窗口C.创建目录D.搜索
5、文件参考答案:ABCD10.在图形模式中,以下哪种颜色的箭头表示的路径表示一个无条件跳转被采用了?()A.红色B.黄色C.蓝色D.绿色参考答案:C11.Strings程序检测到的一定是真正的字符串。()A.正确B.错误参考答案:B12.以下不是检测SSDT挂钩的方法是()。A.遍历SSDT表B.使用查杀病毒的软件C.查找异常的函数入口地址D.ntoskrnl.exe的地址空间是从804d7000到806cd580参考答案:B13.只要使用了KnownDLL,所有的DLL都会收到保护。()A.正确B.错误参考答案:B14.WinDbg的内存窗口不支持通过命令来浏览内存。()A.正确B.错误参考答
6、案:B15.基于Linux模拟常见网络服务的软件的是()。A.ApateDNSB.NetcatC.INetSimD.Wireshark参考答案:C16.当代码库被链接时,宿主操作系统会在程序被装载时搜索所需的代码库,如果程序调用了被链接的库函数,这个函数会在代码库中执行,这种链接方法是()。A.静态链接B.动态链接C.运行时链接D.转移链接参考答案:B17.所有服务都存在于注册表中,如果一个服务的注册表键被移除,则这个服务依旧能能启动。()A.正确B.错误参考答案:B18.WinDbg不允许覆盖数据结构上的数据。()A.正确B.错误参考答案:B19.加法和减法是从目标操作数中加上或减去()个值
7、。A.0B.1C.2D.3参考答案:B20.Netcat被称为“TCP/IP协议栈瑞士军刀”,可以被用在支持端口扫描、隧道、代理、端口转发等的对内对外连接上。在监听模式下,Netcat充当一个服务器,而在连接模式下作为一个客户端。Netcat从标准输入得到数据进行网络传输,而它得到的数据,又可以通过标准输出显示到屏幕上。()A.正确B.错误参考答案:A21.PE文件中的分节中唯一包含代码的节是()。A.rdataB.textC.dataD.rsrc参考答案:B22.病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组()。A.计算机指令B.程序代
8、码C.文件D.计算机指令或者程序代码参考答案:C23.网络黑客产业链是指黑客们运用技术手段入侵服务器获取站点权限以及各类账户信息并从中谋取()的一条产业链。A.非法经济利益B.经济效益C.效益D.利润参考答案:A24.恶意的应用程序会挂钩一个经常使用的Windows消息。()A.正确B.错误参考答案:B25.对一个监听入站连接的服务应用,顺序是()函数,等待客户端的连接。A.socket、bind、listen和acceptB.socket、bind、accept和listenC.bind、sockect、listen和acceptD.accept、bind、listen和socket参考答案
9、:ABCD26.DLL注入时,启动器恶意代码没有调用一个恶意函数。如前面所述,恶意的代码都位于DllMain函数中,当操作系统将DLL加载到内存时,操作系统会自动调用这些代码。DLL注入启动器的目的用恶意DLL作为参数,调用createRemoteThread创建远程线程LoadLibrary。()A.正确B.错误参考答案:A27.可以按()键定义原始字节为代码。A.C键B.D键C.shift D键D.U键参考答案:A28.在通用寄存器中,()是基址寄存器。A.EAXB.EBXC.ECXD.EDX参考答案:B29.在编译器对源码进行编译完成时,还是可以判断源代码使用的是一个常量符号还是一个数字
10、。()A.正确B.错误参考答案:B30.进程监视器视图每一秒更新一次。默认情况下,服务以粉色高亮显示,进程显示为蓝色,新进程为绿色,被终止进程则为红色。绿色和红色的高亮显示是临时的,当进程被完全启动或终止后颜色就会改变。()A.正确B.错误参考答案:A31.在合法的PE文件中,可以带有可执行文件。()A.正确B.错误参考答案:A32.轰动全球的震网病毒是()。A.木马B.蠕虫病毒C.后门D.寄生型病毒参考答案:B33.WinDbg支持在命令行中使用简单的算数操作符,对内存和寄存器进行直接的操作,如加减乘除。()A.正确B.错误参考答案:A34.Shell是一个命令解释器,它解释()的命令并且把
11、它们送到内核。A.系统输入B.用户输入C.系统和用户输入D.输入参考答案:B35.微软fastcall约定备用的寄存器是()。A.EAXB.ECXC.EDXD.EBX参考答案:BC36.在操作系统中所有的文件都不可以通过名字空间进行访问。()A.正确B.错误参考答案:B37.以下Windows API类型中()是表示一个将会被Windows API调用的函数。A.WORDB.DWORDC.HabdlesD.Callback参考答案:D38.名字窗口,列举哪些内存地址的名字?()A.函数名B.代码的名字C.数据的名字D.字符串参考答案:ABCD39.用户模式下的APC要求线程必须处于()状态。A
12、.阻塞状态B.计时等待状态C.可警告的等待状态D.被终止状态参考答案:C40.以下逻辑运算符中是位移指令的是()。A.OR、ANDB.Shr和shlC.ror和rolD.XOR参考答案:C41.导入表窗口能够列举一个文件的所有导入函数。()A.正确B.错误参考答案:A42.对应a+的汇编代码是()。A.move eax,ebpvar_4B.sub eax,ebpvar_8C.sub eax,1D.add eax,1参考答案:D43.木马与病毒的重大区别是()。A.木马会自我复制B.木马具有隐蔽性C.木马不具感染性D.木马通过网络传播参考答案:C44.以下不是解释型语言的是()。A.JavaB.PerlC.NETD.C参考答案:D45.在WinDbg的搜索符号中,()命令允许你使用通配符来搜索函数或者符号。A.buB.xC.LnD.dt参考答案:B
南开大学22春“信息安全”《计算机病毒分析》作业考核易错、难点汇编⑥(带答案)试卷号:2
