最近校赛CTF出题，写了些题目 有关于网安专业知识的：比如操作系统、逆向工程的、漏洞、应急响应、计算机网络，当然也有好玩的题目。

ctf出题-网安知识题目

以下哪个是最不需要应急响应的场景

A
A.刚刚入职字节跳动的小明的公司的电脑下载了360流氓套件。

B.浏览量为23000的小红的个人博客网站被植入了暗链。

C.美国白宫首页被篡改了，加上了中国五星红旗的图片。

D.微博系统数据泄露，过亿的用户信息被泄露。

next

我是一个有些菜的白帽子，我想要为家乡网络安全做贡献，以下说法错误的是

A
A.我找了一个家乡的政府网站为它公益测试，找到了xss提交到了某天公益漏洞上，后来民警进行了侦查找到了我，这种情况下某天一定会保我的，不会让警察抓我的。

B.我接了平台上的众测项目，进行授权的测试，这是不会被民警爸爸抓的。

C.渗透测试不授权，临别亲人两行泪。

D.在没有接触过网安的普通人眼里，hacker就类似于盗号的坏家伙，但我深知这是因为道听途说、以讹传讹造成的外界对我们的偏见。

next

一个正在做ctf的选手发出了一句感叹：“我去，为什么这张图片看不到我想要的flag”，以下说法在使用的技术上是可能正确的是

C
A.TA是一个入门选手，没有见过世面，需要多多练习。

B.TA是一个高手，但是出题人比TA更高明，所以TA雇了人代打出题人。

C.出题人使用了图片隐写技术，将真相隐藏在看似平平无奇的图片下。

D.这位ctf选手因为长期打CTF导致头晕眼花，导致一时间没看清，TA需要多多休息，注意身体。

next

关于：Exploit:Java/CVE-2015-2016，以下说法错误的是

C
A.JAVA是代表仅仅面向 Java 中的漏洞的攻击。

B.“2015”是漏洞被发现的年份。

C.“2016”是漏洞被修复的年份。

D.不是做安全方向的人也可以得到CVE证书。

next

PE结构中内存紧挨在一起的不包括以下哪个（）

B
A.DOS头

C.text节

B.PE头

D.节表

next

以下哪个不属于PE文件（）

D
A.sys

B.exe

C.ocx

D.so

next

所有结构体(PE的）保存在头文件（）中，使我们可以详细看结构体组成。

C
A.elf.h

B.pe.h

C.winnt.h

D.PE.h

next

PE结构中，DOS头+PE头+块表大小总和加起来是100h，IMAGE_OPTIONAL_HEADER->FileAlignment=200h，则经过文件对齐后其在硬盘中占的内存是（），

C
A.100h

B.150h

C.200h

D.350h

next

以下PE结构的某些位置可以随意填充“任何”数据，一定不会影响该PE文件的正常运行，以下说法哪个是错误的

D
A.ImageBase=0，388h经过文件对齐后在内存中为400h,所以在388h-400h中可以填充任何我们想要的数据，一定不影响该PE文件的正常运行

B.在DOS头里的DOS Stub填充任何我们想要的数据，一定不影响该PE文件的正常运行

C.节与节之间的内存对齐增加的位置可以填充我们想要的数据，一定不影响PE文件的正常运行

D.将IMAGE_SIZEOF_SHORT_NAME结构中的SizeOfRawData填充任何我们想要的数据，一定不影响PE文件的运行

next

PE文件的指纹特征不包括

D
A.0X4D5A

B.ImageBase=0，0x3C位置处

C.0x5045

D.文件后缀名，比如.exe等

next

以下说法错误的是

A
A.IMAGE_FILE_OPTIONAL_HEADER32->SizeOfHeader决定了（dos头+pe头+块表）文件对齐后的大小，它位于第36字节后4个字节

B.UltraEdit、WinHex、010Editor都是可以对文件进行编辑的工具。

C.通过修改标准PE头中的NumberOfSections（位于IMAGE_FILE_HEADER结构的3、4字节），可以接着进行新增节的操作。

D.PE结构中，存文件对齐的值和内存对齐的值位于相邻位置。

next

PE结构中的（）其实很难阻止攻击者修改文件的目的,但对一些“重要的系统文件”而言也算一道屏障。

A
A.IMAGE_OPTIONAL_HEADER32->CheckSum

B.IMAGE_FILE_HEADER->Machine

C.IMAGE_FILE_OPTIONAL_HEADER32->Magic

D.DOS MZ文件头

next

以下说法错误的是

A
A.一些恶意程序通过修改后缀名进行伪装，可以通过右键属性查看操作系统自身生成的修改时间等查看被病毒修改后缀名的时间。

B.程序反汇编中对应行的代码字节显示6A 00，显示的汇编语言是Push 0，所以6A是Push的一个编码

C.Call硬编码是E8

D.Jmp硬编码是E9

next

以下说法错误的是

C
A.在调试器中（比如OD)，在地址9C132F中输入call 9C137A，所对应的十六进制机器码会显示E8 46000000

B.User32.dll是Win32 API DLL的一部分，是与用户和用户界面相关的库文件。

C.字节对齐和内存对齐的值在PE结构是相邻的。

D.看雪和52是有名的安全网站

next

MessageBox(0, 0, 0, 0)是弹出消息对话框的函数，将只有该函数的一个cpp文件生成exe文件，想要在该exe文件中可以被任意修改的区域添加一段代码，以下说法错误的是

D
A.Windows的MessageBox()是处于User32.dll文件中的，所以我们在OD中可以找出本机User32.dll文件中对应的messageboxA的内存地址.

B.可以在DOS头中的DOS Stub插入我想添加的16进制机器码[由我想实现的汇编指令变成16进制机器码构造而成].

C.普通的壳的思路是隐藏程序的入口处（OEP），一般都是先于程序运行，拿到控制权，然后完成它们保护软件的任务。

D.如果PE的空白区不足以存储完我想要插入的数据，可以扩大节，最好扩大第一个节的空间.

next

以下说法错误的是

C
A.32位没有经过修改的PE扩展头是224字节。

B.PE文件头标识是4字节。

C.修改了文件展开处的16进制机器码：4D 5A 成 00 00，该PE文件仍然可以正常运行。

D.32位没有经过修改的PE拓展头的大小是0xE0，64位没有经过修改的PE拓展头的大小是0xF0.

next

以下说法错误的是

A
A.在IMAGE_FILE_HEADER结构中的TimeDateStamp，这为用于表示该PE文件创建的时间，时间是从国际协调时间也就是1970年01月10日00:00起开始计数的，单位为秒。

B.shellcode为16进制的机器码，因为经常让攻击者获得shell而得名。

C.shellcode不依赖环境，放到任何地方都可以执行。

D.PE结构中的PE拓展头和PE标准头都很重要。

next

一些近期事件，大家共赏。以下说法错误的是

B
A.近期，京东显卡售后竟然不肯维修要原价退款。这种行为很野，影响很恶劣，安全圈里的一些人也在讨论。

B.前段时间Hvv时，由于chrome的远程代码执行漏洞，【PC版微信使用较低版本的Chrome内核】导致微信PC客户端生出了一个高危在野0day漏洞。但是小明我是安装了多种安全杀毒软件在电脑上的人，不用升级PC端微信客户端到3.2.1.141版本以上，也可以完全确保我电脑的安全。

C.今年hvv即将开始之时，某某官方公众号发出通知用户对外的一些服务暂时停运。甲方单位这种方法是治标不治本的，但不失为一个应付hvv实用的方法，而且一些甲方单位也在用这个方法。

D.今年hvv，某安全厂商自己家的产品存在RCE漏洞。当然去年也有其他安全厂商是这个情况。

next

安全圈的大家总是在说挖矿，但是小明我不懂，一点也不懂，就像我不懂股票市场为什么那么多韭菜一样。以下说法错误的是

D
A.我去了一家配备了安全设备的单位监控流量，我发现了挖矿的报警，但是单位里的负责人觉得无关紧要，因为这个挖矿程序占用资源非常少，完全不会造成任何后果->一个”好”的挖矿病毒如果做到了不会影响服务正常运行，那么有些owner可能真的不会清除掉这个病毒。

B.部分网络不法分子趁机浑水摸鱼，利用“挖矿病毒”进行疯狂攻击。一旦成功入侵到用户PC，可能会吞噬电力和拖慢计算能力。

C.挖矿本质上讲，是一个利益驱动的行动，这和炒股行为的本质一样。

D.从最开始的CPU挖矿，到GPU挖矿，FPGA挖矿，ASIC挖矿，最后到大规模集群挖矿，挖矿矿机常常供不应求，但是我们普通用户目前还不能做到通过云算力挖矿，相关平台还没产生。

next

Shellcode是一位大名鼎鼎的人物，以下说法错误的是

D
A.做保护(加壳)和做病毒的人应该都很熟悉它。

B.ShellCode的编写中不能有全局变量、不能使用常量字符串、不能使用系统调用、不能嵌套调用其他函数。

C.shellcode可以按照攻击者执行的位置分为本地shellcode和远程shellcode。

D.把shellcode嵌入到一些特定的进程中，才能够运行。

next

必要的网安专业英语词汇还是要学的，以下有关中英文翻译说法错误的是

C
A.应急响应（Incident Response或者Emergency Response）

B.通用漏洞披露(CVE，Common Vulnerabilityies & Exposures)

C.数字取证(Electric Forensics)

D.恶意代码（Malicious code)

next

应急响应中，PDCERF方法论中包括：准备、检测、抑制等，以下不属于其中的是（）

A
A.复现

B.恢复

C.删除

D.总结

next

依照密码学的知识，小明如果想要攻击一个目标，以下哪个方法最不容易被发现的。[当然被动攻击比主动攻击难被发现]

B
A.伪造

B.窃听

C.重放

D.拒绝服务

next

以下说法错误的是

C
A. 脱壳可以分为：自动脱壳和手工脱壳

B.一些人挖edusrc是冲着证书去的。

C.大多数政府网站牢不可摧，无法被攻破，绝大多数人也不太敢未授权测试它。

D.恶意代码分析有两类基本的方法：静态分析和动态分析。

next

以下说法正确的是

B
A.小明写了一个简单的基于TCP的C/S socket通信程序，但是这是不可以实现间谍软件主要功能的。

B.小明电脑上安装了基于p2p的迅雷下载了一个资源，迅雷的其他用户也想要小明前两天下载的资源是有可能从小明这里下载的。

C.蜜罐技术在红队溯源反制上起到了很大的帮助。

D.简单地使用注册表是不可以修改用户欢迎界面的。

next

电脑中的程序以下的行为中不可疑的是

D
A.电脑一个无需注册码的实现快速截图软件有向网络上传数据的行为。

B.使用了RegShot后发现regedit在某个软件下载前后有很大区别。

C.程序运行之后，HKCU-Software-Microsoft-Windows-CurrentVersion-Run多了该程序的名字。

D.程序的图标很丑，运行时加载很慢。

next

以下说法错误的是

C
A.相较于栈而言，堆可能会造成大量的系统碎片。

B.在数据结构中，堆和栈是两种常见的数据结构。

C.栈（操作系统）：由操作系统自动分配释放 ，存放函数的参数值，局部变量的值等，栈使用的是二级缓存。

D.堆（操作系统）： 一般由程序员分配释放， 若程序员不释放，程序结束时可能由OS回收。

next

Ping百度得出它的ip地址，可以访问。以下说法错误的是

待完善
A.

B

C

D

next

应急响应中，以下说法错误的是

D
A.关于Netstat，netstat -anob 查看目前的网络连接，显示当前网络连接的可执行程序名字，定位可疑的ESTABLISHED。

B.需要检查系统账号安全，排查异常端口、进程，检查启动项、计划任务、服务等。

C.对于windows的日志分析中，winr->eventvwr.msc即可查看日志。

D.PCHunter可以进行webshell查杀。

next

一些基本常识，以下说法错误的是

C
A.Pwn2Own是全世界著名、奖金丰厚的黑客大赛。

B.”爱盘”收集了一些常用的逆向工具和安全工具，是52pojie的Ganlv开发的.

C.每年5月份都是大学生毕业论文答辩的时候，对于毕业论文，知网的论文查重是免费的。

D.Windows在桌面操作系统中占有绝对的市场份额，在服务器操作系统中也拥有一席之地。

next

关于IDS、IPS、防火墙，以下说法错误的是

B
A.硬件防火墙可以内置IDS和IPS模块，每个模块收费。

B.IPS可以阻止攻击本身，IDS可以检测到攻击。

C.防火墙可以进行端口映射。

D.市场上硬件防火墙价格差异大。

next

关于端口映射，以下说法错误的是

C
A.家用路由器可以端口映射。

B.硬件防火墙可以端口映射。

C.傻瓜式交换机可以端口映射。

D.这里所说的端口，不是计算机硬件的I/O进出端口，而是软件形式上的概念。

next

关于PE文件中RVA向FOA的手工转化过程一定要懂的概念，【当然也使用工具LordPE转换】以下说法错误的是

A
A.全局变量在内存未加载时一定分配了空间。

B.RVA=全局变量在内存中的地址(VA)-ImageBase。

C.若计算出RVA在头部，那么地址没有经过拉伸，而且FOA=RVA。

D.若FOA在节区中，FOA=_IMAGE_SECTION_HEADER.PointerToRawData+(RVA-_IMAGE_SECTION_HEADER.VirtualAddress)。

next

关于PE文件中RVA与FOA的相互转化过程一定要懂的概念，以下说法错误的是

C
A.存在初始值的全局变量在磁盘中一定分配了空间。

B._IMAGE_SECTION_HEADER.VirtualAddress存的值是：在节在内存中的偏移地址。

C.节在内存中的真正地址=_IMAGE_SECTION_HEADER.VirtualAddress+_IMAGE_SECTION_HEADER.SizeOfRawData。

D._IMAGE_SECTION_HEADER.PointerToRawData是节在文件中的偏移地址，也就是节在文件中的起始地址。

next

以下说法错误的是

D
A.计算机病毒的检测方法可以是特征代码法，软件模拟法等。

B.引导扇区病毒攻击目标是主引导区和分区引导区，不是bios,通过感染引导区上的引导记录，计算机病毒就可以在系统启动时优先于操作系统取得系统的控制权，实现对系统的控制。

C.计算机病毒、蠕虫和木马都属于恶意代码。

D.以当一个病毒嵌入可执行程序时，病毒可以嵌入可执行文件首部和尾部，文件中间位置是不可以的。

next

关于蠕虫，以下说法错误的是

B
A.在蠕虫刚刚出现时将其作为计算机病毒对待，但在发展过程中蠕虫逐渐形成了自己独有的特征和传播机制。

B.Morris是通过互联网传播的第一种蠕虫病毒，作者从MIT施放，虽然只是内网蠕虫，但是作者由于无法控制其产生后果的恶劣影响而受了惩罚。

C.蠕虫利用系统漏洞进行传播。在传播前首先要进行对攻击目标主机的探测，设计良好的扫描策略能够加速蠕虫传播。

D.对于蠕虫的防御，学术上讲，可以用良性蠕虫抑制恶意蠕虫。良性蠕虫可以有效地消除恶意蠕虫，修补系统漏洞，从而减少网络中易感主机的数量。

next

就外挂与反外挂而言，以下说法错误的是

C
A.外挂，又名游戏辅助，外挂也间接的表明了一个游戏的活跃程度。

B.如何反外挂是众多游戏公司头疼的问题。

C.游戏外挂软件，它们虽然不能修改游戏显示的数据和内部代码，但是可以内部Call调用外挂来达到谋取利益的目的。

D.在外挂行为检测方面，修改数据的行为最难定位，因为不仅外挂会修改数据，游戏本身也可能会修改数据。这个点既给游戏开发人员增加了难度，也给逆向人员增加了难度。

next

x86、x64 都指的是 CPU 的指令集架构。关于指令集，以下说法错误的是

D
A.x86指令集最初是Intel针对16位处理器(8086和8088处理器)的16位指令集，之后扩展为针对32位处理器(80386和80486)的32位指令集。

B.x64是针对x86再扩充之后所拥有的64位指令集。x64于1999年由AMD设计，首次公开64位集以扩展给x86，称为“AMD64”，兼容x86。

C.复杂指令集是 x86、x64(也叫 x86-64, amd64) 两种架构，专利在 Intel 和 AMD 两家公司手里， 该架构 CPU 主要是 Intel 和 AMD 两家公司，这种 CPU 常用在 PC 机上，包括 Windows，macOS 和 Linux。

D.指令集架构主要分两大类。复杂指令集运算（Complex Instruction Set Computing，CISC），以Arm为代表。精简指令集运算（Reduced Instruction Set Computing，RISC）

next

一些好用的网址，以下对应错误的是

D
A.看雪知识库：https://www.kanxue.com/chm.htm

B.Microsoft提供的文档：https://docs.microsoft.com/zh-cn/documentation/

C.C语言中文网：http://c.biancheng.net/

D.CTF-wiki: https://ctf-wiki.cn/

next

关于EP和OEP，以下说法错误的是

D
A.EP(Entry Point)，意即程序的入口点。而OEP是程序的原始入口点，一个正常的程序只有EP，只有入口点被修改的程序(加壳等)，才会拥有OEP(original entry point 原始入口点)，OEP就是程序加壳前真正的入口点。。

B.EP是EntryPoint简称，就是入口点。如果程序加壳后，程序会有个入口点，就是EntryPoint。但加壳前的程序入口点就称为OEP（Original EntryPoint）

C.EP是IMAGE_OPTIONAL_HEADER32结构体中的AddressOfEntryPoint属性。表示在内存中，程序入口函数相对于imagebase的偏移（内存偏移）RVA。

D.软件加壳一般隐藏了程序真实的OEP（或者用了假的OEP），我们需要寻找程序真正的EP，才可以完成脱壳。

next

关于恶意程序行为特征，以下说法错误的是

A
A.程序运行缓慢。

B.把程序自己拷贝到某个目录下，设置各式各样的自启动，或者注册成服务。

C.释放一个或多个dll,将dll注入到某些进程中。

D.链接恶意网站下载跟多的病毒程序。winr->iexplore.exe www.恶意网站.com/恶意软件.exe；比如说 winr -> iexplore.exe https://down.52pojie.cn/Logo/logo_121x75.png

next

以下说法错误的是

A
A.Gitbook是一个图形界面工具(node.js库)， 可以使用Github/Git创建漂亮的图书。

B.C:\Windows\System32 存64位的应用程序，C:\Windows\SysWOW64 存32位的应用程序。

C.linux 中使用命令 uname -a 可以查看 CPU 的架构。

D.Windows可以使用命令 wmic cpu list brief 可以查看CPU的架构

next

以下说法错误的是

A. IAT（导入地址表,import address table )

B.在32位操作系统的Windows文件夹中，SYSTEM和SYSTEM32两个文件夹，分别用来存放16位和32位的DLL文件。

C.在64位操作系统的Windows文件夹中，System32和SysWOW64两个文件夹，分别用来存放64位和32位的DLL文件。

D.网络字节序、主机字节序不同，需要通过htons、htonl、ntohs、ntohl这四个字节序操作函数进行转换。

next

以下说法错误的是

A
A.Makefile是一个MD文件，里面记录着项目由哪些目标构成，以及各个目标的生成方式等信息。

B.Shellcode是一组可注入的指令（opcode），可以在被攻击的程序内运行。因为shellcode要直接操作寄存器和函数，所以opcode必须是十六进制形式。

C.在linux中，程序通过int 0x80软中断来执行系统调用。

D.GetLocalTime函数可以得当前本地时间，SetFileTime函数可以设置文件时间。