21春南开大学《逆向工程》在线作业参考答案
2024-01-19
21春南开大学《逆向工程》在线作业参考答案
1.静态分析的基本步骤是:() 1.查杀测试 2.二进制分析 3.搜索引擎 4.样本信息
A.4321 B.4123 C.4132 D.3142
答案:C
2.假设整形数组ary的首地址是0x1000,则ary[3]的位置是()。
A.0x1000 B.0x1004 C.0x1008 D.0x100C
答案:D
3.IDA插件的安装要将已编译的插件模块复制到IDA的()目录中。
A.cfg B.idc C.loaders D.plugins
答案:D
4.CPU设计制造商在设计之初是让()运行内核,()和()运行设备驱动,()运行应用程序。
A.R1、R2、R3、R4 B.R0、R1、R2、R3 C.R3、R2、R1、R0 D.R4、R3、R2、R1
答案:B
5.在默认情况下,32位Windows操作系统的物理地址空间在()GB以内。
A.1 B.2 C.4 D.8
答案:C
6.设置断点的快捷键是()。
A.F7 B.F4 C.F2 D.F9
答案:C
7.x86支持最大()的虚拟内存空间。
A.1GB B.2GB C.4GB D.8GB
答案:C
8.PE文件在定位输出表、输入表和资源等重要数据时,就是从()结构开始的。
A.IMAGE_DATA_DIRECTORY B.IMAGE _OPTIONAL_HEADER C.IMAGE_FILE_HEADER D.IMAGE_NT_HEADER
答案:A
9.由R3进入R0是通过()实现的。
A.内存映射 B.基地址重定位 C.中断 D.异常
答案:C
10.Windows启动过程的第一阶段是()。
A.启动自检阶段 B.初始化启动阶段 C.Boot加载阶段 D.检测和配置硬件阶段
答案:A
11.()主要处理来自User32.dll和GDI32.dll的系统调用。
A.SSDT B.IAT C.GPT D.Shadow SSDT
答案:D
12.除了CPU能够捕获一个事件并引发一个硬件异常外,在代码中可以主动引发一个软件异常,这只需调用()函数。
A.RaiseExeeption() B.nt!RtlDispatchException() C.KeBugCheckEx() D.KiDispatchException()
答案:A
13.检查驱动器的Windows API函数是()。
A.GetLogicalDriveStrings() B.GetLogicalDrives() C.GetDriveType() D.GetFileAttributes()
答案:C
14.Windows图形界面主程序是()。
A.idag.exe B.idc.idc C.ida.cfg D.idagui.cfg
答案:A
15.以下动态链接库中哪个负责对象安全性、注册表操作?()
A.Advapi32.dll B.Comctl32.dll C.Comdlg32.dll D.Shell32.dll
答案:A
16.C++的三大核心机制是封装、继承、多态,而虚函数就是()的一种体现。
A.封装 B.继承 C.多态 D.都不是
答案:C
17.允许或禁止指定的菜单条目的API函数是()。
A.EnabIeMenultem()函数 B.Enablewindow()函数 C.GetTickCount()函数 D.timeGetTime()函数
答案:A
18.表示回调函数在进行异常展开操作时再次发生了异常,其中展开操作可以简单理解为恢复发生事故的第一现场,并在恢复过程中对系统资源进行回收的返回值是下面哪个?()
A.ExceptionContinueExecution B.ExceptionContinueSearch C.ExceptionNestedException D.ExceptionCollidedUnwind
答案:D
19.OllyDbg自带的反汇编引擎是()。
A.ODDisasm B.BeaEngine C.Udis86 D.Capstone
答案:A
20.基址重定位数据采用类似按页分割的方法组织,是由许多重定位块串接成的,每个块中存放()KB的重定位信息。
A.1 B.2 C.4 D.8
答案:C
21.与Capstone反汇编器对应的汇编器是()。
A.ODDisasm B.BeaEngine C.Keystone D.AsmJit
答案:C
22.终止一个正在运行的进程的命令对应的快捷键是()。
A.F7 B.F4 C.Ctrl+F7 D.Ctrl+F2
答案:D
23.以下对x86架构指令集的支持是最全的反汇编引擎是()。
A.ODDisasm B.BeaEngine C.Udis86 D.Capstone
答案:D
24.用于判断指定文件的属性的Windows API函数是()。
A.GetLogicalDriveStrings() B.GetLogicalDrives() C.GetFileAttributes() D.CreateFileA()
答案:C
25.在大端字节序中0.127.1.0,对应的正整数16进制表示为()。
A.0x7F000001 B.0x01000007F C.0x000017F00 D.0x007F0100
答案:D
26.到系统中安装的所有驱动器的列表的Windows API函数是()。
A.GetLogicalDriveStrings() B.GetLogicalDrives() C.FindFirstFileA() D.GetFileAttributes()
答案:AB
27.常用的数据传送函数有()。
A.send() B.recv() C.WSASend() D.WSARecv()
答案:ABCD
28.IDA支持()语言编写脚本。
A.IDC B.C++ C.java D.python
答案:ABD
29.常用的十六进制工具有()。
A.HexWorkshop B.WinHex C.Hiew D.ApateDNS
答案:ABC
30.IDA反汇编代码可以输出()格式文件。
A.MAP B.ASM C.EXE D.DIF
答案:ABCD
31.传统的系统引导与启动方法主要借助()。
A.BIOS B.MBR C.UEFI D.GPT
答案:AB
32.WinDbg支持哪些调试?()
A.以打开、附加的方式调试应用程序 B.可以分析Dump文件 C.可以进行远程调试 D.内核调试
答案:ABCD
33.以下是资源类型的有()。
A.VC类标准资源 B.Delphi类标准资源 C.非标准的Unicode字符 D.标准的ASCII字符
答案:ABC
34.有关进程和线程的数据结构有()。
A.EPROCESS B.ETHREAD C.PEB D.TEB
答案:ABCD
35.显示窗口常用的函数有()。
A.MessageBoxA(W) B.DialogBoxParamA(W) C.ShowWindow D.CreateWindowExA(W)
答案:ABCD
36.SEH机制只能在用户模式下使用。()
A.正确 B.错误
答案:B
37.在对软件进行一定程度的粗跟踪之后,并不能获取软件中我们所关心的模块或程序段。()
A.正确 B.错误
答案:B
38.WinDbg在内核态最多支持32个软件断点,在用户态则支持任意个。()
A.正确 B.错误
答案:A
39.x64平台上原生x64程序的异常分发不仅也有两次分发机会,而且也支持SEH和VEH两种异常处理机制。()
A.正确 B.错误
答案:A
40.TEB中的ProcessEnvironmentBlock就是PEB结构的地址。()
A.正确 B.错误
答案:A
41.利用WinDbg调试内核有多种方法。例如,WinDbg通过USB、1394火线、COM及网络把两台机器连接起来。()
A.正确 B.错误
答案:A
42.对软件分析来说,动态分析只是第一步,静态分析才是分析软件的关键。()
A.正确 B.错误
答案:B
43.Windows内核只支持Unicode字符串。()
A.正确 B.错误
答案:A
44.WinDbg在用户态、在内核态都最多支持32个软件断点。()
A.正确 B.错误
答案:B
45.OllyDbg只会在软件PE头部提供的入口点处中断。()
A.正确 B.错误
答案:A
46.在编写Win32应用程序时,不一定要在源码里实现一个WinMain函数。()
A.正确 B.错误
答案:B
47.调用虚函数时,程序先取出虚函数表指针,得到虚函数表的地址,再根据这个地址到虚函数表中取出该函数的地址,最后调用该函数。()
A.正确 B.错误
答案:A
48.Keystone和Capstone是同一系列的引擎,由同一维护者主导开发。Capstone主要负责跨平台多指令集的反汇编工作,而Keystone主要负责跨平台多指令集的汇编工作。与O11yDbg的汇编器一样,Keystone也只支持文本汇编,不支持像AsmJit那样的函数式汇编。()
A.正确 B.错误
答案:A
49.减法指令的格式是sub value,destination。()
A.正确 B.错误
答案:B
50.PE文件一般至少有两个区块——代码块和数据块。()
A.正确 B.错误
答案:A