南开大学22秋学期《逆向工程》在线作业三

奥鹏教育南开大学平时作业

22秋学期（高起本1709-1803、全层次1809-2103）《逆向工程》在线作业-00003

资源用类似于磁盘目录结构的方式保存，目录通常包含（）层。
A:1
B:2
C:3
D:4
正确答案获取微信：424329

假设整形数组ary的首地址是0x1000，则ary[3]的位置是
A:0x1000
B:0x1004
C:0x1008
D:0x100C
正确答案获取微信：424329

IDA的原始嵌入式脚本语言叫作（）。
A:FLIRT
B:FLAIR
C:IDC
D:Perl
正确答案获取微信：424329

下列关于IDA有关说法错误的是（）
A:IDA最主要的特性是交互和多处理器。用户可以通过对IDA的交互来指导IDA更好地进行反汇编
B:IDA是按区块装载PE文件的，例如.text(代码块)、.data(数据块)、.rsrc(资源块)、.idata(输入表)和.edata(输出表)等
C:IDA反汇编所消耗的时间与程序大小及复杂程度有关，通常需要等待一段时间才能完成
D:IDA可以格式化指令使用的常量，因此应尽可能使用符号名称而非数字，从而使反汇编代码更具可读性。IDA根据被反汇编指令的上下文、所使用的数据作出格式化决定。对其他情况，IDA一般会将相关常量格式化成一个十进制常量
正确答案获取微信：424329

静态分析的基本步骤是（）
1 查杀测试
2 二进制分析
3 搜索引擎
4 样本信息
A:4321
B:4123
C:4132
D:3142
正确答案获取微信：424329

表示回调函数在试图处理该异常时再次发生了异常，也就是嵌套异常的返回值是下面哪个（ ）
A:ExceptionContinueExecution
B:ExceptionContinueSearch
C:ExceptionNestedException
D:ExceptionCollidedUnwind
正确答案获取微信：424329

（）可以将调试程序执行过程中的事件记录下来。
A:断点
B:跟踪
C:修改可执行文件
D:参考重命名
正确答案获取微信：424329

PE文件中的分节中唯一包含代码的节是（）。
A:.rdata
B:.text
C:.data
D:.rsrc
正确答案获取微信：424329

读取文件内容的API函数是
A:FindFirstFileA函数
B:CreateFileA函数
C:GetFileAttributesA函数
D:ReadFile函数
正确答案获取微信：424329

在关于逆向工程（reverse engineering）的描述中，正确的是： （ ）
A:从己经安装的软件中提取设计规范，用以进行软件开发
B:按照“输出—＞处理—＞输入”的顺序设计软件
C:用硬件来实现软件的功能
D:根据软件处理的对象来选择开发语言和开发工具
正确答案获取微信：424329

Windows系统中第1个创建的用户进程为（）。
A:csrss.exe
B:winlogon.exe
C:smss.exe
D:services.exe
正确答案获取微信：424329

Windows内核部分会调用一些内核层的函数。这些函数都以固定的前缀开始，分别属于内核中不同的管理模块，其中“Ps”属于哪个模块。
A:管理层
B:核心层
C:进程管理
D:安全管理
正确答案获取微信：424329

IDA插件的安装要将已编译的插件模块复制到IDA的（）目录中。
A:cfg
B:idc
C:loaders
D:plugins
正确答案获取微信：424329

（）用于在内核中管理进程的各种信息。
A:Dispatcher对象
B:I/O对象
C:进程对象
D:线程对象
正确答案获取奥鹏教育南开大学平时作业微信：424329

以下不是函数传递参数的方式的是
A:寄存器
B:通过全局变量进行隐含参数传递
C:队列传递
D:栈方式
正确答案获取微信：424329

OllyDbg自带的反汇编引擎是（）。
A:ODDisasm
B:BeaEngine
C:Udis86
D:Capstone
正确答案获取微信：424329

所有IDC脚本中都有一条包含（）文件的语句。
A:idag.exe
B:idc.idc
C:ida.cfg
D:idagui.cfg
正确答案获取微信：424329

请对Windows的启动过程包括的以下几个阶段的顺序进行排列。
（1）初始化启动阶段
（2）启动自检阶段
（3）Boot加载阶段
（4）检测和配置硬件阶段
A:3412
B:2341
C:2134
D:3214
正确答案获取微信：424329

输出表(Export Table)的主要内容是一个表格，其中包括函数名称、输出序数等。序数是指定DLL中某个函数的（）位数字，在所指向的DLL里是独一无二的。
A:13
B:14
C:15
D:16
正确答案获取微信：424329

以（）为前缀的函数代表核心层。
A:Ex
B:Ke
C:HAL
D:Ob
正确答案获取微信：424329

（）能解码每一条指令所使用和影响的寄存器。
A:ODDisasm
B:BeaEngine
C:Udis86
D:AsmJit
正确答案获取微信：424329

获得注册文件属性的API函数是
A:FindFirstFileA函数
B:CreateFileA函数
C:GetFileAttributesA函数
D:ReadFile函数
正确答案获取微信：424329

虚函数的地址是在（）时候确定的。
A:程序编写时
B:编译程序时
C:调用即将进行时
D:程序执行后
正确答案获取微信：424329

（）相当于一个微型操作系统。
A:BIOS
B:MBR
C:UEFI
D:GPT
正确答案获取微信：424329

代表文件缓存管理的函数前缀是（）。
A:Ex
B:Ke
C:HAL
D:Cc
正确答案获取微信：424329

在以下的传递方式中，（）是函数传递参数的方式[多选]
A:栈方式
B:队列方式
C:寄存器方式
D:通过全局变量进行隐含参数传递
正确答案获取微信：424329

查找具有相同窗口类名和标题的窗口的Windows API函数都有（）
A:FindWindowA
B:GetWindowText
C:CreateMutexA
D:GetLogicalDriveStrings()
正确答案获取微信：424329

到系统中安装的所有驱动器的列表的Windows API函数是（）
A:GetLogicalDriveStrings()
B:GetLogicalDrives()
C:FindFirstFileA
D:GetFileAttributes()
正确答案获取微信：424329

C++的三大核心机制是什么（）
A:封装
B:继承
C:对象
D:多态
正确答案获取微信：424329

常用的十六进制工具有（）。
A:HexWorkshop
B:WinHex
C:Hiew
D:ApateDNS
正确答案获取微信：424329

可以通过（）函数调用和（）段寄存器来访问TEB结构。
A:NtCurreentTeb
B:deviceIoControl
C:FS
D:DS
正确答案获取微信：424329

IDA支持（）语言编写脚本。
A:IDC
B:C++
C:java
D:python
正确答案获取微信：424329

利用调试器针对API设置断点的功能，就有可能找到判断注册码的地方，常用来对话框的API都有哪些（）？
A:GetWindowTextA(W)
B:GetDlgItemTextA(W)
C:GetDlgItemInt()
D:Hmemcpy函数
正确答案获取微信：424329

显示窗口常用的函数有（）？
A:MessageBoxA(W)
B:DialogBoxParamA(W)
C:ShowWindow
D:CreateWindowExA(W)
正确答案获取微信：424329

用于获取时间的API函数有（）？
A:GetSystemTime
B:GetLocalTime
C:GetFileTime
D:timeGetTime
正确答案获取微信：424329

应用程序可以直接访问内核空间的驱动程序。
A:对
B:错
正确答案获取微信：424329

WinDbg有限制地支持本地内核调试，只能查看一些重要的系统数据结构，不能通过下断点的方式进行调试。
A:对
B:错
正确答案获取微信：424329

Windows与内核启动过程中在Boot加载阶段，先对ntldr进行设置，然后从启动分区加载ntldr。
A:对
B:错
正确答案获取微信：424329

只能设置1个硬件断点
A:对
B:错
正确答案获取微信：424329

延迟载入不是操作系统的特征，其通过向链接器和运行库加入额外的代码和数据来实现。
A:对
B:错
正确答案获取微信：424329

网络验证的关键就是数据包分析
A:对
B:错
正确答案获取微信：424329

从R3层进入R0层的中断只能是int 2Eh。
A:对
B:错
正确答案获取微信：424329

数组是相同数据类型的元素的集合，它们在内存中按不连续的顺序存放在一起。
A:对
B:错
正确答案获取微信：424329

调用虚函数时，程序先取出虚函数表指针，得到虚函数表的地址，再根据这个地址到虚函数表中取出该函数的地址，最后调用该函数。
A:对
B:错
正确答案获取微信：424329

VEH机制支持用户模式和内核模式
A:对
B:错
正确答案获取微信：424329

Address列显示被双击行地址的就绝对地址，再次双击返回标准地址模式
A:对
B:错
正确答案获取微信：424329

Unicode字符需要用到内存中连续的两个字节
A:对
B:错
正确答案获取微信：424329

VEH可以取代SHE
A:对
B:错
正确答案获取微信：424329

如果目标程序是32位程序，那么只可以使用x86版本
A:对
B:错
正确答案获取微信：424329

PE文件一般至少有两个区块——代码块和数据块
A:对
B:错
正确答案获取微信：424329