22春学期（高起本1709、全层次1803-2103）《逆向工程》在线作业答卷

admin

22春学期（高起本1709-1803、全层次1809-2103）《逆向工程》在线作业-00001
试卷总分:100  得分:100
一、单选题 (共 25 道试题,共 50 分)
1.创建有名或者无名的互斥对象的Windows API函数是（）
A.FindWindowA
B.GetWindowText
C.CreateMutexA
D.GetLogicalDriveStrings()
资料:

2.以下说法错误的是（）
A.在大多数情况下，编译器会将初始变量放在数据区块(.data区块)中。用十六进制工具打开文件，跳到.data区块处
B.通常将为了练习逆向工程而特别编写的程序命名为"ReverseMe"
C.Hiew的汇编模式语法中，对以A、B、C、D、E、F开头的十六进制数，必须加一个前缀0
D.OllyDbg的反汇编引擎更强大，能够自动处理远转移和近转移
资料:

3.用户的应用程序(就是用Visual C++等工具开发的应用程序)也是运行在( )级上的。
A.R0
B.R1
C.R2
D.R3
资料:

4.通过（）可以知道指令代码的相互调用关系。
A.交叉参考
B.参考重命名
C.格式化指令操作数
D.代码和数据转换
资料:

5.虚函数的地址是在（）时候确定的。
A.程序编写时
B.编译程序时
C.调用即将进行时
D.程序执行后
资料:

6.IDT是一张位于物理内存中的线性表，共有（）项
A.128
B.256
C.512
D.1024
资料:

7.Unicode是ASCII字符编码的一个扩展，只不过在Windows中用（）字节对其进行编码
A.1
B.2
C.3
D.4
资料:

8.紧跟资源目录结构的就是资源目录入口(Resource Dir Entries)结构，此结构长度为()字节，包含2个字段。
A.4
B.8
C.12
D.16
资料:

9.虚表的每一项都是（）个字节，存储的是成员函数的地址
A.2
B.4
C.6
D.8
资料:

10.x86支持最大（）的虚拟内存空间。
A.1GB
B.2GB
C.4GB
D.8GB
资料:

11.DPC和更低的中段被屏蔽，内存不能分页的中断级别是（）。
A.PASSIVE_LEVEL
B.APC_LEVEL
C.DISPATCH_LEVEL
D.DIRQL
资料:

12.ASCII出现于20世纪50年代后期，于1967年定案。现代的ASCII是一个()位的编码标准。
A.4
B.5
C.6
D.7
资料:

13.下列关于IDA有关说法错误的是（）
A.IDA最主要的特性是交互和多处理器。用户可以通过对IDA的交互来指导IDA更好地进行反汇编
B.IDA是按区块装载PE文件的，例如.text(代码块)、.data(数据块)、.rsrc(资源块)、.idata(输入表)和.edata(输出表)等
C.IDA反汇编所消耗的时间与程序大小及复杂程度有关，通常需要等待一段时间才能完成
D.IDA可以格式化指令使用的常量，因此应尽可能使用符号名称而非数字，从而使反汇编代码更具可读性。IDA根据被反汇编指令的上下文、所使用的数据作出格式化决定。对其他情况，IDA一般会将相关常量格式化成一个十进制常量
资料:

14.以下对x86架构指令集的支持是最全的反汇编引擎是（）
A.ODDisasm
B.BeaEngine
C.Udis86
D.Capstone
资料:

15.请对Windows的启动过程包括的以下几个阶段的顺序进行排列。 （1）初始化启动阶段 （2）启动自检阶段 （3）Boot加载阶段 （4）检测和配置硬件阶段
A.3412
B.2341
C.2134
D.3214
资料:

16.IRQL的最低级别中断是（）。
A.PASSIVE_LEVEL
B.APC_LEVEL
C.DISPATCH_LEVEL
D.DIRQL
资料:

17.（）十六进制工具可以查看内存映像文件。
A.HexWorkshop
B.WinHex
C.Hiew
D.ApateDNS
资料:

18.数据目录表(DataDirectory)的第（）个成员指向绑定输人。绑定输入以一个IMAGE_ BOUND_IMPORT _DESCRIPTOR结构的数组开始。
A.10
B.11
C.12
D.13
资料:

19.资源用类似于磁盘目录结构的方式保存，目录通常包含（）层。
A.1
B.2
C.3
D.4
资料:

20.假设整形数组ary的首地址是0x1000，则ary[3]的位置是
A.0x1000
B.0x1004
C.0x1008
D.0x100C
资料:

21.可以设置（）个内存断点
A.1个
B.4个
C.5个
D.7个
资料:

22.在大端字节序中0.127.1.0 ，对应的正整数16进制表示为
A.0x7F000001
B.0x01000007F
C.0x000017F00
D.0x007F0100
资料:

23.读取文件内容的API函数是
A.FindFirstFileA函数
B.CreateFileA函数
C.GetFileAttributesA函数
D.ReadFile函数
资料:

24.检查驱动器的Windows API函数是()
A.GetLogicalDriveStrings()
B.GetLogicalDrives()
C.GetDriveType()
D.GetFileAttributes()
资料:

25.通常使用（）中断来判断设备的优先级。
A.PASSIVE_LEVEL
B.APC_LEVEL
C.DISPATCH_LEVEL
D.DIRQL
资料:

二、多选题 (共 10 道试题,共 20 分)
26.C++的三大核心机制是什么（）
A.封装
B.继承
C.对象
D.多态
资料:

27.到系统中安装的所有驱动器的列表的Windows API函数是（）
A.GetLogicalDriveStrings()
B.GetLogicalDrives()
C.FindFirstFileA
D.GetFileAttributes()
资料:

28.WinDbg支持哪些调试（）
A.以打开、附加的方式调试应用程序
B.可以分析Dump文件
C.可以进行远程调试
D.内核调试
资料:

29.查找具有相同窗口类名和标题的窗口的Windows API函数都有（）
A.FindWindowA
B.GetWindowText
C.CreateMutexA
D.GetLogicalDriveStrings()
资料:

30.以下是资源类型的有
A.VC类标准资源
B.Delphi类标准资源
C.非标准的Unicode字符
D.标准的ASCII字符
资料:

31.字符串比较形式有哪几种（）
A.寄存器直接比较
B.函数比较
C.串比较
D.直接比较
资料:

32.在以下的传递方式中，（）是函数传递参数的方式[多选]
A.栈方式
B.队列方式
C.寄存器方式
D.通过全局变量进行隐含参数传递
资料:

33.用于获取时间的API函数有（）？
A.GetSystemTime
B.GetLocalTime
C.GetFileTime
D.timeGetTime
资料:

34.下列是反汇编引擎的有（）。
A.ODDisasm
B.BeaEngine
C.Udis86
D.Keystone
资料:

35.有关进程和线程的数据结构有（）。
A.EPROCESS
B.ETHREAD
C.PEB
D.TEB
资料:

三、资料来源：谋学网（www.mouxue.com） (共 15 道试题,共 30 分)
36.资源数据一般存储在PE文件的.rsr区块中，能通过由程序源代码定义的变量直接访问。
资料:错误

37.在软件分析调试的过程中，有时会发现真正需要分析的功能位于某个DLL的输出函数中。MDebug支持直接打开DLL进行调试，并允许直接调试DLL的输出函数。
资料:正确

38.UEFI下LBA的地址是48位。
资料:错误

39.OllyDbg的条件断点只可以按寄存器设断
资料:正确

40.运行跟踪的数据记录在物理硬盘中。
资料:错误

41.RVA是内存中的一个相对于PE文件载入地址的偏移位置
资料:正确

42.Shadow SSDT能像SSDT一样在自己的模块中导入和直接引用。
资料:错误

43.x64平台上原生x64程序的异常分发不仅也有两次分发机会，而且也支持SEH和VEH两种异常处理机制
资料:正确

44.PEB 存在于用户地址空间中，记录了进程的相关信息。每个进程都有自己的PEB信息。
资料:正确

45.应用程序通过访问设备对象，将请求发送给设备驱动程序。
资料:正确

46.在进行用户态实时调试时，如果目标程序是原生64位程序，可以使用x32版本的WinDbg进行调试
资料:错误

47.VEH机制支持用户模式和内核模式
资料:错误

48.OllyDump是OllyDbg最常使用的插件，它能够将一个被调试的进程转储成一个EXE文件。
资料:错误

49.OllyDbg只会在软件PE头部提供的入口点处中断
资料:正确

50.WinDbg最强大的地方还是命令行，通常结合GUI和命令行进行操作
资料:正确