1、 MOOC 软件安全之恶意代码机理与防护-武汉大学 中国大学慕课答案C1 单元测试1、问题:在你看来,信息系统存在安全问题的本质原因是:选项:A、信息资产具有价值B、信息系统存在漏洞C、恶意代码快速增长D、信息系统开发未遵循安全开发流程(如 SDLIT)正确答案:【信息资产具有价值】2、问题:如果要理解 Windows 下恶意代码在感染程序过程可能涉及到的目标程序的图标修改机理,我们需要重点学习本课程的哪一部分内容?选项:A、第 2 周 计算机引导与磁盘结构B、第 3、4 周 PE 文件格式与实践C、第 6 周 Windows PE 病毒D、第 9 周 网络木马正确答案:【第 3、4 周 PE
2、 文件格式与实践】3、问题:Safety 和 Security 都是安全的含义,但是他们却存在差异,以下事件中属于 Security 范畴的是?选项:A、桥梁倒塌导致主机损坏B、计算机病毒爆发导致电脑数据丢失C、雷击事件导致电脑烧毁D、洪水爆发导致手机浸泡无法开机正确答案:【计算机病毒爆发导致电脑数据丢失】4、问题:在本章第一个勒索邮件案例中,如果被勒索人的电脑摄像头拍摄信息被他人获取,这危害了信息的什么属性?选项:A、保密性B、可用性C、完整性D、不可否认性正确答案:【保密性】 5、问题:在信息安全模型 PDR 中,D 是指?选项:A、DefeatB、DefenceC、DetectionD、
3、Description正确答案:【Detection】6、问题:以下关于恶意软件的说法,正确的是?选项:A、恶意软件是指设计目的是为了实现特定恶意功能的一类程序。B、恶意软件是指所有可能对系统带来危害的程序。C、在 Windows 下,恶意软件都是 EXE 可执行文件。D、恶意软件就是计算机病毒。正确答案:【恶意软件是指设计目的是为了实现特定恶意功能的一类程序。】7、问题:以下哪个恶意代码主要用于窃取伊朗工业控制系统数据?【推荐阅读:震网事件的九年再复盘与思考(作者:antiylab)】选项:A、StuxnetB、DuquC、FlameD、CIH正确答案:【Duqu】8、问题:在震网(Stux
4、Net)蠕虫的攻击事件中,以下哪个漏洞用于进入与互联网隔离的内网之中?【推荐阅读:震网事件的九年再复盘与思考(作者:antiylab)】选项:A、MS10-061:打印机后台程序服务漏洞B、MS08-017:RPC 远程执行漏洞C、MS10-046:快捷方式文件解析漏洞D、MS10-073:内核模式驱动程序漏洞正确答案:【MS10-046:快捷方式文件解析漏洞】9、问题:在以下防护工具或系统中,可有效用于隔离安全风险的是?选项:A、VMWareB、SandboxIEC、EMETD、HIPS正确答案:【VMWare#SandboxIE】 10、问题:以下哪些属于电脑被感染恶意软件后可能导致的后果
5、?选项:A、屏幕操作被录像B、键盘击键被记录C、电脑爆炸D、电脑资料被盗正确答案:【屏幕操作被录像#键盘击键被记录#电脑资料被盗】C2 单元测试1、问题:在传统 BIOS 的 MBR 引导模式下,以下关于 Windows 操作系统引导过程的顺序,正确的是?选项:A、BIOS -NTLDR(BOOTMGR)-DBR-MBRB、BIOS - MBR -DBR -NTLDR(BOOTMGR)C、MBR-DBR-NTLDR(BOOTMGR)-BIOSD、MBR -BIOS -DBR -NTLDR(BOOTMGR)E、BIOS-MBR-NTLDR(BOOTMGR)-DBR正确答案:【BIOS - MBR
6、 -DBR -NTLDR(BOOTMGR)】2、问题:80X86 处理器的常态工作处理模式是?选项:A、虚实模式、保护模以及虚拟 86 模式B、虚拟 86 模式C、实模式D、保护模式正确答案:【保护模式】3、问题:PAE 内存分页模式下,在进行虚拟地址到物理地址转化计算中,一个 32位虚拟地址(线性地址)可以划分为 4 个部分:页目录指针表项(PDPTE)、页目录表项(PDE)、页表项(PTE),以及页内偏移。32 位虚拟地址 0x00403016对应的 PDE=_。选项:A、0B、1C、2D、3E、4正确答案:【2】4、问题:硬盘中线性逻辑寻址方式(LBA)的寻址单位是?选项: A、簇B、柱
7、面C、磁道D、扇区E、磁头正确答案:【扇区】5、问题:在 MBR 分区格式下,一个分区大小不能超过_TB。选项:A、1B、2C、4D、8正确答案:【2】6、问题:NTFS 文件系统下,如果一个文件较大,NTFS 将开辟新空间存放 File 的具体数据,其通过文件记录(File Record)中的_指明各部分数据的起始簇号和占用簇的个数?选项:A、FR 头B、$DATAC、Data RunD、MFT 记录号E、FAT 表项中的簇链表正确答案:【Data Run】7、问题:NTFS 文件系统中,文件内容的存放位置是?选项:A、MFT 或数据区B、MFTC、数据区D、DBR正确答案:【MFT 或数据
8、区】8、问题:在 FAT32 分区下,当文件被放入回收站之后,该文件目录项中的以下哪部分数据将发生变化?选项:A、首簇高位B、文件名的第一个字节C、首簇低位D、文件大小正确答案:【文件名的第一个字节】 9、问题:在 FAT32 分区下,当文件通过 ShiftDel 的方式删除之后,以下哪个部分将发生变化?选项:A、目录项中的文件名首字节,首簇高位,文件对应的 FAT 表项,以及文件内容B、目录项中的文件名首字节,首簇高位,以及文件对应的 FAT 表项C、仅目录项中的文件名首字节和文件对应的 FAT 表项D、仅首簇高位和文件对应的 FAT 表项正确答案:【目录项中的文件名首字节,首簇高位,以及文
9、件对应的 FAT 表项】10、问题:电脑被感染计算机病毒之后,通过更换硬盘可以彻底防止任何病毒再生。选项:A、正确B、错误正确答案:【错误】11、问题:hello25.exe 程序从系统的 user32.dll 模块中引入了 MessageBoxA 函数以实现弹框功能。当 hello25.exe 程序被执行时,user32.dll 被装载之后位于进程内存空间的内核区。选项:A、正确B、错误正确答案:【错误】12、问题:内存内核区的所有数据是所有进程共享的,用户态代码可以直接访问。选项:A、正确B、错误正确答案:【错误】13、问题:Windows 环境下,默认情况下每个进程均可以直接访问其他进程
10、的用户区内存空间。选项:A、正确B、错误正确答案:【错误】14、问题:并口硬盘的数据线比串口硬盘的数据线宽,显然其传输速度更快。选项:A、正确B、错误正确答案:【错误】 15、问题:磁盘 MBR 扇区的分区表数据被破坏之后将无法恢复,因此要及时备份MBR 扇区所有数据。选项:A、正确B、错误正确答案:【错误】16、问题:硬盘 MBR 主引导扇区最后两个字节必须以“55AA”作为结束选项:A、正确B、错误正确答案:【正确】17、问题:FAT32 文件系统进行文件空间分配的最小单位是簇,一个簇通常包含多个扇区。选项:A、正确B、错误正确答案:【正确】18、问题:当文件被误删除之后,不应继续往该文件
11、所在的分区继续写入数据,否则可能造成被删除的文件被覆盖导致无法恢复。选项:A、正确B、错误正确答案:【正确】19、问题:在 FAT32 文件系统中,文件分配表有两份,即 FAT1 和 FAT2,当一个文件被我们误删除之后,我们还可以直接从 FAT2 中找到对应的簇链表对 FAT1 进行修复,从而快速恢复该文件。选项:A、正确B、错误正确答案:【错误】20、问题:通过格式化操作系统所在盘符,可以完全清除系统中的文件型病毒。选项:A、正确B、错误正确答案:【错误】21、填空题:以下是某硬盘的分区表信息(MBR 分区格式),通过分析可知,该硬盘的第一个主分区应为_GB。(按 1K=1000 计算,小
12、数点后保留一位,四 舍五入,答案不含单位)正确答案:【53.7】22、填空题:下图是某 U 盘FAT32 文件系统下某个文件的目录项,由引导扇区参数可知该分区每个簇包含 16 个扇区512 字节扇区,由此可计算出该文件共占用_个簇的存储空间?请填写阿拉伯数字,10 进制正确答案:【23】C3 单元测试1、问题:硬盘中 PE 文件各节之间的空隙(00 填充部分)大小,与以下哪个参数的大小息息相关?选项:A、SizeOfImageB、FileAlignmentC、SizeofHeadersD、SectionAlignmentE、SizeofImage正确答案:【FileAlignment】2、问题
13、:PE 文件以下哪个字段指向程序首条指令执行的位置?选项:A、SizeOfImageB、SectionAlignmentC、AddressOfEntryPointD、BaseofCodeE、ImageBase正确答案:【AddressOfEntryPoint】3、问题:本课程 C3 章节使用的 test.exe 示例程序在内存中的节对齐粒度是?选项:A、4000HB、500HC、200HD、1000H E、2000H正确答案:【1000H】4、问题:_节的主要作用是将 DLL 自身实现的函数信息进行标注,以便于其他程序可以动态调用本 DLL 文件中的函数。选项:A、引入函数节B、引出函数节C、
14、数据节D、代码节E、资源节正确答案:【引出函数节】5、问题:现有一 PE 文件,通过分析其二进制文件,IMAGE_SECTION_HEADER结构的起始地址和结束地址分别为 0x1D0 和 0x270,由此可知该文件的节数量为_。选项:A、3B、4C、5D、6正确答案:【4】6、问题:引入目录表(Import Table)的开始位置 RVA 和大小位于 PE 文件可选文件头 DataDirecotry 结构(共 16 项)中的第_项。选项:A、1B、2C、3D、13正确答案:【2】7、问题:DLL 被引出函数的函数名字符串的 RVA 存储在引出函数节下的哪个字段指向的表中?选项:A、Addre
15、ssOfFunctionsB、AddressOfNamesC、AddressOfNameOrdinalsD、Name正确答案:【AddressOfNames】 8、问题:如果需要手工从目标 PE 文件中提取其图标数据并生成.ico 文件的话,我们需要从以下哪类型资源中提取数据?选项:A、ICONB、BITMAPC、GROUPICOND、GROUPICON+ICON正确答案:【GROUPICON+ICON】9、问题:DLL 文件可能加载到非预期的 ImageBase 地址,PE 文件使用_解决该问题。选项:A、函数引入机制B、资源动态分配机制C、重定位机制D、函数引出机制E、资源节正确答案:【重
16、定位机制】10、问题:DLL 在编译时的初始文件名字符串的 RVA 存储在引出目录表下的哪个字段中?选项:A、AddressOfFunctionsB、AddressOfNamesC、AddressOfNameOrdinalsD、Name正确答案:【Name】11、问题:Window 系统中,.DL.SY.SCR 和.OCX 文件都属于 PE 文件格式。选项:A、正确B、错误正确答案:【正确】12、问题:在 PE 文件格式中,PE 文件头的 Signature(即“PE00”)位于 MZ DOS头及 DosStub 之后,32 位程序的 Signature 开始于 000000B0 位置。选项:
17、A、正确B、错误正确答案:【错误】 13、问题:引出目录表的开始位置就是引出函数节的开始位置,因此找到引出函数节就可以定位到引出目录表。选项:A、正确B、错误正确答案:【错误】14、问题:一个具有图标和菜单的可执行文件通常都具有资源节。选项:A、正确B、错误正确答案:【正确】15、问题:PE 文件的可选文件头是可选的,可以不要。选项:A、正确B、错误正确答案:【错误】16、问题:在进行函数引入时,必须在引入函数节部分注明目标函数名字,否则无法进行索引定位。选项:A、正确B、错误正确答案:【错误】17、问题:DLL 文件的编译生成时间存储在其引出函数目录表的时间戳信息中,在针对恶意代码的取证分析
18、过程中,该时间信息对于了解样本出现的开始日期具有一定参考意义。选项:A、正确B、错误正确答案:【正确】18、问题:每一个 PE 文件都必须有一个数据节和代码节,且这两个节不可以合并为一个节。选项:A、正确B、错误正确答案:【错误】19、问题:当一个 PE 可执行文件装载到内存之后,引入地址表(IAT 表)指向的数据将被对应函数在内存中的 VA 地址所代替。 选项:A、正确B、错误正确答案:【正确】20、问题:PE 文件一旦被签名之后,该文件的任何地方被修改都将导致签名验证无法通过。选项:A、正确B、错误正确答案:【错误】21、填空题:下图为某程序的.rdata 节(开始位置 RVA:2000,
19、文件偏移量:800H)在内存中的主要数据。通过分析可知,MessageBoxA 函数的 VA 地址=0x_ 【填入 8 个 16 进制数字或大写字母,高位在前,低位在后,譬如76F8BBE2,00002050】正确答案:【7689EA11】22、填空题:下图为某程序的.rdata 节(开始位置 RVA:2000,文件偏移量:800H)在内存中的主要数据。通过分析可知,文件 808H-80BH 偏移处的值是0x_。【填入 8 个 16 进制数字或大写字母,高位在前,低位在后,譬如76F8BBE2,00002050】 正确答案:【0000208C#%_YZPRLFH_%#8C200000】23、填
20、空题:下图为某 PE 程序的部分 16 进制数据截图,内存中 RVA 地址0040B341H 在该 PE 文件中的文件偏移地址为:_h。【8 位 16 进制数据,高位在前,字母大写】正确答案:【00008541】24、填空题:请分析附件文件 Zoomit.exe,通过分析可知:最大尺寸的 ICON 的RVA 是_。【8 位 16 进制数据,高位在前,字母大写】正确答案:【0006CC90】25、填空题:请分析附件文件,通过分析可知:最大尺寸的 ICON 对应的文件 Size是_。【8 位 16 进制数据,高位在前,字母大写】正确答案:【00000EA8】26、填空题:请分析附件文件,该文件中包
21、含一个名为 BINRES 的资源,请将该文件提取之后保存为 rczoomit64.exe,分析该文件可知,其 ImageBase 为_【按实际位数填写所有 16 进制数据,高位在前,字母大写】正确答案:【0000000140000000】 C6 单元测试1、问题:如下图所示,在命令行输入命令“dd ds:fs:30+0c”之后,在数据窗口开始“7763DCA0”地址的含义是?(实验系统环境为 Win10,test.exe 程序为 32 位) 选项:A、PEB 结构开始位置B、LDR_MODULE 结构开始位置C、PEB_LDR_DATA 结构开始位置D、TEB 结构开始位置正确答案:【PEB_
22、LDR_DATA 结构开始位置】2、问题:以下代码对pushsz 进行了宏定义,对于该宏的正确描述的是?pushszMACRO str LOCAL next call next db str,0 next:ENDM选项:A、该宏仅用于定义一个字符串。B、该宏用于定义一个字符串,并将字符串首地址压入堆栈顶端。C、该宏多次使用时会出错,因为相同的标号不能出现两次及以上。D、这是一段混淆代码,主要用于干扰反汇编工具。正确答案:【该宏用于定义一个字符串,并将字符串首地址压入堆栈顶端。】3、问题:PE 病毒在进行目标文件搜索时,通常会以目标文件后缀为条件来遍历计算机硬盘,以下哪类后缀程序不应该是 PE
23、文件的感染目标?选项:A、EXEB、SCRC、DLLD、COM正确答案:【COM】4、问题:为了提高对感染速度,PE 病毒通常将目标程序读入到内存中之后进行感染操作,以下哪个函数执行之后将返回目标程序在内存中的开始地址。选项:A、CreateFileB、CreateFileMappingC、MapViewOfFileD、UnmapViewFile正确答案:【MapViewOfFile】5、问题:当传统感染型 PE 病毒在目标程序中添加病毒感染代码之后,通常其采用修改 PE 文件_字段的方式来使得病毒代码能够最先获得控制权。选项:A、ImageBaseB、EIPC、AddressOfEntryP
24、ointD、START正确答案:【AddressOfEntryPoint】 6、问题:在目标 PE 程序图标替换过程中,可以使用 BeginUpdateResource(),UpdateResource(), EndUpdateResource() 等 API 函数,实现用自定义的 ico 文件类替换 exe 程序原来的图标的功能。UpdateResource()函数的第三个参数是指?选项:A、将被更新的资源的名称字符串B、目标 ICO 文件句柄C、将被替换的目标资源类型D、将被更新资源的语言标识正确答案:【将被更新的资源的名称字符串】7、问题:PE 病毒可以将恶意负载以资源的方式存储在自身文
25、件中,并在适当时候进行资源释放和执行。在操作过程中,以下哪个函数将不需要被用到?选项:A、FindResourceB、LoadResourceC、SizeOfResourceD、UpdateResource正确答案:【UpdateResource】8、问题:课程 C6.8 所提供的 PEB-pass-123.rar 中的 PEB.exe 程序在 Win10 下运行之后,获得的是以下哪个模块的地址?选项:A、kernel32.dllB、ntdll.dllC、kernelbase.dllD、PEB.exe正确答案:【kernelbase.dll】9、问题:熊猫烧香病毒采用了“Virus+Host”
26、的感染方式,其缺陷是被感染程序的图标会发生变化。如需让目标程序图标同步为 HOST 程序图标,则需要对目标程序的以下哪个区域进行修改?选项:A、图标节B、代码节C、资源节D、数据节正确答案:【资源节】10、问题:传统文件感染型病毒在进行 API 函数自搜索时,主要是基于 kernel32模块的何种机制进行的?选项:A、函数引入机制 B、资源定位机制C、重定位机制D、函数引出机制正确答案:【函数引出机制】11、问题:传统感染型 PE 病毒因为在代码寄生过程中的目标 HOST 程序多样,无法事先确定自身病毒代码即将寄生的位置,但二进制代码中存在部分固化的 VA 地址,因此需要给目标 PE 程序新增
27、一个重定位节,以确保病毒代码中的 VA 地址能够得到动态修正。选项:A、正确B、错误正确答案:【错误】12、问题:由于文件感染型病毒需要在目标程序新增代码甚至新增节,其在感染过程中必将增加目标程序大小。为了有效隐藏自己,病毒代码通常都应尽力做到精简以缩小自身体积。选项:A、正确B、错误正确答案:【错误】13、问题:对于计算机病毒来说,如果其感染目标程序都位于当前操作系统之内,感染目标也只在本机运行,则其需要使用的相关 API 函数的地址在当前系统是确定的,因此可以采用硬编码的方式将 API 函数的地址固化在病毒代码中,直接调用即可。选项:A、正确B、错误正确答案:【错误】14、问题:对于代码寄
28、生型病毒来说,如果对方程序自身有完整性校验,则对该程序进行感染将会导致目标程序运行异常。但是捆绑释放型的感染方式则可以有效避免出现此类情况。选项:A、正确B、错误正确答案:【正确】15、问题:对于捆绑型病毒 A 来说,如果要感染目标 B,一般来说采用 A+B 的方式,但在这种方式下被感染后的程序图标为 A 的图标。如果要做到目标被感染程序后的图标不发生变化,直接将将感染程序 B 放在前面,将捆绑病毒 A 放在后面 (即 B+A)即可,无需再做其他变换。选项:A、正确B、错误正确答案:【错误】16、问题:PEB 模块为进程环境块,其位于操作系统内核空间,通过用户态程序无法访问。选项:A、正确B、
29、错误正确答案:【错误】17、问题:fs:0的指向为进程当前活动线程的 SEH 异常处理结构的链首位置,通过访问该链表的末端 SEH 结构的第二个字段,可以获得一个指向 kernel32 模块内部的地址。该方法在从 XP 到 Win10 等不同的操作系统中均具有良好通用性。选项:A、正确B、错误正确答案:【错误】18、问题:对于较强破坏能力的计算机病毒来说,病毒破坏模块的触发条件决定了该病毒的潜伏期的长短,潜伏期越长,感染的目标群体越大,最终形成的整体破坏力就越大。选项:A、正确B、错误正确答案:【错误】19、问题:call 指令与 jmp 指令的功能类似,都将跳转到目标位置继续执行。但call
30、 指令执行时,还会将该 call 指令之后的地址压入堆栈顶端。而这一特性可有效应用于病毒代码的重定位。选项:A、正确B、错误正确答案:【正确】20、问题:无论是在 32 位还是 64 位系统,病毒代码在获得当前 kernel32 模块中的任一 VA 地址之后,只要通过地址逐一递减并验证指向位置是否为 PE 文件头部特征,必然可以顺利找到 kernel32 模块的基地址。选项:A、正确 B、错误正确答案:【错误】21、填空题:下图为课程提供的 SEH.exe 程序的相关反汇编代码,以下_地址处的指令执行之后,_寄存器中存放的是 SEH 链中最后一个EXCEPITON_REGISTARTION 结
31、构的 Handler。(填入 8 位地址与寄存器名,以空格隔开)正确答案:【00401010 eax#%_YZPRLFH_%#00401010 EAX】22、填空题:以下为课程例子中的感染例子源代码的部分片段,按照程序预期设计,以下_行语句执行之后,_寄存器中存放的是指向 kernel32 模块内部的地址。【填入两位阿拉伯数字行号与寄存器名称,以空格隔开】 正确答案:【54 eax#%_YZPRLFH_%#54 EAX】23、填空题:课程提供的病毒感染例子在使用 masm32 默认编译选项完成编译之后,该程序 XP 下实际运行时也会提示错误,该错误的原因是因为某节的默认属性为只读,但该程序需要
32、在该节进行写操作。而要进行修复,除了手工或者 PE 工具修改该节属性之外,还可以在 link 时增加一个修改节属性的选项来修改指定其属性为可读可写可执行(rwe),即/section:_(1)_,_(2)_。(填入节名与属性,以空格隔开)正确答案:【.text rwe#%_YZPRLFH_%#.text RWE】24、填空题:课程提供的病毒感染例子程序在感染目标程序之后,为了避免对同一个程序反复感染,将在被感染程序中写入一个感染标志,该感染标志是_(1)_,对于课程配套给出的 test.exe 文件来说,感染标志的 FOA 开始位置是_(2)_?(空 1 填写英文字母,高位在前低位在后;空 2
33、 填写大写的 8 位 16 进制数,以空格隔开)正确答案:【dark 000000B8#%_YZPRLFH_%#DARK 000000B8】C7 单元测试1、问题:Office 文档启用宏后,在 Office 文档打开窗口通过快捷键_可以进入 Visual Basic 编辑器窗口。选项:A、Alt+F9B、Alt+F10C、Alt+F11D、Alt+F12正确答案:【Alt+F11】 2、问题:如果要阻止用户通过 Word 点击“宏”或“查看宏”按钮查看宏代码,可以定义以下哪个宏来拦截该操作。选项:A、Macro_View()B、ViewVBCode()C、ToolsMacroD、MacroV
34、iew()正确答案:【ToolsMacro】3、问题:以下哪个宏在定义在文档(非模板)中将被对应操作自动触发。选项:A、AutoCloseB、AutoExitC、AutoNewD、AutoExec正确答案:【AutoClose】4、问题:当 vbs 文件执行死循环时,应打开任务管理器结束以下哪个进程?选项:A、explorer.exeB、wscript.exeC、cscript.exeD、taskmgr.exe正确答案:【wscript.exe】5、问题:当文档工程被加密后,通过以下哪个工具可以解除其加密口令?选项:A、scrdecB、Visual StudioC、OLEDumpD、VBA P
35、assword Bypasser正确答案:【VBA Password Bypasser】6、问题:以下哪个宏在 Offcie 程序打开时自动触发?选项:A、AutoOpenB、Document_OpenC、AutoExecD、OfficeOpen正确答案:【AutoExec】 7、问题:Options.SaveNormalPrompt = False 此举代码的作用是?选项:A、关闭文档的自动保存功能B、使 Office 的文档保存按钮失效C、当用户选择保存文档时,直接保存,不要提示用户D、如果公用模板被修改,不要弹框提示用户正确答案:【如果公用模板被修改,不要弹框提示用户】8、问题:Offi
36、ce 宏的编写语言是?选项:A、VBAB、VBSC、JSD、Powershell正确答案:【VBA】9、问题:在 VBS 恶意脚本程序中,_是一个经常被使用的浏览器对象, 可用于模拟 http 的 GET 和 POST 请求,其经常与 ADODB.STREAM 对象一起使用,以从远程下载数据并将其释放为本地文件。选项:A、XMLB、HTTPC、XMLHTTPD、Request正确答案:【XMLHTTP】10、问题:下面语句用于创建一个_对象?Set fNxGxXlsxADAGD =createobject(Chr(83) Chr(104) Chr(101) Chr(108) Chr(108)
37、Chr(46) Chr(65) Chr(112)Chr(112) Chr(108) Chr(105) Chr(99) Chr(97) Chr(116) Chr(105) Chr(111) Chr(110)选项:A、Shell.ApplicationB、XML.HttpRequestC、Adodb.StreamD、Wscript.WSHRemote正确答案:【Shell.Application】11、问题:使用 oledump 工具可以在不运行宏的情况下查看宏代码,以此降低分析风险。选项:A、正确B、错误正确答案:【正确】 12、问题:宏病毒一种非常古老的恶意代码威胁,当前已经不可能存在这类威胁
38、。选项:A、正确B、错误正确答案:【错误】13、问题:除了宏病毒威胁之外,打开数据文档是不可能存在其他安全隐患的。选项:A、正确B、错误正确答案:【错误】14、问题:文件自身不带宏代码的文档也有可能触发执行宏。选项:A、正确B、错误正确答案:【正确】15、问题:在编写完宏之后,我们可以在 VBA 编辑器下文档的工程属性-保护栏中设置访问密码,同时应选择“查看时锁定工程”,这样他人便无法再查看宏代码,可充分保障宏的安全。选项:A、正确B、错误正确答案:【错误】16、问题:无文件攻击一定不会在文件系统留下任何文件。选项:A、正确B、错误正确答案:【错误】17、问题:Powershell ISE 是
39、微软官方提供的一款 powershll 脚本调试器,系统本身并不默认提供,但是可从微软网站下载安装。选项:A、正确B、错误正确答案:【错误】18、问题:screnc.exe 是微软提供的一款脚本加、解密工具,被其加密的脚本以#作为开始字符。选项:A、正确 B、错误正确答案:【错误】19、问题:Visual Studio 并不提供对 VBS 脚本的调试功能。选项:A、正确B、错误正确答案:【错误】20、问题:一个程序被运行时将处于只读状态,其他程序此时无法对其进行写操作。因此 VBS 脚本程序在运行时是不能修改自身的。选项:A、正确B、错误正确答案:【错误】21、填空题:分析 C7.8 样本文件
40、中的 SS-Macro1.doc,可知 flag=_。(提示:flag 为汉字)正确答案:【自强弘毅求是拓新】22、填空题:C7.8 样本文件中的页面文件 22.htm 的脚本中有一段加密代码,该段代码解密之后应为 document.write(_)。(答案中间无空格)正确答案:【Welcome_+Back_+To_+Luojia!】23、填空题:打开 C7.8 样本文件中的文档 macro3.doc,查找 Flag,分析可知该Flag 放在窗体 UserForm1 的_控件中,flag=_。(第一个答案为控件名称,第二个答案为字符串,不用加引号、区分大小写,用空格隔开)正确答案:【TextB
41、ox1 XueDaHanWuLiGuo#%_YZPRLFH_%#UserForm1.TextBox1XueDaHanWuLiGuo】24、填空题:分析 C7.8 样本文件中的 virusMacro-127 可知,该样本在执行之后,将释放一个名为_的 vbs 脚本。【所有空均区分大小写】正确答案:【dsfswhudf.VBE】25、填空题:C7.8 样本文件中的 virusMacro-127 执行后释放的 vbs 脚本被存储在_变量中。正确答案:【hgvfcdsfdsfff】26、填空题:C7.8 样本文件中的 virusMacro-127 创建了_对象,并利用该对象的 Open 方法运行该 vbe 脚本。正确答案:【Shell.Application】 27、填空题:C7.8 样本文件中的 virusMacro-127 创建的 vbe 脚本释放了名为_的可执行程序。正确答案:【cdsadd.exe】
