21秋学期（1709、1803、1809、1903、1909、2003、2009、2103）《逆向工程》在线作业

试卷总分:100  得分:100

一、单选题 (共 25 道试题,共 50 分)

1.可以设置（）个内存断点

A.1个

B.4个

C.5个

D.7个

答案:A

2.在以下PE文件的常见区块中，哪一个包含其他外来DLL函数及数据信息。

A..text

B..data

C..idata

D..edata

答案:C

3.打开文件以获得其句柄的API函数是（）

A.FindFirstFileA函数

B.CreateFileA函数

C.GetFileAttributesA函数

D.ReadFile函数

答案:B

4.（）支持函数式汇编。

A.ODDisasm

B.BeaEngine

C.Keystone

D.AsmJit

答案:D

5.在大端字节序中0.127.1.0 ，对应的正整数16进制表示为

A.0x7F000001

B.0x01000007F

C.0x000017F00

D.0x007F0100

答案:D

6.PE文件在定位输出表、输入表和资源等重要数据时，就是从（）结构开始的

A.IMAGE_DATA_DIRECTORY

B.IMAGE _OPTIONAL_HEADER

C.IMAGE_FILE_HEADER

D.IMAGE_NT_HEADER

7.允许或禁止指定的菜单条目的API函数是（）

A.EnabIeMenultem()函数

B.Enablewindow()函数

C.GetTickCount()函数

D.timeGetTime()函数

8.读取文件内容的API函数是

A.FindFirstFileA函数

B.CreateFileA函数

C.GetFileAttributesA函数

D.ReadFile函数

9.输出表(Export Table)的主要内容是一个表格，其中包括函数名称、输出序数等。序数是指定DLL中某个函数的（）位数字，在所指向的DLL里是独一无二的。

A.13

B.14

C.15

D.16

10.在Windows中用（）字节对其进行编码，因此也被称为宽字符集

A.1

B.2

C.4

D.8

11.IRQL的最低级别中断是（）。

A.PASSIVE_LEVEL

B.APC_LEVEL

C.DISPATCH_LEVEL

D.DIRQL

12.下列说法错误的是（）

A.PEiD这类文件分析工具是利用导入函数搜索来完成识别工作的

B.开发语言都有固定的启动代码，利用这一点就可以识别程序是由何种语言编译的

C.被加密程序处理过的程序中会留下加密软件的相关信息，利用这一点就可以识别程序是被何种软件加密的

D.PEiD提供了一个扩展接口文件userdb.txt，用户可以自定义一些特征码，这样就可以识别新的文件类型了

13.与Capstone反汇编器对应的汇编器是（）。

A.ODDisasm

B.BeaEngine

C.Keystone

D.AsmJit

14.Windows内核部分会调用一些内核层的函数。这些函数都以固定的前缀开始，分别属于内核中不同的管理模块，其中“Ps”属于哪个模块。

A.管理层

B.核心层

C.进程管理

D.安全管理

15.虚函数的地址是在（）时候确定的。

A.程序编写时

B.编译程序时

C.调用即将进行时

D.程序执行后

16.以下说法错误的是（）

A.逆向工程是指根据已有的产物和结果，通过分析来推导出具体的实现方法。

B.在软件汉化和软件解密的过程中，首要问题是对被汉化和解密的软件进行分析。

C.通过静态分析我们可以真正了解软件中各个模块的技术细节。

D.对软件分析来说，静态分析只是第一步，动态跟踪才是分析软件的关键。

17.挂钩SSDT中的（）函数可以防止模拟按键。

A.NtGdiBitBlt

B.NtGdiStretchBlt

C.NtUserSendInput

D.NtUSerFindWindowEx

18.（）主要处理来自User32.dll和GDI32.dll的系统调用。

A.SSDT

B.IAT

C.GPT

D.Shadow SSDT

19.WM_QUIT消息的十六进制数是

A.0Dh

B.02h

C.0201h

D.012h

20.数据目录表(DataDirectory)的第（）个成员指向绑定输人。绑定输入以一个IMAGE_ BOUND_IMPORT _DESCRIPTOR结构的数组开始。

A.10

B.11

C.12

D.13

21.请对Windows的启动过程包括的以下几个阶段的顺序进行排列。 （1）初始化启动阶段 （2）启动自检阶段 （3）Boot加载阶段 （4）检测和配置硬件阶段

A.3412

B.2341

C.2134

D.3214

22.PE文件中的分节中唯一包含代码的节是（）。

A..rdata

B..text

C..data

D..rsrc

23.IDA PRO简称IDA，是一个交互式（）工具。

A.调试

B.汇编

C.编译

D.反汇编

24.只有APC级别的中断被屏蔽，可以访问分页内存的中断级别是（）。

A.PASSIVE_LEVEL

B.APC_LEVEL

C.DISPATCH_LEVEL

D.DIRQL

25.Windows内核部分会调用一些内核层的函数。这些函数都以固定的前缀开始，分别属于内核中不同的管理模块，其中“Se”属于哪个模块。

A.管理层

B.核心层

C.进程管理

D.安全管理

二、多选题 (共 10 道试题,共 20 分)

26.下列是汇编引擎的有（）。

A.ODAssembler

B.Keystone

C.AsmJit

D.Capstone

27.以下是for循环的执行组件的是

A.初始化

B.比较

C.执行指令

D.递增或递减

28.WinDbg支持哪些调试（）

A.以打开、附加的方式调试应用程序

B.可以分析Dump文件

C.可以进行远程调试

D.内核调试

29.查找具有相同窗口类名和标题的窗口的Windows API函数都有（）

A.FindWindowA

B.GetWindowText

C.CreateMutexA

D.GetLogicalDriveStrings()

30.传统的系统引导与启动方法主要借助（）。

A.BIOS

B.MBR

C.UEFI

D.GPT

31.可以通过（）函数调用和（）段寄存器来访问TEB结构。

A.NtCurreentTeb

B.deviceIoControl

C.FS

D.DS

32.下列是反汇编引擎的有（）。

A.ODDisasm

B.BeaEngine

C.Udis86

D.Keystone

33.有关进程和线程的数据结构有（）。

A.EPROCESS

B.ETHREAD

C.PEB

D.TEB

34.C++的三大核心机制是什么（）

A.封装

B.继承

C.对象

D.多态

35.用于获取时间的API函数有（）？

A.GetSystemTime

B.GetLocalTime

C.GetFileTime

D.timeGetTime

三、判断题 (共 15 道试题,共 30 分)

36.计算机中储存的信息都是用二进制数表示的，但如果要处理文本，并不需要先把文本转换为相应的二进制数。

37.在一个时间片里，没有获得时间片的程序的虚拟内存也可以被映射到物理内存上。

38.x64平台上原生x64程序的异常分发流程与x86平台上不是完全一致的

39.Unicode是ASCII字符编码的一个扩展，只不过在Windows中用2字节对其进行编码。

40.程序在运行时，先调用main函数执行用户编写的代码，再执行初始化函数代码。

41.PE文件是作为单一内存映射文件被载人内存的。

42.IDA在进行反汇编的时候能正确区分数据和代码

43.Olly可以直接加载DLL程序，能够支持执行DLL中某个函数

44.在单击某个按钮时，Windows通过消息来判断单击了哪一个按钮，然后发送相应的句柄来通知程序。

45.加载内核驱动的方法很多，可以使用instdrv.exe工具来加载。

46.在实际应用中，大部分情况下是没有调试器存在的

47.IDT是一张位于CPU中的线性表，共有512项

48.在Windows内核中有一种很重要的数据结构管理机制，那就是内核对象。应用层的进程、线程、文件、驱动模块、事件、信号量等对象或者打开的句柄在内核中都有与之对应的内核对象。

49.栈是程序在内存中的一块特殊区域，它的存储特点是先进后出，即先存储进去的数据最后被释放。

50.在编写Win32应用程序时，不一定要在源码里实现一个WinMain函数。