南开大学《逆向工程》在线作业答卷

21秋学期（1709、1803、1809、1903、1909、2003、2009、2103）《逆向工程》在线试卷总分:100得分:100一、单选题(共25道试题,共50分)1.系统服务描述表的英文缩写是（）。A.SSDTB.IATC.GPTD.IRP答案:A2.用十六进制工具查看IMAGE__FILE__HEADER结构的情况时，以下字段中哪个代表区块的A.NumberOfSectionsB.MachineC.TimeDateStampD.Characteristics答案:A3.（）是一个文本文件，其记录了程序调用的函数等符号信息。A.MAPB.ASMC.EXED.DIF答案:A4.IDA分析数据时，数据类型可以在（）之间转换。A.db、dw、dfB.db、dw、ddC.db、dd、dfD.dw、dd、df答案:B5.在获取不到高级语言源码时是从机器码中能可信并保持一致地还原得到的最高一层A.机器指令B.微指令C.汇编语言D.机器码答案:C6.下列关于IDA有关说法错误的是()A.IDA最主要的特性是交互和多处理器。用户可以通过对IDA的交互来指导IDA更好地进行反汇编B.IDA是按区块装载PE文件的，例如.text(代码块)、.data(数据块)、.rsrc(资源块)、.idata(输入表)和.edata(输出表)等C.IDA反汇编所消耗的时间与程序大小及复杂程度有关，通常需要等待一段时间才能完成D.IDA可以格式化指令使用的常量，因此应尽可能使用符号名称而非数字，从而使反汇编代码更具可读性。IDA根据被反汇编指令的上下文、所使用的数据作出格式化决定。对其他情况，IDA一般会将相关常量格式化成一个十进制常量答案:D7.（）十六进制工具可以在汇编状态下修改代码。A.HexWorkshopB.WinHexC.HiewD.ApateDNS答案:C8.获得注册文件属性的API函数是A.FindFirstFileA函数B.CreateFileA函数C.GetFileAttributesA函数D.ReadFile函数答案:C9.（）用于记录进程的参数信息。A.BeingDebuggedB.CheckRemoteDebuggerPresentC.ProcessParametersD.ImageBaseAdress答案:C10.在Windows中用（）字节对其进行编码，因此也被称为宽字符集A.1B.2C.4D.8答案:B11.以下先执行语句块，再进行表达式判断的循环语句是（）。A.do循环B.while循环C.for循环D.都不是答案:A12.（）相当于一个微型操作系统。A.BIOSC.UEFID.GPT答案:C13.静态分析的基本步骤是（）1查杀测试2二进制分析3搜索引擎4样本信息A.4321B.4123C.4132D.3142答案:C14.Linux支持48位最大寻址空间是()A.B.C.D.32TB128TB256TB答案:D15.（）可以将调试程序执行过程中的事件记录下来。A.断点B.跟踪C.修改可执行文件D.参考重命名答案:B16.IDA插件的安装要将已编译的插件模块复制到IDA的（）目录中。A.cfgB.idcC.loadersD.plugins答案:D17.DPC和更低的中段被屏蔽，内存不能分页的中断级别是（）。A.PASSIVELEVEL B.APCLEVEL C.DISPATCHLEVEL D.DIRQL答案:C18.在关于逆向工程（reverseengineering）的描述中，正确的是：()A.从己经安装的软件中提取设计规范，用以进行软件开发C.用硬件来实现软件的功能D.根据软件处理的对象来选择开发语言和开发工具答案:A19.所有IDC脚本中都有一条包含（）文件的语句。A.idag.exeB.idc.idcC.ida.cfgD.idagui.cfg答案:B20.在大端字节序中127.0.0.1，对应的正整数16进制表示为A.0x7F000001B.0x01000007FC.0x000017F00D.0x0000017F答案:A21.表示回调函数处理了异常，可从异常发生处继续执行的返回值是下面哪个()A.ExceptionContinueExecutionB.ExceptionContinueSearchC.ExceptionNestedExceptionD.ExceptionCollidedUnwind答案:A22.数据目录表(DataDirectory)的第个成员指向绑定输人。绑定输入以一个IMAGE__BOUNDIMPORTDESCRIPTOR结构的数组开始。A.10B.11C.12D.13答案:C23.虚表的每一项都是（）个字节，存储的是成员函数的地址A.2B.4C.6D.8答案:D24.在PE文件头的可选映像头中，数据目录表的第（）个成员指向输人表。A.1B.2C.3D.4答案:B25.（）对象在对象体开始位置放置了一个共享的公共数据结构DISPATCHAR__HEADER。A.Dispatcher对象B.I/O对象C.进程对象D.线程对象答案:A二、多选题(共10道试题,共20分)26.下列是反汇编引擎的有（）。A.ODDisasmB.BeaEngineC.Udis86D.Keystone答案:ABC27.IDA反汇编代码可以输出（）格式文件。A.MAPB.ASMC.EXED.DIF答案:ABCD28.利用调试器针对API设置断点的功能，就有可能找到判断注册码的地方，常用来对话框的API都有哪些()?A.GetWindowTextA(W)B.GetDlgItemTextA(W)C.GetDlgItemInt()答案:ABCD29.用于获取时间的API函数有()?A.GetSystemTimeB.GetLocalTimeC.GetFileTimeD.timeGetTime答案:ABC30.到系统中安装的所有驱动器的列表的WindowsAPI函数是()A.GetLogicalDriveStrings()B.GetLogicalDrives()C.FindFirstFileAD.GetFileAttributes()答案:AB31.常用的数据传送函数有()A.send()B.recv()C.WSASend()D.WSARecv(）答案:ABCD32.以下是for循环的执行组件的是A.初始化B.比较C.执行指令D.递增或递减答案:ABCD33.计时器使用的API函数都有哪些()?A.setTimer()函数B.高精度的多媒体计时器C.GetTickCount()函数D.timeGetTime()函数答案:ABCD34.字符串比较形式有哪几种()A.寄存器直接比较B.函数比较C.串比较D.直接比较答案:ABC35.显示窗口常用的函数有()?A.MessageBoxA(W)B.DialogBoxParamA(W)C.ShowWindowD.CreateWindowExA(W)答案:ABCD三、判断题(共15道试题,共30分)36.计算机中储存的信息都是用二进制数表示的，但如果要处理文本，并不需要先把文本转换为相应的二进制数。答案:错误37.默认情况下，如果能够确定软件的入口点位置，即（WinmainOllyDbg会在这个位置暂停程序的执行。答案:正确38.从R3层进入R0层的中断只能是int2Eh。答案:错误39.打开一个EXE文件，OllyDbg会立即加载文件，自动分析并列出汇编代码。默认的当前答案:正确40.WinDbg在用户态、在内核态都最多支持无数个软件断点答案:错误41.Windows允许第三方公司开发运行在Windows内核空间中的设备驱动程序。答案:正确42.x86平台上将SEH数据结构存放在栈中是一种非常安全的行为。答案:错误43.资源数据一般存储在PE文件的.rsr区块中，能通过由程序源代码定义的变量直接访问答案:错误44.NT系统的核心完全是用Unicode函数工作的答案:正确45.在进行用户态实时调试时，如果目标程序是原生64位程序，可以使用x32版本的WinDbg进行调试答案:错误46.进人指令汇编修改状态，jne指令共2字节，因此用2个nop指令代替，这种跳过算法分析直接修改关键跳转指令使程序注册成功的方法，通常被解密者称为“爆破法”答案:正确47.$spat