南开大学23年春《逆向工程》在线作业三

奥鹏南开大学新学期作业参考

23春学期（仅限-高起专1903、专升本1903）《逆向工程》在线作业-00003

Windows支持44位最大寻址空间是（）
A:16TB
B:32TB
C:64TB
D:128TB
正确答案问询微信：424329

请对Windows的启动过程包括的以下几个阶段的顺序进行排列。
（1）初始化启动阶段
（2）启动自检阶段
（3）Boot加载阶段
（4）检测和配置硬件阶段
A:3412
B:2341
C:2134
D:3214
正确答案问询微信：424329

用十六进制工具查看IMAGE_ FILE_HEADER结构的情况时，以下字段中哪个代表区块的数目。
A:NumberOfSections
B:Machine
C:TimeDateStamp
D:Characteristics
正确答案问询微信：424329

IRQL的最低级别中断是（）。
A:PASSIVE_LEVEL
B:APC_LEVEL
C:DISPATCH_LEVEL
D:DIRQL
正确答案问询微信：424329

用十六进制工具查看IMAGE_ FILE_HEADER结构的情况时，以下字段中哪个代表可执行文件的目标CPU类型。
A:NumberOfSections
B:Machine
C:TimeDateStamp
D:Characteristics
正确答案问询微信：424329

Windows图形界面主程序是（）。
A:idag.exe
B:idc.idc
C:ida.cfg
D:idagui.cfg
正确答案问询微信：424329

SSDT通过内核（）导出。
A:NTOSKRNL.exe
B:NTDLL.DLL
C:HAL.DLL
D:SHELL32.DLL
正确答案问询微信：424329

（）十六进制工具可以在汇编状态下修改代码。
A:HexWorkshop
B:WinHex
C:Hiew
D:ApateDNS
正确答案问询微信：424329

下列关于IDA有关说法错误的是（）
A:IDA最主要的特性是交互和多处理器。用户可以通过对IDA的交互来指导IDA更好地进行反汇编
B:IDA是按区块装载PE文件的，例如.text(代码块)、.data(数据块)、.rsrc(资源块)、.idata(输入表)和.edata(输出表)等
C:IDA反汇编所消耗的时间与程序大小及复杂程度有关，通常需要等待一段时间才能完成
D:IDA可以格式化指令使用的常量，因此应尽可能使用符号名称而非数字，从而使反汇编代码更具可读性。IDA根据被反汇编指令的上下文、所使用的数据作出格式化决定。对其他情况，IDA一般会将相关常量格式化成一个十进制常量
正确答案问询微信：424329

资源用类似于磁盘目录结构的方式保存，目录通常包含（）层。
A:1
B:2
C:3
D:4
正确答案问询微信：424329

终止一个正在运行的进程的命令对应的快捷键是（）。
A:F7
B:F4
C:Ctrl+F7
D:Ctrl+F2
正确答案问询微信：424329

在以下PE文件的常见区块中，哪一个包含读写数据块。
A:.text
B:.data
C:.idata
D:.edata
正确答案问询微信：424329

WOW64 ( Windows-on-Windows 64-bit)是（）位Windows操作系统的子系统。
A:16
B:32
C:64
D:128
正确答案问询微信：424329

（）主要负责跨平台多指令集的汇编工作。
A:Capstone
B:BeaEngine
C:Keystone
D:AsmJit
正确答案问询微信：424329

在PE文件头的可选映像头中，数据目录表的第（）个成员指向输人表。
A:1
B:2
C:3
D:4
正确答案问询微信：424329

表示回调函数在进行异常展开操作时再次发生了异常，其中展开操作可以简单理解为恢复发生事故的第一现场，并在恢复过程中对系统资源进行回收的返回值是下面哪个（）？
A:ExceptionContinueExecution
B:ExceptionContinueSearch
C:ExceptionNestedException
D:ExceptionCollidedUnwind
正确答案问询微信：424329

WM_QUIT消息的十六进制数是
A:0Dh
B:02h
C:0201h
D:012h
正确答案问询微信：424329

在大端字节序中0.127.1.0 ，对应的正整数16进制表示为
A:0x7F000001
B:0x01000007F
C:0x000017F00
D:0x007F0100
正确答案问询微信：424329

确定文件是否存在的API函数是（）
A:FindFirstFileA函数
B:CreateFileA函数
C:GetFileAttributesA函数
D:ReadFile函数
正确答案问询微信：424329

与Capstone反汇编器对应的汇编器是（）。
A:ODDisasm
B:BeaEngine
C:Keystone
D:AsmJit
正确答案问询微信：424329

下列说法错误的是（）
A:PEiD这类文件分析工具是利用导入函数搜索来完成识别工作的
B:开发语言都有固定的启动代码，利用这一点就可以识别程序是由何种语言编译的
C:被加密程序处理过的程序中会留下加密软件的相关信息，利用这一点就可以识别程序是被何种软件加密的
D:PEiD提供了一个扩展接口文件userdb.txt，用户可以自定义一些特征码，这样就可以识别新的文件类型了
正确答案问询微信：424329

PE文件在定位输出表、输入表和资源等重要数据时，就奥鹏南开大学新学期作业参考 代做2元一门是从（）结构开始的
A:IMAGE_DATA_DIRECTORY
B:IMAGE _OPTIONAL_HEADER
C:IMAGE_FILE_HEADER
D:IMAGE_NT_HEADER
正确答案问询微信：424329

表示回调函数不能处理异常，需要用SEH回调函数的链表中的其他回调函数来处理的返回值是下面哪个（）
A:ExceptionContinueExecution
B:ExceptionContinueSearch
C:ExceptionNestedException
D:ExceptionCollidedUnwind
正确答案问询微信：424329

“Start”键表示内核刚刚初始化的是（）。
A:SERVICE_BOOT_START(0)
B:SERVICE_BOOT_START(1)
C:SERVICE_BOOT_START(2)
D:SERVICE_BOOT_START(3)
正确答案问询微信：424329

允许或禁止指定的菜单条目的API函数是（）
A:EnabIeMenultem()函数
B:Enablewindow()函数
C:GetTickCount()函数
D:timeGetTime()函数
正确答案问询微信：424329

字符串比较形式有哪几种（）
A:寄存器直接比较
B:函数比较
C:串比较
D:直接比较
正确答案问询微信：424329

在以下的传递方式中，（）是函数传递参数的方式[多选]
A:栈方式
B:队列方式
C:寄存器方式
D:通过全局变量进行隐含参数传递
正确答案问询微信：424329

查找具有相同窗口类名和标题的窗口的Windows API函数都有（）
A:FindWindowA
B:GetWindowText
C:CreateMutexA
D:GetLogicalDriveStrings()
正确答案问询微信：424329

常用的十六进制工具有（）。
A:HexWorkshop
B:WinHex
C:Hiew
D:ApateDNS
正确答案问询微信：424329

显示窗口常用的函数有（）？
A:MessageBoxA(W)
B:DialogBoxParamA(W)
C:ShowWindow
D:CreateWindowExA(W)
正确答案问询微信：424329

传统的系统引导与启动方法主要借助（）。
A:BIOS
B:MBR
C:UEFI
D:GPT
正确答案问询微信：424329

去除警告窗口常用的3种方法是（）？
A:修改程序的资源
B:静态分析
C:动态分析
D:放置不管
正确答案问询微信：424329

WinDbg支持哪些调试（）
A:以打开、附加的方式调试应用程序
B:可以分析Dump文件
C:可以进行远程调试
D:内核调试
正确答案问询微信：424329

用于获取时间的API函数有（）？
A:GetSystemTime
B:GetLocalTime
C:GetFileTime
D:timeGetTime
正确答案问询微信：424329

有关进程和线程的数据结构有（）。
A:EPROCESS
B:ETHREAD
C:PEB
D:TEB
正确答案问询微信：424329

BIOS下LBA的地址是32位
A:对
B:错
正确答案问询微信：424329

通过包含提示信息的程序片段，就可以知道提示信息前后的程序片段所完成的功能，从而宏观地了解软件。
A:对
B:错
正确答案问询微信：424329

WinDbg有限制地支持本地内核调试，只能查看一些重要的系统数据结构，不能通过下断点的方式进行调试。
A:对
B:错
正确答案问询微信：424329

在单击某个按钮时，Windows通过消息来判断单击了哪一个按钮，然后发送相应的句柄来通知程序。
A:对
B:错
正确答案问询微信：424329

GetFileAttributes()函数用于判断指定文件的属性
A:对
B:错
正确答案问询微信：424329

软件验证序列号，其实就是验证用户名和序列号之间的数学映射关系
A:对
B:错
正确答案问询微信：424329

输出表的主要内容是一个表格，其中并不包括函数名称、输出序数信息。
A:对
B:错
正确答案问询微信：424329

可以创建一个子进程进行调试，也可以对正在运行的程序进行附加调试。
A:对
B:错
正确答案问询微信：424329

WinDbg在内核态最多支持32个软件断点，在用户态则支持任意个。
A:对
B:错
正确答案问询微信：424329

x64dbg是一款开源的调试器，只支持64位程序的调试，不支持32位程序的调试。
A:对
B:错
正确答案问询微信：424329

在进行用户态实时调试时，如果目标程序是原生64位程序，可以使用x32版本的WinDbg进行调试
A:对
B:错
正确答案问询微信：424329

PEB有一个指针指向TEB
A:对
B:错
正确答案问询微信：424329

PEB 存在于用户地址空间中，记录了进程的相关信息。每个进程都有自己的PEB信息。
A:对
B:错
正确答案问询微信：424329

Olly可以直接加载DLL程序，能够支持执行DLL中某个函数
A:对
B:错
正确答案问询微信：424329

BSOD俗称蓝屏错误
A:对
B:错
正确答案问询微信：424329