|
|
参数是从右到左按序被压入栈,当函数完成时由被调用者清理栈的是()。
A:cdecl
B:stdcall
C:fastcall
D:压栈与移动
内存中的()节用于函数的局部变量和参数,以及控制程序执行流。
A:数据
B:堆
C:代码
D:栈
()列出了所有活跃的进程、被进程载入的DLL、各种进程属性和整体系统信息。
A:进程监视器
B:进程浏览器
C:沙箱
D:Regshot
基于Linux模拟常见网络服务的软件的是()。
A:ApateDNS
B:Netcat
C:INetSim
D:Wireshark
在获取不到高级语言源码时,()是从机器码中能可信并保持一致地还原得到的最高一层语言。
A:机器指令
B:微指令
C:汇编语言
D:机器码
PE文件中的分节中唯一包含代码的节是()。
A:.rdata
B:.text
C:.data
D:.rsrc
下面说法错误的是()。
A:启动器通常在text节存储恶意代码,当启动器运行时,它在运行嵌入的可执行程序或者DLL程序之前,从该节将恶意代码提取出来
B:隐藏启动的最流行技术是进程注入。顾名思义,这种技术是将代码注入到另外一个正在运行的进程中,而被注入的进程会不知不觉地运行注入的代码
C:DLL注入是进程注入的一种形式,它强迫一个远程进程加载恶意DLL程序,同时它也是最常使用的秘密加载技术
D:直接注入比DLL注入更加灵活,但是要想注入的代码在不对宿主进程产生副作用的前提下成功运行,直接注入需要大量的定制代码。这种技术可以被用来注入编译过的代码,但更多的时候,它用来注入shellcode
()是可以记录程序详细的运行信息的调试技术。
A:内存映射
B:基地址重定位
C:断点
D:跟踪
当单击Resource Hacker工具中分析获得的条目时,看不到的是
A:字符串
B:二进制代码
C:图标
D:菜单
()是指Windows中的一个模块没有被加载到其预定基地址时发生的情况。
A:内存映射
B:基地址重定位
C:断点
D:跟踪
Hook技术的应用不包括()
A:实现增强的二次开发或补丁
B:信息截获
C:安全防护
D:漏洞分析
恶意代码指的是()。
A:计算机病毒
B:间谍软件
C:内核嵌套
D:任何对用户、计算机或网络造成破坏的软件
ApateDNS在本机上监听UDP()端口。
A:53
B:69
C:161
D:80
OllyDbg使用了一个名为()的虚拟程序来加载DLL。
A:rundll32.exe
B:user32.dll
C:kernel32.dll
D:loaddll.exe
()常被一种叫做击键记录器的恶意程序所使用,被用来记录击键 。
A:DLL注入
B:直接注入
C:APC注入
D:钩子注入
轰动全球的震网病毒是()。
A:木马
B:蠕虫病毒
C:后门
D:寄生型病毒
Base64编码将二进制数据转化成()个字符的有限字符集。
A:16
B:32
C:48
D:64
捕获Poison Ivy为shellcode分配内存的最好方法是()。
A:软件断点
B:硬件断点
C:内存断点
D:条件断点
以下注册表根键中()保存定义的类型信息。
A:HKEY_LOCAL_MACHINE(HKLM)
B:HKEY_CURRENT_USER(HKCU)
C:HKEY_CLASSES_ROOT
D:HKEY_CURRENT_CONFIG
对以下代码分析错误的是()。
A:jnz为条件跳转,而jmp为无条件跳转
B:while循环与for循环的汇编代码非常相似,唯一的区别在于它缺少一个递增
C:while循环停止重复执行的唯一方式,就是那个期望发生的条件跳转
D:while循环总要进入一次
以下逻辑运算符中是位移指令的是()
A:OR、AND
B:Shr和shl
C:ror和rol
D:XOR
当想要在函数调用使用特定的参数时才发生中断,应该设置什么类型的断点()
A:软件执行断点
B:硬件执行断点
C:条件断点
D:非条件断点
多数DLL会在PE头的()打包一个修订位置的列表。
A:.text节
B:.data节
C:.rsrc节
D:.reloc节
而0x52000000对应0x52这个值使用的是()字节序。
A:小端
B:大端
C:终端
D:前端
用户模式下的APC要求线程必须处于()状态。
A:阻塞状态
B:计时等待状态
C:可警告的等待状态
D:被终止状态
下列说法正确的是()。
A:IDA Pro有一个在识别结构方面很有用的图形化工具
B:从反汇编代码来看,很难知道原始代码是一个switch语句还是一个if语句序列
C:switch中各无条件跳转相互影响
D:使用了一个跳转表,来更加高效地运行switch结构汇编代码
恶意代码编写者可以挂钩一个特殊的 Winlogon事件,比如()
A:登录
B:注销
C:关机
D:锁屏
恶意代码作者如何使用DLL()多选
A:保存恶意代码
B:通过使用Windows DLL
C:控制内存使用DLL
D:通过使用第三方DLL
对下面汇编代码的分析正确的是()。
A:mov [ebp var_4],0对应循环变量的初始化步骤
B:add eax,1对应循环变量的递增,在循环中其最初会通过一个跳转指令而跳过
C:比较发生在cmp处,循环决策在jge处通过条件跳转指令而做出
D:在循环中,通过一个无条件跳转jmp,使得循环变量每次进行递增。
% System Root%\system32\drivers\tcpudp.sys中的登陆记录都包括()
A:用户名
B:Windows域名称
C:密码
D:旧密码
后门的功能有
A:操作注册表
B:列举窗口
C:创建目录
D:搜索文件
()是Windows API的标准调用约定
A:cdecl
B:stdcall
C:fastcall
D:压栈与移动
下面属于OllyDbg插件的有()。
A:OllyDump
B:调试器隐藏插件
C:命令行
D:书签
以下是句柄是在操作系统中被打开或被创建的项的是
A:窗口
B:进程
C:模块
D:菜单
以下对个各个插件说法正确的是()。
A:OllyDump是OllyDbg最常使用的插件,它能够将一个被调试的进程转储成一个PE文件
B:为了防止恶意代码使用反调试技术,恶意代码分析人员通常在分析恶意代码期间,一直运行调试器隐藏插件
C:OllyDbg的命令行插件允许你用命令行来使用OllyDbg
D:OllyDbg默认情况下自带书签插件,书签插件可以将一个内存位置加到书签中,利用书签,下次不需要记住就可以轻松获取那个内存地址
恶意代码可以通过创建一个新进程,或修改一个已存在的进程,来执行当前程序之外的代码。
A:对
B:错
结构体通过一个作为起始指针的基地址来访问。要判断附近的数据字节类型是同一结构的组成部分,还是只是凑巧相互挨着是比较困难的,这依赖于这个结构体的上下文。
A:对
B:错
加硬件断点处的程序在内存处依旧是原程序所对应的机器码
A:对
B:错
在操作系统中所有的文件都不可以通过名字空间进行访问。
A:对
B:错
虚拟机是运行在ring0级
A:对
B:错
PE文件格式在头部存储了很多有趣的信息。我们可以使用PEview工具来浏览这些信息。
A:对
B:错
操作数指向感兴趣的值所在的内存地址,一般由方括号内包含值、寄存器或方程式组成,如[eax]。
A:对
B:错
Strings程序检测到的一定是真正的字符串。
A:对
B:错
在x86汇编语言中,一条指令由一个助记符,以及零个或多个操作数组成。
A:对
B:错
WinDbg是一个出色的调试器,它提供了很多OllyDbg所不具备的功能,但其中不包括支持内核调试。
A:对
B:错
WinDbg的内存窗口不支持通过命令来浏览内存。
A:对
B:错
反向shell是从攻击方发起一个连接,它提供被攻击者通过shell访问攻击方机器的权限。
A:对
B:错
D键是定义原始字节为代码
A:对
B:错
OllyDbg中内存断点一次只能设置一个,而硬件断点可以设置4个。
A:对
B:错
上层的远程挂钩要求钩子例程是DLL程序的一个导入函数。
A:对
B:错
|
|
发表于 2020-10-30 07:48:10
