南開大學(xué)22年春學(xué)期《逆向工程》在線作業(yè)-00001

1、-本頁為預(yù)覽頁PAGE13-本頁為預(yù)覽頁-本頁為預(yù)覽頁22春學(xué)期（高起本1709-1803、全層次1809-2103）逆向工程在線作業(yè)-00001第1題. 創(chuàng)建有名或者無名的互斥對象的Windows API函數(shù)是（）選項A：FindWindowA選項B：GetWindowText選項C：CreateMutexA選項D：GetLogicalDriveStrings()參考答案：C第2題. 以下說法錯誤的是（）選項A：在大多數(shù)情況下，編譯器會將初始變量放在數(shù)據(jù)區(qū)塊(.data區(qū)塊)中。用十六進制工具打開文件，跳到.data區(qū)塊處選項B：通常將為了練習(xí)逆向工程而特別編寫的程序命名為“ReverseM

2、e”選項C：Hiew的匯編模式語法中，對以A、B、C、D、E、F開頭的十六進制數(shù)，必須加一個前綴0選項D：OllyDbg的反匯編引擎更強大，能夠自動處理遠轉(zhuǎn)移和近轉(zhuǎn)移參考答案：C第3題. 用戶的應(yīng)用程序(就是用Visual C+等工具開發(fā)的應(yīng)用程序)也是運行在( )級上的。選項A：R0選項B：R1選項C：R2選項D：R3參考答案：D第4題. 通過（）可以知道指令代碼的相互調(diào)用關(guān)系。選項A：交叉參考選項B：參考重命名選項C：格式化指令操作數(shù)選項D：代碼和數(shù)據(jù)轉(zhuǎn)換參考答案：A第5題. 虛函數(shù)的地址是在（）時候確定的。選項A：程序編寫時選項B：編譯程序時選項C：調(diào)用即將進行時選項D：程序執(zhí)行后參考答

3、案：C第6題. IDT是一張位于物理內(nèi)存中的線性表，共有（）項選項A：128選項B：256選項C：512選項D：1024參考答案：B第7題. Unicode是ASCII字符編碼的一個擴展，只不過在Windows中用（）字節(jié)對其進行編碼選項A：1選項B：2選項C：3選項D：4參考答案：B第8題. 緊跟資源目錄結(jié)構(gòu)的就是資源目錄入口(Resource Dir Entries)結(jié)構(gòu)，此結(jié)構(gòu)長度為()字節(jié)，包含2個字段。選項A：4選項B：8選項C：12選項D：16參考答案：B第9題. 虛表的每一項都是（）個字節(jié)，存儲的是成員函數(shù)的地址選項A：2選項B：4選項C：6選項D：8參考答案：D第10題. x8

4、6支持最大（）的虛擬內(nèi)存空間。選項A：1GB選項B：2GB選項C：4GB選項D：8GB參考答案：C第11題. DPC和更低的中段被屏蔽，內(nèi)存不能分頁的中斷級別是（）。選項A：PASSIVE_LEVEL選項B：APC_LEVEL選項C：DISPATCH_LEVEL選項D：DIRQL參考答案：C第12題. ASCII出現(xiàn)于20世紀(jì)50年代后期，于1967年定案?，F(xiàn)代的ASCII是一個()位的編碼標(biāo)準(zhǔn)。選項A：4選項B：5選項C：6選項D：7參考答案：D第13題. 下列關(guān)于IDA有關(guān)說法錯誤的是（）選項A：IDA最主要的特性是交互和多處理器。用戶可以通過對IDA的交互來指導(dǎo)IDA更好地進行反匯編選項

5、B：IDA是按區(qū)塊裝載PE文件的，例如.text(代碼塊)、.data(數(shù)據(jù)塊)、.rsrc(資源塊)、.idata(輸入表)和.edata(輸出表)等選項C：IDA反匯編所消耗的時間與程序大小及復(fù)雜程度有關(guān)，通常需要等待一段時間才能完成選項D：IDA可以格式化指令使用的常量，因此應(yīng)盡可能使用符號名稱而非數(shù)字，從而使反匯編代碼更具可讀性。IDA根據(jù)被反匯編指令的上下文、所使用的數(shù)據(jù)作出格式化決定。對其他情況，IDA一般會將相關(guān)常量格式化成一個十進制常量參考答案：D第14題. 以下對x86架構(gòu)指令集的支持是最全的反匯編引擎是（）選項A：ODDisasm選項B：BeaEngine選項C：Udis8

6、6選項D：Capstone參考答案：D第15題. 請對Windows的啟動過程包括的以下幾個階段的順序進行排列。（1）初始化啟動階段（2）啟動自檢階段（3）Boot加載階段（4）檢測和配置硬件階段選項A：3412選項B：2341選項C：2134選項D：3214參考答案：C第16題. IRQL的最低級別中斷是（）。選項A：PASSIVE_LEVEL選項B：APC_LEVEL選項C：DISPATCH_LEVEL選項D：DIRQL參考答案：A第17題. （）十六進制工具可以查看內(nèi)存映像文件。選項A：HexWorkshop選項B：WinHex選項C：Hiew選項D：ApateDNS參考答案：B第18題

7、. 數(shù)據(jù)目錄表(DataDirectory)的第（）個成員指向綁定輸人。綁定輸入以一個IMAGE_ BOUND_IMPORT _DESCRIPTOR結(jié)構(gòu)的數(shù)組開始。選項A：10選項B：11選項C：12選項D：13參考答案：C第19題. 資源用類似于磁盤目錄結(jié)構(gòu)的方式保存，目錄通常包含（）層。選項A：1選項B：2選項C：3選項D：4參考答案：C第20題. 假設(shè)整形數(shù)組ary的首地址是0 x1000，則ary3的位置是選項A：0 x1000選項B：0 x1004選項C：0 x1008選項D：0 x100C參考答案：D第21題. 可以設(shè)置（）個內(nèi)存斷點選項A：1個選項B：4個選項C：5個選項D：7個

8、參考答案：A第22題. 在大端字節(jié)序中0.127.1.0 ，對應(yīng)的正整數(shù)16進制表示為選項A：0 x7F000001選項B：0 x01000007F選項C：0 x000017F00選項D：0 x007F0100參考答案：D第23題. 讀取文件內(nèi)容的API函數(shù)是選項A：FindFirstFileA函數(shù)選項B：CreateFileA函數(shù)選項C：GetFileAttributesA函數(shù)選項D：ReadFile函數(shù)參考答案：D第24題. 檢查驅(qū)動器的Windows API函數(shù)是()選項A：GetLogicalDriveStrings()選項B：GetLogicalDrives()選項C：GetDriv

9、eType()選項D：GetFileAttributes()參考答案：C第25題. 通常使用（）中斷來判斷設(shè)備的優(yōu)先級。選項A：PASSIVE_LEVEL選項B：APC_LEVEL選項C：DISPATCH_LEVEL選項D：DIRQL參考答案：D第26題. C+的三大核心機制是什么（）選項A：封裝選項B：繼承選項C：對象選項D：多態(tài)參考答案：A,B,D第27題. 到系統(tǒng)中安裝的所有驅(qū)動器的列表的Windows API函數(shù)是（）選項A：GetLogicalDriveStrings()選項B：GetLogicalDrives()選項C：FindFirstFileA選項D：GetFileAttrib

10、utes()參考答案：A,B第28題. WinDbg支持哪些調(diào)試（）選項A：以打開、附加的方式調(diào)試應(yīng)用程序選項B：可以分析Dump文件選項C：可以進行遠程調(diào)試選項D：內(nèi)核調(diào)試參考答案：A,B,C,D第29題. 查找具有相同窗口類名和標(biāo)題的窗口的Windows API函數(shù)都有（）選項A：FindWindowA選項B：GetWindowText選項C：CreateMutexA選項D：GetLogicalDriveStrings()參考答案：A,B第30題. 以下是資源類型的有選項A：VC類標(biāo)準(zhǔn)資源選項B：Delphi類標(biāo)準(zhǔn)資源選項C：非標(biāo)準(zhǔn)的Unicode字符選項D：標(biāo)準(zhǔn)的ASCII字符參考答案：

11、A,B,C第31題. 字符串比較形式有哪幾種（）選項A：寄存器直接比較選項B：函數(shù)比較選項C：串比較選項D：直接比較參考答案：A,B,C第32題. 在以下的傳遞方式中，（）是函數(shù)傳遞參數(shù)的方式多選選項A：棧方式選項B：隊列方式選項C：寄存器方式選項D：通過全局變量進行隱含參數(shù)傳遞參考答案：A,C,D第33題. 用于獲取時間的API函數(shù)有（）？選項A：GetSystemTime選項B：GetLocalTime選項C：GetFileTime選項D：timeGetTime參考答案：A,B,C第34題. 下列是反匯編引擎的有（）。選項A：ODDisasm選項B：BeaEngine選項C：Udis86選

12、項D：Keystone參考答案：A,B,C第35題. 有關(guān)進程和線程的數(shù)據(jù)結(jié)構(gòu)有（）。選項A：EPROCESS選項B：ETHREAD選項C：PEB選項D：TEB參考答案：A,B,C,D第36題. 資源數(shù)據(jù)一般存儲在PE文件的.rsr區(qū)塊中，能通過由程序源代碼定義的變量直接訪問。選項A：對選項B：錯參考答案：B第37題. 在軟件分析調(diào)試的過程中，有時會發(fā)現(xiàn)真正需要分析的功能位于某個DLL的輸出函數(shù)中。MDebug支持直接打開DLL進行調(diào)試，并允許直接調(diào)試DLL的輸出函數(shù)。選項A：對選項B：錯參考答案：A第38題. UEFI下LBA的地址是48位。選項A：對選項B：錯參考答案：B第39題. Oll

13、yDbg的條件斷點只可以按寄存器設(shè)斷選項A：對選項B：錯參考答案：A第40題. 運行跟蹤的數(shù)據(jù)記錄在物理硬盤中。選項A：對選項B：錯參考答案：B第41題. RVA是內(nèi)存中的一個相對于PE文件載入地址的偏移位置選項A：對選項B：錯參考答案：A第42題. Shadow SSDT能像SSDT一樣在自己的模塊中導(dǎo)入和直接引用。選項A：對選項B：錯參考答案：B第43題. x64平臺上原生x64程序的異常分發(fā)不僅也有兩次分發(fā)機會，而且也支持SEH和VEH兩種異常處理機制選項A：對選項B：錯參考答案：A第44題. PEB 存在于用戶地址空間中，記錄了進程的相關(guān)信息。每個進程都有自己的PEB信息。選項A：對選項B：錯參考答案：A第45題. 應(yīng)用程序通過訪問設(shè)備對象，將請求發(fā)送給設(shè)備驅(qū)動程序。選項A：對選項B：錯參考答案：A第46題. 在進行用戶態(tài)實時調(diào)試時，如果目標(biāo)程序是原生64位程序，可以使用x32版本的WinDbg進行調(diào)試選項A：對選項B：錯參考答案