呵乔渭闯婪牢痛虑扛效棠萍签
C1 课程介绍及软件安全概述 C1 单元测试
1、 在你看来,信息系统存在安全问题的本质原因是:
答案: 信息资产具有价值
2、 如果要理解Windows下恶意代码在感染程序过程可能涉及到的目标程序的图标修改机理,我们需要重点学习本课程的哪一部分内容?
答案: 第3、4周 PE文件格式与实践
3、 Safety和Security都是安全的含义,但是他们却存在差异,以下事件中属于Security范畴的是?
答案: 计算机病毒爆发导致电脑数据丢失
4、 在本章第一个勒索邮件案例中,如果被勒索人的电脑摄像头拍摄信息被他人获取,这危害了信息的什么属性?
答案: 保密性
5、 在信息安全模型PDR中,D是指?
答案: Detection
6、 以下关于恶意软件的说法,正确的是?
答案: 恶意软件是指设计目的是为了实现特定恶意功能的一类程序。
7、 以下哪个恶意代码主要用于窃取伊朗工业控制系统数据?推荐阅读:震网事件的九年再复盘与思考(作者:antiylab)
答案: Duqu
8、 在震网(StuxNet)蠕虫的攻击事件中,以下哪个漏洞用于进入与互联网隔离的内网之中?推荐阅读:震网事件的九年再复盘与思考(作者:antiylab)
答案: MS10-046:快捷方式文件解析漏洞
9、 在以下防护工具或系统中,可有效用于隔离安全风险的是?
答案: VMWare;
SandboxIE
10、 以下哪些属于电脑被感染恶意软件后可能导致的后果?
答案: 屏幕操作被录像;
键盘击键被记录;
电脑资料被盗
C2 计算机引导与磁盘结构等 C2 单元测试
1、 在传统BIOS的MBR引导模式下,以下关于Windows操作系统引导过程的顺序,正确的是?
答案: BIOS -> MBR ->DBR ->NTLDR(BOOTMGR)
2、 80X86处理器的常态工作处理模式是?
答案: 保护模式
3、 PAE内存分页模式下,在进行虚拟地址到物理地址转化计算中,一个32位虚拟地址(线性地址)可以划分为4个部分:页目录指针表项(PDPTE)、页目录表项(PDE)、页表项(PTE),以及页内偏移。32位虚拟地址0x00403016对应的PDE=__。
答案: 2
4、 硬盘中线性逻辑寻址方式(LBA)的寻址单位是?
答案: 扇区
5、 在MBR分区格式下,一个分区大小不能超过______TB。
答案: 2
6、 NTFS文件系统下,如果一个文件较大,NTFS将开辟新空间存放File的具体数据,其通过文件记录(File Record)中的___指明各部分数据的起始簇号和占用簇的个数?
答案: Data Run
7、 NTFS文件系统中,文件内容的存放位置是?
答案: MFT或数据区
8、 在FAT32分区下,当文件被放入回收站之后,该文件目录项中的以下哪部分数据将发生变化?
答案: 文件名的第一个字节
9、 在FAT32分区下,当文件通过Shift+Del的方式删除之后,以下哪个部分将发生变化?
答案: 目录项中的文件名首字节,首簇高位,以及文件对应的FAT表项
10、 电脑被感染计算机病毒之后,通过更换硬盘可以彻底防止任何病毒再生。
答案: 错误
11、 hello25.exe程序从系统的user32.dll模块中引入了MessageBoxA函数以实现弹框功能。当hello25.exe程序被执行时,user32.dll被装载之后位于进程内存空间的内核区。
答案: 错误
12、 内存内核区的所有数据是所有进程共享的,用户态代码可以直接访问。
答案: 错误
13、 Windows环境下,默认情况下每个进程均可以直接访问其他进程的用户区内存空间。
答案: 错误
14、 并口硬盘的数据线比串口硬盘的数据线宽,显然其传输速度更快。
答案: 错误
15、 磁盘MBR扇区的分区表数据被破坏之后将无法恢复,因此要及时备份MBR扇区所有数据。
答案: 错误
16、 硬盘MBR主引导扇区最后两个字节必须以“55AA”作为结束
答案: 正确
17、 FAT32文件系统进行文件空间分配的最小单位是簇,一个簇通常包含多个扇区。
答案: 正确
18、 当文件被误删除之后,不应继续往该文件所在的分区继续写入数据,否则可能造成被删除的文件被覆盖导致无法恢复。
答案: 正确
19、 在FAT32文件系统中,文件分配表有两份,即FAT1和FAT2,当一个文件被我们误删除之后,我们还可以直接从FAT2中找到对应的簇链表对FAT1进行修复,从而快速恢复该文件。
答案: 错误
20、 通过格式化操作系统所在盘符,可以完全清除系统中的文件型病毒。
答案: 错误
21、 以下是某硬盘的分区表信息(MBR分区格式),通过分析可知,该硬盘的第一个主分区应为______GB。(按1K=1000计算,小数点后保留一位,四舍五入,答案不含单位)
答案: 53.7
22、 下图是某U盘[FAT32文件系统]下某个文件的目录项,由引导扇区参数可知该分区每个簇包含16个扇区[512字节/扇区],由此可计算出该文件共占用_个簇的存储空间?[请填写阿拉伯数字,10进制]
答案: 23
C3 PE文件格式 C3 单元测试
1、 硬盘中PE文件各节之间的空隙(00填充部分)大小,与以下哪个参数的大小息息相关?
答案: FileAlignment
2、 PE文件以下哪个字段指向程序首条指令执行的位置?
答案: AddressOfEntryPoint
3、 本课程C3章节使用的test.exe示例程序在内存中的节对齐粒度是?
答案: 1000H
4、 __节的主要作用是将DLL自身实现的函数信息进行标注,以便于其他程序可以动态调用本DLL文件中的函数。
答案: 引出函数节
5、 现有一PE文件,通过分析其二进制文件,IMAGE_SECTION_HEADER结构的起始地址和结束地址分别为0x1D0和0x270,由此可知该文件的节数量为___。
答案: 4
6、 引入目录表(Import Table)的开始位置RVA和大小位于PE文件可选文件头DataDirecotry结构(共16项)中的第__项。
答案: 2
7、 DLL被引出函数的函数名字符串的RVA存储在引出函数节下的哪个字段指向的表中?
答案: AddressOfNames
8、 如果需要手工从目标PE文件中提取其图标数据并生成.ico文件的话,我们需要从以下哪类型资源中提取数据?
答案: GROUPICON+ICON
9、 DLL文件可能加载到非预期的ImageBase地址,PE文件使用______解决该问题。
答案: 重定位机制
10、 DLL在编译时的初始文件名字符串的RVA存储在引出目录表下的哪个字段中?
答案: Name
11、 Window系统中,.DL.SY.SCR和.OCX文件都属于PE文件格式。
答案: 正确
12、 在PE文件格式中,PE文件头的Signature(即“PE\0\0”)位于MZ DOS头及DosStub之后,32位程序的Signature开始于000000B0位置。
答案: 错误
13、 引出目录表的开始位置就是引出函数节的开始位置,因此找到引出函数节就可以定位到引出目录表。
答案: 错误
14、 一个具有图标和菜单的可执行文件通常都具有资源节。
答案: 正确
15、 PE文件的可选文件头是可选的,可以不要。
答案: 错误
16、 在进行函数引入时,必须在引入函数节部分注明目标函数名字,否则无法进行索引定位。
答案: 错误
17、 DLL文件的编译生成时间存储在其引出函数目录表的时间戳信息中,在针对恶意代码的取证分析过程中,该时间信息对于了解样本出现的开始日期具有一定参考意义。
答案: 正确
18、 每一个PE文件都必须有一个数据节和代码节,且这两个节不可以合并为一个节。
答案: 错误
上方为免费预览版答案,如需购买完整答案,请点击下方红字
点关注,不迷路,微信扫一扫下方二维码
关注我们的公众号:阿布查查 随时查看答案,网课轻松过
为了方便下次阅读,建议在浏览器添加书签收藏本网页
电脑浏览器添加/查看书签方法
1.按键盘的ctrl键+D键,收藏本页面
2.下次如何查看收藏的网页?
点击浏览器右上角-【工具】或者【收藏夹】查看收藏的网页
手机浏览器添加/查看书签方法
一、百度APP添加/查看书签方法
1.点击底部五角星收藏本网页
2.下次如何查看收藏的网页?
点击右上角【┇】-再点击【收藏中心】查看
二、其他手机浏览器添加/查看书签方法
1.点击【设置】-【添加书签】收藏本网页
2.下次如何查看收藏的网页?
点击【设置】-【书签/历史】查看收藏的网页
靶怠滥蹬涤饺渺建派蹈皇湃惭