|
|
22秋学期(高起本1709-1803、全层次1809-2103)《逆向工程》在线作业-00001" T* ^/ u, q3 v
试卷总分:100 得分:98
: a: a3 S. x/ J& N/ y/ } x- f1 ?- b一、单选题 (共 25 道试题,共 50 分)( L3 V, D* r4 O2 E
1.1.若依次压入数字1、2、3、4,则第二次弹出来的会是()。
0 M2 U$ G8 F5 \0 X* G' w/ fA.1
9 ~* D( X* s* @# f3 ?" TB.2
6 n8 P" N$ m5 z9 o1 i) `C.38 m4 w9 ^: f$ V, Y
D.4
6 O$ X6 b4 E( m2 X0 F资料:. N1 c* {) j1 P9 ~1 @9 u. ]
- z6 k; @) J- u; H2.DLL动态链接库中的函数的更底层的函数包含在()文件中。
: B' G, `1 t( HA.NTOSKRNL.exe
7 X4 e- ^# \. V, z3 g8 HB.NTDLL.DLL% q& J9 ]0 @! H' `7 P! ?
C.HAL.DLL W S& g$ L' O0 i
D.SHELL32.DLL: g" H8 @1 j ~
资料:
5 U; T- w6 d, E4 P
5 |7 Z9 n/ R+ T3 L# l$ k3.()用于记录进程的参数信息。
; G# ~: z! t3 E+ TA.BeingDebugged6 ^7 B8 j; Q' L( j' c: i' \
B.CheckRemoteDebuggerPresent8 M3 ?7 a6 D$ U( L0 D
C.ProcessParameters
# T+ x- h# a1 n' M5 z0 v' T- ]& m8 jD.ImageBaseAdress5 }$ q0 L: b5 g. O6 O
资料:# k( `$ y) R! V6 m; W# }7 K0 j
" Z8 X9 p/ ~" [+ D! P" M4.MBR最多支持()个主分区。" l% a* ~ u* l- |8 @ B
A.1个7 U- O; u$ H! ?5 L. V
B.2个
0 f, i$ g) P/ Z+ V9 P7 AC.4个 l k7 T* a2 I4 B1 q
D.8个- r( h& b# {; S: p
资料:
/ ~/ k' Z% M& ]9 c1 n" A8 C5 E" J
" _) `: U0 }% u5.在以下PE文件的常见区块中,哪一个包含读写数据块。0 E$ s6 }3 j' ~3 g8 s) K7 l
A..text4 \$ l3 e' _6 L
B..data
( \# B. J8 ]; i# W6 E3 o1 g0 P7 cC..idata! ] m. X6 E% n8 D# D
D..edata9 I5 d1 S5 M% \6 {
资料:
9 o; `* f# `( S5 y) ?- L ~7 B1 Q" f$ g% `) g4 L- |6 e5 _
6.Windows启动过程的第一阶段是()。
% d& P& ]7 m% H7 F4 UA.启动自检阶段
) Z/ N% E ^' G% H' s2 rB.初始化启动阶段
2 N, Q" m% J( R. Q- y! C" rC.Boot加载阶段
% g. Q0 e# P6 q/ B6 S1 E1 P/ j, WD.检测和配置硬件阶段' u- R8 H" S! s! z" B
资料:
1 X5 r9 d3 v0 s% f- _1 g& b
6 e) P, A) Q; o; n p7.在获取不到高级语言源码时,()是从机器码中能可信并保持一致地还原得到的最高一层语言。- q/ p* L6 p6 U6 g7 A9 H; I0 a
A.机器指令
# [1 u* T5 Y+ }6 _& u/ aB.微指令. s f, o7 w9 e R& ~ \
C.汇编语言
0 I, e( W4 D {/ u" E, S+ XD.机器码( q7 b A9 Q/ }3 J# `2 d. v7 R
资料:5 h0 l+ x/ F' y$ a! O9 s& p
+ F h3 M% \$ H# h8 k, v9 R8 T8.PEiD是利用()来识别程序是由何种语言编译的的。7 [, q5 H9 p& l9 m
A.特征串
1 Y9 o$ G5 ? j2 ?7 o1 {5 X: z/ GB.启动代码+ T0 @6 }3 v3 `, B5 y9 j. Q
C.导入函数; z/ J. \! |5 F$ e/ f5 J2 N2 S
D.导出函数# q* S* b2 T! I5 D; j* u, Q
资料:, l' _6 x( G* Q
5 c3 _5 Z* Q4 h# n4 c/ L# v. [
9.Windows系统中第1个创建的用户进程为()。
2 O' D* J/ e, HA.csrss.exe
* P% k/ T& Q0 m' Y& i. aB.winlogon.exe
- ^/ j' k3 O$ |; FC.smss.exe- @: y7 \2 V. Q, h+ j& R9 c
D.services.exe+ | X* T* l9 X
资料:
+ X) G, S+ G8 k3 Q- i( N! w- [" V& O: x9 U8 M5 l0 w
10.基址重定位数据采用类似按页分割的方法组织,是由许多重定位块串接成的,每个块中存放()KB的重定位信息
3 l& N {4 t$ }A.1
! N Y- J5 a5 IB.2
5 Z4 w0 P2 v8 T; T# a X/ eC.4
/ h! }! o) h- wD.8
+ V7 H* D# T. _3 l% u资料:, Z4 l' R' }, b; w- [# e
. }4 G E- Q* G. Z# {; V0 C M11.所有进程的EPROCESS内核结构都被放入一个()数据结构中。8 ~* X% h- d# {' R3 V
A.单向链表
3 d; I# R' M- j( VB.结构体1 s# T, h1 B$ j8 w! [) x
C.双向链表
; L; k3 A& c! ^. N7 {! ?D.数组
( y+ V" x+ f, q# ?% h g2 v8 ]. f资料:; i# D+ l: R8 T2 O; H+ U2 C
) d0 @" L: F2 X12.PE文件中的分节中唯一包含代码的节是()。* t: \& F: A! F! W$ \
A..rdata
% _2 D. e( m. ^) I" DB..text
& K; S$ v' u/ J W- W4 r' rC..data
' k" ?1 m O1 c+ {D..rsrc9 z2 j" Z. |7 D: _
资料:* [/ I8 N) d/ Z2 J5 J; C8 B/ W
- K [+ t& H/ w( B
13.()技术使IDA能在一系列编译器的标准库文件里自动找出调用的函数。
' x1 G7 N# C. EA.FLIRT L. G5 e+ p8 [
B.IDC脚本4 Y4 V, {2 {) _/ V& G X8 `! C/ J
C.Hex-Rays Decomplier插件
5 j* K: q) {4 B7 U0 ~$ PD.远程调试9 }! N+ E% l9 G& Q* ]6 p# n) w! i
资料:
5 {+ |* T$ ~7 w/ t1 v; a1 v ?
( w0 N, C! i' K( X3 N+ P14.PEiD是利用()来完成识别工作的。! R+ y9 A9 `( t2 @% w
A.特征串5 D/ Z# j6 y- B3 a% @
B.启动代码
' M0 E0 o# n0 j Q# a% \6 zC.导入函数
( \3 G7 {5 M T6 x3 R" XD.导出函数4 |1 X6 I$ ` a6 r; F V
资料:
" W% J) {/ s4 P- ]( o
) f4 |0 ^2 V6 R4 x: I15.通常使用()中断来判断设备的优先级。
# o; w# J# T1 [A.PASSIVE_LEVEL
4 c- j8 V; V' z- mB.APC_LEVEL7 T7 z0 l6 F; y# Y( U* K W
C.DISPATCH_LEVEL
" m; K h t7 eD.DIRQL7 ?4 J4 I7 z& B* P
资料:
7 S7 G& g. u9 V0 t7 q5 a, p% R$ m, ?) O# h, [' o
16.()主要处理来自User32.dll和GDI32.dll的系统调用。4 A" O$ D0 }$ ^: i5 M) D
A.SSDT" Q* G0 s/ Q1 q+ D( z
B.IAT
! C3 r2 {1 n. \# ]9 l0 t6 CC.GPT; X% u( ?) q, S9 s* p
D.Shadow SSDT) h. Y: B& c+ [' a
资料:9 Q/ T3 U4 \! l
8 e j( N6 M) J& o8 t# N
17.用十六进制工具查看IMAGE_ FILE_HEADER结构的情况时,以下字段中哪个代表可执行文件的目标CPU类型。. [0 L. J6 f4 d9 M- }" u8 V
A.NumberOfSections
: }0 o% r: j& u H( N/ `B.Machine
2 G6 _3 Z @6 TC.TimeDateStamp
+ C1 z% n! r' R. [& o0 f1 s3 c4 f6 pD.Characteristics) G1 W# A b4 I, m# N( r$ [
资料:" V0 w. D6 a1 v$ g Y% f" U
8 t* o* V8 P& {! o5 z* k
18.设置断点的快捷键是()。' L5 ^. u0 U4 C4 c6 H
A.F7
! @" g' W/ Q# i6 `7 C h6 I+ y W) jB.F4
: r% y3 ?. ` @* DC.F2- U4 l- f2 v6 T$ [! C8 }
D.F9" Q9 H% H# E, ?) }* n& c
资料:( i+ K. U6 F3 @
& O. i, f: y) c. A3 H. y5 W19.只有APC级别的中断被屏蔽,可以访问分页内存的中断级别是()。
! c( d& o6 B+ S; eA.PASSIVE_LEVEL9 B( c; w: D- y6 j
B.APC_LEVEL
5 `: a" \. E7 Y9 f: Y8 A! T" QC.DISPATCH_LEVEL
i1 Q! ~# b Q7 ?; l; T: mD.DIRQL/ _3 p! A `4 e8 \5 B' Z: P5 r7 O
资料:* \ x8 T3 }& T' g8 R( z2 j
( G0 u$ m. `& b1 y3 F20.()相当于一个微型操作系统。
2 c% }; j% b/ r+ m) `+ JA.BIOS
, m: v+ g! s) z* uB.MBR* F3 w. a' g! h5 R
C.UEFI
. ~! [& P6 z, v+ t; W5 X7 lD.GPT: f3 ]: w# P V5 m8 H# N
资料:- O( B) _0 t4 P3 x/ V
, B+ a ?; e' T& s% ~+ g( M21.计算机体系结构中,()层是由十六进制形式的操作码组成,用于告诉处理器你想它干什么。& ?8 a9 h8 |$ S
A.微指令
2 J! v7 y- q- w( B# R7 I" dB.机器码
4 m' h$ j% e% r |C.低级语言
) q; v: o( f1 ^* r9 P( ~3 kD.高级语言7 y V; m' F$ g/ G* i% X6 n X' S; ^
资料:# v4 v' u9 r; M3 c: F
5 \: U9 L2 k% M% Y, c ]5 l
22.()支持函数式汇编。
% e; F" V0 e8 C2 uA.ODDisasm
) B* ?; |" S& _" X; q1 F4 JB.BeaEngine
! |$ n S; r3 G8 i9 R6 X3 D9 fC.Keystone0 |* K2 m' J' \7 W1 Z: q z7 a
D.AsmJit8 Y, T2 b# d8 U. w& {0 c8 v4 Y# [
资料:
3 F+ e; K/ S* C1 m$ w0 j" O
$ a/ i* B& f& d* f23.通过()可以知道指令代码的相互调用关系。; v: c$ S g! A! d y; p- O2 K# [
A.交叉参考
% }$ }) r; L1 m6 @+ h0 ?4 N, A4 x, sB.参考重命名
" h0 c2 S' @5 O% eC.格式化指令操作数* L6 B. ]# \, f: j! K3 S6 R
D.代码和数据转换
( ]* n# `% ^. N: c: x* L) [资料:' {4 Q4 H& q9 O; U V
. W$ a# ^' H7 p24.在关于逆向工程(reverse engineering)的描述中,正确的是: ( ). u# D6 X9 [3 Z9 k: l6 h/ Z
A.从己经安装的软件中提取设计规范,用以进行软件开发 A5 Q1 u) U0 S" d: x) F
B.按照"输出->处理->输入"的顺序设计软件1 y' @) }6 S; u" N2 t* w
C.用硬件来实现软件的功能
1 W _4 u+ t% B4 V: VD.根据软件处理的对象来选择开发语言和开发工具
4 u8 `3 e) S0 l8 W2 C1 f3 ~# t资料:
0 I# `2 w. B! [+ I9 J; D( l; f# E9 z2 c
25.以下不是函数传递参数的方式的是
+ a! T$ l& o5 w7 M' B7 K3 V' CA.寄存器
1 h! g3 ^0 D+ b: |- ~4 \B.通过全局变量进行隐含参数传递
- b+ A1 m9 z: r4 G& O0 kC.队列传递
+ A, O* K& x1 o$ |D.栈方式# X' f) I2 I, e6 Z8 H- ?. g2 i
资料:3 N1 B t/ X, H( A( C8 t6 O
% W, I) a* S4 A# Y* F二、多选题 (共 10 道试题,共 20 分)
% ], p+ I' n( e9 ]$ q2 p26.下列是反汇编引擎的有()。
$ z. F' a- [" s. Q6 k6 @ UA.ODDisasm
d& A3 P& S q' t b- b% ~B.BeaEngine
: }& Z1 P u# _, e. V7 S" MC.Udis86: h) j$ h7 y4 ]9 E% D6 H _& Q
D.Keystone. b: c+ `- j6 \% }2 r
资料:C
$ |, d) G# w" u+ I7 r5 `3 ]( H* p% U+ R$ @& x
27.在以下的传递方式中,()是函数传递参数的方式[多选]
' Q0 t7 J0 U- i) K$ [A.栈方式
/ ?7 J$ i- q1 w5 d4 }* w0 UB.队列方式
0 @. h# e$ |/ IC.寄存器方式
5 I- Y" Z7 b5 y T0 B4 F) {D.通过全局变量进行隐含参数传递: P8 y9 }4 t, @! a. n/ b. p
资料:CD
, O* y8 {4 v0 K3 L# L/ f% |, @' G- O0 r, I
28.以下是for循环的执行组件的是
$ e* I) L( c$ k/ S, ~A.初始化
) n, Z8 q- D: x$ Q' ?4 k8 m$ uB.比较7 [: D; c0 |8 \6 k Q8 j: ~, A) N1 C
C.执行指令6 v% Y6 f3 y& }) |+ N; x5 ^5 U6 a
D.递增或递减) p/ f$ l- q4 {
资料:CD
0 n. E" d: i- c( X
: `! u7 ?( C. q& |" q29.常用的十六进制工具有()。& j! m3 K) m( m6 u' c
A.HexWorkshop5 n" G+ P1 E- M' U4 k+ W7 P" u
B.WinHex7 [. L( N4 d, M e' R$ U" G
C.Hiew
, o4 @& d9 \1 Y! w9 c7 |5 {- J7 dD.ApateDNS
/ `& Y; \' N1 m% D! d/ t, c资料:C/ ^- d6 w) m, @/ n! H7 `+ M( I& q
2 U- v5 O/ l6 v N
30.字符串比较形式有哪几种()+ }' e7 w" y! N; F8 `/ W) g8 k
A.寄存器直接比较# x% u, y3 t% c) p# \4 D
B.函数比较& F4 r) Z2 R$ ~) l e
C.串比较
' c1 U7 w7 y. k% p4 _; R, }6 @D.直接比较
]& [4 W$ J- X' K/ v0 J3 j5 K资料:C
: q: B) w f; @. e8 ]
% d6 k# T% u# K5 a C# f31.常用的数据传送函数有(), r1 B- Q- j. n6 b2 g
A.send()
+ `, _ z4 a5 W/ `; I; n2 J0 U1 sB.recv()
) k, U" C& h4 N; ?7 [; }% bC.WSASend(): r, F, I, O# s8 a
D.WSARecv()
9 [' ^' j7 ~. ~资料:CD
( p& F& Y5 Z- r; H$ i( @1 a$ R) Z: {( ~% p% \
32.利用调试器针对API设置断点的功能,就有可能找到判断注册码的地方,常用来对话框的API都有哪些()?& U4 ^3 j4 {: |4 J. C
A.GetWindowTextA(W)
8 f$ t! \# e) U+ q @! v0 Y+ pB.GetDlgItemTextA(W)# S$ k+ O1 @% `+ o1 w
C.GetDlgItemInt()- n: I' j) S, x+ p
D.Hmemcpy函数 m7 y% H: X, X, q
资料:CD
, L$ B1 m8 r9 o$ W( V( P2 k, ~ y- u: e
33.有关进程和线程的数据结构有()。
V5 b* _! ^# T- B( V8 ` |. S6 jA.EPROCESS" Y; G$ ?' p L: Y# T; w. R' w
B.ETHREAD
, ?4 R; }+ r2 x( T' i& H8 y& k jC.PEB
7 X: e1 y, k/ ~0 p+ tD.TEB
8 [ T: G6 a: r5 z! s; v8 E3 G资料:CD
) M& W ~# {9 o4 M: i% @- n0 e x6 u+ y
34.查找具有相同窗口类名和标题的窗口的Windows API函数都有() P; b- L( o# N) _8 P, N
A.FindWindowA
& b" t% P$ q6 s9 b, |B.GetWindowText
. L6 ~3 r0 p v( {7 p) b" wC.CreateMutexA
' F+ f5 x5 N5 n4 V5 BD.GetLogicalDriveStrings()( _- N; ?5 J4 s5 {9 c! v
资料:/ c+ m# I, v/ {% {3 L6 V
" a6 y r; z$ Z. B2 A35.去除警告窗口常用的3种方法是()?
6 e2 }! I$ M: X9 c' q. aA.修改程序的资源
; C1 q4 a: w" E& W( EB.静态分析
; r2 p+ x, Y. Y \: f6 I! o; P9 gC.动态分析
6 B9 L& y2 _' `2 F( FD.放置不管* B# C' A& Y( j& }2 H; u3 c G
资料:C' p$ A* l. B. Y. H: A
* Z `2 j; }7 f三、资料来源:谋学网(www.mouxue.com) (共 15 道试题,共 30 分), G8 D1 ^ V/ |4 h* Y1 h
36.共享区块拥有读取、写入和共享保护属性,可以让多个实例共享同一内存块。# F9 W; @% P2 L' _# w4 z
资料:正确3 \4 V6 S' F" e* E4 s9 Z7 x
/ q6 f4 O% v c$ j: g
37.TEB与PEB不一样,在系统内核空间中,而不是在应用层中的结构。* R" v8 B0 `; p j7 l5 L
资料:错误+ l8 r. z, i- h& X2 h, A. x
4 j4 C Z# m# E! X5 u# l, F. }5 G38.WinDbg在内核态最多支持32个软件断点,在用户态则支持任意个。1 m9 i; D: S% ^0 T% o0 Z4 L! N
资料:正确/ }7 A9 ?5 ], B9 L/ p
" U% s0 q) H0 F7 t! i39.减法指令的格式是sub value,destination
4 \* K1 T% |' B) T& X" x资料:错误
1 C: F; Y0 L7 M! ~( X7 s7 V8 b: \& y9 x' b- F; r9 x
40.在单击某个按钮时,Windows通过消息来判断单击了哪一个按钮,然后发送相应的句柄来通知程序。
0 \! i$ w) \8 [资料:错误
+ B y! r t' H7 s2 a- N+ j o4 d6 J0 }8 ]9 ?; W' \% W
41.PEB有一个指针指向TEB$ {6 ]- }* _4 `6 d
资料:错误 j: W5 g K+ o" E7 O9 h& b
% f* y, ~0 N, f2 Q" f! Z42.虚表的最后一项一定是以0结尾的
d0 T! F b2 d4 D9 U资料:错误5 \% \- P* D6 e+ F' V
, ?: z& D: i/ z8 e0 B, H43.附加进程时的非入侵模式调试、Dump文件调试、本地内核调试都属于实时调试模式,它们能直接控制被调试目标的中断和运行$ N* `" v5 {* S
资料:错误* P( K8 I1 ^4 ^* f9 `) W+ x
& k! G$ d6 Z, c6 P8 h! U44.应用程序可以直接访问内核空间的驱动程序。
- r u2 a7 X' f; \) y资料:正确
( y& \, u: J* m0 H# v7 N- t
2 U! X: k* S! n! S45.x64dbg是一款开源的调试器,只支持64位程序的调试,不支持32位程序的调试。
+ T! v. S; [! k4 W# r' a) `资料:错误# D3 m5 x: w; g9 W( o, n0 e
1 _. P2 H# q. s& N
46.PEB 存在于用户地址空间中,记录了进程的相关信息。每个进程都有自己的PEB信息。& c8 H! U$ u, y1 \ I x
资料:正确
" ]+ M: t7 w r" e# [" y" {& f0 m7 U3 X" d& U
47.程序在运行时,先调用main函数执行用户编写的代码,再执行初始化函数代码。
/ @' A* i; K( X. b资料:错误
/ d$ J+ o1 S# A) D" n/ }6 X6 P5 E6 O/ X3 }7 B6 b
48.BSOD俗称蓝屏错误
$ R& L! o* ?8 C( M6 S: z, f3 }! u8 X资料:正确* y' h0 c/ g0 J5 E7 }) E8 Z
f- L) X. k3 o, L4 D6 B2 ]
49.OllyDump是OllyDbg最常使用的插件,它能够将一个被调试的进程转储成一个EXE文件。( k& D" {) }5 H% Y `0 B% t
资料:错误
* h0 i0 L& K. M" L ^* y" \; D( Z4 `& A/ l* ], ?# A0 r
50.Unicode是ASCII字符编码的一个扩展,只不过在Windows中用2字节对其进行编码。
: z% n: M7 L, y. P3 @" ?资料:正确
! w/ I1 D) j# _; u6 t# x
7 v0 `" K" }, I$ T$ G* b$ O1 j
2 D& @9 X% d$ H" a
1 K) f. v. q2 F- W' b- r' y
4 @- i; Q8 w( J6 t5 ?7 E1 ^# C5 u R, R8 @* D+ l5 R, r1 v6 }9 r, S/ D
% @& c$ t& n- s$ C- t' e
4 \5 o) o/ F! U; z
( ]7 Y* C/ V; t% i0 h) |* l: {, R7 z% D+ |0 l, W, H! l
" _9 _% r/ i& Q% h: ]
: D0 K$ G [& ^' S; v
. k; m9 g( y# D |
|
IP卡
狗仔卡
发表于 2023-1-12 23:19:59
微信登陆 
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
发表于 2023-1-12 23:59:37
客服一
