[原创]『深圳腾讯2010安全技术竞赛』 [第二阶段第一题] VM指令转换-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]『深圳腾讯2010安全技术竞赛』 [第二阶段第一题] VM指令转换

发表于: 2010-11-1 12:10 13448

[原创]『深圳腾讯2010安全技术竞赛』 [第二阶段第一题] VM指令转换

nkspark

2010-11-1 12:10

13448

- 纯手工打造：

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

上传的附件：

result.GIF （4.12kb，717次下载）

收藏・1

免费・7

支持

最新回复 (40) 1 2 ▶
exile 雪币： 2105 活跃值： (424) 能力值： ( LV4，RANK：50 ) 在线值：发帖 21 回帖 1266 粉丝 2 关注私信	exile 1 2 楼你又NB了，和谐前留名 2010-11-1 12:11 0
QEver 雪币： 233 活跃值： (285) 能力值： ( LV12，RANK：270 ) 在线值：发帖 32 回帖 581 粉丝 4 关注私信	QEver 5 3 楼囧……比赛延时了吧…… 2010-11-1 12:11 0
loudy 雪币： 2548 活跃值： (965) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 42 回帖 226 粉丝 1 关注私信	loudy 10 4 楼 nb~~~~~~~~ 2010-11-1 12:12 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 5 楼我编辑不了, 管理员删贴吧. 2010-11-1 12:14 0
loudy 雪币： 2548 活跃值： (965) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 42 回帖 226 粉丝 1 关注私信	loudy 10 6 楼 ~~~~~~~~~ 2010-11-1 12:16 0
风间仁雪币： 29253 活跃值： (7784) 能力值： ( LV15，RANK：3306 ) 在线值：发帖 111 回帖 591 粉丝 83 关注私信	风间仁 19 7 楼 .............. 2010-11-1 12:16 0
lelfei 雪币： 6051 活跃值： (1441) 能力值： ( LV15，RANK：1473 ) 在线值：发帖 67 回帖 537 粉丝 16 关注私信	lelfei 23 8 楼哈哈，这贴杯具了 2010-11-1 12:17 0
aait 雪币： 468 活跃值： (52) 能力值： ( LV2，RANK：10 ) 在线值：发帖 83 回帖 677 粉丝 2 关注私信	aait 9 楼虚拟机，貌似有点面熟 2010-11-1 12:19 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 10 楼楼主不用怕貌似只是第二题出题时间的延时，没说第一题答题时间延时 2010-11-1 12:19 0
exile 雪币： 2105 活跃值： (424) 能力值： ( LV4，RANK：50 ) 在线值：发帖 21 回帖 1266 粉丝 2 关注私信	exile 1 11 楼百度快照里面还有~~~~~~~~ 2010-11-1 12:21 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 12 楼浪费我一篇精华... 2010-11-1 12:21 0
风间仁雪币： 29253 活跃值： (7784) 能力值： ( LV15，RANK：3306 ) 在线值：发帖 111 回帖 591 粉丝 83 关注私信	风间仁 19 13 楼修正了........... 2010-11-1 12:23 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 14 楼管理员动作真快，修改、恢复挥手之间。多谢了! 2010-11-1 12:29 0
DiKeN 雪币： 1126 活跃值： (156) 能力值： ( LV9，RANK：210 ) 在线值：发帖 28 回帖 189 粉丝 5 关注私信	DiKeN 5 15 楼貌似题意理解有偏差 2010-11-1 12:31 0
GuluYZ 雪币： 296 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 91 粉丝 0 关注私信	GuluYZ 16 楼剑走偏峰！！！ 2010-11-1 12:35 0
moonife 雪币： 370 活跃值： (52) 能力值： ( LV13，RANK：350 ) 在线值：发帖 133 回帖 852 粉丝 5 关注私信	moonife 8 17 楼应该是这样估计 DWORD GetVerifyValue(LPCTSTR Str,DWORD Len) { DWORD VerifyValue=0xFFFFFFFF,Temp; DWORD i=0; for (i=0;i<Len;i++) { Temp=VerifyValue&0xFF; Temp^=(PBYTE)(Str+i); VerifyValue>>=8; Temp=4; Temp=*(PDWORD)(Key+Temp); VerifyValue^=Temp;//Bug 原本该异或运算的写成了或运算了 // VerifyValue\|=Temp; } return ~VerifyValue; } 2010-11-1 12:36 0
codegame 雪币： 59 活跃值： (55) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 56 粉丝 1 关注私信	codegame 18 楼楼主第一个问题解决貌似不是本质吧。应该是 0040DC38 0D 00 00 00 02 00 00 00 00 00 00 00 00 00 00 00 还原：MOV VM_Stack[9], ZFSF(VM_Stack[8]) OP1=2 意思是检测ZF位，应该检测SF 这条指令原来意图应该是检测SF位而不是ZF位，所以这里传递02参数不对改成04就检测SF位。 2010-11-1 12:42 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 19 楼题目的言外之意是如果正确解决了问题，再给你若干个输入文件，都要有正确的输出结果题目提供的3个输入文件只是3种不同的样本，答题者完美的解决方案要适用于所有的样本 2010-11-1 13:00 0
海风月影雪币： 7318 活跃值： (3793) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 20 楼不急，还有2天时间，大家讨论一下，给个最完美的方案一起提交，都是满分 2010-11-1 13:07 0
71190838 雪币： 206 活跃值： (186) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 41 粉丝 0 关注私信	71190838 1 21 楼楼主对问题二解决的也不是很完美啊，应该要改为检测byte长度，如果按楼主的解决办法修改EXE文件。那把.dat文件中记录的字串长度由0x10016改为0xFFFF，楼主的改法仍然会引起Crash。 2010-11-1 13:17 0
codegame 雪币： 59 活跃值： (55) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 56 粉丝 1 关注私信	codegame 22 楼你如何知道用户要输入多大范围。 2010-11-1 13:18 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 23 楼局部变量里有个文件大小的值[ebp-20h]，可以用来参考计算 2010-11-1 13:22 0
71190838 雪币： 206 活跃值： (186) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 41 粉丝 0 关注私信	71190838 1 24 楼限定字串的计算长度即可。不管dat中记录的字符串有多长，最多只计算前面的0xFF字节的CRC32。既然题目要求的是修正EXE读取DAT时判断字串长度有错误的语句，而不是修正读crash.dat文件错误的问题，按楼主所说的去修改当然会显得不完美了。题目要求： 1 描述正确文件也会检验失败的问题的原因并进行修正 2 描述异常文件会导致Crash的原因并进行修正评分标准 4 修正题目要求中的第二点得20分。 2010-11-1 13:26 0
杜djz 雪币： 154 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 32 粉丝 0 关注私信	杜djz 25 楼题目要求一描述正确文件也会检验失败的问题的原因并进行修正？原因：校验函数（地址401000）成功与否标志变量未初始化正确bool result=？变量result未初始化解决方法变量定义时给result=1或者true就可以了题目二描述异常文件会导致Crash的原因并进行修正？原因：两次关闭同一打开文件句柄解决方法 NOP掉其中一处CALL即可 2010-11-1 13:27 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

nkspark

发帖

610

回帖

140

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (40) 1 2 ▶
exile 雪币： 2105 活跃值： (424) 能力值： ( LV4，RANK：50 ) 在线值：发帖 21 回帖 1266 粉丝 2 关注私信	exile 1 2 楼你又NB了，和谐前留名 2010-11-1 12:11 0
QEver 雪币： 233 活跃值： (285) 能力值： ( LV12，RANK：270 ) 在线值：发帖 32 回帖 581 粉丝 4 关注私信	QEver 5 3 楼囧……比赛延时了吧…… 2010-11-1 12:11 0
loudy 雪币： 2548 活跃值： (965) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 42 回帖 226 粉丝 1 关注私信	loudy 10 4 楼 nb~~~~~~~~ 2010-11-1 12:12 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 5 楼我编辑不了, 管理员删贴吧. 2010-11-1 12:14 0
loudy 雪币： 2548 活跃值： (965) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 42 回帖 226 粉丝 1 关注私信	loudy 10 6 楼 ~~~~~~~~~ 2010-11-1 12:16 0
风间仁雪币： 29253 活跃值： (7784) 能力值： ( LV15，RANK：3306 ) 在线值：发帖 111 回帖 591 粉丝 83 关注私信	风间仁 19 7 楼 .............. 2010-11-1 12:16 0
lelfei 雪币： 6051 活跃值： (1441) 能力值： ( LV15，RANK：1473 ) 在线值：发帖 67 回帖 537 粉丝 16 关注私信	lelfei 23 8 楼哈哈，这贴杯具了 2010-11-1 12:17 0
aait 雪币： 468 活跃值： (52) 能力值： ( LV2，RANK：10 ) 在线值：发帖 83 回帖 677 粉丝 2 关注私信	aait 9 楼虚拟机，貌似有点面熟 2010-11-1 12:19 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 10 楼楼主不用怕貌似只是第二题出题时间的延时，没说第一题答题时间延时 2010-11-1 12:19 0
exile 雪币： 2105 活跃值： (424) 能力值： ( LV4，RANK：50 ) 在线值：发帖 21 回帖 1266 粉丝 2 关注私信	exile 1 11 楼百度快照里面还有~~~~~~~~ 2010-11-1 12:21 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 12 楼浪费我一篇精华... 2010-11-1 12:21 0
风间仁雪币： 29253 活跃值： (7784) 能力值： ( LV15，RANK：3306 ) 在线值：发帖 111 回帖 591 粉丝 83 关注私信	风间仁 19 13 楼修正了........... 2010-11-1 12:23 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 14 楼管理员动作真快，修改、恢复挥手之间。多谢了! 2010-11-1 12:29 0
DiKeN 雪币： 1126 活跃值： (156) 能力值： ( LV9，RANK：210 ) 在线值：发帖 28 回帖 189 粉丝 5 关注私信	DiKeN 5 15 楼貌似题意理解有偏差 2010-11-1 12:31 0
GuluYZ 雪币： 296 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 91 粉丝 0 关注私信	GuluYZ 16 楼剑走偏峰！！！ 2010-11-1 12:35 0
moonife 雪币： 370 活跃值： (52) 能力值： ( LV13，RANK：350 ) 在线值：发帖 133 回帖 852 粉丝 5 关注私信	moonife 8 17 楼应该是这样估计 DWORD GetVerifyValue(LPCTSTR Str,DWORD Len) { DWORD VerifyValue=0xFFFFFFFF,Temp; DWORD i=0; for (i=0;i<Len;i++) { Temp=VerifyValue&0xFF; Temp^=(PBYTE)(Str+i); VerifyValue>>=8; Temp=4; Temp=*(PDWORD)(Key+Temp); VerifyValue^=Temp;//Bug 原本该异或运算的写成了或运算了 // VerifyValue\|=Temp; } return ~VerifyValue; } 2010-11-1 12:36 0
codegame 雪币： 59 活跃值： (55) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 56 粉丝 1 关注私信	codegame 18 楼楼主第一个问题解决貌似不是本质吧。应该是 0040DC38 0D 00 00 00 02 00 00 00 00 00 00 00 00 00 00 00 还原：MOV VM_Stack[9], ZFSF(VM_Stack[8]) OP1=2 意思是检测ZF位，应该检测SF 这条指令原来意图应该是检测SF位而不是ZF位，所以这里传递02参数不对改成04就检测SF位。 2010-11-1 12:42 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 19 楼题目的言外之意是如果正确解决了问题，再给你若干个输入文件，都要有正确的输出结果题目提供的3个输入文件只是3种不同的样本，答题者完美的解决方案要适用于所有的样本 2010-11-1 13:00 0
海风月影雪币： 7318 活跃值： (3793) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 20 楼不急，还有2天时间，大家讨论一下，给个最完美的方案一起提交，都是满分 2010-11-1 13:07 0
71190838 雪币： 206 活跃值： (186) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 41 粉丝 0 关注私信	71190838 1 21 楼楼主对问题二解决的也不是很完美啊，应该要改为检测byte长度，如果按楼主的解决办法修改EXE文件。那把.dat文件中记录的字串长度由0x10016改为0xFFFF，楼主的改法仍然会引起Crash。 2010-11-1 13:17 0
codegame 雪币： 59 活跃值： (55) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 56 粉丝 1 关注私信	codegame 22 楼你如何知道用户要输入多大范围。 2010-11-1 13:18 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 23 楼局部变量里有个文件大小的值[ebp-20h]，可以用来参考计算 2010-11-1 13:22 0
71190838 雪币： 206 活跃值： (186) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 41 粉丝 0 关注私信	71190838 1 24 楼限定字串的计算长度即可。不管dat中记录的字符串有多长，最多只计算前面的0xFF字节的CRC32。既然题目要求的是修正EXE读取DAT时判断字串长度有错误的语句，而不是修正读crash.dat文件错误的问题，按楼主所说的去修改当然会显得不完美了。题目要求： 1 描述正确文件也会检验失败的问题的原因并进行修正 2 描述异常文件会导致Crash的原因并进行修正评分标准 4 修正题目要求中的第二点得20分。 2010-11-1 13:26 0
杜djz 雪币： 154 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 32 粉丝 0 关注私信	杜djz 25 楼题目要求一描述正确文件也会检验失败的问题的原因并进行修正？原因：校验函数（地址401000）成功与否标志变量未初始化正确bool result=？变量result未初始化解决方法变量定义时给result=1或者true就可以了题目二描述异常文件会导致Crash的原因并进行修正？原因：两次关闭同一打开文件句柄解决方法 NOP掉其中一处CALL即可 2010-11-1 13:27 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[原创]『深圳腾讯2010安全技术竞赛』 [第二阶段 第一题] VM指令转换

[原创]『深圳腾讯2010安全技术竞赛』 [第二阶段第一题] VM指令转换