軟件保護(hù)技術(shù)-復(fù)習(xí)題.doc

第1章 基礎(chǔ)知識(shí)1判斷題1字符“D” 的Unicode碼的十六進(jìn)制是0x0042 2如“0”的ASCII碼是30H，“A”的ASCII碼是40H，“a”的ASCII碼是60H。3Unicode是一種新的編碼方式，不包含ASCII的一個(gè)擴(kuò)展。4Windows中的注冊(cè)表對(duì)軟件保護(hù)來(lái)說(shuō)沒(méi)有什么作用。5Windows中文件句柄句柄（Handle）是Windows用來(lái)標(biāo)識(shí)被應(yīng)用程序所建立或使用的對(duì)象的唯一整數(shù)值。6API函數(shù)是提供應(yīng)用程序運(yùn)行所需要的窗口管理、圖形設(shè)備接口、內(nèi)存管理等各項(xiàng)服務(wù)功能的函數(shù)，API函數(shù)是以dll庫(kù)的形式組織在一起。716位CPU的數(shù)據(jù)寄存器組表示AX、BX等，32位CPU的數(shù)據(jù)寄存器組表示EAX、EBX等，64位CPU的數(shù)據(jù)寄存器組表示RAX、RBX等。8字符“C”在計(jì)算機(jī)內(nèi)存中的Unicode碼的十六進(jìn)制是0x0043。9PostMessage函數(shù)將一條消息投遞到指定窗口的程序隊(duì)列。1016位CPU的數(shù)據(jù)寄存器組表示AX、BX等，32位CPU的數(shù)據(jù)寄存器組表示EAX、EBX等，64位CPU的數(shù)據(jù)寄存器組表示RAX、RBX等。11Windows系統(tǒng)中有兩種消息隊(duì)列：一種是系統(tǒng)消息隊(duì)列，另一種是應(yīng)用程序消息隊(duì)列。12. Windows的API函數(shù)一般是存放在動(dòng)態(tài)鏈接庫(kù)DLL中。13.Unicode也是ASCII的一個(gè)擴(kuò)展，在Unicode用4個(gè)字節(jié)來(lái)表示。2填空題1如“1”的ASCII碼是31H（48D），“A”的ASCII碼是 ，“a”的ASCII碼是61H。2PE文件使用的是一個(gè)平面地址空間，所有代碼和 都被合并在一起。3字符“ ” 的Unicode碼的十六進(jìn)制是0x0042。4如“1”的ASCII碼是31H（49D），“D”的ASCII碼是 ，“c”的ASCII碼是63H（97D）。5字母p的ASCII碼值是70H，所以字母p的Unicode碼值是 。 6字母p的ASCII碼值是70H，所以字母p的Unicode碼值在內(nèi)存中存放的形式是 。7字符“A”的unicode碼表示為 。（0x0041）8Windows將完成不同功能的API函數(shù)分類放到不同 中。（動(dòng)態(tài)鏈接庫(kù)DLL）9注冊(cè)表的 不能被刪除、添加和修改。10. Unicode也是ASCII的一個(gè)擴(kuò)展，在Unicode中用 字節(jié)來(lái)表示。11. 英文小寫(xiě)字母的ASCII碼范圍是0x61-0x7A，比相應(yīng)大寫(xiě)字母的ASCII碼值多 。0x 20。3簡(jiǎn)答題1保護(hù)模式2API函數(shù)3windows注冊(cè)表4動(dòng)態(tài)鏈接庫(kù)DLL5選擇題1在保護(hù)模式下，所有的應(yīng)用程序都有權(quán)限級(jí)別，并分為 個(gè)等級(jí)。A1 B2 C3 D42如“0”的ASCII碼是 ，“A”的ASCII碼是41H（65D），“a”的ASCII碼是61H（97D）。 A20H B30H C40H D50H 3Windows系統(tǒng)中有兩種消息隊(duì)列：一種是 ，另一種是應(yīng)用程序消息隊(duì)列。A堆棧消息隊(duì)列 B系統(tǒng)消息隊(duì)列 C代碼消息隊(duì)列 D進(jìn)程消息隊(duì)列4Windows中 包括進(jìn)程與線程控制、內(nèi)存管理、文件訪問(wèn)等，提供操作系統(tǒng)核心功能服務(wù)；AKernel32.dll BUser32.dll CGdi32.dll DAdvapi32.dll5注冊(cè)表是Windows的核心數(shù)據(jù)庫(kù)，針對(duì)注冊(cè)表，下面說(shuō)法錯(cuò)誤的有： 。A注冊(cè)表的所有鍵都可以修改B注冊(cè)表的子鍵可以修改C注冊(cè)表的主鍵不能修改D注冊(cè)表的主鍵用大寫(xiě)字母表示6Windows將完成不同功能的API函數(shù)分類放到不同DLL中，其中_是Windows中最重要的動(dòng)態(tài)鏈接庫(kù)AKernel32.dll BAdvapi32.dll CNetAPI32.dll DShell32.dll7與網(wǎng)絡(luò)相關(guān)是API函數(shù)一般在 動(dòng)態(tài)鏈接庫(kù)中。AKernel32.dll BAdvapi32.dll CNetAPI32.dll DShell32.dll 8. RegOpenKeyEx（）函數(shù)中有4個(gè)形式參數(shù)，其中REGSAM samDesired形式參數(shù)的作用是 。A打開(kāi)注冊(cè)表主鍵 B打開(kāi)注冊(cè)表子鍵 C獲取子鍵名的地址 D確定對(duì)注冊(cè)表進(jìn)行何種操作。9. Unicode也是ASCII的一個(gè)擴(kuò)展，在Unicode用 來(lái)表示。A1個(gè)字節(jié) B2字節(jié) C3字節(jié) D4字節(jié)第2章 代碼分析技術(shù)1判斷題1PE文件的在磁盤(pán)上的數(shù)據(jù)結(jié)構(gòu)與在內(nèi)存中的數(shù)據(jù)結(jié)構(gòu)是一致的。2StdCall（標(biāo)準(zhǔn)調(diào)用Standard Call）調(diào)用約定是Win32 API函數(shù)采用的約定方式，即函數(shù)入口參數(shù)按從左到右的順序入棧。3操作系統(tǒng)在執(zhí)行一個(gè)函數(shù)時(shí)，首先調(diào)用函數(shù)名，然后再對(duì)函數(shù)的參數(shù)進(jìn)行壓棧。4某文件的VA= 0x401122，k0xB01，ImageBase=0x400000，F(xiàn)ile Offset=0x621。5在保護(hù)模式下，所有的應(yīng)用程序都有權(quán)限級(jí)別，并分為4個(gè)等級(jí)，其中0特權(quán)級(jí)別最低，3特權(quán)級(jí)別最高。6注冊(cè)表監(jiān)視軟件regmon等可以作為黑殼工具使用，對(duì)軟件保護(hù)沒(méi)有任何作用。7PE文件使用的是一個(gè)平面地址空間，所有代碼和數(shù)據(jù)都被分開(kāi)。8在PE文件中的區(qū)塊.text是在編譯或匯編結(jié)束時(shí)產(chǎn)生的塊，代表是可執(zhí)行文件的指令代碼。9在PE文件中，不同區(qū)塊的，各代碼或數(shù)據(jù)地址的偏移量一定相等。10操作系統(tǒng)在執(zhí)行一個(gè)函數(shù)時(shí)，首先調(diào)用函數(shù)名，然后在對(duì)函數(shù)的形式參數(shù)進(jìn)行壓棧。11.長(zhǎng)轉(zhuǎn)移（Long jump）指令中無(wú)條件轉(zhuǎn)移的機(jī)器碼是5個(gè)字節(jié)，條件轉(zhuǎn)移的機(jī)器碼是8字節(jié)。2填空題1PE文件的在磁盤(pán)上的數(shù)據(jù)結(jié)構(gòu)與在內(nèi)存中的結(jié)構(gòu)是 。2StdCall（標(biāo)準(zhǔn)調(diào)用Standard Call）調(diào)用約定是Win32 API函數(shù)采用的約定方式，即函數(shù)入口參數(shù)按 _的順序入棧。3某文件的VA= ，k0xB01，ImageBase=0x400000，F(xiàn)ile Offset=0x6214在WindowsXP中可執(zhí)行文件使用了 文件格式。5無(wú)條件短轉(zhuǎn)移的機(jī)器碼形式為EB*。如有指令：401000 jmp 401011： ：401011 xor eax，eax則jmp 401010的機(jī)器碼是 。6在“0167:00401000”中，00401000表示內(nèi)存的 ，一般來(lái)說(shuō)，同一程序的同一條指令在不同系統(tǒng)環(huán)境下，此值相同。（3個(gè)題目）7在“0167:00401000”中，0167：表示 ，其數(shù)據(jù)保存在CS段選擇器里，同一程序在不同系統(tǒng)環(huán)境下， 此值可能不同。（3個(gè)題目）8.長(zhǎng)轉(zhuǎn)移（Long jump）指令中無(wú)條件轉(zhuǎn)移的機(jī)器碼是 ，條件轉(zhuǎn)移的機(jī)器碼是6字節(jié)。9.在PE文件中，每一個(gè)區(qū)塊都有不同的名字，這個(gè)名字用來(lái)表示區(qū)塊的 。每一個(gè)區(qū)塊的大小不受限制。3簡(jiǎn)答題1文件偏移地址2句柄3虛擬地址4基地址5實(shí)模式6相對(duì)虛擬地址7注冊(cè)表8. PE格式4應(yīng)用題1如有下面c+程序：Myadd（int x, int y） int temptemp =x+y return= temp 寫(xiě)出其反匯編代碼，并解釋每個(gè)匯編語(yǔ)句的作用。2例如下面的c函數(shù)：Mysub1（y,x） erg=x-y Mysub1=erg 假設(shè)其反匯編代碼見(jiàn)答題紙，請(qǐng)解釋每個(gè)匯編語(yǔ)句的作用。5選擇題1某文件的VA= ，k0xB01，ImageBase=0x400000，F(xiàn)ile Offset=0x621A0x004621 B0x401122 C0x000756 D0x0006212PE文件使用的是一個(gè) 空間，所有代碼和數(shù)據(jù)都被合并在一起。A代碼地址 B平面地址 C4段地址 D立體地址3在保護(hù)模式下，所有的應(yīng)用程序都有權(quán)限級(jí)別，并分為 個(gè)等級(jí)。A1 B2 C3 D44某文件的VA= ，k0xB01，ImageBase=0x400000，F(xiàn)ile Offset=0x621A0x004621 B0x401122 C0x000756 D0x000621 5字符“ ” 的Unicode碼的十六進(jìn)制是0x0043AA BB CC DD6StdCall（標(biāo)準(zhǔn)調(diào)用Standard Call）調(diào)用約定是Win32 API函數(shù)采用的約定方式，即函數(shù)入口參數(shù)按 的順序入棧。A從右到左 B從下到上 C從左到右 D從上到下 7在“0167:00401000”中，0167：表示 ，其數(shù)據(jù)保存在CS段選擇器里，同一程序在不同系統(tǒng)環(huán)境下，此值可能不同。A內(nèi)存補(bǔ)丁 B段選擇子 C虛擬地址 D文件偏地址8. 長(zhǎng)轉(zhuǎn)移（Long jump）指令中無(wú)條件轉(zhuǎn)移的機(jī)器碼是 ，條件轉(zhuǎn)移的機(jī)器碼是6字節(jié)。A4個(gè)字節(jié) B5個(gè)字節(jié) C6個(gè)字節(jié) D8個(gè)字節(jié)9.用 函數(shù)可以獲得注冊(cè)表中一個(gè)項(xiàng)的值。A. RegOpenKeyEx（） B. RegCloseKey（）C. RegSetValueEx（） D. RegQueryValueEx( )第3章 靜態(tài)分析技術(shù)1判斷題1在調(diào)試器窗口中有：“016F：0040436 50 PUSH EAX”字符，其中“50”表示指令的相對(duì)虛擬地址。（錯(cuò)）2在一些常用的工具軟件中，其中 W32Dasm和IDA Pro可以用來(lái)對(duì)軟件進(jìn)行靜態(tài)分析。（對(duì)） 3在一些常用的工具軟件，其中ResourceHacker是可執(zhí)行文件編輯工具。4用W32Dasm打開(kāi).exe程序后，在主窗口中將顯示反匯編代碼等信息，其中第一部分是區(qū)塊信息 。 5在用W32Dasm等靜態(tài)分析工具分析軟件時(shí)，需要找到代碼的開(kāi)始處。6靜態(tài)分析時(shí)，我們應(yīng)該重點(diǎn)分析程序入口點(diǎn)處的反匯編代碼。7所謂靜態(tài)分析即從反匯編出來(lái)的程序清單上分析程序流程，從提示信息入手，了解軟件的編程思路。8IDA Pro內(nèi)核模式調(diào)試器是指能調(diào)試操作系統(tǒng)內(nèi)核的調(diào)試器，它們工作在Ring 0級(jí)。9一般.exe文件可以有輸入函數(shù)，也可以有輸出函數(shù)。10用W32Dasm分析.exe文件件時(shí)，可以看到輸入表和輸出表中具體函數(shù)。11在用W32Dasm等工具分析軟件時(shí)，需要找到程序的入口點(diǎn)（Goto Program Entry Point），也就是源程序代碼執(zhí)行的起始點(diǎn)。12漢化軟件時(shí)，最好的方法是要知道原程序的高級(jí)語(yǔ)言代碼。2填空題1已知有反匯編語(yǔ)句：* Reference To: USER32.PostQuitMessage, Ord:01E0h | :00401167 FF15B0404000 Call dword ptr 004040B0；其中Call dword ptr 004040B0表示 。2所謂 ，即從反匯編出來(lái)的程序清單上分析程序流程，從提示信息入手，進(jìn)行分析，以便了解軟件中各模塊所完成的功能，各模塊之間的關(guān)系，了解軟件的編程思路。3有反匯編代碼：* Referenced by a (U)nconditional or (C)onditional Jump at Address:|:004010DF(C);| :00401110 8B44240C mov eax, dword ptr esp+0C其中:004010DF(C)表示 。4在一些常用的分析工具軟件中，其中 和IDA Pro可以用來(lái)對(duì)軟件進(jìn)行靜態(tài)分析。5在調(diào)試器窗口中有：“016F：0040436 50 PUSH EAX”字符，其中“0040436”表示指令的 。6在常用的靜態(tài)分析工具軟件中，其中 是可執(zhí)行文件編輯編輯工具。7代碼段有一條如下無(wú)條件轉(zhuǎn)移指令： ：401000 jmp 402398 ：402398 xor eax，eax無(wú)條件長(zhǎng)轉(zhuǎn)移指令的長(zhǎng)度是 個(gè)字節(jié)，機(jī)器碼是E9。8 是一個(gè)功能強(qiáng)大的靜態(tài)反匯編工具，操作簡(jiǎn)單，使用方便，并且免費(fèi)。5選擇題1在調(diào)試器窗口中有：“016F：0040436 50 PUSH EAX”字符，其中“0040436”表示指令的 。 A機(jī)器碼 B段選擇地址 C虛擬地址 D機(jī)器地址2下面是一些常用的工具軟件，其中 是可執(zhí)行文件資源編輯工具。Asoftice BASPack CResource Hacker DPEiDentifer3在用W32Dasm等工具分析軟件時(shí)，需要找到程序入口點(diǎn)（Goto Program Entry Point），也就是 。A程序執(zhí)行的起始點(diǎn) B代碼開(kāi)始的起始點(diǎn)C反匯編指令的起始點(diǎn) D匯編指令的起始點(diǎn)4OllyDbg用戶模式調(diào)試器是指用來(lái)調(diào)試用戶模式的應(yīng)用程序，它們工作在 。ARing 0級(jí) BRing 1級(jí) CRing 2級(jí) DRing 3級(jí)5所謂 即從反匯編出來(lái)的程序清單上分析程序流程，從提示信息入手，進(jìn)行分析，以便了解軟件中各模塊所完成的功能，各模塊之間的關(guān)系，了解軟件的編程思路A靜態(tài)分析 B動(dòng)態(tài)分析 C資源分析 D代碼分析6設(shè)有反匯編代碼* Reference To: USER32.LoadIconA, Ord:019Eh :00401033 FF15B4404000 Call dword ptr 004040B4 ，下面說(shuō)法錯(cuò)誤的是：ACall dword ptr 004040B4語(yǔ)句表示調(diào)用LoadIconA函數(shù)BFF15B4404000是Call dword ptr 004040B4語(yǔ)句的機(jī)器碼CLoadIconA函數(shù)的參數(shù)還沒(méi)有被壓棧D00401033表示Call dword ptr 004040B4語(yǔ)句的文件的虛擬地址7下面是一些常用的工具軟件，其中 軟件是典型的文本編輯軟件。Asoftice BHiew CSuperscan DProcDump8下面是一些常用的工具軟件，其中 是可執(zhí)行文件資源編輯工具。Asoftice BASPack CResource Hacker DPEiDentifer9下面是一些常用的工具軟件，其中 和IDA Pro可以用來(lái)對(duì)軟件進(jìn)行靜態(tài)分析。 ASoftice BASPack CW32Dasm DSniffer10. 用W32Dasm打開(kāi)可執(zhí)行文件.exe程序后，在主窗口中第一列顯示 信息。A.注釋 B.機(jī)器碼 C.匯編代碼 D.虛擬地址第4章 動(dòng)態(tài)分析技術(shù)1判斷題1. OllyDbg打開(kāi)TraceMe后，按F9或shfit+F9鍵就可讓它運(yùn)行。2. OllyDbg代碼窗口顯示被調(diào)試程序的代碼。它有四個(gè)列；相對(duì)虛擬地址、機(jī)器碼、匯編代碼和注釋。3. SoftICE是Compuware NuMega公司開(kāi)發(fā)的最著名的動(dòng)態(tài)調(diào)試工具。4.消息斷點(diǎn)使得當(dāng)某個(gè)特定窗口函數(shù)發(fā)送到某個(gè)特定消息時(shí)程序中斷。5. OllyDbg用戶模式調(diào)試器是指用來(lái)調(diào)試用戶模式的應(yīng)用程序，它們工作在Ring 0級(jí)6. 安裝SoftICE成功后，按“Ctrl+C” 鍵可以激活并打開(kāi)一個(gè)調(diào)試窗口。7動(dòng)態(tài)分析技術(shù)是指通過(guò)分析反匯編代碼來(lái)理解其代碼功能等，逆向推出原軟件的思路。2填空題1動(dòng)態(tài)分析技術(shù)中最重要的工具是調(diào)試器，分為用戶模式和 兩種類型。2安裝OllyDbg成功后，按 鍵可以設(shè)置代碼定位斷點(diǎn)。3OllyDbg打開(kāi)TraceMe后，按鍵 就可讓它運(yùn)行。415OllyDbg代碼窗口顯示被調(diào)試程序的代碼。它有四個(gè)列； 、Hex dump（機(jī)器碼）、Disassembly（匯編代碼）和Comment（注釋）。5 是Compuware NuMega公司開(kāi)發(fā)的最著名的動(dòng)態(tài)軟件調(diào)試工具。6教材中介紹的用戶模式軟件動(dòng)態(tài)調(diào)試器是 。7 使得當(dāng)某個(gè)特定窗口函數(shù)接收到某個(gè)特定消息時(shí)程序中斷。8Ollydbg打開(kāi)TraceMe后，按 鍵就可以實(shí)現(xiàn)單步跟蹤，并且可以跟蹤到函數(shù)內(nèi)部中。5選擇題1 使得當(dāng)某個(gè)特定窗口函數(shù)接收到某個(gè)特定消息時(shí)程序中斷。A數(shù)據(jù)斷點(diǎn) B代碼斷點(diǎn) C條件斷點(diǎn) D消息斷點(diǎn)2用OllyDbg打開(kāi)TraceMe后，按 鍵就可讓TraceMe運(yùn)行起來(lái)。AF2或shfit+F2 BF4或shfit+F4 CF8或shfit+F8 DF9或shfit+F93OllyDbg代碼窗口顯示被調(diào)試程序的代碼，它有四個(gè)列；Address、Hex dump、Disassembly和 。AWindows BCode COrder DComment第5章 軟件保護(hù)技術(shù)及其弱點(diǎn)1判斷題1用Set Timer（）函數(shù)作為時(shí)間限制，當(dāng)程序不再需要計(jì)時(shí)器時(shí)，可以調(diào)用KillTimer（）來(lái)銷毀計(jì)時(shí)器。2分析Key File文件時(shí)，教材中使用文件監(jiān)視工具名filemon。3采用日期限制的軟件不需要防RegMon, FileMon之類的監(jiān)視軟件。4在程序運(yùn)行前，用FindWindow，GetWindowText函數(shù)查找具相同窗口類名和標(biāo)題的窗口，用這種方法也不能讓程序只運(yùn)行一個(gè)事例。5軟件將菜單變灰或變?yōu)椴豢捎?，一般采用EnableMenuItem（）等函數(shù)。6若要找到序列號(hào)，或者修改判斷序列號(hào)之后的跳轉(zhuǎn)指令，可以利用各種調(diào)試器來(lái)定位判斷序列號(hào)的數(shù)據(jù)段。7通過(guò)用戶名來(lái)驗(yàn)證注冊(cè)碼的正確性時(shí)，用來(lái)生成注冊(cè)碼的函數(shù)F直接出現(xiàn)在應(yīng)用軟件代碼中。8時(shí)間限制程序有兩類，其中包括限制軟件每次的運(yùn)行時(shí)間。9在解除網(wǎng)絡(luò)驗(yàn)證時(shí)，除了寫(xiě)服務(wù)端外，也可直接修改客戶端程序程序，將封包中的數(shù)據(jù)整合進(jìn)去。10. Windows是一個(gè)多任務(wù)的操作系統(tǒng)，應(yīng)用程序可以多次運(yùn)行以形成多個(gè)運(yùn)行實(shí)例。所以我們不能控制程序只能運(yùn)行一個(gè)實(shí)例。11. 通過(guò)用注冊(cè)碼= F（用戶名）來(lái)驗(yàn)證注冊(cè)碼的正確性時(shí)，正確的注冊(cè)碼不會(huì)出現(xiàn)在內(nèi)存中。2填空題1若要找到序列號(hào)，或者修改判斷序列號(hào)之后的跳轉(zhuǎn)指令，可以利用各種調(diào)試器來(lái)定位判斷序列號(hào)的 。2軟件將菜單變灰或變?yōu)椴豢捎茫话悴捎?函數(shù)。3通過(guò)注冊(cè)碼來(lái)驗(yàn)證用戶名的正確性時(shí)，用來(lái)生成注冊(cè)碼的函數(shù)F 在應(yīng)用軟件代碼中。4分析Key File文件時(shí)，教材中使用文件監(jiān)視工具名是 。5用SetTimer（）函數(shù)作為時(shí)間限制，當(dāng)程序不再需要計(jì)時(shí)器時(shí)，可以調(diào)用 來(lái)銷毀計(jì)時(shí)器。6采用日期限制的軟件必須能防RegMon、 之類的監(jiān)視軟件，否則很容易被找到日期的存放位置。7. 網(wǎng)絡(luò)驗(yàn)證是目前流行的一種保護(hù)技術(shù)，其優(yōu)點(diǎn)是可以將一些關(guān)鍵數(shù)據(jù)放到 上。4應(yīng)用題1編寫(xiě)程序，實(shí)現(xiàn)如下功能：（1）當(dāng)用戶輸入錯(cuò)誤口令次數(shù)超過(guò)5次時(shí)，關(guān)閉程序。（2）限制用戶使用弱口令，如11111、12345等。（3）口令每使用一個(gè)星期后，要求更換口令。（4）限制用戶不能循環(huán)使用舊口令。 注意：對(duì)程序中所使用的變量作用要進(jìn)行說(shuō)明。2編寫(xiě)一程序，該程序可以完成加法運(yùn)算，但執(zhí)行該程序時(shí)每隔2分鐘就會(huì)彈出警告窗口，提示“請(qǐng)購(gòu)買正式版本”。3在設(shè)計(jì)軟件時(shí)，采取哪些措施可以保護(hù)軟件不容易被破解。4.設(shè)計(jì)軟件使用時(shí)間限制保護(hù)時(shí)，要注意哪些問(wèn)題？5選擇題1采用日期限制的軟件必須能防RegMon， 之類的監(jiān)視軟件，否則很容易被找到日期的存放位置。AFileMon BOllyDbg CeXeScope DW32Dsam2在程序運(yùn)行前，用FindWindow，GetWindowText函數(shù)查找具相同窗口類名和標(biāo)題的窗口，用這種方法可以實(shí)現(xiàn) 。A使用時(shí)間限制 B使用時(shí)間端限制C限制菜單使用 D讓程序只運(yùn)行一個(gè)事例3若要找到序列號(hào)，或者修改判斷序列號(hào)之后的跳轉(zhuǎn)指令，可以利用各種調(diào)試器來(lái)定位判斷序列號(hào)的 。A堆棧段 B附加數(shù)據(jù)段 C數(shù)據(jù)段 D代碼段4分析Key File文件時(shí)，教材中使用文件監(jiān)視工具名 。Aregmon Bfilemon Casprotect Dupx5軟件將菜單變灰或變?yōu)椴豢捎?，一般采?函數(shù)。AEnableWindow（） BKillMenu56（）CEnableMenuItem（） DGetTickCount（ ）6通過(guò)時(shí)間段的限制來(lái)保護(hù)軟件版權(quán)時(shí)，應(yīng)用軟件可以 。 A保存軟件正在使用的時(shí)間B保存軟件安裝時(shí)間 C保存軟件安裝時(shí)間和最后一次使用的時(shí)間D保存軟件最后一次使用的時(shí)間7用SetTimer（）函數(shù)作為時(shí)間限制，當(dāng)程序不再需要計(jì)時(shí)器時(shí)，可以調(diào)用 來(lái)銷毀計(jì)時(shí)器。ATimeGetTime（ ） BKillTimer（）CTimeEetEvent（ ） DGetTickCount（ ）8分析Key File文件時(shí)，教材中使用文件監(jiān)視工具名 。Aregmon Bupx Casprotect Dfilemon 9 對(duì)網(wǎng)絡(luò)驗(yàn)證進(jìn)行攻擊時(shí)，最好的方法是分析 。 A數(shù)據(jù)包 B服務(wù)端程序代碼 C客戶端程序代碼 D序列號(hào)10. 網(wǎng)絡(luò)驗(yàn)證破解的一般思路是攔截 返回的數(shù)據(jù)包，分析程序是如何處理數(shù)據(jù)包的。A.路由器 B.網(wǎng)絡(luò) C.客戶機(jī) D服務(wù)器第7章 PE文件格式1判斷題1輸入表是以IID（IMAGE_IMPORT_DESCRIPTOR）數(shù)組開(kāi)始的，IID是描述PE文件中使用的DLL文件信息。（對(duì)）2輸入表結(jié)構(gòu)中與實(shí)際運(yùn)行相關(guān)的主要是IAT結(jié)構(gòu)，這個(gè)結(jié)構(gòu)中用于保存原程序的實(shí)際地址。2填空題1在保護(hù)模式下，所有的應(yīng)用程序都有權(quán)限級(jí)別，并分為 個(gè)等級(jí)，其中3特權(quán)級(jí)別最低，0特權(quán)級(jí)別最高。2輸入表結(jié)構(gòu)中與實(shí)際運(yùn)行相關(guān)的主要是IAT結(jié)構(gòu)，這個(gè)結(jié)構(gòu)中用于保存 的實(shí)際地址。3簡(jiǎn)答題1結(jié)構(gòu)化異常處理2文件輸入表3文件輸出表4. U盾5選擇題1輸入表結(jié)構(gòu)中與實(shí)際運(yùn)行相關(guān)的主要是 結(jié)構(gòu)，這個(gè)結(jié)構(gòu)中用于保存API的實(shí)際地址。AATA BIAT CAPI DDLL2PE文件的在 上的數(shù)據(jù)結(jié)構(gòu)與在內(nèi)存中的數(shù)據(jù)結(jié)構(gòu)是一致的。A寄存器 BCPU C硬盤(pán) D內(nèi)存第8章 反跟蹤技術(shù)1判斷題1當(dāng)一個(gè)異常發(fā)生時(shí)，操作系統(tǒng)要向引起異常的線程的堆棧里壓入3個(gè)結(jié)構(gòu)： EXCEPTION-WINDOWS，CONTEXT和EXCEPTION_POINTERS。2當(dāng)反匯編發(fā)生錯(cuò)誤時(shí)，導(dǎo)致反匯編的一些跳轉(zhuǎn)指令跳轉(zhuǎn)的位置無(wú)效，就可以斷定該程序中使用了花指令。3所謂異常（Exception ）就是在應(yīng)用程序的正常執(zhí)行過(guò)程中發(fā)生的不正常事件，CPU引發(fā)的異常稱為軟件異常。4所有應(yīng)用程序的SEH調(diào)用最終不需要Windows系統(tǒng)來(lái)處理。5Windows在創(chuàng)建線程時(shí)，操作系統(tǒng)均會(huì)為每個(gè)線程分配線程環(huán)境塊TEB，而且將堆棧段SS指向當(dāng)前線程的TEB數(shù)據(jù)。2填空題1Windows在創(chuàng)建線程時(shí)， 會(huì)為每個(gè)線程分配線程環(huán)境塊TEB，而且都將附加數(shù)據(jù)端FS指向當(dāng)前線程的TEB數(shù)據(jù)。2當(dāng)一個(gè)異常發(fā)生時(shí)，操作系統(tǒng)要向引起異常的線程的堆棧里壓入3個(gè)結(jié)構(gòu)： EXCEPTION-RECORD， _和EXCEPTION_POINTERS。3所謂異常（Exception ）就是在應(yīng)用程序的 過(guò)程中發(fā)生的不正常事件，CPU引發(fā)的異常稱為硬件異常。4在程序運(yùn)行前，用 ，GetWindowText函數(shù)查找具相同窗口類名和標(biāo)題的窗口，用這種方法可以實(shí)現(xiàn)讓程序只運(yùn)行一個(gè)事例。5所有應(yīng)用程序的SEH調(diào)用最終都由 來(lái)處理的。6當(dāng)反匯編發(fā)生錯(cuò)誤時(shí)，導(dǎo)致反匯編的一些跳轉(zhuǎn)指令跳轉(zhuǎn)的位置無(wú)效，就可以斷定該程序中使用了 。7. 除了CPU捕獲一個(gè)事件并引發(fā)一個(gè) 外，在代碼中也可以強(qiáng)制引發(fā)一個(gè)軟件異常。只需調(diào)用RaiseException函數(shù)。3簡(jiǎn)答題1“花指令” 2反跟蹤技術(shù)4應(yīng)用題1. 簡(jiǎn)述反跟蹤基本方法。2“花指令”有什么作用？ 5選擇題1當(dāng) 時(shí)，導(dǎo)致反匯編的一些跳轉(zhuǎn)指令跳轉(zhuǎn)的位置無(wú)效，就可以斷定該程序中使用了花指令。A反匯編運(yùn)行錯(cuò)誤 B反匯編代碼錯(cuò)誤C源程序運(yùn)行錯(cuò)誤 D源程序代碼錯(cuò)誤2所有應(yīng)用程序的SEH調(diào)用最終都由 來(lái)處理。AWindows線程 BWindows系統(tǒng) CWindows進(jìn)程 DWindows調(diào)試器3Windows在創(chuàng)建線程時(shí)，操作系統(tǒng)均會(huì)為每個(gè)線程分配線程環(huán)境塊TEB，而且都將 指向當(dāng)前線程的TEB數(shù)據(jù)。A代碼段 B附加數(shù)據(jù)段FS CECX D數(shù)據(jù)段 4當(dāng)一個(gè)異常發(fā)生時(shí)，操作系統(tǒng)要向引起異常的線程的堆棧里壓入3個(gè)結(jié)構(gòu)： EXCEPTION-RECORD，CONTEXT和 。AEXCEPTION-CONTEXT BCONTEXTCTEB DEXCEPTION_POINTERS5所謂異常（Exception ）就是在應(yīng)用程序的正常執(zhí)行過(guò)程中發(fā)生的不正常事件，CPU引發(fā)的異常通常稱為 。ACPU異常 B硬件異常 C軟件異常 D堆棧異常6如果在程序中加入一些無(wú)用的字節(jié)來(lái)干擾反匯編軟件的判斷，從而使得它錯(cuò)誤地確定指令的起始位置，也就達(dá)到干擾 反匯編工作的目的。 AW32Dasm Bregmon Casprotect DFindWindow7因?yàn)橛卸喾N異常，系統(tǒng)首先判斷異常是否應(yīng)發(fā)送給 。A目標(biāo)程序 B高級(jí)程序 C匯編程序 D源程序第9章 加殼與脫殼1判斷題1在軟件保護(hù)中，ProcDump工具軟件可以用來(lái)對(duì)軟件加“殼”。2軟件殼的加載的第一步是獲取殼自己所需要的API地址。3加密保護(hù)的殼是以加密保護(hù)為其重點(diǎn)，保護(hù)重點(diǎn)是程序的入口點(diǎn)。4如果用PE編輯工具查看加殼后的文件，就會(huì)發(fā)現(xiàn)未加殼的文件和加殼后的文件的輸入表是不一樣的。5在軟件保護(hù)中，ProcDump工具軟件可以作為通用“脫殼”軟件。6CodeFusion是一個(gè)功能強(qiáng)大的文件補(bǔ)丁制作工具。7加殼軟件按照其加殼目的和作用可分為兩類：一是保護(hù)軟件，二是壓縮軟件。8DLL的入口點(diǎn)在整個(gè)執(zhí)行過(guò)程中會(huì)執(zhí)行兩次。一次是在開(kāi)始時(shí)，用來(lái)對(duì)DLL做一些初始化；第二次是在退出時(shí)。9殼一般都不修改了原程序文件的輸入表，然后自己模擬Windows裝載器的工作來(lái)填充IT中相關(guān)的數(shù)據(jù)。10當(dāng)對(duì)一個(gè)應(yīng)用軟件加殼時(shí)，其保護(hù)程序部分優(yōu)先于應(yīng)用軟件執(zhí)行。2填空題1加殼軟件按照其加殼目的和作用可分為兩類：一是 ，二是壓縮軟件。2在軟件保護(hù)中， 工具軟件可以作為通用“脫殼”軟件。3ASProtect是一個(gè)功能強(qiáng)大的 工具。4DLL的入口點(diǎn)在整個(gè)執(zhí)行過(guò)程中會(huì)執(zhí)行兩次。一次是 時(shí)，用來(lái)對(duì)DLL做一些初始化；第二次是在退出時(shí)。5手動(dòng)脫殼過(guò)程一般分為三步：一是查找程序的真正入口點(diǎn)；二是抓取 ；三是重建文件輸入表。6在軟件保護(hù)中， 工具軟件可以用來(lái)對(duì)軟件加“殼”。7軟件殼的加載的第一步是獲取殼自己所需要的 。8加密保護(hù)的殼是以加密保護(hù)為其重點(diǎn)，保護(hù)重點(diǎn)是在OEP隱藏和 上。3簡(jiǎn)答題1軟件“脫殼”2內(nèi)存映像文件3軟件“加殼”3U盾4應(yīng)用題1寫(xiě)出軟件殼的加載過(guò)程。2寫(xiě)出手動(dòng)脫殼方法。5選擇題1軟件殼的加載過(guò)程最后一步是 。A跳轉(zhuǎn)到程序原入口點(diǎn)BHOOK-APIC獲取殼自己所需要的API地址 D加密原程序的各個(gè)區(qū)塊的數(shù)據(jù)2加密保護(hù)的殼是以加