逆向工程大解密：如何破解Adobe Flash Player的秘密

1.3逆向工程与恶意代码分析概述

1、以下哪个人研制了第一个计算机病毒（Unix）窗体顶端

A、Fred Cohen

B、冯·诺伊曼

C、道格拉斯.麦耀莱、维特.维索斯基和罗伯.莫里斯

D、Robert T. Morris

答案： A

2、以下哪种病毒能够烧毁硬件？窗体顶端

A、CIH病毒

B、宏病毒

C、美丽莎病毒

D、红色代码

答案： A

3、到目前为止，以下哪种病毒造成的经济损失最大？窗体顶端

A、爱虫

B、SQL蠕虫王

C、冲击波

D、熊猫烧香

答案： A

4、反病毒软件商们为MS Word宏病毒命令的前缀是（              ）。窗体顶端

A、WM

B、VBS

C、Win32

D、W97M

答案： A

5、永恒之蓝，即EternalBlue这个工具就是利用windows系统的（         ）远程执行代码漏洞向Microsoft 服务器消息块服务器发送经特殊设计的消息，就能允许远程代码执行。窗体顶端

A、MS017-010漏洞

B、快捷方式文件解析漏洞

C、RPC漏洞

D、IRC漏洞

答案： A

6、熊猫烧香病毒是一种（            ）病毒。窗体顶端

A、木马

B、流氓软件

C、蠕虫

D、逻辑炸弹

答案： C

7、以下哪种恶意代码能发动DDOS攻击？窗体顶端

A、Cutwail

B、WannaCry

C、Stuxnet

D、Locky

答案： A

8、（           ）工具是一种特殊的恶意软件，它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息。窗体顶端

A、Rootkit

B、Phishing

C、APT28

D、ARP

答案： A

9【单选题】按照CARO命名规则，瀑布（Cascade）病毒的变种Cascade.1701.A中的1701是（         ）。窗体顶端

A、大变种

B、组名

C、小变种

D、修改者

答案： B

10【单选题】（         ）恶意代码利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。窗体顶端

A、APT

B、FireBall

C、Mirai

D、震网蠕虫

答案： A

11【单选题】不进行自我复制的两种病毒是（           ）。窗体顶端

A、逻辑炸弹和木马

B、逻辑炸弹和蠕虫

C、逻辑炸弹和Botnet

D、钓鱼和Mirai

答案： A

12【单选题】以下哪种恶意邮件病毒携带有利用CVE-2015-1641 漏洞的rtf 文件、包含恶意可执行文件的不同格式的存档以及带有宏和 OLE对象的文档，发起网络钓鱼攻击，造成30亿美元的损失。窗体顶端

A、尼日利亚钓鱼

B、APT28

C、Cabir

D、FireBall

答案： A

13【单选题】（            ）恶意代码感染了2.5亿台计算机，控制互联网浏览器, 监视受害者的 web 使用, 并可能窃取个人文件。窗体顶端

A、FireBall

B、尼日利亚钓鱼

C、Happy99 蠕虫

D、SQL蠕虫王

答案： A

14【单选题】以下说法不正确的是（                ）。窗体顶端

A、传统计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。

B、恶意代码是在未被授权的情况下，以破坏软硬件设备、窃取用户信息、扰乱用户心理、干扰用户正常使用为目的而编制的软件或代码片段。

C、计算机病毒或恶意代码的CARO命名规则，每一种病毒的命名包括了家族名、组名、大变种、小变种和修改者等五个部分。

D、反病毒软件商们通常在CARO命名的前面加一个前缀来标明病毒家族。

答案： D

15【单选题】（        ）的特点只感染微软数据（文档）文件。窗体顶端

A、宏病毒

B、木马病毒

C、勒索病毒

D、蠕虫病毒

答案： A

16【单选题】（            ）是指采用一种或多种传播手段，将大量主机感染bot程序，从而在控制者和被感染主机之间所形成的一个可一对多可控制的、分布式的、逻辑网络 。窗体顶端

A、Botnet

B、APT

C、IoT

D、Android

答案： A

17【单选题】（           ）工具是一种特殊的恶意软件，它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息。窗体顶端

A、Botnet

B、Rootkit

C、Industroyer

D、Regin

答案： B

18【单选题】已经恶意软件的SHA-256是：1bc9ab02d06ee26a82b5bd910cf63c07b52dc83c4ab9840f83c1e8be384b9254

那么，经查询，它的MD5是（             ）。窗体顶端

A、f7f85d7f628ce62d1d8f7b39d8940472

B、ec8aa67b05407c01094184c33d2b5a44

C、a565682d8a13a5719977223e0d9c7aa4

D、8913ac72cdb8afd98bd8446896e1595a

答案： A

19【单选题】以下说法不正确的是（                 ）。窗体顶端

A、CARO命名规则中每一种病毒的命名包括五个部分：病毒家族名、病毒组名、大变种、小变种、修改者

B、业界对恶意代码的三元组命名规则是：前缀表示恶意代码的类型、平台，名称指恶意代码的家族特征，后缀表示恶意代码的变种特征

C、根据恶意代码的三元组命名规则，Backdoor.Win32.InjShell.a的前缀是Backdoor。

D、Regin是一种APT恶意软件，由 NSA开发，并与其五眼联盟共享。

答案： C

20【单选题】以下哪个APT恶意软件，由俄罗斯国家黑客开发？窗体顶端

A、Industroyer

B、WannaCry

C、FireBall

D、Regin

答案： A

2.3引导区和PE病毒

1【单选题】引导型病毒是指寄生在（              ）的计算机病毒。窗体顶端

A、主引导扇区

B、磁盘引导扇区

C、主引导扇区或磁盘引导扇区

D、磁盘的0面0道第1扇区

答案： C

2、以下属于感染硬盘的主引导区的病毒是（         ）。窗体顶端

A、大麻病毒

B、小球病毒

C、Girl病毒

D、熊猫烧香

答案： A

3【单选题】以下属于感染硬盘的的活动分区引导记录的病毒是（         ）窗体顶端。

A、大麻病毒

B、火炬病毒

C、小球病毒

D、宏病毒

答案： C

4【单选题】引导型病毒加载病毒自身代码到内存的（         ）地址处。窗体顶端

A、0000H

B、7C00H

C、0413H

D、CS:100H

答案： B

5【单选题】引导型病毒修改（           ）中断的入口地址，使之指向病毒中断服务程序，当系统或用户进行磁盘读写时，就会激活病毒。窗体顶端

A、INT 21H

B、INT 01H

C、INT 11H

D、INT 13H

我的答案： D

6【单选题】主引导记录签名是（              ）和（                 ）。窗体顶端

A、MZ和PE

B、0x55和0xAA

C、MZ和NE

D、0E9H和3CH

我的答案： B

7【单选题】引导型病毒修改内存容量标志单元（             ），在原有值的基础上减去病毒长度，使得病毒代码能够常驻内存高端。窗体顶端

A、7C00H

B、0413H

C、CS:100H

D、0E9H

我的答案： B

8【单选题】DOS系统通过把控制传递（           ）处的指令而启动COM文件程序。窗体顶端

A、CS:100H

B、7C00H

C、0413H

D、3CH

我的答案： A

9【单选题】COM格式文件最大是（           ）。窗体顶端

A、4GB

B、16KB

C、4KB

D、64KB

我的答案： D

10【单选题】DOS系统装入COM文件时，先在内存建立一个长度为（             ）的PSP，然后将整个文件装载于 PSP 上端，不进行重定位操作窗体顶端

A、256字节

B、101H

C、0413H

D、0E9H

我的答案： A

11【单选题】以下对PE文件格式，说法不正确的是（             ）。窗体顶端

A、一个16位PE文件的寻址空间是4G。

B、PE文件格式来源于Unix的COFF格式。

C、Win32环境下的PE格式文件：exe可执行文件、dll动态链接库文件和scr屏幕保护程序。

D、PE文件是使用Win32环境和NT(New Technology)内核系统的可执行文件格式。

我的答案： A

12【单选题】以下选项，属于PE文件默认代码节的是（             ）。窗体顶端

A、Section .rdata

B、Section .rsrc

C、Section .text

D、Section .data

我的答案： C

13【单选题】以下选项，属于PE文件的引入函数节的是（             ）。窗体顶端

A、Section .text

B、Section .rdata

C、Section .data

D、Section .rsrc

我的答案： B

14【单选题】对于PE文件中有很多“00”字节，说法不正确的是（                  ）。窗体顶端

A、这是由于PE文件的文件节对齐粒度和内存节对齐粒度造成的。

B、 这是由感染PE文件的恶意代码造成的。

C、恶意软件可以利用这些空白区填充恶意代码。

D、CIH病毒就是利用这些“00”字节，填充恶意代码。

我的答案： B

15【单选题】可以根据PE文件的MZ头定位PE文件标记，以下说法正确的是（             ）。窗体顶端

A、3CH处显示“PE”

B、在3CH处显示PE头的地址

C、PE文件开始的两个字节

D、在0030H行末尾显示“PE”

我的答案： B

二. 填空题（共5题）

16【填空题】已知PE文件的ImageBase为400000H，RVA为1000H，那么，该PE文件的VA地址是（            ）。

提示：采用16进制填写，大写H表示。

我的答案：

第一空：

401000H

17【填空题】PE文件的文件节对齐粒度是（                 ）。

提示：采用16进制填写，大写H表示。

我的答案：

第一空：

200H

18【填空题】PE文件的内存节对齐粒度是（                 ）。

提示：采用16进制填写，大写H表示。

我的答案：

第一空：

1000H

19【填空题】PE文件病毒感染时会在宿主上附加代码，但每次感染内存地址不同，修改代码内的地址是不现实的，所以，需要使用（               ）技术。

我的答案：

第一空：

重定位

20【填空题】

已知宿主程序某变量的实际地址是00801009H、偏移地址是00401009H，病毒程序的var变量的偏移地址是00401000H，那么，病毒程序的var变量的实际地址是（            ）。

提示：采用16进制，大写H表示。

我的答案：

第一空：

00801000H

3.2寄存器、堆栈和栈帧

1【单选题】先向栈区添加了一个变量a，接着向栈区添加了另外一个变量b，则变量a所在的内存地址比变量b所在的内存地址（       ）。窗体顶端

A、低

B、高

C、不确定

D、相等

窗体底端

我的答案： B

2、函数栈帧不包括的是（           ）。

A、局部变量

B、全局变量

C、函数参数

D、返回地址

窗体底端

我的答案： B

3【单选题】一个函数f(int a, int b)，在发生对f的函数调用后将开辟函数f的栈帧，其中变量a的地址比变量b的地址（     ）。窗体顶端

A、低

B、高

C、相等

D、不确定

窗体底端

我的答案： A

4【单选题】函数调用完毕后，返回原来函数的指令处运行的一个关键操作是，将栈帧中保存的返回地址装入（      ）。窗体顶端

A、ESP寄存器

B、EBP寄存器

C、EIP寄存器

D、EBI寄存器

窗体底端

我的答案： C

5【单选题】CPU自带一级缓存和二级缓存，从一级缓存或二级缓存里读数据与从寄存器、内存里面读数据相比，哪个速度最快？窗体顶端

A、一级缓存

B、寄存器

C、二级缓存

D、内存

窗体底端

我的答案： B

6【单选题】存储下次将要执行的指令在代码段的偏移量的是（       ）。窗体顶端

A、EIP

B、ESP

C、EBP

D、EIR

窗体底端

我的答案： A

7【单选题】汇编指令中MOV　AX，[BX+1200H]采用的寻址方式是（          ）。 窗体顶端

A、直接寻址

B、间接寻址

C、相对寻址

D、基址变址寻址

窗体底端

我的答案： C

8【单选题】汇编指令中MOV　EAX, [EBX+ESI] 采用的寻址方式是（          ）。 窗体顶端

A、间接寻址

B、相对寻址

C、基址变址寻址

D、相对基址变址寻址

窗体底端

我的答案： C

9【单选题】汇编指令中 MOV CL, 05H 采用的寻址方式是（          ）。 窗体顶端

A、立即寻址

B、直接寻址

C、间接寻址

D、相对寻址

窗体底端

我的答案： A

10【单选题】汇编指令中 MOV [BX], 12H 采用的寻址方式是（          ）。 窗体顶端

A、立即寻址

B、直接寻址

C、间接寻址

D、相对寻址

窗体底端

我的答案： C

11【单选题】汇编指令中 MOV AL,[3100H] 采用的寻址方式是（          ）。窗体顶端

A、立即寻址

B、直接寻址

C、间接寻址

D、相对寻址

窗体底端

我的答案： B

12【单选题】汇编指令中 MOV EAX, [EBX+ESI+1000H] 采用的寻址方式是（          ）。 窗体顶端

A、间接寻址

B、相对寻址

C、基址变址寻址

D、相对基址变址寻址

窗体底端

我的答案： D

13【单选题】CMP EAX, EAX; 语句执行后，ZF寄存器的值为（    ）。窗体顶端

A、0

B、1

C、不受影响

D、-1

窗体底端

我的答案： B

14【单选题】汇编指令MOV AX, 01H; AND AX, 02H运行之后，AX寄存器里的值为（         ）。窗体顶端

A、0

B、1

C、2

D、3

窗体底端

我的答案： A

15【单选题】汇编指令 test  AX, AX 的功能是（            ）。窗体顶端

A、零标志位ZF置 1

B、零标志位ZF置 0

C、检测AX是否为0

D、检测AX是否为1

窗体底端

我的答案： C

16【单选题】汇编指令 push ebp; mov ebp,esp; 执行之后，ESP-EBP的值为（          ）。窗体顶端

A、0

B、4

C、-4

D、8

窗体底端

我的答案： A

17【单选题】以下条件转移指令，表示检测到标志寄存器ZF为1时转移的指令是（       ）。窗体顶端

A、JE

B、JNZ

C、JG

D、JL

窗体底端

我的答案： A

18【单选题】以下条件转移指令，表示检测到标志寄存器ZF为0时转移的指令是（       ）。窗体顶端

A、JE

B、JNE

C、JL

D、JG

窗体底端

我的答案： B

19【单选题】以下程序返回前，bx中的值是（            ）。

assume cs:code

code segment

start: mov ax,1

mov cx,3

call s

mov bx,ax ;(bx) = ?

mov ax,4c00h

int 21h

s:  add ax,ax

loop s

ret

code ends

end start窗体顶端

A、3

B、8

C、0

D、4c00h

窗体底端

我的答案：

B

20【单选题】对于如下代码：int * p1=new int[200]; char * p2=new char[30];  下列说法正确的是（           ）。窗体顶端

A、所申请的内存将分配到栈区

B、所申请的内存将分配到堆区

C、p1的值大于p2的值

D、p1的值小于p2的值

窗体底端

我的答案： B

二. 多选题（共1题）

21【多选题】对于如下代码：int * p1=new int[200]; char * p2=new char[30];  下列说法正确的是（           ）。窗体顶端

A、所申请的内存将分配到栈区

B、所申请的内存将分配到堆区

C、p1的值大于p2的值

D、p1的值小于p2的值

E、p1的值和p2的值大小无法确定

窗体底端

我的答案： BE

3.5 寻址方式和主要指令

1、能有效阻止非代码区的植入的恶意代码执行的技术是（          ）。窗体顶端

A、ASLR

B、GS Stack Protection

C、SEHOP

D、DEP

窗体底端

我的答案： D

2、下列不可以作为跳板的指令是（           ）。窗体顶端

A、Jmp esp

B、Mov eax, esp; jmp eax

C、Mov eax, ebp; jmp ebp

D、Jmp ebp

窗体底端

我的答案： C

3【单选题】执行以下指令后，EDX寄存器值为（                ）。

ESP -> ???????? => POP EAX # RETN

0x00000001

???????? => ADD EAX, 2 # RETN

???????? => XCHG EAX,EDX # RETN窗体顶端

A、0

B、1

C、2

D、3

窗体底端

我的答案： D

4【单选题】（             ）技术是一项缓冲区溢出的检测防护技术。窗体顶端

A、ASLR

B、GS Stack Protection

C、DEP

D、SafeSEH

窗体底端

我的答案： B

5【单选题】SEH攻击是指通过栈溢出或者其他漏洞，使用精心构造的数据覆盖SEH上面的某个函数或者多个函数，从而控制（        ）。窗体顶端

A、EBP

B、ESP

C、EIP

D、DEP

窗体底端

我的答案： C

6【单选题】（            ）是一项通过将系统关键地址随机化,从而使攻击者无法获得需要跳转的精确地址的技术。窗体顶端

A、ASLR

B、DEP

C、SEH

D、SafeSEH

窗体底端

我的答案： A

7【单选题】VC++编译器中提供了一个/GS编译选项，如选择该选项，编译器针对函数调用和返回时添加保护和检查功能的代码，在函数被调用时，在缓冲区和函数返回地址增加一个32位的随机数（           ），在函数返回时，调用检查函数检查该值是否有变化。窗体顶端

A、DEP

B、SEH

C、GS Stack Protection

D、security_cookie

窗体底端

我的答案： D

4.2 软件漏洞简介

1、触发漏洞、将控制权转移到目标程序的是（         ）。窗体顶端

A、shellcode

B、exploit

C、payload

D、vulnerability

窗体底端

我的答案： C

2【单选题】下列不属于对Shellcode进行编码的原因的是（          ）。窗体顶端

A、字符集差异

B、绕过安全检测

C、绕过坏字符

D、绕过返回地址

窗体底端

我的答案： D

3【单选题】能有效阻止非代码区的植入的恶意代码执行的技术是（          ）。窗体顶端

A、ASLR

B、GS Stack Protection

C、SEHOP

D、DEP

窗体底端

我的答案： D

4【单选题】下列不可以作为跳板的指令是（           ）。窗体顶端

A、Jmp esp

B、Mov eax, esp; jmp eax

C、Mov eax, ebp; jmp ebp

D、Jmp ebp

窗体底端

我的答案： C

5【单选题】执行以下指令后，EDX寄存器值为（                ）。

ESP -> ???????? => POP EAX # RETN

0x00000001

???????? => ADD EAX, 2 # RETN

???????? => XCHG EAX,EDX # RETN窗体顶端

A、0

B、1

C、2

D、3

窗体底端

我的答案： D

6【单选题】（             ）技术是一项缓冲区溢出的检测防护技术。窗体顶端

A、ASLR

B、GS Stack Protection

C、DEP

D、SafeSEH

窗体底端

我的答案： B

7【单选题】通过精心构造，攻击者通过缓冲区溢出覆盖（            ）中异常处理函数句柄，将其替换为指向恶意代码shellcode的地址，并触发相应异常，从而使程序流程转向执行恶意代码。窗体顶端

A、GS

B、ASLR

C、DEP

D、SEH

窗体底端

我的答案： D

8【单选题】SEH攻击是指通过栈溢出或者其他漏洞，使用精心构造的数据覆盖SEH上面的某个函数或者多个函数，从而控制（        ）。窗体顶端

A、EBP

B、ESP

C、EIP

D、DEP

窗体底端

我的答案： C

9【单选题】（            ）是一项通过将系统关键地址随机化,从而使攻击者无法获得需要跳转的精确地址的技术。窗体顶端

A、ASLR

B、DEP

C、SEH

D、SafeSEH

窗体底端

我的答案： A

10【单选题】VC++编译器中提供了一个/GS编译选项，如选择该选项，编译器针对函数调用和返回时添加保护和检查功能的代码，在函数被调用时，在缓冲区和函数返回地址增加一个32位的随机数（           ），在函数返回时，调用检查函数检查该值是否有变化。窗体顶端

A、DEP

B、SEH

C、GS Stack Protection

D、security_cookie

窗体底端

我的答案： D

4.5软件漏洞检测

1、对于CVE漏洞数据库，以下哪一项记录了漏洞对应的CVE编号？窗体顶端

A、problemtype

B、configurations

C、impact

D、CVE_data_meta

窗体底端

我的答案：D

2【单选题】对于漏洞数据库，以下哪一项记录了漏洞对应的CWE缺陷名称？窗体顶端

A、problemtype

B、CVE_data_meta

C、description

D、references

窗体底端

我的答案：A

3【单选题】以下哪种虚拟化技术是依赖硬件虚拟化技术（Intel VT或者AMD V）的裸机虚拟化程序，使用 Linux 内核作为它的虚拟机管理程序？窗体顶端

A、JVM虚拟机

B、KVM虚拟机

C、Dalvik虚拟机

D、ART虚拟机

窗体底端

我的答案：B

4【单选题】以下哪种说法不正确？窗体顶端

A、CVE是通用漏洞披露。

B、CNVD是中国国家信息安全漏洞共享平台。

C、CNNVD是中国国家信息安全漏洞库。

D、NVD漏洞数据库是中国国家漏洞库。

窗体底端

我的答案：D

5【单选题】以下哪种说法是不正确的？窗体顶端

A、源代码漏洞检测是指在软件开发的早期阶段，通过对源代码进行静态分析来识别潜在的安全漏洞。这种方法不需要运行程序，而是通过解析代码结构、数据流和控制流等信息来发现可能存在的问题。

B、二进制代码漏洞检测是通过逆向分析（静态和动态分析方法）编译后的二进制文件（如可执行文件、库文件等），查找其中可能存在的安全漏洞。这种方法通常用于无法获取源代码的场景。

C、漏洞库为每个收录的漏洞分配唯一标识符，例如数字或字母数字名称可，并且通常以通过网页，导出或API来获取数据库中的信息。

D、漏洞检测是一种被动的网络安全防御措施，通过对网络或主机进行扫描、渗透以及时发现安全漏洞，进而给出风险评估报告和漏洞修复建议，从而帮助用户掌握系统安全现状、提升系统安全性。

窗体底端

我的答案：D

6【单选题】以下哪一种是开源的漏洞扫描软件？可以不断从NVT、SCAP、CERT漏洞数据库更新漏洞信息，针对已知的漏洞库中的漏洞，使用可配置的漏洞扫描引擎从远程检测资产中存在的安全问题。窗体顶端

A、Nessus

B、Nmap

C、Lynis

D、GVM

窗体底端

我的答案：D

7【单选题】以下哪一种是基于主机的、开源的安全审计软件？窗体顶端

A、Metasploit

B、GVM

C、Lynis

D、Nmap

窗体底端

我的答案：C

8【单选题】以下哪一个是使用Ruby语言编写的开源的模块化渗透测试平台，可用于开发、测试和执行漏洞利用代码。窗体顶端

A、Metasploit Pro

B、Mulval

C、Lynis

D、MSF

窗体底端

我的答案：D

9【单选题】以下哪个软件可以生成漏洞攻击图？窗体顶端

A、MulVAL

B、Nessus

C、Lynis

D、Nmap

窗体底端

我的答案：A

10【单选题】MulVAL使用（          ）定义计算机系统上存在的漏洞。窗体顶端

A、Datalog

B、Prolog

C、OVAL

D、Python

窗体底端

我的答案：C

4.8恶意代码检测

1【单选题】特征码是从恶意代码中提取的，能够唯一代表某个恶意代码家族或变种，并被杀毒软件纳入到特征库的（          ）。窗体顶端

A、一段特别的代码

B、字符串

C、引入函数节

D、字节流

窗体底端

我的答案： D

2【单选题】以下不属于恶意代码静态特征的是（             ）。窗体顶端

A、IAT表

B、字节码图像化

C、调用API函数的时间序列

D、angr或IDA工具调试时的基本块

窗体底端

我的答案： C

3【单选题】（          ）是FireEye公司开源的静态分析工具，通过静态分析二进制文件，识别其潜在的攻击模式和功能，且能与ATT&CK框架战术-技术映射。窗体顶端

A、CAPE

B、CAPA

C、angr

D、Noriben

窗体底端

我的答案： B

4【单选题】（            ）是一个动态二进制插桩工具，用于在运行时对程序进行插桩和分析。它可以在不修改源代码的情况下，动态地插入自定义代码来监控、分析和修改程序的执行行为。窗体顶端

A、pin

B、angr

C、CAPA

D、cuckoo

窗体底端

我的答案： A

5【单选题】（         ）沙箱需要跟ProcMon程序配合，才能动态检测恶意代码。窗体顶端

A、cuckoo

B、CAPE

C、Noriben

D、pin

窗体底端

我的答案： C

5.2 Linux 和木马病毒

1、Linux系统的可执行文件格式是（       ）。窗体顶端

A、PE

B、ELF

C、SH

D、EXE

窗体底端

我的答案： B

2【单选题】Linux的可执行文件格式中的节区，包含二进制代码部分的是（            ）。窗体顶端

A、.text

B、.rodata

C、.data

D、.bss

窗体底端

我的答案： A

3【单选题】Linux的可执行文件格式中的节区，属于只读数据部分的是（            ）。窗体顶端

A、.rdata

B、.rodata

C、.data

D、.bss

窗体底端

我的答案： B

4【单选题】Linux的可执行文件格式中的节区，属于已初始化全局变量部分的是（            ）。窗体顶端

A、.rodata

B、.data

C、.bss

D、.rdata

窗体底端

我的答案： B

5【单选题】Linux的可执行文件格式中的节区，属于未初始化全局标量部分的是（            ）。窗体顶端

A、.rodata

B、.rdata

C、.bss

D、.data

窗体底端

我的答案： C

6【单选题】以下不属于Silvio（西尔维奥）填充感染法的病毒是（      ）。窗体顶端

A、Brundle Fly

B、POC 病毒

C、LPV 病毒

D、Shell脚本病毒

窗体底端

我的答案： D

7【单选题】以下对于Silvio（西尔维奥）填充感染法，说法不正确的是（         ）。窗体顶端

A、它利用内存中的text段和 data 段之间的填充空间

B、它将病毒体限制在了一个内存分页的大小

C、在 64 位的系统上，可执行文件使用较大的分页，能容纳将近 2MB 的感染代码

D、它利用在磁盘上的text 段和 data 段之间的空白区

窗体底端

我的答案： D

8【单选题】以下对于逆向 text 感染法，说法不正确的是（        ）。

窗体顶端A、在逆向扩展过程中，需要将 text 段的虚拟地址缩减 PAGE_ALIGN(parasite_size)

B、32位系统上所允许的最小虚拟映射地址为0x1000，因此， text 的虚拟地址最多能扩展到 0x1000

C、64位的系统上，默认的 text 虚拟地址通常为 0x400000，寄生代码可以占用的空间就可以达到 0x3ff000 字节

D、它是一种PE文件类型病毒感染法

窗体底端

我的答案： D

9【单选题】以下对于ClamAV病毒软件，说法不正确的是（           ）。窗体顶端

A、ClamAV软件是⼀款 UNIX 下开源的 (GPL) 反病毒⼯具包。

B、ClamAV软件手动更新病毒库的命令是sudo freshclam

C、可以使用sudo  service  clamav stop 命令停止守护进程

D、ClamAV软件扫描病毒的命令是clamscan

窗体底端

我的答案： C

10【单选题】以下对于gdb调试工具，说法不正确的是（        ）。窗体顶端

A、GNU symbolic debugger，简称「GDB 调试器」，是 Linux 平台下最常用的一款程序调试器。

B、gdb调试器对 C、C++、Go、Objective-C、OpenCL、Ada 等多种编程语言提供了支持。

C、使用gdb时，需要gcc编译使用带调式信息-g参数。

D、gdb支持多种CPU架构以及文件格式

窗体底端

我的答案： D

11【单选题】以下对于radare2工具，说法不正确的是（     ）。窗体顶端

A、它是个基于命令行的逆向工具，包括反汇编、分析数据、打补丁、比较数据、搜索、替换、虚拟化等等，它可以运行在几乎所有主流的平台（Linux, Windows, iOS）并且支持很多的CPU架构以及文件格式。

B、radare2不只是一个工具，而是一个框架，是众多逆向分析工具的组合。

C、radare2是主程序，可以用于通过一系列的命令对文件进行分析与调试，还支持多种语言如Python、Ruby的脚本调用。

D、对于radare2中的命令，都可以在命令前加一个?来获取使用说明。

窗体底端

我的答案： D

12【单选题】以下关于木马病毒的分类，说法不正确的是（            ）。窗体顶端

A、远程访问型木马是现在最广泛的特洛伊木马。

B、密码发送型木马不会在每次Windows重启时都自动加载，它们大多数使用25号端口发送电子邮件。

C、键盘记录型木马随着Windows的启动而启动，知道受害者在线并且记录每一个用户事件，然后通过邮件或其他方式发送给控制者。

D、毁坏型木马窃取信息，并控制对方计算机。

窗体底端

我的答案： D

13【单选题】以下对于木马植入技术，说法不正确的是（      ）。窗体顶端

A、缓冲区溢出攻击是植入木马最常用的手段。据统计，通过缓冲区溢出进行的攻击占所有系统攻击总数的80%以上。

B、缓冲区溢出((Buffer Overflow)指的是一种系统攻击的手段，通过往程序的缓冲区写超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其它指令，以达到攻击的目的。

C、往缓冲区中填东西造成它溢出，出现出现Segmentation fault错误，达到植入木马攻击的目的。

D、如果在溢出的缓冲区中写入我们想执行的代码，再覆盖函数返回地址的内容，使它指向缓冲区的开头，就可以达到运行其它指令的目的。

窗体底端

我的答案： C

14【单选题】以下对于HOOK技术，说法不正确的是（           ）。窗体顶端

A、在Windows 操作系统里面，应用程序只能处理来自进程内部的消息或是从其他进程发过来的消息，如果需要对在进程外传递的消息进行拦截处理就必须采取一种被称为API HOOK（钩子）的技术。

B、钩子的本质是一段用以处理系统消息的程序，通过系统调用，将其挂入到系统，在对特定的系统事件(比如键盘事件)进行Hook。

C、在Windows 操作系统里面，API是指由操作系统提供功能的、由应用程序调用的函数。

D、API HOOK技术是一种用于改变API执行结果的技术，Microsoft 自身也在Windows操作系统里面使用了这个技术，如Windows兼容模式等。

窗体底端

我的答案： A

15【单选题】以下对于Rootkit技术，说法不正确的是（           ）。窗体顶端

A、Rootkits最早是一组用于UNIX操作系统的工具集，黑客使用它们隐藏入侵活动的痕迹。

B、Rootkit工作在内核态，可以修改内核的数据结构，达到隐藏文件和进程的目的。

C、用户态Rootkit使得杀毒软件失效。

D、用户态Rootkit通常通过释放动态链接库（DLL）文件，并将它们注入到其它软件及系统进程中运行，通过HOOK方式对消息进行拦截，使得检测程序返回错误的信息，达到隐藏文件和进程的目的。

窗体底端

我的答案： C

6.2 Android

1、对于Android的APK文件，以下哪一种是Java代码编译后产生运行在Dalvik虚拟机上？窗体顶端

A、AndroidManifest.xml

B、resources.arsc

C、META-INF

D、classes.dex

窗体底端

我的答案： D

2【单选题】以下说法不正确的是（                ）。窗体顶端

A、class文件有很多冗余信息，dex文件会做去冗余信息的优化。

B、JVM执行的是.class文件、Dalvik和ART执行的.dex文件。

C、JVM是基于寄存器，Dalvik虚拟机是基于堆栈。

D、resources.arsc文件是Android的APK文件的资源索引表。

窗体底端

我的答案： C

3、以下说法不正确的是（         ）。窗体顶端

A、dex文件由3大部分组成：文件头、签名区、数据区。

B、Android系统dex文件的文件头包括：0x70个字节大小，它包含标志、版本号、校验码、sha1签名以及其他一些方法、类的数量和偏移地址等信息。

C、Android系统dex文件的数据区包括：类的定义、数据区、链路数据区。

D、Android系统的APK文件实际上是一个压缩包文件。

窗体底端

我的答案： A

4【单选题】以下哪种移动智能终端恶意代码能够扣费，发送SP业务定制短信并删除发送记录？窗体顶端

A、吞钱贪婪鬼

B、Lasco系列恶意代码

C、白卡吸费魔

D、Skulls

窗体底端

我的答案： C

5、（            ）系列的手机木马被称为“隐私大盗”木马，是一批专偷短信、IMEI（手机串号）、Google 账号等隐私信息系列手机木马，其变种数量超过60 个。窗体顶端

A、Cabir

B、索马里海盗

C、X 卧底

D、DroidDreamLight

窗体底端

我的答案： D

6【单选题】第一个攻击手机的病毒是（                 ）。窗体顶端

A、VBS.Timofonica

B、Cabir

C、Skulls

D、Lasco

窗体底端

我的答案： A

7【单选题】以下哪种移动智能终端恶意代码能每隔几秒就会偷偷的向你通讯录中的号码发送彩信？窗体顶端

A、吞钱贪婪鬼

B、RottenSys

C、“白卡吸费魔”木马

D、DroidDreamLight 系列手机木马

我的答案： A

8【单选题】以下哪种手机恶意代码伪装成安卓手机的“系统 Wi-Fi服务”，“每日黄历”、“畅米桌面”等应用，并通过不定期给用户推送广告或指定APP来盈利？窗体顶端

A、RottenSys

B、吞钱贪婪鬼

C、“X 卧底”系列木马

D、“索马里海盗”木马

窗体底端

我的答案： A

7.2物联网恶意软件

1、通过伪装成合法的服务或应用来欺骗用户，诱导用户提供敏感信息或者直接下载并安装物联网恶意软件。这是哪一种物联网恶意软件的传播机制？窗体顶端

A、设备漏洞利用

B、网络钓鱼攻击

C、恶意软件捆绑

D、物理设备攻击

窗体底端

我的答案： B

2【单选题】一旦某些设备被感染，它们可以被用来作为僵尸网络的一部分，用于发动分布式拒绝服务(DDoS)攻击，同时也可以被用来扫描和感染其他易受攻击的物联网设备，从而扩大僵尸网络规模。这是哪一种物联网恶意软件的传播方式？窗体顶端

A、供应链攻击

B、跨平台恶意代码

C、自动传播机制

D、Botnet

窗体底端

我的答案： D

3、（               )是著名的物联网僵尸网络恶意软件，是拥有变种数量最多的家族，它能够感染使用出厂默认密码或弱密码设置的物联网设备，并将这些设备纳入其僵尸网络中以发动大规模DDoS攻击。窗体顶端

A、Gafgyt

B、Pnscan

C、Mirai

D、Aidra

窗体底端

我的答案： C

4【单选题】（                ）是一种高度复杂的计算机蠕虫，首次发现于2010年，它主要针对的是伊朗的核设施。Stuxnet能够利用多个零日漏洞，并且是首个已知的专门设计来对物理设备造成损害的恶意软件。窗体顶端

A、Stuxnet

B、Darlloz

C、Havex

D、Industroyer

窗体底端

我的答案： A

5、（             ）是一种针对安全仪表系统（SIS）的恶意软件。它的目标是破坏工厂的安全机制，可能导致严重的物理伤害或环境灾难。这种恶意软件在2017年被发现时引起了广泛的关注。窗体顶端

A、PLC-Blaster

B、BlackEnergy

C、Triton

D、CrashOverride

窗体底端

我的答案： C

8.2 APT

1、以下哪一项不能体现APT恶意软件隐蔽性强的特点？窗体顶端

A、使用根套接字、加密通信、反向连接等技术来规避入侵检测系统在通信方面的监测。

B、利用合法软件的漏洞或潜在的安全弱点，隐藏于合法软件中。

C、使用信息隐藏技术，将恶意负载隐藏在图像等非可执行性文件中，以此逃避反病毒软件的查杀。

D、将自己植入系统的关键组件中，以确保在系统重启后仍然存在，并且能够自动恢复和继续其恶意行为。

窗体底端

我的答案： D

2【单选题】2018年10月，APT组织海莲花(OceanLutus)在一次攻击中使用了隐写技术。该攻击使用的恶意软件加载器模拟（            ）软件下一个名为McVsoCfg.dll的动态链接库文件，该文件尝试使用“白利用”手法将自身加载运行，即尝试通过合法的On Demand Scanner可执行文件加载自身。窗体顶端

A、McAfee

B、Windows

C、Linux

D、Vistual Studio

窗体底端

我的答案： A

3、2018年10月，APT组织海莲花(OceanLutus)在一次攻击中使用了隐写技术。恶意软件使用一幅彩色的PNG图片来加载攻击载荷(Payload)，该图片与McVsoCfg.dll在同一目录下，名为x5j3trra.Png。 这幅图片来自（                   ）中的人物。窗体顶端

A、哪吒

B、哈利波特

C、名侦探柯南

D、多啦A梦

窗体底端

我的答案： C

4【单选题】2018年10月，APT组织海莲花(OceanLutus)在一次攻击中使用了隐写技术。该隐写技术使用了（              ）信息隐藏算法。窗体顶端

A、DCT

B、LSB

C、深度神经网

D、DeepLock

窗体底端

我的答案： B

5、APT恶意软件可以使用（              ）技术，实现无文件攻击。窗体顶端

A、LSB信息隐藏

B、DeepLock

C、Rootkit

D、PowerShell

窗体底端

我的答案： D

6【单选题】APT攻击最早由（                     ）于2006年提出。窗体顶端

A、美国国家标准与技术研究院

B、美国国防部的网络情报中心

C、中国国家信息安全漏洞库

D、中国国家网络安全中心

窗体底端

我的答案： B

随堂测试：

一、

11、DOS系统装入COM文件时，先在内存建立一个长度为（       ）的PSP，然后将整个文件装载于 PSP 上端，不进行重定位操作

A.256字节

B.101H

C.0413H

D.0E9H

正确答案: A

16引导型病毒修改（      ）中断的入口地址，使之指向病毒中断服务程序，当系统或用户进行磁盘读写时，就会激活病毒。

A.INT 21H

B.INT 01H

C.INT 11H

D.INT 13H

正确答案: D

20、引导型病毒修改内存容量标志单元（       ），在原有值的基础上减去病毒长度，使得病毒代码能够常驻内存高端。

A.7C00H

B.0413H

C.CS:100H

D.0E9H

正确答案: B

二、无

三、

3、通过精心构造，攻击者通过缓冲区溢出覆盖（      ）中异常处理函数句柄，将其替换为指向恶意代码shellcode的地址，并触发相应异常，从而使程序流程转向执行恶意代码。

触发漏洞、将控制权转移到目标程序的是

A.GS

B.ASLR

C.DEP

D.SEH

正确答案: D

4、漏洞也称为（     ）。

A.Hole

B.Fault

C.Vulnerability

D.Weakness

正确答案: C

5、发生缓冲区溢出的主要原因是（    ）。

A.缺少堆栈安全检查机制

B.栈地址是从低地址向高地址增长

C.栈帧结构设计不合理

D.未对边界进行检查

正确答案: D

6、DWORD SHOOT攻击是指（     ）。

A.能够读取任意位置内存数据的攻击

B.能够向任意位置内存写入任意数据的攻击

C.能够向任意位置内存写入任意数据、并能读取任意位置内存数据的攻击

D.以上都不对

正确答案: B

7、SEH结构存在于（      ）。

A.堆区

B.栈区

C.寄存器

D.代码区

正确答案: B

8、以下程序利用溢出漏洞执行why_here函数，下划线处需要填入（        ）。

void why_here(void)

{  printf("why u r here?!\n");

exit(0);

}

void f()

{   int buff; int * p = &buff;

________= (int)why_here;

}

int main(int argc, char * argv[])

{   f();

return 0;

}

A.p[0]

B.p[1]

C.buff[2]

D.p[2]

正确答案: D

9、在1996年，Aleph One在Underground发表了著名论文《SMASHING THE STACK FOR FUN AND PROFIT》，其中详细描述了Linux系统中栈的结构和如何利用基于栈的缓冲区溢出，并在论文中称这段被植入进程的代码为（       ）。

A.shellcode

B.Macious Code

C.dll

D.Payload

正确答案: A

11、gcc编译器有一种栈保护机制阻止缓冲区溢出，如果要关闭这种机制，编译时可以使用（ ）参数。

A.-fstack-protector

B.-fstack-protector-all

C.-fno-stack-protector

D.-fstack-protector-explicit

正确答案: C

12、如果要关闭gcc编译器的Warning，编译时可以使用（     ）参数。

A.-o

B.-S

C.-c

D.-w

正确答案: D

13.[单选题]针对以下C语言程序，输入（ ），可以使程序出现缓冲区溢出而通过验证码。

#include <stdio.h>

#define PASSWORD "23456789"

int verify_password(char * password)

{

int authenticated;

char buffer[8]; //add local buff to be overflowed

authenticated = strcmp(password, PASSWORD);

strcpy(buffer, password);

return authenticated;

}

void main()

{

int valid_flag = 0;

char password[1024];

while(1)

{

printf("请输入密码: ");

scanf("%s", password);

valid_flag = verify_password(password);

if(valid_flag)

{      printf ("密码不正确!\n\n");

}

else

{      printf("恭喜!密码正确！你通过了验证！\n");

break;

}

}

}

A.23456789

B.12345678

C.22222222

D.33333333

正确答案: D

14、发生栈溢出漏洞时，要写入数据的填充方向是（ ），多余的数据就会越过栈帧的基址，覆盖基址以上的地址空间。

A.从高地址向低地址增长

B.从低地址向高地址增长

C.不确定

D.栈中空白区域

正确答案: B

15.[单选题]以下说法不正确的是（ ）。

A.对于栈溢出，如果栈的返回地址被覆盖，当覆盖后的地址是一个无效地址，则程序运行失败。

B.对于栈溢出，如果覆盖返回地址的是恶意程序的入口地址，则源程序将转向去执行恶意程序。

C.缓冲区溢出是指程序运行时，向固定大小的缓冲区写入超过其容量的数据，多余的数据会越过缓冲区的边界覆盖相邻内存空间，从而造成溢出。

D.栈的存取采用先进后出的策略，程序用它来保存函数调用时的有关信息，如函数参数、返回地址，函数中的静态变量存放在栈中。

正确答案: D

16、以下说法不正确的是（ ）。

A.ASLR是一项通过将系统关键地址随机化，从而使攻击者无法获得需要跳转的精确地址的技术。

B.ASLR是Windows系统独有的技术。

C.对于Windows系统，ASLR随机化的关键系统地址包括: PE文件(exe文件和dll文件)映像加载地址、堆栈基址、堆地址、PEB和TEB（Thread Environment Block，线程环境块）地址等。

D.Shellcode需要调用一些系统函数才能实现系统功能达到攻击目的。操作系统采用ASLR技术，使Shellcode攻击难以实现。

正确答案: B

17、以下说法不正确的是（        ）。

A.GS Stack Protection技术是一项缓冲区溢出的检测防护技术。

B.VC++编译器中提供了一个/GS编译选项，如选择该选项，编译器针对函数调用和返回时添加保护和检查功能的代码，在函数被调用时，在缓冲区和函数返回地址增加一个64位的随机数security_cookie。

C.硬件DEP需要CPU的支持,需要CPU在页表增加一个保护位NX(no execute)，来控制页面是否可执行。

D.Visual Studio编译器提供了一个链接标志/NXCOMPAT，可以在生成目标应用程序的时候使程序启用DEP保护。

正确答案: B

18.[单选题]以下说法不正确的是（     ）。

A.SEH是Windows异常处理机制所采用的重要数据结构链表。程序设计者可以根据自身需要，定义程序发生各种异常时相应的处理函数，保存在SEH中。

B.通过精心构造，攻击者通过缓冲区溢出覆盖SEH中异常处理函数句柄，将其替换为指向恶意代码shellcode的地址，并触发相应异常，从而使程序流程转向执行恶意代码。

C.SafeSEH就是一项保护SEH函数不被非法利用的技术。

D.微软在编译器中加入了/SafeSEH选项,采用该选项编译的程序将PE文件中所有非法的SEH异常处理函数的地址解析出来制成一张SEH函数表，放在PE文件的数据块中,用于异常处理时候进行匹配检查。

正确答案: D

四、

16、以下说法，哪一个是不正确的？

A.恶意代码检测本质上是一种多分类任务。

B.机器学习数据集中的一条记录叫做样本或实例。

C.当数据集没有标签时，也可以仅通过特征进行聚类等分析，这种无标签情况的下的机器学习也叫无监督学习问题。

D.任何一个机器学习方法都是由模型、策略和算法三要素构成。

正确答案: A

17、以下说法，不正确的是（ ）。

A.准确率（Accuracy）是机器学习分类任务的一种指标。

B.精确率（Precisio）是机器学习分类任务的一种指标。

C.均方误差MSE是机器学习回归任务的一种指标。

D.混淆矩阵是机器学习回归任务的一种指标。

正确答案: D

18、（ ）是Python机器学习核心模型与算法库。

A.skimage

B.sklearn

C.NumPy

D.SciPy

正确答案: B

19计算欧式距离，公式是（ ）。

A.

B.

C.

D.

正确答案: C

20、对于机器学习中“随机森林”，说法错误的是（ ）。

A.随机森林以决策树为弱学习器的集成学习方法。

B.对于大量决策树组成随机森林，然后将每棵树的结果进行综合，分类任务可以使用投票法，回归任务可使用均值法。

C.随机森林的实现建立在决策树的基础之上，然后通过两个随机性——行抽样和列抽样，来构造样本子集并用以训练随机森林的基学习器，最后将每个基学习器的预测结果集成，得到最终的预测结果。

D.随机森林采用三种方式来选取最优特征，包括信息增益、信息增益比和基尼指数。

正确答案: D

五、

11、阅读论文并回答问题：实验8相关论文中的论文“基于CFG和TTP的恶意软件分析技术_李镇山.caj”中所采用的“基于CFG_API 图的恶意软件分类方法”，是一种（ ）的分类方法。

提示：使用CajViewer软件打开.caj格式的文件。

A.基于控制流图的静态特征

B.基于控制流图的动态特征

C.将CFG图信息融入API函数调用

D.融合静态特征和动态特征

正确答案: D

12、阅读论文并回答问题：实验8相关论文中的论文“基于CFG和TTP的恶意软件分析技术_李镇山.caj”中通过（ ）模型,将恶意软件分类问题转化为（ ）问题。

提示：使用CajViewer软件打开.caj格式的文件。

A.CNN，ResNet-50

B.图神经网络，图分类

C.CNN，卷积网络分类

D.ACFG，图分类

正确答案: B

13、阅读论文并回答问题：实验8相关论文中的论文“基于CFG和TTP的恶意软件分析技术_李镇山.caj”中通过（ ）沙箱，提取恶意软件样本的TTP标签。

提示：使用CajViewer软件打开.caj格式的文件。

A.HYBRID Analysis

B.VirusTotal

C.布谷鸟(Cuckoo)

D.CAPE

正确答案: A

14、阅读论文并回答问题：实验8相关论文中的论文“基于CFG和TTP的恶意软件分析技术_李镇山.caj”中通过对CFG_API图中带有相同TTP标签的节点进行分类，让多个节点形成一条或多条执行流，从而将恶意软件攻击行为定位在其（ ）的具体执行流中。

提示：使用CajViewer软件打开.caj格式的文件。

A.CFG_API

B.API

CCFG

D.TTP

正确答案: C

15.[单选题]阅读论文并回答问题：实验8相关论文中的论文“基于CFG和TTP的恶意软件分析技术_李镇山.caj”中"基于TTP的恶意软件攻击预测方法"，将TTP分成（ ）类标签。

提示：使用CajViewer软件打开.caj格式的文件。

A.14

B.3

C.10

D.9

正确答案: D

16、阅读论文并回答问题：实验8相关论文中的论文“基于深度学习的APT攻击检测和溯源研究_王年芳.caj”文中将良性软件、普通恶意软件和 APT恶意软件三类样本放入（ ）中运行,并提取它们的动态行为特征。

提示：使用CajViewer软件打开.caj格式的文件。

A.VirusTotal

B.Noriben沙箱

C.CAPE

D.CAPA

正确答案: B

17、阅读论文并回答问题：实验8相关论文中的论文“基于深度学习的APT攻击检测和溯源研究_王年芳.caj”提出的“改进的APT恶意软件溯源方法”，将APT恶意软件的（ ）进行编码,以适应神经网络的处理要求。

提示：使用CajViewer软件打开.caj格式的文件。

A.DLL:API

B.API调用序列

C.PE头静态特征

D.DLL

正确答案: A

18、阅读论文并回答问题：实验8相关论文中的论文“基于深度学习的APT攻击检测和溯源研究_王年芳.caj”提出的“改进的APT恶意软件检测方法”，提取APT恶意软件样本的（ ）动态行为特征。

提示：使用CajViewer软件打开.caj格式的文件。

A.进程名->操作类型

B.API调用

C.进程行为、文件行为、注册表行为和网络行为特征

D.API调用序列、进程行为、文件行为、注册表行为和网络行为特征

正确答案: C

19、阅读论文并回答问题：实验8相关论文中的论文“基于深度学习的APT攻击检测和溯源研究_王年芳.caj”通过APT恶意软件样本分类方法溯源APT恶意软件家族的实验，共分成（ ）类家族。

提示：使用CajViewer软件打开.caj格式的文件。

A.10

B.3

C.2172

D.12

正确答案: D

20、阅读论文并回答问题：实验8相关论文中的论文“基于深度学习的APT攻击检测和溯源研究_王年芳.caj”中，提及APT中的高级含义是指APT攻击采用高级的技术手段和攻击工具，通常利用（ ） 漏洞和（ ）的恶意软件渗透目标系统以规避传统的安全防护措施。

A.通用，具有勒索功能

B.零日，定制

C.通用，高级

D.零日，隐藏

正确答案: B

六、

9、阅读论文并回答问题：实验11相关论文中的论文“2023 基于集成学习的安卓恶意软件分类的研究与设计_战小裕”，安卓恶意软件的植入方式，从安装方式上来分， 可以划分为( )、 更新包、 偷渡下载等。

A.拦截包

B.APT安装

C.应用市场安装

D.重打包

正确答案: D

10.[单选题]阅读论文并回答问题：实验11相关论文中的论文“2023 基于集成学习的安卓恶意软件分类的研究与设计_战小裕”，偷渡式下载类似于（ ）， 在用户不知情的条件下，下载伪装好的恶意软件。

A.钓鱼网站

B.渗透测试

C.被动监听

D.网络攻击

正确答案: A

11.[单选题]

阅读论文并回答问题：实验11相关论文中的论文“2023 基于集成学习的安卓恶意软件分类的研究与设计_战小裕”，（ ）是指选择当前目标应用程序进行反编译， 将恶意负载植入到相关代码， 编译后重新提交给应用市场。

A.重签名

B.更新包

C.重打包

D.重编译

正确答案: C

12、阅读论文并回答问题：实验11相关论文中的论文“2023 基于集成学习的安卓恶意软件分类的研究与设计_战小裕”，通过反编译工具从全局配置文件和字节码文件中提取了（ ）类敏感静态特征， 然后为每个样本生成特征向量。

A.3

B.8

C.2

D.4

正确答案: B

13.[单选题]阅读论文并回答问题：实验11相关论文中的论文“2023 基于集成学习的安卓恶意软件分类的研究与设计_战小裕”，其特征提取方式，自于manifestxml文件中的是请求权限、 硬件组件、 APP组件和（ ）。

A.作者信息

B.意图过滤器

C.app信息

D.说明信息

正确答案: B

14、阅读论文并回答问题：实验11相关论文中的论文“2023 基于集成学习的安卓恶意软件分类的研究与设计_战小裕”，其特征提取方式，来自于dex 文件中的代码信息有实际使用权限、 受限API调用、 敏感API调用和（ ）。

A.漏洞信息

B.字节码

C.敏感服务

D.可疑脚本执行

正确答案: D

15、阅读论文并回答问题：实验11相关论文中的论文“2023 基于静态多特征的Android应用重打包多级检测方法研究_付文帅“，（ ）语言是针对Dalvik虚拟机反汇编的语言。在Android系统中，Dalvik虚拟机不能直接执行Java虚拟机的class文件，而需要将其转换为（ ）文件，重新打包整合后才能运行。

A.masm， apk

Bnasm， apk

C.smali， dex

D.伪JAVA， dex

正确答案: C

16.[单选题]阅读论文并回答问题：实验11相关论文中的论文“2023 基于静态多特征的Android应用重打包多级检测方法研究_付文帅“，使用（ ）静态分析工具提供的两种方法来提取应用的组件特征。

A.apktool

B.Androguard

C.JADX

D.Bytecodeviewer

正确答案: B

17、阅读论文并回答问题：实验11相关论文中的论文“2023 基于静态多特征的Android应用重打包多级检测方法研究_付文帅“，提出了一个基于活动关系图的细粒度重打包次级检测框架，该框架根据应用的APK文件与应用的主活动，使用（ ）工具构建了该应用的活动关系图并提取每个活动节点的特征。

.Androguard

B.apktool

C.Android Studio

D.JD-Gui

正确答案: A

18、阅读论文并回答问题：实验11相关论文中的论文“2023 基于静态多特征的Android应用重打包多级检测方法研究_付文帅“，Smali和Java的数据类型一一对应，其拥有（ ）种基本数据类型和引用数据类型。

A.10

B.16

C.8

D.18

正确答案: C

19、阅读论文并回答问题：实验11相关论文中的论文“2023 基于静态多特征的Android应用重打包多级检测方法研究_付文帅“，Smali代码常见指令invoke-static的含义是（ ）。

A.赋值静态变量

B.调用静态函数

C.调用函数

D.赋值全局变量

正确答案: B

20.[单选题]阅读论文并回答问题：实验11相关论文中的论文“2023 基于静态多特征的Android应用重打包多级检测方法研究_付文帅“，Smali代码常见指令iget-object的含义是（ ）。

A.对象赋值

B.创建实例

C.获取对象

D.调用对象

正确答案: D

七、

1、阅读论文并回答问题：实验11相关论文中的论文“2024 基于家族感知的图表示学习安卓恶意软件家族分析_曾开发”，（ ）恶意代码家族是一种安卓恶意软件家族，通常通过钓鱼网站、欺诈短信或者植入感染的应用程序进行传播。它主要用于推送广告、窃取用户信息或者欺骗用户进行付款，还通常会伪装成合法的应用程序,诱导用户下载并安装,然后在后台进行恶意活动。

A.Plankton

B.DroidKungfu

C.FakeInstaller

D.Ginmaster

正确答案: D

2、阅读论文并回答问题：实验11相关论文中的论文“2024 基于家族感知的图表示学习安卓恶意软件家族分析_曾开发”，（ ）恶意代码家族是一种安卓恶意软件,主要通过钓鱼网站、欺诈短信或者植入感染的应用程序进行传播。一旦感染，还可以窃取用户的敏感信息、监视用户活动、 发送恶意短信或者欺骗用户进行付款等行为。

A.FakeInstaller

B.Opfake

C.Plankton

D.Ginmaster

正确答案: C

3、阅读论文并回答问题：实验11相关论文中的论文“2024 基于家族感知的图表示学习安卓恶意软件家族分析_曾开发”，（ ）恶意代码家族通过root移动设备来获取信息,后台静默下载恶意应用, 通常为了逃避检测软件对于电量消耗的监控而运行在晚上设备充电的时候。

A.BaseBridge

B.DroidDream

C.HummingBad

D.Anubis

正确答案: B

4、阅读论文并回答问题：实验11相关论文中的论文“2024 基于家族感知的图表示学习安卓恶意软件家族分析_曾开发”，安卓恶意代码文件结构中，so文件是一种（ ）。

A.动态链接库文件

B.清单文件

C.反汇编文件

D.字节码

正确答案: A

5、阅读论文并回答问题：实验11相关论文中的论文“2024 基于家族感知的图表示学习安卓恶意软件家族分析_曾开发”，安卓恶意代码文件结构中，清单文件声明了应用程序的各种组件,包括（ ）。

A.基本信息、权限要求、组件声明等

B.设置、参数、链接、URL等

C.活动、服务、广播接收器和内容提供者

D.dex、Smali、JAVA、so文件等

正确答案: C

6、阅读论文并回答问题：实验11相关论文中的论文“2024 基于家族感知的图表示学习安卓恶意软件家族分析_曾开发”，使用（ ）建模成的函数调用图进分类实验。

A.androguard逆向分析得到的函数调用关系

B.伪JAVA代码的API之间的调用关系

C.伪C代码的API之间的调用关系

D.smali代码中的API之间的调用关系

正确答案: D

7、阅读论文并回答问题：实验11相关论文中的论文“2024 基于家族感知的图表示学习安卓恶意软件家族分析_曾开发”，其实验采用哪两个数据集？

A.Drebin、COVA

B.Drebin、CICAndMal2017

C.COVA、PraGuard

D.PraGuard、CICAndMal2017

正确答案: B

8、阅读论文并回答问题：实验11相关论文中的论文“2024 基于家族感知的图表示学习安卓恶意软件家族分析_曾开发”，其实验使用（ ）对函数调用图进行可视化分析。

A.Apktool

B.Scikit-learn

C.NetworkX

D.PyTorch

正确答案: C

9.[单选题]

阅读论文并回答问题：实验11相关论文中的论文“2024 基于家族感知的图表示学习安卓恶意软件家族分析_曾开发”，其实验使用（ ）搭建图神经网络。

A.DGL

B.Transformer

C.GNN

D.GAT

正确答案: A

10、阅读论文并回答问题：实验11相关论文中的论文“2022 基于关键流量图像的Android恶意软件检测与分类_彭钰杰”，指出安卓操作系统结构从上到下分别是（ ）。

A.应用软件层、应用支持层、网络库层和Linux内核层

B.应用软件层、运行库层、网络库层和Linux内核层

C.应用软件层、运行库层、应用支持层和安卓内核层

D.应用软件层、应用支持层、运行库层和Linux内核层

正确答案: D

11、阅读论文并回答问题：实验11相关论文中的论文“2022 基于关键流量图像的Android恶意软件检测与分类_彭钰杰”，（ ）是编译后的二进制资源文件。

• A.classes.dex
• B.resoureces.arx
• C.res
• D.META-INF

正确答案: B

12、阅读论文并回答问题：实验11相关论文中的论文“2022 基于关键流量图像的Android恶意软件检测与分类_彭钰杰”，（ ）恶意软件家族窃取用户IMEI信息,私自拨打电话消耗话费,并屏蔽运营商正常短信。

• A.GinMaster
• B.Kmin
• C.Plankton
• D.FakeInstaller

正确答案: B

13阅读论文并回答问题：实验11相关论文中的论文“2022 基于关键流量图像的Android恶意软件检测与分类_彭钰杰”，其采用（ ）生成关键流量图像，对Android恶意软件进行检测和分类。

• A.Android恶意软件在运行时产生的流量
• B.Android恶意软件的dex字节码文件
• C.Android恶意软件的恶意负载部分
• D.Android恶意软件的apk文件

正确答案: A

14.[单选题]阅读论文并回答问题：实验11相关论文中的论文“2022 基于关键流量图像的Android恶意软件检测与分类_彭钰杰”，其关键流量图像的分析，通过（ ）工具抓取记录并存储为（ ）格式的文件以供分析。

• A.Tcpdump、dump
• B.wireshark、PCAP
• C.Tcpdump、PCAP
• D.wireshark、dump

正确答案: C

15、阅读论文并回答问题：实验11相关论文中的论文“2022 基于关键流量图像的Android恶意软件检测与分类_彭钰杰”，第一方流量是指（ ）。

• A.安卓恶意软件的恶意行为产生的流量
• B.社交网络服务产生的流量
• C.不包含恶意行为的流量
• D.内容分发服务产生的流量

正确答案: A

16、阅读论文并回答问题：实验11相关论文中的论文“2022 基于关键流量图像的Android恶意软件检测与分类_彭钰杰”，采用（ ）算法清洗第三方流量。

A.网络会话切分

B滑动聚类

C.流量关键帧

D.均值漂移

正确答案: B

17、阅读论文并回答问题：实验11相关论文中的论文“2022 基于关键流量图像的Android恶意软件检测与分类_彭钰杰”，其数据集采用（ ），该数据集中共收集了1700个从GooglePlay应用商店获取的良性软件以及约400个恶意软件的流量数据,并以PCAP文件的格式进行存储。

• A.CICAndMal2017
• B.Drebin
• C.PraGuard
• D.COVA

正确答案: A

18.[单选题]阅读论文并回答问题：实验11相关论文中的论文“2022 基于关键流量图像的Android恶意软件检测与分类_彭钰杰”，其分类评价标准采用（ ）。

• A.TP, FP, TN, FN
• B.宏精确率、宏召回率
• C.混淆矩阵
• D.准确率、 精确率、召回率以及F-度量

正确答案: D

八、

1、阅读论文并回答问题：实验15相关论文中的论文“基于Linux系统的嵌入式设备漏洞自动化检测技术研究_温杰”，主要采用（       ）的方法检测嵌入式设备漏洞。

• A.静态检测
• B.动态检测
• C.静态检测与动态检测相结合
• D.动态自动化检测

正确答案: A

2、阅读论文并回答问题：实验15相关论文中的论文“基于Linux系统的嵌入式设备漏洞自动化检测技术研究_温杰”，通过静态解析 Linux启动脚本，构建（ ）调用树来发现telnet、ssh等后门程序的方法。

A.Shellcode

B.API

C.函数

D.Shell

正确答案: D

3、阅读论文并回答问题：实验15相关论文中的论文“基于Linux系统的嵌入式设备漏洞自动化检测技术研究_温杰”，提到一些厂家也会自制其专有的后门程序，比如2014发现的磊科全系列路由器53413端口后门漏洞。在开机启动脚本rcS中,磊科路由器自动启动“（ ）”, 该程序监听UDP 53413端口并验证硬编码密码“netcore”,验证成功后使用system函数执行输入的命令。

• A./etc/init.d
• B./bin/igdmptd
• C./etc/rc.local
• D./etc/systemd/system

正确答案: B

4.[单选题]阅读论文并回答问题：实验15相关论文中的论文“基于Linux系统的嵌入式设备漏洞自动化检测技术研究_温杰”，提到嵌入式设备所用的操作系统种类也非常多,常见的包括Linux、VxWorks、Windows CE、eCos、FreeRTOS等。其中,基于Linux系统的嵌入式设备数量最多,根据A Costin 等人对大规模固件的分析,在他们收集的固件中有（ ）基于Linux系统。

• A.91%
• B.75%
• C.86%
• D.60%

正确答案: C

5、阅读论文并回答问题：实验15相关论文中的论文“基于Linux系统的嵌入式设备漏洞自动化检测技术研究_温杰”，提到（ ）是一个著名的固件解包工具,整合了各种解压缩工具,并使用模式匹配定位、切割、解压文件，并且使用简单,只需要执行“-e”命令即可提取大部分已知固件中的文件。

• A.apktool
• B.IDA
• C.Ghidra
• D.Binwalk

正确答案: D

6、阅读论文并回答问题：实验15相关论文中的论文“基于Linux系统的嵌入式设备漏洞自动化检测技术研究_温杰”，提到对于基于Linux系统的嵌入式设备，工业界与学术界最常使用的仿真器是开源仿真器（ ），很多仿真工具都是建立在这个仿真器之上。

• A.Costin
• B.qemu
• C.FirmAE
• D.Firmadyne

正确答案: B

7、阅读论文并回答问题：实验15相关论文中的论文“基于Linux系统的嵌入式设备漏洞自动化检测技术研究_温杰”，为挖掘基于Linux系统的嵌入式设备的后门、命令注入、缓冲区溢出和访问控制缺陷漏洞，该论文设计并实现了自动化漏洞挖掘框架（ ）。

• A.taint_analyse
• B.SaTC
• C.KARONTE
• D.FSTaint

正确答案: D

8、阅读论文并回答问题：实验15相关论文中的论文“基于Linux系统的嵌入式设备漏洞自动化检测技术研究_温杰”，用于测试的两个数据集共有（ ）个固件。

• A.38
• B.75
• C.37
• D.7

正确答案: B

9、阅读论文并回答问题：实验15相关论文中的论文“嵌入式设备固件的安全性分析_吴华茂”，该论文设计和实现了一种用于分析（ ）嵌入式设备固件的（ ）安全性分析框架,以验证设备提供的用户态网络服务的安全性。

• A.Linux、静态与动态相结合
• B.Linux、静态
• C.ARM、静态与动态相结合
• D.ARM、动态

正确答案: D

10、阅读论文并回答问题：实验15相关论文中的论文“嵌入式设备固件的安全性分析_吴华茂”，提到（ ）是一个基于QEMU的全系统动态分析引擎，用于对软件的快速逆向工程，论文在这个动态分析框架的基础上实现了一个用于模拟嵌入式设备的环境。

• A.AVATAR
• B.angr
• C.VEX IR
• D.PANDA

正确答案: D

11、阅读论文并回答问题：实验15相关论文中的论文“嵌入式设备固件的安全性分析_吴华茂”，该论文基于（ ）二进制分析框架实现了一个运行轨迹分析脚本,该脚本可还原程序在运行过程过程中的高级语义操作,并通过启发式算法寻找程序出错的原因。

• A.PANDA
• B.qemu
• C.angr
• D.pin

正确答案: C

12、阅读论文并回答问题：实验15相关论文中的论文“嵌入式设备固件的安全性分析_吴华茂”，该论文收集了（ ）个来自各个厂商的嵌入式设备固件,对其内部的Web服务守护程序进行分析测试。

• A.208
• B.148
• C.95
• D.223

正确答案: D

13、阅读论文并回答问题：实验15相关论文中的论文“嵌入式设备固件的安全性分析_吴华茂”，提到为生成磁盘镜像，ARM-X则使用（ ）共享的方式将根文件系统目录共享给运行于模拟器的定制Linux系统中。

• A.Samba
• B.NFS
• C.SquashFS
• D.J2FF2

正确答案: B

14、阅读论文并回答问题：实验15相关论文中的论文“嵌入式设备固件的安全性分析_吴华茂”，提到为生成磁盘镜像，该论文与（ ）采用相同的方式,即把固件的根文件系统打包为一个磁盘镜像。

• A.FirmAE
• B.Firmware Analysis Toolkit (FAT)
• C.qemu
• D.Firmadyne

正确答案: D

15、阅读论文并回答问题：实验15相关论文中的论文“嵌入式设备固件的安全性分析_吴华茂”，被分析的服务守护程序在一个基于固件根文件系统的( )环境中运行。它是在unix系统的一个操作,针对正在运作的软件进程和它的子进程，改变它外显的根目录。一个运行在这个环境下,经由它设置根目录的程序不能对这个指定根目录之外的文件进行访问动作。

• A.chroot
• B.root
• C.binwalk
• D.bin

正确答案: A

16、阅读论文并回答问题：实验15相关论文中的论文“嵌入式设备固件的安全性分析_吴华茂”，提到嵌入式设备常常使用（ ）作为主要的存储介质。由于它是一种具备写入寿命的存储介质,设备厂商会使用各种手段减少它的写入以提高其耐久性,其中最常用的方法就是使用只读文件系统。

• A.SRAM
• B.ROM
• C.闪存
• D.SSD

正确答案: C

17.[单选题]阅读论文并回答问题：实验15相关论文中的论文“嵌入式设备固件的安全性分析_吴华茂”，提到在设备加电启动时，Linux内核把文件系统的内容加载到内存,然后将内存中的文件系统挂载为根文件系统。所有对该文件系统的更改 (如生成日志、临时文件等)都将保存于内存中，而对设备配置的更改则存放于（ ），的特殊内存中,此种内存中保存的数据不会随着设备断电而丢失。

• A.SRAM
• B.RAM
• C.SSD
• D.NVRAM

正确答案: D

18、阅读论文并回答问题：实验15相关论文中的论文“嵌入式设备固件的安全性分析_吴华茂”，该论文使用动态安全分析框架分析一些嵌入式设备固件中的（ ）服务守护程序。

• A.SSH
• B.telnet
• C.Samba、NFS
• D.Web

正确答案: D