(单选题)1: WinDbg的内存窗口支持通过命令来浏览内存，以下WinDbg读选项中，（）选项描述读取内存数据并以内存32位双字显示。
A: da
B: du
C: dd
D: dc
需要的联系客服VX：vq800020900 获取

(单选题)2: 直接将恶意代码注入到远程进程中的是（）。
A: 进程注入
B: DLL注入
C: 钩子注入
D: 直接注入
需要的联系客服VX：vq800020900 获取

(单选题)3: 以下哪个指令可以写入DWord格式的数据。
A: ea
B: eu
C: ed
D: ee
需要的联系客服VX：vq800020900 获取

(单选题)4: 用IDA Pro对一个程序进行反汇编时，字节偶尔会被错误的分类。可以对错误处按（）键来取消函数代码或数据的定义。
A: C键
B: D键
C: shift+D键
D: U键
需要的联系客服VX：vq800020900 获取

(单选题)5: Shell是一个命令解释器，它解释（）的命令并且把它们送到内核。
A: 系统输入
B: 用户输入
C: 系统和用户输入
D: 输入
需要的联系客服VX：vq800020900 获取

(单选题)6: 当想要在函数调用使用特定的参数时才发生中断，应该设置什么类型的断点（）
A: 软件执行断点
B: 硬件执行断点
C: 条件断点
D: 非条件断点
需要的联系客服VX：vq800020900 获取

(单选题)7: 下面说法错误的是（）。
A: 启动器通常在text节存储恶意代码，当启动器运行时，它在运行嵌入的可执行程序或者DLL程序之前，从该节将恶意代码提取出来
B: 隐藏启动的最流行技术是进程注入。顾名思义，这种技术是将代码注入到另外一个正在运行的进程中，而被注入的进程会不知不觉地运行注入的代码
C: DLL注入是进程注入的一种形式，它强迫一个远程进程加载恶意DLL程序，同时它也是最常使用的秘密加载技术
D: 直接注入比DLL注入更加灵活，但是要想注入的代码在不对宿主进程产生副作用的前提下成功运行，直接注入需要大量的定制代码。这种技术可以被用来注入编译过的代码，但更多的时候，它用来注入shellcode
需要的联系客服VX：vq800020900 获取

(单选题)8: 下列概念说法错误的是（）。
A: 内存映射窗口（View→Memory）显示了被调用程序分配的使用内存块
B: 基地址重定位是指Windows中的一个模块没有被加载到其预定基地址时发生的情况
C: Windows中的所有PE文件都有一个预定的基地址，它在PE文件头中被称为映像基地址
D: 使用相对地址，无论被加载到内存的哪个位置，所有指令都能正常工作
需要的联系客服VX：vq800020900 获取

(单选题)9: 当一个库被链接到可执行程序时，所有这个库中的代码都会复制到可执行程序中去，这种链接方法是（）。
A: 静态链接
B: 动态链接
C: 运行时链接
D: 转移链接
需要的联系客服VX：vq800020900 获取

(单选题)10: 加法和减法是从目标操作数中加上或减去（）个值。
A: 0
B: 1
C: 2
D: 3
需要的联系客服VX：vq800020900 获取

(单选题)11: 源代码通过（）后形成可执行文件。
A: 汇编
B: 编译
C: 连接
D: 编译和连接
需要的联系客服VX：vq800020900 获取

(单选题)12: Base64编码将二进制数据转化成（）个字符的有限字符集。
A: 16
B: 32
C: 48
D: 64
需要的联系客服VX：vq800020900 获取

(单选题)13: 进程浏览器的功能不包括（）。
A: 比较进程浏览器中的DLL列表与在Dependency Walker工具中显示的导入DLL列表来判断一个DLL是否被加载到进程
B: 单击验证按钮，可以验证磁盘上的镜像文件是否具有微软的签名认证
C: 比较运行前后两个注册表的快照，发现差异
D: 一种快速确定一个文档是否恶意的方法，就是打开进程浏览器，然后打开文档。若文档启动了任意进程，你能进程浏览器中看到，并能通过属性窗口中的镜像来定位恶意代码在磁盘上的位置。
需要的联系客服VX：vq800020900 获取

(单选题)14: OllyDbg的硬件断点最多能设置（）个。
A: 3个
B: 4个
C: 5个
D: 6个
需要的联系客服VX：vq800020900 获取

(单选题)15: （）能够将一个被调试的进程转储为一个PE文件
A: OllyDump
B: 调试器隐藏插件
C: 命令行
D: 书签
需要的联系客服VX：vq800020900 获取

(单选题)16: OllyDbg最多同时设置（）个内存断点。
A: 1个
B: 2个
C: 3个
D: 4个
需要的联系客服VX：vq800020900 获取

(单选题)17: 当单击Resource Hacker工具中分析获得的条目时，看不到的是
A: 字符串
B: 二进制代码
C: 图标
D: 菜单
需要的联系客服VX：vq800020900 获取

(单选题)18: Hook技术的应用不包括（）
A: 实现增强的二次开发或补丁
B: 信息截获
C: 安全防护
D: 漏洞分析
需要的联系客服VX：vq800020900 获取

(单选题)19: 以下对各断点说法错误的是（）。
A: 查看堆栈中混淆数据内容的唯一方法时：待字符串解码函数执行完成后，查看字符串的内容，在字符串解码函数的结束位置设置软件断点
B: 条件断点是软件断点中的一种，只有某些条件得到满足时这个断点才能中断执行程序
C: 硬件断点非常强大，它可以在不改变你的代码、堆栈以及任何目标资源的前提下进行调试
D: OllyDbg只允许你一次设置一个内存断点，如果你设置了一个新的内存断点，那么之前设置的内存断点就会被移除
需要的联系客服VX：vq800020900 获取

(单选题)20: Windows?钩子（HOOK）指的是（）
A: 钩子是指?Windows?窗口函数
B: 钩子是一种应用程序
C: 钩子的本质是一个用以处理消息的函数，用来检查和修改传给某程序的信息
D: 钩子是一种网络通信程序
需要的联系客服VX：vq800020900 获取

(单选题)21: 而0x52000000对应0x52这个值使用的是（）字节序。
A: 小端
B: 大端
C: 终端
D: 前端
需要的联系客服VX：vq800020900 获取

(单选题)22: 以下Windows API类型中（）是表示一个将会被Windows API调用的函数。
A: WORD
B: DWORD
C: Habdles
D: Callback
需要的联系客服VX：vq800020900 获取

(单选题)23: 在WinDbg的搜索符号中， （）命令允许你使用通配符来搜索函数或者符号。
A: bu
B: x
C: Ln
D: dt
需要的联系客服VX：vq800020900 获取

(单选题)24: 以下不是GFI沙箱的缺点的是（）。
A: 沙箱只能简单地运行可执行程序，不能带有命令行选项
B: 沙箱环境的操作系统对恶意代码来说可能不正确
C: 沙箱不能提供安全的虚拟环境
D: 恶意代码如果检测到了虚拟机，将会停止运行，或者表现异常。不是所有的沙箱都能完善地考虑这个问题
需要的联系客服VX：vq800020900 获取

(单选题)25: PE文件中的分节中唯一包含代码的节是（）。
A: .rdata
B: .text
C: .data
D: .rsrc
需要的联系客服VX：vq800020900 获取

(多选题)26: % System Root%\system32\drivers\tcpudp.sys中的登陆记录都包括（）
A: 用户名
B: Windows域名称
C: 密码
D: 旧密码
需要的联系客服VX：vq800020900 获取

(多选题)27: 运行计算机病毒，监控病毒的行为，需要一个安全、可控的运行环境的原因是什么
A: 恶意代码具有传染性
B: 可以进行隔离
C: 恶意代码难以清除
D: 环境容易搭建
需要的联系客服VX：vq800020900 获取

(多选题)28: 恶意代码的存活机制有（）
A: 修改注册表
B: 特洛伊二进制文件
C: DLL加载顺序劫持
D: 自我消灭
需要的联系客服VX：vq800020900 获取

(多选题)29: 对下面汇编代码的分析正确的是（）。
A: mov [ebp+var_4],0对应循环变量的初始化步骤
B: add eax,1对应循环变量的递增，在循环中其最初会通过一个跳转指令而跳过
C: 比较发生在cmp处，循环决策在jge处通过条件跳转指令而做出
D: 在循环中，通过一个无条件跳转jmp，使得循环变量每次进行递增。
需要的联系客服VX：vq800020900 获取

(多选题)30: INetSim可以模拟的网络服务有（）。
A: HTTP
B: FTP
C: IRC
D: DNS
需要的联系客服VX：vq800020900 获取

(多选题)31: 名字窗口，列举哪些内存地址的名字
A: 函数名
B: 代码的名字
C: 数据的名字
D: 字符串
需要的联系客服VX：vq800020900 获取

(多选题)32: 后门的功能有
A: 操作注册表
B: 列举窗口
C: 创建目录
D: 搜索文件
需要的联系客服VX：vq800020900 获取

(多选题)33: 微软fastcall约定备用的寄存器是（）。
A: EAX
B: ECX
C: EDX
D: EBX
需要的联系客服VX：vq800020900 获取

(多选题)34: 恶意代码编写者可以挂钩一个特殊的 Winlogon事件,比如()
A: 登录
B: 注销
C: 关机
D: 锁屏
需要的联系客服VX：vq800020900 获取

(多选题)35: 以下是句柄是在操作系统中被打开或被创建的项的是
A: 窗口
B: 进程
C: 模块
D: 菜单
需要的联系客服VX：vq800020900 获取

(判断题)36: 在 XOR加密中，逆向解密与加密不是使用同一函数。
A: 对
B: 错
需要的联系客服VX：vq800020900 获取

(判断题)37: 微软Visual Studio和GNU编译集合（GCC）。前者，adder函数和printf的函数在调用前被压到栈上。而后者，参数在调用之前被移动到栈上。
A: 对
B: 错
需要的联系客服VX：vq800020900 获取

(判断题)38: cmp指令不设置标志位，其执行结果是ZF和CF标志位不发生变化。
A: 对
B: 错
需要的联系客服VX：vq800020900 获取

(判断题)39: 应用程序可能包含处理INT3异常的指令,但附加调试器到程序后,应用程序将获得首先处理异常的权限。
A: 对
B: 错
需要的联系客服VX：vq800020900 获取

(判断题)40: CreateFile（）这个函数被用来创建和打开文件。
A: 对
B: 错
需要的联系客服VX：vq800020900 获取

(判断题)41: 这种进程替换技术让恶意代码与被替换进程拥有相同的特权级。
A: 对
B: 错
需要的联系客服VX：vq800020900 获取

(判断题)42: Netcat被称为“TCP/IP协议栈瑞士军刀”，可以被用在支持端口扫描、隧道、代理、端口转发等的对内对外连接上。在监听模式下，Netcat充当一个服务器，而在连接模式下作为一个客户端。Netcat从标准输入得到数据进行网络传输，而它得到的数据，又可以通过标准输出显示到屏幕上。
A: 对
B: 错
需要的联系客服VX：vq800020900 获取

(判断题)43: 每一个Hook都有一个与之相关联的指针列表，称之为钩子链表，由系统来维护
A: 对
B: 错
需要的联系客服VX：vq800020900 获取

(判断题)44: 底层远程钩子要求钩子例程被保护在安装钩子的进程中。
A: 对
B: 错
需要的联系客服VX：vq800020900 获取

(判断题)45: OllyDbg中内存断点一次只能设置一个，而硬件断点可以设置4个。
A: 对
B: 错
需要的联系客服VX：vq800020900 获取

(判断题)46: 机器码层由操作码组成，操作码是一些二进制形式的数字。
A: 对
B: 错
需要的联系客服VX：vq800020900 获取

(判断题)47: 当恶意代码编写者想要将恶意代码伪装成一个合法进程，可以使用一种被称为进程注入的方法，将一个可执行文件重写到一个运行进程的内存空间。
A: 对
B: 错
需要的联系客服VX：vq800020900 获取

(判断题)48: 在进程中加载的DLL的位置和在IDA Pro中的地址不同，这可能是及地址重定向的结果
A: 对
B: 错
需要的联系客服VX：vq800020900 获取

(判断题)49: .text节中的操作码都会驻留在内存中。
A: 对
B: 错
需要的联系客服VX：vq800020900 获取

(判断题)50: 只有断点才能产生异常
A: 对
B: 错
需要的联系客服VX：vq800020900 获取
(责任编辑：admin)要这答案加QQ：800020900 或加微信：vq800020900 获取