《逆向工程》課程期末復習資料《逆向工程》課程講稿章節目錄：第1章基礎知識逆向工程逆向分析技術文本字符字節序Win32API函數Windows消息機制第2章動態分析技術OllyDbg的界面OllyDbg的配置Olly加載程序OllyDdg的INT3斷點和硬件斷點OllyDdg內存斷點OllyDbg消息斷點OllyDbg條件斷點OllyDbg插件OllyDbg的跟蹤WinDbg調試器Windbg符號文件WinDbg調試過程第3章靜態反匯編文件類型分析反匯編引擎IDAPro加載可執行文件IDAPro的窗口IDAPro導航IDAPro交叉引用IDAPro函數分析IDAPro識別數組、結構體IDAPro增強反匯編十六進制工具與靜態分析技術應用實例第4章逆向分析技術函數的識別識別變量識別IF分支結構識別switch分支結構識別循環數學運算符虛函數64軟件逆向技術第5章演示版保護技術序列號保護方式警告窗口時間限制菜單功能限制KeyFile保護網絡驗證光盤檢測只運行一個實例第6章Windows內核基礎內存空間、權限空間布局Windows與內核啟動過程WindowsR3與R0通信內核函數和內核驅動模塊內核對象SSDTTEB和PEB第7章Windows下的異常處理異常處理的基本概念SEH的概念及基本知識SEH異常處理程序原理及設計向量化異常處理乂64平臺上的異常處理異常處理的實際應用第8章PE文件格式PE的基本概念PE文件頭區塊輸入表綁定輸入、輸出表基址重定位資源TLS初始化、調試載入目錄、延遲載入數據—程序異常數據NET頭部編寫PE編輯工具一、客觀部分：（單項選擇、多項選擇、判斷）★考核知識點：基礎知識參見講稿章節：1.在關于逆向工程（reverseengineering）的描述中，正確的是（）A.從己經安裝的軟件中提取設計規范8.按照“輸出一＞處理一＞輸入”的順序設計軟件C.用硬件來實現軟件的功能D.根據軟件處理的對象來選擇開發語言和開發工具2.以下說法錯誤的是（）A.逆向工程是指根據已有的產物和結果，通過分析來推導出具體的實現方法。B.在軟件漢化和軟件解密的過程中，首要問題是對被漢化和解密的軟件進行分析。C.通過靜態分析我們可以真正了解軟件中各個模塊的技術細節。D.對軟件分析來說，靜態分析只是第一步，動態跟蹤才是分析軟件的關鍵。附（考核知識點解釋）：逆向工程（ReverseEngineering）是指根據已有的產物和結果，通過分析來推導出具體的實現方法。對軟件來說，“可執行程序一反編譯一源代碼”的過程就是逆向工程。逆向工程的內容可以分為如下3類。（1）軟件使用限制的去除或者軟件功能的添加。（2）軟件源代碼的再獲得。（3）硬件的復制和模擬。參見講稿章節:.判斷題:計算機中儲存的信息都是用二進制數表示的，但如果要處理文本，并不需要先把文本轉換為相應的二進制數。().判斷題：Unicode是ASCII字符編碼的一個擴展，只不過在Windows中用2字節對其進行編碼。()附(考核知識點解釋)：文本字符計算機中儲存的信息都是用二進制數表示的，屏幕上顯示的字符都是二進制數轉換之后的結果。如果要處理文本，就必須先把文本轉換為相應的二進制數。在學習過程中，我們會與各類字符打交道。這些字符在Windows里扮演著重要的角色。字符集字符集是一個系統支持的所有抽象字符的集合。字符是各種文字和符號的總稱：文字標點符號圖形符號數字IP地址字節存儲順序計算機領域在描述“關于字節該以什么樣的順序傳送的爭論”時引用了“endian”一詞，翻譯為“字節序”，表示數據在存儲器中的存放順序，主要分為大端序(Big-endian)和小端序(Little-endian)，其區別如下。Big-endian:高位字節存入低地址，低位字節存入高地址。Little-endian:低位字節存入低地址，高位字節存入高地址。Intel處理器使用的是小尾方式存儲(LittleEndianness)低位字節存入低地址，高位字節存入高地址參見講稿章節：1.判斷題：Windows是一個消息（Message）驅動式系統。Windows消息提供在應用程序與應用程序之間、應用程序與Windows系統之間進行通信的手段。附（考核知識點解釋）：Windows消息機制Windows是一個消息（Message）驅動式系統。Windows消息提供在應用程序與應用程序之間、應用程序與Windows系統之間進行通信的手段。應用程序想要實現的功能由消息觸發，通過對消息的響應和處理完成。Windows系統中有兩種消息隊列:一種是系統消息隊列;另一種是應用程序消息隊列。計算機的所有輸入設備由Windows監控。當一個事件發生時，Windows先將輸入的消息放入系統消息隊列，再將輸入的消息復制到相應的應用程序隊列中，應用程序中的消息循環在它的消息隊列中檢索每個消息并發送給相應的窗口函數。一個事件從發生到到達處理它的窗口函數必須經歷上述過程。值注得意的是消息的非搶先性，即不論事件的急與緩，總是按到達的先后排隊（一些系統消息除外），而這可能導致一些外部實時事件得不到及時的處理。★考核知識點：OllyDdg調試器參見講稿章節：.判斷題：OllyDbg只能進行動態調試。（）.判斷題：OllyDbg是調試Ring0級程序的首選工具。（）OllyDbg調試器附（考核知識點解釋）：OllyDbg（簡稱“OD"）是由OlehYuschuk（）編寫的一款具有可視化界面的用戶模式調試器。OllyDbg結合了動態調試和靜態分析，具有GUI界面，非常容易上手，對異常的跟蹤處理相當靈活。這些特性使OllyDbg成為調試Ring3級程序的首選工具。它的反匯編引擎很強大，可識別數千個被C和Windows頻繁使用的函數，并能將其參數注釋出來。它會自動分析函數過程、循環語句、代碼中的字符串等。★考核知識點：OllyDdg的INT3斷點和硬件斷點.判斷題：INT3斷點不改變原程序的機器碼。（）.判斷題：硬件斷點最多可以設置4個。（）參見講稿章節：附（考核知識點解釋）：斷點斷點（Breakpoint）是調試器的一個重要功能，使執行的程序中斷在指定的地方，從而方便對其進行分析。INT3斷點INT3斷點指令，其機器碼是OxCC，也常被稱為“CC指令”。當被調試進程執行INT3指令導致一個異常時，調試器就會捕捉這個異常，從而停在斷點處，然后將斷點處的指令恢復成原來的指令。使用INT3斷點的優點是可以設置無數個斷點，缺點是改變了原程序機器碼，容易被軟件檢測到。硬件斷點硬件斷點和DRx調試寄存器有關。硬件斷點的原理是使用DR0,DR1,DR2,DR3設定地址，并使用DR7設定狀態，因此最多設置4個斷點。硬件執行斷點與CC斷點的作用一樣，但因為硬件執行斷點不會將指令首字節修改為“CC”，所以更難檢測。★考核知識點：OllyDdg內存斷點參見講稿章節：選擇題：OllyDbg可以設置（）個內存斷點A.1個個個個附（考核知識點解釋）：內存斷點OllyDbg可以設置內存訪問斷點或內存寫入斷點，原理是對所設的地址的內存頁設置不可訪問或不可寫屬性，這樣當內存訪問或寫入的時候就會產生異常。OllyDbg截獲異常后，比較異常地址是不是斷點地址，如果是就中斷，讓用戶繼續操作。因為每次出現異常時都要通過比較來確定是否應該中斷，所以內存斷點會降低OllyDbg的執行速度。OllyDbg只能設置1個內存斷點。★考核知識點：WinDbg調試器參見講稿章節：判斷題：WinDbg最強大的地方還是命令行，通常結合GUI和命令行進行操作。（）多選題：WinDbg支持哪些調試（）A.以打開、附加的方式調試應用程序B.可以分析Dump文件C.可以進行遠程調試D.內核調試★考核知識點：文件類型分析參見講稿章節：單選題：IDA的原始嵌入式腳本語言叫作（）。單選題：IDA分析數據時，數據類型可以在（）之間轉換、dw、df、dw、dd、dd、df、dd、df多選題：下列說法正確的是（）A.PEiD這類文件分析工具是利用導入函數搜索來完成識別工作的B.開發語言都有固定的啟動代碼，利用這一點就可以識別程序是由何種語言編譯的C.被加密程序處理過的程序中會留下加密軟件的相關信息，利用這一點就可以識別程序是被何種軟件加密的D.PEiD提供了一個擴展接口文件，用戶可以自定義一些特征碼，這樣就可以識別新的文件類型了附（考核知識點解釋）：文件類型分析逆向分析程序的第一步就是分析程序的類型，了解程序是用什么語言編寫的或用什么編譯器編譯的，以及程序是否被某種加密程序處理過，然后才能有的放矢，進行下一步工作。這個分析過程需要文件分析工具的輔助。常見的文件分析工具有PEiD,ExeinfoPE等。此類工具可以檢測大多數編譯語言、病毒和加密軟件。★考核知識點:反匯編引擎參見講稿章節：單選題：以下對x86架構指令集支持最全的反匯編引擎是（）A.ODDisasmB.BeaEngineC.Udis86D.Capstone多選題：下列是反匯編引擎的有（）判斷題：OllyDbg自帶的反匯編引擎ODDisasm，優點是具有匯編接口（即文本解析，將文本字符串解析并編碼成二進制值），這個特性曾經獨樹一幟，且支持64位指令的匯編和反匯編。（）判斷題:Keystone和Capstone是同一系列的引擎，由同一維護者主導開發。Capstone主要負責跨平臺多指令集的反匯編工作，而Keystone主要負責跨平臺多指令集的匯編工作。與O11yDbg的匯編器一樣，Keystone也只支持文本匯編，不支持像AsmJit那樣的函數式匯編。（）附（考核知識點解釋）：反匯編引擎概述在安全軟件和保護軟件的開發過程中經常會用到匯編引擎和反匯編引擎，例如OllyDbg、IDA、VMProtect、加殼軟件和反編譯器等。反匯編引擎的作用是把機器碼解析成匯編指令。常用的反匯編引擎有ODDisasm、BeaEngine、Udis86、Capstone，匯編引擎有ODAssemhler、Keystone、AsmJit。★考核知識點：IDAPro加載可執行文件參見講稿章節：單選題：口人是按（）裝載PE文件的A.交叉參考B.參考重命名C.格式化指令操作數D.代碼和數據轉換多選題：下列關于IDA有關說法正確的是（）IDA最主要的特性是交互和多處理器。用戶可以通過對IDA的交互來指導IDA更好地進行反匯編。IDA是按區塊裝載PE文件的，例如.text（代碼塊）、.data（數據塊）、.rsrc（資源塊）、.idata（輸入表）和.edata（輸出表）等IDA反匯編所消耗的時間與程序大小及復雜程度有關，通常需要等待一段時間才能完成。IDA可以格式化指令使用的常量，因此應盡可能使用符號名稱而非數字，從而使反匯編代碼更具可讀性。IDA根據被反匯編指令的上下文、所使用的數據作出格式化決定。對其他情況，IDA一般會將相關常量格式化成一個十進制常量。★考核知識點：IDAPro導航參見講稿章節：單選題：IDAPRO簡稱IDA，是一個交互式（）工具A.調試B.匯編C.編譯D.反匯編★考核知識點：IDAPro交叉引用參見講稿章節：單選題：通過（）可以知道指令代碼的相互調用關系A.交叉參考B.參考重命名C.格式化指令操作數D.代碼和數據轉換★考核知識點：IDAPro函數分析參見講稿章節：多選題：IDA反匯編代碼可以輸出（）格式文件★考核知識點：IDAPro識別數組、結構體參見講稿章節：判斷題：IDA有著較強的數組聚合能力。它可以將一串數據聲明變成一個反匯編行，按數組的形式顯示，從而簡化反匯編代碼清單。（）判斷題：IDA在進行反匯編的時候能正確區分數據和代碼。（）★考核知識點：IDAPro增強反匯編參見講稿章節：判斷題：進人指令匯編修改狀態，jne指令共2字節，因此用2個nop指令代替，這種跳過算法分析直接修改關鍵跳轉指令使程序注冊成功的方法，通常被解密者稱為“爆破法”。（）★考核知識點：十六進制工具與靜態分析技術應用實例參見講稿章節：單選題：（）十六進制工具提供了文件比較功能多選題：常用的十六進制工具有（）參見講稿章節：多選題：在以下的傳遞方式中，（）是函數傳遞參數的方式A棧方式B隊列方式C寄存器方式D通過全局變量進行隱含參數傳遞單選題：虛函數的地址是在（）時候確定的A程序編寫時B編譯程序時C調用即將進行時D程序執行后判斷題：局部變量是函數內部定義的一個變量，其作用域和生命周期作用于整個程序。（）判斷題：調用虛函數時，程序先取出虛函數表指針，得到虛函數表的地址，再根據這個地址到虛函數表中取出該函數的地址，最后調用該函數。（）參見講稿章節：單選題：以下先執行語句塊，再進行表達式判斷的循環語句是。（）Ado循環Bwhile循環Cfor循環D都不是判斷題：程序在運行時，先調用main函數執行用戶編寫的代碼，再執行初始化函數代碼。（）參見講稿章節：判斷題：C+十的三大核心機制是封裝、繼承、多態，虛函數就是多態的一種體現。VC++實現虛函數的方式是虛表。（）附（考核知識點解釋）:C+十的三大核心機制是封裝、繼承、多態，虛函數是多態的一種體現，對于面向對象思想設計的軟件，虛函數是軟件逆向分析還原面向對象代碼的重要手段。VC++實現虛函數的方式是虛表，如果一個類中有虛函數，編譯器就會為這個類生成一個虛表，不同的類，虛表是不相同的，相同的類對象，共享一個虛表。★考核知識點：序列號保護方式參見講稿章節：判斷題：軟件驗證序列號，其實就是驗證用戶名和序列號之間的數學映射關系（）★考核知識點：警告窗口參見講稿章節：判斷題：若要完全去除警告窗口，只需找到創建該窗口的代碼并將其跳過。（）判斷題：在另外一些情況下，對話框不是以資源形式存在的，通過常用斷點就可以攔截不下來。（）多選題：去除警告窗口常用的3種方法是（）修改程序的資源靜態分析動態分析放置不管★考核知識點：時間限制參見講稿章節：判斷題：演示版軟件一般都有使用時間的限制，例如試用30天，超過試用期也能運行。（）多選題：用于獲取時間的API函數有（）

GetSystemTimeGetLocalTimeGetFileTimetimeGetTime★考核知識點：菜單功能限制參見講稿章節：選擇題：允許或禁止指定的菜單條目的API函數是()EnabIeMenultem()函數Enablewindow()函數GetTickCount()函數timeGetTime()函數★考核知識點：KeyFile^參見講稿章節：選擇題：確定文件是否存在的API函數是()FindFirstFileA函數CreateFileA函數GetFileAttributesA函數ReadFile函數選擇題：打開文件以獲得其句柄的API函數是()A. FindFirstFileA函數B.CreateFileA函數B.CreateFileA函數C.GetFileAttributesAC.GetFileAttributesA函數D. ReadFile函數選擇題：允許或禁止指定窗口的API函數是()EnabIeMenultem()函數Enablewindow()函數GetTickCount()函數timeGetTime()函數★考核知識點：內核空間、權限空間布局參見講稿章節：單選題:CPU設計者將CPU的運行級別從內向外分為4個，依次為R0,R1,R2,R3,()擁有最高執行權限A.R0B.R1單選題：用戶的應用程序(就是用VisualC++等工具開發的應用程序)也是運行在()級上的A.R0B.R1★考核知識點：Windows與內核啟動過程參見講稿章節：單選題：請對Windows的啟動過程包括的以下幾個階段的順序進行排列()(1)初始化啟動階段(2)啟動自檢階段Boot加載階段(4)檢測和配置硬件階段A3412B2341C2134D3214判斷題：Windows與內核啟動過程中在Boot加載階段，先對ntldr進行設置，然后從啟動分區加載ntldr。（）附（考核知識點解釋）：Windows的啟動過程包括以下幾個階段。（1）啟動自檢階段在打開電源時，計算機開始自檢過程，從BIOS中載入必要的指令，然后進行一系列的自檢操作，進行硬件的初始化檢查（包括內存、硬盤、鍵盤等，同時在屏幕上顯示信息。（2）初始化啟動階段自檢完成后，根據CMOS的設置，BIOS加載啟動盤，將主引導記錄（MBR）中的引導代碼載入內存。接著，啟動過程由MBR來執行。啟動代碼搜索MBR中的分區表，找出活動分區，將第1個扇區中的引導代碼載入內存。引導代碼檢測當前使用的文件系統，查找ntldr文件，找到之后將啟動它。BIOS將控制權轉交給ntldr，由ntldr完成操作系統的啟動工作（注意:Windows7與此不同，使用的是Bootmgr）。（3）Boot加載階段在這個階段，先從啟動分區加載ntldr，然后對ntldr進行如下設置。①設置內存模式。如果是x86處理器，并且是32位操作系統，則設置為“32-bitflatmemorymode"；如果是64位操作系統，并且是64位處理器，則設置為64位內存模式。②啟動一個簡單的文件系統，以定位、ntoskrnl、Hal等啟動文件。③讀取文件。（4）檢測和配置硬件階段在這個階段會檢查和配置一些硬件設備，例如系統固件、總線和適配器、顯示適配器、鍵盤、通信端口、磁盤、軟盤、輸入設備（例如鼠標）、并口、ISA總線上運行的設備等。（5）內核加載階段ntldr將首先加載Windows內核和硬件抽象層（HAL）。HAL會對硬件底層的特性進行隔離，為操作系統提供統一的調用接口。接下來ntldr從注冊表的HKEY_LOCAL_MACHINE\System\CurrentControlSet鍵下讀取這臺機器安裝的驅動程序，然后加載驅動程序。初始化底層設備驅動，在注冊表的HKEY_LACAL_MACHINE\System\CurrentControlSet\Services鍵下查找“Start鍵的值為0和1的設備驅動。（6）Windows的會話管理啟動驅動程序加載完成，內核會啟動會話管理器。這是一個名為的程序，是Windows系統中第1個創建的用戶模式進程，其作用如下。.創建系統環境變量。.加載，它是Windows子系統的內核模式部分。.啟動，它是Windows子系統的用戶模式部分。.啟動。.創建虛擬內存頁面文件。.執行上次系統重啟前未完成的重命名工作（PendingFileRename）。（7）登錄階段Windows子系統啟動的系統服務提供對Windows用戶的登錄和注銷的支持，可以完成如下工作。.啟動服務子系統），也稱服務控制管理器（SCM）。.啟動本地安全授權（LSA）過程）。.顯示登錄界面。登錄組件將用戶的賬號和密碼安全地傳送給LSA進行認證處理。如果用戶提供的信息是正確的，能夠通過認證，就允許用戶對系統進行訪問。（8）Windows7和WindowsXP啟動過程的區別.BIOS通過自檢后，將MBR載入內存并執行，引導代碼找到啟動管理器Bootmgr。.Bootmgr尋找活動分區boot文件夾中的啟動配置數據BCD文件，讀取并組成相應語言的啟動菜單，然后在屏幕上顯示多操作系統選擇畫面。.選擇Windows7系統后，Bootmgr就會讀取系統文件windows\system32\，并將控制權交給。.加載Windows7的內核、硬件、服務等，然后加載桌面等信息，從而啟動整個Windows7系統。★考核知識點：WindowsR3與R0通信參見講稿章節：單選題：Windows內核部分會調用一些內核層的函數。這些函數都以固定的前綴開始，分別屬于內核中不同的管理模塊，其中“Ps”屬于哪個模塊（）A管理層B核心層C進程管理D安全管理判斷題：Windows內核驅動模塊是內核的重要組成部分，雖然有微軟自己開發的內核驅動，但是沒有第三方開發的內核驅動。（）附（考核知識點解釋）：Windows分為應用層與內核層。當應用程序調用一個有關I/O的API（例如WriteFile）時，實際上這個API被封裝在應用層的某個DLL庫（例如和文件中。而DLL動態庫中的函數的更底層的函數包含在文件中。中的NativeAPI是成對出現的，分別以“Nt”和“Zw”作為前綴。即ZwCreateFile函數和NtCreateFile函數，只是名字不一樣。WindowsAPI函數調用中的NativeAPI函數。NativeAPI函數調用中斷int2E或者SysEnter指令，從R3進入R0。內核中的SSDT，有與中NativeAPI——對應的系統處理服務函數，即內核態的Nt*系列函數。★考核知識點：內核函數與內核驅動模塊參見講稿章節：判斷題：SSDT的全稱是系統服務描述符表，SSDT用于處理應用層通過下發的各個API操作請求。（）★考核知識點：內核對象參見講稿章節：判斷題：TEB與PEB不一樣，在系統內核空間中，而不是在應用層中的結構。（）判斷題：PEB存在于用戶地址空間中，記錄了進程的相關信息。每個進程都有自己的PEB信息。（）★考核知識點：SSDT參見講稿章節：判斷題：WinDbg有限制地支持本地內核調試，只能查看一些重要的系統數據結構，不能通過下斷點的方式進行調試。（）判斷題：利用WinDbg調試內核有多種方法。例如，WinDbg通過USB、1394火線、COM及網絡把兩臺機器連接起來。（）★考核知識點：TEB與PEB參見講稿章節：判斷題：x64系統內核驅動需要驗證數字簽名，但是直接運行沒有數字簽名的驅動的操作也能成功。（）判斷題：加載內核驅動的方法很多，可以使用工具來加載。（）★考核知識點：異常處理的基本概念參見講稿章節：選擇題:CPU設計者將CPU的運行級別從內向外分為4個，依次為R0,R1,R2,R3,（）擁有最高執行權限選擇題：用戶的應用程序（就是用VisualC++等工具開發的應用程序）也是運行在（）級上的A.R0選擇題：除了CPU能夠捕獲一個事件并引發一個硬件異常外，在代碼中可以主動引發一個軟件異常，這只需調用（）函數RaiseExeeption（）nt!RtlDispatchExceptionKeBugCheckExKiDispatchException★考核知識點：SEH的概念及基本知識參見講稿章節：判斷題：SEH機制只能在用戶模式下使用。（）判斷題：VEH機制支持用戶模式和內核模式。（）考核知識點：向量化異常處理參見講稿章節：判斷題：在Windows的任何版本中都有向量化異常處理。（）考核知識點：乂64平臺上的異常處理參見講稿章節：判斷題：x64平臺上原生x64程序的異常分發流程與x86平臺上不是完全一致的。（）考核知識點：PE文件格式參見講稿章節：判斷題：PE文件是作為單一內存映射文件被載人內存的。（）

判斷題：每個PE文件都是以一個DOS程序開始的，有了它，一旦程序在DOS下執行，DOS就能識別出這是一個有效的執行體。（）參見講稿章節:單選題：用十六進制工具查看IMAGE_FILE_HEADER結構的情況時，以下字段中哪個代表可執行文件的目標CPU類型。NumberOfSectionsMachineTimeDateStampCharacteristics參見講稿章節：判斷題：區塊的大小是要對齊的。有兩種對齊值，一種用于磁盤文件內，另一種用于內存中。（）判斷題：鏈接器的并不能夠合并區塊。（）參見講稿章節：選擇題：數據目錄表（DataDirectory）的第（）個成員指向綁定輸人。綁定輸入以一個IMAGE_BOUND_IMPORT_DESCRIPTOR結構的數組開始。A10B11 C12D13選擇題：輸出表（ExportTable）的主要內容是一個表格，其中包括函數名稱、輸出序數等。序數是指定DLL中某個函數的（）位數字，在所指向的DLL里是獨無二的。A13B14A13B14C15D16二、主觀部分:★考核知識點：基礎知識參見講稿章節：簡答題：闡述一下字節存儲順序。參見講稿章節：簡答題：簡單地說，虛擬內存的實現方法和過程。★考核知識點：OllyDdg調試器參見講稿章節：填空題：內存數據窗口輸入（），即可查看rdx指向的字符串。填空題：在反匯編窗口選中任意的寄存器、地址、函數，按（），也可以跳轉到相應的目標地址處。填空題：通過（）菜單可以打開其他子窗口，例如反匯編窗口、寄存器窗口、內存窗口等。簡答題：如何快速回到當前程序領空？簡答題：OllyDbg如何修改EIP？填空題：OllyDbg的設置項在（）菜單里，有（）選項和（）選項等。這些選項配置都保存在（）文件里。填空題：UDD文件是OllyDbg的工程文件，用于保存當前調試的一些狀態，例如（）、（）等，以便下次調試時繼續使用。填空題：OllyDbg調用（）函數創建可執行文件的進程。填空題：附加到一個正在運行的進程，此刻OllyDbg會立即暫停這個程序以及它所有的（）；被附加的程序會暫停在的（）處。填空題：在OllyDbg中可以使用（）命令或者（）快捷鍵來設置/消斷點。★考核知識點：OllyDdg內存斷點參見講稿章節：簡答題：內存斷點的原理？★考核知識點:反匯編引擎參見講稿章節：簡答題：比較各種反匯編引擎的優缺點。簡答題：Capstone介紹。★考核知識點:反匯編引擎參見講稿章節：簡答題：交叉引用的概念。附（考核知識點解釋）：交叉引用，在IDAPro中被稱為XREF，可以告訴你函數在何處被調用，或者一個字符串在何處被使用。★考核知識點：IDAPro增強反匯編參見講稿章節：簡答題：FLIRT介紹。★考核知識點：逆向分析技術參見講稿章節：簡答題：什么是逆向分析技術？★考核知識點：序列號保護方式參見講稿章節：簡答題：序列號保護機制