奧鵬南開逆向工程20春期末考核

.讀取文件內(nèi)容的API函數(shù)是A.FindFirstFileA函數(shù)B.CreateFileA函數(shù)C.GetFileAttributesA函數(shù)D.ReadFile函數(shù)【參考答案】：D.所有進(jìn)程的EPROCESS內(nèi)核結(jié)構(gòu)都被放入一個(gè)（）數(shù)據(jù)結(jié)構(gòu)中。A.單向鏈表B.結(jié)構(gòu)體 二雙向鏈表 D.數(shù)組【參考答案】：C.（）是一個(gè)文本文件，其記錄了程序調(diào)用的函數(shù)等符號(hào)信息。A.MAPB.ASMC.EXED.DIF【參考答案】：A.（）能解碼每一條指令所使用和影響的寄存器。A.ODDisasmB.BeaEngineC.Udis86D.AsmJit【參考答案】：B.在大端字節(jié)序中127.0.0.1，對(duì)應(yīng)的正整數(shù)16進(jìn)制表示為A.0x7F000001 B.0X01000007F C.0X000017F00 D.0X0000017F【參考答案】：A.為了讓操作系統(tǒng)變得簡(jiǎn)單，將設(shè)備驅(qū)動(dòng)程序運(yùn)行在（）級(jí)。A.R0B.R1C.R2D.R3【參考答案】：A.通常使用（）中斷來判斷設(shè)備的優(yōu)先級(jí)。A.PASSIVE_LEVELB.APC_LEVELC.DISPATCH_LEVELD.DIRQL【參考答案】：D8.OllyDbg自帶的反匯編引擎是（）。A.ODDisasmB.BeaEngineC.Udis86D.Capstone【參考答案】：A9.掛鉤SSDT中的（）函數(shù)可以防止搜索窗口。A.NtGdiBitBltB.NtGdiStretchBltC.NtUserSendInputD.NtUSerFindWindowEx【參考答案】：DIRQL的最低級(jí)別中斷是（）。A.PASSIVE_LEVELB.APC_LEVELC.DISPATCH_LEVELD.DIRQL【參考答案】：A.基址重定位數(shù)據(jù)采用類似按頁分割的方法組織，是由許多重定位塊串接成的，每個(gè)塊中存放（）KB的重定位信息A.1 B.2 C.4 D.8【參考答案】：C.在PE文件頭的可選映像頭中，數(shù)據(jù)目錄表的第（）個(gè)成員指向輸入表。A.1 B.2 C.3 D.4【參考答案】：B.在以下PE文件的常見區(qū)塊中，哪一個(gè)包含輸出表信息。

A..textB..dataC..idataD..edata【參考答案】：D.所有IDC腳本中都有一條包含（）文件的語句。A.idag.exeB.idc.idcC.ida.cfgD.idagui.cfg【參考答案】：B.表示回調(diào)函數(shù)處理了異常，可從異常發(fā)生處繼續(xù)執(zhí)行的返回值是下面哪個(gè)（）A.ExceptionContinueExecutionB.ExceptionContinueSearchC.ExceptionNestedExceptionD.ExceptionCollidedUnwind【參考答案】：A.允許或禁止指定的菜單條目的API函數(shù)是（）A.EnabIeMenultem（）函數(shù)B.Enablewindow（）函數(shù)C.GetTickCount（）函數(shù)D.timeGetTime（）函數(shù)【參考答案】：A.CPU設(shè)計(jì)制造商在設(shè)計(jì)之初是讓（）運(yùn)行內(nèi)核，（）和（）運(yùn)行設(shè)備驅(qū)動(dòng)，（）運(yùn)行應(yīng)用程序。A.R1、R2、R3、R4B.R0、R1、R2、R3C.R3、R2、R1、R0D.R4、R3、R2、R1【參考答案】：B.英文大寫字母D的ASCII碼值為44H，英文大寫字母F的ASCII碼值為十進(jìn)制數(shù).A.46.B.68.C.70.D.15.A.46.B.68.C.70.D.15.【參考答案】：C.代表文件緩存管理的函數(shù)前綴是（）。A.ExB.KeC.HALD.Cc【參考答案】：D20.IDT是一張位于物理內(nèi)存中的線性表，共有。項(xiàng)A.128 B.256 C.512 D.1024【參考答案】：BIDA支持（）語言編寫腳本。A.IDCB.C++C.javaD.python【參考答案】：AD.查找具有相同窗口類名和標(biāo)題的窗口的WindowsAPI函數(shù)都有（）A.FindWindowAB.GetWindowTextC.CreateMutexAD.GetLogicalDriveStrings（）【參考答案】：AB.計(jì)時(shí)器使用的API函數(shù)都有哪些（）？A.setTimer（）函數(shù) B.高精度的多媒體計(jì)時(shí)器 C.GetTickCount（）函數(shù)D.timeGetTime（）函數(shù)【參考答案】：ABCD.用于獲取時(shí)間的API函數(shù)有（）？A.GetSystemTimeB.GetLocalTimeC.GetFileTimeD.timeGetTime【參考答案】：ABC.可以通過（）函數(shù)調(diào)用和（）段寄存器來訪問TEB結(jié)構(gòu)。A.NtCurreentTebB.deviceIoControlC.FSD.DS【參考答案】：AC.到系統(tǒng)中安裝的所有驅(qū)動(dòng)器的列表的WindowsAPI函數(shù)是（）A.GetLogicalDriveStrings（）B.GetLogicalDrives（）C.FindFirstFileAD.GetFileAttributes（）【參考答案】：AB.下列是反匯編引擎的有（）。A.ODDisasmB.BeaEngineC.Udis86D.Keystone【參考答案】：ABC.以下是for循環(huán)的執(zhí)行組件的是A.初始化B.比較 C.執(zhí)行指令 D.遞增或遞減【參考答案】：ABCD.顯示窗口常用的函數(shù)有（）？A.MessageBoxA（W）B.DialogBoxParamA（W）C.ShowWindowD.CreateWindowExA（W）【參考答案】：ABCD.在以下的傳遞方式中，（）是函數(shù)傳遞參數(shù)的方式［多選］A.棧方式 B.隊(duì)列方式 C.寄存器方式 D.通過全局變量進(jìn)行隱含參數(shù)傳遞【參考答案】：ACD.傳統(tǒng)的系統(tǒng)引導(dǎo)與啟動(dòng)方法主要借助（）。

A.BIOSB.MBRC.UEFID.GPTA.BIOSB.MBRC.UEFID.GPT【參考答案】：AB.有關(guān)進(jìn)程和線程的數(shù)據(jù)結(jié)構(gòu)有()。A.EPROCESSB.ETHREADC.PEBD.TEB【參考答案】：ABCD.以下是資源類型的有A.VC類標(biāo)準(zhǔn)資源 B.Delphi類標(biāo)準(zhǔn)資源C.非標(biāo)準(zhǔn)的Unicode字符D.標(biāo)準(zhǔn)的ASCII字符【參考答案】：ABC.常用的數(shù)據(jù)傳送函數(shù)有()A.send()B.recv()C.WSASend()D.WSARecv()【參考答案】：ABCD.下列是匯編引擎的有()。A.ODAssemblerB.KeystoneC.AsmJitD.Capstone【參考答案】：ABC.判定樹是當(dāng)switch的case項(xiàng)非常多時(shí)，采用的一種優(yōu)化方案T.對(duì)F.錯(cuò)【參考答案】：A.微軟符號(hào)也包含多個(gè)數(shù)據(jù)結(jié)構(gòu)的類型信息，內(nèi)部類型全都都已經(jīng)被公開T.對(duì)F.錯(cuò)【參考答案】：B.符號(hào)表依賴于被分析文件的具體版本，它們隨著文件的更新或修復(fù)也不會(huì)改變T.對(duì)F.錯(cuò)【參考答案】：B.當(dāng)PE文件裝載內(nèi)存后準(zhǔn)備執(zhí)行時(shí)，所有函數(shù)入口地址排列在一起T.對(duì)F.錯(cuò)【參考答案】：A.x86平臺(tái)上將SEH數(shù)據(jù)結(jié)構(gòu)存放在棧中是一種非常安全的行為。T.對(duì)F.錯(cuò)【參考答案】：B.在另外一些情況下，對(duì)話框不是以資源形式存在的，通過常用斷點(diǎn)就可以攔截不下來T.對(duì)F.錯(cuò)【參考答案】：A.OllyDbg是一款具有可視化界面的用戶模式調(diào)試器，可以在當(dāng)前各種版本的Windows上運(yùn)行T.對(duì)F.錯(cuò)【參考答案】：A43.資源用類似于磁盤目錄結(jié)構(gòu)的方式保存，目錄通常包含3層。T.對(duì)F.錯(cuò)【參考答案】：A44.OllyDump是OllyDbg最常使用的插件，它能夠?qū)⒁粋€(gè)被調(diào)試的進(jìn)程轉(zhuǎn)儲(chǔ)成一個(gè)EXE文件。T.對(duì)F.錯(cuò)【參考答案】：B45.OllyDbg能進(jìn)行靜態(tài)分析T.對(duì)F.錯(cuò)【參考答案】：A.PE文件格式在頭部存儲(chǔ)了很多有趣的信息。我們可以使用PEview工具來瀏覽這些信息。T.對(duì)F.錯(cuò)【參考答案】：A.ShadowSSDT能像SSDT一樣在自己的模塊中導(dǎo)入和直接引用。T.對(duì)F.錯(cuò)【參考答案】：B.如果使用StepOver，你可以跟蹤每一步的執(zhí)行。你可以跟蹤每一步的執(zhí)行。T.對(duì)F.錯(cuò)【參考答案】：B.VEH可以取代SHET.對(duì)F.錯(cuò)【參考答案】：B.數(shù)組是相同數(shù)據(jù)類型的元素的集合，它們?cè)趦?nèi)存中按不連續(xù)的順序存放在一起。T.對(duì)F.錯(cuò)【參考答案】：B.Enablewindow()函數(shù)的功能是允許或禁止指定窗口T.對(duì)F.錯(cuò)【參考答案】：A.在對(duì)軟件進(jìn)行一定程度的粗跟蹤之后，并不能獲取軟件中我們所關(guān)心的模塊或程序段。T.對(duì)F.錯(cuò)【參考答案】：B.x64平臺(tái)上原生x64程序的異常分發(fā)不僅也有兩次分發(fā)機(jī)會(huì)，而且也支持SEH和VEH兩種異常處理機(jī)制T.對(duì)F.錯(cuò)【參考答案】：A.每個(gè)PE文件都是以一個(gè)DOS程序開始的，有了它，一旦程序在DOS下執(zhí)行，DOS就能識(shí)別出這是一個(gè)有效的執(zhí)行體。T.對(duì)F.錯(cuò)【參考答案】：A.TEB中的ProcessEnvironmentBlock就是PEB結(jié)構(gòu)的地址。T.對(duì)F.錯(cuò)【參考答案】：A.異常是在應(yīng)用程序執(zhí)行過程中發(fā)生的不正常事件。由CPU引發(fā)的異常稱為##異常，例如訪問一個(gè)無效的內(nèi)存地址。【參考答案】：硬件.應(yīng)用層的進(jìn)程、線程、文件、驅(qū)動(dòng)模塊、事件、信號(hào)量等對(duì)象或者打開的句柄在內(nèi)核中都有與之對(duì)應(yīng)的##?！緟⒖即鸢浮浚簝?nèi)核對(duì)象.虛擬內(nèi)存管理器控制虛擬內(nèi)存地址到##內(nèi)存地址的映射。【參考答案】：物理.簡(jiǎn)述Windows異常處理機(jī)制中VEH與SEH的差異？【參考答案】：（1） 注冊(cè)機(jī)制不同優(yōu)先級(jí)不同作用范圍不同VEH不需要棧展開.簡(jiǎn)述動(dòng)態(tài)分析時(shí)，OllyDbg是如何設(shè)置內(nèi)存訪問斷點(diǎn)的?【參考答案】：OllyDbg可以設(shè)置內(nèi)存訪問斷點(diǎn)或內(nèi)存寫入斷點(diǎn)，原理是對(duì)所設(shè)的地址賦予不可訪問/不可寫屬性，這樣當(dāng)訪問/寫入的時(shí)候就會(huì)產(chǎn)生異常。OllyDbg截獲異常后，比較異常地址是不是斷點(diǎn)地址，如果是就中斷，讓用戶繼續(xù)操作。.簡(jiǎn)述PE文件結(jié)構(gòu)中的基地址、虛擬地址和相對(duì)虛擬地址，以及虛擬地址和相對(duì)虛擬地址之間的轉(zhuǎn)換公式?！緟⒖即鸢浮浚寒?dāng)PE文件通過Windows加載器載入內(nèi)存后，內(nèi)存中的版本稱為模塊(Module)映射文件的起始內(nèi)存地址稱為模塊句柄(hModule