21春南开大学《计算机病毒分析》在线作业-2参考答案

A．修改控制标志

B．修改指令指针

C．修改程序本身

D．修改文件名

A．机器指令

B．微指令

C．汇编语言

D．机器码

A．OllyDump是OllyDbg最常使用的插件，它能够将一个被调试的进程转储成一个PE文件

B．为了防止恶意代码使用反调试技术，恶意代码分析人员通常在分析恶意代码期间，一直运行调试器隐藏插件

C．OllyDbg的命令行插件允许你用命令行来使用OllyDbg

D．OllyDbg默认情况下自带书签插件，书签插件可以将一个内存位置加到书签中，利用书签，下次不需要记住就可以轻松获取那个内存地址

A．EAX

B．ECX

C．EDX

D．EBX

A．C键

B．D键

C．shiftD键

D．U键

A．函数名

B．代码的名字

C．数据的名字

D．字符串

A．软件执行断点

B．硬件执行断点

C．条件断点

D．非条件断点

A．53

B．69

C．161

D．80

A．计算机指令

B．程序代码

C．文件

D．计算机指令或者程序代码

A．进程注入

B．DLL注入

C．钩子注入

D．直接注入

A．遍历SSDT表

B．使用查杀病毒的软件

C．查找异常的函数入口地址

D．ntoskrnl.exe的地址空间是从804d7000到806cd580

A．通用寄存器

B．段寄存器

C．状态寄存器

D．指令指针

A．bridged

B．NET

C．Host-only

D．Custom

A．阻塞状态

B．计时等待状态

C．可警告的等待状态

D．被终止状态

A．Java

B．Perl

C．NET

D．C

A．存储配置信息

B．收集系统信息

C．永久安装自己

D．网上注册

A．bu

B．x

C．Ln

D．dt

A．.rdata

B．.text

C．.data

D．.rsrc

A．1个

B．3个

C．4个

D．7个

A．木马会自我复制

B．木马具有隐蔽性

C．木马不具感染性

D．木马通过网络传播

A．cdecl

B．stdcall

C．fastcall

D．压栈与移动

A．mov[ebp+var_4],0对应循环变量的初始化步骤

B．addeax,1对应循环变量的递增，在循环中其最初会通过一个跳转指令而跳过

C．比较发生在cmp处，循环决策在jge处通过条件跳转指令而做出

D．在循环中，通过一个无条件跳转jmp，使得循环变量每次进行递增。

A．软件执行断点

B．硬件执行断点

C．条件断点

D．非条件断点

A．登录

B．注销

C．关机

D．锁屏

A．每条代码之前添加软件断点

B．每条代码之前添加硬件断点

C．标志寄存器中的陷阱标志(trapflag)

D．标志寄存器中的zf标志位

A．标准回溯跟踪

B．堆栈调用跟踪

C．运行跟踪

D．边缘跟踪

A．socket、bind、listen和accept

B．socket、bind、accept和listen

C．bind、sockect、listen和accept

D．accept、bind、listen和socket

A．查看堆栈中混淆数据内容的唯一方法时：待字符串解码函数执行完成后，查看字符串的内容，在字符串解码函数的结束位置设置软件断点

B．条件断点是软件断点中的一种，只有某些条件得到满足时这个断点才能中断执行程序

C．硬件断点非常强大，它可以在不改变你的代码、堆栈以及任何目标资源的前提下进行调试

D．OllyDbg只允许你一次设置一个内存断点，如果你设置了一个新的内存断点，那么之前设置的内存断点就会被移除

A．DLL注入

B．直接注入

C．APC注入

D．钩子注入

A．Detours库

B．DLL运行库

C．MFC

D．vc运行库

A．ApateDNS

B．Netcat

C．INetSim

D．Wireshark

A．恶意代码将自身安装到一台计算机来允许攻击者访问

B．这是一类只是用来下载其他恶意代码的恶意代码

C．用来启动其他恶意程序的恶意代码

D．设计用来隐藏其他恶意代码的恶意代码网络造成破坏的软件