安康网站建设制作,html5新增标签有哪些,动易网站模板免费,长沙百家号seo一. 单选题#xff08;共20题#xff09;
1【单选题】以下哪个人研制了第一个计算机病毒#xff08;Unix#xff09;#xff1f;
A、Fred CohenB、冯诺伊曼C、道格拉斯.麦耀莱、维特.维索斯基和罗伯.莫里斯D、Robert T. Morris
我的答案#xff1a;A
2【单选题】以下…一. 单选题共20题
1【单选题】以下哪个人研制了第一个计算机病毒Unix
A、Fred CohenB、冯·诺伊曼C、道格拉斯.麦耀莱、维特.维索斯基和罗伯.莫里斯D、Robert T. Morris
我的答案A
2【单选题】以下哪种病毒能够烧毁硬件
A、CIH病毒B、宏病毒C、美丽莎病毒D、红色代码
我的答案A
3【单选题】到目前为止以下哪种病毒造成的经济损失最大
A、爱虫B、SQL蠕虫王C、冲击波D、熊猫烧香
我的答案A
4【单选题】反病毒软件商们为MS Word宏病毒命令的前缀是 。
A、WMB、VBSC、Win32D、W97M
我的答案A
5【单选题】
永恒之蓝即EternalBlue这个工具就是利用windows系统的 远程执行代码漏洞向Microsoft 服务器消息块服务器发送经特殊设计的消息就能允许远程代码执行。
A、MS017-010漏洞B、快捷方式文件解析漏洞C、RPC漏洞D、IRC漏洞
我的答案A
6【单选题】熊猫烧香病毒是一种 病毒。
A、木马B、流氓软件C、蠕虫D、逻辑炸弹
我的答案C
7【单选题】以下哪种恶意代码能发动DDOS攻击
A、CutwailB、WannaCryC、StuxnetD、Locky
我的答案A
8【单选题】 工具是一种特殊的恶意软件它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息。
A、RootkitB、PhishingC、APT28D、ARP
我的答案A
9【单选题】按照CARO命名规则瀑布Cascade病毒的变种Cascade.1701.A中的1701是 。
A、大变种B、组名C、小变种D、修改者 我的答案B
10【单选题】 恶意代码利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。
A、APTB、FireBallC、MiraiD、震网蠕虫
我的答案A
11【单选题】不进行自我复制的两种病毒是 。
A、逻辑炸弹和木马B、逻辑炸弹和蠕虫C、逻辑炸弹和BotnetD、钓鱼和Mirai
我的答案A
12【单选题】以下哪种恶意邮件病毒携带有利用CVE-2015-1641 漏洞的rtf 文件、包含恶意可执行文件的不同格式的存档以及带有宏和 OLE对象的文档发起网络钓鱼攻击造成30亿美元的损失。
A、尼日利亚钓鱼B、APT28C、CabirD、FireBall
我的答案A
13【单选题】 恶意代码感染了2.5亿台计算机控制互联网浏览器, 监视受害者的 web 使用, 并可能窃取个人文件。
A、FireBallB、尼日利亚钓鱼C、Happy99 蠕虫D、SQL蠕虫王
我的答案A
14【单选题】以下说法不正确的是 。
A、传统计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据影响计算机使用并能自我复制的一组计算机指令或者程序代码。B、恶意代码是在未被授权的情况下以破坏软硬件设备、窃取用户信息、扰乱用户心理、干扰用户正常使用为目的而编制的软件或代码片段。C、计算机病毒或恶意代码的CARO命名规则每一种病毒的命名包括了家族名、组名、大变种、小变种和修改者等五个部分。D、反病毒软件商们通常在CARO命名的前面加一个前缀来标明病毒家族。
我的答案D
15【单选题】 的特点只感染微软数据文档文件。
A、宏病毒B、木马病毒C、勒索病毒D、蠕虫病毒
我的答案A
16【单选题】 是指采用一种或多种传播手段将大量主机感染bot程序从而在控制者和被感染主机之间所形成的一个可一对多可控制的、分布式的、逻辑网络 。
A、BotnetB、APTC、IoTD、Android
我的答案A
17【单选题】 工具是一种特殊的恶意软件它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息。
A、BotnetB、RootkitC、IndustroyerD、Regin
我的答案B
18【单选题】已经恶意软件的SHA-256是1bc9ab02d06ee26a82b5bd910cf63c07b52dc83c4ab9840f83c1e8be384b9254
那么经查询它的MD5是 。
A、f7f85d7f628ce62d1d8f7b39d8940472B、ec8aa67b05407c01094184c33d2b5a44C、a565682d8a13a5719977223e0d9c7aa4D、8913ac72cdb8afd98bd8446896e1595a
我的答案A
19【单选题】以下说法不正确的是 。
A、CARO命名规则中每一种病毒的命名包括五个部分病毒家族名、病毒组名、大变种、小变种、修改者B、业界对恶意代码的三元组命名规则是前缀表示恶意代码的类型、平台名称指恶意代码的家族特征后缀表示恶意代码的变种特征C、根据恶意代码的三元组命名规则Backdoor.Win32.InjShell.a的前缀是Backdoor。D、Regin是一种APT恶意软件由 NSA开发并与其五眼联盟共享。
我的答案C
20【单选题】以下哪个APT恶意软件由俄罗斯国家黑客开发
A、Industroyer B、WannaCryC、FireBallD、Regin
我的答案A 熊猫烧香病毒是一种 病毒。 正确答案: C 熊猫烧香是一个感染型的蠕虫病毒Worm.WhBoy.(金山称),Worm.Nimaya. (瑞星称)它能够自动到指定站点下载木马、后门等病毒但本质上还是一种蠕虫变种。 A. 木马 B. 流氓软件 C. 蠕虫 D. 逻辑炸弹 永恒之蓝即EternalBlue这个工具就是利用windows系统的 远程执行代码漏洞向Microsoft 服务器消息块服务器发送经特殊设计的消息就能允许远程代码执行。 正确答案: A A. MS017-010漏洞 B. 快捷方式文件解析漏洞 C. RPC漏洞 D. IRC漏洞 以下哪种恶意代码能发动DDOS攻击 正确答案: A A. Cutwail B. WannaCry C. Stuxnet D. Locky 按照CARO命名规则瀑布Cascade病毒的变种Cascade.1701.A中的1701是 。 正确答案: B A. 大变种 B. 组名 C. 小变种 D. 修改者 已经恶意软件的SHA-256是1bc9ab02d06ee26a82b5bd910cf63c07b52dc83c4ab9840f83c1e8be384b9254那么经查询它的MD5是 。 正确答案: A A. f7f85d7f628ce62d1d8f7b39d8940472 B. ec8aa67b05407c01094184c33d2b5a44 C. a565682d8a13a5719977223e0d9c7aa4 D. 8913ac72cdb8afd98bd8446896e1595a 以下说法不正确的是 。 正确答案: C A. CARO命名规则中每一种病毒的命名包括五个部分病毒家族名、病毒组名、大变种、小变种、修改者 B. 业界对恶意代码的三元组命名规则是前缀表示恶意代码的类型、平台名称指恶意代码的家族特征后缀表示恶意代码的变种特征 C. 根据恶意代码的三元组命名规则Backdoor.Win32.InjShell.a的前缀是Backdoor D. Regin是一种APT恶意软件由 NSA开发并与其五眼联盟共享。 以下哪个APT恶意软件由俄罗斯国家黑客开发 正确答案: A A. Industroyer B. WannaCry C. FireBall D. Regin 以下哪种恶意邮件病毒携带有利用CVE-2015-1641 漏洞的rtf 文件、包含恶意可执行文件的不同格式的存档以及带有宏和 OLE对象的文档发起网络钓鱼攻击造成30亿美元的损失。 正确答案: A A. 尼日利亚钓鱼 B. APT28 C. Cabir D. FireBall 以下说法不正确的是 。 正确答案: D A. 传统计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据影响计算机使用并能自我复制的一组 计算机指令 或者 程序代码。 B. 恶意代码是在未被授权的情况下以破坏软硬件设备、窃取用户信息、扰乱用户心理、干扰用户正常使用为目的而编制的软件 或代码片段。 C. 计算机病毒或恶意代码的CARO命名规则每一种病毒的命名包括了家族名、组名、大变种、小变种和修改者等五个部分。 D. 反病毒软件商们通常在CARO命名的前面加一个前缀来标明病毒家族。 不进行自我复制的两种病毒是 。 正确答案: A A. 逻辑炸弹和木马 B. 逻辑炸弹和蠕虫 C. 逻辑炸弹和Botnet D. 钓鱼和Mirai DOS系统装入COM文件时先在内存建立一个长度为 的PSP然后将整个文件装载于 PSP 上端不进行重定位操作 正确答案: A A. 256字节 B. 101H C. 0413H D. 0E9H 以下对PE文件格式说法不正确的是 。 正确答案: A A. 一个16位PE文件的寻址空间是4G。 B. PE文件格式来源于Unix的COFF格式。 C. Win32环境下的PE格式文件exe可执行文件、dll动态链接库文件和scr屏幕保护程序。 D. PE文件是使用Win32环境和NT(New Technology)内核系统的可执行文件格式。 以下属于感染硬盘的主引导区的病毒是 。 正确答案: A A. 大麻病毒 B. 小球病毒 C. Girl病毒 D. 熊猫烧香 以下属于感染硬盘的的活动分区引导记录的病毒是 。 正确答案: C A. 大麻病毒 B. 火炬病毒 C. 小球病毒 D. 宏病毒 引导型病毒加载病毒自身代码到内存的 地址处。 正确答案: B A. 0000H B. 7C00H C. 0413H D. CS:100H 引导型病毒修改 中断的入口地址使之指向病毒中断服务程序当系统或用户进行磁盘读写时就会激活病毒。 正确答案: D A. INT 21H B. INT 01H C. INT 11H D. INT 13H 主引导记录签名是 和 。 正确答案: B A. MZ和PE B. 0x55和0xAA C. MZ和NE D. 0E9H和3CH DOS系统通过把控制传递 处的指令而启动COM文件程序 正确答案: A A. CS:100H B. 7C00H C. 0413H D. 3CH COM格式文件最大是 。 正确答案: D A. 4GB B. 16KB C. 4KB D. 64KB 引导型病毒修改内存容量标志单元 在原有值的基础上减去病毒长度使得病毒代码能够常驻内存高端。 正确答案: B A. 7C00H B. 0413H C. CS:100H D. 0E9H 一. 单选题共15题 1【单选题】引导型病毒是指寄生在 的计算机病毒。 A、主引导扇区B、磁盘引导扇区C、主引导扇区或磁盘引导扇区D、磁盘的0面0道第1扇区 我的答案C 2【单选题】以下属于感染硬盘的主引导区的病毒是 。 A、大麻病毒B、小球病毒C、Girl病毒D、熊猫烧香 我的答案A 3【单选题】以下属于感染硬盘的的活动分区引导记录的病毒是 。 A、大麻病毒B、火炬病毒C、小球病毒D、宏病毒 我的答案C 4【单选题】引导型病毒加载病毒自身代码到内存的 地址处。 A、0000HB、7C00HC、0413HD、CS:100H 我的答案B 5【单选题】引导型病毒修改 中断的入口地址使之指向病毒中断服务程序当系统或用户进行磁盘读写时就会激活病毒。 A、INT 21HB、INT 01HC、INT 11HD、INT 13H 我的答案D 6【单选题】主引导记录签名是 和 。 A、MZ和PEB、0x55和0xAAC、MZ和NED、0E9H和3CH 我的答案B 7【单选题】引导型病毒修改内存容量标志单元 在原有值的基础上减去病毒长度使得病毒代码能够常驻内存高端。 A、7C00HB、0413HC、CS:100HD、0E9H 我的答案B 8【单选题】DOS系统通过把控制传递 处的指令而启动COM文件程序。 A、CS:100HB、7C00HC、0413HD、3CH 我的答案A 9【单选题】COM格式文件最大是 。 A、4GBB、16KBC、4KBD、64KB 我的答案D 10【单选题】DOS系统装入COM文件时先在内存建立一个长度为 的PSP然后将整个文件装载于 PSP 上端不进行重定位操作 A、256字节B、101HC、0413HD、0E9H 我的答案A 11【单选题】以下对PE文件格式说法不正确的是 。 A、一个16位PE文件的寻址空间是4G。B、PE文件格式来源于Unix的COFF格式。C、Win32环境下的PE格式文件exe可执行文件、dll动态链接库文件和scr屏幕保护程序。D、PE文件是使用Win32环境和NT(New Technology)内核系统的可执行文件格式。 我的答案A 12【单选题】以下选项属于PE文件默认代码节的是 。 A、Section .rdataB、Section .rsrcC、Section .textD、Section .data 我的答案C 13【单选题】以下选项属于PE文件的引入函数节的是 。 A、Section .textB、Section .rdataC、Section .dataD、Section .rsrc 我的答案B 14【单选题】对于PE文件中有很多“00”字节说法不正确的是 。 A、这是由于PE文件的文件节对齐粒度和内存节对齐粒度造成的。B、 这是由感染PE文件的恶意代码造成的。C、恶意软件可以利用这些空白区填充恶意代码。D、CIH病毒就是利用这些“00”字节填充恶意代码。 我的答案B 15【单选题】可以根据PE文件的MZ头定位PE文件标记以下说法正确的是 。 A、3CH处显示“PE”B、在3CH处显示PE头的地址C、PE文件开始的两个字节D、在0030H行末尾显示“PE” 我的答案B 二. 填空题共5题 16【填空题】已知PE文件的ImageBase为400000HRVA为1000H那么该PE文件的VA地址是 。 提示采用16进制填写大写H表示。 我的答案401000H 17【填空题】 PE文件的文件节对齐粒度是 。 提示采用16进制填写大写H表示。 我的答案 200H 18【填空题】 PE文件的内存节对齐粒度是 。 提示采用16进制填写大写H表示。 我的答案1000H 19【填空题】PE文件病毒感染时会在宿主上附加代码但每次感染内存地址不同修改代码内的地址是不现实的所以需要使用 技术。 我的答案 重定位 20【填空题】已知宿主程序某变量的实际地址是00801009H、偏移地址是00401009H病毒程序的var变量的偏移地址是00401000H那么病毒程序的var变量的实际地址是 。 提示采用16进制大写H表示。 我的答案00801000H 一. 单选题共20题 1【单选题】先向栈区添加了一个变量a接着向栈区添加了另外一个变量b则变量a所在的内存地址比变量b所在的内存地址 。 A、低B、高C、不确定D、相等 我的答案B 2【单选题】函数栈帧不包括的是 。 A、局部变量B、全局变量C、函数参数D、返回地址 我的答案B 3【单选题】一个函数f(int a, int b)在发生对f的函数调用后将开辟函数f的栈帧其中变量a的地址比变量b的地址 。 A、低B、高C、相等D、不确定 我的答案A 4【单选题】函数调用完毕后返回原来函数的指令处运行的一个关键操作是将栈帧中保存的返回地址装入 。 A、ESP寄存器B、EBP寄存器C、EIP寄存器D、EBI寄存器 我的答案C 5【单选题】CPU自带一级缓存和二级缓存从一级缓存或二级缓存里读数据与从寄存器、内存里面读数据相比哪个速度最快 A、一级缓存B、寄存器C、二级缓存D、内存 我的答案B 6【单选题】存储下次将要执行的指令在代码段的偏移量的是 。 A、EIPB、ESPC、EBPD、EIR 我的答案A 7【单选题】汇编指令中MOV AX[BX1200H]采用的寻址方式是 。 A、直接寻址B、间接寻址C、相对寻址D、基址变址寻址 我的答案C 8【单选题】汇编指令中MOV EAX, [EBXESI] 采用的寻址方式是 。 A、间接寻址B、相对寻址C、基址变址寻址D、相对基址变址寻址 我的答案C 9【单选题】汇编指令中 MOV CL, 05H 采用的寻址方式是 。 A、立即寻址B、直接寻址C、间接寻址D、相对寻址 我的答案A 10【单选题】汇编指令中 MOV [BX], 12H 采用的寻址方式是 。 A、立即寻址B、直接寻址C、间接寻址D、相对寻址 我的答案C 11【单选题】汇编指令中 MOV AL,[3100H] 采用的寻址方式是 。 A、立即寻址B、直接寻址C、间接寻址D、相对寻址 我的答案B 12【单选题】汇编指令中 MOV EAX, [EBXESI1000H] 采用的寻址方式是 。 A、间接寻址B、相对寻址C、基址变址寻址D、相对基址变址寻址 我的答案D 13【单选题】CMP EAX, EAX; 语句执行后ZF寄存器的值为 。 A、0B、1C、不受影响D、-1 我的答案B 14【单选题】汇编指令MOV AX, 01H; AND AX, 02H运行之后AX寄存器里的值为 。 A、0B、1C、2D、3 我的答案A 15【单选题】汇编指令 test AX, AX 的功能是 。 A、零标志位ZF置 1B、零标志位ZF置 0C、检测AX是否为0D、检测AX是否为1 我的答案C 16【单选题】汇编指令 push ebp; mov ebp,esp; 执行之后ESP-EBP的值为 。 A、0B、4C、-4D、8 我的答案A 17【单选题】以下条件转移指令表示检测到标志寄存器ZF为1时转移的指令是 。 A、JEB、JNZC、JGD、JL 我的答案A 18【单选题】以下条件转移指令表示检测到标志寄存器ZF为0时转移的指令是 。 A、JEB、JNEC、JLD、JG 我的答案B 19【单选题】以下程序返回前bx中的值是 。 assume cs:code code segment start: mov ax,1 mov cx,3 call s mov bx,ax ;(bx) ? mov ax,4c00h int 21h s: add ax,ax loop s ret code ends end start A、3B、8C、0D、4c00h 我的答案B 20【单选题】对于如下代码int * p1new int[200]; char * p2new char[30]; 下列说法正确的是 。 A、所申请的内存将分配到栈区B、所申请的内存将分配到堆区C、p1的值大于p2的值D、p1的值小于p2的值 我的答案B 二. 多选题共1题 21【多选题】对于如下代码int * p1new int[200]; char * p2new char[30]; 下列说法正确的是 。 A、所申请的内存将分配到栈区B、所申请的内存将分配到堆区C、p1的值大于p2的值D、p1的值小于p2的值E、p1的值和p2的值大小无法确定 我的答案BE PE文件的文件节对齐粒度是 。提示采用16进制填写大写H表示。 正确答案: 200H; 0x200H PE文件的内存节对齐粒度是 。提示采用16进制填写大写H表示。 正确答案: 1000H; 0x1000H 已知PE文件的ImageBase为400000HRVA为1000H那么该PE文件的VA地址是 。提示采用16进制填写大写H表示。 正确答案: 401000H 一. 单选题共7题 1【单选题】能有效阻止非代码区的植入的恶意代码执行的技术是 。 A、ASLRB、GS Stack ProtectionC、SEHOPD、DEP 我的答案D 2【单选题】下列不可以作为跳板的指令是 。 A、Jmp espB、Mov eax, esp; jmp eaxC、Mov eax, ebp; jmp ebpD、Jmp ebp 我的答案C 3【单选题】执行以下指令后EDX寄存器值为 。 ESP - ???????? POP EAX # RETN 0x00000001 ???????? ADD EAX, 2 # RETN ???????? XCHG EAX,EDX # RETN A、0B、1C、2D、3 我的答案D 4【单选题】 技术是一项缓冲区溢出的检测防护技术。 A、ASLRB、GS Stack ProtectionC、DEP D、SafeSEH 我的答案B 5【单选题】SEH攻击是指通过栈溢出或者其他漏洞使用精心构造的数据覆盖SEH上面的某个函数或者多个函数从而控制 。 A、EBPB、ESPC、EIPD、DEP 我的答案C 6【单选题】 是一项通过将系统关键地址随机化,从而使攻击者无法获得需要跳转的精确地址的技术。 A、ASLRB、DEPC、SEHD、SafeSEH 我的答案A 7【单选题】VC编译器中提供了一个/GS编译选项如选择该选项编译器针对函数调用和返回时添加保护和检查功能的代码在函数被调用时在缓冲区和函数返回地址增加一个32位的随机数 在函数返回时调用检查函数检查该值是否有变化。 A、DEPB、SEHC、GS Stack ProtectionD、security_cookie 我的答案D 一. 单选题共10题 1【单选题】触发漏洞、将控制权转移到目标程序的是 。 A、shellcodeB、exploitC、payloadD、vulnerability 我的答案C 2【单选题】下列不属于对Shellcode进行编码的原因的是 。 A、字符集差异B、绕过安全检测C、绕过坏字符D、绕过返回地址 我的答案D 3【单选题】能有效阻止非代码区的植入的恶意代码执行的技术是 。 A、ASLRB、GS Stack ProtectionC、SEHOPD、DEP 我的答案D 4【单选题】下列不可以作为跳板的指令是 。 A、Jmp espB、Mov eax, esp; jmp eaxC、Mov eax, ebp; jmp ebpD、Jmp ebp 我的答案C 5【单选题】执行以下指令后EDX寄存器值为 。 ESP - ???????? POP EAX # RETN 0x00000001 ???????? ADD EAX, 2 # RETN ???????? XCHG EAX,EDX # RETN A、0B、1C、2D、3 我的答案D 6【单选题】 技术是一项缓冲区溢出的检测防护技术。 A、ASLRB、GS Stack ProtectionC、DEP D、SafeSEH 我的答案B 7【单选题】通过精心构造攻击者通过缓冲区溢出覆盖 中异常处理函数句柄将其替换为指向恶意代码shellcode的地址并触发相应异常从而使程序流程转向执行恶意代码。 A、GS B、ASLRC、DEPD、SEH 我的答案D 8【单选题】SEH攻击是指通过栈溢出或者其他漏洞使用精心构造的数据覆盖SEH上面的某个函数或者多个函数从而控制 。 A、EBPB、ESPC、EIPD、DEP 我的答案C 9【单选题】 是一项通过将系统关键地址随机化,从而使攻击者无法获得需要跳转的精确地址的技术。 A、ASLRB、DEPC、SEHD、SafeSEH 答案A 10【单选题】VC编译器中提供了一个/GS编译选项如选择该选项编译器针对函数调用和返回时添加保护和检查功能的代码在函数被调用时在缓冲区和函数返回地址增加一个32位的随机数 在函数返回时调用检查函数检查该值是否有变化。 A、DEPB、SEHC、GS Stack ProtectionD、security_cookie 我的答案D 漏洞也称为 。 正确答案: C A. Hole B. Fault C. Vulnerability D. Weakness 发生缓冲区溢出的主要原因是 。 正确答案: D A. 缺少堆栈安全检查机制 B. 栈地址是从低地址向高地址增长 C. 栈帧结构设计不合理 D. 未对边界进行检查 DWORD SHOOT攻击是指 。 正确答案: B A. 能够读取任意位置内存数据的攻击 B. 能够向任意位置内存写入任意数据的攻击 C. 能够向任意位置内存写入任意数据、并能读取任意位置内存数据的攻击 D. 以上都不对 SEH结构存在于 。 正确答案: B A. 堆区 B. 栈区 C. 寄存器 D. 代码区 以下程序利用溢出漏洞执行why_here函数下划线处需要填入 。 void why_here(void) { printf(why u r here?!\n); exit(0); } void f() { int buff; int * p buff; ________ (int)why_here; } int main(int argc, char * argv[]) { f(); return 0; } 正确答案: D A. p[0] B. p[1] C. buff[2] D. p[2] 在1996年Aleph One在Underground发表了著名论文《SMASHING THE STACK FOR FUN AND PROFIT》其中详细描述了Linux系统中栈的结构和如何利用基于栈的缓冲区溢出并在论文中称这段被植入进程的代码为 。 正确答案: A A. shellcode B. Macious Code C. dll D. payload gcc编译器有一种栈保护机制阻止缓冲区溢出如果要关闭这种机制编译时可以使用 参数。 正确答案: C A. -fstack-protector B. -fstack-protector-all C. -fno-stack-protector D. -fstack-protector-explicit 如果要关闭gcc编译器的Warning编译时可以使用 参数。 正确答案: D A. -o B. -S C. -c D. -w 针对以下C语言程序输入 可以使程序出现缓冲区溢出而通过验证码。 #include stdio.h #define PASSWORD 23456789 int verify_password(char * password) { int authenticated; char buffer[8]; //add local buff to be overflowed authenticated strcmp(password, PASSWORD); strcpy(buffer, password); return authenticated; } void main() { int valid_flag 0; char password[1024]; while(1) { printf(请输入密码: ); scanf(%s, password); valid_flag verify_password(password); if(valid_flag) { printf (密码不正确!\n\n); } else { printf(恭喜!密码正确你通过了验证\n); break; } } } 正确答案: D A. 23456789 B. 12345678 C. 22222222 D. 33333333 发生栈溢出漏洞时要写入数据的填充方向是 多余的数据就会越过栈帧的基址覆盖基址以上的地址空间。 正确答案: B A. 从高地址向低地址增长 B. 从低地址向高地址增长 C. 不确定 D. 栈中空白区域 以下说法不正确的是 。 正确答案: D A. 对于栈溢出如果栈的返回地址被覆盖当覆盖后的地址是一个无效地址则程序运行失败。 B. 对于栈溢出如果覆盖返回地址的是恶意程序的入口地址则源程序将转向去执行恶意程序。 C. 缓冲区溢出是指程序运行时向固定大小的缓冲区写入超过其容量的数据多余的数据会越过缓冲区的边界覆盖相邻内存空间从而造成溢出。 D. 栈的存取采用先进后出的策略程序用它来保存函数调用时的有关信息如函数参数、返回地址函数中的静态变量存放在栈中。 以下说法不正确的是 。 正确答案: B A. ASLR是一项通过将系统关键地址随机化从而使攻击者无法获得需要跳转的精确地址的技术。 B. ASLR是Windows系统独有的技术。 C. 对于Windows系统ASLR随机化的关键系统地址包括: PE文件(exe文件和dll文件)映像加载地址、堆栈基址、堆地址、PEB和TEBThread Environment Block线程环境块地址等。 D. Shellcode需要调用一些系统函数才能实现系统功能达到攻击目的。操作系统采用ASLR技术使Shellcode攻击难以实现。 以下说法不正确的是 。 正确答案: B A. GS Stack Protection技术是一项缓冲区溢出的检测防护技术。 B. VC编译器中提供了一个/GS编译选项如选择该选项编译器针对函数调用和返回时添加保护和检查功能的代码在函数被调用时在缓冲区和函数返回地址增加一个64位的随机数security_cookie。 C. 硬件DEP需要CPU的支持,需要CPU在页表增加一个保护位NX(no execute)来控制页面是否可执行。 D. Visual Studio编译器提供了一个链接标志/NXCOMPAT可以在生成目标应用程序的时候使程序启用DEP保护。 以下说法不正确的是 。 正确答案: D A. SEH是Windows异常处理机制所采用的重要数据结构链表。程序设计者可以根据自身需要定义程序发生各种异常时相应的处理函数保存在SEH中。 B. 通过精心构造攻击者通过缓冲区溢出覆盖SEH中异常处理函数句柄将其替换为指向恶意代码shellcode的地址并触发相应异常从而使程序流程转向执行恶意代码。 C. SafeSEH就是一项保护SEH函数不被非法利用的技术。 D. 微软在编译器中加入了/SafeSEH选项,采用该选项编译的程序将PE文件中所有非法的SEH异常处理函数的地址解析出来制成一张SEH函数表放在PE文件的数据块中,用于异常处理时候进行匹配检查。 一. 单选题共10题 1【单选题】对于CVE漏洞数据库以下哪一项记录了漏洞对应的CVE编号 A、problemtypeB、configurationsC、impactD、CVE_data_meta 我的答案D 2【单选题】对于漏洞数据库以下哪一项记录了漏洞对应的CWE缺陷名称 A、problemtypeB、CVE_data_metaC、descriptionD、references 我的答案A 3【单选题】以下哪种虚拟化技术是依赖硬件虚拟化技术Intel VT或者AMD V的裸机虚拟化程序使用 Linux 内核作为它的虚拟机管理程序 A、JVM虚拟机B、KVM虚拟机C、Dalvik虚拟机D、ART虚拟机 我的答案B 4【单选题】以下哪种说法不正确 A、CVE是通用漏洞披露。B、CNVD是中国国家信息安全漏洞共享平台。C、CNNVD是中国国家信息安全漏洞库。D、NVD漏洞数据库是中国国家漏洞库。 我的答案D 5【单选题】以下哪种说法是不正确的 A、源代码漏洞检测是指在软件开发的早期阶段通过对源代码进行静态分析来识别潜在的安全漏洞。这种方法不需要运行程序而是通过解析代码结构、数据流和控制流等信息来发现可能存在的问题。B、二进制代码漏洞检测是通过逆向分析静态和动态分析方法编译后的二进制文件如可执行文件、库文件等查找其中可能存在的安全漏洞。这种方法通常用于无法获取源代码的场景。C、漏洞库为每个收录的漏洞分配唯一标识符例如数字或字母数字名称可并且通常以通过网页导出或API来获取数据库中的信息。D、漏洞检测是一种被动的网络安全防御措施通过对网络或主机进行扫描、渗透以及时发现安全漏洞进而给出风险评估报告和漏洞修复建议从而帮助用户掌握系统安全现状、提升系统安全性。 我的答案D 6【单选题】以下哪一种是开源的漏洞扫描软件可以不断从NVT、SCAP、CERT漏洞数据库更新漏洞信息针对已知的漏洞库中的漏洞使用可配置的漏洞扫描引擎从远程检测资产中存在的安全问题。 A、NessusB、NmapC、LynisD、GVM 我的答案D 7【单选题】以下哪一种是基于主机的、开源的安全审计软件 A、MetasploitB、GVMC、LynisD、Nmap 我的答案C 8【单选题】以下哪一个是使用Ruby语言编写的开源的模块化渗透测试平台可用于开发、测试和执行漏洞利用代码。 A、Metasploit ProB、MulvalC、LynisD、MSF 我的答案D 9【单选题】以下哪个软件可以生成漏洞攻击图 A、MulVALB、NessusC、Lynis D、Nmap 我的答案A 10【单选题】MulVAL使用 定义计算机系统上存在的漏洞。 A、Datalog B、Prolog C、OVALD、Python 我的答案C 一. 单选题共5题 1【单选题】特征码是从恶意代码中提取的能够唯一代表某个恶意代码家族或变种并被杀毒软件纳入到特征库的 。 A、一段特别的代码B、字符串C、引入函数节D、字节流 我的答案D 2【单选题】以下不属于恶意代码静态特征的是 。 A、IAT表B、字节码图像化C、调用API函数的时间序列D、angr或IDA工具调试时的基本块 我的答案C 3【单选题】 是FireEye公司开源的静态分析工具通过静态分析二进制文件识别其潜在的攻击模式和功能且能与ATTCK框架战术-技术映射。 A、CAPEB、CAPAC、angrD、Noriben 答案B 4【单选题】 是一个动态二进制插桩工具用于在运行时对程序进行插桩和分析。它可以在不修改源代码的情况下动态地插入自定义代码来监控、分析和修改程序的执行行为。 A、pinB、angrC、CAPAD、cuckoo 我的答案A 5【单选题】 沙箱需要跟ProcMon程序配合才能动态检测恶意代码。 A、cuckooB、CAPEC、NoribenD、pin 我的答案C 以下说法哪一个是不正确的 正确答案: A A. 恶意代码检测本质上是一种多分类任务。 B. 机器学习数据集中的一条记录叫做样本或实例。 C. 当数据集没有标签时也可以仅通过特征进行聚类等分析这种无标签情况的下的机器学习也叫无监督学习问题。 D. 任何一个机器学习方法都是由模型、策略和算法三要素构成。 以下说法不正确的是 。 正确答案: D A. 准确率Accuracy是机器学习分类任务的一种指标。 B. 精确率Precisio是机器学习分类任务的一种指标。 C. 均方误差MSE是机器学习回归任务的一种指标。 D. 混淆矩阵是机器学习回归任务的一种指标。 是Python机器学习核心模型与算法库。 正确答案: B A. skimage B. sklearn C. NumPy D. SciPy 计算欧式距离公式是 。 正确答案: C C. 对于机器学习中“随机森林”说法错误的是 。 正确答案: D A. 随机森林以决策树为弱学习器的集成学习方法。 B. 对于大量决策树组成随机森林然后将每棵树的结果进行综合分类任务可以使用投票法回归任务可使用均值法。 C. 随机森林的实现建立在决策树的基础之上然后通过两个随机性——行抽样和列抽样来构造样本子集并用以训练随机森林的基学习器最后将每个基学习器的预测结果集成得到最终的预测结果。 D. 随机森林采用三种方式来选取最优特征包括信息增益、信息增益比和基尼指数。 一. 单选题共15题 1【单选题】Linux系统的可执行文件格式是 。 A、PE B、ELF C、SH D、 EXE 我的答案B 2【单选题】Linux的可执行文件格式中的节区包含二进制代码部分的是 。 A、.text B、.rodata C、.data D、 .bss 我的答案A 3【单选题】Linux的可执行文件格式中的节区属于只读数据部分的是 。 A、.rdata B、.rodata C、.data D、 .bss 我的答案B 4【单选题】Linux的可执行文件格式中的节区属于已初始化全局变量部分的是 。 A、.rodata B、.data C、.bss D、 .rdata 我的答案B 5【单选题】Linux的可执行文件格式中的节区属于未初始化全局标量部分的是 。 A、.rodata B、.rdata C、.bss D、 .data 我的答案C 6【单选题】以下不属于Silvio西尔维奥填充感染法的病毒是 。 A、Brundle Fly B、POC 病毒 C、LPV 病毒 D、 Shell脚本病毒 我的答案D 7【单选题】以下对于Silvio西尔维奥填充感染法说法不正确的是 。 A、它利用内存中的text段和 data 段之间的填充空间 B、它将病毒体限制在了一个内存分页的大小 C、在 64 位的系统上可执行文件使用较大的分页能容纳将近 2MB 的感染代码 D、 它利用在磁盘上的text 段和 data 段之间的空白区 我的答案D 8【单选题】以下对于逆向 text 感染法说法不正确的是 。 A、 在逆向扩展过程中需要将 text 段的虚拟地址缩减 PAGE_ALIGN(parasite_size) B、32位系统上所允许的最小虚拟映射地址为0x1000因此 text 的虚拟地址最多能扩展到 0x1000 C、64位的系统上默认的 text 虚拟地址通常为 0x400000寄生代码可以占用的空间就可以达到 0x3ff000 字节 D、它是一种PE文件类型病毒感染法 我的答案D 9【单选题】以下对于ClamAV病毒软件说法不正确的是 。 A、ClamAV软件是⼀款 UNIX 下开源的 (GPL) 反病毒⼯具包。 B、ClamAV软件手动更新病毒库的命令是sudo freshclam C、 可以使用sudo service clamav stop 命令停止守护进程 D、ClamAV软件扫描病毒的命令是clamscan 我的答案C 10【单选题】以下对于gdb调试工具说法不正确的是 。 A、 GNU symbolic debugger简称「GDB 调试器」是 Linux 平台下最常用的一款程序调试器。 B、gdb调试器对 C、C、Go、Objective-C、OpenCL、Ada 等多种编程语言提供了支持。 C、使用gdb时需要gcc编译使用带调式信息-g参数。 D、 gdb支持多种CPU架构以及文件格式 我的答案D 11【单选题】以下对于radare2工具说法不正确的是 。 A、它是个基于命令行的逆向工具包括反汇编、分析数据、打补丁、比较数据、搜索、替换、虚拟化等等它可以运行在几乎所有主流的平台Linux, Windows, iOS并且支持很多的CPU架构以及文件格式。 B、radare2不只是一个工具而是一个框架是众多逆向分析工具的组合。 C、 radare2是主程序可以用于通过一系列的命令对文件进行分析与调试还支持多种语言如Python、Ruby的脚本调用。 D、 对于radare2中的命令都可以在命令前加一个?来获取使用说明。 我的答案D 12【单选题】以下关于木马病毒的分类说法不正确的是 。 A、远程访问型木马是现在最广泛的特洛伊木马。 B、 密码发送型木马不会在每次Windows重启时都自动加载它们大多数使用25号端口发送电子邮件。 C、键盘记录型木马随着Windows的启动而启动知道受害者在线并且记录每一个用户事件然后通过邮件或其他方式发送给控制者。 D、 毁坏型木马窃取信息并控制对方计算机。 我的答案D 13【单选题】以下对于木马植入技术说法不正确的是 。 A、 缓冲区溢出攻击是植入木马最常用的手段。据统计通过缓冲区溢出进行的攻击占所有系统攻击总数的80%以上。 B、缓冲区溢出((Buffer Overflow)指的是一种系统攻击的手段通过往程序的缓冲区写超出其长度的内容造成缓冲区的溢出从而破坏程序的堆栈使程序转而执行其它指令以达到攻击的目的。 C、往缓冲区中填东西造成它溢出出现出现Segmentation fault错误达到植入木马攻击的目的。 D、 如果在溢出的缓冲区中写入我们想执行的代码再覆盖函数返回地址的内容使它指向缓冲区的开头就可以达到运行其它指令的目的。 我的答案C 14【单选题】以下对于HOOK技术说法不正确的是 。 A、 在Windows 操作系统里面应用程序只能处理来自进程内部的消息或是从其他进程发过来的消息如果需要对在进程外传递的消息进行拦截处理就必须采取一种被称为API HOOK钩子的技术。 B、钩子的本质是一段用以处理系统消息的程序通过系统调用将其挂入到系统在对特定的系统事件(比如键盘事件)进行Hook。 C、在Windows 操作系统里面API是指由操作系统提供功能的、由应用程序调用的函数。 D、 API HOOK技术是一种用于改变API执行结果的技术Microsoft 自身也在Windows操作系统里面使用了这个技术如Windows兼容模式等。 我的答案A 15【单选题】以下对于Rootkit技术说法不正确的是 。 A、 Rootkits最早是一组用于UNIX操作系统的工具集黑客使用它们隐藏入侵活动的痕迹。 B、Rootkit工作在内核态可以修改内核的数据结构达到隐藏文件和进程的目的。 C、用户态Rootkit使得杀毒软件失效。 D、 用户态Rootkit通常通过释放动态链接库DLL文件并将它们注入到其它软件及系统进程中运行通过HOOK方式对消息进行拦截使得检测程序返回错误的信息达到隐藏文件和进程的目的。 我的答案C 阅读论文并回答问题实验8相关论文中的论文“基于CFG和TTP的恶意软件分析技术_李镇山.caj”中所采用的“基于CFG_API 图的恶意软件分类方法”是一种 的分类方法。 正确答案: D A. 基于控制流图的静态特征 B. 基于控制流图的动态特征 C. 将CFG图信息融入API函数调用 D. 融合静态特征和动态特征 阅读论文并回答问题实验8相关论文中的论文“基于CFG和TTP的恶意软件分析技术_李镇山.caj”中通过 模型,将恶意软件分类问题转化为 问题。 正确答案: B A. CNNResNet-50 B. 图神经网络图分类 C. CNN卷积网络分类 D. ACFG图分类 阅读论文并回答问题实验8相关论文中的论文“基于CFG和TTP的恶意软件分析技术_李镇山.caj”中通过 沙箱提取恶意软件样本的TTP标签。 正确答案: A A. HYBRID Analysis B. VirusTotal C. 布谷鸟(Cuckoo) D. CAPE 阅读论文并回答问题实验8相关论文中的论文“基于CFG和TTP的恶意软件分析技术_李镇山.caj”中通过对CFG_API图中带有相同TTP标签的节点进行分类让多个节点形成一条或多条执行流从而将恶意软件攻击行为定位在其 的具体执行流中。 正确答案: C A. CFG_API B. API C. CFG D. TTP 阅读论文并回答问题实验8相关论文中的论文“基于CFG和TTP的恶意软件分析技术_李镇山.caj”中基于TTP的恶意软件攻击预测方法将TTP分成 类标签。 正确答案: D A. 14 B. 3 C. 10 D. 9 阅读论文并回答问题实验8相关论文中的论文“基于深度学习的APT攻击检测和溯源研究_王年芳.caj”文中将良性软件、普通恶意软件和 APT恶意软件三类样本放入 中运行,并提取它们的动态行为特征。 正确答案: B A. VirusTotal B. Noriben沙箱 C. CAPE D. CAPA 阅读论文并回答问题实验8相关论文中的论文“基于深度学习的APT攻击检测和溯源研究_王年芳.caj”提出的“改进的APT恶意软件溯源方法”将APT恶意软件的 进行编码,以适应神经网络的处理要求。 正确答案: A A. DLL:API B. API调用序列 C. PE头静态特征 D. DLL 阅读论文并回答问题实验8相关论文中的论文“基于深度学习的APT攻击检测和溯源研究_王年芳.caj”提出的“改进的APT恶意软件检测方法”提取APT恶意软件样本的 动态行为特征。 正确答案: C A. 进程名-操作类型 B. API调用 C. 进程行为、文件行为、注册表行为和网络行为特征 D. API调用序列、进程行为、文件行为、注册表行为和网络行为特征 阅读论文并回答问题实验8相关论文中的论文“基于深度学习的APT攻击检测和溯源研究_王年芳.caj”通过APT恶意软件样本分类方法溯源APT恶意软件家族的实验共分成 类家族。 正确答案: D A. 10 B. 3 C. 2172 D. 12 阅读论文并回答问题实验8相关论文中的论文“基于深度学习的APT攻击检测和溯源研究_王年芳.caj”中提及APT中的高级含义是指APT攻击采用高级的技术手段和攻击工具通常利用 漏洞和 的恶意软件渗透目标系统以规避传统的安全防护措施。 正确答案B A. 通用具有勒索功能 B. 零日定制 C. 通用高级 D. 零日隐藏 一. 单选题共8题 1【单选题】对于Android的APK文件以下哪一种是Java代码编译后产生运行在Dalvik虚拟机上 A、 AndroidManifest.xml B、 resources.arsc C、 META-INF D、 classes.dex 我的答案D 2【单选题】以下说法不正确的是 。 A、 class文件有很多冗余信息dex文件会做去冗余信息的优化。 B、 JVM执行的是.class文件、Dalvik和ART执行的.dex文件。 C、 JVM是基于寄存器Dalvik虚拟机是基于堆栈。 D、 resources.arsc文件是Android的APK文件的资源索引表。 我的答案C 3【单选题】以下说法不正确的是 。 A、 dex文件由3大部分组成文件头、签名区、数据区。 B、Android系统dex文件的文件头包括0x70个字节大小它包含标志、版本号、校验码、sha1签名以及其他一些方法、类的数量和偏移地址等信息。 C、Android系统dex文件的数据区包括类的定义、数据区、链路数据区。 D、Android系统的APK文件实际上是一个压缩包文件。 我的答案A 4【单选题】以下哪种移动智能终端恶意代码能够扣费发送SP业务定制短信并删除发送记录 A、吞钱贪婪鬼 B、 Lasco系列恶意代码 C、白卡吸费魔 D、 Skulls 我的答案C 5【单选题】 系列的手机木马被称为“隐私大盗”木马是一批专偷短信、IMEI手机串号、Google 账号等隐私信息系列手机木马其变种数量超过60 个。 A、Cabir B、索马里海盗 C、X 卧底 D、 DroidDreamLight 我的答案D 6【单选题】第一个攻击手机的病毒是 。 A、VBS.Timofonica B、Cabir C、Skulls D、 Lasco 我的答案A 7【单选题】以下哪种移动智能终端恶意代码能每隔几秒就会偷偷的向你通讯录中的号码发送彩信 A、吞钱贪婪鬼 B、RottenSys C、 “白卡吸费魔”木马 D、DroidDreamLight 系列手机木马 我的答案A 8【单选题】以下哪种手机恶意代码伪装成安卓手机的“系统 Wi-Fi服务”“每日黄历”、“畅米桌面”等应用并通过不定期给用户推送广告或指定APP来盈利 A、RottenSys B、吞钱贪婪鬼 C、 “X 卧底”系列木马 D、 “索马里海盗”木马 我的答案A 阅读论文并回答问题实验11相关论文中的论文“2023 基于集成学习的安卓恶意软件分类的研究与设计_战小裕”安卓恶意软件的植入方式从安装方式上来分 可以划分为( )、 更新包、 偷渡下载等。 正确答案: D A. 拦截包 B. APT安装 C. 应用市场安装 D. 重打包 阅读论文并回答问题实验11相关论文中的论文“2023 基于集成学习的安卓恶意软件分类的研究与设计_战小裕”偷渡式下载类似于 在用户不知情的条件下下载伪装好的恶意软件。 正确答案A A. 钓鱼网站 B. 渗透测试 C. 被动监听 D. 网络攻击 阅读论文并回答问题实验11相关论文中的论文“2023 基于集成学习的安卓恶意软件分类的研究与设计_战小裕” 是指选择当前目标应用程序进行反编译 将恶意负载植入到相关代码 编译后重新提交给应用市场。 正确答案: C A. 重签名 B. 更新包 C. 重打包 D. 重编译 阅读论文并回答问题实验11相关论文中的论文“2023 基于集成学习的安卓恶意软件分类的研究与设计_战小裕”通过反编译工具从全局配置文件和字节码文件中提取了 类敏感静态特征 然后为每个样本生成特征向量。 正确答案: B A. 3 B. 8 C. 2 D. 4 阅读论文并回答问题实验11相关论文中的论文“2023 基于集成学习的安卓恶意软件分类的研究与设计_战小裕”其特征提取方式自于manifestxml文件中的是请求权限、 硬件组件、 APP组件和 。 正确答案: B A. 作者信息 B. 意图过滤器 C. app信息 D. 说明信息 阅读论文并回答问题实验11相关论文中的论文“2023 基于集成学习的安卓恶意软件分类的研究与设计_战小裕”其特征提取方式来自于dex 文件中的代码信息有实际使用权限、 受限API调用、 敏感API调用和 。 正确答案: D A. 漏洞信息 B. 字节码 C. 敏感服务 D. 可疑脚本执行 阅读论文并回答问题实验11相关论文中的论文“2023 基于静态多特征的Android应用重打包多级检测方法研究_付文帅“ 语言是针对Dalvik虚拟机反汇编的语言。在Android系统中Dalvik虚拟机不能直接执行Java虚拟机的class文件而需要将其转换为 文件重新打包整合后才能运行。 正确答案: C A. masm apk B. nasm apk C. smali dex D. 伪JAVA dex 阅读论文并回答问题实验11相关论文中的论文“2023 基于静态多特征的Android应用重打包多级检测方法研究_付文帅“使用 静态分析工具提供的两种方法来提取应用的组件特征。 正确答案: B A. apktool B. Androguard C. JADX D. Bytecodeviewer 阅读论文并回答问题实验11相关论文中的论文“2023 基于静态多特征的Android应用重打包多级检测方法研究_付文帅“提出了一个基于活动关系图的细粒度重打包次级检测框架该框架根据应用的APK文件与应用的主活动使用 工具构建了该应用的活动关系图并提取每个活动节点的特征。 正确答案: A A. Androguard B. apktool C. Android Studio D. JD-Gui 阅读论文并回答问题实验11相关论文中的论文“2023 基于静态多特征的Android应用重打包多级检测方法研究_付文帅“Smali和Java的数据类型一一对应其拥有 种基本数据类型和引用数据类型。 正确答案: C A. 10 B. 16 C. 8 D. 18 阅读论文并回答问题实验11相关论文中的论文“2023 基于静态多特征的Android应用重打包多级检测方法研究_付文帅“Smali代码常见指令invoke-static的含义是 。 正确答案: B A. 赋值静态变量 B. 调用静态函数 C. 调用函数 D. 赋值全局变量 阅读论文并回答问题实验11相关论文中的论文“2023 基于静态多特征的Android应用重打包多级检测方法研究_付文帅“Smali代码常见指令iget-object的含义是 。 正确答案: D A. 对象赋值 B. 创建实例 C. 获取对象 D. 调用对象 一. 单选题共5题 1【单选题】通过伪装成合法的服务或应用来欺骗用户诱导用户提供敏感信息或者直接下载并安装物联网恶意软件。这是哪一种物联网恶意软件的传播机制 A、设备漏洞利用 B、网络钓鱼攻击 C、恶意软件捆绑 D、 物理设备攻击 我的答案B 2【单选题】一旦某些设备被感染它们可以被用来作为僵尸网络的一部分用于发动分布式拒绝服务(DDoS)攻击同时也可以被用来扫描和感染其他易受攻击的物联网设备从而扩大僵尸网络规模。这是哪一种物联网恶意软件的传播方式 A、供应链攻击 B、跨平台恶意代码 C、自动传播机制 D、 Botnet 我的答案D 3【单选题】 )是著名的物联网僵尸网络恶意软件是拥有变种数量最多的家族它能够感染使用出厂默认密码或弱密码设置的物联网设备并将这些设备纳入其僵尸网络中以发动大规模DDoS攻击。 A、Gafgyt B、Pnscan C、Mirai D、 Aidra 我的答案C 4【单选题】 是一种高度复杂的计算机蠕虫首次发现于2010年它主要针对的是伊朗的核设施。Stuxnet能够利用多个零日漏洞并且是首个已知的专门设计来对物理设备造成损害的恶意软件。 A、Stuxnet B、Darlloz C、Havex D、 Industroyer 我的答案A 5【单选题】 是一种针对安全仪表系统SIS的恶意软件。它的目标是破坏工厂的安全机制可能导致严重的物理伤害或环境灾难。这种恶意软件在2017年被发现时引起了广泛的关注。 A、PLC-Blaster B、BlackEnergy C、Triton D、 CrashOverride 我的答案C 阅读论文并回答问题实验11相关论文中的论文“2024 基于家族感知的图表示学习安卓恶意软件家族分析_曾开发” 恶意代码家族是一种安卓恶意软件家族通常通过钓鱼网站、欺诈短信或者植入感染的应用程序进行传播。它主要用于推送广告、窃取用户信息或者欺骗用户进行付款还通常会伪装成合法的应用程序,诱导用户下载并安装,然后在后台进行恶意活动。 正确答案: D A. Plankton B. DroidKungfu C. FakeInstaller D. Ginmaster 阅读论文并回答问题实验11相关论文中的论文“2024 基于家族感知的图表示学习安卓恶意软件家族分析_曾开发” 恶意代码家族是一种安卓恶意软件,主要通过钓鱼网站、欺诈短信或者植入感染的应用程序进行传播。一旦感染还可以窃取用户的敏感信息、监视用户活动、 发送恶意短信或者欺骗用户进行付款等行为。 正确答案: C A. FakeInstaller B. Opfake C. Plankton D. Ginmaster 阅读论文并回答问题实验11相关论文中的论文“2024 基于家族感知的图表示学习安卓恶意软件家族分析_曾开发” 恶意代码家族通过root移动设备来获取信息,后台静默下载恶意应用, 通常为了逃避检测软件对于电量消耗的监控而运行在晚上设备充电的时候。 正确答案: B A. BaseBridge B. DroidDream C. HummingBad D. Anubis 阅读论文并回答问题实验11相关论文中的论文“2024 基于家族感知的图表示学习安卓恶意软件家族分析_曾开发”安卓恶意代码文件结构中so文件是一种 。 正确答案: A A. 动态链接库文件 B. 清单文件 C. 反汇编文件 D. 字节码 阅读论文并回答问题实验11相关论文中的论文“2024 基于家族感知的图表示学习安卓恶意软件家族分析_曾开发”安卓恶意代码文件结构中清单文件声明了应用程序的各种组件,包括 。 正确答案: C A. 基本信息、权限要求、组件声明等 B. 设置、参数、链接、URL等 C. 活动、服务、广播接收器和内容提供者 D. dex、Smali、JAVA、so文件等 阅读论文并回答问题实验11相关论文中的论文“2024 基于家族感知的图表示学习安卓恶意软件家族分析_曾开发”使用 建模成的函数调用图进分类实验。 正确答案: D A. androguard逆向分析得到的函数调用关系 B. 伪JAVA代码的API之间的调用关系 C. 伪C代码的API之间的调用关系 D. smali代码中的API之间的调用关系 阅读论文并回答问题实验11相关论文中的论文“2024 基于家族感知的图表示学习安卓恶意软件家族分析_曾开发”其实验采用哪两个数据集 正确答案: B A. Drebin、COVA B. Drebin、CICAndMal2017 C. COVA、PraGuard D. PraGuard、CICAndMal2017 阅读论文并回答问题实验11相关论文中的论文“2024 基于家族感知的图表示学习安卓恶意软件家族分析_曾开发”其实验使用 对函数调用图进行可视化分析。 正确答案: C A. Apktool B. Scikit-learn C. NetworkX D. PyTorch 阅读论文并回答问题实验11相关论文中的论文“2024 基于家族感知的图表示学习安卓恶意软件家族分析_曾开发”其实验使用 搭建图神经网络。 正确答案: A A. DGL B. Transformer C. GNN D. GAT 阅读论文并回答问题实验11相关论文中的论文“2022 基于关键流量图像的Android恶意软件检测与分类_彭钰杰”指出安卓操作系统结构从上到下分别是 。 正确答案: D A. 应用软件层、应用支持层、网络库层和Linux内核层 B. 应用软件层、运行库层、网络库层和Linux内核层 C. 应用软件层、运行库层、应用支持层和安卓内核层 D. 应用软件层、应用支持层、运行库层和Linux内核层 阅读论文并回答问题实验11相关论文中的论文“2022 基于关键流量图像的Android恶意软件检测与分类_彭钰杰” 是编译后的二进制资源文件。 正确答案: B A. classes.dex B. resoureces.arx C. res D. META-INF 阅读论文并回答问题实验11相关论文中的论文“2022 基于关键流量图像的Android恶意软件检测与分类_彭钰杰” 恶意软件家族窃取用户IMEI信息,私自拨打电话消耗话费,并屏蔽运营商正常短信。 正确答案: B A. GinMaster B. Kmin C. Plankton D. FakeInstaller 阅读论文并回答问题实验11相关论文中的论文“2022 基于关键流量图像的Android恶意软件检测与分类_彭钰杰”其采用 生成关键流量图像对Android恶意软件进行检测和分类。 正确答案: A A. Android恶意软件在运行时产生的流量 B. Android恶意软件的dex字节码文件 C. Android恶意软件的恶意负载部分 D. Android恶意软件的apk文件 阅读论文并回答问题实验11相关论文中的论文“2022 基于关键流量图像的Android恶意软件检测与分类_彭钰杰”其关键流量图像的分析通过 工具抓取记录并存储为 格式的文件以供分析。 正确答案: C A. Tcpdump、dump B. wireshark、PCAP C. Tcpdump、PCAP D. wireshark、dump 阅读论文并回答问题实验11相关论文中的论文“2022 基于关键流量图像的Android恶意软件检测与分类_彭钰杰”第一方流量是指 。 正确答案: A A. 安卓恶意软件的恶意行为产生的流量 B. 社交网络服务产生的流量 C. 不包含恶意行为的流量 D. 内容分发服务产生的流量 阅读论文并回答问题实验11相关论文中的论文“2022 基于关键流量图像的Android恶意软件检测与分类_彭钰杰”采用 算法清洗第三方流量。 正确答案: B A. 网络会话切分 B. 滑动聚类 C. 流量关键帧 D. 均值漂移 阅读论文并回答问题实验11相关论文中的论文“2022 基于关键流量图像的Android恶意软件检测与分类_彭钰杰”其数据集采用 该数据集中共收集了1700个从GooglePlay应用商店获取的良性软件以及约400个恶意软件的流量数据,并以PCAP文件的格式进行存储。 正确答案: A A. CICAndMal2017 B. Drebin C. PraGuard D. COVA 阅读论文并回答问题实验11相关论文中的论文“2022 基于关键流量图像的Android恶意软件检测与分类_彭钰杰”其分类评价标准采用 。 正确答案: D A. TP, FP, TN, FN B. 宏精确率、宏召回率 C. 混淆矩阵 D. 准确率、 精确率、召回率以及F-度量 一. 单选题共6题 1【单选题】以下哪一项不能体现APT恶意软件隐蔽性强的特点 A、 使用根套接字、加密通信、反向连接等技术来规避入侵检测系统在通信方面的监测。 B、 利用合法软件的漏洞或潜在的安全弱点隐藏于合法软件中。 C、 使用信息隐藏技术将恶意负载隐藏在图像等非可执行性文件中以此逃避反病毒软件的查杀。 D、 将自己植入系统的关键组件中以确保在系统重启后仍然存在并且能够自动恢复和继续其恶意行为。 我的答案D 2【单选题】2018年10月APT组织海莲花(OceanLutus)在一次攻击中使用了隐写技术。该攻击使用的恶意软件加载器模拟 软件下一个名为McVsoCfg.dll的动态链接库文件该文件尝试使用“白利用”手法将自身加载运行即尝试通过合法的On Demand Scanner可执行文件加载自身。 A、McAfee B、Windows C、Linux D、 Vistual Studio 我的答案A 3【单选题】2018年10月APT组织海莲花(OceanLutus)在一次攻击中使用了隐写技术。恶意软件使用一幅彩色的PNG图片来加载攻击载荷(Payload)该图片与McVsoCfg.dll在同一目录下名为x5j3trra.Png。 这幅图片来自 中的人物。 A、哪吒 B、哈利波特 C、名侦探柯南 D、 多啦A梦 我的答案C 4【单选题】2018年10月APT组织海莲花(OceanLutus)在一次攻击中使用了隐写技术。该隐写技术使用了 信息隐藏算法。 A、DCT B、LSB C、深度神经网络 D、 DeepLock 我的答案B 5【单选题】APT恶意软件可以使用 技术实现无文件攻击。 A、LSB信息隐藏 B、DeepLock C、Rootkit D、 PowerShell 我的答案D 6【单选题】 APT攻击最早由 于2006年提出。 A、美国国家标准与技术研究院 B、美国国防部的网络情报中心 C、中国国家信息安全漏洞库 D、 中国国家网络安全中心 我的答案B 阅读论文并回答问题实验15相关论文中的论文“基于Linux系统的嵌入式设备漏洞自动化检测技术研究_温杰”主要采用 的方法检测嵌入式设备漏洞。 正确答案: A A. 静态检测 B. 动态检测 C. 静态检测与动态检测相结合 D. 动态自动化检测 阅读论文并回答问题实验15相关论文中的论文“基于Linux系统的嵌入式设备漏洞自动化检测技术研究_温杰”通过静态解析 Linux启动脚本构建 调用树来发现telnet、ssh等后门程序的方法。 正确答案: D A. Shellcode B. API C. 函数 D. Shell 阅读论文并回答问题实验15相关论文中的论文“基于Linux系统的嵌入式设备漏洞自动化检测技术研究_温杰”提到一些厂家也会自制其专有的后门程序比如2014发现的磊科全系列路由器53413端口后门漏洞。在开机启动脚本rcS中,磊科路由器自动启动“ ”, 该程序监听UDP 53413端口并验证硬编码密码“netcore”,验证成功后使用system函数执行输入的命令。 正确答案: B A. /etc/init.d B. /bin/igdmptd C. /etc/rc.local D. /etc/systemd/system 阅读论文并回答问题实验15相关论文中的论文“基于Linux系统的嵌入式设备漏洞自动化检测技术研究_温杰”提到嵌入式设备所用的操作系统种类也非常多,常见的包括Linux、VxWorks、Windows CE、eCos、FreeRTOS等。其中,基于Linux系统的嵌入式设备数量最多,根据A Costin 等人对大规模固件的分析,在他们收集的固件中有 基于Linux系统。 正确答案: C A. 91% B. 75% C. 86% D. 60% 阅读论文并回答问题实验15相关论文中的论文“基于Linux系统的嵌入式设备漏洞自动化检测技术研究_温杰”提到 是一个著名的固件解包工具,整合了各种解压缩工具,并使用模式匹配定位、切割、解压文件并且使用简单,只需要执行“-e”命令即可提取大部分已知固件中的文件。 正确答案: D A. apktool B. IDA C. Ghidra D. binwalk 阅读论文并回答问题实验15相关论文中的论文“基于Linux系统的嵌入式设备漏洞自动化检测技术研究_温杰”提到对于基于Linux系统的嵌入式设备工业界与学术界最常使用的仿真器是开源仿真器 很多仿真工具都是建立在这个仿真器之上。 正确答案: B A. Costin B. qemu C. FirmAE D. Firmadyne 阅读论文并回答问题实验15相关论文中的论文“基于Linux系统的嵌入式设备漏洞自动化检测技术研究_温杰”为挖掘基于Linux系统的嵌入式设备的后门、命令注入、缓冲区溢出和访问控制缺陷漏洞该论文设计并实现了自动化漏洞挖掘框架 正确答案: D A. taint_analyse B. SaTC C. KARONTE D. FSTaint 阅读论文并回答问题实验15相关论文中的论文“基于Linux系统的嵌入式设备漏洞自动化检测技术研究_温杰”用于测试的两个数据集共有 个固件。 正确答案: B A. 38 B. 75 C. 37 D. 7 阅读论文并回答问题实验15相关论文中的论文“嵌入式设备固件的安全性分析_吴华茂”该论文设计和实现了一种用于分析 嵌入式设备固件的 安全性分析框架,以验证设备提供的用户态网络服务的安全性。 正确答案: D A. Linux、静态与动态相结合 B. Linux、静态 C. ARM、静态与动态相结合 D. ARM、动态 阅读论文并回答问题实验15相关论文中的论文“嵌入式设备固件的安全性分析_吴华茂”提到 是一个基于QEMU的全系统动态分析引擎用于对软件的快速逆向工程论文在这个动态分析框架的基础上实现了一个用于模拟嵌入式设备的环境。 正确答案: D A. AVATAR B. angr C. VEX IR D. PANDA 阅读论文并回答问题实验15相关论文中的论文“嵌入式设备固件的安全性分析_吴华茂”该论文基于 二进制分析框架实现了一个运行轨迹分析脚本,该脚本可还原程序在运行过程过程中的高级语义操作,并通过启发式算法寻找程序出错的原因。 正确答案: C A. PANDA B. qemu C. angr D. pin 阅读论文并回答问题实验15相关论文中的论文“嵌入式设备固件的安全性分析_吴华茂”该论文收集了 个来自各个厂商的嵌入式设备固件,对其内部的Web服务守护程序进行分析测试 正确答案: D A. 208 B. 148 C. 95 D. 223 阅读论文并回答问题实验15相关论文中的论文“嵌入式设备固件的安全性分析_吴华茂”提到为生成磁盘镜像ARM-X则使用 共享的方式将根文件系统目录共享给运行于模拟器的定制Linux系统中。 正确答案: B A. Samba B. NFS C. SquashFS D. J2FF2 阅读论文并回答问题实验15相关论文中的论文“嵌入式设备固件的安全性分析_吴华茂”提到为生成磁盘镜像该论文与 采用相同的方式,即把固件的根文件系统打包为一个磁盘镜像。 正确答案: D A. FirmAE B. Firmware Analysis Toolkit (FAT) C. qemu D. Firmadyne 阅读论文并回答问题实验15相关论文中的论文“嵌入式设备固件的安全性分析_吴华茂”被分析的服务守护程序在一个基于固件根文件系统的( )环境中运行。它是在unix系统的一个操作,针对正在运作的软件进程和它的子进程改变它外显的根目录。一个运行在这个环境下,经由它设置根目录的程序不能对这个指定根目录之外的文件进行访问动作。 正确答案: A A. chroot B. root C. binwalk D. bin 阅读论文并回答问题实验15相关论文中的论文“嵌入式设备固件的安全性分析_吴华茂”提到嵌入式设备常常使用 作为主要的存储介质。由于它是一种具备写入寿命的存储介质,设备厂商会使用各种手段减少它的写入以提高其耐久性,其中最常用的方法就是使用只读文件系统。 正确答案: C A. SRAM B. ROM C. 闪存 D. SSD 阅读论文并回答问题实验15相关论文中的论文“嵌入式设备固件的安全性分析_吴华茂”提到在设备加电启动时Linux内核把文件系统的内容加载到内存,然后将内存中的文件系统挂载为根文件系统。所有对该文件系统的更改 (如生成日志、临时文件等)都将保存于内存中而对设备配置的更改则存放于 的特殊内存中,此种内存中保存的数据不会随着设备断电而丢失。 正确答案: D A. SRAM B. RAM C. SSD D. NVRAM 阅读论文并回答问题实验15相关论文中的论文“嵌入式设备固件的安全性分析_吴华茂”该论文使用动态安全分析框架分析一些嵌入式设备固件中的 服务守护程序。 正确答案: D A. SSH B. telnet C. Samba、NFS D. Web
