需要答案请加QQ：3230981406 微信：aopopenfd777

可做奥鹏全部院校在线作业、离线作业、毕业论文

21秋学期（1709、1803、1809、1903、1909、2003、2009、2103）《计算机病毒分析》在线作业

试卷总分:100  得分:100

一、单选题 (共 25 道试题,共 50 分)

1.蠕虫病毒的传染目标是（）。

A.计算机内的文件系统

B.计算机内的病毒

C.计算机内的木马

D.互联网内的所有计算机

答案:D

2.对应a++的汇编代码是（）。

A.move eax,[ebp+var_4]

B.sub eax,[ebp+var_8]

C.sub eax,1

D.add eax,1

答案:D

3.以下逻辑运算符中是位移指令的是（）

A.OR、AND

B.Shr和shl

C.ror和rol

D.XOR

答案:C

4.以下那种互联网连接模式允许虚拟机与物理机连接到相同的物理网卡上

A.bridged

B.NET

C.Host-only

D.Custom

答案:A

5.下列说法错误的是（）。

A.fastcall的前一些参数被传到寄存器中，剩下的参数从右到左被加载到栈上

B.不同的编译器会选择使用不同的指令来执行相同的操作

C.VS的函数参数在调用前被移动到栈上

D.即使是同一个编译器，在调用约定方面也可能存在差别。

答案:C

6.线程创建需要系统开销，（）能够调用一个现有的线程。

A.进程注入

B.直接注入

C.Hook注入

D.APC注入

7.下列论述错误的是（）。

A.数组是相似数据项的有序集合

B.结构体和数组相似，但是它们包括不同类型的元素

C.使用一个链表，被链接项的访问次序与数据项被保存在内存或磁盘上的次序必须一样

D.在汇编代码中，数组是通过使用一个基地址作为起始点来进行访问的。

8.当要判断某个内存地址含义时，应该设置什么类型的断点（）

A.软件执行断点

B.硬件执行断点

C.条件断点

D.非条件断点

9.当一个库被链接到可执行程序时，所有这个库中的代码都会复制到可执行程序中去，这种链接方法是（）。

A.静态链接

B.动态链接

C.运行时链接

D.转移链接

10.（）是指Windows中的一个模块没有被加载到其预定基地址时发生的情况。

A.内存映射

B.基地址重定位

C.断点

D.跟踪

11.PE文件中的分节中包含由可执行文件所使用的资源的是（）。

A..rdata

B..text

C..data

D..rsrc

12.下列关于OllyDbg运行恶意代码说法错误的是（）。

A.OllyDbg有几种调试恶意代码的方法，可以用它直接加载可执行文件，甚至加载DLL程序

B.如果恶意代码已经在你的系统上运行，你可以通过附加进程的方式调试它

C.另外，OllyDbg是一个灵活的调试系统，可以用命令行选项运行恶意代码，甚至支持执行DLL中某个函数

D.可以在在加载恶意代码程序之前给OllyDbg传入命令行参数

13.以下注册表根键中（）保存对本地机器全局设置。

A.HKEY_LOCAL_MACHINE(HKLM)

B.HKEY_CURRENT_USER(HKCU)

C.HKEY_CLASSES_ROOT

D.HKEY_CURRENT_CONFIG

14.当想要在函数调用使用特定的参数时才发生中断，应该设置什么类型的断点（）

A.软件执行断点

B.硬件执行断点

C.条件断点

D.非条件断点

15.捕获Poison Ivy为shellcode分配内存的最好方法是（）。

A.软件断点

B.硬件断点

C.内存断点

D.条件断点

16.一共有（）个硬件寄存器存储断点的地址

A.1个

B.3个

C.4个

D.7个

17.轰动全球的震网病毒是（）。

A.木马

B.蠕虫病毒

C.后门

D.寄生型病毒

18.当单击Resource Hacker工具中分析获得的条目时，看不到的是

A.字符串

B.二进制代码

C.图标

D.菜单

19.下列说法错误的是（）。

A.恶意代码经常使用多线程。你可以通过选择View-Threads,调出线程面板窗口，查看一个程序的当前线程

B.单击主工具栏中的暂停按钮，可以暂停所有活动的线程

C.给定进程中的每个线程有自己的栈，通常情况下，线程的重要数据都保存在栈中。可以使用OllyDbg的内存映射，来查看内存中栈的内容

D.由于OllyDbg是多线程的，可能需要你先暂停所有的线程，设置一个断点后，继续运行程序，这样可以确保在一个特定线程模式内调试

20.以下Windows API类型中（）是描述一个双字节、32位的无符号数值。

A.WORD

B.DWORD

C.Habdles

D.Callback

21.在以下寄存器中用于定位要执行的下一条指令的寄存器是（）。

A.通用寄存器

B.段寄存器

C.状态寄存器

D.指令指针

22.在图形模式中，以下哪种颜色的箭头表示的路径表示一个无条件跳转被采用了

A.红色

B.黄色

C.蓝色

D.绿色

23.在通用寄存器中，（）是基址寄存器。

A.EAX

B.EBX

C.ECX

D.EDX

24.GFI沙箱生成报告不包括哪个小节（）。

A.分析摘要

B.文件活动

C.注册表

D.程序功能

25.下列属于静态高级分析技术的描述是（）。

A.检查可执行文件但不查看具体指令的一些技术分析的目标

B.涉及运行恶意代码并观察系统上的行为，以移除感染，产生有效的检测特征码，或者两者

C.主要是对恶意代码内部机制的逆向工程，通过将可执行文件装载到反汇编器中，查看程序指令，来发现恶意代码到底做了什么

D.使用调试器来检查一个恶意可执行程序运行时刻的内部状态

二、多选题 (共 10 道试题,共 20 分)

26.恶意代码的存活机制有（）

A.修改注册表

B.特洛伊二进制文件

C.DLL加载顺序劫持

D.自我消灭

27.名字窗口，列举哪些内存地址的名字

A.函数名

B.代码的名字

C.数据的名字

D.字符串

28.后门的功能有

A.操作注册表

B.列举窗口

C.创建目录

D.搜索文件

29.IDA Pro 都有以下什么功能（）。

A.识别函数

B.标记函数

C.划分出局部变量

D.划分出参数

30.对下面汇编代码的分析正确的是（）。

A.mov [ebp+var_4],0对应循环变量的初始化步骤

B.add eax,1对应循环变量的递增，在循环中其最初会通过一个跳转指令而跳过

C.比较发生在cmp处，循环决策在jge处通过条件跳转指令而做出

D.在循环中，通过一个无条件跳转jmp，使得循环变量每次进行递增。

31.运行计算机病毒，监控病毒的行为，需要一个安全、可控的运行环境的原因是什么

A.恶意代码具有传染性

B.可以进行隔离

C.恶意代码难以清除

D.环境容易搭建

32.进程监视器提供默认下面四种过滤功能是（）。

A.注册表

B.文件系统

C.进程行为

D.网络

33.微软fastcall约定备用的寄存器是（）。

A.EAX

B.ECX

C.EDX

D.EBX

34.OllyDbg提供了多种机制来帮助分析，包括下面几种（）。

A.日志

B.监视

C.帮助

D.标注

35.对一个监听入站连接的服务应用，顺序是（）函数，等待客户端的连接。

A.socket、bind、listen和accept

B.socket、bind、accept和listen

C.bind、sockect、listen和accept

D.accept、bind、listen和socket

三、判断题 (共 15 道试题,共 30 分)

36.程序运行过程中,虽然寄存器的值和内存的地址是不断变化的,但是依旧可以在运行时访问寄存器的值和内存地址

37.加壳的目的是使计算机病毒更难被检测和分析

38.进程监视器的过滤功能开启时，不会记录过滤的事件，因此能阻止监视器消耗过多的内存。

39.暴力破解目的是尝试使用几个不同的XOR密钥破解，直到碰到你识别的输出为止。

40.Strings程序检测到的一定是真正的字符串。

41.在小端字节序中，127.0.0.1 表示为0x7F 00 00 01。

42.在stdcall中，前一些参数（典型的是前两个）被传到寄存器中，备用的寄存器是EDX和ECX。如果需要的话，剩下的参数再以从右到左的次序被加载到栈上。

43.PE文件格式在头部存储了很多有趣的信息。我们可以使用PEview工具来浏览这些信息。

44.2.DLL只有一个单一的标志，除了那个标志之外，一个DLL和一个.exe之间没有实质的区别。

45.WinDbg的内存窗口不支持通过命令来浏览内存。

46.反向 shell或者作为一个单独的恶意代码存在,或者作为一个复杂后门程序中的组件而存在。

47.对于简单的加密和编码方法，不可以使用编程语言提供的标准函数。

48.可以在用户模式下无限制地设置软件断点。

49.蠕虫或计算机病毒是可以自我复制和感染其他计算机的恶意代码。

50.在进程中加载的DLL的位置和在IDA Pro中的地址不同，这可能是及地址重定向的结果