Loading... 1.寻找OEP方法正确的是( )选项全是 ``` 选项全是 ``` ``` 单步跟踪 ``` ``` ESP定律 ``` ``` 内存断点 ``` 2.vc6的程序OEP有什么特征( )第一个call是call GetVersion ``` 程序入口点下有5个call ``` ``` 第一条指令jmp dword ptr ds:[xxxx] ``` ``` 三个push 一个call ``` ``` 第一个call是call GetVersion ``` 3.无法通过()判断出一个程序所使用的编译环境( )EXE名称 ``` EXE名称 ``` ``` PEID等工具 ``` ``` 通过区段名 ``` ``` OEP特征 ``` 4.易语言程序的OEP特征( )与VC6的特征一致 ``` 一个call,接着jmp xxxxxx ``` ``` 入口有5个函数调用,第一个函数中调用GetMoudleHandle ``` ``` 一个短跳,接着是字符”fb:C++HOOK ``` ``` 与VC6的特征一致 ``` 5.Delphi程序的OEP特征( )入口有5个函数调用,第一个函数中调用GetMoudleHandle ``` 与VC6的特征一致 ``` ``` 一个短跳,接着是字符”fb:C++HOOK” ``` ``` 入口有5个函数调用,第一个函数中调用GetMoudleHandle ``` ``` 一个call,接着jmp xxxxxx ``` 6.BC++程序的OEP特征( )一个短跳,接着是字符”fb:C++HOOK” ``` 与VC6的特征一致 ``` ``` 一个call,接着jmp xxxxxx ``` ``` 入口有5个函数调用,第一个函数中调用GetMoudleHandle ``` ``` 一个短跳,接着是字符”fb:C++HOOK” ``` 7.以下哪个可能是VS2013的release版的OEP特征( )call xxxxxx,jmp xxxxx ``` call xxxxxx,jmp xxxxx ``` ``` jmp xxxxxx,jmp xxxxx ``` ``` mov edi,edi ``` ``` call xxxxxxx,call xxxxx ``` 8.脱壳时发现IAT表被加密了,应该( )跟踪代码,找到正确的API地址,填充到IAT表中 ``` 放弃脱壳 ``` ``` 直接使用工具修复文件 ``` ``` 跟踪代码,找到正确的API地址,填充到IAT表中 ``` ``` 直接Dump内存 ``` 9.导入表在数据目录表的第几项(从0开始)第1项 ``` 第1项 ``` ``` 第2项 ``` ``` 第3项 ``` ``` 第0项 ``` 10.脱壳的步骤( )①②⑤④③ ①加载程序到OD等调试器 ②找到程序入口点 ③去掉程序随机基址 ④修复复IAT表 ⑤Dump程序 ①②⑤④③ ①②④⑤③ ②③⑤①④ ①④⑤②③ 11.常见的直观查壳工具 ( )PEID Exeinfo PE ``` PEID ``` ``` ImportREC ``` ``` Exeinfo PE ``` ``` LordPE ``` 12.常见的dump工具( )OD LordPE ``` PEID ``` ``` OD ``` ``` LordPE ``` ``` ImportRec ``` 13.当程序无法正常下断点时怎么办( )单步跟踪 | 查找SEH异常反调试 ``` 单步跟踪 ``` ``` 直接使用工具修复文件 ``` ``` 放弃调试 ``` ``` 查找SEH异常反调试 ``` 14.一般脱壳后为什么要修复IAT( )壳程序将导入表抹去,程序无法找到导入表,加载器无法加载IAT ``` 只要dump文件就必须修复。 ``` ``` dump文件后,IAT表就无法正常加载。 ``` ``` dump后的文件没有IAT表 ``` ``` 壳程序将导入表抹去,程序无法找到导入表,加载器无法加载IAT。 ``` 15.一个程序的IAT表在内存中的布局是( )全部 ``` 以一个DWORD字的0为结尾 ``` ``` 未加密的IAT在OD等调试器中以“长型地址”后边的注释中会显示函数名 ``` ``` 一般通过call dword ptr [0xxxxxxx]立即数地址找到 ``` ``` 一般程序的IAT都是连续的 ``` 16.以下那些地方可能与反调试相关( )全部 ``` TLS线程回调 ``` ``` SEH异常链 ``` ``` 调用SetUnhandledExceptionFilter的回调 ``` ``` dll模块中dllmain函数 ``` 17.OD脚本设置硬件断点的命令( )BPHWS ``` BPL ``` ``` BPHWS ``` ``` BPMC ``` ``` BP ``` 18.OD脚本运行指令( )RUN ``` START ``` ``` RUN ``` ``` BEGIN ``` ``` GO ``` 19.OD脚本定义变量( )VAR 变量名 ``` VAR 变量名 ``` ``` DWORD变量名 ``` ``` DEF 变量名 ``` ``` 变量名 ``` 20.UPX是( )壳 压缩壳 ``` 虚拟机壳 ``` ``` 强壳 ``` ``` 加密壳 ``` ``` 压缩壳 ``` 最后修改:2021 年 02 月 03 日 © 允许规范转载 赞 0 如果觉得我的文章对你有用,请随意赞赏