1、[单选题] 下面说法错误的是()。摘要:1、[单选题] 下面说法错误的是()。A、启动器通常在text节存储恶意代码,当启动器运行时,它在运行嵌入的可执行程序或者DLL程序之前,从该节将恶意代码提取出来B、隐藏启动的最流行技术是进程注入。顾名思义,这种技术是将代码注入到另外一个正在运行的进程中,而被注入的进程会不知不觉地运行注入的代码C、...
A、启动器通常在text节存储恶意代码,当启动器运行时,它在运行嵌入的可执行程序或者DLL程序之前,从该节将恶意代码提取出来
B、隐藏启动的最流行技术是进程注入。顾名思义,这种技术是将代码注入到另外一个正在运行的进程中,而被注入的进程会不知不觉地运行注入的代码
C、DLL注入是进程注入的一种形式,它强迫一个远程进程加载恶意DLL程序,同时它也是最常使用的秘密加载技术
D、直接注入比DLL注入更加灵活,但是要想注入的代码在不对宿主进程产生副作用的前提下成功运行,直接注入需要大量的定制代码。这种技术可以被用来注入编译过的代码,但更多的时候,它用来注入shellcode
2、[多选题] 以下的恶意代码行为中,属于后门的是()A、netcat反向shell
B、windows反向shell
C、远程控制工具
D、僵尸网络
3、[单选题] 以下不是GFI沙箱的缺点的是()。A、沙箱只能简单地运行可执行程序,不能带有命令行选项
B、沙箱环境的操作系统对恶意代码来说可能不正确
C、沙箱不能提供安全的虚拟环境
D、恶意代码如果检测到了虚拟机,将会停止运行,或者表现异常。不是所有的沙箱都能完善地考虑这个问题
4、[单选题] ()是一把双刃剑,可以用来分析内部网络、调试应用程序问题,也可以用来嗅探密码、监听在线聊天。A、ApateDNS
B、Netcat
C、INetSim
D、Wireshark
5、[单选题] 当想要在函数调用使用特定的参数时才发生中断,应该设置什么类型的断点()A、软件执行断点
B、硬件执行断点
C、条件断点
D、非条件断点
6、[单选题] 当调试可以修改自身的代码的代码时,应该设置什么类型的断点()A、软件执行断点
B、硬件执行断点
C、条件断点
D、非条件断点
7、[单选题] Shell是一个命令解释器,它解释()的命令并且把它们送到内核。A、系统输入
B、用户输入
C、系统和用户输入
D、输入
8、[多选题] 以下是句柄是在操作系统中被打开或被创建的项的是A、窗口
B、进程
C、模块
D、菜单
9、[多选题] 以下是分析加密算法目的的是A、隐藏配置文件信息。
B、窃取信息之后将它保存到一个临时文件。
C、存储需要使用的字符串,并在使用前对其解密。
D、将恶意代码伪装成一个合法的工具,隐藏恶意代码
10、[单选题] ()是一种设置自身或其他恶意代码片段以达到即时或将来秘密运行的恶意代码。A、后门
B、下载器
C、启动器
D、内核嵌套
11、[单选题] ()是指Windows中的一个模块没有被加载到其预定基地址时发生的情况。A、内存映射
B、基地址重定位
C、断点
D、跟踪
12、[多选题] 微软fastcall约定备用的寄存器是()。A、EAX
B、ECX
C、EDX
D、EBX
13、[多选题] % System Root%system32drivers cpudp.sys中的登陆记录都包括()A、用户名
B、Windows域名称
C、密码
D、旧密码
14、[多选题] 后门的功能有A、操作注册表
B、列举窗口
C、创建目录
D、搜索文件
15、[多选题] 对一个监听入站连接的服务应用,顺序是()函数,等待客户端的连接。A、socket、bind、listen和accept
B、socket、bind、accept和listen
C、bind、sockect、listen和accept
D、accept、bind、listen和socket
16、[判断题] 应用程序可能包含处理INT3异常的指令,但附加调试器到程序后,应用程序将获得首先处理异常的权限。A、对
B、错
17、[单选题] OllyDbg最多同时设置()个内存断点。A、1个
B、2个
C、3个
D、4个
18、[单选题] PE文件中的分节中唯一包含代码的节是()。A、.rdata
B、.text
C、.data
D、.rsrc
19、[判断题] 重新编写函数和使用恶意代码中存在的函数是两种基本方法重现恶意代码中的加密或解密函数。A、对
B、错
20、[多选题] 对下面汇编代码的分析正确的是()。A、mov [ebp%2Bvar_4],0对应循环变量的初始化步骤
B、add eax,1对应循环变量的递增,在循环中其最初会通过一个跳转指令而跳过
C、比较发生在cmp处,循环决策在jge处通过条件跳转指令而做出
D、在循环中,通过一个无条件跳转jmp,使得循环变量每次进行递增。
