《20秋学期《逆向工程》在线作业 参考资料》由会员分享,可在线阅读,更多相关《20秋学期《逆向工程》在线作业 参考资料(11页珍藏版)》请在金锄头文库上搜索。
1、20秋学期(1709、1803、1809、1903、1909、2003、2009 )逆向工程在线作业 1 单选题 1 以下动态链接库中哪个是通用控件A Advapi32.dllB Comctl32.dllC Comdlg32.dllD Shell32.dll2 在大端字节序中127.0.0.1 ,对应的正整数16进制表示为A 0x7F000001B 0x01000007FC 0x000017F00D 0x0000017F3 IDA插件的安装要将已编译的插件模块复制到IDA的()目录中。A cfgB idcC loadersD plugins4 虚表的每一项都是()个字节,存储的是成员函数的地址
2、A 2B 4C 6D 85 表示回调函数不能处理异常,需要用SEH回调函数的链表中的其他回调函数来处理的返回值是下面哪个()A ExceptionContinueExecutionB ExceptionContinueSearchC ExceptionNestedExceptionD ExceptionCollidedUnwind6 打开文件以获得其句柄的API函数是()A FindFirstFileA函数B CreateFileA函数C GetFileAttributesA函数D ReadFile函数7 ()可以将调试程序执行过程中的事件记录下来。A 断点B 跟踪C 修改可执行文件D 参考重
3、命名8 以下不是函数传递参数的方式的是A 寄存器B 通过全局变量进行隐含参数传递C 队列传递D 栈方式9 DLL动态链接库中的函数的更底层的函数包含在()文件中。A NTOSKRNL.exeB NTDLL.DLLC HAL.DLLD SHELL32.DLL10 以下对x86架构指令集的支持是最全的反汇编引擎是()A ODDisasmB BeaEngineC Udis86D Capstone11 Windows系统中第1个创建的用户进程为()。A csrss.exeB winlogon.exeC smss.exeD services.exe12 允许或禁止指定的菜单条目的API函数是()A En
4、abIeMenultem()函数B Enablewindow()函数C GetTickCount()函数D timeGetTime()函数13 ()支持函数式汇编。A ODDisasmB BeaEngineC KeystoneD AsmJit14 1.若依次压入数字1、2、3、4,则第二次弹出来的会是()。A 1B 2C 3D 415 用十六进制工具查看IMAGE_ FILE_HEADER结构的情况时,以下字段中哪个代表区块的数目。A NumberOfSectionsB MachineC TimeDateStampD Characteristics16 IDA的原始嵌入式脚本语言叫作()。A
5、FLIRTB FLAIRC IDCD Perl17 ()十六进制工具提供了文件比较功能。A HexWorkshopB WinHexC HiewD ApateDNS18 计算机体系结构中,()层是由十六进制形式的操作码组成,用于告诉处理器你想它干什么。A 微指令B 机器码C 低级语言D 高级语言19 WM_GETTEXT消息的十六进制数是A 0DhB 02hC 0201hD 012h20 通常使用()中断来判断设备的优先级。A PASSIVE_LEVELB APC_LEVELC DISPATCH_LEVELD DIRQL21 允许或禁止指定窗口的API函数是A EnabIeMenultem()函
6、数B Enablewindow()函数C GetTickCount()函数D timeGetTime()函数22 在关于逆向工程(reverse engineering)的描述中,正确的是: ( )A 从己经安装的软件中提取设计规范,用以进行软件开发B 按照“输出处理输入”的顺序设计软件C 用硬件来实现软件的功能D 根据软件处理的对象来选择开发语言和开发工具23 ()十六进制工具可以查看内存映像文件。A HexWorkshopB WinHexC HiewD ApateDNS24 由R3进入R0是通过()实现的。A 内存映射B 基地址重定位C 中断D 异常25 下列关于IDA有关说法错误的是()
7、A IDA最主要的特性是交互和多处理器。用户可以通过对IDA的交互来指导IDA更好地进行反汇编B IDA是按区块装载PE文件的,例如.text(代码块)、.data(数据块)、.rsrc(资源块)、.idata(输入表)和.edata(输出表)等C IDA反汇编所消耗的时间与程序大小及复杂程度有关,通常需要等待一段时间才能完成D IDA可以格式化指令使用的常量,因此应尽可能使用符号名称而非数字,从而使反汇编代码更具可读性。IDA根据被反汇编指令的上下文、所使用的数据作出格式化决定。对其他情况,IDA一般会将相关常量格式化成一个十进制常量2 多选题 1 C+的三大核心机制是什么()A 封装B 继
8、承C 对象D 多态2 在以下的传递方式中,()是函数传递参数的方式多选A 栈方式B 队列方式C 寄存器方式D 通过全局变量进行隐含参数传递3 常用的数据传送函数有()A send()B recv()C WSASend()D WSARecv()4 可以通过()函数调用和()段寄存器来访问TEB结构。A NtCurreentTebB deviceIoControlC FSD DS5 利用调试器针对API设置断点的功能,就有可能找到判断注册码的地方,常用来对话框的API都有哪些()?A GetWindowTextA(W)B GetDlgItemTextA(W)C GetDlgItemInt()D H
9、memcpy函数6 WinDbg支持哪些调试()A 以打开、附加的方式调试应用程序B 可以分析Dump文件C 可以进行远程调试D 内核调试7 去除警告窗口常用的3种方法是()?A 修改程序的资源B 静态分析C 动态分析D 放置不管8 字符串比较形式有哪几种()A 寄存器直接比较B 函数比较C 串比较D 直接比较9 下列是汇编引擎的有()。A ODAssemblerB KeystoneC AsmJitD Capstone10 查找具有相同窗口类名和标题的窗口的Windows API函数都有()A FindWindowAB GetWindowTextC CreateMutexAD GetLogic
10、alDriveStrings()3 判断题 1 TEB中的ProcessEnvironmentBlock就是PEB结构的地址。T 对F 错2 数组是相同数据类型的元素的集合,它们在内存中按不连续的顺序存放在一起。T 对F 错3 .NET文件是Microsoft .NET环境生成的可执行文件T 对F 错4 OllyDbg对API的大小写不敏感,只要输入的函数名正确即可T 对F 错5 数据目录表的第1个成员指向输入表T 对F 错6 附加进程时的非入侵模式调试、Dump文件调试、本地内核调试都属于实时调试模式,它们能直接控制被调试目标的中断和运行T 对F 错7 RVA是内存中的一个相对于PE文件载入
11、地址的偏移位置T 对F 错8 OllyDbg的条件断点只可以按寄存器设断T 对F 错9 MDebug 可以直接调试Shellcode,而不用在VC等开发环境中建立一个工程以调用shellcode进行调试。T 对F 错10 WOW64不支持16位应用程序的执行,但支持加载32位内核模式的设备驱动程序。T 对F 错11 OllyDbg是一款具有可视化界面的用户模式调试器,可以在当前各种版本的Windows上运行T 对F 错12 x64系统内核驱动需要验证数字签名,但是直接运行没有数字签名的驱动的操作也能成功。T 对F 错13 Address列显示被双击行地址的就绝对地址,再次双击返回标准地址模式T 对F 错14 Unicode是ASCII字符编码的一个扩展,只不过在Windows中用2字节对其进行编码。T 对F 错15 WinDbg在用户态、在内核态都最多支持无数个软件断点T 对F 错
