奧鵬南開課程考試《逆向工程》19秋期末考核

1、設(shè)置斷點(diǎn)的快捷鍵是（）A. F7B. F4C. F2D. F9正確答案 :C系統(tǒng)服務(wù)描述表的英文縮寫是（） 。A. SSDTB. IATC. GPTD. IRP正確答案 :A在以下PE文件的常見區(qū)塊中，哪一個(gè)包含讀寫數(shù)據(jù)塊。A. .textB. .dataC. .idataD. .edata正確答案 :B（）支持函數(shù)式匯編。A. ODDisasmB. BeaEngineC. KeystoneD. AsmJit正確答案 :D（）是一個(gè)以C+封裝的完整的JIT匯編器和編譯器。A. ODDisasmB. BeaEngineC. Udis86D. AsmJit正確答案 :D假設(shè)整形數(shù)組ary的首地址是

2、0x1000，則ary2的位置是A. 0x1000B. 0x1004C. 0x1008D. 0x100C正確答案 :CIDA插件的安裝要將已編譯的插件模塊復(fù)制到IDA的（）目錄中。A. cfgB. idcC. loadersD. plugins正確答案 :D（）能解碼每一條指令所使用和影響的寄存器。A. ODDisasmB. BeaEngineC. Udis86D. AsmJit正確答案 :B為了讓操作系統(tǒng)變得簡單，將設(shè)備驅(qū)動(dòng)程序運(yùn)行在（）級(jí)。A. R0B. R1C. R2D. R3正確答案 :A在4GB的虛擬地址空間中，包括一個(gè)（）的NULL空間和非法區(qū)域。A. 16KBB. 32KBC.

3、64KBD. 128KB正確答案 :C用十六進(jìn)制工具查看IMAGE_FILE_HEADER吉構(gòu)的情況時(shí)，以下字段中哪個(gè)代表可執(zhí)行文件的目 標(biāo)CPU類型。A. NumberOfSectionsB. MachineC. TimeDateStampD. Characteristics正確答案 :B（）可以將調(diào)試程序執(zhí)行過程中的事件記錄下來。A. 斷點(diǎn)B. 跟蹤C(jī) .修改可執(zhí)行文件D. 參考重命名正確答案 :B用戶的應(yīng)用程序 （ 就是用 Visual C+ 等工具開發(fā)的應(yīng)用程序 ）也是運(yùn)行在 （ ） 級(jí)上的。A. R0B. R1C. R2D. R3正確答案 :D代表文件緩存管理的函數(shù)前綴是（）A. E

4、xB. KeC. HALD. Cc正確答案 :D掛鉤SSDT中的（）函數(shù)可以防止搜索窗口。A. NtGdiBitBltB. NtGdiStretchBltC. NtUserSendInputD. NtUSerFindWindowEx正確答案 :D傳統(tǒng)的系統(tǒng)引導(dǎo)與啟動(dòng)方法主要借助（）A. BIOSB. MBRC. UEFID. GPT正確答案 :AB可以通過()函數(shù)調(diào)用和()段寄存器來訪問TEB結(jié)構(gòu)。A. NtCurreentTebB. deviceIoControlC. FSD. DS正確答案 :AC顯示窗口常用的函數(shù)有()？A. MessageBoxA(W)B. DialogBoxParam

5、A(W)C. ShowWindowD. CreateWindowExA(W)正確答案 :ABCDAPI利用調(diào)試器針對(duì) API 設(shè)置斷點(diǎn)的功能，就有可能找到判斷注冊(cè)碼的地方，常用來對(duì)話框的 都有哪些()？A. GetWindowTextA(W)B. GetDlgItemTextA(W)C. GetDlgItemInt()D. Hmemcpy函數(shù)正確答案 :ABCDWinDbg 支持哪些調(diào)試()A. 以打開、附加的方式調(diào)試應(yīng)用程序B. 可以分析Dump文件C. 可以進(jìn)行遠(yuǎn)程調(diào)試D. 內(nèi)核調(diào)試正確答案 :ABCD有關(guān)進(jìn)程和線程的數(shù)據(jù)結(jié)構(gòu)有()A. EPROCESSB. ETHREADC. PEBD.

6、 TEB正確答案 :ABCD去除警告窗口常用的 3 種方法是（）？A. 修改程序的資源B. 靜態(tài)分析C. 動(dòng)態(tài)分析D. 放置不管正確答案 :ABCC+勺三大核心機(jī)制是什么（）A封裝B. 繼承C. 對(duì)象D. 多態(tài)正確答案 :ABD下列是匯編引擎的有（）A. ODAssemblerB. KeystoneC. AsmJitD. Capstone正確答案 :ABC以下是 for 循環(huán)的執(zhí)行組件的是A. 初始化B. 比較C. 執(zhí)行指令D. 遞增或遞減正確答案 :ABCD所謂粗跟蹤，是指在跟蹤時(shí)要大塊大塊地跟蹤。T. 對(duì)F. 錯(cuò)正確答案 :AOllyDbg 每次出現(xiàn)異常時(shí)都要通過比較來確定是否應(yīng)該中斷T.

7、對(duì)F. 錯(cuò) 正確答案 :A延遲載入不是操作系統(tǒng)的特征，其通過向鏈接器和運(yùn)行庫加入額外的代碼和數(shù)據(jù)來實(shí)現(xiàn)。T. 對(duì)F. 錯(cuò)正確答案 :A調(diào)用虛函數(shù)時(shí)，程序先取出虛函數(shù)表指針，得到虛函數(shù)表的地址，再根據(jù)這個(gè)地址到虛函數(shù)表 中取出該函數(shù)的地址，最后調(diào)用該函數(shù)。T. 對(duì)F. 錯(cuò)正確答案 :A當(dāng) PE 文件裝載內(nèi)存后準(zhǔn)備執(zhí)行時(shí)，所有函數(shù)入口地址排列在一起T. 對(duì)F. 錯(cuò)正確答案 :AKeystone 和 Capstone 是同一系列的引擎，由同一維護(hù)者主導(dǎo)開發(fā)。 Capstone 主要負(fù)責(zé)跨平臺(tái) 多指令集的反匯編工作，而Keystone主要負(fù)責(zé)跨平臺(tái)多指令集的匯編工作。與OllyDbg的匯編器一樣， K

8、eystone 也只支持文本匯編，不支持像 AsmJit 那樣的函數(shù)式匯編T. 對(duì)F. 錯(cuò) 正確答案 :AINT 3 斷點(diǎn)可以在程序啟動(dòng)之前設(shè)置，消息斷點(diǎn)只有在窗口被創(chuàng)建之后才能被設(shè)置并攔截消息T. 對(duì)F. 錯(cuò)正確答案 :AOllyDbg 可以直接附加到隱藏進(jìn)程T. 對(duì)F. 錯(cuò)正確答案 :A通過包含提示信息的程序片段，就可以知道提示信息前后的程序片段所完成的功能，從而宏觀 地了解軟件。T.對(duì)F. 錯(cuò)正確答案 :ANET文件是Microsoft .NET環(huán)境生成的可執(zhí)行文件T. 對(duì)F. 錯(cuò)正確答案 :A虛擬內(nèi)存管理器控制虛擬內(nèi)存地址到#內(nèi)存地址的映射。正確答案 : 物理IP地址

9、 對(duì)應(yīng)的正整數(shù)16進(jìn)制表示0X7F000001，在內(nèi)存中占用了4個(gè)字節(jié)，該整數(shù)的小端字節(jié)序表示是 #。正確答案 :AAABAAAAHA應(yīng)用層的進(jìn)程、線程、文件、驅(qū)動(dòng)模塊、事件、信號(hào)量等對(duì)象或者打開的句柄在內(nèi)核中都有與 之對(duì)應(yīng)的 #。正確答案 :內(nèi)核對(duì)象異常是在應(yīng)用程序執(zhí)行過程中發(fā)生的不正常事件。由CPU引發(fā)的異常稱為#異常，例如訪問個(gè)無效的內(nèi)存地址。正確答案 : 硬件當(dāng)PE文件被載入時(shí)，Windows加載器的工作之一就是定位所有被輸入的函數(shù)和數(shù)據(jù)，并讓正在載入的文件可以使用那些地址。這個(gè)過程是通過 PE文件的#完成的，其中保存的是函數(shù)名和其駐留的DLL名等動(dòng)態(tài)鏈接所需的信息。正確答案 : 輸入表 簡述軟件逆向工程中的靜態(tài)分析和動(dòng)態(tài)分析技術(shù)，并列出兩種分析方法各自使用的常用