MOOC 软件安全之恶意代码机理与防护-武汉大学 中国大学慕课答案.docx
《MOOC 软件安全之恶意代码机理与防护-武汉大学 中国大学慕课答案.docx》由会员分享,可在线阅读,更多相关《MOOC 软件安全之恶意代码机理与防护-武汉大学 中国大学慕课答案.docx(25页珍藏版)》请在文库网上搜索。
1、 MOOC 软件安全之恶意代码机理与防护-武汉大学 中国大学慕课答案C1 单元测试1、问题:在你看来,信息系统存在安全问题的本质原因是:选项:A、信息资产具有价值B、信息系统存在漏洞C、恶意代码快速增长D、信息系统开发未遵循安全开发流程(如 SDLIT)正确答案:【信息资产具有价值】2、问题:如果要理解 Windows 下恶意代码在感染程序过程可能涉及到的目标程序的图标修改机理,我们需要重点学习本课程的哪一部分内容?选项:A、第 2 周 计算机引导与磁盘结构B、第 3、4 周 PE 文件格式与实践C、第 6 周 Windows PE 病毒D、第 9 周 网络木马正确答案:【第 3、4 周 PE
2、 文件格式与实践】3、问题:Safety 和 Security 都是安全的含义,但是他们却存在差异,以下事件中属于 Security 范畴的是?选项:A、桥梁倒塌导致主机损坏B、计算机病毒爆发导致电脑数据丢失C、雷击事件导致电脑烧毁D、洪水爆发导致手机浸泡无法开机正确答案:【计算机病毒爆发导致电脑数据丢失】4、问题:在本章第一个勒索邮件案例中,如果被勒索人的电脑摄像头拍摄信息被他人获取,这危害了信息的什么属性?选项:A、保密性B、可用性C、完整性D、不可否认性正确答案:【保密性】 5、问题:在信息安全模型 PDR 中,D 是指?选项:A、DefeatB、DefenceC、DetectionD、
3、Description正确答案:【Detection】6、问题:以下关于恶意软件的说法,正确的是?选项:A、恶意软件是指设计目的是为了实现特定恶意功能的一类程序。B、恶意软件是指所有可能对系统带来危害的程序。C、在 Windows 下,恶意软件都是 EXE 可执行文件。D、恶意软件就是计算机病毒。正确答案:【恶意软件是指设计目的是为了实现特定恶意功能的一类程序。】7、问题:以下哪个恶意代码主要用于窃取伊朗工业控制系统数据?【推荐阅读:震网事件的九年再复盘与思考(作者:antiylab)】选项:A、StuxnetB、DuquC、FlameD、CIH正确答案:【Duqu】8、问题:在震网(Stux
4、Net)蠕虫的攻击事件中,以下哪个漏洞用于进入与互联网隔离的内网之中?【推荐阅读:震网事件的九年再复盘与思考(作者:antiylab)】选项:A、MS10-061:打印机后台程序服务漏洞B、MS08-017:RPC 远程执行漏洞C、MS10-046:快捷方式文件解析漏洞D、MS10-073:内核模式驱动程序漏洞正确答案:【MS10-046:快捷方式文件解析漏洞】9、问题:在以下防护工具或系统中,可有效用于隔离安全风险的是?选项:A、VMWareB、SandboxIEC、EMETD、HIPS正确答案:【VMWare#SandboxIE】 10、问题:以下哪些属于电脑被感染恶意软件后可能导致的后果
5、?选项:A、屏幕操作被录像B、键盘击键被记录C、电脑爆炸D、电脑资料被盗正确答案:【屏幕操作被录像#键盘击键被记录#电脑资料被盗】C2 单元测试1、问题:在传统 BIOS 的 MBR 引导模式下,以下关于 Windows 操作系统引导过程的顺序,正确的是?选项:A、BIOS -NTLDR(BOOTMGR)-DBR-MBRB、BIOS - MBR -DBR -NTLDR(BOOTMGR)C、MBR-DBR-NTLDR(BOOTMGR)-BIOSD、MBR -BIOS -DBR -NTLDR(BOOTMGR)E、BIOS-MBR-NTLDR(BOOTMGR)-DBR正确答案:【BIOS - MBR
6、 -DBR -NTLDR(BOOTMGR)】2、问题:80X86 处理器的常态工作处理模式是?选项:A、虚实模式、保护模以及虚拟 86 模式B、虚拟 86 模式C、实模式D、保护模式正确答案:【保护模式】3、问题:PAE 内存分页模式下,在进行虚拟地址到物理地址转化计算中,一个 32位虚拟地址(线性地址)可以划分为 4 个部分:页目录指针表项(PDPTE)、页目录表项(PDE)、页表项(PTE),以及页内偏移。32 位虚拟地址 0x00403016对应的 PDE=_。选项:A、0B、1C、2D、3E、4正确答案:【2】4、问题:硬盘中线性逻辑寻址方式(LBA)的寻址单位是?选项: A、簇B、柱
7、面C、磁道D、扇区E、磁头正确答案:【扇区】5、问题:在 MBR 分区格式下,一个分区大小不能超过_TB。选项:A、1B、2C、4D、8正确答案:【2】6、问题:NTFS 文件系统下,如果一个文件较大,NTFS 将开辟新空间存放 File 的具体数据,其通过文件记录(File Record)中的_指明各部分数据的起始簇号和占用簇的个数?选项:A、FR 头B、$DATAC、Data RunD、MFT 记录号E、FAT 表项中的簇链表正确答案:【Data Run】7、问题:NTFS 文件系统中,文件内容的存放位置是?选项:A、MFT 或数据区B、MFTC、数据区D、DBR正确答案:【MFT 或数据
8、区】8、问题:在 FAT32 分区下,当文件被放入回收站之后,该文件目录项中的以下哪部分数据将发生变化?选项:A、首簇高位B、文件名的第一个字节C、首簇低位D、文件大小正确答案:【文件名的第一个字节】 9、问题:在 FAT32 分区下,当文件通过 ShiftDel 的方式删除之后,以下哪个部分将发生变化?选项:A、目录项中的文件名首字节,首簇高位,文件对应的 FAT 表项,以及文件内容B、目录项中的文件名首字节,首簇高位,以及文件对应的 FAT 表项C、仅目录项中的文件名首字节和文件对应的 FAT 表项D、仅首簇高位和文件对应的 FAT 表项正确答案:【目录项中的文件名首字节,首簇高位,以及文
9、件对应的 FAT 表项】10、问题:电脑被感染计算机病毒之后,通过更换硬盘可以彻底防止任何病毒再生。选项:A、正确B、错误正确答案:【错误】11、问题:hello25.exe 程序从系统的 user32.dll 模块中引入了 MessageBoxA 函数以实现弹框功能。当 hello25.exe 程序被执行时,user32.dll 被装载之后位于进程内存空间的内核区。选项:A、正确B、错误正确答案:【错误】12、问题:内存内核区的所有数据是所有进程共享的,用户态代码可以直接访问。选项:A、正确B、错误正确答案:【错误】13、问题:Windows 环境下,默认情况下每个进程均可以直接访问其他进程
10、的用户区内存空间。选项:A、正确B、错误正确答案:【错误】14、问题:并口硬盘的数据线比串口硬盘的数据线宽,显然其传输速度更快。选项:A、正确B、错误正确答案:【错误】 15、问题:磁盘 MBR 扇区的分区表数据被破坏之后将无法恢复,因此要及时备份MBR 扇区所有数据。选项:A、正确B、错误正确答案:【错误】16、问题:硬盘 MBR 主引导扇区最后两个字节必须以“55AA”作为结束选项:A、正确B、错误正确答案:【正确】17、问题:FAT32 文件系统进行文件空间分配的最小单位是簇,一个簇通常包含多个扇区。选项:A、正确B、错误正确答案:【正确】18、问题:当文件被误删除之后,不应继续往该文件
11、所在的分区继续写入数据,否则可能造成被删除的文件被覆盖导致无法恢复。选项:A、正确B、错误正确答案:【正确】19、问题:在 FAT32 文件系统中,文件分配表有两份,即 FAT1 和 FAT2,当一个文件被我们误删除之后,我们还可以直接从 FAT2 中找到对应的簇链表对 FAT1 进行修复,从而快速恢复该文件。选项:A、正确B、错误正确答案:【错误】20、问题:通过格式化操作系统所在盘符,可以完全清除系统中的文件型病毒。选项:A、正确B、错误正确答案:【错误】21、填空题:以下是某硬盘的分区表信息(MBR 分区格式),通过分析可知,该硬盘的第一个主分区应为_GB。(按 1K=1000 计算,小
12、数点后保留一位,四 舍五入,答案不含单位)正确答案:【53.7】22、填空题:下图是某 U 盘FAT32 文件系统下某个文件的目录项,由引导扇区参数可知该分区每个簇包含 16 个扇区512 字节扇区,由此可计算出该文件共占用_个簇的存储空间?请填写阿拉伯数字,10 进制正确答案:【23】C3 单元测试1、问题:硬盘中 PE 文件各节之间的空隙(00 填充部分)大小,与以下哪个参数的大小息息相关?选项:A、SizeOfImageB、FileAlignmentC、SizeofHeadersD、SectionAlignmentE、SizeofImage正确答案:【FileAlignment】2、问题
13、:PE 文件以下哪个字段指向程序首条指令执行的位置?选项:A、SizeOfImageB、SectionAlignmentC、AddressOfEntryPointD、BaseofCodeE、ImageBase正确答案:【AddressOfEntryPoint】3、问题:本课程 C3 章节使用的 test.exe 示例程序在内存中的节对齐粒度是?选项:A、4000HB、500HC、200HD、1000H E、2000H正确答案:【1000H】4、问题:_节的主要作用是将 DLL 自身实现的函数信息进行标注,以便于其他程序可以动态调用本 DLL 文件中的函数。选项:A、引入函数节B、引出函数节C、
14、数据节D、代码节E、资源节正确答案:【引出函数节】5、问题:现有一 PE 文件,通过分析其二进制文件,IMAGE_SECTION_HEADER结构的起始地址和结束地址分别为 0x1D0 和 0x270,由此可知该文件的节数量为_。选项:A、3B、4C、5D、6正确答案:【4】6、问题:引入目录表(Import Table)的开始位置 RVA 和大小位于 PE 文件可选文件头 DataDirecotry 结构(共 16 项)中的第_项。选项:A、1B、2C、3D、13正确答案:【2】7、问题:DLL 被引出函数的函数名字符串的 RVA 存储在引出函数节下的哪个字段指向的表中?选项:A、Addre
15、ssOfFunctionsB、AddressOfNamesC、AddressOfNameOrdinalsD、Name正确答案:【AddressOfNames】 8、问题:如果需要手工从目标 PE 文件中提取其图标数据并生成.ico 文件的话,我们需要从以下哪类型资源中提取数据?选项:A、ICONB、BITMAPC、GROUPICOND、GROUPICON+ICON正确答案:【GROUPICON+ICON】9、问题:DLL 文件可能加载到非预期的 ImageBase 地址,PE 文件使用_解决该问题。选项:A、函数引入机制B、资源动态分配机制C、重定位机制D、函数引出机制E、资源节正确答案:【重
16、定位机制】10、问题:DLL 在编译时的初始文件名字符串的 RVA 存储在引出目录表下的哪个字段中?选项:A、AddressOfFunctionsB、AddressOfNamesC、AddressOfNameOrdinalsD、Name正确答案:【Name】11、问题:Window 系统中,.DL.SY.SCR 和.OCX 文件都属于 PE 文件格式。选项:A、正确B、错误正确答案:【正确】12、问题:在 PE 文件格式中,PE 文件头的 Signature(即“PE00”)位于 MZ DOS头及 DosStub 之后,32 位程序的 Signature 开始于 000000B0 位置。选项:
17、A、正确B、错误正确答案:【错误】 13、问题:引出目录表的开始位置就是引出函数节的开始位置,因此找到引出函数节就可以定位到引出目录表。选项:A、正确B、错误正确答案:【错误】14、问题:一个具有图标和菜单的可执行文件通常都具有资源节。选项:A、正确B、错误正确答案:【正确】15、问题:PE 文件的可选文件头是可选的,可以不要。选项:A、正确B、错误正确答案:【错误】16、问题:在进行函数引入时,必须在引入函数节部分注明目标函数名字,否则无法进行索引定位。选项:A、正确B、错误正确答案:【错误】17、问题:DLL 文件的编译生成时间存储在其引出函数目录表的时间戳信息中,在针对恶意代码的取证分析
18、过程中,该时间信息对于了解样本出现的开始日期具有一定参考意义。选项:A、正确B、错误正确答案:【正确】18、问题:每一个 PE 文件都必须有一个数据节和代码节,且这两个节不可以合并为一个节。选项:A、正确B、错误正确答案:【错误】19、问题:当一个 PE 可执行文件装载到内存之后,引入地址表(IAT 表)指向的数据将被对应函数在内存中的 VA 地址所代替。 选项:A、正确B、错误正确答案:【正确】20、问题:PE 文件一旦被签名之后,该文件的任何地方被修改都将导致签名验证无法通过。选项:A、正确B、错误正确答案:【错误】21、填空题:下图为某程序的.rdata 节(开始位置 RVA:2000,
19、文件偏移量:800H)在内存中的主要数据。通过分析可知,MessageBoxA 函数的 VA 地址=0x_ 【填入 8 个 16 进制数字或大写字母,高位在前,低位在后,譬如76F8BBE2,00002050】正确答案:【7689EA11】22、填空题:下图为某程序的.rdata 节(开始位置 RVA:2000,文件偏移量:800H)在内存中的主要数据。通过分析可知,文件 808H-80BH 偏移处的值是0x_。【填入 8 个 16 进制数字或大写字母,高位在前,低位在后,譬如76F8BBE2,00002050】 正确答案:【0000208C#%_YZPRLFH_%#8C200000】23、填
20、空题:下图为某 PE 程序的部分 16 进制数据截图,内存中 RVA 地址0040B341H 在该 PE 文件中的文件偏移地址为:_h。【8 位 16 进制数据,高位在前,字母大写】正确答案:【00008541】24、填空题:请分析附件文件 Zoomit.exe,通过分析可知:最大尺寸的 ICON 的RVA 是_。【8 位 16 进制数据,高位在前,字母大写】正确答案:【0006CC90】25、填空题:请分析附件文件,通过分析可知:最大尺寸的 ICON 对应的文件 Size是_。【8 位 16 进制数据,高位在前,字母大写】正确答案:【00000EA8】26、填空题:请分析附件文件,该文件中包
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- MOOC答案 中国大学慕课答案 MOOC