21春南开大学《计算机病毒分析》在线作业-1参考答案

A．函数窗口

B．结构窗口

C．反汇编窗口

D．二进制窗口

WinDbg的内存窗口不支持通过命令来浏览内存。（)
A.正确
B.错误

A．识别函数

B．标记函数

C．划分出局部变量

D．划分出参数

所有服务都存在于注册表中，如果一个服务的注册表键被移除，则这个服务依旧能能启动。（)
A.正确
B.错误

A．保存恶意代码

B．通过使用WindowsDLL

C．控制内存使用DLL

D．通过使用第三方DLL

A．分析摘要

B．文件活动

C．注册表

D．程序功能

A.木马
B.蠕虫病毒
C.后门
D.寄生型病毒

A．EAX

B．EBX

C．ECX

D．EDX

A．;

B．：

C．shift

D．ctrl

D键是定义原始字节为代码。（)
A.正确
B.错误

A．3个

B．4个

C．5个

D．6个

A．系统输入

B．用户输入

C．系统和用户输入

D．输入

A.OllyDbg可以很容易修改实时数据，如寄存器和标志。它也可以将汇编形式的修补代码直接插入到一个程序
B.OllyDbg可以使用00项或nop指令填充程序
C.键单击高亮的条件跳转指令，然后选择Binary→Fill with NOPs，该操作产生的结果时NOP指令替换了JNZ指令，这个过程会把那个位置上的NOP永久保存在磁盘上，意味着恶意代码以后会接受任意输入的密钥
D.当异常发生时，OllyDbg会暂停运行，然后你可以使用进入异常、跳过异常、运行异常处理 等方法，来决定是否将异常转移到应用程序处理

A．OllyDump

B．调试器隐藏插件

C．命令行

D．书签

进程浏览器的功能不包括（)。
A.比较进程浏览器中的DLL列表与在Dependency Walker工具中显示的导入DLL列表来判断一个DLL是否被加载到进程
B.单击验证按钮，可以验证磁盘上的镜像文件是否具有微软的签名认证
C.比较运行前后两个注册表的快照，发现差异
D.一种快速确定一个文档是否恶意的方法，就是打开进程浏览器，然后打开文档。若文档启动了任意进程，你能进程浏览器中看到，并能通过属性窗口中的镜像来定位恶意代码在磁盘上的位置

A．函数名

B．代码的名字

C．数据的名字

D．字符串

A．标准回溯跟踪

B．堆栈调用跟踪

C．运行跟踪

D．边缘跟踪

A．静态链接

B．动态链接

C．运行时链接

D．转移链接

A．EAX

B．ECX

C．EDX

D．EBX

A．沙箱只能简单地运行可执行程序，不能带有命令行选项

B．沙箱环境的操作系统对恶意代码来说可能不正确

C．沙箱不能提供安全的虚拟环境

D．恶意代码如果检测到了虚拟机，将会停止运行，或者表现异常。不是所有的沙箱都能完善地考虑这个问题

A．操作注册表

B．列举窗口

C．创建目录

D．搜索文件

只要使用了KnownDLL，所有的DLL都会收到保护。（)
A.正确
B.错误

导入表窗口能够列举一个文件的所有导入函数。（)
A.正确
B.错误

以下逻辑运算符中是位移指令的是（)。
A、OR、AND
B、Shr和shl
C、ror和rol
D、XOR

A．HTTP

B．FTP

C．IRC

D．DNS

可以在用户模式下无限制地设置软件断点。（)
A.正确
B.错误

微软Visual Studio和GNU编译集合（GCC)。前者，adder函数和printf的函数在调用前被压到栈上。而后者，参数在调用之前被移动到栈上。（)
A.正确
B.错误

异常是恶意代码、恶意代码分析或者调试所独有的。（)
A.正确
B.错误

WinDbg支持在命令行中使用简单的算数操作符，对内存和寄存器进行直接的操作，如加减乘除。（)
A.正确
B.错误

EIP指令指针的唯一作用就是告诉处理器接下来干什么。（)
A.正确
B.错误

A．VMwarePlayer

B．VMwareStation

C．VMwareFusion

D．VirtualBox

A．0

B．1

C．2

D．3

检测加密的基本方法是使用可以搜索常见加密常量的工具，我们可以使用IDA Pro的FindCrypt2和Krypto ANALyzer插件。（)
A.正确
B.错误

A．netcat反向shell

B．windows反向shell

C．远程控制工具

D．僵尸网络

Base64编码将二进制数据转化成（)个字符的有限字符集。
A、16
B、32
C、48
D、64

A．软件执行断点

B．硬件执行断点

C．条件断点

D．非条件断点

A．网络层

B．数据链路层

C．应用层

D．传输层

调试器允许你查看任意内存地址、寄存器的内容以及每个函数的参数。（)
A.正确
B.错误

A．OllyDbg

B．IDAPro

C．WinDbg

D．ProcessExplorer

A．进程注入

B．DLL注入

C．钩子注入

D．直接注入

A.1
B.2
C.3
D.4

A．遍历SSDT表

B．使用查杀病毒的软件

C．查找异常的函数入口地址

D．ntoskrnl.exe的地址空间是从804d7000到806cd580

恶意的应用程序会挂钩一个经常使用的Windows消息。（)
A.正确
B.错误

A．ApateDNS

B．Netcat

C．INetSim

D．Wireshark

恶意代码与驱动通信最常使用的请求是DeviceIoControl。（)
A.正确
B.错误

A．进程注入

B．直接注入

C．Hook注入

D．APC注入

与导入函数类似，DLL和EXE的导出函数，是用来与其他程序和代码进行交互时所使用的。（)
A.正确
B.错误

A．HKEY_LOCAL_MACHINE(HKLM)

B．HKEY_CURRENT_USER(HKCU)

C．HKEY_CLASSES_ROOT

D．HKEY_CURRENT_CONFIG

当想要在函数调用使用特定的参数时才发生中断，应该设置什么类型的断点（)。
A、软件执行断点
B、硬件执行断点
C、条件断点
D、非条件断点

A．OllyDump是OllyDbg最常使用的插件，它能够将一个被调试的进程转储成一个PE文件

B．为了防止恶意代码使用反调试技术，恶意代码分析人员通常在分析恶意代码期间，一直运行调试器隐藏插件

C．OllyDbg的命令行插件允许你用命令行来使用OllyDbg

D．OllyDbg默认情况下自带书签插件，书签插件可以将一个内存位置加到书签中，利用书签，下次不需要记住就可以轻松获取那个内存地址