21秋学期(1709、1803、1809、1903、1909、2003、2009、2103)《计算机病毒分析》在线作业试卷总分:100得分:100一、单选题(共25道试题,共50分)1.蠕虫病毒的传染目标是()。A.计算机内的文件系统B.计算机内的病毒C.计算机内的木马D.互联网内的所有计算机答案:D2.对应a++的汇编代码是()。A.moveeax,[ebp+var_4]B.subeax,[ebp+var_8]C.subeax,1D.addeax,1答案:D3.以下逻辑运算符中是位移指令的是()A.OR、ANDB.Shr和shlC.ror和rolD.XOR答案:C4.以下那种互联网连接模式允许虚拟机与物理机连接到相同的物理网卡上A.bridgedB.NETC.Host-onlyD.Custom答案:A5.下列说法错误的是()。A.fastcall的前一些参数被传到寄存器中,剩下的参数从右到左被加载到栈上B.不同的编译器会选择使用不同的指令来执行相同的操作C.VS的函数参数在调用前被移动到栈上D.即使是同一个编译器,在调用约定方面也可能存在差别。答案:C6.线程创建需要系统开销,()能够调用一个现有的线程。A.进程注入B.直接注入C.Hook注入D.APC注入答案:D7.下列论述错误的是()。A.数组是相似数据项的有序集合B.结构体和数组相似,但是它们包括不同类型的元素C.使用一个链表,被链接项的访问次序与数据项被保存在内存或磁盘上的次序必须一样D.在汇编代码中,数组是通过使用一个基地址作为起始点来进行访问的。答案:C8.当要判断某个内存地址含义时,应该设置什么类型的断点()A.软件执行断点B.硬件执行断点C.条件断点D.非条件断点答案:B9.当一个库被链接到可执行程序时,所有这个库中的代码都会复制到可执行程序中去,这种链接方法是()。A.静态链接B.动态链接C.运行时链接D.转移链接答案:A10.()是指Windows中的一个模块没有被加载到其预定基地址时发生的情况。A.内存映射B.基地址重定位C.断点D.跟踪答案:B11.PE文件中的分节中包含由可执行文件所使用的资源的是()。A..rdataB..textC..dataD..rsrc答案:D12.下列关于OllyDbg运行恶意代码说法错误的是()。A.OllyDbg有几种调试恶意代码的方法,可以用它直接加载可执行文件,甚至加载DLL程序B.如果恶意代码已经在你的系统上运行,你可以通过附加进程的方式调试它C.另外,OllyDbg是一个灵活的调试系统,可以用命令行选项运行恶意代码,甚至支持执行DLL中某个函数D.可以在在加载恶意代码程序之前给OllyDbg传入命令行参数答案:D13.以下注册表根键中()保存对本地机器全局设置。A.HKEY_LOCAL_MACHINE(HKLM)B.HKEY_CURRENT_USER(HKCU)C.HKEY_CLASSES_ROOTD.HKEY_CURRENT_CONFIG答案:A14.当想要在函数调用使用特定的参数时才发生中断,应该设置什么类型的断点()A.软件执行断点B.硬件执行断点C.条件断点D.非条件断点答案:C15.捕获PoisonIvy为shellcode分配内存的最好方法是()。A.软件断点B.硬件断点C.内存断点D.条件断点答案:D16.一共有()个硬件寄存器存储断点的地址A.1个B.3个C.4个D.7个答案:C17.轰动全球的震网病毒是()。A.木马B.蠕虫病毒C.后门D.寄生型病毒答案:B18.当单击ResourceHacker工具中分析获得的条目时,看不到的是A.字符串B.二进制代码C.图标D.菜单答案:B19.下列说法错误的是()。A.恶意代码经常使用多线程。你可以通过选择View-Threads,调出线程面板窗口,查看一个程序的当前线程B.单击主工具栏中的暂停按钮,可以暂停所有活动的线程C.给定进程中的每个线程有自己的栈,通常情况下,线程的重要数据都保存在栈中。可以使用OllyDbg的内存映射,来查看内存中栈的内容D.由于OllyDbg是多线程的,可能需要你先暂停所有的线程,设置一个断点后,继续运行程序,这样可以确保在一个特定线程模式内调试答案:D20.以下WindowsAPI类型中()是描述一个双字节、32位的无符号数值。A.WORDB.DWORDC.HabdlesD.Callback答案:B21.在以下寄存器中用于定位要执行的下一条指令的寄存器是()。A.通用寄存器B.段寄存器C.状态寄存器D.指令指针答案:D22.在图形模式中,以下哪种颜色的箭头表示的路径表示一个无条件跳转被采用了A.红色B.黄色C.蓝色D.绿色答案:C23.在通用寄存器中,()是基址寄存器。A.EAXB.EBXC.ECXD.EDX答案:B24.GFI沙箱生成报告不包括哪个小节()。A.分析摘要B....
