南開大學(xué)逆向工程期末考試備戰(zhàn)考題全集1_第1頁
南開大學(xué)逆向工程期末考試備戰(zhàn)考題全集1_第2頁
南開大學(xué)逆向工程期末考試備戰(zhàn)考題全集1_第3頁
南開大學(xué)逆向工程期末考試備戰(zhàn)考題全集1_第4頁
南開大學(xué)逆向工程期末考試備戰(zhàn)考題全集1_第5頁
已閱讀5頁,還剩24頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

《逆向工程》課程期末復(fù)習(xí)資料《逆向工程》課程講稿章節(jié)目錄:第1章基礎(chǔ)知識逆向工程逆向分析技術(shù)文本字符字節(jié)序Win32API函數(shù)Windows消息機制第2章動態(tài)分析技術(shù)OllyDbg的界面OllyDbg的配置Olly加載程序OllyDdg的INT3斷點和硬件斷點OllyDdg內(nèi)存斷點OllyDbg消息斷點OllyDbg條件斷點OllyDbg插件OllyDbg的跟蹤WinDbg調(diào)試器Windbg符號文件WinDbg調(diào)試過程第3章靜態(tài)反匯編文件類型分析反匯編引擎IDAPro加載可執(zhí)行文件IDAPro的窗口IDAPro導(dǎo)航IDAPro交叉引用IDAPro函數(shù)分析IDAPro識別數(shù)組、結(jié)構(gòu)體IDAPro增強反匯編十六進制工具與靜態(tài)分析技術(shù)應(yīng)用實例第4章逆向分析技術(shù)函數(shù)的識別識別變量識別IF分支結(jié)構(gòu)識別switch分支結(jié)構(gòu)識別循環(huán)數(shù)學(xué)運算符虛函數(shù)64軟件逆向技術(shù)第5章演示版保護技術(shù)序列號保護方式警告窗口時間限制菜單功能限制KeyFile保護網(wǎng)絡(luò)驗證光盤檢測只運行一個實例第6章Windows內(nèi)核基礎(chǔ)內(nèi)存空間、權(quán)限空間布局Windows與內(nèi)核啟動過程WindowsR3與R0通信內(nèi)核函數(shù)和內(nèi)核驅(qū)動模塊內(nèi)核對象SSDTTEB和PEB第7章Windows下的異常處理異常處理的基本概念SEH的概念及基本知識SEH異常處理程序原理及設(shè)計向量化異常處理乂64平臺上的異常處理異常處理的實際應(yīng)用第8章PE文件格式PE的基本概念PE文件頭區(qū)塊輸入表綁定輸入、輸出表基址重定位資源TLS初始化、調(diào)試載入目錄、延遲載入數(shù)據(jù)—程序異常數(shù)據(jù)NET頭部編寫PE編輯工具一、客觀部分:(單項選擇、多項選擇、判斷)★考核知識點:基礎(chǔ)知識參見講稿章節(jié):1.在關(guān)于逆向工程(reverseengineering)的描述中,正確的是()A.從己經(jīng)安裝的軟件中提取設(shè)計規(guī)范8.按照“輸出一>處理一>輸入”的順序設(shè)計軟件C.用硬件來實現(xiàn)軟件的功能D.根據(jù)軟件處理的對象來選擇開發(fā)語言和開發(fā)工具2.以下說法錯誤的是()A.逆向工程是指根據(jù)已有的產(chǎn)物和結(jié)果,通過分析來推導(dǎo)出具體的實現(xiàn)方法。B.在軟件漢化和軟件解密的過程中,首要問題是對被漢化和解密的軟件進行分析。C.通過靜態(tài)分析我們可以真正了解軟件中各個模塊的技術(shù)細節(jié)。D.對軟件分析來說,靜態(tài)分析只是第一步,動態(tài)跟蹤才是分析軟件的關(guān)鍵。附(考核知識點解釋):逆向工程(ReverseEngineering)是指根據(jù)已有的產(chǎn)物和結(jié)果,通過分析來推導(dǎo)出具體的實現(xiàn)方法。對軟件來說,“可執(zhí)行程序一反編譯一源代碼”的過程就是逆向工程。逆向工程的內(nèi)容可以分為如下3類。(1)軟件使用限制的去除或者軟件功能的添加。(2)軟件源代碼的再獲得。(3)硬件的復(fù)制和模擬。參見講稿章節(jié):.判斷題:計算機中儲存的信息都是用二進制數(shù)表示的,但如果要處理文本,并不需要先把文本轉(zhuǎn)換為相應(yīng)的二進制數(shù)。().判斷題:Unicode是ASCII字符編碼的一個擴展,只不過在Windows中用2字節(jié)對其進行編碼。()附(考核知識點解釋):文本字符計算機中儲存的信息都是用二進制數(shù)表示的,屏幕上顯示的字符都是二進制數(shù)轉(zhuǎn)換之后的結(jié)果。如果要處理文本,就必須先把文本轉(zhuǎn)換為相應(yīng)的二進制數(shù)。在學(xué)習(xí)過程中,我們會與各類字符打交道。這些字符在Windows里扮演著重要的角色。字符集字符集是一個系統(tǒng)支持的所有抽象字符的集合。字符是各種文字和符號的總稱:文字標點符號圖形符號數(shù)字IP地址字節(jié)存儲順序計算機領(lǐng)域在描述“關(guān)于字節(jié)該以什么樣的順序傳送的爭論”時引用了“endian”一詞,翻譯為“字節(jié)序”,表示數(shù)據(jù)在存儲器中的存放順序,主要分為大端序(Big-endian)和小端序(Little-endian),其區(qū)別如下。Big-endian:高位字節(jié)存入低地址,低位字節(jié)存入高地址。Little-endian:低位字節(jié)存入低地址,高位字節(jié)存入高地址。Intel處理器使用的是小尾方式存儲(LittleEndianness)低位字節(jié)存入低地址,高位字節(jié)存入高地址參見講稿章節(jié):1.判斷題:Windows是一個消息(Message)驅(qū)動式系統(tǒng)。Windows消息提供在應(yīng)用程序與應(yīng)用程序之間、應(yīng)用程序與Windows系統(tǒng)之間進行通信的手段。附(考核知識點解釋):Windows消息機制Windows是一個消息(Message)驅(qū)動式系統(tǒng)。Windows消息提供在應(yīng)用程序與應(yīng)用程序之間、應(yīng)用程序與Windows系統(tǒng)之間進行通信的手段。應(yīng)用程序想要實現(xiàn)的功能由消息觸發(fā),通過對消息的響應(yīng)和處理完成。Windows系統(tǒng)中有兩種消息隊列:一種是系統(tǒng)消息隊列;另一種是應(yīng)用程序消息隊列。計算機的所有輸入設(shè)備由Windows監(jiān)控。當一個事件發(fā)生時,Windows先將輸入的消息放入系統(tǒng)消息隊列,再將輸入的消息復(fù)制到相應(yīng)的應(yīng)用程序隊列中,應(yīng)用程序中的消息循環(huán)在它的消息隊列中檢索每個消息并發(fā)送給相應(yīng)的窗口函數(shù)。一個事件從發(fā)生到到達處理它的窗口函數(shù)必須經(jīng)歷上述過程。值注得意的是消息的非搶先性,即不論事件的急與緩,總是按到達的先后排隊(一些系統(tǒng)消息除外),而這可能導(dǎo)致一些外部實時事件得不到及時的處理。★考核知識點:OllyDdg調(diào)試器參見講稿章節(jié):.判斷題:OllyDbg只能進行動態(tài)調(diào)試。().判斷題:OllyDbg是調(diào)試Ring0級程序的首選工具。()OllyDbg調(diào)試器附(考核知識點解釋):OllyDbg(簡稱“OD")是由OlehYuschuk()編寫的一款具有可視化界面的用戶模式調(diào)試器。OllyDbg結(jié)合了動態(tài)調(diào)試和靜態(tài)分析,具有GUI界面,非常容易上手,對異常的跟蹤處理相當靈活。這些特性使OllyDbg成為調(diào)試Ring3級程序的首選工具。它的反匯編引擎很強大,可識別數(shù)千個被C和Windows頻繁使用的函數(shù),并能將其參數(shù)注釋出來。它會自動分析函數(shù)過程、循環(huán)語句、代碼中的字符串等?!锟己酥R點:OllyDdg的INT3斷點和硬件斷點.判斷題:INT3斷點不改變原程序的機器碼。().判斷題:硬件斷點最多可以設(shè)置4個。()參見講稿章節(jié):附(考核知識點解釋):斷點斷點(Breakpoint)是調(diào)試器的一個重要功能,使執(zhí)行的程序中斷在指定的地方,從而方便對其進行分析。INT3斷點INT3斷點指令,其機器碼是OxCC,也常被稱為“CC指令”。當被調(diào)試進程執(zhí)行INT3指令導(dǎo)致一個異常時,調(diào)試器就會捕捉這個異常,從而停在斷點處,然后將斷點處的指令恢復(fù)成原來的指令。使用INT3斷點的優(yōu)點是可以設(shè)置無數(shù)個斷點,缺點是改變了原程序機器碼,容易被軟件檢測到。硬件斷點硬件斷點和DRx調(diào)試寄存器有關(guān)。硬件斷點的原理是使用DR0,DR1,DR2,DR3設(shè)定地址,并使用DR7設(shè)定狀態(tài),因此最多設(shè)置4個斷點。硬件執(zhí)行斷點與CC斷點的作用一樣,但因為硬件執(zhí)行斷點不會將指令首字節(jié)修改為“CC”,所以更難檢測?!锟己酥R點:OllyDdg內(nèi)存斷點參見講稿章節(jié):選擇題:OllyDbg可以設(shè)置()個內(nèi)存斷點A.1個個個個附(考核知識點解釋):內(nèi)存斷點OllyDbg可以設(shè)置內(nèi)存訪問斷點或內(nèi)存寫入斷點,原理是對所設(shè)的地址的內(nèi)存頁設(shè)置不可訪問或不可寫屬性,這樣當內(nèi)存訪問或?qū)懭氲臅r候就會產(chǎn)生異常。OllyDbg截獲異常后,比較異常地址是不是斷點地址,如果是就中斷,讓用戶繼續(xù)操作。因為每次出現(xiàn)異常時都要通過比較來確定是否應(yīng)該中斷,所以內(nèi)存斷點會降低OllyDbg的執(zhí)行速度。OllyDbg只能設(shè)置1個內(nèi)存斷點?!锟己酥R點:WinDbg調(diào)試器參見講稿章節(jié):判斷題:WinDbg最強大的地方還是命令行,通常結(jié)合GUI和命令行進行操作。()多選題:WinDbg支持哪些調(diào)試()A.以打開、附加的方式調(diào)試應(yīng)用程序B.可以分析Dump文件C.可以進行遠程調(diào)試D.內(nèi)核調(diào)試★考核知識點:文件類型分析參見講稿章節(jié):單選題:IDA的原始嵌入式腳本語言叫作()。單選題:IDA分析數(shù)據(jù)時,數(shù)據(jù)類型可以在()之間轉(zhuǎn)換、dw、df、dw、dd、dd、df、dd、df多選題:下列說法正確的是()A.PEiD這類文件分析工具是利用導(dǎo)入函數(shù)搜索來完成識別工作的B.開發(fā)語言都有固定的啟動代碼,利用這一點就可以識別程序是由何種語言編譯的C.被加密程序處理過的程序中會留下加密軟件的相關(guān)信息,利用這一點就可以識別程序是被何種軟件加密的D.PEiD提供了一個擴展接口文件,用戶可以自定義一些特征碼,這樣就可以識別新的文件類型了附(考核知識點解釋):文件類型分析逆向分析程序的第一步就是分析程序的類型,了解程序是用什么語言編寫的或用什么編譯器編譯的,以及程序是否被某種加密程序處理過,然后才能有的放矢,進行下一步工作。這個分析過程需要文件分析工具的輔助。常見的文件分析工具有PEiD,ExeinfoPE等。此類工具可以檢測大多數(shù)編譯語言、病毒和加密軟件?!锟己酥R點:反匯編引擎參見講稿章節(jié):單選題:以下對x86架構(gòu)指令集支持最全的反匯編引擎是()A.ODDisasmB.BeaEngineC.Udis86D.Capstone多選題:下列是反匯編引擎的有()判斷題:OllyDbg自帶的反匯編引擎ODDisasm,優(yōu)點是具有匯編接口(即文本解析,將文本字符串解析并編碼成二進制值),這個特性曾經(jīng)獨樹一幟,且支持64位指令的匯編和反匯編。()判斷題:Keystone和Capstone是同一系列的引擎,由同一維護者主導(dǎo)開發(fā)。Capstone主要負責(zé)跨平臺多指令集的反匯編工作,而Keystone主要負責(zé)跨平臺多指令集的匯編工作。與O11yDbg的匯編器一樣,Keystone也只支持文本匯編,不支持像AsmJit那樣的函數(shù)式匯編。()附(考核知識點解釋):反匯編引擎概述在安全軟件和保護軟件的開發(fā)過程中經(jīng)常會用到匯編引擎和反匯編引擎,例如OllyDbg、IDA、VMProtect、加殼軟件和反編譯器等。反匯編引擎的作用是把機器碼解析成匯編指令。常用的反匯編引擎有ODDisasm、BeaEngine、Udis86、Capstone,匯編引擎有ODAssemhler、Keystone、AsmJit?!锟己酥R點:IDAPro加載可執(zhí)行文件參見講稿章節(jié):單選題:口人是按()裝載PE文件的A.交叉參考B.參考重命名C.格式化指令操作數(shù)D.代碼和數(shù)據(jù)轉(zhuǎn)換多選題:下列關(guān)于IDA有關(guān)說法正確的是()IDA最主要的特性是交互和多處理器。用戶可以通過對IDA的交互來指導(dǎo)IDA更好地進行反匯編。IDA是按區(qū)塊裝載PE文件的,例如.text(代碼塊)、.data(數(shù)據(jù)塊)、.rsrc(資源塊)、.idata(輸入表)和.edata(輸出表)等IDA反匯編所消耗的時間與程序大小及復(fù)雜程度有關(guān),通常需要等待一段時間才能完成。IDA可以格式化指令使用的常量,因此應(yīng)盡可能使用符號名稱而非數(shù)字,從而使反匯編代碼更具可讀性。IDA根據(jù)被反匯編指令的上下文、所使用的數(shù)據(jù)作出格式化決定。對其他情況,IDA一般會將相關(guān)常量格式化成一個十進制常量。★考核知識點:IDAPro導(dǎo)航參見講稿章節(jié):單選題:IDAPRO簡稱IDA,是一個交互式()工具A.調(diào)試B.匯編C.編譯D.反匯編★考核知識點:IDAPro交叉引用參見講稿章節(jié):單選題:通過()可以知道指令代碼的相互調(diào)用關(guān)系A(chǔ).交叉參考B.參考重命名C.格式化指令操作數(shù)D.代碼和數(shù)據(jù)轉(zhuǎn)換★考核知識點:IDAPro函數(shù)分析參見講稿章節(jié):多選題:IDA反匯編代碼可以輸出()格式文件★考核知識點:IDAPro識別數(shù)組、結(jié)構(gòu)體參見講稿章節(jié):判斷題:IDA有著較強的數(shù)組聚合能力。它可以將一串數(shù)據(jù)聲明變成一個反匯編行,按數(shù)組的形式顯示,從而簡化反匯編代碼清單。()判斷題:IDA在進行反匯編的時候能正確區(qū)分數(shù)據(jù)和代碼。()★考核知識點:IDAPro增強反匯編參見講稿章節(jié):判斷題:進人指令匯編修改狀態(tài),jne指令共2字節(jié),因此用2個nop指令代替,這種跳過算法分析直接修改關(guān)鍵跳轉(zhuǎn)指令使程序注冊成功的方法,通常被解密者稱為“爆破法”。()★考核知識點:十六進制工具與靜態(tài)分析技術(shù)應(yīng)用實例參見講稿章節(jié):單選題:()十六進制工具提供了文件比較功能多選題:常用的十六進制工具有()參見講稿章節(jié):多選題:在以下的傳遞方式中,()是函數(shù)傳遞參數(shù)的方式A棧方式B隊列方式C寄存器方式D通過全局變量進行隱含參數(shù)傳遞單選題:虛函數(shù)的地址是在()時候確定的A程序編寫時B編譯程序時C調(diào)用即將進行時D程序執(zhí)行后判斷題:局部變量是函數(shù)內(nèi)部定義的一個變量,其作用域和生命周期作用于整個程序。()判斷題:調(diào)用虛函數(shù)時,程序先取出虛函數(shù)表指針,得到虛函數(shù)表的地址,再根據(jù)這個地址到虛函數(shù)表中取出該函數(shù)的地址,最后調(diào)用該函數(shù)。()參見講稿章節(jié):單選題:以下先執(zhí)行語句塊,再進行表達式判斷的循環(huán)語句是。()Ado循環(huán)Bwhile循環(huán)Cfor循環(huán)D都不是判斷題:程序在運行時,先調(diào)用main函數(shù)執(zhí)行用戶編寫的代碼,再執(zhí)行初始化函數(shù)代碼。()參見講稿章節(jié):判斷題:C+十的三大核心機制是封裝、繼承、多態(tài),虛函數(shù)就是多態(tài)的一種體現(xiàn)。VC++實現(xiàn)虛函數(shù)的方式是虛表。()附(考核知識點解釋):C+十的三大核心機制是封裝、繼承、多態(tài),虛函數(shù)是多態(tài)的一種體現(xiàn),對于面向?qū)ο笏枷朐O(shè)計的軟件,虛函數(shù)是軟件逆向分析還原面向?qū)ο蟠a的重要手段。VC++實現(xiàn)虛函數(shù)的方式是虛表,如果一個類中有虛函數(shù),編譯器就會為這個類生成一個虛表,不同的類,虛表是不相同的,相同的類對象,共享一個虛表?!锟己酥R點:序列號保護方式參見講稿章節(jié):判斷題:軟件驗證序列號,其實就是驗證用戶名和序列號之間的數(shù)學(xué)映射關(guān)系()★考核知識點:警告窗口參見講稿章節(jié):判斷題:若要完全去除警告窗口,只需找到創(chuàng)建該窗口的代碼并將其跳過。()判斷題:在另外一些情況下,對話框不是以資源形式存在的,通過常用斷點就可以攔截不下來。()多選題:去除警告窗口常用的3種方法是()修改程序的資源靜態(tài)分析動態(tài)分析放置不管★考核知識點:時間限制參見講稿章節(jié):判斷題:演示版軟件一般都有使用時間的限制,例如試用30天,超過試用期也能運行。()多選題:用于獲取時間的API函數(shù)有()

GetSystemTimeGetLocalTimeGetFileTimetimeGetTime★考核知識點:菜單功能限制參見講稿章節(jié):選擇題:允許或禁止指定的菜單條目的API函數(shù)是()EnabIeMenultem()函數(shù)Enablewindow()函數(shù)GetTickCount()函數(shù)timeGetTime()函數(shù)★考核知識點:KeyFile^參見講稿章節(jié):選擇題:確定文件是否存在的API函數(shù)是()FindFirstFileA函數(shù)CreateFileA函數(shù)GetFileAttributesA函數(shù)ReadFile函數(shù)選擇題:打開文件以獲得其句柄的API函數(shù)是()A. FindFirstFileA函數(shù)B.CreateFileA函數(shù)B.CreateFileA函數(shù)C.GetFileAttributesAC.GetFileAttributesA函數(shù)D. ReadFile函數(shù)選擇題:允許或禁止指定窗口的API函數(shù)是()EnabIeMenultem()函數(shù)Enablewindow()函數(shù)GetTickCount()函數(shù)timeGetTime()函數(shù)★考核知識點:內(nèi)核空間、權(quán)限空間布局參見講稿章節(jié):單選題:CPU設(shè)計者將CPU的運行級別從內(nèi)向外分為4個,依次為R0,R1,R2,R3,()擁有最高執(zhí)行權(quán)限A.R0B.R1單選題:用戶的應(yīng)用程序(就是用VisualC++等工具開發(fā)的應(yīng)用程序)也是運行在()級上的A.R0B.R1★考核知識點:Windows與內(nèi)核啟動過程參見講稿章節(jié):單選題:請對Windows的啟動過程包括的以下幾個階段的順序進行排列()(1)初始化啟動階段(2)啟動自檢階段Boot加載階段(4)檢測和配置硬件階段A3412B2341C2134D3214判斷題:Windows與內(nèi)核啟動過程中在Boot加載階段,先對ntldr進行設(shè)置,然后從啟動分區(qū)加載ntldr。()附(考核知識點解釋):Windows的啟動過程包括以下幾個階段。(1)啟動自檢階段在打開電源時,計算機開始自檢過程,從BIOS中載入必要的指令,然后進行一系列的自檢操作,進行硬件的初始化檢查(包括內(nèi)存、硬盤、鍵盤等,同時在屏幕上顯示信息。(2)初始化啟動階段自檢完成后,根據(jù)CMOS的設(shè)置,BIOS加載啟動盤,將主引導(dǎo)記錄(MBR)中的引導(dǎo)代碼載入內(nèi)存。接著,啟動過程由MBR來執(zhí)行。啟動代碼搜索MBR中的分區(qū)表,找出活動分區(qū),將第1個扇區(qū)中的引導(dǎo)代碼載入內(nèi)存。引導(dǎo)代碼檢測當前使用的文件系統(tǒng),查找ntldr文件,找到之后將啟動它。BIOS將控制權(quán)轉(zhuǎn)交給ntldr,由ntldr完成操作系統(tǒng)的啟動工作(注意:Windows7與此不同,使用的是Bootmgr)。(3)Boot加載階段在這個階段,先從啟動分區(qū)加載ntldr,然后對ntldr進行如下設(shè)置。①設(shè)置內(nèi)存模式。如果是x86處理器,并且是32位操作系統(tǒng),則設(shè)置為“32-bitflatmemorymode";如果是64位操作系統(tǒng),并且是64位處理器,則設(shè)置為64位內(nèi)存模式。②啟動一個簡單的文件系統(tǒng),以定位、ntoskrnl、Hal等啟動文件。③讀取文件。(4)檢測和配置硬件階段在這個階段會檢查和配置一些硬件設(shè)備,例如系統(tǒng)固件、總線和適配器、顯示適配器、鍵盤、通信端口、磁盤、軟盤、輸入設(shè)備(例如鼠標)、并口、ISA總線上運行的設(shè)備等。(5)內(nèi)核加載階段ntldr將首先加載Windows內(nèi)核和硬件抽象層(HAL)。HAL會對硬件底層的特性進行隔離,為操作系統(tǒng)提供統(tǒng)一的調(diào)用接口。接下來ntldr從注冊表的HKEY_LOCAL_MACHINE\System\CurrentControlSet鍵下讀取這臺機器安裝的驅(qū)動程序,然后加載驅(qū)動程序。初始化底層設(shè)備驅(qū)動,在注冊表的HKEY_LACAL_MACHINE\System\CurrentControlSet\Services鍵下查找“Start鍵的值為0和1的設(shè)備驅(qū)動。(6)Windows的會話管理啟動驅(qū)動程序加載完成,內(nèi)核會啟動會話管理器。這是一個名為的程序,是Windows系統(tǒng)中第1個創(chuàng)建的用戶模式進程,其作用如下。.創(chuàng)建系統(tǒng)環(huán)境變量。.加載,它是Windows子系統(tǒng)的內(nèi)核模式部分。.啟動,它是Windows子系統(tǒng)的用戶模式部分。.啟動。.創(chuàng)建虛擬內(nèi)存頁面文件。.執(zhí)行上次系統(tǒng)重啟前未完成的重命名工作(PendingFileRename)。(7)登錄階段Windows子系統(tǒng)啟動的系統(tǒng)服務(wù)提供對Windows用戶的登錄和注銷的支持,可以完成如下工作。.啟動服務(wù)子系統(tǒng)),也稱服務(wù)控制管理器(SCM)。.啟動本地安全授權(quán)(LSA)過程)。.顯示登錄界面。登錄組件將用戶的賬號和密碼安全地傳送給LSA進行認證處理。如果用戶提供的信息是正確的,能夠通過認證,就允許用戶對系統(tǒng)進行訪問。(8)Windows7和WindowsXP啟動過程的區(qū)別.BIOS通過自檢后,將MBR載入內(nèi)存并執(zhí)行,引導(dǎo)代碼找到啟動管理器Bootmgr。.Bootmgr尋找活動分區(qū)boot文件夾中的啟動配置數(shù)據(jù)BCD文件,讀取并組成相應(yīng)語言的啟動菜單,然后在屏幕上顯示多操作系統(tǒng)選擇畫面。.選擇Windows7系統(tǒng)后,Bootmgr就會讀取系統(tǒng)文件windows\system32\,并將控制權(quán)交給。.加載Windows7的內(nèi)核、硬件、服務(wù)等,然后加載桌面等信息,從而啟動整個Windows7系統(tǒng)?!锟己酥R點:WindowsR3與R0通信參見講稿章節(jié):單選題:Windows內(nèi)核部分會調(diào)用一些內(nèi)核層的函數(shù)。這些函數(shù)都以固定的前綴開始,分別屬于內(nèi)核中不同的管理模塊,其中“Ps”屬于哪個模塊()A管理層B核心層C進程管理D安全管理判斷題:Windows內(nèi)核驅(qū)動模塊是內(nèi)核的重要組成部分,雖然有微軟自己開發(fā)的內(nèi)核驅(qū)動,但是沒有第三方開發(fā)的內(nèi)核驅(qū)動。()附(考核知識點解釋):Windows分為應(yīng)用層與內(nèi)核層。當應(yīng)用程序調(diào)用一個有關(guān)I/O的API(例如WriteFile)時,實際上這個API被封裝在應(yīng)用層的某個DLL庫(例如和文件中。而DLL動態(tài)庫中的函數(shù)的更底層的函數(shù)包含在文件中。中的NativeAPI是成對出現(xiàn)的,分別以“Nt”和“Zw”作為前綴。即ZwCreateFile函數(shù)和NtCreateFile函數(shù),只是名字不一樣。WindowsAPI函數(shù)調(diào)用中的NativeAPI函數(shù)。NativeAPI函數(shù)調(diào)用中斷int2E或者SysEnter指令,從R3進入R0。內(nèi)核中的SSDT,有與中NativeAPI——對應(yīng)的系統(tǒng)處理服務(wù)函數(shù),即內(nèi)核態(tài)的Nt*系列函數(shù)。★考核知識點:內(nèi)核函數(shù)與內(nèi)核驅(qū)動模塊參見講稿章節(jié):判斷題:SSDT的全稱是系統(tǒng)服務(wù)描述符表,SSDT用于處理應(yīng)用層通過下發(fā)的各個API操作請求。()★考核知識點:內(nèi)核對象參見講稿章節(jié):判斷題:TEB與PEB不一樣,在系統(tǒng)內(nèi)核空間中,而不是在應(yīng)用層中的結(jié)構(gòu)。()判斷題:PEB存在于用戶地址空間中,記錄了進程的相關(guān)信息。每個進程都有自己的PEB信息。()★考核知識點:SSDT參見講稿章節(jié):判斷題:WinDbg有限制地支持本地內(nèi)核調(diào)試,只能查看一些重要的系統(tǒng)數(shù)據(jù)結(jié)構(gòu),不能通過下斷點的方式進行調(diào)試。()判斷題:利用WinDbg調(diào)試內(nèi)核有多種方法。例如,WinDbg通過USB、1394火線、COM及網(wǎng)絡(luò)把兩臺機器連接起來。()★考核知識點:TEB與PEB參見講稿章節(jié):判斷題:x64系統(tǒng)內(nèi)核驅(qū)動需要驗證數(shù)字簽名,但是直接運行沒有數(shù)字簽名的驅(qū)動的操作也能成功。()判斷題:加載內(nèi)核驅(qū)動的方法很多,可以使用工具來加載。()★考核知識點:異常處理的基本概念參見講稿章節(jié):選擇題:CPU設(shè)計者將CPU的運行級別從內(nèi)向外分為4個,依次為R0,R1,R2,R3,()擁有最高執(zhí)行權(quán)限選擇題:用戶的應(yīng)用程序(就是用VisualC++等工具開發(fā)的應(yīng)用程序)也是運行在()級上的A.R0選擇題:除了CPU能夠捕獲一個事件并引發(fā)一個硬件異常外,在代碼中可以主動引發(fā)一個軟件異常,這只需調(diào)用()函數(shù)RaiseExeeption()nt!RtlDispatchExceptionKeBugCheckExKiDispatchException★考核知識點:SEH的概念及基本知識參見講稿章節(jié):判斷題:SEH機制只能在用戶模式下使用。()判斷題:VEH機制支持用戶模式和內(nèi)核模式。()考核知識點:向量化異常處理參見講稿章節(jié):判斷題:在Windows的任何版本中都有向量化異常處理。()考核知識點:乂64平臺上的異常處理參見講稿章節(jié):判斷題:x64平臺上原生x64程序的異常分發(fā)流程與x86平臺上不是完全一致的。()考核知識點:PE文件格式參見講稿章節(jié):判斷題:PE文件是作為單一內(nèi)存映射文件被載人內(nèi)存的。()

判斷題:每個PE文件都是以一個DOS程序開始的,有了它,一旦程序在DOS下執(zhí)行,DOS就能識別出這是一個有效的執(zhí)行體。()參見講稿章節(jié):單選題:用十六進制工具查看IMAGE_FILE_HEADER結(jié)構(gòu)的情況時,以下字段中哪個代表可執(zhí)行文件的目標CPU類型。NumberOfSectionsMachineTimeDateStampCharacteristics參見講稿章節(jié):判斷題:區(qū)塊的大小是要對齊的。有兩種對齊值,一種用于磁盤文件內(nèi),另一種用于內(nèi)存中。()判斷題:鏈接器的并不能夠合并區(qū)塊。()參見講稿章節(jié):選擇題:數(shù)據(jù)目錄表(DataDirectory)的第()個成員指向綁定輸人。綁定輸入以一個IMAGE_BOUND_IMPORT_DESCRIPTOR結(jié)構(gòu)的數(shù)組開始。A10B11 C12D13選擇題:輸出表(ExportTable)的主要內(nèi)容是一個表格,其中包括函數(shù)名稱、輸出序數(shù)等。序數(shù)是指定DLL中某個函數(shù)的()位數(shù)字,在所指向的DLL里是獨無二的。A13B14A13B14C15D16二、主觀部分:★考核知識點:基礎(chǔ)知識參見講稿章節(jié):簡答題:闡述一下字節(jié)存儲順序。參見講稿章節(jié):簡答題:簡單地說,虛擬內(nèi)存的實現(xiàn)方法和過程?!锟己酥R點:OllyDdg調(diào)試器參見講稿章節(jié):填空題:內(nèi)存數(shù)據(jù)窗口輸入(),即可查看rdx指向的字符串。填空題:在反匯編窗口選中任意的寄存器、地址、函數(shù),按(),也可以跳轉(zhuǎn)到相應(yīng)的目標地址處。填空題:通過()菜單可以打開其他子窗口,例如反匯編窗口、寄存器窗口、內(nèi)存窗口等。簡答題:如何快速回到當前程序領(lǐng)空?簡答題:OllyDbg如何修改EIP?填空題:OllyDbg的設(shè)置項在()菜單里,有()選項和()選項等。這些選項配置都保存在()文件里。填空題:UDD文件是OllyDbg的工程文件,用于保存當前調(diào)試的一些狀態(tài),例如()、()等,以便下次調(diào)試時繼續(xù)使用。填空題:OllyDbg調(diào)用()函數(shù)創(chuàng)建可執(zhí)行文件的進程。填空題:附加到一個正在運行的進程,此刻OllyDbg會立即暫停這個程序以及它所有的();被附加的程序會暫停在的()處。填空題:在OllyDbg中可以使用()命令或者()快捷鍵來設(shè)置/消斷點?!锟己酥R點:OllyDdg內(nèi)存斷點參見講稿章節(jié):簡答題:內(nèi)存斷點的原理?★考核知識點:反匯編引擎參見講稿章節(jié):簡答題:比較各種反匯編引擎的優(yōu)缺點。簡答題:Capstone介紹?!锟己酥R點:反匯編引擎參見講稿章節(jié):簡答題:交叉引用的概念。附(考核知識點解釋):交叉引用,在IDAPro中被稱為XREF,可以告訴你函數(shù)在何處被調(diào)用,或者一個字符串在何處被使用?!锟己酥R點:IDAPro增強反匯編參見講稿章節(jié):簡答題:FLIRT介紹?!锟己酥R點:逆向分析技術(shù)參見講稿章節(jié):簡答題:什么是逆向分析技術(shù)?★考核知識點:序列號保護方式參見講稿章節(jié):簡答題:序列號保護機制

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論