Linux逆向分析-章节测验

Linux和木马病毒-章节测验

题量: 15 满分: 100.0 截止时间: 2025-06-16 23:59:00

 

第1次作答 本次成绩100分

一. 单选题（共15题）

1

【单选题】Linux系统的可执行文件格式是（       ）。

• A、

  PE

• B、

  ELF

• C、

  SH

• D、

  EXE

我的答案：

B

 

6.6分

AI讲解

2

【单选题】Linux的可执行文件格式中的节区，包含二进制代码部分的是（            ）。

• A、

  .text

• B、

  .rodata

• C、

  .data

• D、

  .bss

我的答案：

A

 

6.6分

AI讲解

3

【单选题】Linux的可执行文件格式中的节区，属于只读数据部分的是（            ）。

• A、

  .rdata

• B、

  .rodata

• C、

  .data

• D、

  .bss

我的答案：

B

 

6.6分

AI讲解

4

【单选题】Linux的可执行文件格式中的节区，属于已初始化全局变量部分的是（            ）。

• A、

  .rodata

• B、

  .data

• C、

  .bss

• D、

  .rdata

我的答案：

B

 

6.6分

AI讲解

5

【单选题】Linux的可执行文件格式中的节区，属于未初始化全局标量部分的是（            ）。

• A、

  .rodata

• B、

  .rdata

• C、

  .bss

• D、

  .data

我的答案：

C

 

6.6分

AI讲解

6

【单选题】以下不属于Silvio（西尔维奥）填充感染法的病毒是（      ）。

• A、

  Brundle Fly

• B、

  POC 病毒

• C、

  LPV 病毒

• D、

  Shell脚本病毒

我的答案：

D

 

6.6分

AI讲解

7

【单选题】以下对于Silvio（西尔维奥）填充感染法，说法不正确的是（         ）。

• A、

  它利用内存中的text段和 data 段之间的填充空间

• B、

  它将病毒体限制在了一个内存分页的大小

• C、

  在 64 位的系统上，可执行文件使用较大的分页，能容纳将近 2MB 的感染代码

• D、

  它利用在磁盘上的text 段和 data 段之间的空白区

我的答案：

D

 

6.6分

AI讲解

8

【单选题】

以下对于逆向 text 感染法，说法不正确的是（        ）。

 

• A、

  在逆向扩展过程中，需要将 text 段的虚拟地址缩减 PAGE_ALIGN(parasite_size)

   

• B、

  32位系统上所允许的最小虚拟映射地址为0x1000，因此， text 的虚拟地址最多能扩展到 0x1000

• C、

  64位的系统上，默认的 text 虚拟地址通常为 0x400000，寄生代码可以占用的空间就可以达到 0x3ff000 字节

• D、

  它是一种PE文件类型病毒感染法

   

我的答案：

D

 

6.6分

AI讲解

9

【单选题】以下对于ClamAV病毒软件，说法不正确的是（           ）。

• A、

  ClamAV软件是⼀款 UNIX 下开源的 (GPL) 反病毒⼯具包。

• B、

  ClamAV软件手动更新病毒库的命令是sudo freshclam    

• C、

  可以使用sudo  service  clamav stop 命令停止守护进程

   

• D、

  ClamAV软件扫描病毒的命令是clamscan  

我的答案：

C

 

6.6分

AI讲解

10

【单选题】以下对于gdb调试工具，说法不正确的是（        ）。

• A、

  GNU symbolic debugger，简称「GDB 调试器」，是 Linux 平台下最常用的一款程序调试器。

   

• B、

  gdb调试器对 C、C++、Go、Objective-C、OpenCL、Ada 等多种编程语言提供了支持。

   

• C、

  使用gdb时，需要gcc编译使用带调式信息-g参数。

• D、

  gdb支持多种CPU架构以及文件格式

我的答案：

D

 

6.6分

AI讲解

11

【单选题】以下对于radare2工具，说法不正确的是（     ）。

• A、

  它是个基于命令行的逆向工具，包括反汇编、分析数据、打补丁、比较数据、搜索、替换、虚拟化等等，它可以运行在几乎所有主流的平台（Linux, Windows, iOS）并且支持很多的CPU架构以及文件格式。

• B、

  radare2不只是一个工具，而是一个框架，是众多逆向分析工具的组合。

• C、

  radare2是主程序，可以用于通过一系列的命令对文件进行分析与调试，还支持多种语言如Python、Ruby的脚本调用。

   

• D、

  对于radare2中的命令，都可以在命令前加一个?来获取使用说明。

我的答案：

D

 

6.6分

AI讲解

12

【单选题】以下关于木马病毒的分类，说法不正确的是（            ）。

• A、

  远程访问型木马是现在最广泛的特洛伊木马。

• B、

  密码发送型木马不会在每次Windows重启时都自动加载，它们大多数使用25号端口发送电子邮件。

   

• C、

  键盘记录型木马随着Windows的启动而启动，知道受害者在线并且记录每一个用户事件，然后通过邮件或其他方式发送给控制者。

• D、

  毁坏型木马窃取信息，并控制对方计算机。

我的答案：

D

 

6.6分

AI讲解

13

【单选题】

以下对于木马植入技术，说法不正确的是（      ）。

 

• A、

  缓冲区溢出攻击是植入木马最常用的手段。据统计，通过缓冲区溢出进行的攻击占所有系统攻击总数的80%以上。

   

• B、

  缓冲区溢出((Buffer Overflow)指的是一种系统攻击的手段，通过往程序的缓冲区写超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其它指令，以达到攻击的目的。

• C、

  往缓冲区中填东西造成它溢出，出现出现Segmentation fault错误，达到植入木马攻击的目的。

• D、

  如果在溢出的缓冲区中写入我们想执行的代码，再覆盖函数返回地址的内容，使它指向缓冲区的开头，就可以达到运行其它指令的目的。

   

我的答案：

C

 

6.6分

AI讲解

14

【单选题】

以下对于HOOK技术，说法不正确的是（           ）。

 

• A、

  在Windows 操作系统里面，应用程序只能处理来自进程内部的消息或是从其他进程发过来的消息，如果需要对在进程外传递的消息进行拦截处理就必须采取一种被称为API HOOK（钩子）的技术。

   

• B、

  钩子的本质是一段用以处理系统消息的程序，通过系统调用，将其挂入到系统，在对特定的系统事件(比如键盘事件)进行Hook。

• C、

  在Windows 操作系统里面，API是指由操作系统提供功能的、由应用程序调用的函数。

• D、

  API HOOK技术是一种用于改变API执行结果的技术，Microsoft 自身也在Windows操作系统里面使用了这个技术，如Windows兼容模式等。

我的答案：

A

 

6.6分

AI讲解

15

【单选题】

以下对于Rootkit技术，说法不正确的是（           ）。

 

• A、

  Rootkits最早是一组用于UNIX操作系统的工具集，黑客使用它们隐藏入侵活动的痕迹。

   

• B、

  Rootkit工作在内核态，可以修改内核的数据结构，达到隐藏文件和进程的目的。

   

• C、

  用户态Rootkit使得杀毒软件失效。

• D、

  用户态Rootkit通常通过释放动态链接库（DLL）文件，并将它们注入到其它软件及系统进程中运行，通过HOOK方式对消息进行拦截，使得检测程序返回错误的信息，达到隐藏文件和进程的目的。

我的答案：

C