试题 13
[单选题]
以下说法错误的是()。
[单选题]
以下说法错误的是()。
A.OllyDbg可以很容易修改实时数据,如寄存器和标志。它也可以将汇编形式的修补代码直接插入到一个程序
B.OllyDbg可以使用00项或nop指令填充程序
C.键单击高亮的条件跳转指令,然后选择Binary→Fill with NOPs,该操作产生的结果时NOP指令替换了JNZ指令,这个过程会把那个位置上的NOP永久保存在磁盘上,意味着恶意代码以后会接受任意输入的密钥
D.当异常发生时,OllyDbg会暂停运行,然后你可以使用进入异常、跳过异常、运行异常处理 等方法,来决定是否将异常转移到应用程序处理
查看答案
答案
试题 15
[主观题]
进程浏览器的功能不包括()。
[主观题]
进程浏览器的功能不包括()。
进程浏览器的功能不包括()。
A.比较进程浏览器中的DLL列表与在Dependency Walker工具中显示的导入DLL列表来判断一个DLL是否被加载到进程
B.单击验证按钮,可以验证磁盘上的镜像文件是否具有微软的签名认证
C.比较运行前后两个注册表的快照,发现差异
D.一种快速确定一个文档是否恶意的方法,就是打开进程浏览器,然后打开文档。若文档启动了任意进程,你能进程浏览器中看到,并能通过属性窗口中的镜像来定位恶意代码在磁盘上的位置
查看答案
答案
试题 20
[单选题]
以下不是GFI沙箱的缺点的是()。
[单选题]
以下不是GFI沙箱的缺点的是()。
A.沙箱只能简单地运行可执行程序,不能带有命令行选项
B.沙箱环境的操作系统对恶意代码来说可能不正确
C.沙箱不能提供安全的虚拟环境
D.恶意代码如果检测到了虚拟机,将会停止运行,或者表现异常。不是所有的沙箱都能完善地考虑这个问题
查看答案
答案
试题 31
[多选题]
以下哪些是常用的虚拟机软件()。
[多选题]
以下哪些是常用的虚拟机软件()。
A.VMwarePlayer
B.VMwareStation
C.VMwareFusion
D.VirtualBox
查看答案
答案
试题 39
[单选题]
能调试内核的调试器是()。
[单选题]
能调试内核的调试器是()。
A.OllyDbg
B.IDAPro
C.WinDbg
D.ProcessExplorer
查看答案
答案
试题 42
[单选题]
以下不是检测SSDT挂钩的方法是()。
[单选题]
以下不是检测SSDT挂钩的方法是()。
A.遍历SSDT表
B.使用查杀病毒的软件
C.查找异常的函数入口地址
D.ntoskrnl.exe的地址空间是从804d7000到806cd580
查看答案
答案
试题 44
[单选题]
下列是抓包的工具是()。
[单选题]
下列是抓包的工具是()。
A.ApateDNS
B.Netcat
C.INetSim
D.Wireshark
查看答案
答案
试题 48
[单选题]
以下注册表根键中()保存对本地机器全局设置。
[单选题]
以下注册表根键中()保存对本地机器全局设置。
A.HKEY_LOCAL_MACHINE(HKLM)
B.HKEY_CURRENT_USER(HKCU)
C.HKEY_CLASSES_ROOT
D.HKEY_CURRENT_CONFIG
查看答案
答案
试题 50
[多选题]
以下对个各个插件说法正确的是()。
[多选题]
以下对个各个插件说法正确的是()。
A.OllyDump是OllyDbg最常使用的插件,它能够将一个被调试的进程转储成一个PE文件
B.为了防止恶意代码使用反调试技术,恶意代码分析人员通常在分析恶意代码期间,一直运行调试器隐藏插件
C.OllyDbg的命令行插件允许你用命令行来使用OllyDbg
D.OllyDbg默认情况下自带书签插件,书签插件可以将一个内存位置加到书签中,利用书签,下次不需要记住就可以轻松获取那个内存地址
查看答案
答案