计算机病毒分析：在线作业答案解析

"南开大学21春学期《计算机病毒分析》在线作业包含了多项选择题，涉及计算机病毒分析和逆向工程的相关知识。题目涵盖了进程注入、调试器、进程浏览器功能、反汇编窗口、Base64编码、链接方法、OllyDbg的特性、Shell的定义以及恶意代码分析工具和技巧等多个方面。" 1. **进程注入**：shellcode的注入通常指的是直接注入，即将shellcode直接放入目标进程的内存空间中执行，而不是通过DLL或其他方式。 2. **调试器**：能调试内核的调试器是WinDbg，它是一款强大的Windows系统调试工具，用于分析内核模式和用户模式的程序。 3. **进程浏览器**：进程浏览器的功能包括比较DLL列表、验证镜像文件签名，但不包括比较运行前后注册表快照的差异，这是注册表监控工具的功能。 4. **反汇编窗口**：在逆向工程中，操作和分析二进制代码的主要位置是反汇编窗口，这里显示了程序的反汇编代码。 5. **Base64编码**：Base64编码是将二进制数据转化为64个字符的有限字符集，用于在ASCII环境中传输非ASCII数据。 6. **动态链接**：当代码库被动态链接时，操作系统在程序运行时查找并加载所需库，如果程序调用库函数，函数在代码库中执行。 7. **OllyDbg**：OllyDbg是一个著名的调试工具，支持硬件断点，最多可设置4个，可以修改实时数据、插入汇编代码，但填充NOPs并不会永久保存在磁盘上。 8. **Shell**：Shell是一个用户输入命令的解释器，将用户的命令发送给内核执行。 9. **错误的说法**：关于OllyDbg的描述中，错误的是关于填充NOPs的描述，因为填充NOPs不会永久保存在磁盘上，而是只存在于内存中。 10. **GFI沙箱**：GFI沙箱的缺点不包括不能提供安全的虚拟环境，因为沙箱的目的是提供隔离的执行环境。 11. **抓包工具**：Wireshark是一种常用的网络封包分析工具，用于抓取和分析网络通信数据。 12. **位移指令**：在逻辑运算符中，Shr和shl是位移指令，分别表示右移和左移。 13. **OllyDbg注释**：在反汇编窗口中插入跨窗口注释并重复回显，应使用分号（；）键。 14. **SSDT挂钩检测**：检测SSDT（System Service Descriptor Table）挂钩的方法不包括使用查杀病毒软件，因为这通常是反病毒软件的任务。 15. **OllyDump**：OllyDump可以将被调试的进程转储为PE文件，便于分析。 16. **WinINet API**：WinINet API实现了应用层协议，主要用于Windows平台的网络通信。 这些知识点涉及到计算机安全、逆向工程、系统调试和网络分析等核心概念，对于理解计算机病毒分析和系统安全至关重要。