|
|
22春学期(高起本1709-1803、全层次1809-2103)《逆向工程》在线作业-00002
& x+ H/ L# }! J4 V$ n试卷总分:100 得分:94
+ M# t1 [- `- \) l" E% Z一、单选题 (共 25 道试题,共 50 分)/ G5 d& O, O: t/ g6 X7 D
1.代表文件缓存管理的函数前缀是()。5 R. ?% Z3 K+ r n$ ~
A.Ex) \5 |0 n' g+ @
B.Ke, d9 W V& q2 v
C.HAL
# ]+ n8 H" `( K& ?D.Cc
. C3 r- c0 O D% O* K+ k4 A资料:
/ l4 D, Y! b0 B5 Y5 K
6 A* D6 k* p/ N+ J& l' p2.ascii码是一种()6 G$ r/ Y" Y% X0 V5 M/ k. F
A.字符编码
& q' X5 R4 _: n& @& a- UB.压缩编码( k, e- u4 o: L7 g% c
C.传输码
- H0 O% O3 F. c ]$ ?D.校验码# f) W" R7 H6 s" b3 E0 U% F. h2 y
资料:8 B" f6 Q b) M) O) A! P* C3 R. y
. k- T) X1 F# x! b7 o# N3.为了让操作系统变得简单,将设备驱动程序运行在()级。
* F* m- S$ i) w N" BA.R0+ z1 L% `% d8 N' \. I# r
B.R1+ U2 F* a, A6 n% c
C.R26 j7 Z4 |; R. G/ u/ q. D
D.R3" m& A) I4 c" z$ {! |) \
资料:7 i+ i9 g3 g! L# [% ]( {7 `: q
+ _: }. `0 _7 f% p! h9 @; J4.PE文件中的分节中唯一包含代码的节是()。8 ~6 }# m) O, R& O, q1 H
A..rdata
5 {" y8 U' `" Q d" h3 P! B- @B..text
/ N# ^7 O# J8 X" BC..data8 L$ Z3 V! G, g4 Q1 o! y0 r
D..rsrc' ? a+ G' z/ {0 a
资料:% H( `: U/ N y1 }% E9 _8 H# n. S
3 |% w: a2 G1 W1 r! l: o( r
5.系统服务描述表的英文缩写是()。
' } d. z1 ]) v9 M9 `A.SSDT/ U+ ^# Z z [' X! H
B.IAT2 I7 e, v- L( G' `& A
C.GPT* A' ?+ P% \/ w5 m' ^ a* _7 E
D.IRP" T0 b$ V/ n4 k& T. j1 E
资料:2 Q3 W+ z! r: m8 h0 V& O0 u
# z! ?1 h$ p% [
6.数据目录表(DataDirectory)的第()个成员指向绑定输人。绑定输入以一个IMAGE_ BOUND_IMPORT _DESCRIPTOR结构的数组开始。: `# n& K) w; Z% s. R+ M. j2 _- U
A.10$ F% K% d5 U8 q- K3 u/ A4 R
B.11+ v/ x; R8 u5 ] u
C.12" S" g. ?/ n: _1 }, Y
D.13
" z5 J# \8 n) [* l% u资料:
6 |" g: B k6 W( c/ ^, ~ q
& a! f" X5 w# s7.由R3进入R0是通过()实现的。
6 S1 M$ r: W) J6 ?; wA.内存映射
& p* X, {7 h" \6 Q* I* W& `% @B.基地址重定位
3 ~" @ K V/ V+ @C.中断
\0 ?# T f* ED.异常
+ E5 W6 y* ]7 n7 |9 t5 `资料:
6 ~, z9 W M! k$ F; l% \* s' _
8.IDA是按()装载PE文件的。9 G- D, q2 H2 _, a1 e& e, }( o2 T
A.时间戳& r# G# c: B: y l
B.资源6 S: e k9 o1 J: z [& X$ K
C.区块
* A" F% \ ~6 ]8 J: ~ _3 Q; bD.导入导出函数
( k- O$ z ~6 W U, t* l资料:
/ G2 [3 f8 d" {" p0 m( z& K& J' F- P) q; w
9.IDA PRO简称IDA,是一个交互式()工具。- i+ V4 p+ z, V& B2 |) e9 j+ c! F
A.调试
& z8 A" _ A* @( D5 fB.汇编
. E: i5 H4 @* z! i) [8 u9 VC.编译$ V4 S; x/ x& z% {4 l; h4 P
D.反汇编
$ b. d! W) I0 x/ H( H+ [资料:
& y7 H( ]5 t; {" t- E$ ? F. {! s: g2 f, A" L9 ^% q
10.虚函数的地址是在()时候确定的。
; w7 R3 h$ | h5 ]* ^A.程序编写时. M( \/ c/ Q3 m
B.编译程序时) O Y! r: a2 m/ A% d( e2 B
C.调用即将进行时
- J8 Y9 y; W& _% MD.程序执行后" q, V7 d+ p- j: y; Q- z
资料:
) V3 p; g; ]* J; R3 N6 A8 \( J3 I* p
11.获得注册文件属性的API函数是
+ i5 L% P7 t4 ?/ t. M( P9 Q2 eA.FindFirstFileA函数: l1 O0 d# B, z3 L2 L
B.CreateFileA函数; @+ Z0 I0 p, u. ]( H$ X4 }
C.GetFileAttributesA函数
?# I* c) f; G) b! gD.ReadFile函数6 g B% B6 H! y1 j0 j- V& k3 A
资料:
% w- W2 ?* j) P6 q6 ]7 T
5 A, }6 w5 |% ?; l; Y5 h/ X# e* x% O12.基址重定位数据采用类似按页分割的方法组织,是由许多重定位块串接成的,每个块中存放()KB的重定位信息4 {2 L O1 E% F0 ~4 H c
A.1
0 A m2 S7 S6 r( p1 [) WB.27 Q0 J( C* y) r2 R: e
C.4) C _+ Q9 W1 U3 n& G0 }
D.8
4 C! _& G. a9 b3 Y# Q- S' O: ~: }资料:
2 L$ r6 k5 N9 n6 Y
. J6 U( m( T: D( d/ v$ ~# \: I13.CPU设计者将CPU的运行级别从内向外分为4个,依次为R0, R1, R2, R3,()拥有最高执行权限。 I1 \3 O8 X3 }& Q
A.R09 r' R- [$ @2 F; ^4 G
B.R1/ @) n, Q9 w K) \5 w
C.R2
' H; i& w2 i) X6 UD.R3
! L! q E" t. h! R: F资料:- y' k- z. r V- K2 E- K
, Q6 ?3 s8 `3 ]. f2 _( [
14.SSDT通过内核()导出。' y! V4 G, E, n( s6 Z
A.NTOSKRNL.exe
0 {+ P+ K8 r1 V, O1 c2 V3 A- }B.NTDLL.DLL
; |2 R* i5 G1 rC.HAL.DLL2 u+ b! E! Y' t5 ^. y$ B; V: A* N
D.SHELL32.DLL
" @/ J+ p. r9 T+ _0 ~1 U资料:
# O; X4 b9 Q2 d @) p
2 P6 d; _+ O! D. m4 N15.以下对x86架构指令集的支持是最全的反汇编引擎是()
' p$ }0 ?, @$ k6 W- R7 p( nA.ODDisasm
* a0 @ ]6 c4 {2 y. W; ^B.BeaEngine
6 G3 G1 C3 S9 HC.Udis86
- D+ ^! `0 z# Q. L% TD.Capstone* n& m6 x1 p0 \! K6 G) O
资料:
6 T" ]3 M5 t7 I8 Q; [
7 T6 J0 C) \- [ z5 [16.表示回调函数在进行异常展开操作时再次发生了异常,其中展开操作可以简单理解为恢复发生事故的第一现场,并在恢复过程中对系统资源进行回收的返回值是下面哪个()?
! b! ?/ j) U! v2 wA.ExceptionContinueExecution
3 c/ f9 W5 N4 |! j* M9 |B.ExceptionContinueSearch
, Y" X" R' \4 y5 a& z" QC.ExceptionNestedException
' ?% l# l9 b# T9 T, {# dD.ExceptionCollidedUnwind
; g V& K$ G) L3 K- j( d$ _资料:- J1 M4 y7 k+ P6 O, Y& d
8 }, J8 K& p% b
17.PE文件在定位输出表、输入表和资源等重要数据时,就是从()结构开始的
( i' ?4 k, O* x8 eA.IMAGE_DATA_DIRECTORY8 F( H) `+ w r" S6 B- t/ o
B.IMAGE _OPTIONAL_HEADER2 @7 B1 i$ O5 c
C.IMAGE_FILE_HEADER ` M0 Z6 l, h2 D- S
D.IMAGE_NT_HEADER* Y3 f3 p- z( R0 r; c" \% T
资料:# ? e; y! q3 P# ]/ ~) f' M
2 ]7 l4 p9 H/ _: _9 _( G& b18.紧跟资源目录结构的就是资源目录入口(Resource Dir Entries)结构,此结构长度为()字节,包含2个字段。
) E1 A( {* d4 o6 }) |, F" NA.4
" D' d6 ~# V$ \' SB.83 X" A' d4 L1 Y* T& { s3 Q$ w0 F l
C.12* G: Y7 `) q" i! a& f) O
D.16
' _& p) q9 G' V资料:
1 Q; D* _9 m: M( a4 q: b3 O5 ]- ^# i1 U/ O8 r D& M
19.()可以将调试程序执行过程中的事件记录下来。
^( q+ [& n4 i) z6 [7 x7 FA.断点2 h, |( S+ p. y- n$ U1 ^* F5 C
B.跟踪
& L" ?' t8 v& \, ~" cC.修改可执行文件8 i$ \' q! g4 f& c) x
D.参考重命名
5 L- |+ J9 X0 p* B# y资料:
7 e- t/ y: z3 ~; o& X# \4 K+ D
6 x8 ~$ X( Q: H7 |( [& M20.所有进程的EPROCESS内核结构都被放入一个()数据结构中。1 k! D+ O* ^9 X" L+ [6 M' M
A.单向链表& z( h. r- X; u4 j$ \ f
B.结构体
2 @; B7 a: N$ W2 FC.双向链表! b. y2 o- K0 [" c
D.数组, L9 Q3 v" p$ W* K
资料:
4 [" `; e. R; O5 L+ n% j2 ^" Q# r, |' w) |
21.以下先执行语句块,再进行表达式判断的循环语句是()。6 j0 E* ?% N; Z
A.do循环
4 B3 Q' ?. H1 y8 UB.while循环' G S! A# q# N+ v8 q" W6 x
C.for循环+ x* X0 D8 ~) E$ ], Y( C5 D$ v! X9 [+ \
D.都不是5 f0 r0 z/ h1 P8 d1 t( E) z
资料:
' l, b9 |% [. F; r% F3 A% I2 n
' k' M5 o" [5 y3 \, G. m1 n8 N22.表示回调函数不能处理异常,需要用SEH回调函数的链表中的其他回调函数来处理的返回值是下面哪个()
7 F: w1 T8 W2 p! K4 K" e0 fA.ExceptionContinueExecution% @& l! B d2 ?6 A
B.ExceptionContinueSearch7 |. K3 i0 Z/ G: V7 J' t2 R
C.ExceptionNestedException# O" q" C0 R. g9 i
D.ExceptionCollidedUnwind
' W* n. Y" s0 m- v资料:# ?4 G$ Q% |% c
, E, c% t9 _3 ]: \( F% ^
23.DPC和更低的中段被屏蔽,内存不能分页的中断级别是()。8 m% p) Y+ M: q, J! m8 r
A.PASSIVE_LEVEL
, u0 P% Y9 b( o; @B.APC_LEVEL
3 `% j. j9 k2 `' P r3 MC.DISPATCH_LEVEL
% g0 ]& Z: |3 z2 p6 iD.DIRQL) S6 v# S6 E- X; x% _( D5 B$ \
资料:
% m. ~0 X9 [: i9 e" a0 f& ?% @- V4 C6 E
24.以下动态链接库中哪个负责对象安全性、注册表操作( B+ m. [0 p# x
A.Advapi32.dll
5 c6 S+ o% g. n+ Q1 f- R4 SB.Comctl32.dll
- X. D/ r( [! ?0 ?C.Comdlg32.dll/ }, {, o! b4 t3 b& }1 M3 ]
D.Shell32.dll
, c E, q* g8 o资料:1 V, i. m# O4 d+ Y
' Q9 X) i' x2 y; i25.MDebug支持多Tab显示()个内存窗口,为内存复制、内存修改提供了丰富的功能! i$ N; [/ j* k: _# ^, P/ W P$ i
A.3
! @" A) o$ [& p( o, P. }B.5
- v. w+ f0 } O' Z, _C.7* [6 U3 M4 V4 v3 T5 i" a+ M
D.8
$ V: T. w5 T/ H. p资料:
. Y5 m8 d% `; h2 g. @! r0 v9 [6 I P) G
二、多选题 (共 10 道试题,共 20 分)
9 [) P1 z2 l, |0 V26.下列是汇编引擎的有()。) i+ n2 e( k3 D$ ]
A.ODAssembler
4 x0 x& w$ r+ H1 O; f& ^: mB.Keystone
. z, g6 z1 f! a+ bC.AsmJit
1 E! [! [% Q( d, o* Z# s/ ZD.Capstone
8 s1 h) x6 G: _ o: ?资料:BC
4 J2 g# P( T( X/ N( p4 i- r
4 `0 \% r i, ^/ }6 N27.去除警告窗口常用的3种方法是()?
{; v3 X$ [3 sA.修改程序的资源
* F5 y! b6 b9 D4 oB.静态分析# x* D4 `. M& ?) q8 u6 X
C.动态分析6 }' g3 `& W8 Y+ I+ Q, J: d
D.放置不管
* o5 T# H; u1 ^1 Z2 q资料:BC
; J7 ~! }: G0 x; N2 V
* ?& l3 Z# L5 T" h9 E( R28.以下是for循环的执行组件的是$ ^7 ?$ f8 K1 h3 h+ ?1 {
A.初始化
+ G( k- H4 p4 C- k# WB.比较
0 _2 \* D: ?! I4 R7 L$ _C.执行指令/ m* t$ G# g& J+ @# X
D.递增或递减/ B' I& z, f& \8 g1 ?
资料:BCD2 P9 h T8 v# S# K! B7 m$ m3 r2 x
: ^+ J( {5 u l# l& n% g
29.C++的三大核心机制是什么()( `) L% t& a1 S' P1 r) k, N
A.封装2 Y2 Y. {: |% k9 T
B.继承
$ T8 Z5 f/ U) ?, d" b6 B( X( R% hC.对象
7 n' w7 x) \7 @' H: N9 ^7 Z4 eD.多态; p4 Q9 b5 t" M4 s$ ^1 J$ F6 |- t
资料:BD
. T! h, n' h0 a v. w8 g) Z2 s) q; {8 d. E7 e) i. z
30.WinDbg支持哪些调试()* M1 }: t, c5 P
A.以打开、附加的方式调试应用程序
$ f3 ?4 ^2 ]8 e @) NB.可以分析Dump文件2 l5 j& Y( ~/ n1 ?8 y! x S
C.可以进行远程调试/ y8 d0 w# f5 D' `3 u) [
D.内核调试: Q- E7 Q& q6 S: [$ E
资料:BCD" q; K* g' r( h+ N3 h, S! r
* ^+ J/ ?, b8 g) X5 N0 {* I31.可以通过()函数调用和()段寄存器来访问TEB结构。
" p! E) ~7 {+ [+ EA.NtCurreentTeb
l- i" ~( z& P3 TB.deviceIoControl
3 o( t8 |$ u& M3 dC.FS8 T- V$ {6 J" E
D.DS
: m3 z' _: L9 \资料:; I m4 c# B3 J, @! J) z
5 K8 h- j9 @, V. I# l: P$ a. t32.下列是反汇编引擎的有()。5 t; T+ h# P2 r0 w! ^8 X( s
A.ODDisasm, I1 U: ?% c$ U5 [ b. y
B.BeaEngine( T% N$ S u" Q- M6 X
C.Udis86
' m% Y" t; F/ [# {D.Keystone3 t$ p/ A# | U
资料:BC& m' c/ i b; L( g" H* W
5 p* G: |& A5 ~2 G33.有关进程和线程的数据结构有()。
9 F. `( b# M4 w0 y( v$ ?A.EPROCESS
: B p4 d& n/ l2 q* A: }: yB.ETHREAD, f ]0 |- i- U, Y8 E
C.PEB+ J6 M( O1 _- t( W+ t* W
D.TEB
$ r' q6 `1 s/ c资料:BCD
0 L; r6 u5 y) x9 V$ r. P' O
! i& ]2 I w3 Y2 g( D0 @1 m7 w34.常用的十六进制工具有()。- G t# D+ k2 @9 R) x+ d" f" O8 Z
A.HexWorkshop
0 X/ u# J9 |* O* ?8 tB.WinHex! c- F" I, s* f2 k/ q. I& W( E
C.Hiew' t$ [' z" }* ]; Z( m \. i3 W
D.ApateDNS
# m Q* J9 Z! E, A- A+ Y6 m资料:BC, x' H) B& z: u/ _' M, a F2 i
! g; `- N5 m2 d2 l- [+ j35.查找具有相同窗口类名和标题的窗口的Windows API函数都有()- U' Z" P, K/ _% T# q
A.FindWindowA
$ n& l9 F0 o$ {B.GetWindowText1 v( [5 t3 H) ]" Q
C.CreateMutexA( S t$ t! T' v- n& \: r
D.GetLogicalDriveStrings()9 W, I6 u; K- K$ F$ q# d+ c+ Q
资料:B" f/ Q, k p' M1 F1 D/ s
% E8 Z+ [* y; i( X0 n' a( @" C三、资料来源:谋学网(www.mouxue.com) (共 15 道试题,共 30 分)
! U2 `; o1 t# f1 s& G4 \$ F36.Enablewindow()函数的功能是允许或禁止指定窗口
1 z$ O) m3 S. I. O资料:正确
4 [6 L! q( X& c2 U* C
2 D/ {: G2 ?8 D9 U37.进人指令汇编修改状态,jne指令共2字节,因此用2个nop指令代替,这种跳过算法分析直接修改关键跳转指令使程序注册成功的方法,通常被解密者称为"爆破法"5 W! ?6 T! T0 c5 N" Z
资料:正确
9 R& Y6 m J- ~! Z7 K- q3 [. D9 m4 q' B6 X! h0 i5 M8 E9 f7 E: ^( v
38.在另外一些情况下,对话框不是以资源形式存在的,通过常用断点就可以拦截不下来
0 y4 A; u' T3 l1 L. n资料:正确
' V" \! z- b) T. V8 _' W
* r% U5 B I9 q+ U) b/ l; x39.输出表的主要内容是一个表格,其中并不包括函数名称、输出序数信息。4 U: F. @8 z) k/ E5 P. l* ~, b
资料:错误
8 B1 _( \" R; O8 t- P( }* C
3 F# H/ T+ Z; q0 \2 j0 F40.PE文件格式在头部存储了很多有趣的信息。我们可以使用PEview工具来浏览这些信息。
- a5 f3 K ]8 h资料:正确. S6 g1 o: V, S4 n8 e/ a0 j
+ |3 F- I5 F" ], \% z8 q! C8 L41.输人函数就是被程序调用但其执行代码不在程序中的函数,这些函数的代码不是位于相关的DLL文件中。
' F! Z% }+ k$ S资料:错误
' C3 o( E* ?# z& S7 Z, H* M0 D. w$ E. m
42.所谓粗跟踪,是指在跟踪时要大块大块地跟踪。7 X. U* r& V& r
资料:正确# q! {) a% J; {6 S
) q6 f, q* E& K7 }( l
43.所有在线程中发生的异常,只要没有被线程异常处理过程或调试器处理,最终均交由顶层异常回调函数处理
1 k k) Q) @& R+ f资料:正确
% m3 ? R: Q! m x* ] ?
/ D, d2 B& Q" d: v2 O6 ~( g$ L44.SEH机制只能在用户模式下使用
& F( f y( i& `/ ^$ J R4 B5 \资料:错误3 m+ |& g9 C3 Z7 o$ m) F
6 w' j; F! I/ B G8 u5 C45.软件断点可以监视I/0访问等
+ |& y) j; r) e1 ]% G0 V资料:错误: H5 d5 Z5 @( }9 N9 c' p" b
6 x3 r9 q% n g- B0 r/ s/ s
46.Olly可以直接加载DLL程序,能够支持执行DLL中某个函数7 o8 Z$ O/ X5 [2 ` g) o# l. k
资料:正确. z! j7 \" k4 o% ]+ M+ _7 q
* e$ W/ c; M! F2 v
47.WinDbg在用户态、在内核态都最多支持32个软件断点! U& F8 X4 O* ^$ {
资料:错误
& B* W# P$ h, _. A! }
( \/ U0 @2 _ m) V3 w48.如果载入时将默认的值作为基地址载入,则不需要重定位。
8 \7 Y" J/ o E3 |: t( Z资料:正确
% a8 L2 o+ @0 c; n7 ]( P& x5 P0 B' m
9 F/ R" B, A3 u: @ z2 A* T8 m/ ^49.延迟载入不是操作系统的特征,其通过向链接器和运行库加入额外的代码和数据来实现。
, g( g1 V/ v7 L5 p2 Y, D资料:正确
5 @6 O/ ?8 K H4 `% X
& Y' m% O! N3 d: n. I1 R) W" ~( k50.虚表的最后一项一定是以0结尾的; X0 t* t+ H: ^4 F
资料:错误
: ?+ D" }- ?; `0 O) O
# a, v/ E) n: m/ D+ x2 x# @" v" S3 Y7 N1 k1 a
7 q/ K# t7 X6 X5 q3 X- r9 Z0 S( g6 Q1 A3 X
9 V6 a `" I. @4 R( o) b+ F; o
4 L5 O% f! E# K: D7 t3 a8 J R0 h
/ ]7 n" Y) E* P- {$ h* ^# a
z& E4 I6 Q3 i. y; ]6 g
, Y h- ?$ W6 m( T* e8 F
7 s8 G1 {# R- K! Q c; x* V. y/ D
) P. X! a( [( K8 L |
|
IP卡
狗仔卡
发表于 2022-5-4 23:40:21
微信登陆 
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
客服一
