奧鵬南開逆向工程20春期末考核

.讀取文件內(nèi)容的API函數(shù)是A.FindFirstFileA函數(shù)B.CreateFileA函數(shù)C.GetFileAttributesA函數(shù)D.ReadFile函數(shù)【參考答案】：D.所有進程的EPROCESS內(nèi)核結(jié)構(gòu)都被放入一個（）數(shù)據(jù)結(jié)構(gòu)中。A.單向鏈表B.結(jié)構(gòu)體 二雙向鏈表 D.數(shù)組【參考答案】：C.（）是一個文本文件，其記錄了程序調(diào)用的函數(shù)等符號信息。A.MAPB.ASMC.EXED.DIF【參考答案】：A.（）能解碼每一條指令所使用和影響的寄存器。A.ODDisasmB.BeaEngineC.Udis86D.AsmJit【參考答案】：B.在大端字節(jié)序中127.0.0.1，對應(yīng)的正整數(shù)16進制表示為A.0x7F000001 B.0X01000007F C.0X000017F00 D.0X0000017F【參考答案】：A.為了讓操作系統(tǒng)變得簡單，將設(shè)備驅(qū)動程序運行在（）級。A.R0B.R1C.R2D.R3【參考答案】：A.通常使用（）中斷來判斷設(shè)備的優(yōu)先級。A.PASSIVE_LEVELB.APC_LEVELC.DISPATCH_LEVELD.DIRQL【參考答案】：D8.OllyDbg自帶的反匯編引擎是（）。A.ODDisasmB.BeaEngineC.Udis86D.Capstone【參考答案】：A9.掛鉤SSDT中的（）函數(shù)可以防止搜索窗口。A.NtGdiBitBltB.NtGdiStretchBltC.NtUserSendInputD.NtUSerFindWindowEx【參考答案】：DIRQL的最低級別中斷是（）。A.PASSIVE_LEVELB.APC_LEVELC.DISPATCH_LEVELD.DIRQL【參考答案】：A.基址重定位數(shù)據(jù)采用類似按頁分割的方法組織，是由許多重定位塊串接成的，每個塊中存放（）KB的重定位信息A.1 B.2 C.4 D.8【參考答案】：C.在PE文件頭的可選映像頭中，數(shù)據(jù)目錄表的第（）個成員指向輸入表。A.1 B.2 C.3 D.4【參考答案】：B.在以下PE文件的常見區(qū)塊中，哪一個包含輸出表信息。

A..textB..dataC..idataD..edata【參考答案】：D.所有IDC腳本中都有一條包含（）文件的語句。A.idag.exeB.idc.idcC.ida.cfgD.idagui.cfg【參考答案】：B.表示回調(diào)函數(shù)處理了異常，可從異常發(fā)生處繼續(xù)執(zhí)行的返回值是下面哪個（）A.ExceptionContinueExecutionB.ExceptionContinueSearchC.ExceptionNestedExceptionD.ExceptionCollidedUnwind【參考答案】：A.允許或禁止指定的菜單條目的API函數(shù)是（）A.EnabIeMenultem（）函數(shù)B.Enablewindow（）函數(shù)C.GetTickCount（）函數(shù)D.timeGetTime（）函數(shù)【參考答案】：A.CPU設(shè)計制造商在設(shè)計之初是讓（）運行內(nèi)核，（）和（）運行設(shè)備驅(qū)動，（）運行應(yīng)用程序。A.R1、R2、R3、R4B.R0、R1、R2、R3C.R3、R2、R1、R0D.R4、R3、R2、R1【參考答案】：B.英文大寫字母D的ASCII碼值為44H，英文大寫字母F的ASCII碼值為十進制數(shù).A.46.B.68.C.70.D.15.A.46.B.68.C.70.D.15.【參考答案】：C.代表文件緩存管理的函數(shù)前綴是（）。A.ExB.KeC.HALD.Cc【參考答案】：D20.IDT是一張位于物理內(nèi)存中的線性表，共有。項A.128 B.256 C.512 D.1024【參考答案】：BIDA支持（）語言編寫腳本。A.IDCB.C++C.javaD.python【參考答案】：AD.查找具有相同窗口類名和標題的窗口的WindowsAPI函數(shù)都有（）A.FindWindowAB.GetWindowTextC.CreateMutexAD.GetLogicalDriveStrings（）【參考答案】：AB.計時器使用的API函數(shù)都有哪些（）？A.setTimer（）函數(shù) B.高精度的多媒體計時器 C.GetTickCount（）函數(shù)D.timeGetTime（）函數(shù)【參考答案】：ABCD.用于獲取時間的API函數(shù)有（）？A.GetSystemTimeB.GetLocalTimeC.GetFileTimeD.timeGetTime【參考答案】：ABC.可以通過（）函數(shù)調(diào)用和（）段寄存器來訪問TEB結(jié)構(gòu)。A.NtCurreentTebB.deviceIoControlC.FSD.DS【參考答案】：AC.到系統(tǒng)中安裝的所有驅(qū)動器的列表的WindowsAPI函數(shù)是（）A.GetLogicalDriveStrings（）B.GetLogicalDrives（）C.FindFirstFileAD.GetFileAttributes（）【參考答案】：AB.下列是反匯編引擎的有（）。A.ODDisasmB.BeaEngineC.Udis86D.Keystone【參考答案】：ABC.以下是for循環(huán)的執(zhí)行組件的是A.初始化B.比較 C.執(zhí)行指令 D.遞增或遞減【參考答案】：ABCD.顯示窗口常用的函數(shù)有（）？A.MessageBoxA（W）B.DialogBoxParamA（W）C.ShowWindowD.CreateWindowExA（W）【參考答案】：ABCD.在以下的傳遞方式中，（）是函數(shù)傳遞參數(shù)的方式［多選］A.棧方式 B.隊列方式 C.寄存器方式 D.通過全局變量進行隱含參數(shù)傳遞【參考答案】：ACD.傳統(tǒng)的系統(tǒng)引導與啟動方法主要借助（）。

A.BIOSB.MBRC.UEFID.GPTA.BIOSB.MBRC.UEFID.GPT【參考答案】：AB.有關(guān)進程和線程的數(shù)據(jù)結(jié)構(gòu)有()。A.EPROCESSB.ETHREADC.PEBD.TEB【參考答案】：ABCD.以下是資源類型的有A.VC類標準資源 B.Delphi類標準資源C.非標準的Unicode字符D.標準的ASCII字符【參考答案】：ABC.常用的數(shù)據(jù)傳送函數(shù)有()A.send()B.recv()C.WSASend()D.WSARecv()【參考答案】：ABCD.下列是匯編引擎的有()。A.ODAssemblerB.KeystoneC.AsmJitD.Capstone【參考答案】：ABC.判定樹是當switch的case項非常多時，采用的一種優(yōu)化方案T.對F.錯【參考答案】：A.微軟符號也包含多個數(shù)據(jù)結(jié)構(gòu)的類型信息，內(nèi)部類型全都都已經(jīng)被公開T.對F.錯【參考答案】：B.符號表依賴于被分析文件的具體版本，它們隨著文件的更新或修復也不會改變T.對F.錯【參考答案】：B.當PE文件裝載內(nèi)存后準備執(zhí)行時，所有函數(shù)入口地址排列在一起T.對F.錯【參考答案】：A.x86平臺上將SEH數(shù)據(jù)結(jié)構(gòu)存放在棧中是一種非常安全的行為。T.對F.錯【參考答案】：B.在另外一些情況下，對話框不是以資源形式存在的，通過常用斷點就可以攔截不下來T.對F.錯【參考答案】：A.OllyDbg是一款具有可視化界面的用戶模式調(diào)試器，可以在當前各種版本的Windows上運行T.對F.錯【參考答案】：A43.資源用類似于磁盤目錄結(jié)構(gòu)的方式保存，目錄通常包含3層。T.對F.錯【參考答案】：A44.OllyDump是OllyDbg最常使用的插件，它能夠?qū)⒁粋€被調(diào)試的進程轉(zhuǎn)儲成一個EXE文件。T.對F.錯【參考答案】：B45.OllyDbg能進行靜態(tài)分析T.對F.錯【參考答案】：A.PE文件格式在頭部存儲了很多有趣的信息。我們可以使用PEview工具來瀏覽這些信息。T.對F.錯【參考答案】：A.ShadowSSDT能像SSDT一樣在自己的模塊中導入和直接引用。T.對F.錯【參考答案】：B.如果使用StepOver，你可以跟蹤每一步的執(zhí)行。你可以跟蹤每一步的執(zhí)行。T.對F.錯【參考答案】：B.VEH可以取代SHET.對F.錯【參考答案】：B.數(shù)組是相同數(shù)據(jù)類型的元素的集合，它們在內(nèi)存中按不連續(xù)的順序存放在一起。T.對F.錯【參考答案】：B.Enablewindow()函數(shù)的功能是允許或禁止指定窗口T.對F.錯【參考答案】：A.在對軟件進行一定程度的粗跟蹤之后，并不能獲取軟件中我們所關(guān)心的模塊或程序段。T.對F.錯【參考答案】：B.x64平臺上原生x64程序的異常分發(fā)不僅也有兩次分發(fā)機會，而且也支持SEH和VEH兩種異常處理機制T.對F.錯【參考答案】：A.每個PE文件都是以一個DOS程序開始的，有了它，一旦程序在DOS下執(zhí)行，DOS就能識別出這是一個有效的執(zhí)行體。T.對F.錯【參考答案】：A.TEB中的ProcessEnvironmentBlock就是PEB結(jié)構(gòu)的地址。T.對F.錯【參考答案】：A.異常是在應(yīng)用程序執(zhí)行過程中發(fā)生的不正常事件。由CPU引發(fā)的異常稱為##異常，例如訪問一個無效的內(nèi)存地址。【參考答案】：硬件.應(yīng)用層的進程、線程、文件、驅(qū)動模塊、事件、信號量等對象或者打開的句柄在內(nèi)核中都有與之對應(yīng)的##?！緟⒖即鸢浮浚簝?nèi)核對象.虛擬內(nèi)存管理器控制虛擬內(nèi)存地址到##內(nèi)存地址的映射?！緟⒖即鸢浮浚何锢?簡述Windows異常處理機制中VEH與SEH的差異？【參考答案】：（1） 注冊機制不同優(yōu)先級不同作用范圍不同VEH不需要棧展開.簡述動態(tài)分析時，OllyDbg是如何設(shè)置內(nèi)存訪問斷點的?【參考答案】：OllyDbg可以設(shè)置內(nèi)存訪問斷點或內(nèi)存寫入斷點，原理是對所設(shè)的地址賦予不可訪問/不可寫屬性，這樣當訪問/寫入的時候就會產(chǎn)生異常。OllyDbg截獲異常后，比較異常地址是不是斷點地址，如果是就中斷，讓用戶繼續(xù)操作。.簡述PE文件結(jié)構(gòu)中的基地址、虛擬地址和相對虛擬地址，以及虛擬地址和相對虛擬地址之間的轉(zhuǎn)換公式。【參考答案】：當PE文件通過Windows加載器載入內(nèi)存后，內(nèi)存中的版本稱為模塊(Module)映射文件的起始內(nèi)存地址稱為模塊句柄(hModule