奥鹏南开逆向工程20春期末考核

.读取文件内容的API函数是A.FindFirstFileA函数B.CreateFileA函数C.GetFileAttributesA函数D.ReadFile函数【参考答案】：D.所有进程的EPROCESS内核结构都被放入一个（）数据结构中。A.单向链表B.结构体 二双向链表 D.数组【参考答案】：C.（）是一个文本文件，其记录了程序调用的函数等符号信息。A.MAPB.ASMC.EXED.DIF【参考答案】：A.（）能解码每一条指令所使用和影响的寄存器。A.ODDisasmB.BeaEngineC.Udis86D.AsmJit【参考答案】：B.在大端字节序中127.0.0.1，对应的正整数16进制表示为A.0x7F000001 B.0X01000007F C.0X000017F00 D.0X0000017F【参考答案】：A.为了让操作系统变得简单，将设备驱动程序运行在（）级。A.R0B.R1C.R2D.R3【参考答案】：A.通常使用（）中断来判断设备的优先级。A.PASSIVE_LEVELB.APC_LEVELC.DISPATCH_LEVELD.DIRQL【参考答案】：D8.OllyDbg自带的反汇编引擎是（）。A.ODDisasmB.BeaEngineC.Udis86D.Capstone【参考答案】：A9.挂钩SSDT中的（）函数可以防止搜索窗口。A.NtGdiBitBltB.NtGdiStretchBltC.NtUserSendInputD.NtUSerFindWindowEx【参考答案】：DIRQL的最低级别中断是（）。A.PASSIVE_LEVELB.APC_LEVELC.DISPATCH_LEVELD.DIRQL【参考答案】：A.基址重定位数据采用类似按页分割的方法组织，是由许多重定位块串接成的，每个块中存放（）KB的重定位信息A.1 B.2 C.4 D.8【参考答案】：C.在PE文件头的可选映像头中，数据目录表的第（）个成员指向输入表。A.1 B.2 C.3 D.4【参考答案】：B.在以下PE文件的常见区块中，哪一个包含输出表信息。

A..textB..dataC..idataD..edata【参考答案】：D.所有IDC脚本中都有一条包含（）文件的语句。A.idag.exeB.idc.idcC.ida.cfgD.idagui.cfg【参考答案】：B.表示回调函数处理了异常，可从异常发生处继续执行的返回值是下面哪个（）A.ExceptionContinueExecutionB.ExceptionContinueSearchC.ExceptionNestedExceptionD.ExceptionCollidedUnwind【参考答案】：A.允许或禁止指定的菜单条目的API函数是（）A.EnabIeMenultem（）函数B.Enablewindow（）函数C.GetTickCount（）函数D.timeGetTime（）函数【参考答案】：A.CPU设计制造商在设计之初是让（）运行内核，（）和（）运行设备驱动，（）运行应用程序。A.R1、R2、R3、R4B.R0、R1、R2、R3C.R3、R2、R1、R0D.R4、R3、R2、R1【参考答案】：B.英文大写字母D的ASCII码值为44H，英文大写字母F的ASCII码值为十进制数.A.46.B.68.C.70.D.15.A.46.B.68.C.70.D.15.【参考答案】：C.代表文件缓存管理的函数前缀是（）。A.ExB.KeC.HALD.Cc【参考答案】：D20.IDT是一张位于物理内存中的线性表，共有。项A.128 B.256 C.512 D.1024【参考答案】：BIDA支持（）语言编写脚本。A.IDCB.C++C.javaD.python【参考答案】：AD.查找具有相同窗口类名和标题的窗口的WindowsAPI函数都有（）A.FindWindowAB.GetWindowTextC.CreateMutexAD.GetLogicalDriveStrings（）【参考答案】：AB.计时器使用的API函数都有哪些（）？A.setTimer（）函数 B.高精度的多媒体计时器 C.GetTickCount（）函数D.timeGetTime（）函数【参考答案】：ABCD.用于获取时间的API函数有（）？A.GetSystemTimeB.GetLocalTimeC.GetFileTimeD.timeGetTime【参考答案】：ABC.可以通过（）函数调用和（）段寄存器来访问TEB结构。A.NtCurreentTebB.deviceIoControlC.FSD.DS【参考答案】：AC.到系统中安装的所有驱动器的列表的WindowsAPI函数是（）A.GetLogicalDriveStrings（）B.GetLogicalDrives（）C.FindFirstFileAD.GetFileAttributes（）【参考答案】：AB.下列是反汇编引擎的有（）。A.ODDisasmB.BeaEngineC.Udis86D.Keystone【参考答案】：ABC.以下是for循环的执行组件的是A.初始化B.比较 C.执行指令 D.递增或递减【参考答案】：ABCD.显示窗口常用的函数有（）？A.MessageBoxA（W）B.DialogBoxParamA（W）C.ShowWindowD.CreateWindowExA（W）【参考答案】：ABCD.在以下的传递方式中，（）是函数传递参数的方式［多选］A.栈方式 B.队列方式 C.寄存器方式 D.通过全局变量进行隐含参数传递【参考答案】：ACD.传统的系统引导与启动方法主要借助（）。

A.BIOSB.MBRC.UEFID.GPTA.BIOSB.MBRC.UEFID.GPT【参考答案】：AB.有关进程和线程的数据结构有()。A.EPROCESSB.ETHREADC.PEBD.TEB【参考答案】：ABCD.以下是资源类型的有A.VC类标准资源 B.Delphi类标准资源C.非标准的Unicode字符D.标准的ASCII字符【参考答案】：ABC.常用的数据传送函数有()A.send()B.recv()C.WSASend()D.WSARecv()【参考答案】：ABCD.下列是汇编引擎的有()。A.ODAssemblerB.KeystoneC.AsmJitD.Capstone【参考答案】：ABC.判定树是当switch的case项非常多时，采用的一种优化方案T.对F.错【参考答案】：A.微软符号也包含多个数据结构的类型信息，内部类型全都都已经被公开T.对F.错【参考答案】：B.符号表依赖于被分析文件的具体版本，它们随着文件的更新或修复也不会改变T.对F.错【参考答案】：B.当PE文件装载内存后准备执行时，所有函数入口地址排列在一起T.对F.错【参考答案】：A.x86平台上将SEH数据结构存放在栈中是一种非常安全的行为。T.对F.错【参考答案】：B.在另外一些情况下，对话框不是以资源形式存在的，通过常用断点就可以拦截不下来T.对F.错【参考答案】：A.OllyDbg是一款具有可视化界面的用户模式调试器，可以在当前各种版本的Windows上运行T.对F.错【参考答案】：A43.资源用类似于磁盘目录结构的方式保存，目录通常包含3层。T.对F.错【参考答案】：A44.OllyDump是OllyDbg最常使用的插件，它能够将一个被调试的进程转储成一个EXE文件。T.对F.错【参考答案】：B45.OllyDbg能进行静态分析T.对F.错【参考答案】：A.PE文件格式在头部存储了很多有趣的信息。我们可以使用PEview工具来浏览这些信息。T.对F.错【参考答案】：A.ShadowSSDT能像SSDT一样在自己的模块中导入和直接引用。T.对F.错【参考答案】：B.如果使用StepOver，你可以跟踪每一步的执行。你可以跟踪每一步的执行。T.对F.错【参考答案】：B.VEH可以取代SHET.对F.错【参考答案】：B.数组是相同数据类型的元素的集合，它们在内存中按不连续的顺序存放在一起。T.对F.错【参考答案】：B.Enablewindow()函数的功能是允许或禁止指定窗口T.对F.错【参考答案】：A.在对软件进行一定程度的粗跟踪之后，并不能获取软件中我们所关心的模块或程序段。T.对F.错【参考答案】：B.x64平台上原生x64程序的异常分发不仅也有两次分发机会，而且也支持SEH和VEH两种异常处理机制T.对F.错【参考答案】：A.每个PE文件都是以一个DOS程序开始的，有了它，一旦程序在DOS下执行，DOS就能识别出这是一个有效的执行体。T.对F.错【参考答案】：A.TEB中的ProcessEnvironmentBlock就是PEB结构的地址。T.对F.错【参考答案】：A.异常是在应用程序执行过程中发生的不正常事件。由CPU引发的异常称为##异常，例如访问一个无效的内存地址。【参考答案】：硬件.应用层的进程、线程、文件、驱动模块、事件、信号量等对象或者打开的句柄在内核中都有与之对应的##。【参考答案】：内核对象.虚拟内存管理器控制虚拟内存地址到##内存地址的映射。【参考答案】：物理.简述Windows异常处理机制中VEH与SEH的差异？【参考答案】：（1） 注册机制不同优先级不同作用范围不同VEH不需要栈展开.简述动态分析时，OllyDbg是如何设置内存访问断点的?【参考答案】：OllyDbg可以设置内存访问断点或内存写入断点，原理是对所设的地址赋予不可访问/不可写属性，这样当访问/写入的时候就会产生异常。OllyDbg截获异常后，比较异常地址是不是断点地址，如果是就中断，让用户继续操作。.简述PE文件结构中的基地址、虚拟地址和相对虚拟地址，以及虚拟地址和相对虚拟地址之间的转换公式。【参考答案】：当PE文件通过Windows加载器载入内存后，内存中的版本称为模块(Module)映射文件的起始内存地址称为模块句柄(hModule