可做奥鹏各院校作业、国开形考作业、在线作业、离线作业、毕业论文, 微信:wxxygzs
南开21秋学期(1709、1803、1809、1903、1909、2003、2009、2103)《逆向工程》在线作业
试卷总分:100 得分:100
一、单选题 (共 25 道试题,共 50 分)
1.系统服务描述表的英文缩写是()。
A.SSDT
B.IAT
C.GPT
D.IRP
2.用十六进制工具查看IMAGE_ FILE_HEADER结构的情况时,以下字段中哪个代表区块的数目。
A.NumberOfSections
B.Machine
C.TimeDateStamp
D.Characteristics
3.()是一个文本文件,其记录了程序调用的函数等符号信息。
A.MAP
B.ASM
C.EXE
D.DIF
4.IDA分析数据时,数据类型可以在()之间转换。
A.db、dw、df
B.db、dw、dd
C.db、dd、df
D.dw、dd、df
5.在获取不到高级语言源码时,()是从机器码中能可信并保持一致地还原得到的最高一层语言。
A.机器指令
B.微指令
C.汇编语言
D.机器码
6.下列关于IDA有关说法错误的是()
A.IDA最主要的特性是交互和多处理器。用户可以通过对IDA的交互来指导IDA更好地进行反汇编
B.IDA是按区块装载PE文件的,例如.text(代码块)、.data(数据块)、.rsrc(资源块)、.idata(输入表)和.edata(输出表)等
C.IDA反汇编所消耗的时间与程序大小及复杂程度有关,通常需要等待一段时间才能完成
D.IDA可以格式化指令使用的常量,因此应尽可能使用符号名称而非数字,从而使反汇编代码更具可读性。IDA根据被反汇编指令的上下文、所使用的数据作出格式化决定。对其他情况,IDA一般会将相关常量格式化成一个十进制常量
7.()十六进制工具可以在汇编状态下修改代码。
A.HexWorkshop
B.WinHex
C.Hiew
D.ApateDNS
8.获得注册文件属性的API函数是
A.FindFirstFileA函数
B.CreateFileA函数
C.GetFileAttributesA函数
D.ReadFile函数
9.()用于记录进程的参数信息。
A.BeingDebugged
B.CheckRemoteDebuggerPresent
C.ProcessParameters
D.ImageBaseAdress
10.在Windows中用()字节对其进行编码,因此也被称为宽字符集
A.1
B.2
C.4
D.8
11.以下先执行语句块,再进行表达式判断的循环语句是()。
A.do循环
B.while循环
C.for循环
D.都不是
12.()相当于一个微型操作系统。
A.BIOS
B.MBR
C.UEFI
D.GPT
13.静态分析的基本步骤是() 1 查杀测试 2 二进制分析 3 搜索引擎 4 样本信息
A.4321
B.4123
C.4132
D.3142
14.Linux支持48位最大寻址空间是()
A.32TB
B.64TB
C.128TB
D.256TB
15.()可以将调试程序执行过程中的事件记录下来。
A.断点
B.跟踪
C.修改可执行文件
D.参考重命名
16.IDA插件的安装要将已编译的插件模块复制到IDA的()目录中。
A.cfg
B.idc
C.loaders
D.plugins
17.DPC和更低的中段被屏蔽,内存不能分页的中断级别是()。
A.PASSIVE_LEVEL
B.APC_LEVEL
C.DISPATCH_LEVEL
D.DIRQL
18.在关于逆向工程(reverse engineering)的描述中,正确的是: ( )
A.从己经安装的软件中提取设计规范,用以进行软件开发
B.按照“输出—>处理—>输入”的顺序设计软件
C.用硬件来实现软件的功能
D.根据软件处理的对象来选择开发语言和开发工具
19.所有IDC脚本中都有一条包含()文件的语句。
A.idag.exe
B.idc.idc
C.ida.cfg
D.idagui.cfg
20.在大端字节序中127.0.0.1 ,对应的正整数16进制表示为
A.0x7F000001
B.0x01000007F
C.0x000017F00
D.0x0000017F
21.表示回调函数处理了异常,可从异常发生处继续执行的返回值是下面哪个( )
A.ExceptionContinueExecution
B.ExceptionContinueSearch
C.ExceptionNestedException
D.ExceptionCollidedUnwind
22.数据目录表(DataDirectory)的第()个成员指向绑定输人。绑定输入以一个IMAGE_ BOUND_IMPORT _DESCRIPTOR结构的数组开始。
A.10
B.11
C.12
D.13
23.虚表的每一项都是()个字节,存储的是成员函数的地址
A.2
B.4
C.6
D.8
24.在PE文件头的可选映像头中,数据目录表的第()个成员指向输人表。
A.1
B.2
C.3
D.4
25.()对象在对象体开始位置放置了一个共享的公共数据结构DISPATCHAR_HEADER。
A.Dispatcher对象
B.I/O对象
C.进程对象
D.线程对象
二、多选题 (共 10 道试题,共 20 分)
26.下列是反汇编引擎的有()。
A.ODDisasm
B.BeaEngine
C.Udis86
D.Keystone
27.IDA反汇编代码可以输出()格式文件。
A.MAP
B.ASM
C.EXE
D.DIF
28.利用调试器针对API设置断点的功能,就有可能找到判断注册码的地方,常用来对话框的API都有哪些()?
A.GetWindowTextA(W)
B.GetDlgItemTextA(W)
C.GetDlgItemInt()
D.Hmemcpy函数
29.用于获取时间的API函数有()?
A.GetSystemTime
B.GetLocalTime
C.GetFileTime
D.timeGetTime
30.到系统中安装的所有驱动器的列表的Windows API函数是()
A.GetLogicalDriveStrings()
B.GetLogicalDrives()
C.FindFirstFileA
D.GetFileAttributes()
31.常用的数据传送函数有()
A.send()
B.recv()
C.WSASend()
D.WSARecv()
32.以下是for循环的执行组件的是
A.初始化
B.比较
C.执行指令
D.递增或递减
33.计时器使用的API函数都有哪些()?
A.setTimer()函数
B.高精度的多媒体计时器
C.GetTickCount()函数
D.timeGetTime()函数
34.字符串比较形式有哪几种()
A.寄存器直接比较
B.函数比较
C.串比较
D.直接比较
35.显示窗口常用的函数有()?
A.MessageBoxA(W)
B.DialogBoxParamA(W)
C.ShowWindow
D.CreateWindowExA(W)
三、判断题 (共 15 道试题,共 30 分)
36.计算机中储存的信息都是用二进制数表示的,但如果要处理文本,并不需要先把文本转换为相应的二进制数。
37.默认情况下,如果能够确定软件的入口点位置,即(Winmain),OllyDbg会在这个位置暂停程序的执行。
38.从R3层进入R0层的中断只能是int 2Eh。
39.打开一个EXE文件,OllyDbg会立即加载文件,自动分析并列出汇编代码。默认的当前窗口是CPU窗口
40.WinDbg在用户态、在内核态都最多支持无数个软件断点
41.Windows允许第三方公司开发运行在Windows内核空间中的设备驱动程序。
42.x86平台上将SEH数据结构存放在栈中是一种非常安全的行为。
43.资源数据一般存储在PE文件的.rsr区块中,能通过由程序源代码定义的变量直接访问。
44.NT系统的核心完全是用Unicode函数工作的
45.在进行用户态实时调试时,如果目标程序是原生64位程序,可以使用x32版本的WinDbg进行调试
46.进人指令汇编修改状态,jne指令共2字节,因此用2个nop指令代替,这种跳过算法分析直接修改关键跳转指令使程序注册成功的方法,通常被解密者称为“爆破法”
47.$spat("String", "Pattern"):根据String是否匹配Pattern,计算得到“TRUE”或“FALSE".Pattern中可以包含多种通配符
48.软件验证序列号,其实就是验证用户名和序列号之间的数学映射关系
49.加载内核驱动的方法很多,可以使用instdrv.exe工具来加载。
50.每个PE文件都是以一个DOS程序开始的,有了它,一旦程序在DOS下执行,DOS就能识别出这是一个有效的执行体。