admin 管理员组文章数量: 1184232
第一章
以下哪个人研制了第一个计算机病毒(Unix)?
A、 Fred Cohen
B、 冯·诺伊曼
C、 道格拉斯.麦耀莱、维特.维索斯基和罗伯.莫里斯
D、 Robert T. Morris
2 【单选题】以下哪种病毒能够烧毁硬件?
A、 CIH病毒
B、 宏病毒
C、 美丽莎病毒
D、 红色代码
3 【单选题】到目前为止,以下哪种病毒造成的经济损失最大?
A、 爱虫
B、 SQL蠕虫王
C、 冲击波
D、 熊猫烧香
4 【单选题】反病毒软件商们为MS Word宏病毒命令的前缀是( )。
A、 WM
B、 VBS
C、 Win32
D、 W97M
5 【单选题】
永恒之蓝,即EternalBlue这个工具就是利用windows系统的( )远程执行代码漏洞向Microsoft 服务器消息块服务器发送经特殊设计的消息,就能允许远程代码执行。
A、 MS017-010漏洞
B、 快捷方式文件解析漏洞
C、 RPC漏洞
D、 IRC漏洞
6 【单选题】熊猫烧香病毒是一种( )病毒。
A、 木马
B、 流氓软件
C、 蠕虫
D、 逻辑炸弹
7 【单选题】以下哪种恶意代码能发动DDOS攻击?
A、 Cutwail
B、 WannaCry
C、 Stuxnet
D、 Locky
8 【单选题】( )工具是一种特殊的恶意软件,它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息。
A、 Rootkit
B、 Phishing
C、 APT28
D、 ARP
9 【单选题】按照CARO命名规则,瀑布(Cascade)病毒的变种Cascade.1701.A中的1701是( )。
A、 大变种
B、 组名
C、 小变种
D、 修改者
10 【单选题】( )恶意代码利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。
A、 APT
B、 FireBall
C、 Mirai
D、 震网蠕虫
11、不进行自我复制的两种病毒是( )。
A、 逻辑炸弹和木马
B、 逻辑炸弹和蠕虫
C、 逻辑炸弹和Botnet
D、 钓鱼和Mirai
12 【单选题】以下哪种恶意邮件病毒携带有利用CVE-2015-1641 漏洞的rtf 文件、包含恶意可执行文件的不同格式的存档以及带有宏和 OLE对象的文档,发起网络钓鱼攻击,造成30亿美元的损失。
A、 尼日利亚钓鱼
B、 APT28
C、 Cabir
D、 FireBal
13 【单选题】
( )恶意代码感染了2.5亿台计算机,控制互联网浏览器, 监视受害者的 web 使用, 并可能窃取个人文件。
A、 FireBall
B、 尼日利亚钓鱼
C、 Happy99 蠕虫
D、 SQL蠕虫王
【单选题】以下说法不正确的是( )。
A、 传统计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
B、 恶意代码是在未被授权的情况下,以破坏软硬件设备、窃取用户信息、扰乱用户心理、干扰用户正常使用为目的而编制的软件或代码片段。
C、 计算机病毒或恶意代码的CARO命名规则,每一种病毒的命名包括了家族名、组名、大变种、小变种和修改者等五个部分。
D、 反病毒软件商们通常在CARO命名的前面加一个前缀来标明病毒家族。
15 【单选题】( )的特点只感染微软数据(文档)文件。
A、 宏病毒
B、 木马病毒
C、 勒索病毒
D、 蠕虫病毒
16 【单选题】( )是指采用一种或多种传播手段,将大量主机感染bot程序,从而在控制者和被感染主机之间所形成的一个可一对多可控制的、分布式的、逻辑网络 。
A、 Botnet
B、 APT
C、 IoT
D、 Android
17
【单选题】( )工具是一种特殊的恶意软件,它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息。
A、 Botnet
B、 Rootkit
C、 Industroyer
D、 Regin
18 【单选题】
已经恶意软件的SHA-256是:1bc9ab02d06ee26a82b5bd910cf63c07b52dc83c4ab9840f83c1e8be384b9254
那么,经查询,它的MD5是( )。
- A、 f7f85d7f628ce62d1d8f7b39d8940472
- B、 ec8aa67b05407c01094184c33d2b5a44
- C、 a565682d8a13a5719977223e0d9c7aa4
- D、 8913ac72cdb8afd98bd8446896e1595a
19
【单选题】以下说法不正确的是( )。
- A、 CARO命名规则中每一种病毒的命名包括五个部分:病毒家族名、病毒组名、大变种、小变种、修改者
- B、 业界对恶意代码的三元组命名规则是:前缀表示恶意代码的类型、平台,名称指恶意代码的家族特征,后缀表示恶意代码的变种特征
- C、 根据恶意代码的三元组命名规则,Backdoor.Win32.InjShell.a的前缀是Backdoor。
- D、 Regin是一种APT恶意软件,由 NSA开发,并与其五眼联盟共享。
【单选题】以下哪个APT恶意软件,由俄罗斯国家黑客开发?
A、 Industroyer
B、 WannaCry
C、 FireBall
D、 Regin
第二章
1
【单选题】引导型病毒是指寄生在( )的计算机病毒。
A、 主引导扇区
B、 磁盘引导扇区
C、 主引导扇区或磁盘引导扇区
D、 磁盘的0面0道第1扇区
以下属于感染硬盘的主引导区的病毒是( )。
A、 大麻病毒
B、 小球病毒
C、 Girl病毒
D、 熊猫烧香
以下属于感染硬盘的的活动分区引导记录的病毒是( )。
A、 大麻病毒
B、 火炬病毒
C、 小球病毒
D、 宏病毒
4
【单选题】引导型病毒加载病毒自身代码到内存的( )地址处。
A、 0000H
B、 7C00H
C、 0413H
D、 CS:100H
引导型病毒修改( )中断的入口地址,使之指向病毒中断服务程序,当系统或用户进行磁盘读写时,就会激活病毒。
A、 INT 21H
B、 INT 01H
C、 INT 11H
D、 INT 13H
主引导记录签名是( )和( )。
-
A、
MZ和PE
-
B、
0x55和0xAA
-
C、
MZ和NE
-
D、
0E9H和3C
7 【单选题】
引导型病毒修改内存容量标志单元( ),在原有值的基础上减去病毒长度,使得病毒代码能够常驻内存高端。
-
A、
7C00H
-
B、
0413H
-
C、
CS:100H
-
D、
0E9H
8 【单选题】
DOS系统通过把控制传递( )处的指令而启动COM文件程序。
-
A、
CS:100H
-
B、
7C00H
-
C、
0413H
-
D、
3CH
【单选题】COM格式文件最大是( )。
-
A、
4GB
-
B、
16KB
-
C、
4KB
-
D、
64KB
10
【单选题】DOS系统装入COM文件时,先在内存建立一个长度为( )的PSP,然后将整个文件装载于 PSP 上端,不进行重定位操作
-
A、
256字节
-
B、
101H
-
C、
0413H
-
D、
0E9H
【单选题】以下对PE文件格式,说法不正确的是( )。
-
A、
一个16位PE文件的寻址空间是4G。
-
B、
PE文件格式来源于Unix的COFF格式。
-
C、
Win32环境下的PE格式文件:exe可执行文件、dll动态链接库文件和scr屏幕保护程序。
-
D、
PE文件是使用Win32环境和NT(New Technology)内核系统的可执行文件格式。
12
【单选题】以下选项,属于PE文件默认代码节的是( )。
-
A、
Section .rdata
-
B、
Section .rsrc
-
C、
Section .text
-
D、
Section .data
13
【单选题】以下选项,属于PE文件的引入函数节的是( )。
-
A、
Section .text
-
B、
Section .rdata
-
C、
Section .data
D、 Section .rsrc
【单选题】对于PE文件中有很多“00”字节,说法不正确的是( )。
-
A、
这是由于PE文件的文件节对齐粒度和内存节对齐粒度造成的。
-
B、
这是由感染PE文件的恶意代码造成的。
-
C、
恶意软件可以利用这些空白区填充恶意代码。
-
D、
CIH病毒就是利用这些“00”字节,填充恶意代码。
15
【单选题】可以根据PE文件的MZ头定位PE文件标记,以下说法正确的是( )。
- A、 3CH处显示“PE”
- B 、 在3CH处显示PE头的地址
- C、 PE文件开始的两个字节
- D、 在0030H行末尾显示“PE”
二. 填空题(共5题)
16 【填空题】
已知PE文件的ImageBase为400000H,RVA为1000H,那么,该PE文件的VA地址是( )。
401000H
17 【填空题】
PE文件的文件节对齐粒度是( 200H )。
18 【填空题】
PE文件的内存节对齐粒度是( 1000H )。
【填空题】PE文件病毒感染时会在宿主上附加代码,但每次感染内存地址不同,修改代码内的地址是不现实的,所以,需要使用( )技术。
重定位
20 【填空题】
已知宿主程序某变量的实际地址是00801009H、偏移地址是00401009H,病毒程序的var变量的偏移地址是00401000H,那么,病毒程序的var变量的实际地址是( )。
00801000H
第三章
1 【单选题】
能有效阻止非代码区的植入的恶意代码执行的技术是( )。
-
A、
ASLR
-
B、
GS Stack Protection
-
C、
SEHOP
-
D、
DEP
2 【单选题】
下列不可以作为跳板的指令是( )。
-
A、
Jmp esp
-
B、
Mov eax, esp; jmp eax
-
C、
Mov eax, ebp; jmp ebp
-
D、
Jmp ebp
3 【单选题】
执行以下指令后,EDX寄存器值为( )。
ESP -> ???????? => POP EAX # RETN
0x00000001
???????? => ADD EAX, 2 # RETN
???????? => XCHG EAX,EDX # RETN
-
A、
0
-
B、
1
-
C、
2
-
D、
3
4
【单选题】( )技术是一项缓冲区溢出的检测防护技术。
-
A、
ASLR
-
B、
GS Stack Protection
-
C、
DEP
-
D、
SafeSEH
5 【单选题】
SEH攻击是指通过栈溢出或者其他漏洞,使用精心构造的数据覆盖SEH上面的某个函数或者多个函数,从而控制( )。
-
A、
EBP
-
B、
ESP
-
C、
EIP
-
D、
DEP
6 【单选题】
( )是一项通过将系统关键地址随机化,从而使攻击者无法获得需要跳转的精确地址的技术。
-
A、
ASLR
-
B、
DEP
-
C、
SEH
-
D、
SafeSEH
7 【单选题】
VC++编译器中提供了一个/GS编译选项,如选择该选项,编译器针对函数调用和返回时添加保护和检查功能的代码,在函数被调用时,在缓冲区和函数返回地址增加一个32位的随机数( ),在函数返回时,调用检查函数检查该值是否有变化。
A、
DEP
B、
SEH
C、
GS Stack Protection
D、 security_cookie
第四章
特征码是从恶意代码中提取的,能够唯一代表某个恶意代码家族或变种,并被杀毒软件纳入到特征库的( )。
-
A、
一段特别的代码
-
B、
字符串
-
C、
引入函数节
-
D、
字节流
2
【单选题】以下不属于恶意代码静态特征的是( )。
-
A、
IAT表
-
B、
字节码图像化
-
C、
调用API函数的时间序列
-
D、
angr或IDA工具调试时的基本块
3 【单选题】
( )是FireEye公司开源的静态分析工具,通过静态分析二进制文件,识别其潜在的攻击模式和功能,且能与ATT&CK框架战术-技术映射。
-
A、
CAPE
-
B、
CAPA
-
C、
angr
-
D、
Noriben
4 【单选题】
( )是一个动态二进制插桩工具,用于在运行时对程序进行插桩和分析。它可以在不修改源代码的情况下,动态地插入自定义代码来监控、分析和修改程序的执行行为。
-
A、
pin
-
B、
angr
-
C、
CAPA
-
D、
cuckoo
【单选题】( )沙箱需要跟ProcMon程序配合,才能动态检测恶意代码。
-
A、
cuckoo
-
B、
CAPE
-
C、
Noriben
D、 pin
第五章
Linux系统的可执行文件格式是( )。
-
A、
PE
-
B、
ELF
-
C、
SH
-
D、
EXE
2
【单选题】Linux的可执行文件格式中的节区,包含二进制代码部分的是( )。
-
A、
.text
-
B、
.rodata
-
C、
.data
-
D、
.bss
3
【单选题】Linux的可执行文件格式中的节区,属于只读数据部分的是( )。
-
A、
.rdata
-
B、
.rodata
-
C、
.data
-
D、
.bss
4
【单选题】Linux的可执行文件格式中的节区,属于已初始化全局变量部分的是( )。
-
A、
.rodata
-
B、
.data
-
C、
.bss
-
D、
.rdata
【单选题】Linux的可执行文件格式中的节区,属于未初始化全局标量部分的是( )。
-
A、
.rodata
-
B、
.rdata
-
C、
.bss
-
D、
.data
【单选题】以下不属于Silvio(西尔维奥)填充感染法的病毒是( )。
-
A、
Brundle Fly
-
B、
POC 病毒
-
C、
LPV 病毒
-
D、
Shell脚本病毒
7
【单选题】以下对于Silvio(西尔维奥)填充感染法,说法不正确的是( )。
-
A、
它利用内存中的text段和 data 段之间的填充空间
-
B、
它将病毒体限制在了一个内存分页的大小
-
C、
在 64 位的系统上,可执行文件使用较大的分页,能容纳将近 2MB 的感染代码
-
D、
它利用在磁盘上的text 段和 data 段之间的空白区
8 【单选题】
以下对于逆向 text 感染法,说法不正确的是( )。
-
A、
在逆向扩展过程中,需要将 text 段的虚拟地址缩减 PAGE_ALIGN(parasite_size)
-
B、
32位系统上所允许的最小虚拟映射地址为0x1000,因此, text 的虚拟地址最多能扩展到 0x1000
-
C、
64位的系统上,默认的 text 虚拟地址通常为 0x400000,寄生代码可以占用的空间就可以达到 0x3ff000 字节
-
D、
它是一种PE文件类型病毒感染 法
【单选题】以下对于ClamAV病毒软件,说法不正确的是( )。
-
A、
ClamAV软件是⼀款 UNIX 下开源的 (GPL) 反病毒⼯具包。
-
B、
ClamAV软件手动更新病毒库的命令是sudo freshclam
-
C、
可以使用sudo service clamav stop 命令停止守护进程
-
D、
ClamAV软件扫描病毒的命令是clamscan
【单选题】以下对于gdb调试工具,说法不正确的是( )。
-
A、
GNU symbolic debugger,简称「GDB 调试器」,是 Linux 平台下最常用的一款程序调试器。
-
B、
gdb调试器对 C、C++、Go、Objective-C、OpenCL、Ada 等多种编程语言提供了支持。
-
C、
使用gdb时,需要gcc编译使用带调式信息-g参数。
-
D、
gdb支持多种CPU架构以及文件格式
【单选题】以下对于radare2工具,说法不正确的是( )。
-
A、
它是个基于命令行的逆向工具,包括反汇编、分析数据、打补丁、比较数据、搜索、替换、虚拟化等等,它可以运行在几乎所有主流的平台(Linux, Windows, iOS)并且支持很多的CPU架构以及文件格式。
-
B、
radare2不只是一个工具,而是一个框架,是众多逆向分析工具的组合。
-
C、
radare2是主程序,可以用于通过一系列的命令对文件进行分析与调试,还支持多种语言如Python、Ruby的脚本调用。
-
D、
对于radare2中的命令,都可以在命令前加一个?来获取使用说明。
【单选题】以下关于木马病毒的分类,说法不正确的是( )。
-
A、
远程访问型木马是现在最广泛的特洛伊木马。
-
B、
密码发送型木马不会在每次Windows重启时都自动加载,它们大多数使用25号端口发送电子邮件。
-
C、
键盘记录型木马随着Windows的启动而启动,知道受害者在线并且记录每一个用户事件,然后通过邮件或其他方式发送给控制者。
-
D、
毁坏型木马窃取信息,并控制对方计算机。
13 【单选题】
以下对于木马植入技术,说法不正确的是( )。
-
A、
缓冲区溢出攻击是植入木马最常用的手段。据统计,通过缓冲区溢出进行的攻击占所有系统攻击总数的80%以上。
-
B、
缓冲区溢出((Buffer Overflow)指的是一种系统攻击的手段,通过往程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其它指令,以达到攻击的目的。
-
C、
往缓冲区中填东西造成它溢出,出现出现Segmentation fault错误,达到植入木马攻击的目的。
-
D、
如果在溢出的缓冲区中写入我们想执行的代码,再覆盖函数返回地址的内容,使它指向缓冲区的开头,就可以达到运行其它指令的目的。
14 【单选题】
以下对于HOOK技术,说法不正确的是( )。
-
A、
在Windows 操作系统里面,应用程序只能处理来自进程内部的消息或是从其他进程发过来的消息,如果需要对在进程外传递的消息进行拦截处理就必须采取一种被称为API HOOK(钩子)的技术。
-
B、
钩子的本质是一段用以处理系统消息的程序,通过系统调用,将其挂入到系统,在对特定的系统事件(比如键盘事件)进行Hook。
-
C、
在Windows 操作系统里面,API是指由操作系统提供功能的、由应用程序调用的函数。
-
D、
API HOOK技术是一种用于改变API执行结果的技术,Microsoft 自身也在Windows操作系统里面使用了这个技术,如Windows兼容模式等。
以下对于Rootkit技术,说法不正确的是( )。
-
A、
Rootkits最早是一组用于UNIX操作系统的工具集,黑客使用它们隐藏入侵活动的痕迹。
-
B、
Rootkit工作在内核态,可以修改内核的数据结构,达到隐藏文件和进程的目的。
-
C、
用户态Rootkit使得杀毒软件失效。
-
D、
用户态Rootkit通常通过释放动态链接库(DLL)文件,并将它们注入到其它软件及系统进程中运行,通过HOOK方式对消息进行拦截,使得检测程序返回错误的信息,达到隐藏文件和进程的目的。
第六章
对于Android的APK文件,以下哪一种是Java代码编译后产生运行在Dalvik虚拟机上?
-
A、
AndroidManifest.xml
-
B、
resources.arsc
-
C、
META-INF
-
D、
classes.dex
【单选题】以下说法不正确的是( )。
-
A、
class文件有很多冗余信息,dex文件会做去冗余信息的优化。
-
B、
JVM执行的是.class文件、Dalvik和ART执行的.dex文件。
-
C、
JVM是基于寄存器,Dalvik虚拟机是基于堆栈。
D、 resources.arsc文件是Android的APK文件的资源索引表。
【单选题】以下说法不正确的是( )。
-
A、
dex文件由3大部分组成:文件头、签名区、数据区。
-
B、
Android系统dex文件的文件头包括:0x70个字节大小,它包含标志、版本号、校验码、sha1签名以及其他一些方法、类的数量和偏移地址等信息。
-
C、
Android系统dex文件的数据区包括:类的定义、数据区、链路数据区。
-
D、
Android系统的APK文件实际上是一个压缩包文件。
【单选题】以下哪种移动智能终端恶意代码能够扣费,发送SP业务定制短信并删除发送记录?
-
A、
吞钱贪婪鬼
-
B、
Lasco系列恶意代码
-
C、
白卡吸费魔
-
D、
Skulls
5 【单选题】
( )系列的手机木马被称为“隐私大盗”木马,是一批专偷短信、IMEI(手机串号)、Google 账号等隐私信息系列手机木马,其变种数量超过60 个。
-
A、
Cabir
-
B、
索马里海盗
-
C、
X 卧底
-
D、
DroidDreamLight
6
【单选题】第一个攻击手机的病毒是( )。
-
A、
VBS.Timofonica
-
B、
Cabir
-
C、
Skulls
-
D、
Lasco
【单选题】以下哪种移动智能终端恶意代码能每隔几秒就会偷偷的向你通讯录中的号码发送彩信?
-
A、
吞钱贪婪鬼
-
B、
RottenSys
-
C、
“白卡吸费魔”木马
-
D、
DroidDreamLight 系列手机木马
【单选题】以下哪种手机恶意代码伪装成安卓手机的“系统 Wi-Fi服务”,“每日黄历”、“畅米桌面”等应用,并通过不定期给用户推送广告或指定APP来盈利?
-
A、
RottenSys
-
B、
吞钱贪婪鬼
-
C、
“X 卧底”系列木马
D、 “索马里海盗”木马
第七章
【单选题】通过伪装成合法的服务或应用来欺骗用户,诱导用户提供敏感信息或者直接下载并安装物联网恶意软件。这是哪一种物联网恶意软件的传播机制?
-
A、
设备漏洞利用
-
B、
网络钓鱼攻击
-
C、
恶意软件捆绑
-
D、
物理设备攻击
2
【单选题】一旦某些设备被感染,它们可以被用来作为僵尸网络的一部分,用于发动分布式拒绝服务(DDoS)攻击,同时也可以被用来扫描和感染其他易受攻击的物联网设备,从而扩大僵尸网络规模。这是哪一种物联网恶意软件的传播方式?
-
A、
供应链攻击
-
B、
跨平台恶意代码
-
C、
自动传播机制
-
D、
Botnet
【单选题】( )是著名的物联网僵尸网络恶意软件,是拥有变种数量最多的家族,它能够感染使用出厂默认密码或弱密码设置的物联网设备,并将这些设备纳入其僵尸网络中以发动大规模DDoS攻击。
-
A、
Gafgyt
-
B、
Pnscan
-
C、
Mirai
-
D、
Aidra
( )是一种高度复杂的计算机蠕虫,首次发现于2010年,它主要针对的是伊朗的核设施。Stuxnet能够利用多个零日漏洞,并且是首个已知的专门设计来对物理设备造成损害的恶意软件。
-
A、
Stuxnet
-
B、
Darlloz
-
C、
Havex
-
D、
Industroyer
【单选题】( )是一种针对安全仪表系统(SIS)的恶意软件。它的目标是破坏工厂的安全机制,可能导致严重的物理伤害或环境灾难。这种恶意软件在2017年被发现时引起了广泛的关注。
-
A、
PLC-Blaster
-
B、
BlackEnergy
-
C、
Triton
-
D、
CrashOverride
第八章
以下哪一项不能体现APT恶意软件隐蔽性强的特点?
-
A、
使用根套接字、加密通信、反向连接等技术来规避入侵检测系统在通信方面的监测
-
B、
利用合法软件的漏洞或潜在的安全弱点,隐藏于合法软件中。
-
C、
使用信息隐藏技术,将恶意负载隐藏在图像等非可执行性文件中,以此逃避反病毒软件的查杀。
-
D、
将自己植入系统的关键组件中,以确保在系统重启后仍然存在,并且能够自动恢复和继续其恶意行为。
2 【单选题】
2018年10月,APT组织海莲花(OceanLutus)在一次攻击中使用了隐写技术。该攻击使用的恶意软件加载器模拟( )软件下一个名为McVsoCfg.dll的动态链接库文件,该文件尝试使用“白利用”手法将自身加载运行,即尝试通过合法的On Demand Scanner可执行文件加载自身。
-
A、
McAfee
-
B、
Windows
-
C、
Linux
-
D、
Vistual Studio
【单选题】2018年10月,APT组织海莲花(OceanLutus)在一次攻击中使用了隐写技术。恶意软件使用一幅彩色的PNG图片来加载攻击载荷(Payload),该图片与McVsoCfg.dll在同一目录下,名为x5j3trra.Png。 这幅图片来自( )中的人物。
-
A、
哪吒
-
B、
哈利波特
-
C、
名侦探柯南
-
D、
多啦A梦
【单选题】2018年10月,APT组织海莲花(OceanLutus)在一次攻击中使用了隐写技术。该隐写技术使用了( )信息隐藏算法。
-
A、
DCT
-
B、
LS B
-
C、
深度神经网络
-
D、
DeepLock
【单选题】APT恶意软件可以使用( )技术,实现无文件攻击。
-
A、
LSB信息隐藏
-
B、
DeepLock
-
C、
Rootkit
-
D、
PowerShell
6 【单选题】
APT攻击最早由( )于2006年提出。
-
A、
美国国家标准与技术研究院
-
B、
美国国防部的网络情报中心
-
C、
中国国家信息安全漏洞库
D、 中国国家网络安全中心
03-05
1.[单选题] 熊猫烧香病毒是一种( )病毒。
A. 木马 B. 流氓软件 C. 蠕虫 D. 逻辑炸弹
答案:C
2.[单选题] 永恒之蓝,即 EternalBlue 这个工具就是利用 windows 系统的( )远程执行代码漏洞向 Microsoft 服务器消息块服务器发送经特殊设计的消息,就能允许远程代码执行。
A. MS017-010 漏洞 B. 快捷方式文件解析漏洞 C. RPC 漏洞 D. IRC 漏洞
答案:A
3.[单选题] 以下哪种恶意代码能发动 DDOS 攻击?
A. Cutwail B. WannaCry C. Stuxnet D. Locky
答案:A
4.[单选题] 按照 CARO 命名规则,瀑布(Cascade)病毒的变种 Cascade.1701.A 中的 1701 是( )。
A. 大变种 B. 组名 C. 小变种 D. 修改者
答案:B
5.[单选题] 已经恶意软件的 SHA-256 是:1bc9ab02d06ee26a82b5bd910cf63c07b52dc83c4ab9840f83c1e8be384b9254
那么,经查询,它的 MD5 是( )。
A. f7f85d7f628ce62d1d8f7b39d8940472 B. ec8aa67b05407c01094184c33d2b5a44 C. a565682d8a13a5719977223e0d9c7aa4 D. 8913ac72cdb8afd98bd8446896e1595a
答案:A
6.[单选题] 以下说法不正确的是( )。
A. CARO 命名规则中每一种病毒的命名包括五个部分:病毒家族名、病毒组名、大变种、小变种、修改者 B. 业界对恶意代码的三元组命名规则是:前缀表示恶意代码的类型、平台,名称指恶意代码的家族特征,后缀表示恶意代码的变种特征 C. 根据恶意代码的三元组命名规则,Backdoor.Win32.InjShell.a 的前缀是 Backdoor。 D. Regin 是一种 APT 恶意软件,由 NSA 开发,并与其五眼联盟共享。
答案:C
7.[单选题] 以下哪个 APT 恶意软件,由俄罗斯国家黑客开发?
A. Industroyer B. WannaCry C. FireBall D. Regin
答案:A
8.[单选题] 以下哪种恶意邮件病毒携带有利用 CVE-2015-1641 漏洞的 rtf 文件、包含恶意可执行文件的不同格式的存档以及带有宏和 OLE 对象的文档,发起网络钓鱼攻击,造成 30 亿美元的损失。
A. 尼日利亚钓鱼 B. APT28 C. Cabir D. FireBall
答案:A
9.[单选题] 以下说法不正确的是( )。
A. 传统计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。 B. 恶意代码是在未被授权的情况下,以破坏软硬件设备、窃取用户信息、扰乱用户心理、干扰用户正常使用为目的而编制的软件或代码片段。 C. 计算机病毒或恶意代码的 CARO 命名规则,每一种病毒的命名包括了家族名、组名、大变种、小变种和修改者等五个部分。 D. 反病毒软件商们通常在 CARO 命名的前面加一个前缀来标明病毒家族。
答案:D
10.[单选题] 不进行自我复制的两种病毒是( )。
A. 逻辑炸弹和木马 B. 逻辑炸弹和蠕虫 C. 逻辑炸弹和 Botnet D. 钓鱼和 Mirai
答案:A
11.[单选题] DOS 系统装入 COM 文件时,先在内存建立一个长度为( )的 PSP,然后将整个文件装载于 PSP 上端,不进行重定位操作
A. 256 字节 B. 101H C. 0413H D. 0E9H
答案:A
12.[单选题] 以下对 PE 文件格式,说法不正确的是( )。
A. 一个 16 位 PE 文件的寻址空间是 4G。 B. PE 文件格式来源于 Unix 的 COFF 格式。 C. Win32 环境下的 PE 格式文件:exe 可执行文件、dll 动态链接库文件和 scr 屏幕保护程序。 D. PE 文件是使用 Win32 环境和 NT (New Technology) 内核系统的可执行文件格式。
答案:A
13.[单选题] 以下属于感染硬盘的主引导区的病毒是( )。
A. 大麻病毒 B. 小球病毒 C. Girl 病毒 D. 熊猫烧香
答案:A
14.[单选题] 以下属于感染硬盘的的活动分区引导记录的病毒是( )。
A. 大麻病毒 B. 火炬病毒 C. 小球病毒 D. 宏病毒
答案:C
15.[单选题] 引导型病毒加载病毒自身代码到内存的( )地址处。
A. 0000H B. 7C00H C. 0413H D. CS:100H
答案:B
16.[单选题] 引导型病毒修改( )中断的入口地址,使之指向病毒中断服务程序,当系统或用户进行磁盘读写时,就会激活病毒。
A. INT 21H B. INT 01H C. INT 11H D. INT 13H
答案:D
17.[单选题] 主引导记录签名是( )和( )。
A. MZ 和 PE B. 0x55 和 0xAA C. MZ 和 NE D. 0E9H 和 3CH
答案:B
18.[单选题] DOS 系统通过把控制传递( )处的指令而启动 COM 文件程序。
A. CS:100H B. 7C00H C. 0413H D. 3CH
答案:A
19.[单选题] COM 格式文件最大是( )。
A. 4GB B. 16KB C. 4KB D. 64KB
答案:D
20.[单选题] 引导型病毒修改内存容量标志单元( ),在原有值的基础上减去病毒长度,使得病毒代码能够常驻内存高端。
A. 7C00H B. 0413H C. CS:100H D. 0E9H
答案:B
03-19
1.[单选题] 先向栈区添加了一个变量 a,接着向栈区添加了另外一个变量 b,则变量 a 所在的内存地址比变量 b 所在的内存地址( )。
A. 低 B. 高 C. 不确定 D. 相等
答案:B
2.[多选题] 对于如下代码:int * p1=new int [200]; char * p2=new char [30]; 下列说法正确的是( )。
A. 所申请的内存将分配到栈区 B. 所申请的内存将分配到堆区 C. p1 的值大于 p2 的值 D. p1 的值小于 p2 的值 E. p1 的值和 p2 的值大小无法确定
答案:BE
3.[单选题] 函数栈帧不包括的是( )。
A. 局部变量 B. 全局变量 C. 函数参数 D. 返回地址
答案:B
4.[单选题] 一个函数 f (int a, int b),在发生对 f 的函数调用后将开辟函数 f 的栈帧,其中变量 a 的地址比变量 b 的地址( )。
A. 低 B. 高 C. 相等 D. 不确定
答案:A
5.[单选题] 函数调用完毕后,返回原来函数的指令处运行的一个关键操作是,将栈帧中保存的返回地址装入( )。
A. ESP 寄存器 B. EBP 寄存器 C. EIP 寄存器 D. EBI 寄存器
答案:C
6.[单选题] 存储下次将要执行的指令在代码段的偏移量的是( )。
A. EIP B. ESP C. EBP D. EIR
答案:A
7.[单选题] 汇编指令 push ebp; mov ebp,esp; 执行之后,ESP-EBP 的值为( )。
A. 0 B. 4 C. -4 D. 8
答案:A
8.[单选题] 以下条件转移指令,表示检测到标志寄存器 ZF 为 1 时转移的指令是( )。
A. JE B. JNZ C. JG D. JL
答案:A
9.[单选题] 以下条件转移指令,表示检测到标志寄存器 ZF 为 0 时转移的指令是( )。
A. JE B. JNE C. JL D. JG
答案:B
10.[单选题] 汇编指令中 MOV AX,[BX+1200H] 采用的寻址方式是( )。
A. 直接寻址 B. 间接寻址 C. 相对寻址 D. 基址变址寻址
答案:C
11.[单选题] 汇编指令中 MOV EAX, [EBX+ESI] 采用的寻址方式是( )。
A. 间接寻址 B. 相对寻址 C. 基址变址寻址 D. 相对基址变址寻址
答案:C
12.[单选题] 汇编指令中 MOV CL, 05H 采用的寻址方式是( )。
A. 立即寻址 B. 直接寻址 C. 间接寻址 D. 相对寻址
答案:A
13.[单选题] 汇编指令中 MOV [BX], 12H 采用的寻址方式是( )。
A. 立即寻址 B. 直接寻址 C. 间接寻址 D. 相对寻址
答案:C
14.[单选题] 汇编指令中 MOV AL,[3100H] 采用的寻址方式是( )。
A. 立即寻址 B. 直接寻址 C. 间接寻址 D. 相对寻址
答案:B
15.[单选题] 汇编指令中 MOV EAX, [EBX+ESI+1000H] 采用的寻址方式是( )。
A. 间接寻址 B. 相对寻址 C. 基址变址寻址 D. 相对基址变址寻址
答案:D
16.[单选题] CMP EAX, EAX; 语句执行后,ZF 寄存器的值为( )。
A. 0 B. 1 C. 不受影响 D. -1
答案:B
17.[单选题] 汇编指令 MOV AX, 01H; AND AX, 02H 运行之后,AX 寄存器里的值为( )。
A. 0 B. 1 C. 2 D. 3
答案:A
18.[单选题] 汇编指令 test AX, AX 的功能是( )。
A. 零标志位 ZF 置 1 B. 零标志位 ZF 置 0 C. 检测 AX 是否为 0 D. 检测 AX 是否为 1
答案:C
19.[单选题] 对于 PE 文件中有很多 “00” 字节,说法不正确的是( )。
A. 这是由于 PE 文件的文件节对齐粒度和内存节对齐粒度造成的。 B. 这是由感染 PE 文件的恶意代码造成的。 C. 恶意软件可以利用这些空白区填充恶意代码。 D. CIH 病毒就是利用这些 “00” 字节,填充恶意代码。
答案:B
20.[填空题] PE 文件的文件节对齐粒度是( )。
提示:采用 16 进制填写,大写 H 表示。
答案:200H
21.[填空题] PE 文件的内存节对齐粒度是( )。
提示:采用 16 进制填写,大写 H 表示。
答案:1000H
22.[填空题] 已知 PE 文件的 ImageBase 为 400000H,RVA 为 1000H,那么,该 PE 文件的 VA 地址是( )。
提示:采用 16 进制填写,大写 H 表示。
答案:401000H
04-02
1.[单选题] 触发漏洞、将控制权转移到目标程序的是( )。
A. shellcode B. exploit C. payload D. vulnerability
答案:C
2.[单选题] 下列不属于对 Shellcode 进行编码的原因的是( )。
A. 字符集差异 B. 绕过安全检测 C. 绕过坏字符 D. 绕过返回地址
答案:D
3.[单选题] 通过精心构造,攻击者通过缓冲区溢出覆盖( )中异常处理函数句柄,将其替换为指向恶意代码 shellcode 的地址,并触发相应异常,从而使程序流程转向执行恶意代码。
A. GS B. ASLR C. DEP D. SEH
答案:D
4.[单选题] 漏洞也称为( )。
A. Hole B. Fault C. Vulnerability D. Weakness
答案:C
5.[单选题] 发生缓冲区溢出的主要原因是( )。
A. 缺少堆栈安全检查机制 B. 栈地址是从低地址向高地址增长 C. 栈帧结构设计不合理 D. 未对边界进行检查
答案:D
6.[单选题] DWORD SHOOT 攻击是指( )。
A. 能够读取任意位置内存数据的攻击 B. 能够向任意位置内存写入任意数据的攻击 C. 能够向任意位置内存写入任意数据、并能读取任意位置内存数据的攻击 D. 以上都不对
答案:B
7.[单选题] SEH 结构存在于( )。
A. 堆区 B. 栈区 C. 寄存器 D. 代码区
答案:B
8.[单选题] 以下程序利用溢出漏洞执行 why_here 函数,下划线处需要填入( )。
void why_here(void) { printf("why u r here?!\n"); exit(0); } void f() { int buff; int * p = &buff; ____= (int)why_here; } int main(int argc, char * argv[]) { f(); return 0; }
A. p[0] B. p[1] C. buff[2] D. p[2]
答案:D
9.[单选题] 在 1996 年,Aleph One 在 Underground 发表了著名论文《SMASHING THE STACK FOR FUN AND PROFIT》,其中详细描述了 Linux 系统中栈的结构和如何利用基于栈的缓冲区溢出,并在论文中称这段被植入进程的代码为( )。
A. shellcode B. Macious Code C. dll D. payload
答案:A
10.[单选题] 能有效阻止非代码区的植入的恶意代码执行的技术是( )。
A. ASLR B. DEP C. GS Stack Protection D. SEHOP
答案:B
11.[单选题] gcc 编译器有一种栈保护机制阻止缓冲区溢出,如果要关闭这种机制,编译时可以使用( )参数。
A. -fstack-protector B. -fstack-protector-all C. -fno-stack-protector D. -fstack-protector-explicit
答案:C
12.[单选题] 如果要关闭 gcc 编译器的 Warning,编译时可以使用( )参数。
A. -o B. -S C. -c D. -w
答案:D
13.[单选题] 针对以下 C 语言程序,输入( ),可以使程序出现缓冲区溢出而通过验证码。
#include <stdio.h> #define PASSWORD "23456789" int verify_password (char * password) { int authenticated; char buffer [8]; //add local buff to be overflowed authenticated = strcmp (password, PASSWORD); strcpy (buffer, password); return authenticated; } void main () { int valid_flag = 0; char password [1024]; while (1) { printf ("请输入密码:"); scanf ("% s", password); valid_flag = verify_password (password); if (valid_flag) { printf ("密码不正确!\n\n"); } else { printf ("恭喜!密码正确!你通过了验证!\n"); break; } } }
A. 23456789 B. 12345678 C. 22222222 D. 33333333
答案:D
14.[单选题] 发生栈溢出漏洞时,要写入数据的填充方向是( ),多余的数据就会越过栈帧的基址,覆盖基址以上的地址空间。
A. 从高地址向低地址增长 B. 从低地址向高地址增长 C. 不确定 D. 栈中空白区域
答案:B
15.[单选题] 以下说法不正确的是( )。
A. 对于栈溢出,如果栈的返回地址被覆盖,当覆盖后的地址是一个无效地址,则程序运行失败。 B. 对于栈溢出,如果覆盖返回地址的是恶意程序的入口地址,则源程序将转向去执行恶意程序。 C. 缓冲区溢出是指程序运行时,向固定大小的缓冲区写入超过其容量的数据,多余的数据会越过缓冲区的边界覆盖相邻内存空间,从而造成溢出。 D. 栈的存取采用先进后出的策略,程序用它来保存函数调用时的有关信息,如函数参数、返回地址,函数中的静态变量存放在栈中。
答案:D
16.[单选题] 以下说法不正确的是( )。
A. ASLR 是一项通过将系统关键地址随机化,从而使攻击者无法获得需要跳转的精确地址的技术。 B. ASLR 是 Windows 系统独有的技术。 C. 对于 Windows 系统,ASLR 随机化的关键系统地址包括: PE 文件 (exe 文件和 dll 文件) 映像加载地址、堆栈基址、堆地址、PEB 和 TEB(Thread Environment Block,线程环境块)地址等。 D. Shellcode 需要调用一些系统函数才能实现系统功能达到攻击目的。操作系统采用 ASLR 技术,使 Shellcode 攻击难以实现。
答案:B
17.[单选题] 以下说法不正确的是( )。
A. GS Stack Protection 技术是一项缓冲区溢出的检测防护技术。 B. VC++ 编译器中提供了一个 / GS 编译选项,如选择该选项,编译器针对函数调用和返回时添加保护和检查功能的代码,在函数被调用时,在缓冲区和函数返回地址增加一个 64 位的随机数 security_cookie。 C. 硬件 DEP 需要 CPU 的支持,需要 CPU 在页表增加一个保护位 NX (no execute),来控制页面是否可执行。 D. Visual Studio 编译器提供了一个链接标志 / NXCOMPAT,可以在生成目标应用程序的时候使程序启用 DEP 保护。
答案:B
18.[单选题] 以下说法不正确的是( )。
A. SEH 是 Windows 异常处理机制所采用的重要数据结构链表。程序设计者可以根据自身需要,定义程序发生各种异常时相应的处理函数,保存在 SEH 中。
B. 通过精心构造,攻击者通过缓冲区溢出覆盖 SEH 中异常处理函数句柄,将其替换为指向恶意代码 shellcode 的地址,并触发相应异常,从而使程序流程转向执行恶意代码。
C. SafeSEH 就是一项保护 SEH 函数不被非法利用的技术。
D. 微软在编译器中加入了 / SafeSEH 选项,采用该选项编译的程序将 PE 文件中所有非法的 SEH 异常处理函数的地址解析出来制成一张 SEH 函数表,放在 PE 文件的数据块中,用于异常处理时候进行匹配检查。
答案:D
04-16
19.[单选题]
计算欧式距离,公式是( )C
1.[单选题] 对于 CVE 漏洞数据库,以下哪一项记录了漏洞对应的 CVE 编号?
A. problemtype B. configurations C. impact D. CVE_data_meta
答案:D
2.[单选题] 对于漏洞数据库,以下哪一项记录了漏洞对应的 CWE 缺陷名称?
A. problemtype B. CVE_data_meta C. description D. references
答案:A
3.[单选题] 以下哪种虚拟化技术是依赖硬件虚拟化技术(Intel VT 或者 AMD V)的裸机虚拟化程序,使用 Linux 内核作为它的虚拟机管理程序?
A. JVM 虚拟机 B. KVM 虚拟机 C. Dalvik 虚拟机 D. ART 虚拟机
答案:B
4.[单选题] 以下哪种说法不正确?
A. CVE 是通用漏洞披露。 B. CNVD 是中国国家信息安全漏洞共享平台。 C. CNNVD 是中国国家信息安全漏洞库。 D. NVD 漏洞数据库是中国国家漏洞库。
答案:D
5.[单选题] 以下哪种说法是不正确的?
A. 源代码漏洞检测是指在软件开发的早期阶段,通过对源代码进行静态分析来识别潜在的安全漏洞。这种方法不需要运行程序,而是通过解析代码结构、数据流和控制流等信息来发现可能存在的问题。 B. 二进制代码漏洞检测是通过逆向分析(静态和动态分析方法)编译后的二进制文件(如可执行文件、库文件等),查找其中可能存在的安全漏洞。这种方法通常用于无法获取源代码的场景。 C. 漏洞库为每个收录的漏洞分配唯一标识符,例如数字或字母数字名称可,并且通常以通过网页,导出或 API 来获取数据库中的信息。 D. 漏洞检测是一种被动的网络安全防御措施,通过对网络或主机进行扫描、渗透以及时发现安全漏洞,进而给出风险评估报告和漏洞修复建议,从而帮助用户掌握系统安全现状、提升系统安全性。
答案:D
6.[单选题] 以下哪一种是开源的漏洞扫描软件?可以不断从 NVT、SCAP、CERT 漏洞数据库更新漏洞信息,针对已知的漏洞库中的漏洞,使用可配置的漏洞扫描引擎从远程检测资产中存在的安全问题。
A. Nessus B. Nmap C. Lynis D. GVM
答案:D
7.[单选题] 以下哪一种是基于主机的、开源的安全审计软件?
A. Metasploit B. GVM C. Lynis D. Nmap
答案:C
8.[单选题] 以下哪一个是使用 Ruby 语言编写的开源的模块化渗透测试平台,可用于开发、测试和执行漏洞利用代码。
A. Metasploit Pro B. Mulval C. Lynis D. MSF
答案:D
9.[单选题] 以下哪个软件可以生成漏洞攻击图?
A. MulVAL B. Nessus C. Lynis D. Nmap
答案:A
10.[单选题] MulVAL 使用( )定义计算机系统上存在的漏洞。
A. Datalog B. Prolog C. OVAL D. Python
答案:C
11.[单选题] 特征码是从恶意代码中提取的,能够唯一代表某个恶意代码家族或变种,并被杀毒软件纳入到特征库的( )。
A. 一段特别的代码 B. 字符串 C. 引入函数节 D. 字节流
答案:D
12.[单选题] 以下不属于恶意代码静态特征的是( )。
A. IAT 表 B. 字节码图像化 C. 调用 API 函数的时间序列 D. angr 或 IDA 工具调试时的基本块
答案:C
13.[单选题] ( )是 FireEye 公司开源的静态分析工具,通过静态分析二进制文件,识别其潜在的攻击模式和功能,且能与 ATT&CK 框架战术 - 技术映射。
A. CAPE B. CAPA C. angr D. Noriben
答案:B
14.[单选题] ( )是一个动态二进制插桩工具,用于在运行时对程序进行插桩和分析。它可以在不修改源代码的情况下,动态地插入自定义代码来监控、分析和修改程序的执行行为。
A. pin B. angr C. CAPA D. cuckoo
答案:A
15.[单选题] ( )沙箱需要跟 ProcMon 程序配合,才能动态检测恶意代码。
A. cuckoo B. CAPE C. Noriben D. pin
答案:C
16.[单选题] 以下说法,哪一个是不正确的?
A. 恶意代码检测本质上是一种多分类任务。 B. 机器学习数据集中的一条记录叫做样本或实例。 C. 当数据集没有标签时,也可以仅通过特征进行聚类等分析,这种无标签情况的下的机器学习也叫无监督学习问题。 D. 任何一个机器学习方法都是由模型、策略和算法三要素构成。
答案:A
17.[单选题] 以下说法,不正确的是( )。
A. 准确率(Accuracy)是机器学习分类任务的一种指标。 B. 精确率(Precisio)是机器学习分类任务的一种指标。 C. 均方误差 MSE 是机器学习回归任务的一种指标。 D. 混淆矩阵是机器学习回归任务的一种指标。
答案:D
18.[单选题] ( )是 Python 机器学习核心模型与算法库。
A. skimage B. sklearn C. NumPy D. SciPy
答案:B
20.[单选题] 对于机器学习中 “随机森林”,说法错误的是( )。
A. 随机森林以决策树为弱学习器的集成学习方法。 B. 对于大量决策树组成随机森林,然后将每棵树的结果进行综合,分类任务可以使用投票法,回归任务可使用均值法。 C. 随机森林的实现建立在决策树的基础之上,然后通过两个随机性 —— 行抽样和列抽样,来构造样本子集并用以训练随机森林的基学习器,最后将每个基学习器的预测结果集成,得到最终的预测结果。 D. 随机森林采用三种方式来选取最优特征,包括信息增益、信息增益比和基尼指数。
答案:D
04-30
1.[单选题] Linux 系统的可执行文件格式是( )。
A. PE B. ELF C. SH D. EXE
答案:B
2.[单选题] Linux 的可执行文件格式中的节区,包含二进制代码部分的是( )。
A. .text B. .rodata C. .data D. .bss
答案:A
3.[单选题] Linux 的可执行文件格式中的节区,属于只读数据部分的是( )。
A. .rdata B. .rodata C. .data D. .bss
答案:B
4.[单选题] Linux 的可执行文件格式中的节区,属于已初始化全局变量部分的是( )。
A. .rodata B. .data C. .bss D. .rdata
答案:B
5.[单选题] Linux 的可执行文件格式中的节区,属于未初始化全局标量部分的是( )。
A. .rodata B. .rdata C. .bss D. .data
答案:C
6.[单选题] 以下不属于 Silvio(西尔维奥)填充感染法的病毒是( )。
A. Brundle Fly B. POC 病毒 C. LPV 病毒 D. Shell 脚本病毒
答案:D
7.[单选题] 以下对于 Silvio(西尔维奥)填充感染法,说法不正确的是( )。
A. 它利用内存中的 text 段和 data 段之间的填充空间
B. 它将病毒体限制在了一个内存分页的大小
C. 在 64 位的系统上,可执行文件使用较大的分页,能容纳将近 2MB 的感染代码
D. 它利用在磁盘上的 text 段和 data 段之间的空白区
答案:D
8.[单选题] 以下对于 gdb 调试工具,说法不正确的是( )。
A. GNU symbolic debugger,简称「GDB 调试器」,是 Linux 平台下最常用的一款程序调试器。 B. gdb 调试器对 C、C++、Go、Objective-C、OpenCL、Ada 等多种编程语言提供了支持。 C. 使用 gdb 时,需要 gcc 编译使用带调式信息 - g 参数。 D. gdb 支持多种 CPU 架构以及文件格式
答案:D
9.[单选题] 以下对于 radare2 工具,说法不正确的是( )。
A. 它是个基于命令行的逆向工具,包括反汇编、分析数据、打补丁、比较数据、搜索、替换、虚拟化等等,它可以运行在几乎所有主流的平台(Linux, Windows, iOS)并且支持很多的 CPU 架构以及文件格式。
B. radare2 不只是一个工具,而是一个框架,是众多逆向分析工具的组合。
C. radare2 是主程序,可以用于通过一系列的命令对文件进行分析与调试,还支持多种语言如 Python、Ruby 的脚本调用。
D. 对于 radare2 中的命令,都可以在命令前加一个?来获取使用说明。
答案:D
10.[单选题] 以下对于逆向 text 感染法,说法不正确的是( )。
A. 在逆向扩展过程中,需要将 text 段的虚拟地址缩减 PAGE_ALIGN (parasite_size)
B. 32 位系统上所允许的最小虚拟映射地址为 0x1000,因此, text 的虚拟地址最多能扩展到 0x1000
C. 64 位的系统上,默认的 text 虚拟地址通常为 0x400000,寄生代码可以占用的空间就可以达到 0x3ff000 字节
D. 它是一种 PE 文件类型病毒感染法
答案:D
11.[单选题] 阅读论文并回答问题:实验 8 相关论文中的论文 “基于 CFG 和 TTP 的恶意软件分析技术_李镇山.caj” 中所采用的 “基于 CFG_API 图的恶意软件分类方法”,是一种( )的分类方法。
A. 基于控制流图的静态特征 B. 基于控制流图的动态特征 C. 将 CFG 图信息融入 API 函数调用 D. 融合静态特征和动态特征
答案:D
12.[单选题] 阅读论文并回答问题:实验 8 相关论文中的论文 “基于 CFG 和 TTP 的恶意软件分析技术_李镇山.caj” 中通过( )模型,将恶意软件分类问题转化为( )问题。
A. CNN,ResNet-50 B. 图神经网络,图分类 C. CNN,卷积网络分类 D. ACFG,图分类
答案:B
13.[单选题] 阅读论文并回答问题:实验 8 相关论文中的论文 “基于 CFG 和 TTP 的恶意软件分析技术_李镇山.caj” 中通过( )沙箱,提取恶意软件样本的 TTP 标签。
A. HYBRID Analysis B. VirusTotal C. 布谷鸟 (Cuckoo) D. CAPE
答案:A
14.[单选题] 阅读论文并回答问题:实验 8 相关论文中的论文 “基于 CFG 和 TTP 的恶意软件分析技术_李镇山.caj” 中通过对 CFG_API 图中带有相同 TTP 标签的节点进行分类,让多个节点形成一条或多条执行流,从而将恶意软件攻击行为定位在其( )的具体执行流中。
A. CFG_API B. API C. CFG D. TTP
答案:C
15.[单选题] 阅读论文并回答问题:实验 8 相关论文中的论文 “基于 CFG 和 TTP 的恶意软件分析技术_李镇山.caj” 中 "基于 TTP 的恶意软件攻击预测方法",将 TTP 分成( )类标签。
A. 14 B. 3 C. 10 D. 9
答案:D
16.[单选题] 阅读论文并回答问题:实验 8 相关论文中的论文 “基于深度学习的 APT 攻击检测和溯源研究_王年芳.caj” 文中将良性软件、普通恶意软件和 APT 恶意软件三类样本放入( )中运行,并提取它们的动态行为特征。
A. VirusTotal B. Noriben 沙箱 C. CAPE D. CAPA
答案:B
17.[单选题] 阅读论文并回答问题:实验 8 相关论文中的论文 “基于深度学习的 APT 攻击检测和溯源研究_王年芳.caj” 提出的 “改进的 APT 恶意软件溯源方法”,将 APT 恶意软件的( )进行编码,以适应神经网络的处理要求。
A. DLL:API B. API 调用序列 C. PE 头静态特征 D. DLL
答案:A
18.[单选题] 阅读论文并回答问题:实验 8 相关论文中的论文 “基于深度学习的 APT 攻击检测和溯源研究_王年芳.caj” 提出的 “改进的 APT 恶意软件检测方法”,提取 APT 恶意软件样本的( )动态行为特征。
A. 进程名 -> 操作类型 B. API 调用 C. 进程行为、文件行为、注册表行为和网络行为特征 D. API 调用序列、进程行为、文件行为、注册表行为和网络行为特征
答案:C
19.[单选题] 阅读论文并回答问题:实验 8 相关论文中的论文 “基于深度学习的 APT 攻击检测和溯源研究_王年芳.caj” 通过 APT 恶意软件样本分类方法溯源 APT 恶意软件家族的实验,共分成( )类家族。
A. 10 B. 3 C. 2172 D. 12
答案:D
20.[单选题] 阅读论文并回答问题:实验 8 相关论文中的论文 “基于深度学习的 APT 攻击检测和溯源研究_王年芳.caj” 中,提及 APT 中的高级含义是指 APT 攻击采用高级的技术手段和攻击工具,通常利用( ) 漏洞和( )的恶意软件渗透目标系统以规避传统的安全防护措施。
A. 通用,具有勒索功能 B. 零日,定制 C. 通用,高级 D. 零日,隐藏
答案:B
05-14
1.[单选题] 以下哪种移动智能终端恶意代码能够扣费,发送 SP 业务定制短信并删除发送记录?
A. 吞钱贪婪鬼 B. Lasco 系列恶意代码 C. 白卡吸费魔 D. Skulls
答案:C
2.[单选题] ( )系列的手机木马被称为 “隐私大盗” 木马,是一批专偷短信、IMEI(手机串号)、Google 账号等隐私信息系列手机木马,其变种数量超过 60 个。
A. Cabir B. 索马里海盗 C. X 卧底 D. DroidDreamLight
答案:D
3.[单选题] 第一个攻击手机的病毒是( )。
A. VBS.Timofonica B. Cabir C. Skulls D. Lasco
答案:A
4.[单选题] 以下哪种移动智能终端恶意代码能每隔几秒就会偷偷的向你通讯录中的号码发送彩信?
A. 吞钱贪婪鬼 B. RottenSys C. “白卡吸费魔” 木马 D. DroidDreamLight 系列手机木马
答案:A
5.[单选题] 以下哪种手机恶意代码伪装成安卓手机的 “系统 Wi-Fi 服务”,“每日黄历”、“畅米桌面” 等应用,并通过不定期给用户推送广告或指定 APP 来盈利?
A. RottenSys B. 吞钱贪婪鬼 C. “X 卧底” 系列木马 D. “索马里海盗” 木马
答案:A
6.[单选题] 对于 Android 的 APK 文件,以下哪一种是 Java 代码编译后产生运行在 Dalvik 虚拟机上?
A. AndroidManifest.xml B. resources.arsc C. META-INF D. classes.dex
答案:D
7.[单选题] 以下说法不正确的是( )。
A. class 文件有很多冗余信息,dex 文件会做去冗余信息的优化。 B. JVM 执行的是.class 文件、Dalvik 和 ART 执行的.dex 文件。 C. JVM 是基于寄存器,Dalvik 虚拟机是基于堆栈。 D. resources.arsc 文件是 Android 的 APK 文件的资源索引表。
答案:C
8.[单选题] 以下说法不正确的是( )。
A. dex 文件由 3 大部分组成:文件头、签名区、数据区。 B. Android 系统 dex 文件的文件头包括:0x70 个字节大小,它包含标志、版本号、校验码、sha1 签名以及其他一些方法、类的数量和偏移地址等信息。 C. Android 系统 dex 文件的数据区包括:类的定义、数据区、链路数据区。 D. Android 系统的 APK 文件实际上是一个压缩包文件。
答案:A
9.[单选题] 阅读论文并回答问题:实验 11 相关论文中的论文 “2023 基于集成学习的安卓恶意软件分类的研究与设计_战小裕”,安卓恶意软件的植入方式,从安装方式上来分, 可以划分为 ( )、 更新包、 偷渡下载等。
A. 拦截包 B. APT 安装 C. 应用市场安装 D. 重打包
答案:D
10.[单选题] 阅读论文并回答问题:实验 11 相关论文中的论文 “2023 基于集成学习的安卓恶意软件分类的研究与设计_战小裕”,偷渡式下载类似于( ), 在用户不知情的条件下,下载伪装好的恶意软件。
A. 钓鱼网站 B. 渗透测试 C. 被动监听 D. 网络攻击
答案:A
11.[单选题] 阅读论文并回答问题:实验 11 相关论文中的论文 “2023 基于集成学习的安卓恶意软件分类的研究与设计_战小裕”,( )是指选择当前目标应用程序进行反编译, 将恶意负载植入到相关代码, 编译后重新提交给应用市场。
A. 重签名 B. 更新包 C. 重打包 D. 重编译
答案:C
12.[单选题] 阅读论文并回答问题:实验 11 相关论文中的论文 “2023 基于集成学习的安卓恶意软件分类的研究与设计_战小裕”,通过反编译工具从全局配置文件和字节码文件中提取了( )类敏感静态特征, 然后为每个样本生成特征向量。
A. 3 B. 8 C. 2 D. 4
答案:B
13.[单选题] 阅读论文并回答问题:实验 11 相关论文中的论文 “2023 基于集成学习的安卓恶意软件分类的研究与设计_战小裕”,其特征提取方式,自于 manifestxml 文件中的是请求权限、 硬件组件、 APP 组件和( )。
A. 作者信息 B. 意图过滤器 C. app 信息 D. 说明信息
答案:B
14.[单选题] 阅读论文并回答问题:实验 11 相关论文中的论文 “2023 基于集成学习的安卓恶意软件分类的研究与设计_战小裕”,其特征提取方式,来自于 dex 文件中的代码信息有实际使用权限、 受限 API 调用、 敏感 API 调用和( )。
A. 漏洞信息 B. 字节码 C. 敏感服务 D. 可疑脚本执行
答案:D
15.[单选题] 阅读论文并回答问题:实验 11 相关论文中的论文 “2023 基于静态多特征的 Android 应用重打包多级检测方法研究_付文帅 “,( )语言是针对 Dalvik 虚拟机反汇编的语言。在 Android 系统中,Dalvik 虚拟机不能直接执行 Java 虚拟机的 class 文件,而需要将其转换为( )文件,重新打包整合后才能运行。
A. masm, apk B. nasm, apk C. smali, dex D. 伪 JAVA, dex
答案:C
16.[单选题] 阅读论文并回答问题:实验 11 相关论文中的论文 “2023 基于静态多特征的 Android 应用重打包多级检测方法研究_付文帅 “,使用( )静态分析工具提供的两种方法来提取应用的组件特征。
A. apktool B. Androguard C. JADX D. Bytecodeviewer
答案:B
17.[单选题] 阅读论文并回答问题:实验 11 相关论文中的论文 “2023 基于静态多特征的 Android 应用重打包多级检测方法研究_付文帅 “,提出了一个基于活动关系图的细粒度重打包次级检测框架,该框架根据应用的 APK 文件与应用的主活动,使用( )工具构建了该应用的活动关系图并提取每个活动节点的特征。
A. Androguard B. apktool C. Android Studio D. JD-Gui
答案:A
18.[单选题] 阅读论文并回答问题:实验 11 相关论文中的论文 “2023 基于静态多特征的 Android 应用重打包多级检测方法研究_付文帅 “,Smali 和 Java 的数据类型一一对应,其拥有( )种基本数据类型和引用数据类型。
A. 10 B. 16 C. 8 D. 18
答案:C
19.[单选题] 阅读论文并回答问题:实验 11 相关论文中的论文 “2023 基于静态多特征的 Android 应用重打包多级检测方法研究_付文帅 “,Smali 代码常见指令 invoke-static 的含义是( )。
A. 赋值静态变量 B. 调用静态函数 C. 调用函数 D. 赋值全局变量
答案:B
20.[单选题] 阅读论文并回答问题:实验 11 相关论文中的论文 “2023 基于静态多特征的 Android 应用重打包多级检测方法研究_付文帅 “,Smali 代码常见指令 iget-object 的含义是( )。
A. 对象赋值 B. 创建实例 C. 获取对象 D. 调用对象
答案:D
05-28
1.[单选题] 阅读论文并回答问题:实验 11 相关论文中的论文 “2024 基于家族感知的图表示学习安卓恶意软件家族分析_曾开发”,( )恶意代码家族是一种安卓恶意软件家族,通常通过钓鱼网站、欺诈短信或者植入感染的应用程序进行传播。它主要用于推送广告、窃取用户信息或者欺骗用户进行付款,还通常会伪装成合法的应用程序,诱导用户下载并安装,然后在后台进行恶意活动。
A. Plankton B. DroidKungfu C. FakeInstaller D. Ginmaster
答案:D
2.[单选题] 阅读论文并回答问题:实验 11 相关论文中的论文 “2024 基于家族感知的图表示学习安卓恶意软件家族分析_曾开发”,( )恶意代码家族是一种安卓恶意软件,主要通过钓鱼网站、欺诈短信或者植入感染的应用程序进行传播。一旦感染,还可以窃取用户的敏感信息、监视用户活动、 发送恶意短信或者欺骗用户进行付款等行为。
A. FakeInstaller B. Opfake C. Plankton D. Ginmaster
答案:C
3.[单选题] 阅读论文并回答问题:实验 11 相关论文中的论文 “2024 基于家族感知的图表示学习安卓恶意软件家族分析_曾开发”,( )恶意代码家族通过 root 移动设备来获取信息,后台静默下载恶意应用,通常为了逃避检测软件对于电量消耗的监控而运行在晚上设备充电的时候。
A. BaseBridge B. DroidDream C. HummingBad D. Anubis
答案:B
4.[单选题] 阅读论文并回答问题:实验 11 相关论文中的论文 “2024 基于家族感知的图表示学习安卓恶意软件家族分析_曾开发”,安卓恶意代码文件结构中,so 文件是一种( )。
A. 动态链接库文件 B. 清单文件 C. 反汇编文件 D. 字节码
答案:A
5.[单选题] 阅读论文并回答问题:实验 11 相关论文中的论文 “2024 基于家族感知的图表示学习安卓恶意软件家族分析_曾开发”,安卓恶意代码文件结构中,清单文件声明了应用程序的各种组件,包括( )。
A. 基本信息、权限要求、组件声明等 B. 设置、参数、链接、URL 等 C. 活动、服务、广播接收器和内容提供者 D. dex、Smali、JAVA、so 文件等
答案:C
6.[单选题] 阅读论文并回答问题:实验 11 相关论文中的论文 “2024 基于家族感知的图表示学习安卓恶意软件家族分析_曾开发”,使用( )建模成的函数调用图进分类实验。
A. androguard 逆向分析得到的函数调用关系 B. 伪 JAVA 代码的 API 之间的调用关系 C. 伪 C 代码的 API 之间的调用关系 D. smali 代码中的 API 之间的调用关系
答案:D
7.[单选题] 阅读论文并回答问题:实验 11 相关论文中的论文 “2024 基于家族感知的图表示学习安卓恶意软件家族分析_曾开发”,其实验采用哪两个数据集?
A. Drebin、COVA B. Drebin、CICAndMal2017 C. COVA、PraGuard D. PraGuard、CICAndMal2017
答案:B
8.[单选题] 阅读论文并回答问题:实验 11 相关论文中的论文 “2024 基于家族感知的图表示学习安卓恶意软件家族分析_曾开发”,其实验使用( )对函数调用图进行可视化分析。
A. Apktool B. Scikit-learn C. NetworkX D. PyTorch
答案:C
9.[单选题] 阅读论文并回答问题:实验 11 相关论文中的论文 “2024 基于家族感知的图表示学习安卓恶意软件家族分析_曾开发”,其实验使用( )搭建图神经网络。
A. DGL B. Transformer C. GNN D. GAT
答案:A
10.[单选题] 阅读论文并回答问题:实验 11 相关论文中的论文 “2022 基于关键流量图像的 Android 恶意软件检测与分类_彭钰杰”,指出安卓操作系统结构从上到下分别是( )。
A. 应用软件层、应用支持层、网络库层和 Linux 内核层 B. 应用软件层、运行库层、网络库层和 Linux 内核层 C. 应用软件层、运行库层、应用支持层和安卓内核层 D. 应用软件层、应用支持层、运行库层和 Linux 内核层
答案:D
11.[单选题] 阅读论文并回答问题:实验 11 相关论文中的论文 “2022 基于关键流量图像的 Android 恶意软件检测与分类_彭钰杰”,( )是编译后的二进制资源文件。
A. classes.dex B. resoureces.arx C. res D. META-INF
答案:B
12.[单选题] 阅读论文并回答问题:实验 11 相关论文中的论文 “2022 基于关键流量图像的 Android 恶意软件检测与分类_彭钰杰”,( )恶意软件家族窃取用户 IMEI 信息,私自拨打电话消耗话费,并屏蔽运营商正常短信。
A. GinMaster B. Kmin C. Plankton D. FakeInstaller
答案:B
13.[单选题] 阅读论文并回答问题:实验 11 相关论文中的论文 “2022 基于关键流量图像的 Android 恶意软件检测与分类_彭钰杰”,其采用( )生成关键流量图像,对 Android 恶意软件进行检测和分类。
A. Android 恶意软件在运行时产生的流量 B. Android 恶意软件的 dex 字节码文件 C. Android 恶意软件的恶意负载部分 D. Android 恶意软件的 apk 文件
答案:A
14.[单选题] 阅读论文并回答问题:实验 11 相关论文中的论文 “2022 基于关键流量图像的 Android 恶意软件检测与分类_彭钰杰”,其关键流量图像的分析,通过( )工具抓取记录并存储为( )格式的文件以供分析。
A. Tcpdump、dump B. wireshark、PCAP C. Tcpdump、PCAP D. wireshark、dump
答案:C
15.[单选题] 阅读论文并回答问题:实验 11 相关论文中的论文 “2022 基于关键流量图像的 Android 恶意软件检测与分类_彭钰杰”,第一方流量是指( )。
A. 安卓恶意软件的恶意行为产生的流量 B. 社交网络服务产生的流量 C. 不包含恶意行为的流量 D. 内容分发服务产生的流量
答案:A
16.[单选题] 阅读论文并回答问题:实验 11 相关论文中的论文 “2022 基于关键流量图像的 Android 恶意软件检测与分类_彭钰杰”,采用( )算法清洗第三方流量。
A. 网络会话切分 B. 滑动聚类 C. 流量关键帧 D. 均值漂移
答案:B
17.[单选题] 阅读论文并回答问题:实验 11 相关论文中的论文 “2022 基于关键流量图像的 Android 恶意软件检测与分类_彭钰杰”,其数据集采用( ),该数据集中共收集了 1700 个从 GooglePlay 应用商店获取的良性软件以及约 400 个恶意软件的流量数据,并以 PCAP 文件的格式进行存储。
A. CICAndMal2017 B. Drebin C. PraGuard D. COVA
答案:A
18.[单选题] 阅读论文并回答问题:实验 11 相关论文中的论文 “2022 基于关键流量图像的 Android 恶意软件检测与分类_彭钰杰”,其分类评价标准采用( )。
A. TP, FP, TN, FN B. 宏精确率、宏召回率 C. 混淆矩阵 D. 准确率、 精确率、召回率以及 F - 度量
答案:D
06-11
1.[单选题] 阅读论文并回答问题:实验 15 相关论文中的论文 “基于 Linux 系统的嵌入式设备漏洞自动化检测技术研究_温杰”,主要采用( )的方法检测嵌入式设备漏洞。
A. 静态检测 B. 动态检测 C. 静态检测与动态检测相结合 D. 动态自动化检测
答案:A
2.[单选题] 阅读论文并回答问题:实验 15 相关论文中的论文 “基于 Linux 系统的嵌入式设备漏洞自动化检测技术研究_温杰”,通过静态解析 Linux 启动脚本,构建( )调用树来发现 telnet、ssh 等后门程序的方法。
A. Shellcode B. API C. 函数 D. Shell
答案:D
3.[单选题] 阅读论文并回答问题:实验 15 相关论文中的论文 “基于 Linux 系统的嵌入式设备漏洞自动化检测技术研究_温杰”,提到一些厂家也会自制其专有的后门程序,比如 2014 发现的磊科全系列路由器 53413 端口后门漏洞。在开机启动脚本 rcS 中,磊科路由器自动启动 “( )”, 该程序监听 UDP 53413 端口并验证硬编码密码 “netcore”, 验证成功后使用 system 函数执行输入的命令。
A. /etc/init.d B. /bin/igdmptd C. /etc/rc.local D. /etc/systemd/system
答案:B
4.[单选题] 阅读论文并回答问题:实验 15 相关论文中的论文 “基于 Linux 系统的嵌入式设备漏洞自动化检测技术研究_温杰”,提到嵌入式设备所用的操作系统种类也非常多,常见的包括 Linux、VxWorks、Windows CE、eCos、FreeRTOS 等。其中,基于 Linux 系统的嵌入式设备数量最多,根据 A Costin 等人对大规模固件的分析,在他们收集的固件中有( )基于 Linux 系统。
A. 91% B. 75% C. 86% D. 60%
答案:C
5.[单选题] 阅读论文并回答问题:实验 15 相关论文中的论文 “基于 Linux 系统的嵌入式设备漏洞自动化检测技术研究_温杰”,提到( )是一个著名的固件解包工具,整合了各种解压缩工具,并使用模式匹配定位、切割、解压文件,并且使用简单,只需要执行 “-e” 命令即可提取大部分已知固件中的文件。
A. apktool B. IDA C. Ghidra D. binwalk
答案:D
6.[单选题] 阅读论文并回答问题:实验 15 相关论文中的论文 “基于 Linux 系统的嵌入式设备漏洞自动化检测技术研究_温杰”,提到对于基于 Linux 系统的嵌入式设备,工业界与学术界最常使用的仿真器是开源仿真器( ),很多仿真工具都是建立在这个仿真器之上。
A. Costin B. qemu C. FirmAE D. Firmadyne
答案:B
7.[单选题] 阅读论文并回答问题:实验 15 相关论文中的论文 “基于 Linux 系统的嵌入式设备漏洞自动化检测技术研究_温杰”,为挖掘基于 Linux 系统的嵌入式设备的后门、命令注入、缓冲区溢出和访问控制缺陷漏洞,该论文设计并实现了自动化漏洞挖掘框架( )。
A. taint_analyse B. SaTC C. KARONTE D. FSTaint
答案:D
8.[单选题] 阅读论文并回答问题:实验 15 相关论文中的论文 “基于 Linux 系统的嵌入式设备漏洞自动化检测技术研究_温杰”,用于测试的两个数据集共有( )个固件。
A. 38 B. 75 C. 37 D. 7
答案:B
9.[单选题] 阅读论文并回答问题:实验 15 相关论文中的论文 “嵌入式设备固件的安全性分析_吴华茂”,该论文设计和实现了一种用于分析( )嵌入式设备固件的( )安全性分析框架,以验证设备提供的用户态网络服务的安全性。
A. Linux、静态与动态相结合 B. Linux、静态 C. ARM、静态与动态相结合 D. ARM、动态
答案:D
10.[单选题] 阅读论文并回答问题:实验 15 相关论文中的论文 “嵌入式设备固件的安全性分析_吴华茂”,提到( )是一个基于 QEMU 的全系统动态分析引擎,用于对软件的快速逆向工程,论文在这个动态分析框架的基础上实现了一个用于模拟嵌入式设备的环境。
A. AVATAR B. angr C. VEX IR D. PANDA
答案:D
11.[单选题] 阅读论文并回答问题:实验 15 相关论文中的论文 “嵌入式设备固件的安全性分析_吴华茂”,该论文基于( )二进制分析框架实现了一个运行轨迹分析脚本,该脚本可还原程序在运行过程过程中的高级语义操作,并通过启发式算法寻找程序出错的原因。
A. PANDA B. qemu C. angr D. pin
答案:C
12.[单选题] 阅读论文并回答问题:实验 15 相关论文中的论文 “嵌入式设备固件的安全性分析_吴华茂”,该论文收集了( )个来自各个厂商的嵌入式设备固件,对其内部的 Web 服务守护程序进行分析测试。
A. 208 B. 148 C. 95 D. 223
答案:D
13.[单选题] 阅读论文并回答问题:实验 15 相关论文中的论文 “嵌入式设备固件的安全性分析_吴华茂”,提到为生成磁盘镜像,ARM-X 则使用( )共享的方式将根文件系统目录共享给运行于模拟器的定制 Linux 系统中。
A. Samba B. NFS C. SquashFS D. J2FF2
答案:B
14.[单选题] 阅读论文并回答问题:实验 15 相关论文中的论文 “嵌入式设备固件的安全性分析_吴华茂”,提到为生成磁盘镜像,该论文与( )采用相同的方式,即把固件的根文件系统打包为一个磁盘镜像。
A. FirmAE B. Firmware Analysis Toolkit (FAT) C. qemu D. Firmadyne
答案:D
15.[单选题] 阅读论文并回答问题:实验 15 相关论文中的论文 “嵌入式设备固件的安全性分析_吴华茂”,被分析的服务守护程序在一个基于固件根文件系统的 ( ) 环境中运行。它是在 unix 系统的一个操作,针对正在运作的软件进程和它的子进程,改变它外显的根目录。一个运行在这个环境下,经由它设置根目录的程序不能对这个指定根目录之外的文件进行访问动作。
A. chroot B. root C. binwalk D. bin
答案:A
16.[单选题] 阅读论文并回答问题:实验 15 相关论文中的论文 “嵌入式设备固件的安全性分析_吴华茂”,提到嵌入式设备常常使用( )作为主要的存储介质。由于它是一种具备写入寿命的存储介质,设备厂商会使用各种手段减少它的写入以提高其耐久性,其中最常用的方法就是使用只读文件系统。
A. SRAM B. ROM C. 闪存 D. SSD
答案:C
17.[单选题] 阅读论文并回答问题:实验 15 相关论文中的论文 “嵌入式设备固件的安全性分析_吴华茂”,提到在设备加电启动时,Linux 内核把文件系统的内容加载到内存,然后将内存中的文件系统挂载为根文件系统。所有对该文件系统的更改 (如生成日志、临时文件等) 都将保存于内存中,而对设备配置的更改则存放于( ),的特殊内存中,此种内存中保存的数据不会随着设备断电而丢失。
A. SRAM B. RAM C. SSD D. NVRAM
答案:D
18.[单选题] 阅读论文并回答问题:实验 15 相关论文中的论文 “嵌入式设备固件的安全性分析_吴华茂”,该论文使用动态安全分析框架分析一些嵌入式设备固件中的( )服务守护程序。
A. SSH B. telnet C. Samba、NFS D. Web
答案:D
————————————————
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
原文链接:
版权声明:本文标题:**逆向挑战:探索Adobe Flash Player的深层次技术与Flash中心的神秘面纱** 内容由网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:http://www.roclinux.cn/p/1774457925a3571392.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论