|
|
22春学期(高起本1709-1803、全层次1809-2103)《逆向工程》在线作业-00002
7 A% B- g1 i k! }4 D试卷总分:100 得分:94
" X( ?$ b4 \, r+ w! Y- Z" l, L一、单选题 (共 25 道试题,共 50 分) E) z. D- ?* ^& J' @ w8 ]/ `
1.代表文件缓存管理的函数前缀是()。
; w0 l. v" I) Q n; Z$ T/ eA.Ex
8 ? x+ U- X% ^2 EB.Ke2 T) w% w8 i0 d& M1 ]3 q8 D
C.HAL
) V* ?9 {! g8 ~9 P- E7 ^D.Cc
* U) e5 k9 X' I f5 G资料:5 q0 W/ P6 k7 Q$ {7 S" C9 g
& k" [) n( r* X
2.ascii码是一种()6 S2 `6 c: |# ]( L& h1 M
A.字符编码
9 U) ~; d5 b5 q. XB.压缩编码
8 ?/ g6 ]. [2 ? d: s4 cC.传输码" l( c$ A }+ Y# v( X$ f
D.校验码
7 p) i- V; @% G7 u/ K" L资料:! }$ Z; l& X! ?/ M+ Y
& J: V/ e3 X2 w6 N5 H/ w1 i( G3.为了让操作系统变得简单,将设备驱动程序运行在()级。
5 O. T$ m. X2 a% I6 }3 t" c$ ?9 mA.R0, q$ q k8 ~6 g+ T* p
B.R12 I% w3 }4 B x! ?( N5 O* c
C.R2
3 U7 \# i" Z4 w! c4 v& WD.R3
) M# x$ p& A3 z资料:& T; t& M! @- N& R2 Y
; Q- h- l' X1 Q
4.PE文件中的分节中唯一包含代码的节是()。
; N/ ]3 l: N" v( x, i9 qA..rdata
/ C3 n; S: h" u- I/ N% i& T4 ZB..text9 ]7 P; _+ P M- ^0 X
C..data q. d" R# p" r8 G# y# S0 g3 d' N1 @9 v
D..rsrc
/ u' `& N* v0 i5 B资料:
% H, D1 u' ?# A4 O' u$ T! f2 I* E9 v/ U" K8 w* Q% e) y
5.系统服务描述表的英文缩写是()。
- v; C: Y' F% [5 O: LA.SSDT; W9 C5 F- |% ?. J
B.IAT* c6 p: m; z; ]' c X
C.GPT' p8 H, `( @9 o
D.IRP) [$ f, G% z$ I6 Q+ y8 A
资料:$ B( ^# g3 w- v( `0 ~. N; w9 V
% X, T, o* I8 M: G9 j
6.数据目录表(DataDirectory)的第()个成员指向绑定输人。绑定输入以一个IMAGE_ BOUND_IMPORT _DESCRIPTOR结构的数组开始。
0 o. t B& l6 c$ h% sA.10+ b! z) x; J) ^# ?4 N
B.11: ^: B7 d! u5 w2 F6 D$ V& W! c: p
C.12
: [ ~+ B+ N/ q9 r* B9 [) R& O! ^D.13
7 s0 C( B0 k* k; d$ F2 t7 Q0 U资料:4 i4 a+ m& m" r! j6 t
2 e$ }2 e/ b# o5 g+ H% h) S7.由R3进入R0是通过()实现的。
" w( ]: Y* n- b5 G$ B2 k% C/ EA.内存映射
- S& L, P1 I6 XB.基地址重定位
M, y% f/ i, E( a9 M2 o4 t s1 dC.中断
2 j' h+ ~8 ~# tD.异常
0 j; h j+ ~ _* ~% F资料:$ u7 z2 o3 E+ J8 j f. `1 k7 x3 V
' h: b2 D. e; o' X
8.IDA是按()装载PE文件的。
& r; ^; ^3 b( }" t# NA.时间戳
6 z; J4 Y6 ^2 L CB.资源
; |# d' l9 S" @9 O) ^. RC.区块
, q5 |- G7 U9 a# |* Y& OD.导入导出函数
' o, d& i" V" R9 ]资料:
5 t# _% u Y9 l* X
2 Q' x3 |" ?/ D3 U; s: ~- q" q" D9.IDA PRO简称IDA,是一个交互式()工具。
0 ~& K8 D' r I$ QA.调试
0 j/ @) ~9 d' E& q: ]B.汇编
) d1 Q& H) f, a# _( T& T% @C.编译
/ H' ~' r* R" m& p) W; AD.反汇编
8 r# T# E( Q @& M+ x! R2 R5 J资料:+ ^" b2 \+ r9 M) `
: p! [0 u6 a1 Z3 y10.虚函数的地址是在()时候确定的。
. t* G5 p4 O3 Y" R) T# D4 ^A.程序编写时) p. n3 d: e9 n4 S- m c5 Z
B.编译程序时2 m$ a1 ?, z6 s
C.调用即将进行时+ m* J6 {9 m& e3 e* G: F
D.程序执行后
: g( F3 g( R$ G! b& V* R$ c资料:% R9 ]4 t2 @7 a/ A
% y) K3 C" U7 @0 D11.获得注册文件属性的API函数是
( n% \% B, X* E- K3 `# tA.FindFirstFileA函数
$ |0 h* f Z, |' I- HB.CreateFileA函数! |; e* Z! e* F/ h8 E2 Z. L
C.GetFileAttributesA函数/ ^. P$ T7 \. ^- }- T" [# j3 E
D.ReadFile函数' O1 X: ]4 E. i7 O
资料:
& T% T) n) U) u e$ M% C5 u& r' ?* }* }: K( w" X1 }' f. T
12.基址重定位数据采用类似按页分割的方法组织,是由许多重定位块串接成的,每个块中存放()KB的重定位信息& @' C3 b9 J# t, q
A.1
- Z, E6 N6 f- \# u8 b0 ?! ?B.2
! p' A2 l; f* kC.42 q U% r. E3 O$ T, Z7 L
D.8
v2 r1 `# ?# b4 I$ {资料:
4 h" N! W/ p, }' ]4 l1 S+ w: j/ l( [$ |6 i
13.CPU设计者将CPU的运行级别从内向外分为4个,依次为R0, R1, R2, R3,()拥有最高执行权限。
9 m3 p" a1 a. c' HA.R03 p/ w3 @7 m5 B7 ^) t2 o
B.R11 r: K' D3 e$ M
C.R2
& f, I$ L) f S3 O9 r( j9 }# hD.R3
o1 w+ m. Y8 \3 J9 |. R# H资料:
* ]; \# x) v" ^3 \' e# \- S$ W. Z0 a8 @! W! B1 ~2 C! I6 V6 M. Z
14.SSDT通过内核()导出。, n' Z1 m4 i4 [9 ^; N% W
A.NTOSKRNL.exe
5 k3 G. k# p* G+ ]: T( u! ^, vB.NTDLL.DLL
F0 G5 n3 F6 S# m% \" F2 DC.HAL.DLL
% Z% @: @6 _1 TD.SHELL32.DLL
$ |7 H- l- Y1 ^ @6 C资料:/ V+ b/ R: l- }! b" h" d Q
4 p0 [/ U4 D; _# P3 I0 M: ?
15.以下对x86架构指令集的支持是最全的反汇编引擎是()
{" ~+ K" u. b1 ZA.ODDisasm9 @7 E& {2 ~- }$ A' j' _, [$ f
B.BeaEngine
" V: g) f3 f. {# c' q' Z4 f; v$ aC.Udis86
! N9 R3 r* l6 v8 j" }( fD.Capstone7 C3 S& E6 x1 \, R3 \
资料:
- g+ V! @+ G$ `+ [+ J+ g1 T" G* n3 m( ]) E, K
16.表示回调函数在进行异常展开操作时再次发生了异常,其中展开操作可以简单理解为恢复发生事故的第一现场,并在恢复过程中对系统资源进行回收的返回值是下面哪个()?
7 y+ Y6 u0 B. |: BA.ExceptionContinueExecution
9 f a6 T; C+ }+ MB.ExceptionContinueSearch
3 T" T- U- s( p5 r3 @C.ExceptionNestedException
+ u, s& ~7 K4 h/ e- UD.ExceptionCollidedUnwind. u+ w( D; |/ A
资料:
/ F1 x. {- s0 ^1 S2 X! @+ J6 P# e
9 d' }8 D! N6 _3 c, ~. [# N2 D& `17.PE文件在定位输出表、输入表和资源等重要数据时,就是从()结构开始的0 m4 Y, C3 f( G$ G3 K9 o# ^: C
A.IMAGE_DATA_DIRECTORY7 V4 G, _- ]) S6 }1 s, \2 X- q2 Y
B.IMAGE _OPTIONAL_HEADER
1 `# u: |' k8 H3 a9 A- B+ Y" lC.IMAGE_FILE_HEADER
( d* S. u) d& S6 s5 Q1 iD.IMAGE_NT_HEADER
: y, }: l, d0 ]/ N5 Z资料:
$ Y1 y1 `3 S% H* z3 y- A {$ g4 b- t' B& k) v% I2 y
18.紧跟资源目录结构的就是资源目录入口(Resource Dir Entries)结构,此结构长度为()字节,包含2个字段。
/ m/ m5 f6 @1 J* UA.4
( T! j% A/ ?" j# yB.8
# W( ~2 d7 p) f, k& S3 y) [ ZC.12
! ?7 v4 k) i5 Q" nD.16
! |4 i$ F' y" { Q资料:' b$ J9 G9 x \2 V' v# |) R1 L/ ~# \
; [6 C- Z0 ]/ r" C, @8 H2 q4 A& H) I19.()可以将调试程序执行过程中的事件记录下来。" k. Q' o) [7 u0 Q- Q0 s' [
A.断点
; e! F1 X- |5 D& m& \3 v" iB.跟踪/ w8 |/ f* X, B
C.修改可执行文件6 K1 C9 h6 c* R" w) `& i
D.参考重命名
$ [7 n5 h3 y3 U0 H$ I/ l: `资料:" |: ?2 b2 \% \2 V4 z; `9 O
! |' f( J, |: U1 ]+ e% f* e3 p20.所有进程的EPROCESS内核结构都被放入一个()数据结构中。5 p; N- J; ^ g$ ~, Y5 s# N( n
A.单向链表
* n( R6 q6 z/ {- s# h! E2 kB.结构体$ ?, J5 O1 e0 m/ |# a1 g
C.双向链表) {/ Q3 A: f6 E% X: b
D.数组2 Y" d3 J; D6 d I7 Y+ a9 ]- b6 k
资料:
) ]* Q, |& c# h4 N& O$ }/ c7 D9 D3 A$ }7 Y4 C, s
21.以下先执行语句块,再进行表达式判断的循环语句是()。1 d6 E* v S w2 o( f4 }
A.do循环4 P; N$ }' A1 O- ]
B.while循环2 y2 S& N; h% [0 l5 o% [) O+ {
C.for循环
4 \( ~: F3 S6 g* C' E6 \D.都不是3 b# j: S# }1 _8 @% ?
资料: U4 p7 @' G1 _' w6 s
! }6 i8 ~7 c$ R( V
22.表示回调函数不能处理异常,需要用SEH回调函数的链表中的其他回调函数来处理的返回值是下面哪个()
3 R# v- q6 X( r! |4 u# |A.ExceptionContinueExecution% Q$ k0 n' M7 z* A; z5 H
B.ExceptionContinueSearch
4 l: l4 |+ A% I) A dC.ExceptionNestedException) z: Z# X- R' v- u' p" k/ D5 f3 s
D.ExceptionCollidedUnwind
$ m8 B; l* z9 x% O' Q! m资料:7 u" U- K! q) x2 {, Y
( ~6 i. K2 `, e7 u' J. X
23.DPC和更低的中段被屏蔽,内存不能分页的中断级别是()。
" y- a( @" h+ h2 Y* r& OA.PASSIVE_LEVEL" d, |. }, q- j; ]1 |2 v
B.APC_LEVEL
L0 M" ?6 ?4 i$ E CC.DISPATCH_LEVEL
1 u' A- D: E0 X# K# G: rD.DIRQL' U: U+ A, @& y
资料:
* r( I4 s) V7 Z3 E/ u& X7 t$ s) X1 s, {& y
24.以下动态链接库中哪个负责对象安全性、注册表操作1 n# ]" d. }' f9 d
A.Advapi32.dll8 Z# @+ f; w/ i* u, ]8 i
B.Comctl32.dll
: L V1 k6 c1 j+ ?' W: uC.Comdlg32.dll" `% b$ t# M: }6 C" z3 Y% `
D.Shell32.dll
& @) P( \1 A0 {" L资料:
7 q% X" N% o) b7 a% g' _/ k$ Z
4 E' l/ P( c* a. ]2 N7 L; |25.MDebug支持多Tab显示()个内存窗口,为内存复制、内存修改提供了丰富的功能
5 z6 B1 E* x; m, O: D' FA.33 D: n" H; S4 i1 L% n$ j. W
B.5' M' L c/ Z" n- O$ R$ ^
C.70 K. `5 E/ O7 ]
D.8
6 g$ r' {: d2 a" u1 ]% N资料:
' `; x* T: u# J% g6 T3 l5 i4 g( l% F) e0 u7 Y
二、多选题 (共 10 道试题,共 20 分)
# I$ H1 T9 O' h. b0 L; j( y1 {1 l26.下列是汇编引擎的有()。
3 ^* g* `7 X: B5 a# J0 c- e: iA.ODAssembler
$ Y. u6 l1 [: s; @/ z( \B.Keystone
0 ]1 F: Z: S' O! s! e/ g1 oC.AsmJit
" b% C2 k5 t. \) u$ YD.Capstone0 _4 u- u i1 M7 f) r* p$ q/ y
资料:BC1 t( P2 B: W7 ^
/ x4 H% ?5 ]( t& b27.去除警告窗口常用的3种方法是()?
; D% w0 k5 Y' G/ D: i# Q. Z5 vA.修改程序的资源+ i$ t; ` K3 g6 A- V) `
B.静态分析/ |! b0 F9 q L5 v$ F% o& l% k
C.动态分析0 h9 _9 X# ]) d6 y" j
D.放置不管) c# K* H. y& h0 |
资料:BC' u: V T6 n- P: r
4 T4 X" x. `( r6 K V4 m28.以下是for循环的执行组件的是
. L C8 G. Q8 A2 n9 b" G! ^- k) D0 `" VA.初始化
; |0 f6 S5 s s9 l/ ]B.比较- M( k8 c% N5 {
C.执行指令
' x$ P; ^6 F" W1 W A/ U$ |) v/ @D.递增或递减
, J8 w3 Q2 t9 r5 A9 D资料:BCD
/ q: k4 D2 H. ~. {
_6 r+ M! R* _( Q% v+ D29.C++的三大核心机制是什么()& q5 r2 r" ~/ e4 j4 D4 e1 z
A.封装, I: @! k* O* W' C& Z. N
B.继承
: `2 t2 }2 c% w2 Y. F& g8 bC.对象3 H" o4 t+ B! ?/ a' T
D.多态: a/ a; c. e: w; F
资料:BD7 O, ~* X+ h8 N* @* i y
/ _. K" _" t5 p
30.WinDbg支持哪些调试()4 _& R r( e- b
A.以打开、附加的方式调试应用程序
% Z3 a$ q, n B3 D+ \9 G; zB.可以分析Dump文件" _+ I5 R) v- v5 e1 ^
C.可以进行远程调试8 C# X& {# `4 ?2 d: n
D.内核调试1 Q, J+ J4 r5 O0 v
资料:BCD
/ q3 Q! g+ p" |7 k( N) G1 s: K h& u* k0 f8 d
31.可以通过()函数调用和()段寄存器来访问TEB结构。
; _% t3 T# `! m& v' |* ~: i& K3 IA.NtCurreentTeb
; w ?- z2 V' L# E9 @B.deviceIoControl
& ~6 U: o) Z T6 b% L/ AC.FS
5 U, A* g8 _- W1 J; r6 a! C, \D.DS
& ]$ a2 x' D5 y0 s资料:
: T0 ]0 p s6 Q1 w8 [* ~) ~% l4 x1 C; ]8 Z% a5 j+ D
32.下列是反汇编引擎的有()。/ c) y, a& V; o- V9 _* _" O6 X
A.ODDisasm
1 e! ~# @3 {+ t1 }B.BeaEngine
! u) |$ f+ U+ [: H7 v, z2 YC.Udis86( n6 ]4 M) H% d+ t5 r/ V( f3 P
D.Keystone
! w: c7 q7 Y3 G资料:BC
3 x& I# M9 ~4 Y) J0 q/ t8 V6 M: E' a% v# r! f9 e- D# M# Y! c3 }* C
33.有关进程和线程的数据结构有()。0 U$ Z$ [, b L1 s' t) q% K2 E
A.EPROCESS
8 n$ M3 I4 E/ h2 r7 L7 [& iB.ETHREAD. U) @: J6 w/ z
C.PEB$ _" o4 h. a) L( R" M' `& t4 e
D.TEB
) N# b0 g; g. h8 m9 a资料:BCD; S& Z& T1 M. U7 b* r
, ^, q3 _ a5 g* h# n* h34.常用的十六进制工具有()。# w$ Y: h! ~# F& w R; V1 Y+ g
A.HexWorkshop
) Z' S9 H3 Q; Z; P' ~B.WinHex) f) `0 M/ W. k+ u$ m" Q I
C.Hiew
& z1 o0 v$ a" m Q$ ?D.ApateDNS0 i( ~* S4 }7 D6 z: I& L
资料:BC! }) Q8 d9 q# \1 p' m
/ p- k! x i1 T4 M) v5 B
35.查找具有相同窗口类名和标题的窗口的Windows API函数都有()
2 ?/ g7 T4 K, o4 E$ C. s/ s4 k8 zA.FindWindowA
" z6 m- c6 t4 ~. DB.GetWindowText
$ n6 |! w0 f: R& u( xC.CreateMutexA, |5 p i6 t! ?0 H) J. i6 m, O% W
D.GetLogicalDriveStrings()
% ~# T3 I4 G4 Q9 m1 W资料:B
& Z0 n% F/ r2 B k8 {
; y p" ~( T: {- U三、资料来源:谋学网(www.mouxue.com) (共 15 道试题,共 30 分)2 B3 r6 P/ K, x: u& H; j9 I
36.Enablewindow()函数的功能是允许或禁止指定窗口
: \; L% a% m' S资料:正确- O1 l$ X8 A8 }- C
) ] |% u: m) I, L6 a! x l
37.进人指令汇编修改状态,jne指令共2字节,因此用2个nop指令代替,这种跳过算法分析直接修改关键跳转指令使程序注册成功的方法,通常被解密者称为"爆破法"9 j6 a e1 s3 G' |
资料:正确
9 T( I- k6 x$ Q8 n/ o. x% [3 X/ Q! ~+ F. v6 J4 L; a
38.在另外一些情况下,对话框不是以资源形式存在的,通过常用断点就可以拦截不下来
8 H4 y. T+ O% Y资料:正确/ R0 s3 |5 T6 I8 ?7 F1 P+ K! {
- E2 B* @1 y D, G
39.输出表的主要内容是一个表格,其中并不包括函数名称、输出序数信息。9 G5 }; `) i: b+ H w
资料:错误
8 r& P: ~. [' Y$ Z6 D* p# Y- w n7 X; \. E: G l7 i
40.PE文件格式在头部存储了很多有趣的信息。我们可以使用PEview工具来浏览这些信息。
. z7 e- Q9 z* X) i4 [资料:正确4 b, b2 e7 z% y/ r' _6 r8 ], @; G
, K/ d' d! b0 I6 |& y w1 E
41.输人函数就是被程序调用但其执行代码不在程序中的函数,这些函数的代码不是位于相关的DLL文件中。
% U) L3 {' R3 U1 f+ G+ K- Y k资料:错误
" c* Z6 T s y6 E8 B* j. @3 j. N/ ^0 _0 |
42.所谓粗跟踪,是指在跟踪时要大块大块地跟踪。" U4 h; Z X! D% Z+ X9 ~
资料:正确
& A2 P7 U; x; _0 j, Y/ m% o9 U1 x, j" G# G z% e& {9 i' V9 S9 g
43.所有在线程中发生的异常,只要没有被线程异常处理过程或调试器处理,最终均交由顶层异常回调函数处理. Z8 L6 a4 Y Z3 s
资料:正确6 `: b/ p, t- n
) g+ j3 H K) Z
44.SEH机制只能在用户模式下使用
% H; T* S( ?0 b" s2 ^& z资料:错误# l) ?. d( O/ ~) ~$ O- a o7 D
5 h0 s+ q! s' i. c" u6 N
45.软件断点可以监视I/0访问等
% q" @8 V( m4 o资料:错误# u& S$ F( u0 x
6 u) S& I; @; O, u/ r46.Olly可以直接加载DLL程序,能够支持执行DLL中某个函数
& f$ X5 D# w% r$ ^; @" q3 C) R资料:正确
6 M* B6 f9 Y6 r1 V1 f% R4 m; l& R$ {- m
47.WinDbg在用户态、在内核态都最多支持32个软件断点8 |" X7 w# \7 b7 f/ [+ F" t0 A# s
资料:错误, x; T" s: v: G: _% y
7 [# A; w6 H+ N% }$ @3 H$ r48.如果载入时将默认的值作为基地址载入,则不需要重定位。0 w8 c1 F7 K% T |, v2 \
资料:正确
4 I0 e0 D7 X' \4 a4 t% L; S, N5 g6 h- r
49.延迟载入不是操作系统的特征,其通过向链接器和运行库加入额外的代码和数据来实现。. O r( n4 U. g/ h, q( z
资料:正确5 I9 u- X: S6 l c" R
/ L' {1 K5 Y) ~: r/ [
50.虚表的最后一项一定是以0结尾的* ^2 q% f- a! W3 `
资料:错误
( {) P5 H' L/ a" G+ @
" Y- D0 I6 b" p# q% z1 l. r
% e( _- e( V" s1 ^9 ]8 t6 j. ?$ P- d0 H/ v' ?& e7 F9 C+ ?7 f
# o% U% W0 N. M! Y+ F) S6 x
# q* o/ q9 \5 U
/ c, k) W1 L8 u+ T7 m1 {. S8 P2 j: e1 i/ u* Q9 V
- r5 u% I9 A; P' n" @* W( a3 y
" r; b! X$ B Z6 l. X. E4 I! u6 e# ?9 x
1 g& @9 Z+ h& N* _: t7 c
$ C1 H) }+ }* I# l0 e& G
|
|
IP卡
狗仔卡
发表于 2022-5-4 23:40:21
微信登陆 
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
客服一
