選一
1、如果要理解Windows下惡意代碼在感染程序過程可能涉及到的目標(biāo)程序的圖標(biāo)修改機理，我們需要重點學(xué)習(xí)本課程的哪一部分內(nèi)容？（ D ）
A. 網(wǎng)絡(luò)木馬
B. 計算機引導(dǎo)與磁盤結(jié)構(gòu)
C. Windows PE病毒
D. PE文件格式與實踐

2、在你看來，信息系統(tǒng)存在安全問題的本質(zhì)原因是：（ D ）
A.信息系統(tǒng)開發(fā)未遵循安全開發(fā)流程
B.惡意代碼快速增長
C.信息系統(tǒng)存在漏洞
D.信息資產(chǎn)具有價值

3、以下關(guān)于惡意軟件的說法，正確的是？（ C ）
A.在Windows下，惡意軟件都是EXE可執(zhí)行文件。
B.惡意軟件是指所有可能對系統(tǒng)帶來危害的程序。
C.惡意軟件是指設(shè)計目的是為了實現(xiàn)特定惡意功能的一類程序。
D.惡意軟件就是計算機病毒。

4、在傳統(tǒng)BIOS的MBR引導(dǎo)模式下，以下關(guān)于Windows操作系統(tǒng)引導(dǎo)過程的順序，正確的是？( C )
A.MBR ->BIOS ->DBR ->NTLDR(BOOTMGR)
B.MBR->DBR->NTLDR(BOOTMGR)->BIOS
C.BIOS -> MBR ->DBR ->NTLDR(BOOTMGR)
D.BIOS ->NTLDR(BOOTMGR)->DBR->MBR

5、80X86處理器的常態(tài)工作處理模式是？ ( C )
A.虛擬86模式
B.虛實模式、保護模以及虛擬86模式
C.保護模式
D.實模式

6、PAE內(nèi)存分頁模式下，在進行虛擬地址到物理地址轉(zhuǎn)化計算中，一個32位虛擬地址（線性地址）可以劃分為4個部分：頁目錄指針表項（PDPTE）、頁目錄表項（PDE）、頁表項（PTE），以及頁內(nèi)偏移。32位虛擬地址0x00403016對應(yīng)的PDE=__D。
A.3
B.1
C.4
D.2

解析： 0x00403016：0000?0000?0100?0000?0011?0000?0001?1010，按照2-9-9-12劃分，即
00（0）?000000010（2）??00000011（3）?????000000011010（0x16）

7、硬盤中線性邏輯尋址方式（LBA）的尋址單位是？( B )
A.磁道
B.扇區(qū)
C.簇
D.柱面

8、在MBR分區(qū)格式下，一個分區(qū)大小不能超過______TB。( A )
A.2
B.8
C.1
D.4
解析：分區(qū)表中每個分區(qū)表項中的分區(qū)總扇區(qū)數(shù)為4個字節(jié)（32位），即最大不得超過2**32*512字節(jié)。

9、NTFS文件系統(tǒng)下，如果一個文件較大，NTFS將開辟新空間存放File的具體數(shù)據(jù)，其通過文件記錄（File Record）中的_________指明各部分?jǐn)?shù)據(jù)的起始簇號和占用簇的個數(shù)？（ D ）
A. FR頭
B. MFT記錄號
C. $DATA
D. Data Run

10、NTFS文件系統(tǒng)中，文件內(nèi)容的存放位置是？（ D ）
A.MFT
B.DBR
C.數(shù)據(jù)區(qū)
D.MFT或數(shù)據(jù)區(qū)

11、在FAT32分區(qū)下，當(dāng)文件被放入回收站之后，該文件目錄項中的以下哪部分?jǐn)?shù)據(jù)將發(fā)生變化？ （ B ）
A. 首簇高位
B. 文件名的第一個字節(jié)
C. 首簇低位
D. 文件大小

12、在FAT32分區(qū)下，當(dāng)文件通過Shift＋Del的方式刪除之后，以下哪個部分將發(fā)生變化？（ A ）
A.目錄項中的文件名首字節(jié)，首簇高位，以及文件對應(yīng)的FAT表項
B.目錄項中的文件名首字節(jié)，首簇高位，文件對應(yīng)的FAT表項，以及文件內(nèi)容
C.僅目錄項中的文件名首字節(jié)和文件對應(yīng)的FAT表項
D.僅首簇高位和文件對應(yīng)的FAT表項

判斷一
1、電腦被感染計算機病毒之后，通過更換硬盤可以徹底防止任何病毒再生。（ n ）
2、Windows環(huán)境下，默認(rèn)情況下每個進程均可以直接訪問其他進程的用戶區(qū)內(nèi)存空間。（ n ）
3、硬盤MBR主引導(dǎo)扇區(qū)最后兩個字節(jié)必須以“55AA”作為結(jié)束（ y ）
4、FAT32文件系統(tǒng)進行文件空間分配的最小單位是簇，一個簇通常包含多個扇區(qū)。（ y ）
5、當(dāng)文件被誤刪除之后，不應(yīng)繼續(xù)往該文件所在的分區(qū)繼續(xù)寫入數(shù)據(jù)，否則可能造成被刪除的文件被覆蓋導(dǎo)致無法恢復(fù)。（ y ）
6、通過格式化操作系統(tǒng)所在盤符，可以完全清除系統(tǒng)中的文件型病毒。（ n ）

單選二
1、硬盤中PE文件各節(jié)之間的空隙（00填充部分）大小，與以下哪個參數(shù)的大小息息相關(guān)？ （ A ）
A. FileAlignment
B. SizeOfImage
C. SizeofHeaders
D. SectionAlignment

2、PE文件以下哪個字段指向程序首條指令執(zhí)行的位置？ （ B ）
A. SectionAlignment
B. AddressOfEntryPoint
C. SizeOfImage
D. BaseofCode

3、一般PE程序在內(nèi)存中的節(jié)對齊粒度是？（ C ）
A. 4000H
B. 200H
C. 1000H
D. 2000H

4、________節(jié)的主要作用是將DLL自身實現(xiàn)的函數(shù)信息進行標(biāo)注，以便于其他程序可以動態(tài)調(diào)用本DLL文件中的函數(shù)。（ B ）
A. 代碼節(jié)
B. 引出函數(shù)節(jié)
C. 資源節(jié)
D. 數(shù)據(jù)節(jié)

5、現(xiàn)有一PE文件，通過分析其二進制文件，IMAGE_SECTION_HEADER結(jié)構(gòu)的起始地址和結(jié)束地址分別為0x1D0和0x270，由此可知該文件的節(jié)數(shù)量為_________。（ A ）
A. 3
B. 5
C. 4
D. 6

6、引入目錄表（Import Table）的開始位置RVA和大小位于PE文件可選文件頭DataDirecotry結(jié)構(gòu)（共16項）中的第________項。（ C ）
A. 13
B. 3
C. 2
D. 1

7、DLL被引出函數(shù)的函數(shù)名字符串的RVA存儲在引出函數(shù)節(jié)下的哪個字段指向的表中？（ C ）
A. AddressOfNameOrdinals
B. Name
C. AddressOfNames
D. AddressOfFunctions

8、如果需要手工從目標(biāo)PE文件中提取其圖標(biāo)數(shù)據(jù)并生成.ico文件的話，我們需要從以下哪類型資源中提取數(shù)據(jù)？（ B ）
A. GROUPICON
B. GROUPICON+ICON
C. ICON
D. BITMAP

9、DLL文件可能加載到非預(yù)期的ImageBase地址，PE文件使用______解決該問題。（ D ）
A. 函數(shù)引出機制
B. 資源節(jié)
C. 資源動態(tài)分配機制
D. 重定位機制

10、根據(jù)我國刑法285、286條規(guī)定，違反國家規(guī)定，侵入國家事務(wù)、國防建設(shè)、尖端科學(xué)技術(shù)領(lǐng)域的計算機信息系統(tǒng)的，將以以下哪項罪名定罪？（ B ）
（參考網(wǎng)站：司法部網(wǎng)站，中華人民共和國刑法，https://www.moj.gov.cn/subject/content/2020-02/14/1449_3241661.html ）
A. 提供侵入、非法控制計算機信息系統(tǒng)程序、工具罪
B. 非法侵入計算機信息系統(tǒng)罪
C. 破壞計算機信息系統(tǒng)罪
D. 非法獲取計算機信息系統(tǒng)數(shù)據(jù)、非法控制計算機信息系統(tǒng)罪

判斷二
Window系統(tǒng)中，.DLl, .EXE, .SCR和.OCX文件都屬于PE文件格式。（ Y ）

一個具有圖標(biāo)和菜單的可執(zhí)行文件通常都具有資源節(jié)。（ Y ）

PE文件的可選文件頭是可選的，可以不要。（ N ）

在進行函數(shù)引入時，必須在引入函數(shù)節(jié)部分注明目標(biāo)函數(shù)名字，否則無法進行索引定位。（ N ）

DLL文件的編譯生成時間存儲在其引出函數(shù)目錄表的時間戳信息中，在針對惡意代碼的取證分析過程中，該時間信息對于了解樣本出現(xiàn)的開始日期具有一定參考意義。（ Y ）

每一個PE文件都必須有一個數(shù)據(jù)節(jié)和代碼節(jié)，且這兩個節(jié)不可以合并為一個節(jié)。（ N ）

當(dāng)一個PE可執(zhí)行文件裝載到內(nèi)存之后，引入地址表（IAT表）指向的數(shù)據(jù)將被對應(yīng)函數(shù)在內(nèi)存中的VA地址所代替。（ n ）

填空
1、下圖為某程序的.rdata節(jié)（開始位置RVA：2000，文件偏移量：800H）在內(nèi)存中的主要數(shù)據(jù)。通過分析可知，MessageBoxA函數(shù)的VA地址=0x________ 【填入8個16進制數(shù)字或大寫字母，高位在前，低位在后，譬如76F8BBE2，00002050】

正確答案：7689EA11

判斷三
惡意代碼是指所有能夠給電腦帶來破壞性的程序。（ n ）

以spaf的觀點來看，計算機病毒與蠕蟲的關(guān)鍵差異在于具備傳播能力的程序本身是否為獨立個體：如果需要寄生到HOST程序則為病毒，如果可以獨立運行則為蠕蟲，另外前者傳播目標(biāo)是程序或當(dāng)前系統(tǒng)，后者傳播目標(biāo)是網(wǎng)絡(luò)中的主機。（ y ）

遠(yuǎn)程控制木馬與合法遠(yuǎn)程管理軟件的主要區(qū)別在于是否具有隱蔽性和非授權(quán)性。（ y ）

遠(yuǎn)程控制型木馬的一個比較典型的特征是，被控計算機存在非法的外連活動，且其上行數(shù)據(jù)遠(yuǎn)遠(yuǎn)大于下行數(shù)據(jù)。（ y ）

木馬程序同樣具備主動對外傳播的能力。（ n ）

計算機被感染勒索軟件之后，如果計算機中的重要數(shù)據(jù)一旦被加密切無備份，繳納贖金是找回數(shù)據(jù)的唯一有效途徑。因此，我們需要做好重要數(shù)據(jù)的備份。（ n ）

網(wǎng)絡(luò)木馬通常是由被控制者自己觸發(fā)安裝的，而后門通常是由攻擊者在獲取目標(biāo)系統(tǒng)控制權(quán)之后主動安裝的。（ y ）

ROOTKIT是一類可以隱藏自身痕跡（如進程、注冊表、文件、網(wǎng)絡(luò)端口等）的程序，其不能用于隱藏其他木馬程序。（ n ）

對于漏洞利用型蠕蟲來說，及時修補系統(tǒng)補丁是作為普通網(wǎng)民最為有效的防護方法。（ y ）

某高校學(xué)生小李熱衷于黑客技術(shù)，經(jīng)常以非法入侵、控制他人計算機系統(tǒng)為樂趣，經(jīng)公安系統(tǒng)查實，其在2018-2019年期間，共非法控制他人計算機信息系統(tǒng)三十余臺，且造成被控制者經(jīng)濟損失5.5萬元。按照我國刑法規(guī)定，其應(yīng)當(dāng)處三年以上七年以下有期徒刑，并處罰金。（ y ）

某高校小張在瀏覽某網(wǎng)站時，發(fā)現(xiàn)由相關(guān)黑客公布的Webshell，通過這些Webshell可以對30余臺系統(tǒng)進行控制。經(jīng)公安系統(tǒng)查實，通過利用這些Webshell，小張對10余臺系統(tǒng)進行了持續(xù)控制，并非法獲利6千元。按照我國法律規(guī)定，小張同樣應(yīng)當(dāng)以“非法獲取計算機信息系統(tǒng)數(shù)據(jù)或者非法控制計算機信息系統(tǒng)”定罪，應(yīng)處三年以下有期徒刑或者拘役，并處或者單處罰金。（ y ）文章來源地址http://www.zghlxwxcb.cn/news/detail-442071.html

到了這里，關(guān)于軟件安全復(fù)習(xí)題的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！