南开大学23年秋学期《逆向工程》在线作业二

奥鹏南开大学23年秋季新学期作业参考

23秋学期（仅限-高起专1909、专升本1909）《逆向工程》在线作业-00002

（）十六进制工具可以在汇编状态下修改代码。
A:HexWorkshop
B:WinHex
C:Hiew
D:ApateDNS
正确答案问询微信：424329

IRQL的最低级别中断是（）。
A:PASSIVE_LEVEL
B:APC_LEVEL
C:DISPATCH_LEVEL
D:DIRQL
正确答案问询微信：424329

创建有名或者无名的互斥对象的Windows API函数是（）
A:FindWindowA
B:GetWindowText
C:CreateMutexA
D:GetLogicalDriveStrings()
正确答案问询微信：424329

在大端字节序中127.0.0.1 ，对应的正整数16进制表示为
A:0x7F000001
B:0x01000007F
C:0x000017F00
D:0x0000017F
正确答案问询微信：424329

在关于逆向工程（reverse engineering）的描述中，正确的是： （ ）
A:从己经安装的软件中提取设计规范，用以进行软件开发
B:按照“输出—＞处理—＞输入”的顺序设计软件
C:用硬件来实现软件的功能
D:根据软件处理的对象来选择开发语言和开发工具
正确答案问询微信：424329

Windows内核部分会调用一些内核层的函数。这些函数都以固定的前缀开始，分别属于内核中不同的管理模块，其中“Ps”属于哪个模块。
A:管理层
B:核心层
C:进程管理
D:安全管理
正确答案问询微信：424329

在以下PE文件的常见区块中，哪一个包含输出表信息。
A:.text
B:.data
C:.idata
D:.edata
正确答案问询微信：424329

设置断点的快捷键是（）。
A:F7
B:F4
C:F2
D:F9
正确答案问询微信：424329

x86支持最大（）的虚拟内存空间。
A:1GB
B:2GB
C:4GB
D:8GB
正确答案问询微信：424329

基址重定位数据采用类似按页分割的方法组织，是由许多重定位块串接成的，每个块中存放（）KB的重定位信息
A:1
B:2
C:4
D:8
正确答案问询微信：424329

可以设置（）个内存断点
A:1个
B:4个
C:5个
D:7个
正确答案问询微信：424329

表示回调函数在进行异常展开操作时再次发生了异常，其中展开操作可以简单理解为恢复发生事故的第一现场，并在恢复过程中对系统资源进行回收的返回值是下面哪个（）？
A:ExceptionContinueExecution
B:ExceptionContinueSearch
C:ExceptionNestedException
D:ExceptionCollidedUnwind
正确答案问询微信：424329

下列关于IDA有关说法错误的是（）
A:IDA最主要的特性是交互和多处理器。用户可以通过对IDA的交互来指导IDA更好地进行反汇编
B:IDA是按区块装载PE文件的，例如.text(代码块)、.data(数据块)、.rsrc(资源块)、.idata(输入表)和.edata(输出表)等
C:IDA反汇编所消耗的时间与程序大小及复杂程度有关，通常需要等待一段时间才能完成
D:IDA可以格式化指令使用的常量，因此应尽可能使用符号名称而非数字，从而使反汇编代码更具可读性。IDA根据被反汇编指令的上下文、所使用的数据作出格式化决定。对其他情况，IDA一般会将相关常量格式化成一个十进制常量
正确答案问询微信：424329

（）支持函数式汇编。
A:ODDisasm
B:BeaEngine
C:Keystone
D:AsmJit
正确答案问询微信：424329

WOW64 ( Windows-on-Windows 64-bit)是（）位Windows操作系统的子系统。
A:16
B:32
C:64
D:128
正确答案问询微信：424329

只有APC级别的中断被屏蔽，可以访问分页内存的中断级别是（）。
A:PASSIVE_LEVEL
B:APC_LEVEL
C:DISPATCH_LEVEL
D:DIRQL
正确答案问询微信：424329

PEiD是利用（）来完成识别工作的。
A:特征串
B:启动代码
C:导入函数
D:导出函数
正确答案问询微信：424329

ASCII出现于20世纪50年代后期，于1967年定案。现代的ASCII是一个()位的编码标准。
A:4
B:5
C:6
D:7
正确答案问询微信：424329

IDA一般会将相关常量格式化成一个（）常量。
A:二进制
B:八进制
C:十进制
D:十六进制
正确答案问询微信：424329

C++的三大核心机制是封装、继承、多态，而虚函数就是（）的一种体现。
A:封装
B:继承
C:多态
D:都不是
正确答案问询微信：424329

挂钩SSDT中的（）函数可以防止模拟按键。
A:NtGdiBitBlt
B:NtGdiStretchBlt
C:NtUserSendInput
D:NtUSerFindWindowEx
正确答案问询微信：424329

在获取不到高级语言源码时，（）是从机器码中能可信并保持一致地还原得到的最高一层语言。
A:机器指令
B:微指令
C:汇编语言
D:机器码
正确答案问询微信：424329

允许或禁止指定的菜单条目的API函数是（）
A:EnabIeMenultem()函数
B:Enablewindow()函数
C:GetTickCount()函数
D:timeGetTime()函数
正确答案问询微信：424329

以下先执行语句块，再进行表达式判断的循环语句是（）。
A:do循环
B:while循环
C:for循环
D:都不是
正确答案问询微信：424329

（）对象在对象体开始位置放置了一个共享的公共数据结构DISPATCHAR_HEADER。
A:Dispatcher对象
B:I/O对象
C:进程对象
D:线程对象
正确答案问询微信：424329

IDA反汇编代码可以输出（）格式文件。
A:MAP
B:ASM
C:EXE
D:DIF
正确答案问询微信：424329

计时器使用的API函数都有哪些（）？
A:setTimer()函数
B:高精度的多媒体计时器
C:GetTickCount()函数
D:timeGetTime()函数
正确答案问询微信：424329

常用的十六进制工具有（）。
A:HexWorkshop
B:WinHex
C:Hiew
D:ApateDNS
正确答案问询微信：424329

利用调试器针对API设置断点的功能，就有可能找到判断注册码的地方，常用来对话框的API都有哪些（）？
A:GetWindowTextA(W)
B:GetDlgItemTextA(W)
C:GetDlgItemInt()
D:Hmemcpy函数
正确答案问询微信：424329

下列是汇编引擎的有（）。
A:ODAssembler
B:Keystone
C:AsmJit
D:Capstone
正确答案问询微信：424329

去除警告窗口常用的3种方法是（）？
A:修改程序的资源
B:静态分析
C:动态分析
D:放置不管
正确答案问询微信：424329

下列是反汇编引擎的有（）。
A:ODDisasm
B:BeaEngine
C:Udis86
D:Keystone
正确答案问询微信：424329

以下是for循环的执行组件的是
A:初始化
B:比较
C:执行指令
D:递增或递减
正确答案问询微信：424329

查找具有相同窗口类名和标题的窗口的Windows API函数都有（）
A:FindWindowA
B:GetWindowText
C:CreateMutexA
D:GetLogicalDriveStrings()
正确答案问询微信：424329

用于获取时间的API函数有（）？
A:GetSystemTime
B:GetLocalTime
C:GetFileTime
D:timeGetTime
正确答案问询微信：424329

在C语言对应的汇编代码中，if语句的识别特征是，jxx的跳转和一个无条件jmp指令
A:对
B:错
正确答案问询微信：424329

资源用类似于磁盘目录结构的方式保存，目录通常包含3层。
A:对
B:错
正确答案问询微信：424329

IDA在进行反汇编的时候能正确区分数据和代码
A:对
B:错
正确答案问询微信：424329

x64平台上原生x64程序的异常分发不仅也有两次分发机会，而且也支持SEH和VEH两种异常处理机制
A:对
B:错
正确答案问询微信：424329

在软件分析调试的过程中，有时会发现真正需要分析的功能位于某个DLL的输出函数中。MDebug支持直接打开DLL进行调试，并允许直接调试DLL的输出函数。
A:对
B:错
正确答案问询微信：424329

在实际应用中，大部分情况下是没有调试器存在的
A:对
B:错
正确答案问询微信：424329

OllyDbg不安装插件也支持命令行操作
A:对
B:错
正确答案问询微信：424329

中断门描述符，主要用于描述异常处理程序的入口
A:对
B:错
正确答案问询微信：424329

消息断点只有在窗口被创建之前也才能被设置并拦奥鹏南开大学23年秋季新学期作业参考截消息
A:对
B:错
正确答案问询微信：424329

IDT是一张位于CPU中的线性表，共有512项
A:对
B:错
正确答案问询微信：424329

附加进程时的非入侵模式调试、Dump文件调试、本地内核调试都属于实时调试模式，它们能直接控制被调试目标的中断和运行
A:对
B:错
正确答案问询微信：424329

BSOD俗称蓝屏错误
A:对
B:错
正确答案问询微信：424329

IDA有着较强的数组聚合能力。它可以将一串数据声明变成一个反汇编行，按数组的形式显示，从而简化反汇编代码清单
A:对
B:错
正确答案问询微信：424329

VEH可以取代SHE
A:对
B:错
正确答案问询微信：424329

应用程序可以直接访问内核空间的驱动程序。
A:对
B:错
正确答案问询微信：424329