Flash中心的暗战：逆向工程在恶意代码分析中的应用

以下哪个人研制了第一个计算机病毒（Unix）？
A、
Fred Cohen

B、
冯·诺伊曼

C、
道格拉斯.麦耀莱、维特.维索斯基和罗伯.莫里斯

D、
Robert T. Morris

我的答案：A
5.0分
AI讲解
2
【单选题】以下哪种病毒能够烧毁硬件？
A、
CIH病毒

B、
宏病毒

C、
美丽莎病毒

D、
红色代码

我的答案：A
5.0分
AI讲解
3
【单选题】到目前为止，以下哪种病毒造成的经济损失最大？
A、
爱虫

B、
SQL蠕虫王

C、
冲击波

D、
熊猫烧香

我的答案：A
5.0分
AI讲解
4
【单选题】反病毒软件商们为MS Word宏病毒命令的前缀是（              ）。
A、
WM

B、
VBS

C、
Win32

D、
W97M

我的答案：A
5.0分
AI讲解
5
【单选题】
永恒之蓝，即EternalBlue这个工具就是利用windows系统的（         ）远程执行代码漏洞向Microsoft 服务器消息块服务器发送经特殊设计的消息，就能允许远程代码执行。

A、
MS017-010漏洞

B、
快捷方式文件解析漏洞

C、
RPC漏洞

D、
IRC漏洞

我的答案：A
5.0分
AI讲解
6
【单选题】熊猫烧香病毒是一种（            ）病毒。
A、
木马

B、
流氓软件

C、
蠕虫

D、
逻辑炸弹

我的答案：C
5.0分
AI讲解
7
【单选题】以下哪种恶意代码能发动DDOS攻击？
A、
Cutwail

B、
WannaCry

C、
Stuxnet

D、
Locky

我的答案：A
5.0分
AI讲解
8
【单选题】（           ）工具是一种特殊的恶意软件，它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息。
A、
Rootkit

B、
Phishing

C、
APT28

D、
ARP

我的答案：A
5.0分
AI讲解
9
【单选题】按照CARO命名规则，瀑布（Cascade）病毒的变种Cascade.1701.A中的1701是（         ）。
A、
大变种

B、
组名

C、
小变种

D、
修改者

我的答案：B
5.0分
AI讲解
10
【单选题】（         ）恶意代码利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。
A、
APT

B、
FireBall

C、
Mirai

D、
震网蠕虫

我的答案：A
5.0分
AI讲解
11
【单选题】不进行自我复制的两种病毒是（           ）。
A、
逻辑炸弹和木马

B、
逻辑炸弹和蠕虫

C、
逻辑炸弹和Botnet

D、
钓鱼和Mirai

我的答案：A
5.0分
AI讲解
12
【单选题】以下哪种恶意邮件病毒携带有利用CVE-2015-1641 漏洞的rtf 文件、包含恶意可执行文件的不同格式的存档以及带有宏和 OLE对象的文档，发起网络钓鱼攻击，造成30亿美元的损失。
A、
尼日利亚钓鱼

B、
APT28

C、
Cabir

D、
FireBall

我的答案：A
5.0分
AI讲解
13
【单选题】
（            ）恶意代码感染了2.5亿台计算机，控制互联网浏览器, 监视受害者的 web 使用, 并可能窃取个人文件。

A、
FireBall

B、
尼日利亚钓鱼

C、
Happy99 蠕虫

D、
SQL蠕虫王

我的答案：A
5.0分
AI讲解
14
【单选题】以下说法不正确的是（                ）。
A、
传统计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。

B、
恶意代码是在未被授权的情况下，以破坏软硬件设备、窃取用户信息、扰乱用户心理、干扰用户正常使用为目的而编制的软件或代码片段。

C、
计算机病毒或恶意代码的CARO命名规则，每一种病毒的命名包括了家族名、组名、大变种、小变种和修改者等五个部分。

D、
反病毒软件商们通常在CARO命名的前面加一个前缀来标明病毒家族。

我的答案：D
5.0分
AI讲解
15
【单选题】（        ）的特点只感染微软数据（文档）文件。
A、
宏病毒

B、
木马病毒

C、
勒索病毒

D、
蠕虫病毒

我的答案：A
5.0分
AI讲解
16
【单选题】（            ）是指采用一种或多种传播手段，将大量主机感染bot程序，从而在控制者和被感染主机之间所形成的一个可一对多可控制的、分布式的、逻辑网络 。
A、
Botnet

B、
APT

C、
IoT

D、
Android

我的答案：A
5.0分
AI讲解
17
【单选题】（           ）工具是一种特殊的恶意软件，它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息。
A、
Botnet

B、
Rootkit

C、
Industroyer

D、
Regin

我的答案：B
5.0分
AI讲解
18
【单选题】
已经恶意软件的SHA-256是：1bc9ab02d06ee26a82b5bd910cf63c07b52dc83c4ab9840f83c1e8be384b9254

那么，经查询，它的MD5是（             ）。

A、
f7f85d7f628ce62d1d8f7b39d8940472

B、
ec8aa67b05407c01094184c33d2b5a44

C、
a565682d8a13a5719977223e0d9c7aa4

D、
8913ac72cdb8afd98bd8446896e1595a

我的答案：A
5.0分
AI讲解
19
【单选题】以下说法不正确的是（                 ）。
A、
CARO命名规则中每一种病毒的命名包括五个部分：病毒家族名、病毒组名、大变种、小变种、修改者

B、
业界对恶意代码的三元组命名规则是：前缀表示恶意代码的类型、平台，名称指恶意代码的家族特征，后缀表示恶意代码的变种特征

C、
根据恶意代码的三元组命名规则，Backdoor.Win32.InjShell.a的前缀是Backdoor。

D、
Regin是一种APT恶意软件，由 NSA开发，并与其五眼联盟共享。

我的答案：C
5.0分
AI讲解
20
【单选题】以下哪个APT恶意软件，由俄罗斯国家黑客开发？
A、
Industroyer

B、
WannaCry

C、
FireBall

D、
Regin

我的答案：A
引导型病毒是指寄生在（              ）的计算机病毒。
A、
主引导扇区

B、
磁盘引导扇区

C、
主引导扇区或磁盘引导扇区

D、
磁盘的0面0道第1扇区

我的答案：C
5.0分
AI讲解
2
【单选题】以下属于感染硬盘的主引导区的病毒是（         ）。
A、
大麻病毒

B、
小球病毒

C、
Girl病毒

D、
熊猫烧香

我的答案：A
5.0分
AI讲解
3
【单选题】以下属于感染硬盘的的活动分区引导记录的病毒是（         ）。
A、
大麻病毒

B、
火炬病毒

C、
小球病毒

D、
宏病毒

我的答案：C
5.0分
AI讲解
4
【单选题】引导型病毒加载病毒自身代码到内存的（         ）地址处。
A、
0000H

B、
7C00H

C、
0413H

D、
CS:100H

我的答案：B
5.0分
AI讲解
5
【单选题】引导型病毒修改（           ）中断的入口地址，使之指向病毒中断服务程序，当系统或用户进行磁盘读写时，就会激活病毒。
A、
INT 21H

B、
INT 01H

C、
INT 11H

D、
INT 13H

我的答案：D
5.0分
AI讲解
6
【单选题】主引导记录签名是（              ）和（                 ）。
A、
MZ和PE

B、
0x55和0xAA

C、
MZ和NE

D、
0E9H和3CH

我的答案：B
5.0分
AI讲解
7
【单选题】
引导型病毒修改内存容量标志单元（             ），在原有值的基础上减去病毒长度，使得病毒代码能够常驻内存高端。

A、
7C00H

B、
0413H

C、
CS:100H

D、
0E9H

我的答案：B
5.0分
AI讲解
8
【单选题】
DOS系统通过把控制传递（           ）处的指令而启动COM文件程序。

A、
CS:100H

B、
7C00H

C、
0413H

D、
3CH

我的答案：A
5.0分
AI讲解
9
【单选题】COM格式文件最大是（           ）。
A、
4GB

B、
16KB

C、
4KB

D、
64KB

我的答案：D
5.0分
AI讲解
10
【单选题】DOS系统装入COM文件时，先在内存建立一个长度为（             ）的PSP，然后将整个文件装载于 PSP 上端，不进行重定位操作
A、
256字节

B、
101H

C、
0413H

D、
0E9H

我的答案：A
5.0分
AI讲解
11
【单选题】以下对PE文件格式，说法不正确的是（             ）。
A、
一个16位PE文件的寻址空间是4G。

B、
PE文件格式来源于Unix的COFF格式。

C、
Win32环境下的PE格式文件：exe可执行文件、dll动态链接库文件和scr屏幕保护程序。

D、
PE文件是使用Win32环境和NT(New Technology)内核系统的可执行文件格式。

我的答案：A
5.0分
AI讲解
12
【单选题】以下选项，属于PE文件默认代码节的是（             ）。
A、
Section .rdata

B、
Section .rsrc

C、
Section .text

D、
Section .data

我的答案：C
5.0分
AI讲解
13
【单选题】以下选项，属于PE文件的引入函数节的是（             ）。
A、
Section .text

B、
Section .rdata

C、
Section .data

D、
Section .rsrc

我的答案：B
5.0分
AI讲解
14
【单选题】对于PE文件中有很多“00”字节，说法不正确的是（                  ）。
A、
这是由于PE文件的文件节对齐粒度和内存节对齐粒度造成的。

B、
这是由感染PE文件的恶意代码造成的。

C、
恶意软件可以利用这些空白区填充恶意代码。

D、
CIH病毒就是利用这些“00”字节，填充恶意代码。

我的答案：B
5.0分
AI讲解
15
【单选题】可以根据PE文件的MZ头定位PE文件标记，以下说法正确的是（             ）。
A、
3CH处显示“PE”

B、
在3CH处显示PE头的地址

C、
PE文件开始的两个字节

D、
在0030H行末尾显示“PE”

我的答案：B
5.0分
AI讲解
二. 填空题（共5题）
16
【填空题】
已知PE文件的ImageBase为400000H，RVA为1000H，那么，该PE文件的VA地址是（            ）。

提示：采用16进制填写，大写H表示。

我的答案：
5.0分
第一空：
401000H

AI讲解
17
【填空题】
PE文件的文件节对齐粒度是（                 ）。

提示：采用16进制填写，大写H表示。

我的答案：
5.0分
第一空：
0x200H

AI讲解
18
【填空题】
PE文件的内存节对齐粒度是（                 ）。

提示：采用16进制填写，大写H表示。

我的答案：
5.0分
第一空：
0x1000H

AI讲解
19
【填空题】PE文件病毒感染时会在宿主上附加代码，但每次感染内存地址不同，修改代码内的地址是不现实的，所以，需要使用（               ）技术。
我的答案：
5.0分
第一空：
重定位

AI讲解
20
【填空题】
已知宿主程序某变量的实际地址是00801009H、偏移地址是00401009H，病毒程序的var变量的偏移地址是00401000H，那么，病毒程序的var变量的实际地址是（            ）。

提示：采用16进制，大写H表示。

我的答案：
5.0分
第一空：
00801000H
能有效阻止非代码区的植入的恶意代码执行的技术是（          ）。

A、
ASLR

B、
GS Stack Protection

C、
SEHOP

D、
DEP

我的答案：D
14.2分
AI讲解
2
【单选题】
下列不可以作为跳板的指令是（           ）。

A、
Jmp esp

B、
Mov eax, esp; jmp eax

C、
Mov eax, ebp; jmp ebp

D、
Jmp ebp

我的答案：C
14.3分
AI讲解
3
【单选题】
执行以下指令后，EDX寄存器值为（                ）。

ESP -> ???????? => POP EAX # RETN

0x00000001

???????? => ADD EAX, 2 # RETN

???????? => XCHG EAX,EDX # RETN

A、
0

B、
1

C、
2

D、
3

我的答案：D
14.3分
AI讲解
4
【单选题】（             ）技术是一项缓冲区溢出的检测防护技术。
A、
ASLR

B、
GS Stack Protection

C、
DEP

D、
SafeSEH

我的答案：B
14.3分
AI讲解
5
【单选题】
SEH攻击是指通过栈溢出或者其他漏洞，使用精心构造的数据覆盖SEH上面的某个函数或者多个函数，从而控制（        ）。

A、
EBP

B、
ESP

C、
EIP

D、
DEP

我的答案：C
14.3分
AI讲解
6
【单选题】
（            ）是一项通过将系统关键地址随机化,从而使攻击者无法获得需要跳转的精确地址的技术。

A、
ASLR

B、
DEP

C、
SEH

D、
SafeSEH

我的答案：A
14.3分
AI讲解
7
【单选题】
VC++编译器中提供了一个/GS编译选项，如选择该选项，编译器针对函数调用和返回时添加保护和检查功能的代码，在函数被调用时，在缓冲区和函数返回地址增加一个32位的随机数（           ），在函数返回时，调用检查函数检查该值是否有变化。

A、
DEP

B、
SEH

C、
GS Stack Protection触发漏洞、将控制权转移到目标程序的是（         ）。

A、
shellcode

B、
exploit

C、
payload

D、
vulnerability

我的答案：C
10.0分
AI讲解
2
【单选题】
下列不属于对Shellcode进行编码的原因的是（          ）。

A、
字符集差异

B、
绕过安全检测

C、
绕过坏字符

D、
绕过返回地址

我的答案：D
10.0分
AI讲解
3
【单选题】
能有效阻止非代码区的植入的恶意代码执行的技术是（          ）。

A、
ASLR

B、
GS Stack Protection

C、
SEHOP

D、
DEP

我的答案：D
10.0分
AI讲解
4
【单选题】
下列不可以作为跳板的指令是（           ）。

A、
Jmp esp

B、
Mov eax, esp; jmp eax

C、
Mov eax, ebp; jmp ebp

D、
Jmp ebp

我的答案：C
10.0分
AI讲解
5
【单选题】
执行以下指令后，EDX寄存器值为（                ）。

ESP -> ???????? => POP EAX # RETN

0x00000001

???????? => ADD EAX, 2 # RETN

???????? => XCHG EAX,EDX # RETN

A、
0

B、
1

C、
2

D、
3

我的答案：D
10.0分
AI讲解
6
【单选题】（             ）技术是一项缓冲区溢出的检测防护技术。
A、
ASLR

B、
GS Stack Protection

C、
DEP

D、
SafeSEH

我的答案：B
10.0分
AI讲解
7
【单选题】通过精心构造，攻击者通过缓冲区溢出覆盖（            ）中异常处理函数句柄，将其替换为指向恶意代码shellcode的地址，并触发相应异常，从而使程序流程转向执行恶意代码。
A、
GS

B、
ASLR

C、
DEP

D、
SEH

我的答案：D
10.0分
AI讲解
8
【单选题】
SEH攻击是指通过栈溢出或者其他漏洞，使用精心构造的数据覆盖SEH上面的某个函数或者多个函数，从而控制（        ）。

A、
EBP

B、
ESP

C、
EIP

D、
DEP

我的答案：C
10.0分
AI讲解
9
【单选题】
（            ）是一项通过将系统关键地址随机化,从而使攻击者无法获得需要跳转的精确地址的技术。

A、
ASLR

B、
DEP

C、
SEH

D、
SafeSEH

我的答案：A
10.0分
AI讲解
10
【单选题】
VC++编译器中提供了一个/GS编译选项，如选择该选项，编译器针对函数调用和返回时添加保护和检查功能的代码，在函数被调用时，在缓冲区和函数返回地址增加一个32位的随机数（           ），在函数返回时，调用检查函数检查该值是否有变化。

A、
DEP

B、
SEH

C、
GS Stack Protection

D、
security_cookie

我的答案：D

一. 单选题（共20题）
1
【单选题】
先向栈区添加了一个变量a，接着向栈区添加了另外一个变量b，则变量a所在的内存地址比变量b所在的内存地址（       ）。

A、
低

B、
高

C、
不确定

D、
相等

我的答案：B
4.7分
AI讲解
2
【单选题】函数栈帧不包括的是（           ）。
A、
局部变量

B、
全局变量

C、
函数参数

D、
返回地址

我的答案：B
4.7分
AI讲解
3
【单选题】
一个函数f(int a, int b)，在发生对f的函数调用后将开辟函数f的栈帧，其中变量a的地址比变量b的地址（     ）。

A、
低

B、
高

C、
相等

D、
不确定

我的答案：A
4.7分
AI讲解
4
【单选题】
函数调用完毕后，返回原来函数的指令处运行的一个关键操作是，将栈帧中保存的返回地址装入（      ）。

A、
ESP寄存器

B、
EBP寄存器

C、
EIP寄存器

D、
EBI寄存器

我的答案：C
4.7分
AI讲解
5
【单选题】
CPU自带一级缓存和二级缓存，从一级缓存或二级缓存里读数据与从寄存器、内存里面读数据相比，哪个速度最快？

A、
一级缓存

B、
寄存器

C、
二级缓存

D、
内存

我的答案：B
4.7分
AI讲解
6
【单选题】
存储下次将要执行的指令在代码段的偏移量的是（       ）。

A、
EIP

B、
ESP

C、
EBP

D、
EIR

我的答案：A
4.7分
AI讲解
7
【单选题】
汇编指令中MOV　AX，[BX+1200H]采用的寻址方式是（          ）。

A、
直接寻址

B、
间接寻址

C、
相对寻址

D、
基址变址寻址

我的答案：C
4.7分
AI讲解
8
【单选题】汇编指令中MOV　EAX, [EBX+ESI] 采用的寻址方式是（          ）。
A、
间接寻址

B、
相对寻址

C、
基址变址寻址

D、
相对基址变址寻址

我的答案：C
4.7分
AI讲解
9
【单选题】汇编指令中 MOV CL, 05H 采用的寻址方式是（          ）。
A、
立即寻址

B、
直接寻址

C、
间接寻址

D、
相对寻址

我的答案：A
4.8分
AI讲解
10
【单选题】汇编指令中 MOV [BX], 12H 采用的寻址方式是（          ）。
A、
立即寻址

B、
直接寻址

C、
间接寻址

D、
相对寻址

我的答案：C
4.8分
AI讲解
11
【单选题】汇编指令中 MOV AL,[3100H] 采用的寻址方式是（          ）。
A、
立即寻址

B、
直接寻址

C、
间接寻址

D、
相对寻址

我的答案：B
4.8分
AI讲解
12
【单选题】汇编指令中 MOV EAX, [EBX+ESI+1000H] 采用的寻址方式是（          ）。
A、
间接寻址

B、
相对寻址

C、
基址变址寻址

D、
相对基址变址寻址

我的答案：D
4.8分
AI讲解
13
【单选题】
CMP EAX, EAX; 语句执行后，ZF寄存器的值为（    ）。

A、
0

B、
1

C、
不受影响

D、
-1

我的答案：B
4.8分
AI讲解
14
【单选题】
汇编指令MOV AX, 01H; AND AX, 02H运行之后，AX寄存器里的值为（         ）。

A、
0

B、
1

C、
2

D、
3

我的答案：A
4.8分
AI讲解
15
【单选题】汇编指令 test  AX, AX 的功能是（            ）。
A、
零标志位ZF置 1

B、
零标志位ZF置 0

C、
检测AX是否为0

D、
检测AX是否为1

我的答案：C
4.8分
AI讲解
16
【单选题】
汇编指令 push ebp; mov ebp,esp; 执行之后，ESP-EBP的值为（          ）。

A、
0

B、
4

C、
-4

D、
8

我的答案：A
4.8分
AI讲解
17
【单选题】以下条件转移指令，表示检测到标志寄存器ZF为1时转移的指令是（       ）。
A、
JE

B、
JNZ

C、
JG

D、
JL

我的答案：A
4.8分
AI讲解
18
【单选题】以下条件转移指令，表示检测到标志寄存器ZF为0时转移的指令是（       ）。
A、
JE

B、
JNE

C、
JL

D、
JG

我的答案：B
4.8分
AI讲解
19
【单选题】
以下程序返回前，bx中的值是（            ）。

assume cs:code

code segment

start: mov ax,1

mov cx,3

call s

mov bx,ax ;(bx) = ?

mov ax,4c00h

int 21h

s:  add ax,ax

loop s

ret

code ends

end start

A、
3

B、
8

C、
0

D、
4c00h

我的答案：B
4.8分
AI讲解
20
【单选题】对于如下代码：int * p1=new int[200]; char * p2=new char[30];  下列说法正确的是（           ）。
A、
所申请的内存将分配到栈区

B、
所申请的内存将分配到堆区

C、
p1的值大于p2的值

D、
p1的值小于p2的值

我的答案：B
4.8分
AI讲解
二. 多选题（共1题）
21
【多选题】
对于如下代码：int * p1=new int[200]; char * p2=new char[30];  下列说法正确的是（           ）。

A、
所申请的内存将分配到栈区

B、
所申请的内存将分配到堆区

C、
p1的值大于p2的值

D、
p1的值小于p2的值

E、
p1的值和p2的值大小无法确定

我的答案：BE
1
【单选题】对于CVE漏洞数据库，以下哪一项记录了漏洞对应的CVE编号？
A、
problemtype

B、
configurations

C、
impact

D、
CVE_data_meta

我的答案：D
10.0分
AI讲解
2
【单选题】对于漏洞数据库，以下哪一项记录了漏洞对应的CWE缺陷名称？
A、
problemtype

B、
CVE_data_meta

C、
description

D、
references

我的答案：A
10.0分
AI讲解
3
【单选题】以下哪种虚拟化技术是依赖硬件虚拟化技术（Intel VT或者AMD V）的裸机虚拟化程序，使用 Linux 内核作为它的虚拟机管理程序？
A、
JVM虚拟机

B、
KVM虚拟机

C、
Dalvik虚拟机

D、
ART虚拟机

我的答案：B
10.0分
AI讲解
4
【单选题】以下哪种说法不正确？
A、
CVE是通用漏洞披露。

B、
CNVD是中国国家信息安全漏洞共享平台。

C、
CNNVD是中国国家信息安全漏洞库。

D、
NVD漏洞数据库是中国国家漏洞库。

我的答案：D
10.0分
AI讲解
5
【单选题】以下哪种说法是不正确的？
A、
源代码漏洞检测是指在软件开发的早期阶段，通过对源代码进行静态分析来识别潜在的安全漏洞。这种方法不需要运行程序，而是通过解析代码结构、数据流和控制流等信息来发现可能存在的问题。

B、
二进制代码漏洞检测是通过逆向分析（静态和动态分析方法）编译后的二进制文件（如可执行文件、库文件等），查找其中可能存在的安全漏洞。这种方法通常用于无法获取源代码的场景。

C、
漏洞库为每个收录的漏洞分配唯一标识符，例如数字或字母数字名称可，并且通常以通过网页，导出或API来获取数据库中的信息。

D、
漏洞检测是一种被动的网络安全防御措施，通过对网络或主机进行扫描、渗透以及时发现安全漏洞，进而给出风险评估报告和漏洞修复建议，从而帮助用户掌握系统安全现状、提升系统安全性。

我的答案：D
10.0分
AI讲解
6
【单选题】
以下哪一种是开源的漏洞扫描软件？可以不断从NVT、SCAP、CERT漏洞数据库更新漏洞信息，针对已知的漏洞库中的漏洞，使用可配置的漏洞扫描引擎从远程检测资产中存在的安全问题。

A、
Nessus

B、
Nmap

C、
Lynis

D、
GVM

我的答案：D
10.0分
AI讲解
7
【单选题】以下哪一种是基于主机的、开源的安全审计软件？
A、
Metasploit

B、
GVM

C、
Lynis

D、
Nmap

我的答案：C
10.0分
AI讲解
8
【单选题】以下哪一个是使用Ruby语言编写的开源的模块化渗透测试平台，可用于开发、测试和执行漏洞利用代码。
A、
Metasploit Pro

B、
Mulval

C、
Lynis

D、
MSF

我的答案：D
10.0分
AI讲解
9
【单选题】以下哪个软件可以生成漏洞攻击图？
A、
MulVAL

B、
Nessus

C、
Lynis

D、
Nmap

我的答案：A
10.0分
AI讲解
10
【单选题】MulVAL使用（          ）定义计算机系统上存在的漏洞。
A、
Datalog

B、
Prolog

C、
OVAL

D、
Python

我的答案：C

D、
security_cookie

我的答案：D

1
【单选题】特征码是从恶意代码中提取的，能够唯一代表某个恶意代码家族或变种，并被杀毒软件纳入到特征库的（          ）。
A、
一段特别的代码

B、
字符串

C、
引入函数节

D、
字节流

我的答案：D
20.0分
AI讲解
2
【单选题】以下不属于恶意代码静态特征的是（             ）。
A、
IAT表

B、
字节码图像化

C、
调用API函数的时间序列

D、
angr或IDA工具调试时的基本块

我的答案：C
20.0分
AI讲解
3
【单选题】
（          ）是FireEye公司开源的静态分析工具，通过静态分析二进制文件，识别其潜在的攻击模式和功能，且能与ATT&CK框架战术-技术映射。

A、
CAPE

B、
CAPA

C、
angr

D、
Noriben

我的答案：B
20.0分
AI讲解
4
【单选题】
（            ）是一个动态二进制插桩工具，用于在运行时对程序进行插桩和分析。它可以在不修改源代码的情况下，动态地插入自定义代码来监控、分析和修改程序的执行行为。

A、
pin

B、
angr

C、
CAPA

D、
cuckoo

我的答案：A
20.0分
AI讲解
5
【单选题】（         ）沙箱需要跟ProcMon程序配合，才能动态检测恶意代码。
A、
cuckoo

B、
CAPE

C、
Noriben

D、
pin

我的答案：CLinux系统的可执行文件格式是（       ）。
A、
PE

B、
ELF

C、
SH

D、
EXE

我的答案：B
6.6分
AI讲解
2
【单选题】Linux的可执行文件格式中的节区，包含二进制代码部分的是（            ）。
A、
.text

B、
.rodata

C、
.data

D、
.bss

我的答案：A
6.6分
AI讲解
3
【单选题】Linux的可执行文件格式中的节区，属于只读数据部分的是（            ）。
A、
.rdata

B、
.rodata

C、
.data

D、
.bss

我的答案：B
6.6分
AI讲解
4
【单选题】Linux的可执行文件格式中的节区，属于已初始化全局变量部分的是（            ）。
A、
.rodata

B、
.data

C、
.bss

D、
.rdata

我的答案：B
6.6分
AI讲解
5
【单选题】Linux的可执行文件格式中的节区，属于未初始化全局标量部分的是（            ）。
A、
.rodata

B、
.rdata

C、
.bss

D、
.data

我的答案：C
6.6分
AI讲解
6
【单选题】以下不属于Silvio（西尔维奥）填充感染法的病毒是（      ）。
A、
Brundle Fly

B、
POC 病毒

C、
LPV 病毒

D、
Shell脚本病毒

我的答案：D
6.6分
AI讲解
7
【单选题】以下对于Silvio（西尔维奥）填充感染法，说法不正确的是（         ）。
A、
它利用内存中的text段和 data 段之间的填充空间

B、
它将病毒体限制在了一个内存分页的大小

C、
在 64 位的系统上，可执行文件使用较大的分页，能容纳将近 2MB 的感染代码

D、
它利用在磁盘上的text 段和 data 段之间的空白区

我的答案：D
6.6分
AI讲解
8
【单选题】
以下对于逆向 text 感染法，说法不正确的是（        ）。

A、
在逆向扩展过程中，需要将 text 段的虚拟地址缩减 PAGE_ALIGN(parasite_size)

B、
32位系统上所允许的最小虚拟映射地址为0x1000，因此， text 的虚拟地址最多能扩展到 0x1000

C、
64位的系统上，默认的 text 虚拟地址通常为 0x400000，寄生代码可以占用的空间就可以达到 0x3ff000 字节

D、
它是一种PE文件类型病毒感染法

我的答案：D
6.6分
AI讲解
9
【单选题】以下对于ClamAV病毒软件，说法不正确的是（           ）。
A、
ClamAV软件是⼀款 UNIX 下开源的 (GPL) 反病毒⼯具包。

B、
ClamAV软件手动更新病毒库的命令是sudo freshclam

C、
可以使用sudo  service  clamav stop 命令停止守护进程

D、
ClamAV软件扫描病毒的命令是clamscan

我的答案：C
6.6分
AI讲解
10
【单选题】以下对于gdb调试工具，说法不正确的是（        ）。
A、
GNU symbolic debugger，简称「GDB 调试器」，是 Linux 平台下最常用的一款程序调试器。

B、
gdb调试器对 C、C++、Go、Objective-C、OpenCL、Ada 等多种编程语言提供了支持。

C、
使用gdb时，需要gcc编译使用带调式信息-g参数。

D、
gdb支持多种CPU架构以及文件格式

我的答案：D
6.6分
AI讲解
11
【单选题】以下对于radare2工具，说法不正确的是（     ）。
A、
它是个基于命令行的逆向工具，包括反汇编、分析数据、打补丁、比较数据、搜索、替换、虚拟化等等，它可以运行在几乎所有主流的平台（Linux, Windows, iOS）并且支持很多的CPU架构以及文件格式。

B、
radare2不只是一个工具，而是一个框架，是众多逆向分析工具的组合。

C、
radare2是主程序，可以用于通过一系列的命令对文件进行分析与调试，还支持多种语言如Python、Ruby的脚本调用。

D、
对于radare2中的命令，都可以在命令前加一个?来获取使用说明。

我的答案：D
6.6分
AI讲解
12
【单选题】以下关于木马病毒的分类，说法不正确的是（            ）。
A、
远程访问型木马是现在最广泛的特洛伊木马。

B、
密码发送型木马不会在每次Windows重启时都自动加载，它们大多数使用25号端口发送电子邮件。

C、
键盘记录型木马随着Windows的启动而启动，知道受害者在线并且记录每一个用户事件，然后通过邮件或其他方式发送给控制者。

D、
毁坏型木马窃取信息，并控制对方计算机。

我的答案：D
6.6分
AI讲解
13
【单选题】
以下对于木马植入技术，说法不正确的是（      ）。

A、
缓冲区溢出攻击是植入木马最常用的手段。据统计，通过缓冲区溢出进行的攻击占所有系统攻击总数的80%以上。

B、
缓冲区溢出((Buffer Overflow)指的是一种系统攻击的手段，通过往程序的缓冲区写超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其它指令，以达到攻击的目的。

C、
往缓冲区中填东西造成它溢出，出现出现Segmentation fault错误，达到植入木马攻击的目的。

D、
如果在溢出的缓冲区中写入我们想执行的代码，再覆盖函数返回地址的内容，使它指向缓冲区的开头，就可以达到运行其它指令的目的。

我的答案：C
6.6分
AI讲解
14
【单选题】
以下对于HOOK技术，说法不正确的是（           ）。

A、
在Windows 操作系统里面，应用程序只能处理来自进程内部的消息或是从其他进程发过来的消息，如果需要对在进程外传递的消息进行拦截处理就必须采取一种被称为API HOOK（钩子）的技术。

B、
钩子的本质是一段用以处理系统消息的程序，通过系统调用，将其挂入到系统，在对特定的系统事件(比如键盘事件)进行Hook。

C、
在Windows 操作系统里面，API是指由操作系统提供功能的、由应用程序调用的函数。

D、
API HOOK技术是一种用于改变API执行结果的技术，Microsoft 自身也在Windows操作系统里面使用了这个技术，如Windows兼容模式等。

我的答案：A
6.6分
AI讲解
15
【单选题】
以下对于Rootkit技术，说法不正确的是（           ）。

A、
Rootkits最早是一组用于UNIX操作系统的工具集，黑客使用它们隐藏入侵活动的痕迹。

B、
Rootkit工作在内核态，可以修改内核的数据结构，达到隐藏文件和进程的目的。

C、
用户态Rootkit使得杀毒软件失效。

D、
用户态Rootkit通常通过释放动态链接库（DLL）文件，并将它们注入到其它软件及系统进程中运行，通过HOOK方式对消息进行拦截，使得检测程序返回错误的信息，达到隐藏文件和进程的目的。

我的答案：C
对于Android的APK文件，以下哪一种是Java代码编译后产生运行在Dalvik虚拟机上？
A、
AndroidManifest.xml

B、
resources.arsc

C、
META-INF

D、
classes.dex

我的答案：D
12.5分
AI讲解
2
【单选题】以下说法不正确的是（                ）。
A、
class文件有很多冗余信息，dex文件会做去冗余信息的优化。

B、
JVM执行的是.class文件、Dalvik和ART执行的.dex文件。

C、
JVM是基于寄存器，Dalvik虚拟机是基于堆栈。

D、
resources.arsc文件是Android的APK文件的资源索引表。

我的答案：C
12.5分
AI讲解
3
【单选题】以下说法不正确的是（         ）。
A、
dex文件由3大部分组成：文件头、签名区、数据区。

B、
Android系统dex文件的文件头包括：0x70个字节大小，它包含标志、版本号、校验码、sha1签名以及其他一些方法、类的数量和偏移地址等信息。

C、
Android系统dex文件的数据区包括：类的定义、数据区、链路数据区。

D、
Android系统的APK文件实际上是一个压缩包文件。

我的答案：A
12.5分
AI讲解
4
【单选题】以下哪种移动智能终端恶意代码能够扣费，发送SP业务定制短信并删除发送记录？
A、
吞钱贪婪鬼

B、
Lasco系列恶意代码

C、
白卡吸费魔

D、
Skulls

我的答案：C
12.5分
AI讲解
5
【单选题】
（            ）系列的手机木马被称为“隐私大盗”木马，是一批专偷短信、IMEI（手机串号）、Google 账号等隐私信息系列手机木马，其变种数量超过60 个。

A、
Cabir

B、
索马里海盗

C、
X 卧底

D、
DroidDreamLight

我的答案：D
12.5分
AI讲解
6
【单选题】第一个攻击手机的病毒是（                 ）。
A、
VBS.Timofonica

B、
Cabir

C、
Skulls

D、
Lasco

我的答案：A
12.5分
AI讲解
7
【单选题】以下哪种移动智能终端恶意代码能每隔几秒就会偷偷的向你通讯录中的号码发送彩信？
A、
吞钱贪婪鬼

B、
RottenSys

C、
“白卡吸费魔”木马

D、
DroidDreamLight 系列手机木马

我的答案：A
12.5分
AI讲解
8
【单选题】以下哪种手机恶意代码伪装成安卓手机的“系统 Wi-Fi服务”，“每日黄历”、“畅米桌面”等应用，并通过不定期给用户推送广告或指定APP来盈利？
A、
RottenSys

B、
吞钱贪婪鬼

C、
“X 卧底”系列木马

D、
“索马里海盗”木马

我的答案：A
1
【单选题】通过伪装成合法的服务或应用来欺骗用户，诱导用户提供敏感信息或者直接下载并安装物联网恶意软件。这是哪一种物联网恶意软件的传播机制？
A、
设备漏洞利用

B、
网络钓鱼攻击

C、
恶意软件捆绑

D、
物理设备攻击

我的答案：B
20.0分
AI讲解
2
【单选题】一旦某些设备被感染，它们可以被用来作为僵尸网络的一部分，用于发动分布式拒绝服务(DDoS)攻击，同时也可以被用来扫描和感染其他易受攻击的物联网设备，从而扩大僵尸网络规模。这是哪一种物联网恶意软件的传播方式？
A、
供应链攻击

B、
跨平台恶意代码

C、
自动传播机制

D、
Botnet

我的答案：D
20.0分
AI讲解
3
【单选题】（               )是著名的物联网僵尸网络恶意软件，是拥有变种数量最多的家族，它能够感染使用出厂默认密码或弱密码设置的物联网设备，并将这些设备纳入其僵尸网络中以发动大规模DDoS攻击。
A、
Gafgyt

B、
Pnscan

C、
Mirai

D、
Aidra

我的答案：C
20.0分
AI讲解
4
【单选题】
（                ）是一种高度复杂的计算机蠕虫，首次发现于2010年，它主要针对的是伊朗的核设施。Stuxnet能够利用多个零日漏洞，并且是首个已知的专门设计来对物理设备造成损害的恶意软件。

A、
Stuxnet

B、
Darlloz

C、
Havex

D、
Industroyer

我的答案：A
20.0分
AI讲解
5
【单选题】（             ）是一种针对安全仪表系统（SIS）的恶意软件。它的目标是破坏工厂的安全机制，可能导致严重的物理伤害或环境灾难。这种恶意软件在2017年被发现时引起了广泛的关注。
A、
PLC-Blaster

B、
BlackEnergy

C、
Triton

D、
CrashOverride

我的答案：C
以下哪一项不能体现APT恶意软件隐蔽性强的特点？
A、
使用根套接字、加密通信、反向连接等技术来规避入侵检测系统在通信方面的监测。

B、
利用合法软件的漏洞或潜在的安全弱点，隐藏于合法软件中。

C、
使用信息隐藏技术，将恶意负载隐藏在图像等非可执行性文件中，以此逃避反病毒软件的查杀。

D、
将自己植入系统的关键组件中，以确保在系统重启后仍然存在，并且能够自动恢复和继续其恶意行为。

我的答案：D
16.6分
AI讲解
2
【单选题】
2018年10月，APT组织海莲花(OceanLutus)在一次攻击中使用了隐写技术。该攻击使用的恶意软件加载器模拟（            ）软件下一个名为McVsoCfg.dll的动态链接库文件，该文件尝试使用“白利用”手法将自身加载运行，即尝试通过合法的On Demand Scanner可执行文件加载自身。

A、
McAfee

B、
Windows

C、
Linux

D、
Vistual Studio

我的答案：A
16.6分
AI讲解
3
【单选题】2018年10月，APT组织海莲花(OceanLutus)在一次攻击中使用了隐写技术。恶意软件使用一幅彩色的PNG图片来加载攻击载荷(Payload)，该图片与McVsoCfg.dll在同一目录下，名为x5j3trra.Png。 这幅图片来自（                   ）中的人物。
A、
哪吒

B、
哈利波特

C、
名侦探柯南

D、
多啦A梦

我的答案：C
16.7分
AI讲解
4
【单选题】2018年10月，APT组织海莲花(OceanLutus)在一次攻击中使用了隐写技术。该隐写技术使用了（              ）信息隐藏算法。
A、
DCT

B、
LSB

C、
深度神经网络

D、
DeepLock

我的答案：B
16.7分
AI讲解
5
【单选题】APT恶意软件可以使用（              ）技术，实现无文件攻击。
A、
LSB信息隐藏

B、
DeepLock

C、
Rootkit

D、
PowerShell

我的答案：D
16.7分
AI讲解
6
【单选题】
APT攻击最早由（                     ）于2006年提出。

A、
美国国家标准与技术研究院

B、
美国国防部的网络情报中心

C、
中国国家信息安全漏洞库

D、
中国国家网络安全中心

我的答案：B

熊猫烧香病毒是一种（      ）病毒。 蠕虫

永恒之蓝，即EternalBlue这个工具就是利用windows系统的（     ）远程执行代码漏洞向Microsoft 服务器消息块服务器发送经特殊设计的消息，就能允许远程代码执行。 MS017-010漏洞

以下哪种恶意代码能发动DDOS攻击？ Cutwail

按照CARO命名规则，瀑布（Cascade）病毒的变种Cascade.1701.A中的1701是（     ）。 组名

已经恶意软件的SHA-256是：1bc9ab02d06ee26a82b5bd910cf63c07b52dc83c4ab9840f83c1e8be384b9254

那么，经查询，它的MD5是（       ）。 f7f85d7f628ce62d1d8f7b39d8940472

以下说法不正确的是（         ）。 根据恶意代码的三元组命名规则，Backdoor.Win32.InjShell.a的前缀是Backdoor。

以下哪个APT恶意软件，由俄罗斯国家黑客开发？ Industroyer

以下哪种恶意邮件病毒携带有利用CVE-2015-1641 漏洞的rtf 文件、包含恶意可执行文件的不同格式的存档以及带有宏和 OLE对象的文档，发起网络钓鱼攻击，造成30亿美元的损失。 尼日利亚钓鱼

以下说法不正确的是（        ）。 反病毒软件商们通常在CARO命名的前面加一个前缀来标明病毒家族。

不进行自我复制的两种病毒是（      ）。 逻辑炸弹和木马

DOS系统装入COM文件时，先在内存建立一个长度为（       ）的PSP，然后将整个文件装载于 PSP 上端，不进行重定位操作 256字节
以下对PE文件格式，说法不正确的是（       ）。 一个16位PE文件的寻址空间是4G。

以下属于感染硬盘的主引导区的病毒是（     ）。 大麻病毒

以下属于感染硬盘的的活动分区引导记录的病毒是（     ）。 小球病毒

引导型病毒加载病毒自身代码到内存的（     ）地址处。 7C00H

引导型病毒修改（      ）中断的入口地址，使之指向病毒中断服务程序，当系统或用户进行磁盘读写时，就会激活病毒。 INT 13H
主引导记录签名是（       ）和（         ）。 0x55和0xAA

DOS系统通过把控制传递（      ）处的指令而启动COM文件程序。 CS:100H

COM格式文件最大是（      ）。 64KB

引导型病毒修改内存容量标志单元（       ），在原有值的基础上减去病毒长度，使得病毒代码能够常驻内存高端。 0413H

触发漏洞、将控制权转移到目标程序的是（     ）。 payload

下列不属于对Shellcode进行编码的原因的是（     ）。 绕过返回地址

通过精心构造，攻击者通过缓冲区溢出覆盖（      ）中异常处理函数句柄，将其替换为指向恶意代码shellcode的地址，并触发相应异常，从而使程序流程转向执行恶意代码。 SEH

漏洞也称为（     ）。 Vulnerability

发生缓冲区溢出的主要原因是（    ）。 未对边界进行检查

DWORD SHOOT攻击是指（     ）。 能够向任意位置内存写入任意数据的攻击

SEH结构存在于（      ）。 栈区

以下程序利用溢出漏洞执行why_here函数，下划线处需要填入（        ）。

void why_here(void)

{  printf("why u r here?!\n");

exit(0);

}

void f()

{   int buff; int * p = &buff;

________= (int)why_here;

}

int main(int argc, char * argv[])

{   f();

return 0;

}

p[2]

在1996年，Aleph One在Underground发表了著名论文《SMASHING THE STACK FOR FUN AND PROFIT》，其中详细描述了Linux系统中栈的结构和如何利用基于栈的缓冲区溢出，并在论文中称这段被植入进程的代码为（       ）。 shellcode

能有效阻止非代码区的植入的恶意代码执行的技术是（ ）。 DEP

gcc编译器有一种栈保护机制阻止缓冲区溢出，如果要关闭这种机制，编译时可以使用（ ）参数。 -fno-stack-protector

如果要关闭gcc编译器的Warning，编译时可以使用（     ）参数。 -w

针对以下C语言程序，输入（ ），可以使程序出现缓冲区溢出而通过验证码。

#include <stdio.h>

#define PASSWORD "23456789"

int verify_password(char * password)

{

int authenticated;

char buffer[8]; //add local buff to be overflowed

authenticated = strcmp(password, PASSWORD);

strcpy(buffer, password);

return authenticated;

}

void main()

{

int valid_flag = 0;

char password[1024];

while(1)

{

printf("请输入密码: ");

scanf("%s", password);

valid_flag = verify_password(password);

if(valid_flag)

{      printf ("密码不正确!\n\n");

}

else

{      printf("恭喜!密码正确！你通过了验证！\n");

break;

}

}

}

33333333

发生栈溢出漏洞时，要写入数据的填充方向是（ ），多余的数据就会越过栈帧的基址，覆盖基址以上的地址空间。 从低地址向高地址增长

以下说法不正确的是（ ）。 栈的存取采用先进后出的策略，程序用它来保存函数调用时的有关信息，如函数参数、返回地址，函数中的静态变量存放在栈中。

以下说法不正确的是（ ）。 ASLR是Windows系统独有的技术。

以下说法不正确的是（        ）。
VC++编译器中提供了一个/GS编译选项，如选择该选项，编译器针对函数调用和返回时添加保护和检查功能的代码，在函数被调用时，在缓冲区和函数返回地址增加一个64位的随机数security_cookie。

以下说法不正确的是（     ）。 微软在编译器中加入了/SafeSEH选项,采用该选项编译的程序将PE文件中所有非法的SEH异常处理函数的地址解析出来制成一张SEH函数表，放在PE文件的数据块中,用于异常处理时候进行匹配检查。

对于CVE漏洞数据库，以下哪一项记录了漏洞对应的CVE编号？ CVE_data_meta

对于漏洞数据库，以下哪一项记录了 漏洞对应的CWE缺陷名称？ problemtype

以下哪种虚拟化技术是依赖硬件虚拟化技术（Intel VT或者AMD V）的裸机虚拟化程序，使用 Linux 内核作为它的虚拟机管理程序？ KVM虚拟机

以下哪种说法不正确？ NVD漏洞数据库是中国国家漏洞库。

以下哪种说法是不正确的？ 漏洞检测是一种被动的网络安全防御措施，通过对网络或主机进行扫描、渗透以及时发现安全漏洞，进而给出风险评估报告和漏洞修复建议，从而帮助用户掌握系统安全现状、提升系统安全性。

以下哪一种是开源的漏洞扫描软件？可以不断从NVT、SCAP、CERT漏洞数据库更新漏洞信息，针对已知的漏洞库中的漏洞，使用可配置的漏洞扫描引擎从远程检测资产中存在的安全问题。 GVM

以下哪一种是基于主机的、开源的安全审计软件？ Lynis

以下哪一个是使用Ruby语言编写的开源的模块化渗透测试平台，可用于开发、测试和执行漏洞利用代码。 MSF

以下哪个软件可以生成漏洞攻击图？ MulVAL

MulVAL使用（     ）定义计算机系统上存在的漏洞。 OVAL

特征码是从恶意代码中提取的，能够唯一代表某个恶意代码家族或变种，并被杀毒软件纳入到特征库的（     ）。 字节流

以下不属于恶意代码静态特征的是（       ）。 调用API函数的时间序列

（     ）是FireEye公司开源的静态分析工具，通过静态分析二进制文件，识别其潜在的攻击模式和功能，且能与ATT&CK框架战术-技术映射。 CAPA

（      ）是一个动态二进制插桩工具，用于在运行时对程序进行插桩和分析。它可以在不修改源代码的情况下，动态地插入自定义代码来监控、分析和修改程序的执行行为。 pin

（     ）沙箱需要跟ProcMon程序配合，才能动态检测恶意代码。 Noriben

以下说法，哪一个是不正确的？ 恶意代码检测本质上是一种多分类任务。

以下说法，不正确的是（ ）。 混淆矩阵是机器学习回归任务的一种指标。

（ ）是Python机器学习核心模型与算法库。 sklearn

计算欧式距离，公式是（ ）。

对于机器学习中“随机森林”，说法错误的是（ ）。 随机森林采用三种方式来选取最优特征，包括信息增益、信息增益比和基尼指数。

Linux系统的可执行文件格式是（    ）。 ELF

Linux的可执行文件格式中的节区，包含二进制代码部分的是（      ）。 text

Linux的可执行文件格式中的节区，属于只读数据部分的是（      ）。 rodata

Linux的可执行文件格式中的节区，属于已初始化全局变量部分的是（      ）。 data

Linux的可执行文件格式中的节区，属于未初始化全局标量部分的是（      ）。 bss

以下不属于Silvio（西尔维奥）填充感染法的病毒是（   ）。 Shell脚本病毒

以下对于Silvio（西尔维奥）填充感染法，说法不正确的是（     ）。 它利用在磁盘上的text 段和 data 段之间的空白区

以下对于gdb调试工具，说法不正确的是（    ）。 gdb支持多种CPU架构以及文件格式

以下对于radare2工具，说法不正确的是（   ）。 对于radare2中的命令，都可以在命令前加一个?来获取使用说明。

以下对于逆向 text 感染法，说法不正确的是（    ）。 它是一种PE文件类型病毒感染法

以下哪种移动智能终端恶意代码能够扣费，发送SP业务定制短信并删除发送记录？ 白卡吸费魔

( ）系列的手机木马被称为“隐私大盗”木马，是一批专偷短信、IMEI（手机串号）、Google 账号等隐私信息系列手机木马，其变种数量超过60 个。 DroidDreamLight

第一个攻击手机的病毒是（         ）。 VBS.Timofonica

以下哪种移动智能终端恶意代码能每隔几秒就会偷偷的向你通讯录中的号码发送彩信？ 吞钱贪婪鬼

以下哪种手机恶意代码伪装成安卓手机的“系统 Wi-Fi服务”，“每日黄历”、“畅米桌面”等应用，并通过不定期给用户推送广告或指定APP来盈利？ RottenSys

对于Android的APK文件，以下哪一种是Java代码编译后产生运行在Dalvik虚拟机上？ classes.dex

以下说法不正确的是（        ）。 JVM是基于寄存器，Dalvik虚拟机是基于堆栈。

以下说法不正确的是（     ）。 dex文件由3大部分组成：文件头、签名区、数据区。