选一
1、如果要理解Windows下恶意代码在感染程序过程可能涉及到的目标程序的图标修改机理,我们需要重点学习本课程的哪一部分内容?( D )
A. 网络木马
B. 计算机引导与磁盘结构
C. Windows PE病毒
D. PE文件格式与实践
2、在你看来,信息系统存在安全问题的本质原因是:( D )
A.信息系统开发未遵循安全开发流程
B.恶意代码快速增长
C.信息系统存在漏洞
D.信息资产具有价值
3、以下关于恶意软件的说法,正确的是?( C )
A.在Windows下,恶意软件都是EXE可执行文件。
B.恶意软件是指所有可能对系统带来危害的程序。
C.恶意软件是指设计目的是为了实现特定恶意功能的一类程序。
D.恶意软件就是计算机病毒。
4、在传统BIOS的MBR引导模式下,以下关于Windows操作系统引导过程的顺序,正确的是?( C )
A.MBR ->BIOS ->DBR ->NTLDR(BOOTMGR)
B.MBR->DBR->NTLDR(BOOTMGR)->BIOS
C.BIOS -> MBR ->DBR ->NTLDR(BOOTMGR)
D.BIOS ->NTLDR(BOOTMGR)->DBR->MBR
5、80X86处理器的常态工作处理模式是? ( C )
A.虚拟86模式
B.虚实模式、保护模以及虚拟86模式
C.保护模式
D.实模式
6、PAE内存分页模式下,在进行虚拟地址到物理地址转化计算中,一个32位虚拟地址(线性地址)可以划分为4个部分:页目录指针表项(PDPTE)、页目录表项(PDE)、页表项(PTE),以及页内偏移。32位虚拟地址0x00403016对应的PDE=__D。
A.3
B.1
C.4
D.2
解析: 0x00403016:0000 0000 0100 0000 0011 0000 0001 1010,按照2-9-9-12划分,即
00(0) 000000010(2) 00000011(3) 000000011010(0x16)
7、硬盘中线性逻辑寻址方式(LBA)的寻址单位是?( B )
A.磁道
B.扇区
C.簇
D.柱面
8、在MBR分区格式下,一个分区大小不能超过______TB。( A )
A.2
B.8
C.1
D.4
解析:分区表中每个分区表项中的分区总扇区数为4个字节(32位),即最大不得超过2**32*512字节。
9、NTFS文件系统下,如果一个文件较大,NTFS将开辟新空间存放File的具体数据,其通过文件记录(File Record)中的_________指明各部分数据的起始簇号和占用簇的个数?( D )
A. FR头
B. MFT记录号
C. $DATA
D. Data Run
10、NTFS文件系统中,文件内容的存放位置是?( D )
A.MFT
B.DBR
C.数据区
D.MFT或数据区
11、在FAT32分区下,当文件被放入回收站之后,该文件目录项中的以下哪部分数据将发生变化? ( B )
A. 首簇高位
B. 文件名的第一个字节
C. 首簇低位
D. 文件大小
12、在FAT32分区下,当文件通过Shift+Del的方式删除之后,以下哪个部分将发生变化?( A )
A.目录项中的文件名首字节,首簇高位,以及文件对应的FAT表项
B.目录项中的文件名首字节,首簇高位,文件对应的FAT表项,以及文件内容
C.仅目录项中的文件名首字节和文件对应的FAT表项
D.仅首簇高位和文件对应的FAT表项
判断一
1、电脑被感染计算机病毒之后,通过更换硬盘可以彻底防止任何病毒再生。( n )
2、Windows环境下,默认情况下每个进程均可以直接访问其他进程的用户区内存空间。( n )
3、硬盘MBR主引导扇区最后两个字节必须以“55AA”作为结束( y )
4、FAT32文件系统进行文件空间分配的最小单位是簇,一个簇通常包含多个扇区。( y )
5、当文件被误删除之后,不应继续往该文件所在的分区继续写入数据,否则可能造成被删除的文件被覆盖导致无法恢复。( y )
6、通过格式化操作系统所在盘符,可以完全清除系统中的文件型病毒。( n )
单选二
1、硬盘中PE文件各节之间的空隙(00填充部分)大小,与以下哪个参数的大小息息相关? ( A )
A. FileAlignment
B. SizeOfImage
C. SizeofHeaders
D. SectionAlignment
2、PE文件以下哪个字段指向程序首条指令执行的位置? ( B )
A. SectionAlignment
B. AddressOfEntryPoint
C. SizeOfImage
D. BaseofCode
3、一般PE程序在内存中的节对齐粒度是?( C )
A. 4000H
B. 200H
C. 1000H
D. 2000H
4、________节的主要作用是将DLL自身实现的函数信息进行标注,以便于其他程序可以动态调用本DLL文件中的函数。( B )
A. 代码节
B. 引出函数节
C. 资源节
D. 数据节
5、现有一PE文件,通过分析其二进制文件,IMAGE_SECTION_HEADER结构的起始地址和结束地址分别为0x1D0和0x270,由此可知该文件的节数量为_________。( A )
A. 3
B. 5
C. 4
D. 6
6、引入目录表(Import Table)的开始位置RVA和大小位于PE文件可选文件头DataDirecotry结构(共16项)中的第________项。( C )
A. 13
B. 3
C. 2
D. 1
7、DLL被引出函数的函数名字符串的RVA存储在引出函数节下的哪个字段指向的表中?( C )
A. AddressOfNameOrdinals
B. Name
C. AddressOfNames
D. AddressOfFunctions
8、如果需要手工从目标PE文件中提取其图标数据并生成.ico文件的话,我们需要从以下哪类型资源中提取数据?( B )
A. GROUPICON
B. GROUPICON+ICON
C. ICON
D. BITMAP
9、DLL文件可能加载到非预期的ImageBase地址,PE文件使用______解决该问题。( D )
A. 函数引出机制
B. 资源节
C. 资源动态分配机制
D. 重定位机制
10、根据我国刑法285、286条规定,违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,将以以下哪项罪名定罪?( B )
(参考网站:司法部网站,中华人民共和国刑法,https://www.moj.gov.cn/subject/content/2020-02/14/1449_3241661.html )
A. 提供侵入、非法控制计算机信息系统程序、工具罪
B. 非法侵入计算机信息系统罪
C. 破坏计算机信息系统罪
D. 非法获取计算机信息系统数据、非法控制计算机信息系统罪
判断二
Window系统中,.DLl, .EXE, .SCR和.OCX文件都属于PE文件格式。( Y )
一个具有图标和菜单的可执行文件通常都具有资源节。( Y )
PE文件的可选文件头是可选的,可以不要。( N )
在进行函数引入时,必须在引入函数节部分注明目标函数名字,否则无法进行索引定位。( N )
DLL文件的编译生成时间存储在其引出函数目录表的时间戳信息中,在针对恶意代码的取证分析过程中,该时间信息对于了解样本出现的开始日期具有一定参考意义。( Y )
每一个PE文件都必须有一个数据节和代码节,且这两个节不可以合并为一个节。( N )
当一个PE可执行文件装载到内存之后,引入地址表(IAT表)指向的数据将被对应函数在内存中的VA地址所代替。( n )
填空
1、下图为某程序的.rdata节(开始位置RVA:2000,文件偏移量:800H)在内存中的主要数据。通过分析可知,MessageBoxA函数的VA地址=0x________ 【填入8个16进制数字或大写字母,高位在前,低位在后,譬如76F8BBE2,00002050】
正确答案:7689EA11
判断三
恶意代码是指所有能够给电脑带来破坏性的程序。( n )
以spaf的观点来看,计算机病毒与蠕虫的关键差异在于具备传播能力的程序本身是否为独立个体:如果需要寄生到HOST程序则为病毒,如果可以独立运行则为蠕虫,另外前者传播目标是程序或当前系统,后者传播目标是网络中的主机。( y )
远程控制木马与合法远程管理软件的主要区别在于是否具有隐蔽性和非授权性。( y )
远程控制型木马的一个比较典型的特征是,被控计算机存在非法的外连活动,且其上行数据远远大于下行数据。( y )
木马程序同样具备主动对外传播的能力。( n )
计算机被感染勒索软件之后,如果计算机中的重要数据一旦被加密切无备份,缴纳赎金是找回数据的唯一有效途径。因此,我们需要做好重要数据的备份。( n )
网络木马通常是由被控制者自己触发安装的,而后门通常是由攻击者在获取目标系统控制权之后主动安装的。( y )
ROOTKIT是一类可以隐藏自身痕迹(如进程、注册表、文件、网络端口等)的程序,其不能用于隐藏其他木马程序。( n )
对于漏洞利用型蠕虫来说,及时修补系统补丁是作为普通网民最为有效的防护方法。( y )
某高校学生小李热衷于黑客技术,经常以非法入侵、控制他人计算机系统为乐趣,经公安系统查实,其在2018-2019年期间,共非法控制他人计算机信息系统三十余台,且造成被控制者经济损失5.5万元。按照我国刑法规定,其应当处三年以上七年以下有期徒刑,并处罚金。( y )
某高校小张在浏览某网站时,发现由相关黑客公布的Webshell,通过这些Webshell可以对30余台系统进行控制。经公安系统查实,通过利用这些Webshell,小张对10余台系统进行了持续控制,并非法获利6千元。按照我国法律规定,小张同样应当以“非法获取计算机信息系统数据或者非法控制计算机信息系统”定罪,应处三年以下有期徒刑或者拘役,并处或者单处罚金。( y )
1298
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
