22秋学期（高起本1709-1803、全层次1809-2103）《逆向工程》在线作业-00003


------------------------
1.资源用类似于磁盘目录结构的方式保存，目录通常包含（）层。
A.1
B.2
C.3
D.4
答案请点我要此答案，或联系QQ

2.假设整形数组ary的首地址是0x1000，则ary[3]的位置是
A.0x1000
B.0x1004
C.0x1008
D.0x100C
答案请点我要此答案，或联系QQ

3.IDA的原始嵌入式脚本语言叫作（）。
A.FLIRT
B.FLAIR
C.IDC
D.Perl
答案请点我要此答案，或联系QQ

4.下列关于IDA有关说法错误的是（）
A.IDA最主要的特性是交互和多处理器。用户可以通过对IDA的交互来指导IDA更好地进行反汇编
B.IDA是按区块装载PE文件的，例如.text(代码块)、.data(数据块)、.rsrc(资源块)、.idata(输入表)和.edata(输出表)等
C.IDA反汇编所消耗的时间与程序大小及复杂程度有关，通常需要等待一段时间才能完成
D.IDA可以格式化指令使用的常量，因此应尽可能使用符号名称而非数字，从而使反汇编代码更具可读性。IDA根据被反汇编指令的上下文、所使用的数据作出格式化决定。对其他情况，IDA一般会将相关常量格式化成一个十进制常量
答案请点我要此答案，或联系QQ

5.静态分析的基本步骤是（） 1 查杀测试 2 二进制分析 3 搜索引擎 4 样本信息
A.4321
B.4123
C.4132
D.3142
答案请点我要此答案，或联系QQ

6.表示回调函数在试图处理该异常时再次发生了异常，也就是嵌套异常的返回值是下面哪个（ ）
A.ExceptionContinueExecution
B.ExceptionContinueSearch
C.ExceptionNestedException
D.ExceptionCollidedUnwind
正确答案:false

7.（）可以将调试程序执行过程中的事件记录下来。
A.断点
B.跟踪
C.修改可执行文件
D.参考重命名
答案请点我要此答案，或联系QQ

8.PE文件中的分节中唯一包含代码的节是（）。
A..rdata
B..text
C..data
D..rsrc
答案请点我要此答案，或联系QQ

9.读取文件内容的API函数是
A.FindFirstFileA函数
B.CreateFileA函数
C.GetFileAttributesA函数
D.ReadFile函数
答案请点我要此答案，或联系QQ

10.在关于逆向工程（reverse engineering）的描述中，正确的是： （ ）
A.从己经安装的软件中提取设计规范，用以进行软件开发
B.按照“输出—＞处理—＞输入”的顺序设计软件
C.用硬件来实现软件的功能
D.根据软件处理的对象来选择开发语言和开发工具
答案请点我要此答案，或联系QQ

11.Windows系统中第1个创建的用户进程为（）。
A.csrss.exe
B.winlogon.exe
C.smss.exe
D.services.exe
答案请点我要此答案，或联系QQ

12.Windows内核部分会调用一些内核层的函数。这些函数都以固定的前缀开始，分别属于内核中不同的管理模块，其中“Ps”属于哪个模块。
A.管理层
B.核心层
C.进程管理
D.安全管理
答案请点我要此答案，或联系QQ

13.IDA插件的安装要将已编译的插件模块复制到IDA的（）目录中。
A.cfg
B.idc
C.loaders
D.plugins
答案请点我要此答案，或联系QQ

14.（）用于在内核中管理进程的各种信息。
A.Dispatcher对象
B.I/O对象
C.进程对象
D.线程对象
答案请点我要此答案，或联系QQ

15.以下不是函数传递参数的方式的是
A.寄存器
B.通过全局变量进行隐含参数传递
C.队列传递
D.栈方式
答案请点我要此答案，或联系QQ

16.OllyDbg自带的反汇编引擎是（）。
A.ODDisasm
B.BeaEngine
C.Udis86
D.Capstone
答案请点我要此答案，或联系QQ

17.所有IDC脚本中都有一条包含（）文件的语句。
A.idag.exe
B.idc.idc
C.ida.cfg
D.idagui.cfg
答案请点我要此答案，或联系QQ

18.请对Windows的启动过程包括的以下几个阶段的顺序进行排列。 （1）初始化启动阶段 （2）启动自检阶段 （3）Boot加载阶段 （4）检测和配置硬件阶段
A.3412
B.2341
C.2134
D.3214
答案请点我要此答案，或联系QQ

19.输出表(Export Table)的主要内容是一个表格，其中包括函数名称、输出序数等。序数是指定DLL中某个函数的（）位数字，在所指向的DLL里是独一无二的。
A.13
B.14
C.15
D.16
答案请点我要此答案，或联系QQ

20.以（）为前缀的函数代表核心层。
A.Ex
B.Ke
C.HAL
D.Ob
答案请点我要此答案，或联系QQ

21.（）能解码每一条指令所使用和影响的寄存器。
A.ODDisasm
B.BeaEngine
C.Udis86
D.AsmJit
答案请点我要此答案，或联系QQ

22.获得注册文件属性的API函数是
A.FindFirstFileA函数
B.CreateFileA函数
C.GetFileAttributesA函数
D.ReadFile函数
答案请点我要此答案，或联系QQ

23.虚函数的地址是在（）时候确定的。
A.程序编写时
B.编译程序时
C.调用即将进行时
D.程序执行后
答案请点我要此答案，或联系QQ

24.（）相当于一个微型操作系统。
A.BIOS
B.MBR
C.UEFI
D.GPT
答案请点我要此答案，或联系QQ

25.代表文件缓存管理的函数前缀是（）。
A.Ex
B.Ke
C.HAL
D.Cc
答案请点我要此答案，或联系QQ

------------------------
1.在以下的传递方式中，（）是函数传递参数的方式[多选]
A.栈方式
B.队列方式
C.寄存器方式
D.通过全局变量进行隐含参数传递
答案请点我要此答案，或联系QQ,C,D

2.查找具有相同窗口类名和标题的窗口的Windows API函数都有（）
A.FindWindowA
B.GetWindowText
C.CreateMutexA
D.GetLogicalDriveStrings()
答案请点我要此答案，或联系QQ,B

3.到系统中安装的所有驱动器的列表的Windows API函数是（）
A.GetLogicalDriveStrings()
B.GetLogicalDrives()
C.FindFirstFileA
D.GetFileAttributes()
答案请点我要此答案，或联系QQ,B

4.C++的三大核心机制是什么（）
A.封装
B.继承
C.对象
D.多态
答案请点我要此答案，或联系QQ,B,D

5.常用的十六进制工具有（）。
A.HexWorkshop
B.WinHex
C.Hiew
D.ApateDNS
答案请点我要此答案，或联系QQ,B,C

6.可以通过（）函数调用和（）段寄存器来访问TEB结构。
A.NtCurreentTeb
B.deviceIoControl
C.FS
D.DS
答案请点我要此答案，或联系QQ,C

7.IDA支持（）语言编写脚本。
A.IDC
B.C++
C.java
D.python
答案请点我要此答案，或联系QQ,D

8.利用调试器针对API设置断点的功能，就有可能找到判断注册码的地方，常用来对话框的API都有哪些（）？
A.GetWindowTextA(W)
B.GetDlgItemTextA(W)
C.GetDlgItemInt()
D.Hmemcpy函数
答案请点我要此答案，或联系QQ,B,C,D

9.显示窗口常用的函数有（）？
A.MessageBoxA(W)
B.DialogBoxParamA(W)
C.ShowWindow
D.CreateWindowExA(W)
答案请点我要此答案，或联系QQ,B,C,D

10.用于获取时间的API函数有（）？
A.GetSystemTime
B.GetLocalTime
C.GetFileTime
D.timeGetTime
答案请点我要此答案，或联系QQ,B,C

------------------------
1.应用程序可以直接访问内核空间的驱动程序。
T.对
F.错
答案请点我要此答案，或联系QQ

2.WinDbg有限制地支持本地内核调试，只能查看一些重要的系统数据结构，不能通过下断点的方式进行调试。
T.对
F.错
正确答案:false

3.Windows与内核启动过程中在Boot加载阶段，先对ntldr进行设置，然后从启动分区加载ntldr。
T.对
F.错
正确答案:false

4.只能设置1个硬件断点
T.对
F.错
正确答案:false

5.延迟载入不是操作系统的特征，其通过向链接器和运行库加入额外的代码和数据来实现。
T.对
F.错
答案请点我要此答案，或联系QQ

6.网络验证的关键就是数据包分析
T.对
F.错
答案请点我要此答案，或联系QQ

7.从R3层进入R0层的中断只能是int 2Eh。
T.对
F.错
答案请点我要此答案，或联系QQ

8.数组是相同数据类型的元素的集合，它们在内存中按不连续的顺序存放在一起。
T.对
F.错
答案请点我要此答案，或联系QQ

9.调用虚函数时，程序先取出虚函数表指针，得到虚函数表的地址，再根据这个地址到虚函数表中取出该函数的地址，最后调用该函数。
T.对
F.错
答案请点我要此答案，或联系QQ

10.VEH机制支持用户模式和内核模式
T.对
F.错
正确答案:false

11.Address列显示被双击行地址的就绝对地址，再次双击返回标准地址模式
T.对
F.错
答案请点我要此答案，或联系QQ

12.Unicode字符需要用到内存中连续的两个字节
T.对
F.错
答案请点我要此答案，或联系QQ

13.VEH可以取代SHE
T.对
F.错
答案请点我要此答案，或联系QQ

14.如果目标程序是32位程序，那么只可以使用x86版本
T.对
F.错
正确答案:false

15.PE文件一般至少有两个区块——代码块和数据块
T.对
F.错
答案请点我要此答案，或联系QQ