22春学期(高起本1709、全层次1803-2103)《计算机病毒分析》在线作业答卷
22春学期(高起本1709-1803、全层次1809-2103)《计算机病毒剖析》在线作业-00003
试卷总分:100得分:100
一、单选题 (共 25 道试题,共 50 分)
1.病毒是指编制或许在计算机程序中刺进的损坏计算机功用或许损坏数据,影响计算机运用而且可以自我仿制的一组()。
A.计算机指令
B.程序代码
C.文件
D.计算机指令或许程序代码
答案:
2.病毒、()和木马是可致使计算机和计算机上的信息损坏的歹意程序。
A.程序
B.蠕虫
C.代码
D.数据
答案:
3.堆是程序运转时动态分配的内存,用户一般经过()、new等函数请求内存。
A.scanf
B.printf
C.malloc
D.free
答案:
4.能调试内核的调试器是()
A.OllyDbg
B.IDA Pro
C.WinDbg
D.Process Explorer
答案:
5.函数调用约好中,参数是从右到左按序被压入栈,当函数完结时由被调用函数整理栈,而且将回来值保留在EAX中的是()。
A.cdecl
B.stdcall
C.fastcall
D.压栈与移动
答案:
6.PE文件中的分节中仅有包括代码的节是()。
A..rdata
B..text
C..data
D..rsrc
答案:
7.计算机体系结构中,()层是由十六进制方式的操作码构成,用于通知处理器你想它干啥。
A.微指令
B.机器码
C.初级语言
D.高级语言
答案:
8.根据Linux模仿常见网络效劳的软件的是()。
A.ApateDNS
B.Netcat
C.INetSim
D.Wireshark
答案:
9.颤动全球的震网病毒是()。
A.木马
B.蠕虫病毒
C.后门
D.寄生型病毒
答案:
10.Shell是一个指令解说器,它解说()的指令而且把它们送到内核。
A.系统输入
B.用户输入
C.系统和用户输入
D.输入
答案:
11.在WinDbg的查找符号中, ()指令答应你运用通配符来查找函数或许符号。
A.bu
B.x
C.Ln
D.dt
答案:
12.木马与病毒的严重差异是()。
A.木马会自我仿制
B.木马具有荫蔽性
C.木马不具感染性
D.木马经过网络传达
答案:
13.以下哪个选项归于木马()。
A.震网病毒
B.WannaCry
C.灰鸽子
D.熊猫烧香
答案:
14.用户形式下的APC要求线程有必要处于()状况。
A.堵塞状况
B.计时等候状况
C.可正告的等候状况
D.被停止状况
答案:
15.OllyDbg最多一起设置()个内存断点。
A.1个
B.2个
C.3个
D.4个
答案:
16.而0x52000000对应0x52这个值运用的是()字节序。
A.小端
B.大端
C.终端
D.前端
答案:
17.以下说法错误的是()。
A.OllyDbg能够很简单修正实时数据,如存放器和象征。它也能够将汇编方式的修补代码直接刺进到一个程序
B.OllyDbg能够运用00项或nop指令填充程序
C.键单击高亮的条件跳转指令,然后挑选Binary→Fill with NOPs,该操作发生的成果时NOP指令更换了JNZ指令,这个过程会把那个方位上的NOP持久保留在磁盘上,意味着歹意代码今后会承受恣意输入的密钥
D.当反常发作时,OllyDbg会暂停运转,然后你能够运用进入反常、越过反常、运转反常处理 等方法,来决议是不是将反常搬运到应用程序处理
答案:
18.反病毒软件首要是依托()来剖析辨认可疑文件。
A.文件名
B.病毒文件特征库
C.文件类型
D.病毒文件品种
答案:
19.WinDbg的内存窗口撑持经过指令来阅读内存,以下WinDbg读选项中,()选项描绘读取内存数据并以内存32位双字显现。
A.da
B.du
C.dd
D.dc
答案:
20.Base64编码将二进制数据转化成()个字符的有限字符集。
A.16
B.32
C.48
D.64
答案:
21.初始数据变换成Base64的过程适当规范。它运用()位的块。
A.8
B.16
C.24
D.32
答案:
22.()是指Windows中的一个模块没有被加载到其预订基地址时发作的状况。
A.内存映射
B.基地址重定位
C.断点
D.盯梢
答案:
23.WinINet API完成了()层的协议。
A.网络层
B.数据链路层
C.应用层
D.传输层
答案:
24.WinDbg的内存窗口撑持经过指令来阅读内存,以下WinDbg读选项中,()选项描绘读取内存数据并以ASCII文本显现。
A.da
B.du
C.dd
D.dc
答案:
25.进程阅读器的功用不包含()。
A.对比进程阅读器中的DLL列表与在Dependency Walker东西中显现的导入DLL列表来判别一个DLL是不是被加载到进程
B.单击验证按钮,能够验证磁盘上的镜像文件是不是具有微软的签名认证
C.对比运转前后两个注册表的快照,发现区别
D.一种疾速断定一个文档是不是歹意的方法,即是翻开进程阅读器,然后翻开文档。若文档发动了恣意进程,你能进程阅读器中看到,并能经过特点窗口中的镜像来定位歹意代码在磁盘上的方位。
答案:
二、多选题 (共 10 道试题,共 20 分)
26.以下方法中是辨认规范加密算法的方法是()。[多选]
A.辨认触及加密算法运用的字符串
B.辨认引证导入的加密函数
C.查找常见加密常量的东西
D.查找高熵值的内容
答案:BCD
27.对下面汇编代码的剖析正确的是()。
A.mov [ebp+var_4],0对应循环变量的初始化过程
B.add eax,1对应循环变量的递加,在循环中其开始会经过一个跳转指令而越过
C.对比发作在cmp处,循环决议计划在jge处经过条件跳转指令而做出
D.在循环中,经过一个无条件跳转jmp,使得循环变量每次进行递加。
答案:BCD
28.以下是剖析加密算法意图的是
A.躲藏装备文件信息。
B.盗取信息之后将它保留到一个暂时文件。
C.存储需求运用的字符串,并在运用前对其解密。
D.将歹意代码假装成一个合法的东西,躲藏歹意代码
答案:BCD
29.以下哪些是常用的虚拟机软件
A.VMware Player
B.VMware Station
C.VMware Fusion
D.VirtualBox
答案:BCD
30.后门的功用有
A.操作注册表
B.罗列窗口
C.创立目录
D.查找文件
答案:BCD
31.OllyDbg供给了多种机制来协助剖析,包含下面几种()。
A.日志
B.监督
C.协助
D.标示
答案:BCD
32.调试器能够用来改动程序的履行方法。能够经过修正()方法来改动程序履行的方法。
A.修正操控象征
B.修正指令指针
C.修正程序自身
D.修正文件名
答案:BC
33.歹意代码作者怎么运用DLL()多选
A.保留歹意代码
B.经过运用Windows DLL
C.操控内存运用DLL
D.经过运用第三方DLL
答案:BD
34.歹意代码的存活机制有()
A.修正注册表
B.特洛伊二进制文件
C.DLL加载次序绑架
D.自我消除
答案:BC
35.歹意代码常用注册表()
A.存储装备信息
B.搜集系统信息
C.持久装置自己
D.网上注册
答案:BC
三、答案来历:熊猫奥鹏(www.188open.com) (共 15 道试题,共 30 分)
36.哈希是一种用来仅有标识歹意代码的常用方法。
答案:正确
37.在图形形式中,绿色箭头途径表明这个条件跳转没被选用
答案:错误
38.普通病毒的传染才能首要是对于计算机内的文件系统而言。
答案:正确
39.静态剖析基础技术对错常简略,一起也能够十分疾速应用的,但它在对于杂乱的歹意代码时很大程度上是无效的,并且它能够会错失一些重要的行动。
答案:正确
40.有时,某个规范符号常量不会显现,这时你需求手动加载有关的类型库
答案:正确
41.在完结程序的过程中,通用存放器它们是彻底通用的。
答案:错误
42.下载器一般会与反常处理打包在一同
答案:错误
43.Netcat被称为"TCP/IP协议栈瑞士军刀",能够被用在撑持端口扫描、地道、署理、端口转发等的对内对外衔接上。在监听形式下,Netcat充任一个效劳器,而在衔接形式下作为一个客户端。Netcat从规范输入得到数据进行网络传输,而它得到的数据,又能够经过规范输出显现到屏幕上。
答案:正确
44.调试器答应你检查恣意内存地址、存放器的内容以及每个函数的参数
答案:正确
45.蠕虫是使用文件寄生来经过网络传达的恶性病毒。
答案:错误
46.当歹意代码编写者想要将歹意代码假装成一个合法进程,能够运用一种被称为进程写入的方法,将一个可履行文件重写到一个运转进程的内存空间。
答案:错误
47.重命名地址能够修正自动化命名的肯定地址和栈变量。
答案:错误
48.进程监督器视图每一秒更新一次。默许状况下,效劳以粉色高亮显现,进程显现为蓝色,新进程为绿色,被停止进程则为赤色。绿色和赤色的高亮显现是暂时的,当进程被彻底发动或停止后色彩就会改动。
答案:正确
49.这种进程更换技术让歹意代码与被更换进程具有一样的特权级。
答案:正确
50.假定你具有一个歹意的驱动程序,但没有用户态应用程序装置它,这个时分就能够用如OSR Driver Loader的加载东西来加载它。
答案:正确
试卷总分:100得分:100
一、单选题 (共 25 道试题,共 50 分)
1.病毒是指编制或许在计算机程序中刺进的损坏计算机功用或许损坏数据,影响计算机运用而且可以自我仿制的一组()。
A.计算机指令
B.程序代码
C.文件
D.计算机指令或许程序代码
答案:
2.病毒、()和木马是可致使计算机和计算机上的信息损坏的歹意程序。
A.程序
B.蠕虫
C.代码
D.数据
答案:
3.堆是程序运转时动态分配的内存,用户一般经过()、new等函数请求内存。
A.scanf
B.printf
C.malloc
D.free
答案:
4.能调试内核的调试器是()
A.OllyDbg
B.IDA Pro
C.WinDbg
D.Process Explorer
答案:
5.函数调用约好中,参数是从右到左按序被压入栈,当函数完结时由被调用函数整理栈,而且将回来值保留在EAX中的是()。
A.cdecl
B.stdcall
C.fastcall
D.压栈与移动
答案:
6.PE文件中的分节中仅有包括代码的节是()。
A..rdata
B..text
C..data
D..rsrc
答案:
7.计算机体系结构中,()层是由十六进制方式的操作码构成,用于通知处理器你想它干啥。
A.微指令
B.机器码
C.初级语言
D.高级语言
答案:
8.根据Linux模仿常见网络效劳的软件的是()。
A.ApateDNS
B.Netcat
C.INetSim
D.Wireshark
答案:
9.颤动全球的震网病毒是()。
A.木马
B.蠕虫病毒
C.后门
D.寄生型病毒
答案:
10.Shell是一个指令解说器,它解说()的指令而且把它们送到内核。
A.系统输入
B.用户输入
C.系统和用户输入
D.输入
答案:
11.在WinDbg的查找符号中, ()指令答应你运用通配符来查找函数或许符号。
A.bu
B.x
C.Ln
D.dt
答案:
12.木马与病毒的严重差异是()。
A.木马会自我仿制
B.木马具有荫蔽性
C.木马不具感染性
D.木马经过网络传达
答案:
13.以下哪个选项归于木马()。
A.震网病毒
B.WannaCry
C.灰鸽子
D.熊猫烧香
答案:
14.用户形式下的APC要求线程有必要处于()状况。
A.堵塞状况
B.计时等候状况
C.可正告的等候状况
D.被停止状况
答案:
15.OllyDbg最多一起设置()个内存断点。
A.1个
B.2个
C.3个
D.4个
答案:
16.而0x52000000对应0x52这个值运用的是()字节序。
A.小端
B.大端
C.终端
D.前端
答案:
17.以下说法错误的是()。
A.OllyDbg能够很简单修正实时数据,如存放器和象征。它也能够将汇编方式的修补代码直接刺进到一个程序
B.OllyDbg能够运用00项或nop指令填充程序
C.键单击高亮的条件跳转指令,然后挑选Binary→Fill with NOPs,该操作发生的成果时NOP指令更换了JNZ指令,这个过程会把那个方位上的NOP持久保留在磁盘上,意味着歹意代码今后会承受恣意输入的密钥
D.当反常发作时,OllyDbg会暂停运转,然后你能够运用进入反常、越过反常、运转反常处理 等方法,来决议是不是将反常搬运到应用程序处理
答案:
18.反病毒软件首要是依托()来剖析辨认可疑文件。
A.文件名
B.病毒文件特征库
C.文件类型
D.病毒文件品种
答案:
19.WinDbg的内存窗口撑持经过指令来阅读内存,以下WinDbg读选项中,()选项描绘读取内存数据并以内存32位双字显现。
A.da
B.du
C.dd
D.dc
答案:
20.Base64编码将二进制数据转化成()个字符的有限字符集。
A.16
B.32
C.48
D.64
答案:
21.初始数据变换成Base64的过程适当规范。它运用()位的块。
A.8
B.16
C.24
D.32
答案:
22.()是指Windows中的一个模块没有被加载到其预订基地址时发作的状况。
A.内存映射
B.基地址重定位
C.断点
D.盯梢
答案:
23.WinINet API完成了()层的协议。
A.网络层
B.数据链路层
C.应用层
D.传输层
答案:
24.WinDbg的内存窗口撑持经过指令来阅读内存,以下WinDbg读选项中,()选项描绘读取内存数据并以ASCII文本显现。
A.da
B.du
C.dd
D.dc
答案:
25.进程阅读器的功用不包含()。
A.对比进程阅读器中的DLL列表与在Dependency Walker东西中显现的导入DLL列表来判别一个DLL是不是被加载到进程
B.单击验证按钮,能够验证磁盘上的镜像文件是不是具有微软的签名认证
C.对比运转前后两个注册表的快照,发现区别
D.一种疾速断定一个文档是不是歹意的方法,即是翻开进程阅读器,然后翻开文档。若文档发动了恣意进程,你能进程阅读器中看到,并能经过特点窗口中的镜像来定位歹意代码在磁盘上的方位。
答案:
二、多选题 (共 10 道试题,共 20 分)
26.以下方法中是辨认规范加密算法的方法是()。[多选]
A.辨认触及加密算法运用的字符串
B.辨认引证导入的加密函数
C.查找常见加密常量的东西
D.查找高熵值的内容
答案:BCD
27.对下面汇编代码的剖析正确的是()。
A.mov [ebp+var_4],0对应循环变量的初始化过程
B.add eax,1对应循环变量的递加,在循环中其开始会经过一个跳转指令而越过
C.对比发作在cmp处,循环决议计划在jge处经过条件跳转指令而做出
D.在循环中,经过一个无条件跳转jmp,使得循环变量每次进行递加。
答案:BCD
28.以下是剖析加密算法意图的是
A.躲藏装备文件信息。
B.盗取信息之后将它保留到一个暂时文件。
C.存储需求运用的字符串,并在运用前对其解密。
D.将歹意代码假装成一个合法的东西,躲藏歹意代码
答案:BCD
29.以下哪些是常用的虚拟机软件
A.VMware Player
B.VMware Station
C.VMware Fusion
D.VirtualBox
答案:BCD
30.后门的功用有
A.操作注册表
B.罗列窗口
C.创立目录
D.查找文件
答案:BCD
31.OllyDbg供给了多种机制来协助剖析,包含下面几种()。
A.日志
B.监督
C.协助
D.标示
答案:BCD
32.调试器能够用来改动程序的履行方法。能够经过修正()方法来改动程序履行的方法。
A.修正操控象征
B.修正指令指针
C.修正程序自身
D.修正文件名
答案:BC
33.歹意代码作者怎么运用DLL()多选
A.保留歹意代码
B.经过运用Windows DLL
C.操控内存运用DLL
D.经过运用第三方DLL
答案:BD
34.歹意代码的存活机制有()
A.修正注册表
B.特洛伊二进制文件
C.DLL加载次序绑架
D.自我消除
答案:BC
35.歹意代码常用注册表()
A.存储装备信息
B.搜集系统信息
C.持久装置自己
D.网上注册
答案:BC
三、答案来历:熊猫奥鹏(www.188open.com) (共 15 道试题,共 30 分)
36.哈希是一种用来仅有标识歹意代码的常用方法。
答案:正确
37.在图形形式中,绿色箭头途径表明这个条件跳转没被选用
答案:错误
38.普通病毒的传染才能首要是对于计算机内的文件系统而言。
答案:正确
39.静态剖析基础技术对错常简略,一起也能够十分疾速应用的,但它在对于杂乱的歹意代码时很大程度上是无效的,并且它能够会错失一些重要的行动。
答案:正确
40.有时,某个规范符号常量不会显现,这时你需求手动加载有关的类型库
答案:正确
41.在完结程序的过程中,通用存放器它们是彻底通用的。
答案:错误
42.下载器一般会与反常处理打包在一同
答案:错误
43.Netcat被称为"TCP/IP协议栈瑞士军刀",能够被用在撑持端口扫描、地道、署理、端口转发等的对内对外衔接上。在监听形式下,Netcat充任一个效劳器,而在衔接形式下作为一个客户端。Netcat从规范输入得到数据进行网络传输,而它得到的数据,又能够经过规范输出显现到屏幕上。
答案:正确
44.调试器答应你检查恣意内存地址、存放器的内容以及每个函数的参数
答案:正确
45.蠕虫是使用文件寄生来经过网络传达的恶性病毒。
答案:错误
46.当歹意代码编写者想要将歹意代码假装成一个合法进程,能够运用一种被称为进程写入的方法,将一个可履行文件重写到一个运转进程的内存空间。
答案:错误
47.重命名地址能够修正自动化命名的肯定地址和栈变量。
答案:错误
48.进程监督器视图每一秒更新一次。默许状况下,效劳以粉色高亮显现,进程显现为蓝色,新进程为绿色,被停止进程则为赤色。绿色和赤色的高亮显现是暂时的,当进程被彻底发动或停止后色彩就会改动。
答案:正确
49.这种进程更换技术让歹意代码与被更换进程具有一样的特权级。
答案:正确
50.假定你具有一个歹意的驱动程序,但没有用户态应用程序装置它,这个时分就能够用如OSR Driver Loader的加载东西来加载它。
答案:正确
