第1章 基礎知識1判斷題1字符“D” 的Unicode碼的十六進制是0x0042 2如“0”的ASCII碼是30H，“A”的ASCII碼是40H，“a”的ASCII碼是60H。3Unicode是一種新的編碼方式，不包含ASCII的一個擴展。4Windows中的注冊表對軟件保護來說沒有什么作用。5Windows中文件句柄句柄（Handle）是Windows用來標識被應用程序所建立或使用的對象的唯一整數值。6API函數是提供應用程序運行所需要的窗口管理、圖形設備接口、內存管理等各項服務功能的函數，API函數是以dll庫的形式組織在一起。716位CPU的數據寄存器組表示AX、BX等，32位CPU的數據寄存器組表示EAX、EBX等，64位CPU的數據寄存器組表示RAX、RBX等。8字符“C”在計算機內存中的Unicode碼的十六進制是0x0043。9PostMessage函數將一條消息投遞到指定窗口的程序隊列。1016位CPU的數據寄存器組表示AX、BX等，32位CPU的數據寄存器組表示EAX、EBX等，64位CPU的數據寄存器組表示RAX、RBX等。11Windows系統中有兩種消息隊列：一種是系統消息隊列，另一種是應用程序消息隊列。12. Windows的API函數一般是存放在動態鏈接庫DLL中。13.Unicode也是ASCII的一個擴展，在Unicode用4個字節來表示。2填空題1如“1”的ASCII碼是31H（48D），“A”的ASCII碼是 ，“a”的ASCII碼是61H。2PE文件使用的是一個平面地址空間，所有代碼和 都被合并在一起。3字符“ ” 的Unicode碼的十六進制是0x0042。4如“1”的ASCII碼是31H（49D），“D”的ASCII碼是 ，“c”的ASCII碼是63H（97D）。5字母p的ASCII碼值是70H，所以字母p的Unicode碼值是 。 6字母p的ASCII碼值是70H，所以字母p的Unicode碼值在內存中存放的形式是 。7字符“A”的unicode碼表示為 。（0x0041）8Windows將完成不同功能的API函數分類放到不同 中。（動態鏈接庫DLL）9注冊表的 不能被刪除、添加和修改。10. Unicode也是ASCII的一個擴展，在Unicode中用 字節來表示。11. 英文小寫字母的ASCII碼范圍是0x61-0x7A，比相應大寫字母的ASCII碼值多 。0x 20。3簡答題1保護模式2API函數3windows注冊表4動態鏈接庫DLL5選擇題1在保護模式下，所有的應用程序都有權限級別，并分為 個等級。A1 B2 C3 D42如“0”的ASCII碼是 ，“A”的ASCII碼是41H（65D），“a”的ASCII碼是61H（97D）。 A20H B30H C40H D50H 3Windows系統中有兩種消息隊列：一種是 ，另一種是應用程序消息隊列。A堆棧消息隊列 B系統消息隊列 C代碼消息隊列 D進程消息隊列4Windows中 包括進程與線程控制、內存管理、文件訪問等，提供操作系統核心功能服務；AKernel32.dll BUser32.dll CGdi32.dll DAdvapi32.dll5注冊表是Windows的核心數據庫，針對注冊表，下面說法錯誤的有： 。A注冊表的所有鍵都可以修改B注冊表的子鍵可以修改C注冊表的主鍵不能修改D注冊表的主鍵用大寫字母表示6Windows將完成不同功能的API函數分類放到不同DLL中，其中_是Windows中最重要的動態鏈接庫AKernel32.dll BAdvapi32.dll CNetAPI32.dll DShell32.dll7與網絡相關是API函數一般在 動態鏈接庫中。AKernel32.dll BAdvapi32.dll CNetAPI32.dll DShell32.dll 8. RegOpenKeyEx（）函數中有4個形式參數，其中REGSAM samDesired形式參數的作用是 。A打開注冊表主鍵 B打開注冊表子鍵 C獲取子鍵名的地址 D確定對注冊表進行何種操作。9. Unicode也是ASCII的一個擴展，在Unicode用 來表示。A1個字節 B2字節 C3字節 D4字節第2章 代碼分析技術1判斷題1PE文件的在磁盤上的數據結構與在內存中的數據結構是一致的。2StdCall（標準調用Standard Call）調用約定是Win32 API函數采用的約定方式，即函數入口參數按從左到右的順序入棧。3操作系統在執行一個函數時，首先調用函數名，然后再對函數的參數進行壓棧。4某文件的VA= 0x401122，k0xB01，ImageBase=0x400000，File Offset=0x621。5在保護模式下，所有的應用程序都有權限級別，并分為4個等級，其中0特權級別最低，3特權級別最高。6注冊表監視軟件regmon等可以作為黑殼工具使用，對軟件保護沒有任何作用。7PE文件使用的是一個平面地址空間，所有代碼和數據都被分開。8在PE文件中的區塊.text是在編譯或匯編結束時產生的塊，代表是可執行文件的指令代碼。9在PE文件中，不同區塊的，各代碼或數據地址的偏移量一定相等。10操作系統在執行一個函數時，首先調用函數名，然后在對函數的形式參數進行壓棧。11.長轉移（Long jump）指令中無條件轉移的機器碼是5個字節，條件轉移的機器碼是8字節。2填空題1PE文件的在磁盤上的數據結構與在內存中的結構是 。2StdCall（標準調用Standard Call）調用約定是Win32 API函數采用的約定方式，即函數入口參數按 _的順序入棧。3某文件的VA= ，k0xB01，ImageBase=0x400000，File Offset=0x6214在WindowsXP中可執行文件使用了 文件格式。5無條件短轉移的機器碼形式為EB*。如有指令：401000 jmp 401011： ：401011 xor eax，eax則jmp 401010的機器碼是 。6在“0167:00401000”中，00401000表示內存的 ，一般來說，同一程序的同一條指令在不同系統環境下，此值相同。（3個題目）7在“0167:00401000”中，0167：表示 ，其數據保存在CS段選擇器里，同一程序在不同系統環境下， 此值可能不同。（3個題目）8.長轉移（Long jump）指令中無條件轉移的機器碼是 ，條件轉移的機器碼是6字節。9.在PE文件中，每一個區塊都有不同的名字，這個名字用來表示區塊的 。每一個區塊的大小不受限制。3簡答題1文件偏移地址2句柄3虛擬地址4基地址5實模式6相對虛擬地址7注冊表8. PE格式4應用題1如有下面c+程序：Myadd（int x, int y） int temptemp =x+y return= temp 寫出其反匯編代碼，并解釋每個匯編語句的作用。2例如下面的c函數：Mysub1（y,x） erg=x-y Mysub1=erg 假設其反匯編代碼見答題紙，請解釋每個匯編語句的作用。5選擇題1某文件的VA= ，k0xB01，ImageBase=0x400000，File Offset=0x621A0x004621 B0x401122 C0x000756 D0x0006212PE文件使用的是一個 空間，所有代碼和數據都被合并在一起。A代碼地址 B平面地址 C4段地址 D立體地址3在保護模式下，所有的應用程序都有權限級別，并分為 個等級。A1 B2 C3 D44某文件的VA= ，k0xB01，ImageBase=0x400000，File Offset=0x621A0x004621 B0x401122 C0x000756 D0x000621 5字符“ ” 的Unicode碼的十六進制是0x0043AA BB CC DD6StdCall（標準調用Standard Call）調用約定是Win32 API函數采用的約定方式，即函數入口參數按 的順序入棧。A從右到左 B從下到上 C從左到右 D從上到下 7在“0167:00401000”中，0167：表示 ，其數據保存在CS段選擇器里，同一程序在不同系統環境下，此值可能不同。A內存補丁 B段選擇子 C虛擬地址 D文件偏地址8. 長轉移（Long jump）指令中無條件轉移的機器碼是 ，條件轉移的機器碼是6字節。A4個字節 B5個字節 C6個字節 D8個字節9.用 函數可以獲得注冊表中一個項的值。A. RegOpenKeyEx（） B. RegCloseKey（）C. RegSetValueEx（） D. RegQueryValueEx( )第3章 靜態分析技術1判斷題1在調試器窗口中有：“016F：0040436 50 PUSH EAX”字符，其中“50”表示指令的相對虛擬地址。（錯）2在一些常用的工具軟件中，其中 W32Dasm和IDA Pro可以用來對軟件進行靜態分析。（對） 3在一些常用的工具軟件，其中ResourceHacker是可執行文件編輯工具。4用W32Dasm打開.exe程序后，在主窗口中將顯示反匯編代碼等信息，其中第一部分是區塊信息 。 5在用W32Dasm等靜態分析工具分析軟件時，需要找到代碼的開始處。6靜態分析時，我們應該重點分析程序入口點處的反匯編代碼。7所謂靜態分析即從反匯編出來的程序清單上分析程序流程，從提示信息入手，了解軟件的編程思路。8IDA Pro內核模式調試器是指能調試操作系統內核的調試器，它們工作在Ring 0級。9一般.exe文件可以有輸入函數，也可以有輸出函數。10用W32Dasm分析.exe文件件時，可以看到輸入表和輸出表中具體函數。11在用W32Dasm等工具分析軟件時，需要找到程序的入口點（Goto Program Entry Point），也就是源程序代碼執行的起始點。12漢化軟件時，最好的方法是要知道原程序的高級語言代碼。2填空題1已知有反匯編語句：* Reference To: USER32.PostQuitMessage, Ord:01E0h | :00401167 FF15B0404000 Call dword ptr 004040B0；其中Call dword ptr 004040B0表示 。2所謂 ，即從反匯編出來的程序清單上分析程序流程，從提示信息入手，進行分析，以便了解軟件中各模塊所完成的功能，各模塊之間的關系，了解軟件的編程思路。3有反匯編代碼：* Referenced by a (U)nconditional or (C)onditional Jump at Address:|:004010DF(C);| :00401110 8B44240C mov eax, dword ptr esp+0C其中:004010DF(C)表示 。4在一些常用的分析工具軟件中，其中 和IDA Pro可以用來對軟件進行靜態分析。5在調試器窗口中有：“016F：0040436 50 PUSH EAX”字符，其中“0040436”表示指令的 。6在常用的靜態分析工具軟件中，其中 是可執行文件編輯編輯工具。7代碼段有一條如下無條件轉移指令： ：401000 jmp 402398 ：402398 xor eax，eax無條件長轉移指令的長度是 個字節，機器碼是E9。8 是一個功能強大的靜態反匯編工具，操作簡單，使用方便，并且免費。5選擇題1在調試器窗口中有：“016F：0040436 50 PUSH EAX”字符，其中“0040436”表示指令的 。 A機器碼 B段選擇地址 C虛擬地址 D機器地址2下面是一些常用的工具軟件，其中 是可執行文件資源編輯工具。Asoftice BASPack CResource Hacker DPEiDentifer3在用W32Dasm等工具分析軟件時，需要找到程序入口點（Goto Program Entry Point），也就是 。A程序執行的起始點 B代碼開始的起始點C反匯編指令的起始點 D匯編指令的起始點4OllyDbg用戶模式調試器是指用來調試用戶模式的應用程序，它們工作在 。ARing 0級 BRing 1級 CRing 2級 DRing 3級5所謂 即從反匯編出來的程序清單上分析程序流程，從提示信息入手，進行分析，以便了解軟件中各模塊所完成的功能，各模塊之間的關系，了解軟件的編程思路A靜態分析 B動態分析 C資源分析 D代碼分析6設有反匯編代碼* Reference To: USER32.LoadIconA, Ord:019Eh :00401033 FF15B4404000 Call dword ptr 004040B4 ，下面說法錯誤的是：ACall dword ptr 004040B4語句表示調用LoadIconA函數BFF15B4404000是Call dword ptr 004040B4語句的機器碼CLoadIconA函數的參數還沒有被壓棧D00401033表示Call dword ptr 004040B4語句的文件的虛擬地址7下面是一些常用的工具軟件，其中 軟件是典型的文本編輯軟件。Asoftice BHiew CSuperscan DProcDump8下面是一些常用的工具軟件，其中 是可執行文件資源編輯工具。Asoftice BASPack CResource Hacker DPEiDentifer9下面是一些常用的工具軟件，其中 和IDA Pro可以用來對軟件進行靜態分析。 ASoftice BASPack CW32Dasm DSniffer10. 用W32Dasm打開可執行文件.exe程序后，在主窗口中第一列顯示 信息。A.注釋 B.機器碼 C.匯編代碼 D.虛擬地址第4章 動態分析技術1判斷題1. OllyDbg打開TraceMe后，按F9或shfit+F9鍵就可讓它運行。2. OllyDbg代碼窗口顯示被調試程序的代碼。它有四個列；相對虛擬地址、機器碼、匯編代碼和注釋。3. SoftICE是Compuware NuMega公司開發的最著名的動態調試工具。4.消息斷點使得當某個特定窗口函數發送到某個特定消息時程序中斷。5. OllyDbg用戶模式調試器是指用來調試用戶模式的應用程序，它們工作在Ring 0級6. 安裝SoftICE成功后，按“Ctrl+C” 鍵可以激活并打開一個調試窗口。7動態分析技術是指通過分析反匯編代碼來理解其代碼功能等，逆向推出原軟件的思路。2填空題1動態分析技術中最重要的工具是調試器，分為用戶模式和 兩種類型。2安裝OllyDbg成功后，按 鍵可以設置代碼定位斷點。3OllyDbg打開TraceMe后，按鍵 就可讓它運行。415OllyDbg代碼窗口顯示被調試程序的代碼。它有四個列； 、Hex dump（機器碼）、Disassembly（匯編代碼）和Comment（注釋）。5 是Compuware NuMega公司開發的最著名的動態軟件調試工具。6教材中介紹的用戶模式軟件動態調試器是 。7 使得當某個特定窗口函數接收到某個特定消息時程序中斷。8Ollydbg打開TraceMe后，按 鍵就可以實現單步跟蹤，并且可以跟蹤到函數內部中。5選擇題1 使得當某個特定窗口函數接收到某個特定消息時程序中斷。A數據斷點 B代碼斷點 C條件斷點 D消息斷點2用OllyDbg打開TraceMe后，按 鍵就可讓TraceMe運行起來。AF2或shfit+F2 BF4或shfit+F4 CF8或shfit+F8 DF9或shfit+F93OllyDbg代碼窗口顯示被調試程序的代碼，它有四個列；Address、Hex dump、Disassembly和 。AWindows BCode COrder DComment第5章 軟件保護技術及其弱點1判斷題1用Set Timer（）函數作為時間限制，當程序不再需要計時器時，可以調用KillTimer（）來銷毀計時器。2分析Key File文件時，教材中使用文件監視工具名filemon。3采用日期限制的軟件不需要防RegMon, FileMon之類的監視軟件。4在程序運行前，用FindWindow，GetWindowText函數查找具相同窗口類名和標題的窗口，用這種方法也不能讓程序只運行一個事例。5軟件將菜單變灰或變為不可用，一般采用EnableMenuItem（）等函數。6若要找到序列號，或者修改判斷序列號之后的跳轉指令，可以利用各種調試器來定位判斷序列號的數據段。7通過用戶名來驗證注冊碼的正確性時，用來生成注冊碼的函數F直接出現在應用軟件代碼中。8時間限制程序有兩類，其中包括限制軟件每次的運行時間。9在解除網絡驗證時，除了寫服務端外，也可直接修改客戶端程序程序，將封包中的數據整合進去。10. Windows是一個多任務的操作系統，應用程序可以多次運行以形成多個運行實例。所以我們不能控制程序只能運行一個實例。11. 通過用注冊碼= F（用戶名）來驗證注冊碼的正確性時，正確的注冊碼不會出現在內存中。2填空題1若要找到序列號，或者修改判斷序列號之后的跳轉指令，可以利用各種調試器來定位判斷序列號的 。2軟件將菜單變灰或變為不可用，一般采用 函數。3通過注冊碼來驗證用戶名的正確性時，用來生成注冊碼的函數F 在應用軟件代碼中。4分析Key File文件時，教材中使用文件監視工具名是 。5用SetTimer（）函數作為時間限制，當程序不再需要計時器時，可以調用 來銷毀計時器。6采用日期限制的軟件必須能防RegMon、 之類的監視軟件，否則很容易被找到日期的存放位置。7. 網絡驗證是目前流行的一種保護技術，其優點是可以將一些關鍵數據放到 上。4應用題1編寫程序，實現如下功能：（1）當用戶輸入錯誤口令次數超過5次時，關閉程序。（2）限制用戶使用弱口令，如11111、12345等。（3）口令每使用一個星期后，要求更換口令。（4）限制用戶不能循環使用舊口令。 注意：對程序中所使用的變量作用要進行說明。2編寫一程序，該程序可以完成加法運算，但執行該程序時每隔2分鐘就會彈出警告窗口，提示“請購買正式版本”。3在設計軟件時，采取哪些措施可以保護軟件不容易被破解。4.設計軟件使用時間限制保護時，要注意哪些問題？5選擇題1采用日期限制的軟件必須能防RegMon， 之類的監視軟件，否則很容易被找到日期的存放位置。AFileMon BOllyDbg CeXeScope DW32Dsam2在程序運行前，用FindWindow，GetWindowText函數查找具相同窗口類名和標題的窗口，用這種方法可以實現 。A使用時間限制 B使用時間端限制C限制菜單使用 D讓程序只運行一個事例3若要找到序列號，或者修改判斷序列號之后的跳轉指令，可以利用各種調試器來定位判斷序列號的 。A堆棧段 B附加數據段 C數據段 D代碼段4分析Key File文件時，教材中使用文件監視工具名 。Aregmon Bfilemon Casprotect Dupx5軟件將菜單變灰或變為不可用，一般采用 函數。AEnableWindow（） BKillMenu56（）CEnableMenuItem（） DGetTickCount（ ）6通過時間段的限制來保護軟件版權時，應用軟件可以 。 A保存軟件正在使用的時間B保存軟件安裝時間 C保存軟件安裝時間和最后一次使用的時間D保存軟件最后一次使用的時間7用SetTimer（）函數作為時間限制，當程序不再需要計時器時，可以調用 來銷毀計時器。ATimeGetTime（ ） BKillTimer（）CTimeEetEvent（ ） DGetTickCount（ ）8分析Key File文件時，教材中使用文件監視工具名 。Aregmon Bupx Casprotect Dfilemon 9 對網絡驗證進行攻擊時，最好的方法是分析 。 A數據包 B服務端程序代碼 C客戶端程序代碼 D序列號10. 網絡驗證破解的一般思路是攔截 返回的數據包，分析程序是如何處理數據包的。A.路由器 B.網絡 C.客戶機 D服務器第7章 PE文件格式1判斷題1輸入表是以IID（IMAGE_IMPORT_DESCRIPTOR）數組開始的，IID是描述PE文件中使用的DLL文件信息。（對）2輸入表結構中與實際運行相關的主要是IAT結構，這個結構中用于保存原程序的實際地址。2填空題1在保護模式下，所有的應用程序都有權限級別，并分為 個等級，其中3特權級別最低，0特權級別最高。2輸入表結構中與實際運行相關的主要是IAT結構，這個結構中用于保存 的實際地址。3簡答題1結構化異常處理2文件輸入表3文件輸出表4. U盾5選擇題1輸入表結構中與實際運行相關的主要是 結構，這個結構中用于保存API的實際地址。AATA BIAT CAPI DDLL2PE文件的在 上的數據結構與在內存中的數據結構是一致的。A寄存器 BCPU C硬盤 D內存第8章 反跟蹤技術1判斷題1當一個異常發生時，操作系統要向引起異常的線程的堆棧里壓入3個結構： EXCEPTION-WINDOWS，CONTEXT和EXCEPTION_POINTERS。2當反匯編發生錯誤時，導致反匯編的一些跳轉指令跳轉的位置無效，就可以斷定該程序中使用了花指令。3所謂異常（Exception ）就是在應用程序的正常執行過程中發生的不正常事件，CPU引發的異常稱為軟件異常。4所有應用程序的SEH調用最終不需要Windows系統來處理。5Windows在創建線程時，操作系統均會為每個線程分配線程環境塊TEB，而且將堆棧段SS指向當前線程的TEB數據。2填空題1Windows在創建線程時， 會為每個線程分配線程環境塊TEB，而且都將附加數據端FS指向當前線程的TEB數據。2當一個異常發生時，操作系統要向引起異常的線程的堆棧里壓入3個結構： EXCEPTION-RECORD， _和EXCEPTION_POINTERS。3所謂異常（Exception ）就是在應用程序的 過程中發生的不正常事件，CPU引發的異常稱為硬件異常。4在程序運行前，用 ，GetWindowText函數查找具相同窗口類名和標題的窗口，用這種方法可以實現讓程序只運行一個事例。5所有應用程序的SEH調用最終都由 來處理的。6當反匯編發生錯誤時，導致反匯編的一些跳轉指令跳轉的位置無效，就可以斷定該程序中使用了 。7. 除了CPU捕獲一個事件并引發一個 外，在代碼中也可以強制引發一個軟件異常。只需調用RaiseException函數。3簡答題1“花指令” 2反跟蹤技術4應用題1. 簡述反跟蹤基本方法。2“花指令”有什么作用？ 5選擇題1當 時，導致反匯編的一些跳轉指令跳轉的位置無效，就可以斷定該程序中使用了花指令。A反匯編運行錯誤 B反匯編代碼錯誤C源程序運行錯誤 D源程序代碼錯誤2所有應用程序的SEH調用最終都由 來處理。AWindows線程 BWindows系統 CWindows進程 DWindows調試器3Windows在創建線程時，操作系統均會為每個線程分配線程環境塊TEB，而且都將 指向當前線程的TEB數據。A代碼段 B附加數據段FS CECX D數據段 4當一個異常發生時，操作系統要向引起異常的線程的堆棧里壓入3個結構： EXCEPTION-RECORD，CONTEXT和 。AEXCEPTION-CONTEXT BCONTEXTCTEB DEXCEPTION_POINTERS5所謂異常（Exception ）就是在應用程序的正常執行過程中發生的不正常事件，CPU引發的異常通常稱為 。ACPU異常 B硬件異常 C軟件異常 D堆棧異常6如果在程序中加入一些無用的字節來干擾反匯編軟件的判斷，從而使得它錯誤地確定指令的起始位置，也就達到干擾 反匯編工作的目的。 AW32Dasm Bregmon Casprotect DFindWindow7因為有多種異常，系統首先判斷異常是否應發送給 。A目標程序 B高級程序 C匯編程序 D源程序第9章 加殼與脫殼1判斷題1在軟件保護中，ProcDump工具軟件可以用來對軟件加“殼”。2軟件殼的加載的第一步是獲取殼自己所需要的API地址。3加密保護的殼是以加密保護為其重點，保護重點是程序的入口點。4如果用PE編輯工具查看加殼后的文件，就會發現未加殼的文件和加殼后的文件的輸入表是不一樣的。5在軟件保護中，ProcDump工具軟件可以作為通用“脫殼”軟件。6CodeFusion是一個功能強大的文件補丁制作工具。7加殼軟件按照其加殼目的和作用可分為兩類：一是保護軟件，二是壓縮軟件。8DLL的入口點在整個執行過程中會執行兩次。一次是在開始時，用來對DLL做一些初始化；第二次是在退出時。9殼一般都不修改了原程序文件的輸入表，然后自己模擬Windows裝載器的工作來填充IT中相關的數據。10當對一個應用軟件加殼時，其保護程序部分優先于應用軟件執行。2填空題1加殼軟件按照其加殼目的和作用可分為兩類：一是 ，二是壓縮軟件。2在軟件保護中， 工具軟件可以作為通用“脫殼”軟件。3ASProtect是一個功能強大的 工具。4DLL的入口點在整個執行過程中會執行兩次。一次是 時，用來對DLL做一些初始化；第二次是在退出時。5手動脫殼過程一般分為三步：一是查找程序的真正入口點；二是抓取 ；三是重建文件輸入表。6在軟件保護中， 工具軟件可以用來對軟件加“殼”。7軟件殼的加載的第一步是獲取殼自己所需要的 。8加密保護的殼是以加密保護為其重點，保護重點是在OEP隱藏和 上。3簡答題1軟件“脫殼”2內存映像文件3軟件“加殼”3U盾4應用題1寫出軟件殼的加載過程。2寫出手動脫殼方法。5選擇題1軟件殼的加載過程最后一步是 。A跳轉到程序原入口點BHOOK-APIC獲取殼自己所需要的API地址 D加密原程序的各個區塊的數據2加密保護的殼是以加