南开大学22秋学期（高起本1709-1803、全层次1809-2103）《逆向工程》在线作业三

奥鹏南开在线作业满分答案参考

22秋学期（高起本1709-1803、全层次1809-2103）《逆向工程》在线作业-00003

1.资源用类似于磁盘目录结构的方式保存，目录通常包含（）层。
选项A：1
选项B：2
选项C：3
选项D：4
满分答案问询微信：424329

2.假设整形数组ary的首地址是0x1000，则ary[3]的位置是
选项A：0x1000
选项B：0x1004
选项C：0x1008
选项D：0x100C
满分答案问询微信：424329

3.IDA的原始嵌入式脚本语言叫作（）。
选项A：FLIRT
选项B：FLAIR
选项C：IDC
选项D：Perl
满分答案问询微信：424329

4.下列关于IDA有关说法错误的是（）
选项A：IDA最主要的特性是交互和多处理器。用户可以通过对IDA的交互来指导IDA更好地进行反汇编
选项B：IDA是按区块装载PE文件的，例如.text(代码块)、.data(数据块)、.rsrc(资源块)、.idata(输入表)和.edata(输出表)等
选项C：IDA反汇编所消耗的时间与程序大小及复杂程度有关，通常需要等待一段时间才能完成
选项D：IDA可以格式化指令使用的常量，因此应尽可能使用符号名称而非数字，从而使反汇编代码更具可读性。IDA根据被反汇编指令的上下文、所使用的数据作出格式化决定。对其他情况，IDA一般会将相关常量格式化成一个十进制常量
满分答案问询微信：424329

5.静态分析的基本步骤是（）
1 查杀测试
2 二进制分析
3 搜索引擎
4 样本信息
选项A：4321
选项B：4123
选项C：4132
选项D：3142
满分答案问询微信：424329

6.表示回调函数在试图处理该异常时再次发生了异常，也就是嵌套异常的返回值是下面哪个（ ）
选项A：ExceptionContinueExecution
选项B：ExceptionContinueSearch
选项C：ExceptionNestedException
选项D：ExceptionCollidedUnwind
满分答案问询微信：424329

7.（）可以将调试程序执行过程中的事件记录下来。
选项A：断点
选项B：跟踪
选项C：修改可执行文件
选项D：参考重命名
满分答案问询微信：424329

8.PE文件中的分节中唯一包含代码的节是（）。
选项A：.rdata
选项B：.text
选项C：.data
选项D：.rsrc
满分答案问询微信：424329

9.读取文件内容的API函数是
选项A：FindFirstFileA函数
选项B：CreateFileA函数
选项C：GetFileAttributesA函数
选项D：ReadFile函数
满分答案问询微信：424329

10.在关于逆向工程（reverse engineering）的描述中，正确的是： （ ）
选项A：从己经安装的软件中提取设计规范，用以进行软件开发
选项B：按照“输出—＞处理—＞输入”的顺序设计软件
奥鹏南开在线作业满分答案参考 选项C：用硬件来实现软件的功能
选项D：根据软件处理的对象来选择开发语言和开发工具
满分答案问询微信：424329

11.Windows系统中第1个创建的用户进程为（）。
选项A：csrss.exe
选项B：winlogon.exe
选项C：smss.exe
选项D：services.exe
满分答案问询微信：424329

12.Windows内核部分会调用一些内核层的函数。这些函数都以固定的前缀开始，分别属于内核中不同的管理模块，其中“Ps”属于哪个模块。
选项A：管理层
选项B：核心层
选项C：进程管理
选项D：安全管理
满分答案问询微信：424329

13.IDA插件的安装要将已编译的插件模块复制到IDA的（）目录中。
选项A：cfg
选项B：idc
选项C：loaders
选项D：plugins
满分答案问询微信：424329

14.（）用于在内核中管理进程的各种信息。
选项A：Dispatcher对象
选项B：I/O对象
选项C：进程对象
选项D：线程对象
满分答案问询微信：424329

15.以下不是函数传递参数的方式的是
选项A：寄存器
选项B：通过全局变量进行隐含参数传递
选项C：队列传递
选项D：栈方式
满分答案问询微信：424329

16.OllyDbg自带的反汇编引擎是（）。
选项A：ODDisasm
选项B：BeaEngine
选项C：Udis86
选项D：Capstone
满分答案问询微信：424329

17.所有IDC脚本中都有一条包含（）文件的语句。
选项A：idag.exe
选项B：idc.idc
选项C：ida.cfg
选项D：idagui.cfg
满分答案问询微信：424329

18.请对Windows的启动过程包括的以下几个阶段的顺序进行排列。
（1）初始化启动阶段
（2）启动自检阶段
（3）Boot加载阶段
（4）检测和配置硬件阶段
选项A：3412
选项B：2341
选项C：2134
选项D：3214
满分答案问询微信：424329

19.输出表(Export Table)的主要内容是一个表格，其中包括函数名称、输出序数等。序数是指定DLL中某个函数的（）位数字，在所指向的DLL里是独一无二的。
选项A：13
选项B：14
选项C：15
选项D：16
满分答案问询微信：424329

20.以（）为前缀的函数代表核心层。
选项A：Ex
选项B：Ke
选项C：HAL
选项D：Ob
满分答案问询微信：424329

21.（）能解码每一条指令所使用和影响的寄存器。
选项A：ODDisasm
选项B：BeaEngine
选项C：Udis86
选项D：AsmJit
满分答案问询微信：424329

22.获得注册文件属性的API函数是
选项A：FindFirstFileA函数
选项B：CreateFileA函数
选项C：GetFileAttributesA函数
选项D：ReadFile函数
满分答案问询微信：424329

23.虚函数的地址是在（）时候确定的。
选项A：程序编写时
选项B：编译程序时
选项C：调用即将进行时
选项D：程序执行后
满分答案问询微信：424329

24.（）相当于一个微型操作系统。
选项A：BIOS
选项B：MBR
选项C：UEFI
选项D：GPT
满分答案问询微信：424329

25.代表文件缓存管理的函数前缀是（）。
选项A：Ex
选项B：Ke
选项C：HAL
选项D：Cc
满分答案问询微信：424329

26.在以下的传递方式中，（）是函数传递参数的方式[多选]
选项A：栈方式
选项B：队列方式
选项C：寄存器方式
选项D：通过全局变量进行隐含参数传递
满分答案问询微信：424329

27.查找具有相同窗口类名和标题的窗口的Windows API函数都有（）
选项A：FindWindowA
选项B：GetWindowText
选项C：CreateMutexA
选项D：GetLogicalDriveStrings()
满分答案问询微信：424329

28.到系统中安装的所有驱动器的列表的Windows API函数是（）
选项A：GetLogicalDriveStrings()
选项B：GetLogicalDrives()
选项C：FindFirstFileA
选项D：GetFileAttributes()
满分答案问询微信：424329

29.C++的三大核心机制是什么（）
选项A：封装
选项B：继承
选项C：对象
选项D：多态
满分答案问询微信：424329

30.常用的十六进制工具有（）。
选项A：HexWorkshop
选项B：WinHex
选项C：Hiew
选项D：ApateDNS
满分答案问询微信：424329

31.可以通过（）函数调用和（）段寄存器来访问TEB结构。
选项A：NtCurreentTeb
选项B：deviceIoControl
选项C：FS
选项D：DS
满分答案问询微信：424329

32.IDA支持（）语言编写脚本。
选项A：IDC
选项B：C++
选项C：java
选项D：python
满分答案问询微信：424329

33.利用调试器针对API设置断点的功能，就有可能找到判断注册码的地方，常用来对话框的API都有哪些（）？
选项A：GetWindowTextA(W)
选项B：GetDlgItemTextA(W)
选项C：GetDlgItemInt()
选项D：Hmemcpy函数
满分答案问询微信：424329

34.显示窗口常用的函数有（）？
选项A：MessageBoxA(W)
选项B：DialogBoxParamA(W)
选项C：ShowWindow
选项D：CreateWindowExA(W)
满分答案问询微信：424329

35.用于获取时间的API函数有（）？
选项A：GetSystemTime
选项B：GetLocalTime
选项C：GetFileTime
选项D：timeGetTime
满分答案问询微信：424329

36.应用程序可以直接访问内核空间的驱动程序。
选项A：对
选项B：错
满分答案问询微信：424329

37.WinDbg有限制地支持本地内核调试，只能查看一些重要的系统数据结构，不能通过下断点的方式进行调试。
选项A：对
选项B：错
满分答案问询微信：424329

38.Windows与内核启动过程中在Boot加载阶段，先对ntldr进行设置，然后从启动分区加载ntldr。
选项A：对
选项B：错
满分答案问询微信：424329

39.只能设置1个硬件断点
选项A：对
选项B：错
满分答案问询微信：424329

40.延迟载入不是操作系统的特征，其通过向链接器和运行库加入额外的代码和数据来实现。
选项A：对
选项B：错
满分答案问询微信：424329

41.网络验证的关键就是数据包分析
选项A：对
选项B：错
满分答案问询微信：424329

42.从R3层进入R0层的中断只能是int 2Eh。
选项A：对
选项B：错
满分答案问询微信：424329

43.数组是相同数据类型的元素的集合，它们在内存中按不连续的顺序存放在一起。
选项A：对
选项B：错
满分答案问询微信：424329

44.调用虚函数时，程序先取出虚函数表指针，得到虚函数表的地址，再根据这个地址到虚函数表中取出该函数的地址，最后调用该函数。
选项A：对
选项B：错
满分答案问询微信：424329

45.VEH机制支持用户模式和内核模式
选项A：对
选项B：错
满分答案问询微信：424329

46.Address列显示被双击行地址的就绝对地址，再次双击返回标准地址模式
选项A：对
选项B：错
满分答案问询微信：424329

47.Unicode字符需要用到内存中连续的两个字节
选项A：对
选项B：错
满分答案问询微信：424329

48.VEH可以取代SHE
选项A：对
选项B：错
满分答案问询微信：424329

49.如果目标程序是32位程序，那么只可以使用x86版本
选项A：对
选项B：错
满分答案问询微信：424329

50.PE文件一般至少有两个区块——代码块和数据块
选项A：对
选项B：错
满分答案问询微信：424329