南开大学23年春《逆向工程》在线作业一

奥鹏南开大学新学期作业参考

23春学期（仅限-高起专1903、专升本1903）《逆向工程》在线作业-00001

静态分析的基本步骤是（）
1 查杀测试
2 二进制分析
3 搜索引擎
4 样本信息
A:4321
B:4123
C:4132
D:3142
正确答案问询微信：424329

在大端字节序中127.0.0.1 ，对应的正整数16进制表示为
A:0x7F000001
B:0x01000007F
C:0x000017F00
D:0x0000017F
正确答案问询微信：424329

IDA的原始嵌入式脚本语言叫作（）。
A:FLIRT
B:FLAIR
C:IDC
D:Perl
正确答案问询微信：424329

IDA分析数据时，数据类型可以在（）之间转换。
A:db、dw、df
B:db、dw、dd
C:db、dd、df
D:dw、dd、df
正确答案问询微信：424329

（）技术使IDA能在一系列编译器的标准库文件里自动找出调用的函数。
A:FLIRT
B:IDC脚本
C:Hex-Rays Decomplier插件
D:远程调试
正确答案问询微信：424329

所有进程的EPROCESS内核结构都被放入一个（）数据结构中。
A:单向链表
B:结构体
C:双向链表
D:数组
正确答案问询微信：424329

请对Windows的启动过程包括的以下几个阶段的顺序进行排列。
（1）初始化启动阶段
（2）启动自检阶段
（3）Boot加载阶段
（4）检测和配置硬件阶段
A:3412
B:2341
C:2134
D:3214
正确答案问询微信：424329

IDA一般会将相关常量格式化成一个（）常量。
A:二进制
B:八进制
C:十进制
D:十六进制
正确答案问询微信：424329

在以下PE文件的常见区块中，哪一个包含其他外来DLL函数及数据信息。
A:.text
B:.data
C:.idata
D:.edata
正确答案问询微信：424329

终止一个正在运行的进程的命令对应的快捷键是（）。
A:F7
B:F4
C:Ctrl+F7
D:Ctrl+F2
正确答案问询微信：424329

WOW64 ( Windows-on-Windows 64-bit)是（）位Windows操作系统的子系统。
A:16
B:32
C:64
D:128
正确答案问询微信：424329

下列关于IDA有关说法错误的是（）
A:IDA最主要的特性是交互和多处理器。用户可以通过对IDA的交互来指导IDA更好地进行反汇编
B:IDA是按区块装载PE文件的，例如.text(代码块)、.data(数据块)、.rsrc(资源块)、.idata(输入表)和.edata(输出表)等
C:IDA反汇编所消耗的时间与程序大小及复杂程度有关，通常需要等待一段时间才能完成
D:IDA可以格式化指令使用的常量，因此应尽可能使用符号名称而非数字，从而使反汇编代码更具可读性。IDA根据被反汇编指令的上下文、所使用的数据作出格式化决定。对其他情况，IDA一般会将相关常量格式化成一个十进制常量
正确答案问询微信：424329

获得注册文件属性的API函数是
A:FindFirstFileA函数
B:CreateFileA函数
C:GetFileAttributesA函数
D:ReadFile函数
正确答案问询微信：424329

在小端字节序中127.0.0.1 ，对应的正整数16进制表示为
A:0x7F000001
B:0x01000007F
C:0x000017F00
D:0x0000017F
正确答案问询微信：424329

表示回调函数在进行异常展开操作时再次发生了异常，其中展开操作可以简单理解为恢复发生事故的第一现场，并在恢复过程中对系统资源进行回收的返回值是下面哪个（）？
A:ExceptionContinueExecution
B:ExceptionContinueSearch
C:ExceptionNestedException
D:ExceptionCollidedUnwind
正确答案问询微信：424329

在大端字节序中0.127.1.0 ，对应的正整数16进制表示为
A:0x7F000001
B:0x01000007F
C:0x000017F00
D:0x007F0100
正确答案问询微信：424329

Windows图形界面主程序是（）。
A:idag.exe
B:idc.idc
C:ida.cfg
D:idagui.cfg
正确答案问询微信：424329

确定文件是否存在的API函数是（）
A:FindFirstFileA函数
B:CreateFileA函数
C:GetFileAttributesA函数
D:ReadFile函数
正确答案问询微信：424329

（）为运行在Windows XP上的硬件平台提供低级接口。
A:NTOSKRNL.exe
B:NTDLL.DLL
C:HAL.DLL
D:SHELL32.DLL
正确答案问询微信：424329

在Windows中用（）字节对其进行编码，因此也被称为宽字符集
A:1
B:2
C:4
D:8
正确答案问询微信：424329

Windows启动过程的第一阶段是（）。
A:启动自检阶段
B:初始化启动阶段
C:Boot加载阶段
D:检测和配置硬件阶段
正确答案问询微信：424329

Windows支持44位最大寻址空间是（）
A:16TB
B:32TB
C:64TB
D:128TB
正确答案问询微信：424329

表示回调函数在试图处理该异常时再次发生了异常，也就是嵌套异常的返回值是下面哪个（ ）
A:ExceptionContinueExecution
B:ExceptionContinueSearch
C:ExceptionNestedException
D:ExceptionCollidedUnwind
正确答案问询微信：424329

在默认情况下，32位Windows操作系统的物理地址空间在（）GB以内
A:1
B:2
C:4
D:8
正确答案问询微奥鹏南开大学新学期作业参考 代做2元一门信：424329

在关于逆向工程（reverse engineering）的描述中，正确的是： （ ）
A:从己经安装的软件中提取设计规范，用以进行软件开发
B:按照“输出—＞处理—＞输入”的顺序设计软件
C:用硬件来实现软件的功能
D:根据软件处理的对象来选择开发语言和开发工具
正确答案问询微信：424329

以下是资源类型的有
A:VC类标准资源
B:Delphi类标准资源
C:非标准的Unicode字符
D:标准的ASCII字符
正确答案问询微信：424329

到系统中安装的所有驱动器的列表的Windows API函数是（）
A:GetLogicalDriveStrings()
B:GetLogicalDrives()
C:FindFirstFileA
D:GetFileAttributes()
正确答案问询微信：424329

常用的数据传送函数有（）
A:send()
B:recv()
C:WSASend()
D:WSARecv(）
正确答案问询微信：424329

在以下的传递方式中，（）是函数传递参数的方式[多选]
A:栈方式
B:队列方式
C:寄存器方式
D:通过全局变量进行隐含参数传递
正确答案问询微信：424329

常用的十六进制工具有（）。
A:HexWorkshop
B:WinHex
C:Hiew
D:ApateDNS
正确答案问询微信：424329

C++的三大核心机制是什么（）
A:封装
B:继承
C:对象
D:多态
正确答案问询微信：424329

字符串比较形式有哪几种（）
A:寄存器直接比较
B:函数比较
C:串比较
D:直接比较
正确答案问询微信：424329

利用调试器针对API设置断点的功能，就有可能找到判断注册码的地方，常用来对话框的API都有哪些（）？
A:GetWindowTextA(W)
B:GetDlgItemTextA(W)
C:GetDlgItemInt()
D:Hmemcpy函数
正确答案问询微信：424329

下列是反汇编引擎的有（）。
A:ODDisasm
B:BeaEngine
C:Udis86
D:Keystone
正确答案问询微信：424329

显示窗口常用的函数有（）？
A:MessageBoxA(W)
B:DialogBoxParamA(W)
C:ShowWindow
D:CreateWindowExA(W)
正确答案问询微信：424329

BSOD俗称蓝屏错误
A:对
B:错
正确答案问询微信：424329

Windows允许第三方公司开发运行在Windows内核空间中的设备驱动程序。
A:对
B:错
正确答案问询微信：424329

Windows程序的各种界面称为资源
A:对
B:错
正确答案问询微信：424329

当PE文件装载内存后准备执行时，所有函数入口地址排列在一起
A:对
B:错
正确答案问询微信：424329

当一个异常发生时，在没有调试器干预的情况下，操作系统会将异常信息转交给用户态的异常处理过程
A:对
B:错
正确答案问询微信：424329

SSDT的全称是系统服务描述符表， SSDT用于处理应用层通过kernel32.dll下发的各个API操作请求。
A:对
B:错
正确答案问询微信：424329

大端字节序中，一个多字节组成的数据，最高位被存储在内存的低地址上
A:对
B:错
正确答案问询微信：424329

Windows通过消息来标识它所代表的对象。
A:对
B:错
正确答案问询微信：424329

在PE文件内有一组数据结构，它们分别对应于被输人的DLL。每一个这样的结构都给出了被输人的DLL的名称并指向一组函数指针。
A:对
B:错
正确答案问询微信：424329

RVA是内存中的一个相对于PE文件载入地址的偏移位置
A:对
B:错
正确答案问询微信：424329

x64平台上原生x64程序的异常分发流程与x86平台上不是完全一致的
A:对
B:错
正确答案问询微信：424329

在分析Dump文件时(不管是用户模式Dump，还是内核模式Dump)，如果Dump文件在Windows XP及更新版本的操作系统上生成的，那么x86或x64版本的WinDbg均可使用
A:对
B:错
正确答案问询微信：424329

x64dbg是一款开源的调试器，只支持64位程序的调试，不支持32位程序的调试。
A:对
B:错
正确答案问询微信：424329

数据目录表的第1个成员指向输入表
A:对
B:错
正确答案问询微信：424329

Unicode字符需要用到内存中连续的两个字节
A:对
B:错
正确答案问询微信：424329