22秋学期（高起本1709-1803、全层次1809-2103）《逆向工程》在线作业-00002


------------------------
1.资源用类似于磁盘目录结构的方式保存，目录通常包含（）层。
A.1
B.2
C.3
D.4
答案请点我要此答案，或联系QQ

2.用十六进制工具查看IMAGE_ FILE_HEADER结构的情况时，以下字段中哪个代表可执行文件的目标CPU类型。
A.NumberOfSections
B.Machine
C.TimeDateStamp
D.Characteristics
答案请点我要此答案，或联系QQ

3.紧跟资源目录结构的就是资源目录入口(Resource Dir Entries)结构，此结构长度为()字节，包含2个字段。
A.4
B.8
C.12
D.16
答案请点我要此答案，或联系QQ

4.MDebug支持多Tab显示（）个内存窗口，为内存复制、内存修改提供了丰富的功能
A.3
B.5
C.7
D.8
答案请点我要此答案，或联系QQ

5.“Start”键表示内核刚刚初始化的是（）。
A.SERVICE_BOOT_START(0)
B.SERVICE_BOOT_START(1)
C.SERVICE_BOOT_START(2)
D.SERVICE_BOOT_START(3)
答案请点我要此答案，或联系QQ

6.用于判断指定文件的属性的Windows API函数是（）
A.GetLogicalDriveStrings()
B.GetLogicalDrives()
C.GetFileAttributes()
D.CreateFileA
答案请点我要此答案，或联系QQ

7.x86支持最大（）的虚拟内存空间。
A.1GB
B.2GB
C.4GB
D.8GB
答案请点我要此答案，或联系QQ

8.计算机体系结构中，（）层是由十六进制形式的操作码组成，用于告诉处理器你想它干什么。
A.微指令
B.机器码
C.低级语言
D.高级语言
答案请点我要此答案，或联系QQ

9.打开文件以获得其句柄的API函数是（）
A.FindFirstFileA函数
B.CreateFileA函数
C.GetFileAttributesA函数
D.ReadFile函数
答案请点我要此答案，或联系QQ

10.除了CPU能够捕获一个事件并引发一个硬件异常外，在代码中可以主动引发一个软件异常，这只需调用（ ）函数
A.RaiseExeeption()
B.nt!RtlDispatchException
C.KeBugCheckEx
D.KiDispatchException
答案请点我要此答案，或联系QQ

11.在获取不到高级语言源码时，（）是从机器码中能可信并保持一致地还原得到的最高一层语言。
A.机器指令
B.微指令
C.汇编语言
D.机器码
答案请点我要此答案，或联系QQ

12.以下动态链接库中哪个是通用控件
A.Advapi32.dll
B.Comctl32.dll
C.Comdlg32.dll
D.Shell32.dll
答案请点我要此答案，或联系QQ

13.在大端字节序中0.127.1.0 ，对应的正整数16进制表示为
A.0x7F000001
B.0x01000007F
C.0x000017F00
D.0x007F0100
答案请点我要此答案，或联系QQ

14.与Capstone反汇编器对应的汇编器是（）。
A.ODDisasm
B.BeaEngine
C.Keystone
D.AsmJit
答案请点我要此答案，或联系QQ

15.表示回调函数在试图处理该异常时再次发生了异常，也就是嵌套异常的返回值是下面哪个（ ）
A.ExceptionContinueExecution
B.ExceptionContinueSearch
C.ExceptionNestedException
D.ExceptionCollidedUnwind
答案请点我要此答案，或联系QQ

16.IDA插件的安装要将已编译的插件模块复制到IDA的（）目录中。
A.cfg
B.idc
C.loaders
D.plugins
答案请点我要此答案，或联系QQ

17.假设整形数组ary的首地址是0x1000，则ary[2]的位置是
A.0x1000
B.0x1004
C.0x1008
D.0x100C
正确答案:false

18.数据目录表(DataDirectory)的第（）个成员指向绑定输人。绑定输入以一个IMAGE_ BOUND_IMPORT _DESCRIPTOR结构的数组开始。
A.10
B.11
C.12
D.13
答案请点我要此答案，或联系QQ

19.IDT是一张位于物理内存中的线性表，共有（）项
A.128
B.256
C.512
D.1024
答案请点我要此答案，或联系QQ

20.（）用于在内核中管理进程的各种信息。
A.Dispatcher对象
B.I/O对象
C.进程对象
D.线程对象
答案请点我要此答案，或联系QQ

21.CPU设计者将CPU的运行级别从内向外分为4个，依次为R0, R1, R2, R3，（）拥有最高执行权限。
A.R0
B.R1
C.R2
D.R3
答案请点我要此答案，或联系QQ

22.表示回调函数不能处理异常，需要用SEH回调函数的链表中的其他回调函数来处理的返回值是下面哪个（）
A.ExceptionContinueExecution
B.ExceptionContinueSearch
C.ExceptionNestedException
D.ExceptionCollidedUnwind
答案请点我要此答案，或联系QQ

23.在Windows中用（）字节对其进行编码，因此也被称为宽字符集
A.1
B.2
C.4
D.8
答案请点我要此答案，或联系QQ

24.（）为运行在Windows XP上的硬件平台提供低级接口。
A.NTOSKRNL.exe
B.NTDLL.DLL
C.HAL.DLL
D.SHELL32.DLL
答案请点我要此答案，或联系QQ

25.在以下PE文件的常见区块中，哪一个包含读写数据块。
A..text
B..data
C..idata
D..edata
正确答案:false

------------------------
1.下列是汇编引擎的有（）。
A.ODAssembler
B.Keystone
C.AsmJit
D.Capstone
答案请点我要此答案，或联系QQ,B,C

2.计时器使用的API函数都有哪些（）？
A.setTimer()函数
B.高精度的多媒体计时器
C.GetTickCount()函数
D.timeGetTime()函数
答案请点我要此答案，或联系QQ,B,C,D

3.查找具有相同窗口类名和标题的窗口的Windows API函数都有（）
A.FindWindowA
B.GetWindowText
C.CreateMutexA
D.GetLogicalDriveStrings()
答案请点我要此答案，或联系QQ,B

4.利用调试器针对API设置断点的功能，就有可能找到判断注册码的地方，常用来对话框的API都有哪些（）？
A.GetWindowTextA(W)
B.GetDlgItemTextA(W)
C.GetDlgItemInt()
D.Hmemcpy函数
答案请点我要此答案，或联系QQ,B,C,D

5.传统的系统引导与启动方法主要借助（）。
A.BIOS
B.MBR
C.UEFI
D.GPT
答案请点我要此答案，或联系QQ,B

6.IDA反汇编代码可以输出（）格式文件。
A.MAP
B.ASM
C.EXE
D.DIF
答案请点我要此答案，或联系QQ,B,C,D

7.有关进程和线程的数据结构有（）。
A.EPROCESS
B.ETHREAD
C.PEB
D.TEB
答案请点我要此答案，或联系QQ,B,C,D

8.IDA支持（）语言编写脚本。
A.IDC
B.C++
C.java
D.python
答案请点我要此答案，或联系QQ,D

9.去除警告窗口常用的3种方法是（）？
A.修改程序的资源
B.静态分析
C.动态分析
D.放置不管
答案请点我要此答案，或联系QQ,B,C

10.WinDbg支持哪些调试（）
A.以打开、附加的方式调试应用程序
B.可以分析Dump文件
C.可以进行远程调试
D.内核调试
答案请点我要此答案，或联系QQ,B,C,D

------------------------
1.每个PE文件都是以一个DOS程序开始的，有了它，一旦程序在DOS下执行，DOS就能识别出这是一个有效的执行体。
T.对
F.错
答案请点我要此答案，或联系QQ

2.BSOD俗称蓝屏错误
T.对
F.错
答案请点我要此答案，或联系QQ

3.异常是由外部硬件设备或异步事件产生的，而终端是由内部事件产生的
T.对
F.错
答案请点我要此答案，或联系QQ

4.数据目录表的第1个成员指向输入表
T.对
F.错
答案请点我要此答案，或联系QQ

5.资源用类似于磁盘目录结构的方式保存，目录通常包含3层。
T.对
F.错
答案请点我要此答案，或联系QQ

6.只能设置1个硬件断点
T.对
F.错
答案请点我要此答案，或联系QQ

7.Windows内核只支持Unicode字符串
T.对
F.错
答案请点我要此答案，或联系QQ

8.应用程序可以直接访问内核空间的驱动程序。
T.对
F.错
答案请点我要此答案，或联系QQ

9.NT系统的核心完全是用Unicode函数工作的
T.对
F.错
答案请点我要此答案，或联系QQ

10.只有NT系统架构才更能发挥OllyDbg的强大功能
T.对
F.错
答案请点我要此答案，或联系QQ

11.EPROCESS和ETHREAD结构都位于内核空间中，且有指针指向对应的PEB和TEB。
T.对
F.错
答案请点我要此答案，或联系QQ

12.IDA有着较强的数组聚合能力。它可以将一串数据声明变成一个反汇编行，按数组的形式显示，从而简化反汇编代码清单
T.对
F.错
答案请点我要此答案，或联系QQ

13.Windows对内存使用段页式的管理方式。
T.对
F.错
答案请点我要此答案，或联系QQ

14.WinDbg在内核态最多支持32个软件断点，在用户态则支持任意个。
T.对
F.错
答案请点我要此答案，或联系QQ

15.$spat("String", "Pattern"):根据String是否匹配Pattern，计算得到“TRUE”或“FALSE".Pattern中可以包含多种通配符
T.对
F.错
答案请点我要此答案，或联系QQ