奧鵬南開課程考試逆向工程19秋期末考核

1、設(shè)置斷點的快捷鍵是（）A.F7B.F4C.F2D.F9正確答案:C系統(tǒng)服務(wù)描述表的英文縮寫是（）。A.SSDTB.IATC.GPTD.IRP正確答案:A在以下PE文件的常見區(qū)塊中，哪一個包含讀寫數(shù)據(jù)塊。A. .textB. .dataC. .idataD. .edata正確答案:B（）支持函數(shù)式匯編。A.ODDisasm B.BeaEngine C.Keystone D.AsmJit正確答案:D（）是一個以C+封裝的完整的JIT匯編器和編譯器。A.ODDisasmB.BeaEngineC.Udis86D.AsmJit正確答案:D假設(shè)整形數(shù)組ary的首地址是0x1000,則ary2的位置是A.0

2、x1000B.0x1004C.0x1008D.0x100C正確答案:CIDA插件的安裝要將已編譯的插件模塊復(fù)制到IDA的（）目錄中。A.cfgB.idcC.loadersD.plugins正確答案:D（）能解碼每一條指令所使用和影響的寄存器。A.ODDisasm B.BeaEngine C.Udis86 D.AsmJit正確答案:B為了讓操作系統(tǒng)變得簡單，將設(shè)備驅(qū)動程序運行在（）級。A.R0B.R1C.R2D.R3正確答案:A在4GB的虛擬地址空間中，包括一個（）的NULL空間和非法區(qū)域。A.16KBB.32KBC.64KBD.128KB正確答案:C用十六進(jìn)制工具查看IMAGE_FILE_HE

3、ADER吉構(gòu)的情況時，以下字段中哪個代表可執(zhí)行文件的目 標(biāo)CPU型。A.NumberOfSectionsB.MachineC.TimeDateStampD.Characteristics正確答案:B（）可以將調(diào)試程序執(zhí)行過程中的事件記錄下來。A. 斷點B.跟蹤C. 修改可執(zhí)行文件D.參考重命名正確答案:B用戶的應(yīng)用程序（就是用 Visual C+ 等工具開發(fā)的應(yīng)用程序）也是運行在（ ） 級上的。A.R0B.R1C.R2D.R3正確答案:D代表文件緩存管理的函數(shù)前綴是（）A.ExB.KeC.HALD.Cc正確答案:D掛鉤SSD抻的（）函數(shù)可以防止搜索窗口。A.NtGdiBitBltB.NtGdi

4、StretchBltC.NtUserSendInputD.NtUSerFindWindowEx正確答案:D傳統(tǒng)的系統(tǒng)引導(dǎo)與啟動方法主要借助（）A.BIOSB.MBRC.UEFID.GPT正確答案:ABCD可以通過()函數(shù)調(diào)用和()段寄存器來訪問TEB結(jié)構(gòu)。A.NtCurreentTebB.deviceIoControlC.FSD.DS正確答案:AC顯示窗口常用的函數(shù)有()？A.MessageBoxA(W)B.DialogBoxParamA(W)C.ShowWindowD.CreateWindowExA(W)正確答案:ABCDAPI利用調(diào)試器針對API 設(shè)置斷點的功能，就有可能找到判斷注冊碼的地

5、方，常用來對話框的都有哪些()？A.GetWindowTextA(W) B.GetDlgItemTextA(W) C.GetDlgItemInt() D.Hmemcpy® 數(shù)正確答案:ABCDWinDbg支持哪些調(diào)試()A. 以打開、附加的方式調(diào)試應(yīng)用程序B.可以分析Dump文件C. 可以進(jìn)行遠(yuǎn)程調(diào)試D.內(nèi)核調(diào)試正確答案:ABCD有關(guān)進(jìn)程和線程的數(shù)據(jù)結(jié)構(gòu)有()A.EPROCESSB.ETHREADC.PEBD.TEB3 種方法是（）？去除警告窗口常用的A. 修改程序的資源B.靜態(tài)分析C. 動態(tài)分析D.放置不管正確答案:ABCC+的三大核心機制是什么（）A. 封裝B. 繼承C. 對象D

6、.多態(tài)正確答案:ABD下列是匯編引擎的有（）。A.ODAssemblerB.KeystoneC.AsmJitD.Capstone正確答案:ABC以下是 for 循環(huán)的執(zhí)行組件的是A. 初始化B. 比較C. 執(zhí)行指令D.遞增或遞減正確答案:ABCD所謂粗跟蹤，是指在跟蹤時要大塊大塊地跟蹤。T. 對F. 錯正確答案:AOllyDbg 每次出現(xiàn)異常時都要通過比較來確定是否應(yīng)該中斷T. 對F. 錯正確答案:A延遲載入不是操作系統(tǒng)的特征，其通過向鏈接器和運行庫加入額外的代碼和數(shù)據(jù)來實現(xiàn)。T. 對F. 錯正確答案:A調(diào)用虛函數(shù)時，程序先取出虛函數(shù)表指針，得到虛函數(shù)表的地址，再根據(jù)這個地址到虛函數(shù)表中取出該

7、函數(shù)的地址，最后調(diào)用該函數(shù)。T. 對F. 錯正確答案:A當(dāng)PE文件裝載內(nèi)存后準(zhǔn)備執(zhí)行時，所有函數(shù)入口地址排列在一起T. 對F. 錯正確答案:AKeystone 和 Capstone 是同一系列的引擎，由同一維護(hù)者主導(dǎo)開發(fā)。Capstone 主要負(fù)責(zé)跨平臺多指令集的反匯編工作，而Keystone主要負(fù)責(zé)跨平臺多指令集的匯編工作。與OllyDbg的匯編器一樣，Keystone 也只支持文本匯編，不支持像AsmJit 那樣的函數(shù)式匯編T. 對F. 錯正確答案:AINT 3 斷點可以在程序啟動之前設(shè)置，消息斷點只有在窗口被創(chuàng)建之后才能被設(shè)置并攔截消息T. 對F. 錯正確答案:AOllyDbg 可以直接

8、附加到隱藏進(jìn)程T. 對F. 錯正確答案:A通過包含提示信息的程序片段，就可以知道提示信息前后的程序片段所完成的功能，從而宏觀地了解軟件。T. 對F. 錯正確答案:A.NET文件是Microsoft.NET 環(huán)境生成的可執(zhí)行文件T. 對F. 錯正確答案:A虛擬內(nèi)存管理器控制虛擬內(nèi)存地址到#內(nèi)存地址的映射。正確答案: 物理IP 地址 對應(yīng)的正整數(shù)16 進(jìn)制表示0x7F000001 ，在內(nèi)存中占用了4個字節(jié)，該整數(shù)的小端字節(jié)序表示是#。正確答案:AAABAAAAHA應(yīng)用層的進(jìn)程、線程、文件、驅(qū)動模塊、事件、信號量等對象或者打開的句柄在內(nèi)核中都有與之對應(yīng)的#。正確答案: 內(nèi)核對象異常是在應(yīng)用程序執(zhí)行過程中發(fā)生的不正常事件。由CPU引發(fā)的異常稱為#異常，例如訪問個無效的內(nèi)存地址。正確答案: 硬件當(dāng)PE文件被載入時，Windows加載器的工作之一就是定位所有被輸入的函數(shù)和數(shù)據(jù)，并讓正在載入的文件可以使用那些地址。這個過程是通過 PE文件的#完成的，其中保存的是函數(shù)名和其駐留的DLL名等動態(tài)鏈接所需的信息。正確答案: 輸入表 簡述軟件逆向工程中的靜態(tài)分析和動態(tài)分析技術(shù)，并列出兩種分析方法各自使用的常用分析工