2026年pe文件测试题及答案

2026年pe文件测试题及答案

一、单项选择题（10题，每题2分，共20分）1.PE文件DOS头的e_magic字段值通常为（）A.0x4D5AB.0x5045C.0x0000D.0xFFFF2.NT头的Signature字段标识为（）A."MZ"B."PE"C."RSRC"D."CODE"3.节表中表示节的虚拟大小（未对齐）的字段是（）A.VirtualSizeB.SizeOfRawDataC.VirtualAddressD.PointerToRawData4.导入表中，OriginalFirstThunk指向的是（）A.导入函数名的RVAB.导入函数的IATC.导入DLL的名称D.导入函数的序号5.导出表中，AddressOfFunctions字段存储的是（）A.函数名的字符串指针B.函数的虚拟地址（RVA）C.函数的序号D.导出DLL的基址6.以下关于基址重定位的描述，错误的是（）A.用于修正PE加载到非默认基址时的地址偏移B.只存在于DLL文件中C.以页面为单位组织D.包含重定位类型和偏移7.PE32+（x64）文件的机器类型字段（Machine）值为（）A.0x14CB.0x8664C.0x0100D.0x00018.资源节（.rsrc）中，类型ID为RT_STRING代表的资源是（）A.图标B.菜单C.字符串D.对话框9.PE文件磁盘存储时，节的对齐单位通常为（）A.1字节B.512字节C.4096字节D.16字节10.导入表中，Hint字段的作用是（）A.存储导入函数的序号B.存储函数名的哈希值C.加快函数名查找的索引D.存储导入DLL的版本号二、填空题（10题，每题2分，共20分）1.DOS头中，指向NT头的文件偏移字段是________。2.NT头的FileHeader中，存储PE文件版本的字段是________。3.节表的Characteristics字段中，0x20代表节的属性是________。4.导入表的IAT（ImportAddressTable）在内存中存储的是________。5.导出表的NumberOfNames字段表示________。6.基址重定位表的VirtualAddress字段是相对于________的偏移。7.PE32+文件的ImageBase默认值通常为________。8.资源节的DirectoryEntry中，若Name字段为0，则表示该资源是________。9.PE文件的校验和（CheckSum）存储在NT头的________字段中。10.重定位类型为IMAGE_REL_BASED_HIGHLOW时，修正的是________位地址。三、判断题（10题，每题2分，共20分）1.所有PE文件都必须包含.text、.data、.rdata三个节。（）2.导入表的TimeDateStamp为0时，表示该导入表未被绑定。（）3.PE32+文件的节表数量最多为96个。（）4.导出表的AddressOfNamesOrder字段是可选的，用于优化函数查找。（）5.基址重定位表只在PE文件启用ASLR时才会存在。（）6.DOS头的e_cp字段存储的是PE文件的代码页信息。（）7.节表的PointerToRawData字段为0时，表示该节无磁盘数据（如代码节被压缩）。（）8.资源节的DirectoryEntry中，Name字段可以是字符串或整数ID。（）9.PE文件的文件对齐值（FileAlignment）必须大于等于内存对齐值（SectionAlignment）。（）10.导入表的BoundImport字段存储的是绑定后的DLL基址。（）四、简答题（4题，每题5分，共20分）1.简述PE文件的基本结构组成及各部分核心作用。2.比较PE文件在磁盘存储与内存映射后的差异（至少3点）。3.简述导入表（IAT）的工作原理及作用。4.简述基址重定位表的作用及常见重定位类型。五、讨论题（4题，每题5分，共20分）1.分析ASLR（地址空间布局随机化）技术如何利用PE文件的基址重定位表实现？对PE逆向分析有何影响？2.对比PE32与PE32+（x64）文件的主要差异（至少5点）。3.讨论PE文件中资源节（.rsrc）的结构层次及常见资源类型的访问方式。4.分析导入表绑定（BindImport）技术的原理、优势及可能存在的问题。答案及解析一、单项选择题答案1.A2.B3.A4.A5.B6.B7.B8.C9.B10.C一、单项选择题解析1.DOS头e_magic固定为0x4D5A（"MZ"），标识PE文件的DOS部分。2.NT头Signature为"PE"（0x5045），是PE文件的核心标识。3.VirtualSize表示节在内存中的原始大小（未按内存对齐），SizeOfRawData是磁盘存储大小。4.OriginalFirstThunk指向导入函数名的RVA数组，IAT指向函数地址数组。5.AddressOfFunctions存储导出函数的虚拟地址（RVA），需结合基址计算实际地址。6.错误：EXE文件也可能包含基址重定位（如启用ASLR的EXE）。7.PE32+机器类型为0x8664（AMD64），PE32为0x14C（x86）。8.RT_STRING是字符串资源的类型ID，RT_ICON为图标，RT_MENU为菜单。9.磁盘节对齐通常为512字节（扇区大小），内存对齐为4096字节（页面大小）。10.Hint是函数名在导出表中的索引，加快查找（若Hint匹配则直接返回）。二、填空题答案1.e_lfanew2.MajorLinkerVersion/MinorLinkerVersion3.可执行（代码节）4.导入函数的实际地址5.导出函数名的数量6.模块基址7.0x1400000008.整数ID资源9.OptionalHeader.CheckSum10.32三、判断题答案1.×2.√3.√4.√5.×6.√7.√8.√9.×10.×三、判断题解析1.错误：部分PE文件（如空壳）可能仅包含少数节，甚至无代码节。2.正确：绑定导入表的TimeDateStamp为DLL的时间戳，未绑定则为0。3.正确：PE头规定节表最大数量为96（IMAGE_NUMBEROF_DIRECTORY_ENTRIES=16，节表偏移限制）。4.正确：AddressOfNamesOrder是可选数组，按调用顺序排列函数名索引。5.错误：即使未启用ASLR，DLL也可能包含重定位（应对基址冲突）。6.正确：e_cp存储代码页信息，用于字符集转换。7.正确：PointerToRawData为0表示节无磁盘数据（如压缩、加密节）。8.正确：Name字段若为字符串则是资源名，若为整数则是资源ID。9.错误：文件对齐值可小于内存对齐值（如文件对齐512，内存对齐4096）。10.错误：BoundImport存储绑定的DLL信息（如名称、基址），但IAT才存储实际地址。四、简答题答案1.PE文件结构分为三部分：①DOS头（含e_magic、e_lfanew，兼容DOS）；②NT头（含FileHeader[机器类型、节数量]、OptionalHeader[基址、对齐值、数据目录]）；③节表及节数据（如.text[代码]、.data[已初始化数据]、.rdata[只读数据]、.rsrc[资源]）。核心作用：DOS头兼容旧系统，NT头描述PE核心属性，节表组织代码/数据，节数据存储实际执行内容。2.差异：①对齐方式：磁盘节对齐通常512字节，内存对齐4096字节；②基址：磁盘无基址，内存加载到默认/随机基址；③导入表：磁盘IAT存储函数名RVA，内存IAT存储实际函数地址；④节数据：磁盘节可能有填充，内存节按页面对齐；⑤重定位：磁盘存储重定位表，内存加载时应用重定位修正地址。3.原理：PE加载时，加载器遍历导入表，根据OriginalFirstThunk获取函数名，从目标DLL导出表查找函数地址，写入IAT。作用：①实现动态链接，减少可执行文件大小；②支持函数共享（DLL导出函数）；③便于版本更新（DLL更新无需重编译EXE）。4.作用：PE加载到非默认基址时，修正代码/数据中的绝对地址偏移。常见类型：①IMAGE_REL_BASED_HIGHLOW（32位地址，修正高16+低16位）；②IMAGE_REL_BASED_DIR64（64位地址，修正完整64位）；③IMAGE_REL_BASED_HIGH（仅修正高16位）；④IMAGE_REL_BASED_LOW（仅修正低16位）。五、讨论题答案1.ASLR实现：加载器随机选择PE基址，遍历基址重定位表，对每个重定位项计算偏移（新基址-默认基址），修正目标地址。影响：①逆向分析需先计算重定位偏移，增加难度；②无法直接通过静态分析获取函数/变量的实际地址；③需使用调试器（如x64dbg）跟踪加载过程获取基址，再计算目标地址。2.差异：①位数：PE32是32位，PE32+是64位；②机器类型：0x14Cvs0x8664；③基址：默认0x400000vs0x140000000；④地址字段：32位RVAvs64位RVA；⑤节对齐：32位内存对齐4096，64位可更大；⑥数据目录：部分目录（如重定位）的结构不同；⑦函数调用约定：PE32常用cdecl/stdcall，PE32+常用fastcall。3.结构层次：①根目录（DirectoryEntry）：包含资源类型（如RT_STRING）；②类型目录：包含资源ID/名称；③语言目录：包含语言ID（如0x0409为英语）；④数据目录：指向实际资源数据。访问方式：①静态分析：解析.rsrc节结构