基于动态分析的APT检测技术研究
基于动态分析的APT检测技术研究
安天实验室
基于动态分析的APT检测技术研究
安天实验室安天实验室反病毒引擎研发中心 Andy&CuteK
编者按:2012年11月12日至14日,第十五届AVAR国际反病毒安全会议在杭州举行。安天实验室研发负责人在大会上做了题为《基于动态分析的APT检测技术研究》的英文报告,报告中介绍了安天在APT检测方面的经验及近年来在对抗APT方面的工作。报告中指出基于动态分析系统可以判定网络中传输的文件是否利用了已知或未知的漏洞,从而发现可能的APT攻击中搜集信息和渗透行为。本文根据大会报告整理形成的论文,并在技术文章汇编(十)中首次公开。
关键词:
APT:高级持续性威胁(Advanced Persistent Threat, APT)
C&C:命令与控制(Command and Control)
1摘要
在信息化高速发展的今天,网络安全正面临着全新的挑战。高级持续性威胁(APT)不断发展升级,也许就在我们认为一切正常时,APT攻击正在发生或己然完成。攻击者不再是原有意义上的恶意代码作者或黑客,通过宽泛的大面积攻击以获取部分利益;而是有组织团队、具有极强目的性的持续性攻击。
由于上述的特点APT攻击的对象必然是有所选择的,为了利益的最大化,他们选择的目标开始转为企业甚至是政府。也正是上述的这些特点导致了企业防御成本的增加,防范难度的加大。APT攻击组织会通过各种手段收集目标的信息,不断的利用最新的漏洞甚至是已知漏洞对目标进行定点的攻击。
自2010年1月Google在其官方微博承认自己遭受到网络攻击后,APT就成为信息安全界的一个热门话题。这两年随着Stuxnet事件、Duqu事件以及Flame事件的接连发生,如何发现和应对APT成为一个新的挑战。
?安天实验室版权所有第2页 / 共20页
第一,简介
APT(Advanced Persistent Threat)即高级持续性威胁,通常是指在某个组织(如国家或财团)的支持下针对一个特定的目标使用比较高级的技术进行持续的攻击。这种攻击通常具有很强的破坏性,手段比较隐蔽,持续时间较长,这种攻击造成的后果也是极其严重的。
APT并不是一个新的技术,其主要采用的是最新的漏洞利用溢出攻击目标并进行远程控制。对于溢出和远程控制的检测传统上杀毒软件通过特征码技术以及及时的升级。但由于杀毒软件的特征码以及简单的启发检测受到资源和时间的限制,对于变化的新的样本难以及时发现。针对恶意代码的动态分析技术也有很多包括类似CWSandbox为代表的Ring3 级别的监控程序,主要运行在虚拟机或者冰点还原系统内部,可以对恶意代码的进程相关的API调用做记录。但由于该分析系统只是停留在简单的监控,对于分析的结果缺乏进一步的提炼挖掘和识别,所以在恶意检测上还需要更进一步;另一个自动分析恶意代码的系统是Threatexpert,该自动化分析的主要技术方案是通过快照对比方式发现恶意代码运行前后的对系统的修改,同时也使用Hook的方法对系统进行监控,模拟一定的网络应答,触发一些网络行为。由于其是全封闭状态,所以很多网络行为无法捕获,只能捕获模拟开始的几个包。Anubis系统主要采用对QEMU的修改这种方式的好处是比较底层,但是解析指令比较复杂,特别是一些上层的API调度,到了系统底层就变化为基本的操作,所以Anubis系统的记录的行为多是以对系统修改为主。由于APT 可能采用多种格式入侵,特别是文档类型的格式,一些反APT产品如FireEye的设备中已经出现支持文档类型、PDF等恶意代码的动态分析。
本文采取的主要检测方法是依托白名单和动、静态分析技术对一个网络进行立体的防御,达到尽可能的缩短检测时间,尽可能全面的检测APT威胁。
第二,攻击技术特点研究
a)高级可持续攻击介绍
APT主要是指有组织,有能力且针对特定相关目标所发动功击。APT是一种攻击类型,其主要针对企业、政府以及军事领域发起有针对性的攻击,具有极高的目的性、阶段性与长其潜伏的特性。为了发起APT攻击,攻击者会进行针对性的资料收集,对被攻击的目标进行深入分析。通常来说攻击者具有较强的网络安全相关的技术能力。
?安天实验室版权所有第3页 / 共20页
i.APT攻击与传统攻击的区别
●目标及针对性
APT攻击具有极强的针对性,发起攻击时目标明确,通常以企业、政府、军事领域为主要攻击目标。而传统攻击以经济利益的获取为主要目的,其通常不以特定的目标为攻击点,所以对应的攻击目标具有不确定的因素。两者之间希望达到的目的不同,导致了攻击目标不同,其针对性也有较大的差异
●可控性的区别
由于所攻击的目标及针对性的区别,导致了两者的传播方式具有较大的不同,传统的攻击为扩大非法获取经济利益,其传播方式以大面积的传播为主。而APT攻击由于针对目标明确,一切以接近攻击目标为主要目的,因此传播方式可控(如在Stuxnet样本存在针对时间的判定,当计算机的时间大于2012/04/24则不进下一步的操作)。甚至对于特定目标进行传播。
●长期潜伏性区别
APT攻击在完成攻击后持续潜伏,直到锁定目标或接收到攻击指令后才发起下一阶段的攻击,而传统的攻击通常在攻击成功后会立即进行后续的操作。甚至被APT攻击所入侵“被控主机”仅仅被用来作为跳板,进行下一步的持续搜索,直到锁定目标。而传统攻击往往是攻击成功后会立即或间隔时间较短的情况下进行下一步的操作。
下面简单的将其与传统的攻击手段做一下比较:
?安天实验室版权所有第4页 / 共20页
?安天实验室 版权所有 第5页 / 共20页
表
错误!文档中没有指定样式的文字。-1 传统攻击手段比较
通过前面的对比,我们可以看到APT 通常是一个非常复杂的攻击过程,需要精心准备。攻击者需要明确攻击的目标,搜集相关的信息,然后利用一些未公开的手段,十分隐蔽的实现其目的。这个过程需要较大的投入,通常情况下只有政府或财团才能够具备这样的实力。通过对Stuxnet 和Duqu 的关联性比较,信息安全产业普遍认为APT 存在着一个产业链,并且其开发平台已经成熟。
ii. APT 的攻击的特点
混合的攻击手法
APT 攻击往往采用混合式攻击的手法,包括通过社交工程发送恶意的URL 、利用格式溢出的漏洞发送含有恶意程序的邮件附件,然后恶意软件释放数据并且通过文件共享、移动储存介质横向扩散,在攻击目标成功后收集高价值的数据或进行破坏性攻击。
图 3-1 APT 的攻击手法
●持续的攻击活动
APT攻击通常是一个持续的攻击活动,而非单一的攻击事件。在攻击的过程中会利用各种攻击手法不停的尝试,直到达到目的为止。我们可以通过一个事件了解到APT攻击的持续性,其实早在2011年年底,Kaspersky实验室已经在报告中提出Duqu木马和Stuxnet蠕虫的作者是同一个人(或者团队)的观点,并在另一份报告中提出Duqu木马可能早在2007-2008年之间就已出现,而其主要目的正是收集一系列有关伊朗企业和政府情报机构活动的数据。似乎先有Duqu木马后有Stuxnet蠕虫的假设,更符合实际情况(即先用木马收集详细数据再用蠕虫实施精确攻击)。
表错误!文档中没有指定样式的文字。-2 Duqu木马与Stuxnet蠕虫的对比
●明确的目标
?安天实验室版权所有第6页 / 共20页
在Stuxnet蠕虫的分析中,我们可以看到Stuxnet是专门针对WinCC系统进行攻击。那么WinCC之后又发生了什么?
图 3-2 离心机感染示意图
一台伊朗IR-1型离心机的转速为1064赫兹,当离心机第一次被病毒感染出错时,会持续以1410赫兹的转速运转15分钟,然后回到正常转速。27天以后Stuxnet蠕虫病毒再次发起攻击,这次让离心机以低于正常转速几百赫兹的速度运转了50分钟。离心机出错产生的过度离心力让铝管扩大,提高了离心机部件相互冲撞的危险,最终可能导致离心机的摧毁。
b)APT攻击过程分析
现有的常规方法很难检测和防御APT攻击,因为APT是一个复杂的长期的过程,同时还会使用一些比较隐蔽的方法如0day。通过对APT攻击过程的分析,我们可以了解APT的相关细节从而做到有效的预防和防御。
我们这里把APT攻击的过程分为六个阶段,这六个阶段覆盖了常见的APT攻击的过程。这六个过程如下:确立目标,信息搜集和攻击方法的准备,渗透目标,控制目标,扩展攻击目标,窃取机密或破坏目标。下面我们将针对这六个阶段进行详细的分析。
?安天实验室版权所有第7页 / 共20页
i.确立目标
由于APT的背后往往有巨大资源支持,需要投入大量的人力和财力,所以要攻击的目标往往是对发动攻击者或者支持者有很大的利益。被攻击的对象通常是拥有很高的机密,商业价值,或者影响巨大的结构或组织。这些被攻击的对象往往是政府部门,金融机构,知名公司等。
以震惊世界的“超级武器”Stuxnet蠕虫为例,它的攻击目标是西门子公司的SIMATIC WinCC系统。这是一款数据采集与监视控制(SCADA)系统,被广泛用于钢铁、汽车、电力、运输、水利、化工、石油等核心工业领域,特别是国家基础设施工程;它运行于Windows平台,常被部署在与外界隔离的专用局域网中。WinCC已被广泛应用于很多重要行业,一旦受到攻击,可能造成相关企业的设施运行异常,甚至造成商业资料失窃、停工停产等严重事故。一些专家认为,Stuxnet病毒是专门设计来攻击伊朗重要工业设施的,包括当时刚刚竣工的布什尔核电站。
从而我们可以看到APT的攻击目标很明确,而且具有很强针对性。但是并不是说APT对于小企业没有威胁。随着APT的发展,小企业也逐渐成为被攻击的对象,甚至也可能会通过小企业作为跳板间接实现其攻击目的。
3.2.2信息搜集和攻击方法的准备
在攻击目标确立之后,下一步便是开始搜集信息。搜集的方法可以是很简单,但是通常情况下很有效。可以使用搜过引擎搜索与要攻击对象相关的关键词。通常情况下可以搜索到不少信息。同时通过社交网站(如Facebook、Twitter)搜索与该目标相关的信息(如该目标的雇员的名字,邮件或其他联系方式,甚至他的职务等信息),很多人办公邮件会和其网名或昵称相同,同时有可能他的多个账户使用同一个密码。另外通过社交网站可以轻易的了解一个人的爱好,这也是一个很好的发起攻击的突破点。
在信息搜集的足够可用后,APT攻击的发起者开始开发对应的攻击工具。通常购买一些0day开发对应的攻击方法,同时还会开发渗透成功后,远程控制相关的功能(C&C)。通常APT 的开发会以团队的形式开发,并且开发的平台通常是专有的。这些平台功能齐全,并且开发的速度很快。这一点可以从Stuxnet的分析中找到一些影子。
例如Stuxnet使用了影响比较大的漏洞包括MS10-046、MS10-061、MS08-067等,同时还用到了两个针对西门子SIMATIC WinCC系统的漏洞。
?安天实验室版权所有第8页 / 共20页
3.2.3渗透目标
通常情况下,APT要攻击的目标是被严密保护的。目标所在的网络和外界是隔离的,同时还有各种保护设备。APT攻击这需要找到恰当的入口,渗透进去。常见的渗透方法如下:?通过SQL注入等方式入侵要攻击目标的web server,然后伺机进入要攻击的目标的内网。
?通过发送欺诈邮件或暴力破解等手段获取更高的权限。著名的域名为https://www.doczj.com/doc/c316702817.html,的网站就是由黑客冒充管理员发送邮件,轻易地获取了其他的管理员的账户和密码。
?通过向与被攻击对象相关人员发送求职或与政治相关新闻事件等内容的邮件,骗取其点击。通常这些邮件会附带一些附件,这些附件是利用某些漏洞构造的特殊文件,攻击者通过这些附件触发相应的漏洞,然后再继续下一步的动作。
2011年发生了"RSA
Secur ID被窃取"的事件中,黑客发送了名为"2011 Recruitment
plan(2011年招聘计划)"的邮件给RSA员工。截图如下:
图 3-3 邮件截图
该邮件附带了一个名为“2011 Recruitment plan.xls”的附件,该附件利用了一个Adobe解析Flash文件格式的漏洞。当它被打开时触发了相应的漏洞,然后执行相应的恶意的代码。
?安天实验室版权所有第9页 / 共20页
?安天实验室 版权所有 第10页 / 共20页
3.2.4控制目标
在成功的渗透进要攻击的目标后,APT 开始在目标网络中搜集信息找到其感兴趣的目标,然后通过网络协议和C&C 服务器通讯。APT 攻击者就可以控制该目标实现其进一步的目的,下图是一个Stuxnet 的一个例子。
图 3-4 Sstuxnet 例子
3.2.5扩展攻击目标
APT 攻击这可以通过网络协议和可控制的对象通讯后,可以从目标的机器上搜集信息。然后提升权限,并将攻击对象扩展到网络内的其他目标为对象。同时在目标机器通过可控制命令安装功能更加强大的工具甚至是更新攻击程序等。
这个时候APT 会借助一些rootkit 技术将自己隐藏起来,然后长期的“潜伏”。
值得一提的是2011年3月RSA 的RSA SecurID 被窃取后,黑客凭借从RSA 获得的SecurID 通过身份认证,侵入武器制造商洛克希德马丁。从这里可以看出一旦一个目标被攻破后后续的影响会有多大。
3.2.6窃取或破坏目标
APT 攻击的主要目的是窃密或者破坏目标,在这个阶段APT 基本上已经可以为所欲为了。一旦被攻击的目标的信息被窃取或者目标被破坏将会给受攻击者带来巨大的损失。
3.3典型案例
下面我们看以下几个APT的案例,以更加具体的了解一下APT攻击的特点。
3.3.1极光行动(2009-2010)
极光行动(英语:Operation Aurora)是发生于2009年12月中旬可能源自中国的一场网络攻击,其名称“Aurora”(意为极光、欧若拉)来自攻击者电脑上恶意文件所在路径的一部分。遭受攻击的除了Google外,还有20多家公司:其中包括Adobe Systems、Juniper Networks、Rackspace、雅虎、赛门铁克、诺斯洛普·格鲁门和陶氏化工。
根据网络资料和我们的分析结果,将这个极光行动的攻击过程还原如下:
?攻击者网络上搜集Google员工的相关信息,伪造一个网站诱使Google员工访问。
?Google员工访问伪造的网站,该网站的页面中有一段包含利用IE漏洞获得执行权的javascript代码。漏洞被成功利用后,执行相应的shellcode。shellcode远程下载更多的
程序并执行。
?然后通过SSL的方式与攻击发起者进行通讯。然后持续的监听该员工的电脑并且窃取该员工访问Google服务器的账户密码信息等。
?利用该员工的凭证进入Google邮件服务器,进而获取相关的信息。
3.3.2夜龙行动(Night Dragon 2007-2011)
2011年2月10日,知名信息安全公司McAfee发布了一份标题为“全球能源网络攻击:(Night Dragon)”的分析报告。McAfee在报告中称有5家西方跨国能源公司遭到了“来自中国的黑客”的“有组织,隐蔽,有针对性”的攻击。超过千兆字节的敏感数据被窃取。这其中包括气油田操作的机密信息,项目融资和投标文件等。
夜龙攻击的过程如下:
?通过外网的web服务器作为突破口,使用SQL注入等方法入侵web服务器。
?以被攻陷的web服务器作为跳板,对内网的服务器或桌面机器进行入侵。
?如果内网的服务器或者开发者的电脑被攻破,可能是暴力破解了密码。
?安天实验室版权所有第11页 / 共20页
?被攻陷的机器被植入恶意程序,通常为远程控制工具。然后传回大量的机密信息。
?继续持续的攻击内网内的其他的机器,寻找更有价值的目标。
3.3.3暗鼠行动( Shady Rat 2006-2011)
2011年8月份McAfee发布了一份报告,详细的披露了暗鼠行动(Operation Shady Rat)。这次行动被认为是从2006年开始持续了5年。在这个过程中至少有72个机构遭受到了攻击,包括安全部门,商业机构,政府部门以及非营利组织。
暗鼠行动的过程主要如下:
?通过社会工程搜集被攻击者目标的信息;
?目标被选定后,攻击者构造邮件,然后向这些组织的个人发送接收者可能感兴趣的邮件。如联系人列表,会议通知等内容。这些邮件会附带一个附件(可能是doc,excel,pdf等格式)。如果接受者打开这些附件,恶意代码就可能会被执行;
?恶意代码执行后会从网络上下载恶意程序。这些恶意程序经过精心伪装,安全产品很难发现;
?借助恶意程序,受害者的电脑可以轻松地被攻击者控制。
第三,APT检测技术
通过前面的分析,我们发现大部分的APT攻击事件中,高级持续攻击者更倾向于利用0day 漏洞,或者利用目标公司基础设施存在的漏洞问题。从Google到RSA,这些单位受到攻击的关键因素都与普通员工遭遇社交工程的恶意邮件有关。从RSA受攻击的事件可以发现,黑客刚一开始,就是针对某些特定员工发送钓鱼邮件,这就是该起RSA遭到黑客使用APT手法进行攻击的所有源头。在今年稍早的时候,美国有另外一家信息安全顾问公司HBGary也面临类似的攻击方式,那就是黑客假冒CEO发信给IT部门同事, IT人员对于黑客冒名发送的这封信件完全不曾怀疑,IT人员直接将该公司IT系统Administrator的账号、密码给被黑客冒名的CEO 发送回去。因此,HBGary内部的IT系统防护也在一夜之间溃堤。
那么即使通信等文件检测成为检测攻击的关键,在整个需要保护的网络内部的关键位置部署检测设备及检测软件应对APT攻击也是非常必要的。
?安天实验室版权所有第12页 / 共20页
a) 恶意URL和邮件检测
通过网页溢出和邮件附件是APT攻击的主要渠道,APT攻击普遍采用通发送精心构造的可溢出的格式文件(如PDF,DOC,XLS)的邮件附件,其目的有两个:
针对普通员工,通常不是每一个员工都是安全专家,这是安全防卸的弱点也是最好突破口。
通过网页或邮件发给普通员工,有很好的欺骗性,因为一般情况下对于非可执行格式的数据,我们不会过多的关注。
通过旁路监控检测对网络中访问的URL和邮件附件进行提取,并进行检测,对于未知的网址和文件则交给动态分析系统进行未知判别。
b) 白名单战略
除了网络邮件和访问的URL外,还有一些威胁可能是由于移动介质、手机等传播进入保护系统,这样通过在关键系统部署终端防护软件收集未知的可执行程序,交由内网的动态分析系统进行判别。自动化分析系统建立起来的私有云识别系统,可以实现快速的识别和判断恶意样本。同时通过巨大的白名单库,在保证检出率的基础上降低误报。
c)基于动态分析的溢出检测技术
支持Windows系统中exe、dll的分析,对PE文件进行深度的格式解析以及行为监控。对静态溢出文档方面的解析和监控,对包括pdf、doc、xls、ppt、rtf、swf等常见格式进行监控,监控恶意格式溢出所产生的系统动作行为。不仅能够监视文档的加载进程,并且能够全面的监视系统中的所有进程的活动,用来发现采用COM的WMI机制的跨进程的系统威胁。
通过内核级及应用层级等多层次监控包括进程操作、文件操作、注册表操作、网络通信访问、网络数据URL。通过不同层次的监控,发现不同角度的数据,综合的分析,相互补充,可以更加全面的获得监控样本的行为和数据。通过研究Ring3级别监控的信息丰富性,多样性,研究Ring3 hook全面监控,包括跨进程、服务、远程注入的追踪监控达到恶意代码样本衍生的子进程、服务,注入的全面监控。
通过内核层的监控可以对驱动的行为进行一定的监控,也可以通过上下层对比,发现一些?安天实验室版权所有第13页 / 共20页
穿过Ring3的直接调用系统功能的恶意行为。
图4-1 多层监控示意
环境模拟包括对国内常见的软件的安装如Word、WPS、Adobe Reader 、QQ等。能够对移动介质模拟,利用文件夹模拟磁盘,并hook修改磁盘类型;模拟游戏、杀软进程等用来触发一些对抗和窃取密码等行为;通过环境的模拟,可以更好的对象的行为进行监控,并使系统更加逼真,更加像真实的环境。
隐蔽监控系统的文件、注册表、进程等可能暴露环境的信息;通过hook技术以及一些深层的隐蔽手段将监控记录环境的文件、进程隐蔽起来;同时对虚拟机中常见的进程等也可以进行对恶意代码隐蔽。
d) 检测案例
利用邮件发送文档类型附件,比如doc,xls等,这些文件具有0day漏洞,可以利用操作这些软件的漏洞溢出获得执行权限从而进行网络下载,木马安装等操作。
当邮件监控系统发现附件中包含一个xls文件,将会提交给动态分析系统,动态分析系统经过监控分析可以得出该文件是否具有溢出功能,并给出明确的判别。
?安天实验室版权所有第14页 / 共20页
图 4-2 溢出行为检测
动态分析系统捕获到xls的进程excel.exe会释放一个动态链接库文件,并将该文件注册为服务,并启动释放一个正常的xls文件打开,用以迷惑接收邮件的人。与最新cve-2012-1535漏洞,嵌入在doc文件的flash漏洞一样,都是释放DLL文件,并添加启动项。用来达到随机启动的目的。
图 4-3 进程创建添加服务
溢出成功后,将会下载执行木马操作,通过其行为可以判断是否具有恶意威胁的样本。对于各种远程控制的木马工具,其基本的行为是具有通用性的,通过动态监控可以发现危险的行为,比如安装,自删除,隐藏文件,添加服务等。
?安天实验室版权所有第15页 / 共20页
图 4-4 发现危险行为
图4-5 利用IE程序访问网络
图 4-6 添加到Svchost启动的服务列表中
?安天实验室版权所有第16页 / 共20页
图4-7 发送主机信息CPU信息
?安天实验室版权所有第17页 / 共20页
图4-8 接收查询文件指令
发送文件,读取文件内容,发送到网络,这个序列过程还是很清晰的,有的是加密后发送所以数据很难检测一致。
?安天实验室版权所有第18页 / 共20页
图 4-9 发送文件序列
第四,总结
本文对APT攻击进行了剖析,并提出了相应的防御检测方案,提供了相应的案例和检测案例。通过对APT的攻击的过程和案例分析,我们知道APT攻击是一个持续性的过程,它的攻击手段也是多样化的,整个过程十分复杂。一旦一个点被突破,可能面临着整个防御系统的崩溃。并通过白名单体系以及未知判别联合动、静态分析达到及时的检测。APT攻击不是一个单一事件,而是由许多事件的组合而成的。对于每一个可能遭受攻击的对象,都不能够大意。很多时候我们即使发现了攻击,也只是简单的认为是一个“普通的中毒事件”,殊不知后面有十分恐怖的攻击者在窥伺着自己。
但并不是说APT完全不可以防范,只要从基础做起也是可以减少遭受APT攻击,至少可以减少攻击所造成的损失。防范APT攻击要做到如下几点:
?加强对员工的安全意识的教育,尤其员工在网络活动中要尽量少的透露在其所在公司的信息,对于不明来源的邮件,文件,网络链接不要轻易接受或打开。
?使用安全产品内网进行严格的防护,并不断升级。
?制定严格的保密制度和实行严格的保密措施,确保机密信息不会轻易被获取到。
?对于一些攻击事件不可以大意,要及时的请专业人员进行分析,避免进一步的损失。?安天实验室版权所有第19页 / 共20页
上述方法并不能够完全的避免APT攻击,APT往往会使用一些较高级或未知的技术。这就给传统的检测和防御手段带来了很大挑战。信息安全厂商和研究人员必须不断地研究APT的特点并升级检测方法和防御策略,以此来应对APT带来的新的威胁。
第五,参考文献
[1]对Stuxnet蠕虫攻击工业控制系统事件的综合报告
https://www.doczj.com/doc/c316702817.html,/cn/security/2010/Report_On_the_Attacking_of_Worm_Struxnet_by_ antiy_labs.htm
[2]探索Duqu木马的身世之谜——Duqu和Stuxnet同源性分析
https://www.doczj.com/doc/c316702817.html,/cn/security/2012/r120521_001.htm
[3]对Flame病毒攻击事件的分析报告
https://www.doczj.com/doc/c316702817.html,/cn/security/2012/r120531_001.htm
[4]蠕虫样本集分析报告
https://www.doczj.com/doc/c316702817.html,/cn/security/2012/Analysis_Report_on_Flame_Worm_Samples.htm
[5]2009 姜晓新,段海新,管云涛.恶意代码自动分析技术研究.第六届中国信息和通信安
全学术会议(CCICS'2009),2009:615-621 Kephart J.O and Arnold W.C. Automatic Extraction of Computer Virus Signatures
[6]https://www.doczj.com/doc/c316702817.html,/
[7]Toward automated dynamic malware analysis using cwsandbox
[8]APT攻击悄然来袭企业信息面临“精准打击”
https://www.doczj.com/doc/c316702817.html,/security/414/30994414.shtml
?安天实验室版权所有第20页 / 共20页
一、选择题(每题1分,共15分) 1、X射线衍射方法中,最常用的是() A.劳厄法 B.粉末多晶法 C.转晶法 2、已知X射线定性分析中有三种索引,已知物质名称可以采用() A.哈式无机相数值索引 B.无机相字母索引 C.芬克无机数值索引 3、电子束与固体样品相互作用产生的物理信号中能用于测试1nm厚度表层成分分 析的信号是() A. 背散射电子 B.俄歇电子 C.特征X射线 4、测定钢中的奥氏体含量,若采用定量X射线物相分析,常用的方法是() A.外标法 B.内标法 C.直接比较法 D.K值法 5、下列分析方法中分辨率最高的是() A.SEM B.TEM C. 特征X射线 6、表面形貌分析的手段包括() A.SEM B.TEM C.WDS D. DSC 7、当X射线将某物质原子的K层电子打出去后,L层电子回迁K层,多余能量将 另一个L层电子打出核外,这整个过程将产生() A.光电子 B.二次电子 C.俄歇电子 D.背散射电子 8、透射电镜的两种主要功能() A.表面形貌和晶体结构 B.内部组织和晶体结构 C.表面形貌和成分价键 D.内部组织和成分价键 9、已知X射线光管是铜靶,应选择的滤波片材料是() A.Co B.Ni C.Fe D.Zn 10、采用复型技术测得材料表面组织结构的式样为() A.非晶体样品 B.金属样品 C.粉末样品 D.陶瓷样品 11、在电子探针分析方法中,把X射线谱仪固定在某一波长,使电子束在样品表面 扫描得到样品的形貌相和元素的成分分布像,这种分析方法是()
A.点分析 B.线分析 C.面分析 12、下列分析测试方法中,能够进行结构分析的测试方法是() A.XRD B.TEM C.SEM D.A+B 13、在X射线定量分析中,不需要做标准曲线的分析方法是() A.外标法 B. 内标法 C. K值法 14、热分析技术不能测试的样品是() A.固体 B.液体 C.气体 15、下列热分析技术中,()是对样品池及参比池分别加热的测试方法 A.DTA B.DSC C.TGA 二、填空题(每空1分,共20分) 1、由X射线管发射出来的X射线可以分为两种类型,即和。 2、常见的几种电子衍射谱为单晶衍射谱、、、高级劳厄带斑 点、。 3、透射电镜的电子光学系统由、、和四部分组成 4、今天复型技术主要应用方法来截取第二相微小颗粒进行分析。 5、扫描电子显微镜经常用的电子信息是、和 6、德拜照相法中的底片安装方法有、和 7、产生衍射的必要条件是 8、倒易点阵的两个基本特征是和 9、透射电镜成像遵循原理 三、名词解释(每题5分,共20分) 1、X射线强度 2、结构因子 3、差热分析
《材料现代分析测试技术》思考题 1.电子束与固体物质作用可以产生哪些主要的检测信号?这些信号产生的原理是什么?它们有哪些特点和用途? (1)电子束与固体物质产生的检测信号有:特征X射线、阴极荧光、二次电子、背散射电子、俄歇电子、吸收电子等。 (2)信号产生的原理:电子束与物质电子和原子核形成的电场间相互作用。 (3)特征和用途: ①背散射电子:特点:电子能量较大,分辨率低。用途:确定晶体的取向,晶体间夹角,晶粒度及晶界类型,重位点阵晶界分布,织 构分析以及相鉴定等。 ②二次电子:特点:能量较低,分辨率高。用途:样品表面成像。 ③吸收电子:特点:被物质样品吸收,带负电。用途:样品吸收电子成像,定性微区成分分析。 ④透射电子:特点:穿透薄试样的入射电子。用途:微区成分分析和结构分析。 ⑤特征X射线:特点:实物性弱,具有特征能量和波长,并取决于被激发物质原子能及结构,是物质固有的特征。用途:微区元素定 性分析。 ⑥俄歇电子:特点:实物性强,具有特征能量。用途:表层化学成分分析。 ⑦阴极荧光:特点:能量小,可见光。用途:观察晶体内部缺陷。 ①电子散射:当高速运动的电子穿过固体物质时,会受到原子中的电子作用,或受到原子核及周围电子形成的库伦电场的作用,从而 改变了电子的运动方向的现象叫电子散射 ②相干弹性散射:一束单一波长的电子垂直穿透一晶体薄膜样品时,由于原子排列的规律性,入射电子波与各原子的弹性散射波不但 波长相同,而且有一定的相位关系,相互干涉。 ③不相干弹性散射:一束单一波长的电子垂直穿透一单一元素的非晶样品时,发生的相互无关的、随机的散射。 ④电子衍射的成像基础是弹性散射。 3.电子束与固体物质作用所产生的非弹性散射的作用机制有哪些? 非弹性散射作用机制有:单电子激发、等离子激发、声子发射、轫致辐射 ①单电子激发:样品内的核外电子在收到入射电子轰击时,有可能被激发到较高的空能级甚至被电离,这叫单电子激发。 ②等离子激发:高能电子入射晶体时,会瞬时地破坏入射区域的电中性,引起价电子云的集体振荡,这叫等离子激发。 ③声子发射:入射电子激发或吸收声子后,使入射电子发生大角度散射,这叫声子发射。 ④轫致辐射:带负电的电子在受到减速作用的同时,在其周围的电磁场将发生急剧的变化,将产生一个电磁波脉冲,这种现象叫做轫 致辐射。 1)二次电子产生:单电子激发过程中,被入射电子轰击出来并离开样品原子的核外电子。应用:样品表面成像,显微组织观察,断口形貌观察等 2)背散射电子:受到原子核弹性与非弹性散射或与核外电子发生非弹性散射后被反射回来的入射电子。应用:确定晶体的取向,晶体间夹角,晶粒度及晶界类型,重位点阵晶界分布,织构分析以及相鉴定等。 3)成像的相同点:都能用于材料形貌分析成像的不同点:二次电子成像特点:(1)分辨率高(2)景深大,立体感强(3)主要反应形貌衬度。背散射电子成像特点:(1)分辨率低(2)背散射电子检测效率低,衬度小(3)主要反应原子序数衬度。 5.特征X射线是如何产生的,其波长和能量有什么特点,有哪些主要的应用? 特征X-Ray产生:当入射电子激发试样原子的内层电子,使原子处于能量较高的不稳定的激发态状态,外层的电子会迅速填补到内层电子空位上,并辐射释放一种具有特征能量和波长的射线,使原子体系的能量降低、趋向较稳定状,这种射线即特征X射线。 波长的特点:不受管压、电流的影响,只决定于阳极靶材元素的原子序。 应用:物质样品微区元素定性分析
. ... .. 现代材料测试技术复习 第一部分 填空题: 1、X射线从本质上说,和无线电波、可见光、γ射线一样,也是一种电磁波。 2、尽管衍射花样可以千变万化,但是它们的基本要素只有三个:即衍射线的峰位、线形、强度。 3、在X射线衍射仪法中,对X射线光源要有一个基本的要求,简单地说,对光源的基本要稳定、强度大、光谱纯洁。 4、利用吸收限两边质量吸收系数相差十分悬殊的特点,可制作滤波片。 5、测量X射线衍射线峰位的方法有七种,它们分别是7/8高度法、峰巅法、切线法、弦中点法、中线峰法、重心法、抛物线法。 6、X射线衍射定性分析中主要的检索索引的方法有三种,它们分别是哈那瓦尔特索引、芬克索引、字顺索引。 7、特征X射线产生的根本原因是原子层电子的跃迁。 8、X射线衍射仪探测器的扫描方式可分连续扫描、步进扫描、跳跃步进扫描三种。 9、实验证明,X射线管阳极靶发射出的X射线谱可分为两类:连续X射线光谱和特征X射线光谱。 10、当X射线穿过物质时,由于受到散射,光电效应等的影响,强度会减弱,这种现象称为X射线的衰减。 11、用于X射线衍射仪的探测器主要有盖革-弥勒计数管、闪烁计数管、正比计数管、固体计数管,其中闪烁计数管和正比计数管应用较为普遍。 12、光源单色化的方法:试推导布拉格方程,解释方程中各符号的意义并说明布拉格方程的应用 名词解释 1、X-射线的衰减:当X射线穿过物质时,由于受到散射,光电效应等的影响,强度会减弱,这种现象称为X-射线的吸收。 2、短波限:电子一次碰撞中全部能量转化为光量子,此光量子的波长 3、吸收限:物质对电磁辐射的吸收随辐射频率的增大而增加至某一限度即骤然增大,称吸收限。吸收限:引起原子层电子跃迁的最低能量。 4、吸收限电子--hv 最长波长与原子序数有关 5、短波限 hv--电子最短波长与管电压有关 6、X射线:波长很短的电磁波 7、特征X射线:是具有特定波长的X射线,也称单色X射线。 8、连续X射线:是具有连续变化波长的X射线,也称多色X射线。 9、荧光X射线:当入射的X射线光量子的能量足够大时,可以将原子层电子击出,被打掉了层的受激原子将发生外层电子向层跃迁的过程,同时辐射出波长严格一定的特征X射线 10、二次特征辐射:利用X射线激发作用而产生的新的特征谱线 11、Ka辐射:电子由L层向K层跃迁辐射出的K系特征谱线 12、相干辐射:X射线通过物质时在入射电场的作用下,物质原子中的电子将被迫围绕其平衡位置振动,同时向四周辐射出与入射X射线波长相同的散射X射线,称之为经典散射。由于散射波与入射波的频率或波长相同,位相差恒定,在同一方向上各散射波符合相干条件,称为相干散射 13、非相干辐射:散射位相与入射波位相之间不存在固定关系,故这种散射是不相干的 14、俄歇电子:原子中一个K层电子被激发出以后,L层的一个电子跃迁入K层填补空白,剩下的能量不是以辐射 15、原子散射因子:为评价原子散射本领引入系数f (f≤E),称系数f为原子散射因子。他是考虑了各个电子散射波的位相差之后原子中所有电子散射波合成的结果
《材料分析测试技术》试卷(答案) 一、填空题:(20分,每空一分) 1.X射线管主要由阳极、阴极、和窗口构成。 2.X射线透过物质时产生的物理效应有:散射、光电效应、透射X 射线、和热。 3.德拜照相法中的底片安装方法有: 正装、反装和偏装三种。 4. X射线物相分析方法分: 定性分析和定量分析两种;测钢中残余奥氏体的直接比较法就属于其中的定量分析方法。 5.透射电子显微镜的分辨率主要受衍射效应和像差两因素影响。 6.今天复型技术主要应用于萃取复型来揭取第二相微小颗粒进行分析。 7. 电子探针包括波谱仪和能谱仪成分分析仪器。 8.扫描电子显微镜常用的信号是二次电子和背散射电子。 二、选择题:(8分,每题一分) 1.X射线衍射方法中最常用的方法是( b )。 a.劳厄法;b.粉末多晶法;c.周转晶体法。 2. 已知X光管是铜靶,应选择的滤波片材料是(b)。 a.Co;b. Ni;c.Fe。 3.X射线物相定性分析方法中有三种索引,如果已知物质名时可以采用( c )。 a.哈氏无机数值索引;b. 芬克无机数值索引;c. 戴维无机字母索引。 4.能提高透射电镜成像衬度的可动光阑是(b)。 a.第二聚光镜光阑;b.物镜光阑;c. 选区光阑。 5. 透射电子显微镜中可以消除的像差是( b )。 a.球差; b. 像散; c. 色差。 6.可以帮助我们估计样品厚度的复杂衍射花样是( a)。 a.高阶劳厄斑点;b.超结构斑点;c. 二次衍射斑点。 7. 电子束与固体样品相互作用产生的物理信号中可用于分析1nm厚表层成分的信号是(b)。 a.背散射电子; b.俄歇电子;c. 特征X射线。 8. 中心暗场像的成像操作方法是(c)。 a.以物镜光栏套住透射斑;b.以物镜光栏套住衍射斑;c.将衍射斑移至中心并以物镜光栏套住透射斑。 三、问答题:(24分,每题8分) 1.X射线衍射仪法中对粉末多晶样品的要求是什么? 答: X射线衍射仪法中样品是块状粉末样品,首先要求粉末粒度要大小适 中,在1um-5um之间;其次粉末不能有应力和织构;最后是样品有一个 最佳厚度(t =
一、X射线物相分析的基本原理与思路 在对材料的分析中我们大家可能比较熟悉对它化学成分的分析,如某一材料为Fe96.5%,C 0.4%,Ni1.8%或SiO2 61%, Al2O3 21%,CaO 10% ,FeO 4%等。这是材料成分的化学分析。 一个物相是由化学成分和晶体结构两部分所决定的。X射线的分析正是基于材料的晶体结构来测定物相的。 X射线物相分析的基本原理是什么呢? 每一种结晶物质都有自己独特的晶体结构,即特定点阵类型、晶胞大小、原子的数目和原子在晶胞中的排列等。因此,从布拉格公式和强度公式知道,当X射线通过晶体时,每一种结晶物质都有自己独特的衍射花样,它们的特征可以用各个反射晶面的晶面间距值d和反射线的强度来表征。 其中晶面网间距值d与晶胞的形状和大小有关,相对强度I则与质点的种类及其在晶胞中的位置有关。 衍射花样有两个用途: 一是可以用来测定晶体的结构,这是比较复杂的; 二是用来测定物相。 所以,任何一种结晶物质的衍射数据d和I是其晶体结构的必然反映,因而可以根据它们来鉴别结晶物质的物相,分析的思路将样品的衍射花样与已知标准物质的衍射花样进行比较从中找出与其相同者即可。 X射线物相分析方法有: 定性分析——只确定样品的物相是什么? 包括单相定性分析和多相定性分析定量分析——不仅确定物相的种类还要分析物相的含量。 二、单相定性分析 利用X射线进行物相定性分析的一般步骤为: ①用某一种实验方法获得待测试样的衍射花样; ②计算并列出衍射花样中各衍射线的d值和相应的相对强度I值; ③参考对比已知的资料鉴定出试样的物相。 1、标准物质的粉末衍射卡片 标准物质的X射线衍射数据是X射线物相鉴定的基础。为此,人们将世界上的成千上万种结晶物质进行衍射或照相,将它们的衍射花样收集起来。由于底片和衍射图都难以保存,并且由于各人的实验的条件不同(如所使用的X射线波长不同),衍射花样的形态也有所不同,难以进行比较。因此,通常国际上统一将这些衍射花样经过计算,换算成衍射线的面网间距d值和强度I,制成卡片进行保存。
现代材料测试技术 作业
第一章X射线衍射分析 一、填空题 1、X射线从本质上说,和无线电波、可见光、γ射线一样,也是一种。 2、尽管衍射花样可以千变万化,但是它们的基本要素只有三个:即、、。 3、在X射线衍射仪法中,对X射线光源要有一个基本的要求,简单地说,对光源的基本要求是、、。 4、利用吸收限两边相差十分悬殊的特点,可制作滤波片。 5、测量X射线衍射线峰位的方法有六种,它们分别是、、 、、、。 6、X射线衍射定性分析中主要的检索索引的方法有三种,它们分别是、 、。 7、特征X射线产生的根本原因是。 8、X射线衍射定性分析中主要的检索索引的方法有三种,它们分别是、 和字顺索引。 9、X射线衍射仪探测器的扫描方式可分、、三种。 10、实验证明,X射线管阳极靶发射出的X射线谱可分为两类:和 11、当X射线穿过物质时,由于受到散射,光电效应等的影响,强度会减弱,这种现象称为。 12、用于X射线衍射仪的探测器主要有、、、,其中和应 用较为普遍。 13、X射线在近代科学和工艺上的应用主要有、、三个方面 14、X射线管阳极靶发射出的X射线谱分为两类、。 15、当X射线照射到物体上时,一部分光子由于和原子碰撞而改变了前进的方向,造成散射线;另一部分光子可能被原子吸收,产生;再有部分光子的能量可能在与原子碰撞过程中传递给了原子,成为。 二、名词解释 X-射线的吸收、连续x射线谱、特征x射线谱、相干散射、非相干散射、荧光辐射、光电效应、俄歇电子、质量吸收系数、吸收限、X-射线的衰减 三、问答与计算 1、某晶体粉末样品的XRD数据如下,请按Hanawalt法和Fink法分别列出其所有可能的检索组。 2、产生特征X射线的根本原因是什么? 3、简述特征X-射线谱的特点。 4、推导布拉格公式,画出示意图。 5、回答X射线连续光谱产生的机理。
绪论 1、什么是食品分析? 食品分析与检验是一门研究和评定食品品质及其变化和卫生状况的学科,是运用感官的、物理的、化学的和仪器分析的基本理论和技术,对食品的组成成分、感官特性、理化性质和卫生状况进行分析检测,研究检测原理、检测技术和检测方法的应用性科学。 2、食品分析与检验的任务是什么? (1)根据指定的技术标准,运用现代科学技术和检测手段,对食品生产的原料、辅助材料、半成品、包装材料及成品进行分析与检验,从而对食品的品质、营养、安全与卫生进行评定,保证食品质量符合食品标准的 要求 (2)对食品生产工艺参数、工艺流程进行监控,确定工艺参数、工艺要求,掌握生产情况,以确保食品质量,从而指导与控制生产工艺过程 (3)为食品生产企业成本核算、制定生产计划提供基本数据 (4)开发新的食品资源,提高食品质量以及寻找食品的污染来源,使广大消费者获得美味可口、营养丰富和经济卫生的食品,为食品生产新工艺和新技术的研究及应用提供依据 (5)检验机构根据政府质量监督行政部门的要求,对生产企业的产品或上市的商品进行检验,为政府管理部门对食品品质进行宏观监控提供依据 (6)当发生产品质量纠纷时,第三方检验机构根据解决纠纷的有关机构的委托,对有争议产品做出仲裁检验,为有关机构解决产品质量纠纷提供技术依据 (7)在进出口贸易中,根据国际标准、国家标准和合同规定,对进出口食品进行检测,保证进出口食品的质量,维护国家出口信誉 (8)当发生食物中毒事件时,检验机构对残留食物做出仲裁检验,为时间的调查及解决提供技术依据 3、食品分析与检验包含了哪些内容? 食品的感官检验 食品的理化检验:食品的一般成分分析食品添加剂检测食品中有毒有害物质的检测 功能性食品的检测转基因食品的检测食品包装材料和盛放容器分析 化学性食物中毒的快速鉴定腐败变质食品的检验掺假食品的检测 第二章食品分析与检验的一般程序 1、食品分析与检验的一般程序:样品的采取及制备→样品的预处理→分析检验结果的数据处理 2、采样的原则是什么? (1)采样必须注意样品的生产日期、批号、代表性和均匀性;采样数量应能反映食品的卫生质量及检验项目对试样量的要求,一式三份供检验、复检与备查用,每一份不少于0.5kg (2)盛放样品的容器不得含有待测物质及干扰物质;一切采样工具必须清洁、干燥、无异味;在检验之前应防止一切有害物质或干扰物质带入样品 (3)要认真填写采样记录。写明采样单位、地址、日期、样品批号、采样条件、包装情况、采样数量、现场卫生状况、运输、储藏条件、外观、检验项目及采样人等 (4)采样后应在4h内迅速送检验室检验,尽量避免样品在见眼前发生变化,使其保持原来的理化状态。检验前不应发生污染或变质、成分逸散、水分增减及酶的影响 3、采样的步骤有哪些? 需检验的批量食品(采样)→原始样品(混合、处理缩分)→平均样品→试样样品复 检样品保留样品 4、样品与处理的方法有哪些? 有机物破坏法(干法灰化、湿法灰化)、蒸馏法常压蒸馏、减压蒸馏、水蒸气蒸馏)、溶剂提取法(溶液层析法、浸泡法)、盐析法化学分离法(硫化和皂化法、沉淀分离法、掩蔽法)、色层分离法(吸附色谱分离、分配色谱分离、离子交换色谱分离)浓缩法(常压浓缩法、减压浓缩法) 5、数据处理方法 例:0.0121+25.04+1.05782=? 结果位数按小数点后面位数最少的计算 0.0121*5.64*1.06=? 结果按有效数字最少的计算 第三章食品感官检验 1、食品感官评价包括哪些? 味觉评价嗅觉评价视觉评价听觉评价触觉评价口感评价
《材料分析测试技术》试卷(答案) 一、填空题:(20分,每空一分) 1. X射线管主要由阳极、阴极、和窗口构成。 2. X射线透过物质时产生的物理效应有:散射、光电效应、透射X射线、和热。 3. 德拜照相法中的底片安装方法有:正装、反装和偏装三种。 4. X射线物相分析方法分:定性分析和定量分析两种;测钢中残余奥氏体的直接比较法就属于其中的定量分析方法。 5. 透射电子显微镜的分辨率主要受衍射效应和像差两因素影响。 6. 今天复型技术主要应用于萃取复型来揭取第二相微小颗粒进行分析。 7. 电子探针包括波谱仪和能谱仪成分分析仪器。 8. 扫描电子显微镜常用的信号是二次电子和背散射电子。 二、选择题:(8分,每题一分) 1. X射线衍射方法中最常用的方法是( b )。 a.劳厄法;b.粉末多晶法;c.周转晶体法。 2. 已知X光管是铜靶,应选择的滤波片材料是(b)。 a.Co ;b. Ni ;c. Fe。 3. X射线物相定性分析方法中有三种索引,如果已知物质名时可以采用(c )。 a.哈氏无机数值索引;b. 芬克无机数值索引;c. 戴维无机字母索引。 4. 能提高透射电镜成像衬度的可动光阑是(b)。 a.第二聚光镜光阑;b. 物镜光阑;c. 选区光阑。 5. 透射电子显微镜中可以消除的像差是( b )。 a.球差;b. 像散;c. 色差。 6. 可以帮助我们估计样品厚度的复杂衍射花样是(a)。 a.高阶劳厄斑点;b. 超结构斑点;c. 二次衍射斑点。 7. 电子束与固体样品相互作用产生的物理信号中可用于分析1nm厚表层成分的信号是(b)。 a.背散射电子;b.俄歇电子;c. 特征X射线。 8. 中心暗场像的成像操作方法是(c)。 a.以物镜光栏套住透射斑;b.以物镜光栏套住衍射斑;c.将衍射斑移至中心并以物镜光栏套住透射斑。 三、问答题:(24分,每题8分) 1.X射线衍射仪法中对粉末多晶样品的要求是什么? 答:X射线衍射仪法中样品是块状粉末样品,首先要求粉末粒度要大小 适中,在1um-5um之间;其次粉末不能有应力和织构;最后是样品有一 个最佳厚度(t =
现代流动测试技术 大作业 姓名: 学号: 班级: 电话: 时间:2016
第一次作业 1)孔板流量计测量的基本原理是什么?对于液体、气体和蒸汽流动,如何布置测点? 基本原理:充满管道的流体流经管道的节流装置时,在节流件附近造成局部收缩,流速增加,在上下游两侧产生静压差。在已知有关参数的条件下,根据流动连续性原理和伯努利方程可以推导出差压与流量之间的关系而求得流量。公式如下: 4v q d π α== 其中: C -流出系数 无量纲 d -工作条件下节流件的节流孔或喉部直径 D -工作条件下上游管道内径 qv -体积流量 m3/s β-直径比d/D 无量纲 ρ—流体的密度Kg/m3 测量液体时,测点应布置在中下部,应为液体未必充满全管,因此不可以布置的太靠上。 测量气体时,测点应布置在管道的中上部,以防止气体中密度较大的颗粒或者杂质对测量产生干扰。 测量水蒸气时,测点应该布置在中下部。 2)简述红外测温仪的使用方法、应用领域、优缺点和技术发展趋势。 使用方法:红外测温仪只能测量表面温度,无法测量内部温度;安装地点尽量避免有强磁场的地方;现场环境温度高时,一定要加保护套,并保证水源的供应;现场灰尘、水汽较大时,应有洁净的气源进行吹扫,保证镜头的洁净;红外探头前不应有障碍物,注意环境条件:蒸汽、尘土、烟雾等,它阻挡仪器的光学系统而影响精确测温;信号传输线一定要用屏蔽电缆。 应用领域:首先,在危险性大、无法接触的环境和场合下,红外测温仪可以作为首选,比如: 1)食品领域:烧面管理及贮存温度 2)电气领域:检查有故障的变压器,电气面板和接头 3)汽车工业领域:诊断气缸和加热/冷却系统 4)HVAC 领域:监视空气分层,供/回记录,炉体性能。 5)其他领域:许多工程,基地和改造应用等领域均有使用。 优点:可测运动、旋转的物体;直接测量物料的温度;可透过测量窗口进行测量;远距离测量;维护量小。 缺点:对测量周围的环境要求较高,避免强磁场,探头前不应有障碍物,信号传输线要用屏蔽电缆,当环境很恶劣时红外探头应进行保护。 发展趋势:红外热像仪,可对有热变化表面进行扫描测温,确定其温度分布图像,迅速检测出隐藏的温差。便携化,小型化也是其发展趋势。 3)简述LDV 和热线的测速原理及使用方法。
食品分析与检验技术模拟试卷一 一、单项选择题 1. 下列属于法定计量单位的是(D) A.里B.磅C.斤D.千米 2. 下列氨基酸中属于人体必需氨基酸的是(A ) A.赖氨酸B.甘氨酸C.丙氨酸D.丝氨酸 3.下列属于有机磷农药的是(A) A.敌百虫B.六六六C.DDT D.毒杀芬 4.斐林试剂与葡萄糖作用生成红色的(C )沉淀 A.CuO B.Cu(OH)2 C.Cu2O D.Fe(OH)2 5.蔗糖在酸性条件下水解生成(C )A.两分子葡萄糖B.两分子葡萄糖C.一分子葡萄糖和一分子果糖D.一分子葡萄糖和一分子半乳糖 6.下列物质中属于B族黄曲霉毒素的是(B ) A.黄曲霉毒素G1 B.黄曲霉毒素B1 C.黄曲霉毒素G2 D.2-乙基G2 7. 维生素D缺乏引起下列哪种疾病(A ) A.佝偻病B.不孕症C.坏血病D.神经炎 8.下列属于多糖的是(C) A.乳糖B.果糖C.淀粉D.麦芽糖 9.物质的量的法定计量单位是(A ) A.mol B.mol/L C.g/mol D.g 10.标定HCl溶液的浓度所用的基准试剂是(B) A.CaCO3 B.Na2CO3 C.NaOH D.KOH
11.下列维生素中属于脂溶性维生素的是(B) A.烟酸B.维生素A C.维生素B1 D.生物素 12.下列属于双糖的是(D) A.果糖B.淀粉C.葡萄糖D.蔗糖 13.下列属于人工甜味剂的是(A ) A.糖精钠B.甜叶菊糖苷C.甘草D.麦芽糖醇 14.气相色谱法的流动相是(A ) A.气体B.液体C.固体D.胶体 15.下列属于天然着色剂的是(B) A.姜黄素B.胭脂红C.靛蓝D.新红 二、填空题(每空1 分,共10分) 16.20℃时,1% 的纯蔗糖溶液的锤度为。 17.免疫分析法是利用抗原与的特异性结合进行分析的方法。 18.亚硝胺又称N-亚硝基化合物,具有较强的毒性和。 19.酱油中氨基酸是酱油的主要成分,氨基酸态氮的含量多少直接影响酱油的鲜味程度,是衡量酱油优劣的重要指标。我国规定酱油中氨基酸态氮的含量是。 20.碳水化合物的化学通式是。 21.食品检验的内容主要分为营养成分和。 22. 铅能与二硫腙作用生成配合物。 23.检验需要量应根据检验项目的多少和采用的方法来决定,一般每个食品样品采集1.5kg即可满足要求,并将样品分为、复验和备查三部分。 24.食品样品无机化处理主要分为湿法消化法和。
机械工程测试技术基础(第三版)试卷集. 一、填空题 1、周期信号的频谱是离散的,而非周期信号的频谱是连续的。 2、均方值Ψx2表示的是信号的强度,它与均值μx、方差ζx2的关系是¢x2=H x2+óx2。 3、测试信号调理电路主要有电桥、放大、调制解调电路。 4、测试系统的静态特性指标有非线性度、灵敏度、回程误差。5、灵敏度表示系统输出与输入之间的比值,是定度曲线的斜率。 6、传感器按信号变换特性可分为组合型、一体型。 7、当Δó〈〈ó0时,可变磁阻式电感传感器的输出和输入成近似线性关系,其灵敏度S 趋于定值。 8、和差特性的主要内容是相临、相反两臂间阻值的变化量符合相邻相反、相对相同的变化,才能使输出有最大值。 10、系统动态特性在时域可用传递函数来描述,在复数域可用频率函数来描述,在频域可用脉冲响应来描述。 11、高输入阻抗测量放大电路具有高的共模抑制比,即对共模信号有抑制作用,对差模信号有放大作用。 12、动态应变仪上同时设有电阻和电容平衡旋钮,原因是导线间存在分布电容。 13、压控振荡器的输出电压是方波信号,其频率与输入的控制电压成线性关系。 14、调频波的解调又称鉴频,其解调电路称为鉴频器。 15、滤波器的通频带宽和响应时间成反比关系。 16、滤波器的频率分辨力主要由其带宽决定。 17、对于理想滤波器,滤波器因数λ=1。 18、带通滤波器可由低通滤波器(f c2)和高通滤波器(f c1)串联而成(f c2> f c1)。 19、测试系统的线性度和滞后度是由系统误差引起的;而重复性误差是
由 随机 误差引起的。 7、信号分析的过程主要包括: 信号加工 、 信号变换 。 9、在数据采集系统中,常采用 程序控制 放大器。 10、根据载波受调制的参数的不同,调制可分为 调频 、 调幅 、 调相 。 16、用滤波的方法从信号提取的频率成分越窄,即带宽越小,需要的时间就越 长 。 17、如信号的自相关函数为Acos ωη,则其均方值Ψx 2= A 。 18、低通滤波器对阶跃响应的建立时间T e 带宽B 成 反比 、,或者说它们之间的乘机是 常数 。 8、信号程选择性 决定着滤波器对带宽外频率成分衰阻的能力 1、周期信号的频谱是 离散 的,而非周期信号的频谱是连续的。 2、周期信号可按三角函数分解成下列形式: ) cos cos ()(001 0t n b t n a a t x n n n ωω++ =∑∞ = , ; sin )(;cos )(; )(2 /2 /022 /2/022 /2/1 0? ?? ---= = =T T T n T T T n T T T tdt n t x b tdt n t x a dt t x a ωω 8.周期信号()x t 的傅氏三角级数展开式中:n a 表示 余弦分量的幅值 ,n b 表示 正弦分量的幅值 ,0a 表示直流分量。 3、使信号中特定的频率成分通过,而衰减其他频率成分的电路称 滤波器 。 4、信号可分为确定性信号和 随机信号 ,也可分为模拟信号和 数字信号 。 5、滤波器的品质因素Q 与带宽B 的关系是 f Q B = 。 6、金属应变片是根据 应变效应 原理工作的。 7、当把石英等晶体置于电场中,其几何尺寸将发生变化,这种由于外电场作用 导致物质机械变形的现象称为 逆电压效应 。 8、矩形窗函数的频谱是 sin c 或sinx/x 函数。 9、两个时域函数1()x t 、2()x t 的卷积定义为 12()()x t x t d ττ-? 。
班级学号姓名考试科目现代材料测试技术A 卷开卷一、填空题(每空1 分,共计20 分;答案写在下面对应的空格处,否则不得分) 1. 原子中电子受激向高能级跃迁或由高能级向低能级跃迁均称为_辐射跃迁__ 跃迁或_无辐射跃迁__跃迁。 2. 多原子分子振动可分为__伸缩振动_振动与_变形振动__振动两类。 3. 晶体中的电子散射包括_弹性、__与非弹性___两种。 4. 电磁辐射与物质(材料)相互作用,产生辐射的_吸收_、_发射__、_散射/光电离__等,是光谱分析方法的主要技术基础。 5. 常见的三种电子显微分析是_透射电子显微分析、扫描电子显微分析___和_电子探针__。 6. 透射电子显微镜(TEM)由_照明__系统、_成像__系统、_记录__系统、_真空__系统和__电器系统_系统组成。 7. 电子探针分析主要有三种工作方式,分别是_定点_分析、_线扫描_分析和__ 面扫描_分析。 二、名词解释(每小题3 分,共计15 分;答案写在下面对应的空格处,否则不得分) 1. 二次电子二次电子:在单电子激发过程中被入射电子轰击出来的核外电子. 2. 电磁辐射:在空间传播的交变电磁场。在空间的传播遵循波动方程,其波动性表现为反射、折射、干涉、衍射、偏振等。 3. 干涉指数:对晶面空间方位与晶面间距的标识。 4. 主共振线:电子在基态与最低激发态之间跃迁所产生的谱线则称为主共振线 5. 特征X 射线:迭加于连续谱上,具有特定波长的X 射线谱,又称单色X 射线谱。 三、判断题(每小题2 分,共计20 分;对的用“√”标识,错的用“×”标识) 1.当有外磁场时,只用量子数n、l 与m 表征的原子能级失去意义。(√) 2.干涉指数表示的晶面并不一定是晶体中的真实原子面,即干涉指数表示的晶面上不一定有原子分布。(√) 3.晶面间距为d101/2 的晶面,其干涉指数为(202)。(×) 4.X 射线衍射是光谱法。(×) 5.根据特征X 射线的产生机理,λKβ<λK α。 (√ ) 6.物质的原子序数越高,对电子产生弹性散射的比例就越大。(√ ) 7.透射电镜分辨率的高低主要取决于物镜。(√ )8.通常所谓的扫描电子显微镜的分辨率是指二次电子像的分辨率。(√)9.背散射电子像与二次电子像比较,其分辨率高,景深大。(× )10.二次电子像的衬度来源于形貌衬度。(× ) 四、简答题(共计30 分;答案写在下面对应的空格处,否则不得分) 1. 简述电磁波谱的种类及其形成原因?(6 分)答:按照波长的顺序,可分为:(1)长波部分,包括射频波与微波。长波辐射光子能量低,与物质间隔很小的能级跃迁能量相适应,主要通过分子转动能级跃迁或电子自旋或核自旋形成;(2)中间部分,包括紫外线、可见光核红外线,统称为光学光谱,此部分辐射光子能量与原子或分子的外层电子的能级跃迁相适应;(3)短波部分,包括X 射线和γ射线,此部分可称射线谱。X 射线产生于原子内层电子能级跃迁,而γ射线产生于核反应。
《近代材料测试方法》复习题 1.材料微观结构和成分分析可以分为哪几个层次?分别可以用什么方法分析? 答:化学成分分析、晶体结构分析和显微结构分析 化学成分分析——常规方法(平均成分):湿化学法、光谱分析法 ——先进方法(种类、浓度、价态、分布):X射线荧光光谱、电子探针、 光电子能谱、俄歇电子能谱 晶体结构分析:X射线衍射、电子衍射 显微结构分析:光学显微镜、透射电子显微镜、扫面电子显微镜、扫面隧道显微镜、原子力显微镜、场离子显微镜 2.X射线与物质相互作用有哪些现象和规律?利用这些现象和规律可以进行哪些科学研究工作,有哪些实际应用? 答:除贯穿部分的光束外,射线能量损失在与物质作用过程之中,基本上可以归为两大类:一部分可能变成次级或更高次的X射线,即所谓荧光X射线,同时,激发出光电子或俄歇电子。另一部分消耗在X射线的散射之中,包括相干散射和非相干散射。此外,它还能变成热量逸出。 (1)现象/现象:散射X射线(想干、非相干)、荧光X射线、透射X射线、俄歇效 应、光电子、热能 (2)①光电效应:当入射X射线光子能量等于某一阈值,可击出原子内层电子,产生光电效应。 应用:光电效应产生光电子,是X射线光电子能谱分析的技术基础。光电效应 使原子产生空位后的退激发过程产生俄歇电子或X射线荧光辐射是 X射线激发俄歇能谱分析和X射线荧光分析方法的技术基础。 ②二次特征辐射(X射线荧光辐射):当高能X射线光子击出被照射物质原子的 内层电子后,较外层电子填其空位而产生了次生特征X射线(称二次特征辐射)。 应用:X射线被物质散射时,产生两种现象:相干散射和非相干散射。相干散射 是X射线衍射分析方法的基础。 3.电子与物质相互作用有哪些现象和规律?利用这些现象和规律可以进行哪些科学研究工作,有哪些实际应用? 答:当电子束入射到固体样品时,入射电子和样品物质将发生强烈的相互作用,发生弹性散 射和非弹性散射。伴随着散射过程,相互作用的区域中将产生多种与样品性质有关的物理信 息。 (1)现象/规律:二次电子、背散射电子、吸收电子、透射电子、俄歇电子、特征X射 线 (2)获得不同的显微图像或有关试样化学成分和电子结构的谱学信息
东北大学继续教育学院 现代材料测试技术X 试卷(作业考核线上2) A 卷(共 3 页) (√)1. 从X射线管射出的X射线谱通常包括连续X射线和特征X射线。 (√)2. 布拉格公式λ=2dsinθ中λ表示入射线波长,d表示衍射(干涉)面的间距,θ表示掠射角。 (×)3. 利用衍射卡片鉴定物相的主要依据是d值,参考厚度。 (×)4. 透射电镜中的电子光学系统可分为照明、成像和显示记录三部分。 (×)5. 电镜中的电子衍射花样有斑点花样、环状花样、菊池线花样和会聚束花样。(√)6. 等厚条纹是衍射强度随试样厚度的变化而发生周期性变化引起的,图像特征为明暗相间的条纹。 (×)7. 电子探针X射线显微分析中常用X射线谱仪有光谱仪和能谱仪。 (×)8. 俄歇电子能谱仪最适合做材料的厚度和轻元素的成分分析。 (√)9. 电子探针定性分析时是通过测定特征X射线波长或能量确定元素,定量分析时通过测定X射线的强度确定含量。 (√)10. 当X射线照射在一个晶体时,产生衍射的必要条件是满足布拉格方程, 而产生衍射的充要条件是同时满足结构因数不等于零。 (√)11. 随X射线管的电压升高,λ 0和λ k 都随之减小。 (√)12. 当X射线管电压低于临界电压时仅可以产生连续X射线;当X射线管电压超过临界电压就可以产生特征X射线和连续X射线。 (×)13.当X射线照射在一个晶体时,产生衍射的必要和充分条件是必须满足布拉格方程。(×)14. 面心点阵的系统消光规律是 H+k+L 为偶数时出现反射,而 H+K+L 为奇数不出现反射。 (×)15. 扫描电镜的表面形貌衬度是采用背散射电子形成的电子像。 二、选择题:(20分) 1.当X射线将某物质原子的K层电子打出后,L层电子回迁K层,多余能量将另一个L层电子打出核外,这整个过程将产生( C )。 A.特征X射线 B. 背反射电子 C.俄歇电子 2. 吸收电子的产额与样品的原子序数关系是原子序数越小,吸收电子( A )。 A.越多 B.越少 C.不变 3. 仅仅反映固体样品表面形貌信息的物理信号是( B )。 A.背散射电子; B. 二次电子; C. 吸收电子; D.透射电子。 4. 让透射束通过物镜光阑而把衍射束挡掉得到图像衬度的方法,叫做( A )。 A.明场成像 B.暗场成像 C.中心暗场成像 5. 透射电镜的两种主要功能是检测( B )。 A.表面形貌和晶体结构 B.内部组织和晶体结构 C.表面形貌和内部组织 6. 由电磁透镜磁场中近轴区域对电子束的折射能力与远轴区域不同而产生的像差,称为( A )。 A.球差 B.像散 C.色差
食品分析与检测技术练习题——填空题 1. 分析方法有化学分析法,包括重量分析、容量分析;仪器分析法,包括色谱分析、电化学分析、原子吸收、核磁共振、比色分析;微生物分析法和生物鉴定法,包括固体培养基法、液体培养基发酵法等; 2.样品的预处理方法包括有机物破坏法蒸馏法溶剂提取法沉析法磺化法和皂化法色层分离法; 3.密度计按其标度方法的不同,可分为普通密度计、锤度计、乳稠计、波美计等; 4. 海砂有两个目的:防止表面硬皮的形成;使样品分散,减少样品中水分蒸发的障碍; 5.食品的灰分按其溶解性还可分为水溶性灰分和水不溶性灰分和酸不溶性灰分;6.干法灰化一般以灼烧至灰分呈白色或浅灰色,无碳粒存在并达到恒重为止;灰化温度一般为500~550℃; 7. 把坩埚放入高温炉或从炉中取出时,要放在炉口停留片刻,使坩埚预热或冷却,防止因温度剧变而使坩埚破裂; 8. 灼烧后的坩埚应冷却到200℃以下再移入干燥器中,否则因热的对流作用,易造成残灰飞散,且冷却速度慢,冷却后干燥器内形成较大真空,盖子不易打开; 9. 从干燥器内取出坩埚时,因内部成真空,开盖恢复常压时,应注意使空气缓缓流入,以防残灰飞散; 10. 灰化后所得残渣可留作Ca、P、Fe等元素成分的分析; 11. 称三次,第3次比第2次重了,以第二次为准; 12. 步骤是:炭化→灰化→恒重→称量(坩埚准备,预处理,炭化,灰化)前后称量差不超过2mg; 13. 酸度的检验包括总酸度(可滴定酸度)、有效酸度(氢离子活度,pH)和挥发酸。 14. pH系统最主要的四个部分是:参比电极、指示电极、电位计、被测样品; 15. K2SO4:用于提高消化时溶液的沸点,加快消化速度; 16. CuSO4:起催化剂作用,还可指示消化终点的到达; 17. 亚硝酸盐的光度法测定盐酸萘乙二胺法; 18. 测定样品过程中加氢氧化钠除脂肪,加硫酸锌除蛋白质;
山东科技大学2010—2011学年第二学期 《材料分析测试技术》考试试卷(A卷)答案及评分标准 一、选择题(每空1分,共15分) 1-5、BBBCB 6-10、ACBCA 11-15、CDCCB 二、填空题(每空1分,共20分) 1、连续X射线和特征X射线。 2、多晶电子衍射谱、多次衍射谱、菊池线。 3、光学系统、样品室、放大系统、供电和真空系统 4、萃取复型 5、二次电子和背散射电子、吸收电子、特征X射线(任填3个) 6、正装法、反装法(倒装法)、45℃法(不规则法) 7、满足布拉格定律 8、H(hkl)垂直于正点阵(hkl)面;H(hkl)=1/d(hkl) 9、阿贝成像原理 三、名词解释(每题5分,共20分) 1、X射线的强度 X射线的强度是指行垂直X射线传播方向的单位面积上在单位时间内所通过的光子数目的能量总和。常用的单位是J/cm2.s。 2、结构因子 结构因子是指一个单胞对X射线的散射强度,由于衍射强度正比于结构因子模的平方,消光即相当于衍射线没有强度,因此可通过结构因子是否为0来研究消光规律 3、差热分析 在程序控制温度条件下,测量样品与参比的基准物质之间的温度差与温度关系的一种热分析方法。 4、衍射衬度 衍射衬度是指试样中由于各处晶体取向不同和(或)晶体结构不同,满足布拉格条件的程度不同,使得对应式样下表面处有不同的衍射效果,从而在下表面形成一个随位置而异的衍射振幅分布而形成的衬度,它是由于晶体取向差异和(或)晶体结构造成的。 四、简答题(每题5分,共20分) 1、阐述特征X射线产生的物理机制 答当外来电子动能足够大时,可将原子内层(K壳层)中某个电子击出去,于是在原来的位置出现空位,原子系统的能量因此而升高,处于激发态,为使系统能量趋于稳定,由外层电子向内层跃迁。由于外层电子能量高于内层电子能量,在跃迁过程中,其剩余能量就要释放出来,形成特征X 射线。 2、简述扫描电镜的结构。 扫描电镜包括以下几个部分: (1)电子光学系统由电子抢、电磁透镜、光阑、样品室等部件组成。 (2)信号收集和显示系统 二次电子和背反射电子收集器是扫描电镜中最主要的信号检测器。
《机械工程测试技术基础》课后答案 章节测试题 第一章 信号及其描述 (一)填空题 1、 测试的基本任务是获取有用的信息,而信息总是蕴涵在某些物理量之中,并依靠它们来 传输的。这些物理量就是 ,其中目前应用最广泛的是电信号。 2、 信号的时域描述,以 为独立变量;而信号的频域描述,以 为独立变量。 3、 周期信号的频谱具有三个特 点: , , 。 4、 非周期信号包括 信号和 信号。 5、 描述随机信号的时域特征参数有 、 、 。 6、 对信号的双边谱而言,实频谱(幅频谱)总是 对称,虚频谱(相频谱)总是 对 称。 (二)判断对错题(用√或×表示) 1、 各态历经随机过程一定是平稳随机过程。( ) 2、 信号的时域描述与频域描述包含相同的信息量。( ) 3、 非周期信号的频谱一定是连续的。( ) 4、 非周期信号幅频谱与周期信号幅值谱的量纲一样。( ) 5、 随机信号的频域描述为功率谱。( ) (三)简答和计算题 1、 求正弦信号t x t x ωsin )(0=的绝对均值μ|x|和均方根值x rms 。 2、 求正弦信号)sin()(0?ω+=t x t x 的均值x μ,均方值2x ψ,和概率密度函数p(x)。 3、 求指数函数)0,0()(≥>=-t a Ae t x at 的频谱。 4、 求被截断的余弦函数???≥<=T t T t t t x ||0 ||cos )(0ω的傅立叶变换。 5、 求指数衰减振荡信号)0,0(sin )(0≥>=-t a t e t x at ω的频谱。 第二章 测试装置的基本特性 (一)填空题 1、 某一阶系统的频率响应函数为121 )(+=ωωj j H ,输入信号2 sin )(t t x =,则输出信号)(t y 的频率为=ω ,幅值=y ,相位=φ 。 2、 试求传递函数分别为5.05.35.1+s 和222 4.141n n n s s ωωω++的两个环节串联后组成的系统的 总灵敏度。 3、 为了获得测试信号的频谱,常用的信号分析方法有 、 和 。 4、 当测试系统的输出)(t y 与输入)(t x 之间的关系为)()(00t t x A t y -=时,该系统能实现 测试。此时,系统的频率特性为=)(ωj H 。 5、 传感器的灵敏度越高,就意味着传感器所感知的 越小。 6、 一个理想的测试装置,其输入和输出之间应该具有 关系为最佳。 (二)选择题 1、 不属于测试系统的静特性。 (1)灵敏度 (2)线性度 (3)回程误差 (4)阻尼系数 2、 从时域上看,系统的输出是输入与该系统 响应的卷积。 (1)正弦 (2)阶跃 (3)脉冲 (4)斜坡