在单CPU系统中,关于进程的叙述正确的是( )。
A.最多只有一个进程处于运行状态
B.只能有一个进程处于就绪状态
C.一个进程可以同时处于就绪状态和等待状态
D.一个处于等待状态的进程一旦分配了CPU,即进入运行状态
进程是操作系统中的重要概念之一。在下列有关Windows 98的进程的叙述中,错误的是
A.进程是操作系统进行资源分配的单位
B.一种应用程序(如MS Word)同时处理多个文档时,系统中仅产生一个进程
C.一个进程可以产生(包含)多个线程
D.用户可以强制性地中止某个进程
在一个采用非抢占式调度策略的系统中,下列哪些因素将引起进程调度?
A.一个进程运行结束
B.运行的进程被阻塞
C.运行的进程所用的时间片到时
D.创建了新的进程
E.进程被唤醒后进入就绪队列
下列关于进程控制的叙述中,不正确的是
A.进程控制是通过原语来实现的
B.一个进程可以使用创建原语创建一个新的进程,前者称为父进程,后者称为子进程
C.创建一个进程的主要任务是建立原语
D.撤销进程的实质是撤销PCB
A. 进程是在多程序环境中的完整的程序
B. 进程可以由程序、数据和进程控制块描述
C. 线程(Thread)是一种特殊的进程
D. 进程是程序在一个数据集合上的运行过程,它是系统进行资源分配和调度的一个独立单元
21春学期(1709、1803、1809、1903、1909、2003、2009、2103)计算机病毒分析在线作业试卷总分:100 得分:100一、单选题 (共 25 道试题,共 50 分)1.注入shellcode属于()。A.进程注入B.DLL注入C.钩子注入D.直接注入答案:D2.能调试内核的调试器是()A.OllyDbgB.IDA ProC.WinDbgD.Process Explorer答案:C3.进程浏览器的功能不包括()。A.比较进程浏览器中的DLL列表与在Dependency Walker工具中显示的导入DLL列表来判断一个DLL是否被加载到进程B.单击验证按钮,可以验证磁盘上的镜像文件是否具有微软的签名认证C.比较运行前后两个注册表的快照,发现差异D.一种快速确定一个文档是否恶意的方法,就是打开进程浏览器,然后打开文档。若文档启动了任意进程,你能进程浏览器中看到,并能通过属性窗口中的镜像来定位恶意代码在磁盘上的位置。答案:C4.以下那个窗口是操作和分析二进制的主要位置,也是反汇编代码所在的地方A.函数窗口B.结构窗口C.反汇编窗口D.二进制窗口答案:C5.Base64编码将二进制数据转化成()个字符的有限字符集。A.16B.32C.48D.64答案:D6.当代码库被链接时,宿主操作系统会在程序被装载时搜索所需的代码库,如果程序调用了被链接的库函数,这个函数会在代码库中执行,这种链接方法是()。A.静态链接B.动态链接C.运行时链接D.转移链接答案:B7.OllyDbg的硬件断点最多能设置()个。A.3个B.4个C.5个D.6个答案:B8.Shell是一个命令解释器,它解释()的命令并且把它们送到内核。A.系统输入B.用户输入C.系统和用户输入D.输入答案:B9.以下说法错误的是()。A.OllyDbg可以很容易修改实时数据,如寄存器和标志。它也可以将汇编形式的修补代码直接插入到一个程序B.OllyDbg可以使用00项或nop指令填充程序C.键单击高亮的条件跳转指令,然后选择BinaryFill with NOPs,该操作产生的结果时NOP指令替换了JNZ指令,这个过程会把那个位置上的NOP永久保存在磁盘上,意味着恶意代码以后会接受任意输入的密钥D.当异常发生时,OllyDbg会暂停运行,然后你可以使用进入异常、跳过异常、运行异常处理 等方法,来决定是否将异常转移到应用程序处理答案:C10.以下不是GFI沙箱的缺点的是()。A.沙箱只能简单地运行可执行程序,不能带有命令行选项B.沙箱环境的操作系统对恶意代码来说可能不正确C.沙箱不能提供安全的虚拟环境D.恶意代码如果检测到了虚拟机,将会停止运行,或者表现异常。不是所有的沙箱都能完善地考虑这个问题答案:C11.下列是抓包的工具是()。A.ApateDNSB.NetcatC.INetSimD.Wireshark答案:D12.以下逻辑运算符中是位移指令的是()A.OR、ANDB.Shr和shlC.ror和rolD.XOR答案:C13.要插入一个跨反汇编窗口,并且在任何时候只要存在对你添加注释的地址的交叉引用就重复回显,应该按()键。A.;B.:C.shiftD.ctrl答案:A14.以下不是检测SSDT挂钩的方法是A.遍历SSDT表B.使用查杀病毒的软件C.查找异常的函数入口地址D.ntoskrnl.exe的地址空间是从804d7000到806cd580答案:B15.()能够将一个被调试的进程转储为一个PE文件A.OllyDumpB.调试器隐藏插件C.命令行D.书签答案:A16.WinINet API实现了()层的协议。A.网络层B.数据链路层C.应用层D.传输层答案:C17.轰动全球的震网病毒是()。A.木马B.蠕虫病毒C.后门D.寄生型病毒答案:B18.在通用寄存器中,()是基址寄存器。A.EAXB.EBXC.ECXD.EDX答案:B19.线程创建需要系统开销,()能够调用一个现有的线程。A.进程注入B.直接注入C.Hook注入D.APC注入答案:D20.当要判断某个内存地址含义时,应该设置什么类型的断点()A.软件执行断点B.硬件执行断点C.条件断点D.非条件断点答案:B21.加法和减法是从目标操作数中加上或减去()个值。A.0B.1C.2D.3答案:B22.若依次压入数字1、2、3、4,则第二次弹出来的会是()。A.1B.2C.3D.4答案:B23.当想要在函数调用使用特定的参数时才发生中断,应该设置什么类型的断点()A.软件执行断点B.硬件执行断点C.条件断点D.非条件断点答案:C24.以下注册表根键中()保存对本地机器全局设置。A.HKEY_LOCAL_MACHINE(HKLM)B.HKEY_CURRENT_USER(HKCU)C.HKEY_CLASSES_ROOTD.HKEY_CURRENT_CONFIG答案:A25.GFI沙箱生成报告不包括哪个小节()。A.分析摘要B.文件活动C.注册表D.程序功能答案:D二、多选题 (共 10 道试题,共 20 分)26.恶意代码作者如何使用DLL()多选A.保存恶意代码B.通过使用Windows DLLC.控制内存使用DLLD.通过使用第三方DLL答案:ABD27.以下对个各个插件说法正确的是()。A.OllyDump是OllyDbg最常使用的插件,它能够将一个被调试的进程转储成一个PE文件B.为了防止恶意代码使用反调试技术,恶意代码分析人员通常在分析恶意代码期间,一直运行调试器隐藏插件C.OllyDbg的命令行插件允许你用命令行来使用OllyDbgD.OllyDbg默认情况下自带书签插件,书签插件可以将一个内存位置加到书签中,利用书签,下次不需要记住就可以轻松获取那个内存地址答案:ABCD28.OllyDbg支持的跟踪功能有()。A.标准回溯跟踪B.堆栈调用跟踪C.运行跟踪D.边缘跟踪答案:ABC29.以下的恶意代码行为中,属于后门的是()A.netcat反向shellB.windows反向shellC.远程控制工具D.僵尸网络答案:ABCD30.后门拥有一套通用的功能,都有以下那些功能?()A.操作注册表B.列举窗口C.创建目录D.搜索文件答案:ABCD31.名字窗口,列举哪些内存地址的名字A.函数名B.代码的名字C.数据的名字D.字符串答案:ABCD32.IDA Pro 都有以下什么功能()。A.识别函数B.标记函数C.划分出局部变量D.划分出参数答案:ABCD33.INetSim可以模拟的网络服务有()。A.HTTPB.FTPC.IRCD.DNS答案:ABCD34.微软fastcall约定备用的寄存器是()。A.EAXB.ECXC.EDXD.EBX答案:BC35.以下哪些是常用的虚拟机软件A.VMware PlayerB.VMware StationC.VMware FusionD.VirtualBox答案:ABCD三、判断题 (共 15 道试题,共 30 分)36.EIP指令指针的唯一作用就是告诉处理器接下来干什么。答案:正确37.检测加密的基本方法是使用可以搜索常见加密常量的工具,我们可以使用IDA Pro的FindCrypt2和Krypto
A.在SQLServerManagementStudio打开一个新的查询窗口,执行以下语句:KILL85
B.在SQLServerManagementStudio打开一个新的查询窗口,执行以下语句:KILL101
C.在SQLServerManagementStudio打开活动监控器,打开进程信息页;右击会话标识85并选择终止进程。
D.在SQLServerManagementStudio打开活动监控器,打开进程信息页;双击会话标识101以显示进程详细信息;点击终止进程按钮。
A.在SQLServerManagementStudio,打开活动监视器,打开进程信息页,查看进程54的阻塞者列信息
B.在SQLServerManagementStudio,打开活动监视器,打开按进程分类的锁页,查看进程54请求模式列
C.在SQLServerManagementStudio,打开新查询窗口并且执行如下语句:SELECT*FROMsys.dm_exec_requestsWHEREsession_id=54然后查看blocking_session_id列
D.在SQLServerManagementStudio,打开新查询窗口并且执行如下语句:SELECT*FROMsys.dm_exec_sessionsWHEREsession_id=54查看status列
关于进程和程序的叙述中,正确的是
A.进程就是程序
B.进程是构成程序的组成部分之一,一个程序运行的目标是执行它所对应的进程
C.程序和进程都是动态的
D.程序是静态的,进程是动态的
下面关于进程的叙述中正确的是( )。
A.进程具有独立性,因此不同的进程间没有联系
B.进程的并发是指各进程同时独立运行的
C.进程的动态性是指进程具有动态的地址空间
D.进程是程序执行过程的概念,一个程序对应一个进程
下面对进程和线程所具有特性的比较中,正确的有( )。
Ⅰ.同一进程中的线程切换不会引起进程切换
Ⅱ.从一个进程中的线程切换到另一个进程中的线程时会引起进程切换
Ⅲ.创建、撤销切换进程时的开销会远大于相应的线程操作
Ⅳ.引入线程的操作系统能更有效地使用资源和提高系统吞吐量
A.Ⅰ和Ⅱ
B.Ⅰ和Ⅲ
C.Ⅰ、Ⅱ和Ⅲ
D.全都是