【MOOC】軟件安全之惡意代碼機理與防護-武漢大學中國大學慕課MOOC答案C1單元測試1、【單選題】在你看來，信息系統存在安全問題的本質原因是：本題答案：【信息資產具有價值】2、【單選題】如果要理解Windows下惡意代碼在感染程序過程可能涉及到的目標程序的圖標修改機理，我們需要重點學習本課程的哪一部分內容？本題答案：【第3、4周PE文件格式與實踐】3、【單選題】Safety和Security都是安全的含義，但是他們卻存在差異，以下事件中屬于Security范疇的是？本題答案：【計算機病毒爆發導致電腦數據丟失】4、【單選題】在本章第一個勒索郵件案例中，如果被勒索人的電腦攝像頭拍攝信息被他人獲取，這危害了信息的什么屬性？本題答案：【保密性】5、【單選題】在信息安全模型PDR中，D是指？本題答案：【Detection】6、【單選題】以下關于惡意軟件的說法，正確的是？本題答案：【惡意軟件是指設計目的是為了實現特定惡意功能的一類程序。】7、【單選題】以下哪個惡意代碼主要用于竊取伊朗工業控制系統數據？【推薦閱讀：震網事件的九年再復盤與思考（作者：antiylab）】本題答案：【Duqu】8、【單選題】在震網（StuxNet）蠕蟲的攻擊事件中，以下哪個漏洞用于進入與互聯網隔離的內網之中？【推薦閱讀：震網事件的九年再復盤與思考（作者：antiylab）】本題答案：【MS10-046：快捷方式文件解析漏洞】9、【多選題】在以下防護工具或系統中，可有效用于隔離安全風險的是？本題答案：【VMWare#SandboxIE】10、【多選題】以下哪些屬于電腦被感染惡意軟件后可能導致的后果？本題答案：【屏幕操作被錄像#鍵盤擊鍵被記錄#電腦資料被盜】C2單元測試1、【單選題】在傳統BIOS的MBR引導模式下，以下關于Windows操作系統引導過程的順序，正確的是？本題答案：【BIOS-MBR-DBR-NTLDR(BOOTMGR)】2、【單選題】80X86處理器的常態工作處理模式是？本題答案：【保護模式】3、【單選題】PAE內存分頁模式下，在進行虛擬地址到物理地址轉化計算中，一個32位虛擬地址（線性地址）可以劃分為4個部分：頁目錄指針表項（PDPTE）、頁目錄表項（PDE）、頁表項（PTE），以及頁內偏移。32位虛擬地址0x00403016對應的PDE=________。本題答案：【2】4、【單選題】硬盤中線性邏輯尋址方式（LBA）的尋址單位是？本題答案：【扇區】5、【單選題】在MBR分區格式下，一個分區大小不能超過______TB。本題答案：【2】6、【單選題】NTFS文件系統下，如果一個文件較大，NTFS將開辟新空間存放File的具體數據，其通過文件記錄（FileRecord）中的_________指明各部分數據的起始簇號和占用簇的個數？本題答案：【DataRun】7、【單選題】NTFS文件系統中，文件內容的存放位置是？本題答案：【MFT或數據區】8、【單選題】在FAT32分區下，當文件被放入回收站之后，該文件目錄項中的以下哪部分數據將發生變化？本題答案：【文件名的第一個字節】9、【單選題】在FAT32分區下，當文件通過Shift＋Del的方式刪除之后，以下哪個部分將發生變化？本題答案：【目錄項中的文件名首字節，首簇高位，以及文件對應的FAT表項】10、【判斷題】電腦被感染計算機病毒之后，通過更換硬盤可以徹底防止任何病毒再生。本題答案：【錯誤】11、【判斷題】hello25.exe程序從系統的user32.dll模塊中引入了MessageBoxA函數以實現彈框功能。當hello25.exe程序被執行時，user32.dll被裝載之后位于進程內存空間的內核區。本題答案：【錯誤】12、【判斷題】內存內核區的所有數據是所有進程共享的，用戶態代碼可以直接訪問。本題答案：【錯誤】13、【判斷題】Windows環境下，默認情況下每個進程均可以直接訪問其他進程的用戶區內存空間。本題答案：【錯誤】14、【判斷題】并口硬盤的數據線比串口硬盤的數據線寬，顯然其傳輸速度更快。本題答案：【錯誤】15、【判斷題】磁盤MBR扇區的分區表數據被破壞之后將無法恢復，因此要及時備份MBR扇區所有數據。本題答案：【錯誤】16、【判斷題】硬盤MBR主引導扇區最后兩個字節必須以“55AA”作為結束本題答案：【正確】17、【判斷題】FAT32文件系統進行文件空間分配的最小單位是簇，一個簇通常包含多個扇區。本題答案：【正確】18、【判斷題】當文件被誤刪除之后，不應繼續往該文件所在的分區繼續寫入數據，否則可能造成被刪除的文件被覆蓋導致無法恢復。本題答案：【正確】19、【判斷題】在FAT32文件系統中，文件分配表有兩份，即FAT1和FAT2，當一個文件被我們誤刪除之后，我們還可以直接從FAT2中找到對應的簇鏈表對FAT1進行修復，從而快速恢復該文件。本題答案：【錯誤】20、【判斷題】通過格式化操作系統所在盤符，可以完全清除系統中的文件型病毒。本題答案：【錯誤】21、【填空題】以下是某硬盤的分區表信息（MBR分區格式），通過分析可知，該硬盤的第一個主分區應為______GB。（按1K=1000計算，小數點后保留一位，四舍五入，答案不含單位）本題答案：【53.7】22、【填空題】下圖是某U盤［FAT32文件系統］下某個文件的目錄項，由引導扇區參數可知該分區每個簇包含16個扇區［512字節／扇區］，由此可計算出該文件共占用_______個簇的存儲空間？［請填寫阿拉伯數字，10進制］本題答案：【23】C3單元測試1、【單選題】硬盤中PE文件各節之間的空隙（00填充部分）大小，與以下哪個參數的大小息息相關？本題答案：【FileAlignment】2、【單選題】PE文件以下哪個字段指向程序首條指令執行的位置？本題答案：【AddressOfEntryPoint】3、【單選題】本課程C3章節使用的test.exe示例程序在內存中的節對齊粒度是？本題答案：【1000H】4、【單選題】________節的主要作用是將DLL自身實現的函數信息進行標注，以便于其他程序可以動態調用本DLL文件中的函數。本題答案：【引出函數節】5、【單選題】現有一PE文件，通過分析其二進制文件，IMAGE_SECTION_HEADER結構的起始地址和結束地址分別為0x1D0和0x270，由此可知該文件的節數量為_________。本題答案：【4】6、【單選題】引入目錄表（ImportTable）的開始位置RVA和大小位于PE文件可選文件頭DataDirecotry結構（共16項）中的第________項。本題答案：【2】7、【單選題】DLL被引出函數的函數名字符串的RVA存儲在引出函數節下的哪個字段指向的表中？本題答案：【AddressOfNames】8、【單選題】如果需要手工從目標PE文件中提取其圖標數據并生成.ico文件的話，我們需要從以下哪類型資源中提取數據？本題答案：【GROUPICON+ICON】9、【單選題】DLL文件可能加載到非預期的ImageBase地址，PE文件使用______解決該問題。本題答案：【重定位機制】10、【單選題】DLL在編譯時的初始文件名字符串的RVA存儲在引出目錄表下的哪個字段中？本題答案：【Name】11、【判斷題】Window系統中，.DL.SY.SCR和.OCX文件都屬于PE文件格式。本題答案：【正確】12、【判斷題】在PE文件格式中，PE文件頭的Signature（即“PE\0\0”）位于MZDOS頭及DosStub之后，32位程序的Signature開始于000000B0位置。本題答案：【錯誤】13、【判斷題】引出目錄表的開始位置就是引出函數節的開始位置，因此找到引出函數節就可以定位到引出目錄表。本題答案：【錯誤】14、【判斷題】一個具有圖標和菜單的可執行文件通常都具有資源節。本題答案：【正確】15、【判斷題】PE文件的可選文件頭是可選的，可以不要。本題答案：【錯誤】16、【判斷題】在進行函數引入時，必須在引入函數節部分注明目標函數名字，否則無法進行索引定位。本題答案：【錯誤】17、【判斷題】DLL文件的編譯生成時間存儲在其引出函數目錄表的時間戳信息中，在針對惡意代碼的取證分析過程中，該時間信息對于了解樣本出現的開始日期具有一定參考意義。本題答案：【正確】18、【判斷題】每一個PE文件都必須有一個數據節和代碼節，且這兩個節不可以合并為一個節。本題答案：【錯誤】19、【判斷題】當一個PE可執行文件裝載到內存之后，引入地址表（IAT表）指向的數據將被對應函數在內存中的VA地址所代替。本題答案：【正確】20、【判斷題】PE文件一旦被簽名之后，該文件的任何地方被修改都將導致簽名驗證無法通過。本題答案：【錯誤】21、【填空題】下圖為某程序的.rdata節（開始位置RVA：2000，文件偏移量：800H）在內存中的主要數據。通過分析可知，MessageBoxA函數的VA地址=0x________【填入8個16進制數字或大寫字母，高位在前，低位在后，譬如76F8BBE2，00002050】本題答案：【7689EA11】22、【填空題】下圖為某程序的.rdata節（開始位置RVA：2000，文件偏移量：800H）在內存中的主要數據。通過分析可知，文件808H-80BH偏移處的值是0x________。【填入8個16進制數字或大寫字母，高位在前，低位在后，譬如76F8BBE2，00002050】本題答案：【0000208C##%_YZPRLFH_%##8C200000】23、【填空題】下圖為某PE程序的部分16進制數據截圖，內存中RVA地址0040B341H在該PE文件中的文件偏移地址為：______h。【8位16進制數據，高位在前，字母大寫】本題答案：【00008541】24、【填空題】請分析附件文件Zoomit.exe，通過分析可知：最大尺寸的ICON的RVA是__________。【8位16進制數據，高位在前，字母大寫】本題答案：【0006CC90】25、【填空題】請分析附件文件，通過分析可知：最大尺寸的ICON對應的文件Size是__________。【8位16進制數據，高位在前，字母大寫】本題答案：【00000EA8】26、【填空題】請分析附件文件，該文件中包含一個名為BINRES的資源，請將該文件提取之后保存為rczoomit64.exe，分析該文件可知，其ImageBase為________【按實際位數填寫所有16進制數據，高位在前，字母大寫】本題答案：【0000000140000000】C6單元測試1、【單選題】如下圖所示，在命令行輸入命令“ddds:[fs:[30]+0c]”之后，在數據窗口開始“7763DCA0”地址的含義是？（實驗系統環境為Win10，test.exe程序為32位）本題答案：【PEB_LDR_DATA結構開始位置】2、【單選題】以下代碼對@pushsz進行了宏定義，對于該宏的正確描述的是？@pushszMACROstrLOCALnextcallnextdbstr,0next:ENDM本題答案：【該宏用于定義一個字符串，并將字符串首地址壓入堆棧頂端。】3、【單選題】PE病毒在進行目標文件搜索時，通常會以目標文件后綴為條件來遍歷計算機硬盤，以下哪類后綴程序不應該是PE文件的感染目標？本題答案：【COM】4、【單選題】為了提高對感染速度，PE病毒通常將目標程序讀入到內存中之后進行感染操作，以下哪個函數執行之后將返回目標程序在內存中的開始地址。本題答案：【MapViewOfFile】5、【單選題】當傳統感染型PE病毒在目標程序中添加病毒感染代碼之后，通常其采用修改PE文件________字段的方式來使得病毒代碼能夠最先獲得控制權。本題答案：【AddressOfEntryPoint】6、【單選題】在目標PE程序圖標替換過程中，可以使用BeginUpdateResource(),UpdateResource(),EndUpdateResource()等API函數，實現用自定義的ico文件類替換exe程序原來的圖標的功能。UpdateResource()函數的第三個參數是指？本題答案：【將被更新的資源的名稱字符串】7、【單選題】PE病毒可以將惡意負載以資源的方式存儲在自身文件中，并在適當時候進行資源釋放和執行。在操作過程中，以下哪個函數將不需要被用到？本題答案：【UpdateResource】8、【單選題】課程C6.8所提供的PEB-pass-123.rar中的PEB.exe程序在Win10下運行之后，獲得的是以下哪個模塊的地址?本題答案：【kernelbase.dll】9、【單選題】熊貓燒香病毒采用了“Virus+Host”的感染方式，其缺陷是被感染程序的圖標會發生變化。如需讓目標程序圖標同步為HOST程序圖標，則需要對目標程序的以下哪個區域進行修改？本題答案：【資源節】10、【單選題】傳統文件感染型病毒在進行API函數自搜索時，主要是基于kernel32模塊的何種機制進行的？本題答案：【函數引出機制】11、【判斷題】傳統感染型PE病毒因為在代碼寄生過程中的目標HOST程序多樣，無法事先確定自身病毒代碼即將寄生的位置，但二進制代碼中存在部分固化的VA地址，因此需要給目標PE程序新增一個重定位節，以確保病毒代碼中的VA地址能夠得到動態修正。本題答案：【錯誤】12、【判斷題】由于文件感染型病毒需要在目標程序新增代碼甚至新增節，其在感染過程中必將增加目標程序大小。為了有效隱藏自己，病毒代碼通常都應盡力做到精簡以縮小自身體積。本題答案：【錯誤】13、【判斷題】對于計算機病毒來說，如果其感染目標程序都位于當前操作系統之內，感染目標也只在本機運行，則其需要使用的相關API函數的地址在當前系統是確定的，因此可以采用硬編碼的方式將API函數的地址固化在病毒代碼中，直接調用即可。本題答案：【錯誤】14、【判斷題】對于代碼寄生型病毒來說，如果對方程序自身有完整性校驗，則對該程序進行感染將會導致目標程序運行異常。但是捆綁釋放型的感染方式則可以有效避免出現此類情況。本題答案：【正確】15、【判斷題】對于捆綁型病毒A來說，如果要感染目標B，一般來說采用A+B的方式，但在這種方式下被感染后的程序圖標為A的圖標。如果要做到目標被感染程序后的圖標不發生變化，直接將將感染程序B放在前面，將捆綁病毒A放在后面（即B+A）即可，無需再做其他變換。本題答案：【錯誤】16、【判斷題】PEB模塊為進程環境塊，其位于操作系統內核空間，通過用戶態程序無法訪問。本題答案：【錯誤】17、【判斷題】fs:[0]的指向為進程當前活動線程的SEH異常處理結構的鏈首位置，通過訪問該鏈表的末端SEH結構的第二個字段，可以獲得一個指向kernel32模塊內部的地址。該方法在從XP到Win10等不同的操作系統中均具有良好通用性。本題答案：【錯誤】18、【判斷題】對于較強破壞能力的計算機病毒來說，病毒破壞模塊的觸發條件決定了該病毒的潛伏期的長短，潛伏期越長，感染的目標群體越大，最終形成的整體破壞力就越大。本題答案：【錯誤】19、【判斷題】call指令與jmp指令的功能類似，都將跳轉到目標位置繼續執行。但call指令執行時，還會將該call指令之后的地址壓入堆棧頂端。而這一特性可有效應用于病毒代碼的重定位。本題答案：【正確】20、【判斷題】無論是在32位還是64位系統，病毒代碼在獲得當前kernel32模塊中的任一VA地址之后，只要通過地址逐一遞減并驗證指向位置是否為PE文件頭部特征，必然可以順利找到kernel32模塊的基地址。本題答案：【錯誤】21、【填空題】下圖為課程提供的SEH.exe程序的相關反匯編代碼，以下______地址處的指令執行之后，______寄存器中存放的是SEH鏈中最后一個EXCEPITON_REGISTARTION結構的Handler。（填入8位地址與寄存器名，以空格隔開）本題答案：【00401010eax##%_YZPRLFH_%##00401010EAX】22、【填空題】以下為課程例子中的感染例子源代碼的部分片段，按照程序預期設計，以下_____行語句執行之后，______寄存器中存放的是指向kernel32模塊內部的地址。【填入兩位阿拉伯數字行號與寄存器名稱，以空格隔開】本題答案：【54eax##%_YZPRLFH_%##54EAX】23、【填空題】課程提供的病毒感染例子在使用masm32默認編譯選項完成編譯之后，該程序XP下實際運行時也會提示錯誤，該錯誤的原因是因為某節的默認屬性為只讀，但該程序需要在該節進行寫操作。而要進行修復，除了手工或者PE工具修改該節屬性之外，還可以在link時增加一個修改節屬性的選項來修改指定其屬性為可讀可寫可執行(rwe)，即/section:_(1)_,_(2)_。（填入節名與屬性，以空格隔開）本題答案：【.textrwe##%_YZPRLFH_%##.textRWE】24、【填空題】課程提供的病毒感染例子程序在感染目標程序之后，為了避免對同一個程序反復感染，將在被感染程序中寫入一個感染標志，該感染標志是___（1）___，對于課程配套給出的test.exe文件來說，感染標志的FOA開始位置是___（2）____？（空1填寫英文字母，高位在前低位在后；空2填寫大寫的8位16進制數，以空格隔開）本題答案：【dark000000B8##%_YZPRLFH_%##DARK000000B8】C7單元測試1、【單選題】Office文檔啟用宏后，在Office文檔打開窗口通過快捷鍵______可以進入VisualBasic編輯器窗口。本題答案：【Alt+F11】2、【單選題】如果要阻止用戶通過Word點擊“宏”或“查看宏”按鈕查看宏代碼，可以定義以下哪個宏來攔截該操作。本題答案：【ToolsMacro】3、【單選題】以下哪個宏在定義在文檔（非模板）中將被對應操作自動觸發。本題答案：【AutoClose】4、【單選題】當vbs文件執行死循環時，應打開任務管理器結束以下哪個進程？本題答案：【wscript.exe】5、【單選題】當文檔工程被加密后，通過以下哪個工具可以解除其加密口令?本題答案：【VBAPasswordBypasser】6、【單選題】以下哪個宏在Offcie程序打開時自動觸發？本題答案：【AutoExec】7、【單選題】Options.SaveNormalPrompt=False此舉代碼的作用是？本題答案：【如果公用模板被修改，不要彈框提示用戶】8、【單選題】Office宏的編寫語言是？本題答案：【VBA】9、【單選題】在VBS惡意腳本程序中，___________是一個經常被使用的瀏覽器對象，可用于模擬http的GET和POST請求，其經常與ADODB.STREAM對象一起使用，以從遠程下載數據并將其釋放為本地文件。本題答案：【XMLHTTP】10、【單選題】下面語句用于創建一個_______對象？SetfNxGxXlsxADAGD=createobject(Chr(83)Chr(104)Chr(101)Chr(108)Chr(108)Chr(46)Chr(65)Chr(112)Chr(112)Chr(108)Chr(105)Chr(99)Chr(97)Chr(116)Chr(105)Chr(111)Chr(110))本題答案：【Shell.Application】11、【判斷題】使用oledump工具可以在不運行宏的情況下查看宏代碼，以此降低分析風險。本題答案：【正確】12、【判斷題】宏病毒一種非常古老的惡意代碼威脅，當前已經不可能存在這類威脅。本題答案：【錯誤】13、【判斷題】除了宏病毒威脅之外，打開數據文檔是不可能存在其他安全隱患的。本題答案：【錯誤】14、【判斷題】文件自身不帶宏代碼的文檔也有可能觸發執行宏。本題答案：【正確】15、【判斷題】在編寫完宏之后，我們可以在VBA編輯器下文檔的工程屬性-保護欄中設置訪問密碼，同時應選擇“查看時鎖定工程”，這樣他人便無法再查看宏代碼，可充分保障宏的安全。本題答案：【錯誤】16、【判斷題】無文件攻擊一定不會在文件系統留下任何文件。本題答案：【錯誤】17、【判斷題】PowershellISE是微軟官方提供的一款powershll腳本調試器，系統本身并不默認提供，但是可從微軟網站下載安裝