22春学期(高起本1709-1803、全层次1809-2103)《逆向工程》在线作业-00003
试卷总分:100 得分:100
一、单选题 (共 25 道试题,共 50 分)
1.IRQL的最低级别中断是()。
A.PASSIVE_LEVEL
B.APC_LEVEL
C.DISPATCH_LEVEL
D.DIRQL
2.()能解码每一条指令所使用和影响的寄存器。
A.ODDisasm
B.BeaEngine
C.Udis86
D.AsmJit
3.PE文件中的分节中包含由可执行文件所使用的资源的是()。
A..rdata
B..text
C..data
D..rsrc
4.用户的应用程序(就是用Visual C++等工具开发的应用程序)也是运行在( )级上的。
A.R0
B.R1
C.R2
D.R3
5.PEiD是利用()来识别程序是由何种语言编译的的。
A.特征串
B.启动代码
C.导入函数
D.导出函数
6.假设整形数组ary的首地址是0x1000,则ary[3]的位置是
A.0x1000
B.0x1004
C.0x1008
D.0x100C
7.所有IDC脚本中都有一条包含()文件的语句。
A.idag.exe
B.idc.idc
C.ida.cfg
D.idagui.cfg
8.由R3进入R0是通过()实现的。
A.内存映射
B.基地址重定位
C.中断
D.异常
9.静态分析的基本步骤是() 1 查杀测试 2 二进制分析 3 搜索引擎 4 样本信息
A.4321
B.4123
C.4132
D.3142
10.PEiD是利用()来完成识别工作的。
A.特征串
B.启动代码
C.导入函数
D.导出函数
11.与Capstone反汇编器对应的汇编器是()。
A.ODDisasm
B.BeaEngine
C.Keystone
D.AsmJit
12.用十六进制工具查看IMAGE_ FILE_HEADER结构的情况时,以下字段中哪个代表可执行文件的目标CPU类型。
A.NumberOfSections
B.Machine
C.TimeDateStamp
D.Characteristics
13.在小端字节序中0.127.1.0 ,对应的正整数16进制表示为
A.0x7F000001
B.0x01000007F
C.0x00017F00
D.0x007F0100
14.()用于在内核中管理进程的各种信息。
A.Dispatcher对象
B.I/O对象
C.进程对象
D.线程对象
15.请对Windows的启动过程包括的以下几个阶段的顺序进行排列。 (1)初始化启动阶段 (2)启动自检阶段 (3)Boot加载阶段 (4)检测和配置硬件阶段
A.3412
B.2341
C.2134
D.3214
16.PE文件中的分节中唯一包含代码的节是()。
A..rdata
B..text
C..data
D..rsrc
17.表示回调函数在试图处理该异常时再次发生了异常,也就是嵌套异常的返回值是下面哪个( )
A.ExceptionContinueExecution
B.ExceptionContinueSearch
C.ExceptionNestedException
D.ExceptionCollidedUnwind
18.挂钩SSDT中的()函数可以防止模拟按键。
A.NtGdiBitBlt
B.NtGdiStretchBlt
C.NtUserSendInput
D.NtUSerFindWindowEx
19.除了CPU能够捕获一个事件并引发一个硬件异常外,在代码中可以主动引发一个软件异常,这只需调用( )函数
A.RaiseExeeption()
B.nt!RtlDispatchException
C.KeBugCheckEx
D.KiDispatchException
20.虚函数的地址是在()时候确定的。
A.程序编写时
B.编译程序时
C.调用即将进行时
D.程序执行后
21.虚表的每一项都是()个字节,存储的是成员函数的地址
A.2
B.4
C.6
D.8
22.()主要处理来自User32.dll和GDI32.dll的系统调用。
A.SSDT
B.IAT
C.GPT
D.Shadow SSDT
23.以()为前缀的函数代表核心层。
A.Ex
B.Ke
C.HAL
D.Ob
24.在获取不到高级语言源码时,()是从机器码中能可信并保持一致地还原得到的最高一层语言。
A.机器指令
B.微指令
C.汇编语言
D.机器码
25.Unicode是ASCII字符编码的一个扩展,只不过在Windows中用()字节对其进行编码
A.1
B.2
C.3
D.4
二、多选题 (共 10 道试题,共 20 分)
26.以下是资源类型的有
A.VC类标准资源
B.Delphi类标准资源
C.非标准的Unicode字符
D.标准的ASCII字符
27.在以下的传递方式中,()是函数传递参数的方式[多选]
A.栈方式
B.队列方式
C.寄存器方式
D.通过全局变量进行隐含参数传递
28.到系统中安装的所有驱动器的列表的Windows API函数是()
A.GetLogicalDriveStrings()
B.GetLogicalDrives()
C.FindFirstFileA
D.GetFileAttributes()
29.去除警告窗口常用的3种方法是()?
A.修改程序的资源
B.静态分析
C.动态分析
D.放置不管
30.下列是汇编引擎的有()。
A.ODAssembler
B.Keystone
C.AsmJit
D.Capstone
31.IDA支持()语言编写脚本。
A.IDC
B.C++
C.java
D.python
32.常用的十六进制工具有()。
A.HexWorkshop
B.WinHex
C.Hiew
D.ApateDNS
33.用于获取时间的API函数有()?
A.GetSystemTime
B.GetLocalTime
C.GetFileTime
D.timeGetTime
34.WinDbg支持哪些调试()
A.以打开、附加的方式调试应用程序
B.可以分析Dump文件
C.可以进行远程调试
D.内核调试
35.可以通过()函数调用和()段寄存器来访问TEB结构。
A.NtCurreentTeb
B.deviceIoControl
C.FS
D.DS
三、判断题 (共 15 道试题,共 30 分)
36.EnabIeMenultem()函数的功能是允许或禁止指定窗口
37.和NE格式的重定位方式相同,PE格式的做法十分简单。PE格式会参考外部DLL或模块中的其他区块。
38.x64平台上原生x64程序的异常分发流程与x86平台上不是完全一致的
39.在一个时间片里,没有获得时间片的程序的虚拟内存也可以被映射到物理内存上。
40.程序在运行时,先调用main函数执行用户编写的代码,再执行初始化函数代码。
41.只能设置1个硬件断点
42.MDebug 可以直接调试Shellcode,而不用在VC等开发环境中建立一个工程以调用shellcode进行调试。
43.共享区块拥有读取、写入和共享保护属性,可以让多个实例共享同一内存块。
44.堆(heap)也是一种基本的数据结构,它可由开发人员自行分配、释放。堆是向低地址扩展的,是连续的内存区域。
45.各区块被映射到内存中后,其偏移位置不发生变化
46.演示版软件一般都有使用时间的限制,例如试用30天,超过试用期也能运行
47.IDA有着较强的数组聚合能力。它可以将一串数据声明变成一个反汇编行,按数组的形式显示,从而简化反汇编代码清单
48.大端字节序中,一个多字节组成的数据,最高位被存储在内存的低地址上
49.若要完全去除警告窗口,只需找到创建该窗口的代码并将其跳过
50.OllyDump是OllyDbg最常使用的插件,它能够将一个被调试的进程转储成一个EXE文件。
奥鹏,国开,广开,电大在线,各省平台,新疆一体化等平台学习
详情请咨询QQ : 3230981406或微信:aopopenfd777