[结束][第二阶段◇第二题]看雪论坛.珠海金山2007逆向分析挑战赛-1)珠海金山2007逆向分析挑战赛-看雪-安全社区|安全招聘|kanxue.com

[结束][第二阶段◇第二题]看雪论坛.珠海金山2007逆向分析挑战赛

2007-8-30 11:59 169429

[结束][第二阶段◇第二题]看雪论坛.珠海金山2007逆向分析挑战赛

笨笨雄

2007-8-30 11:59

169429

=========================第二阶段比赛=========================

第二阶段比赛说明

参加资格：只有通过第一阶段比赛的选手，方可参与此阶段的比赛。具体名单请参考： 看雪论坛.珠海金山2007逆向分析挑战赛---第一阶段通过选手名单（65位）
本阶段采用综合计分的方式选出进入第三阶段的选手。
本阶段共四道题目，每题计分，每题的计分方法，将在题目放出时公布。
四道题不是同时给出，在第一题结束后，再放出第二题，以此类推。但无论答题正确与否，都有资格参与下一题的回答。若题目答错或未答，该题均计0分。

第二阶段第二题

这是一个被简单保护过的进程（下载见附件），不能被进程管理器“结束进程”功能终止其运行（“结束任务”功能可以正常结束），请提供尽可能多的方法结束该进程。

要求

1.通过标准：首先运行被保护的程序后，然后运行选手写的程序。选手写的程序执行后，被保护进程被结束，并且该结束方法不同于之前通过的方法。
3.提交方式：将工程源代码及可执行文件以附件的形式上传到“看雪论坛.珠海金山2007逆向分析挑战赛——答案提交区”。并在帖子中说明该方法的简单流程(无此说明,视为无效上传)。
例如，说明一个实现获取设备对象对应文件路径的方法，可以用下面方式表示：
CreateFile(打开设备对象) -> NtQuerySystemInformation(打开进程句柄表) -> Device Object -> Driver Object -> ModuleList
4.每个选手每种方法一个帖子。每个选手第一种方法作为主题帖子，之后的方法以跟帖的方式上传附件。
5.提交答案后，请在本帖跟帖确认一下。

答题规则

1.不限制大家使用的API。
2.由评委从原理上区分参赛者提交的答案是否算是一种方法。
3.为了以示公平，只要你想到的，都可以写程序提交。
4.在本题结束后，会将所有被认为独立算一种方法的答案整理，并且在论坛公布。

注：参赛者提交的答案，默认是不公开的，需发帖者跟帖说明哪些可以公开。

其他注意事项

1. 比赛答题期间，不得在论坛或群等公开场所讨论
2. 其他未通过第一阶段的朋友也可提交答题，但不计成绩，仅为友情参与。

提交机会：不限

计分方式：选手最低分0分，最高分150分。每多增加一种方法加10分。

答题时间：2007-8-30 12:00 至 2007-9-2 12:00止（共三天）

通过标准：首先运行被保护的程序后，然后运行选手写的程序。选手写的程序执行后，被保护进程被结束，并且该结束方法不同于之前通过的方法。

赛事预告：2007-9-2中午12点正式开始第二阶段第三题比赛。

更多规则请参考：看雪论坛.珠海金山2007逆向分析挑战赛――“金山杯”赛事细则

看雪论坛.珠海金山2007逆向分析比赛委员会
http://bbs.pediy.com
2007.8.30

======================规则更新日志================================
1.更新CrackMe.sys，见附件的CrackMe.sys_fix.rar
因为安装驱动的时候有版本检查，如果当前目录下的驱动版本比drivers目录下的驱动版本旧或一样的话，就不会复制过去了，这个版本解决了这问题。

2.修正更新：

首先向各位参赛者道歉，在发布本题之前委员会没有做好充分的沟通。

关于CrackApp的说明：

该程序的功能只是阻止从任务管理器中使用“结束进程”功能结束该进程。任务管理器中的“结束任务”是可以正常结束该程序的。

规则修正如下：

1.不限制大家使用的API。
2.由评委从原理上区分参赛者提交的答案是否算是一种方法。
3.为了以示公平，只要你想到的，都可以写程序提交。
4.在本题结束后，会将所有被认为独立算一种方法的答案整理，并且在论坛公布。

注：参赛者提交的答案，默认是不公开的，需发帖者跟帖说明哪些可以公开。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

#比赛题目

上传的附件：

pediy2-02.rar （10.56kb，366次下载）
CrackMe.sys_fix.rar （3.89kb，310次下载）

收藏・16

点赞・0

打赏

最新回复 (116) 1 2 3 4 5 ▶
壹只老虎雪币： 112 活跃值： (16) 能力值： ( LV9，RANK：290 ) 在线值：发帖 38 回帖 703 粉丝 3 关注私信	壹只老虎 7 2007-8-30 12:02 2 楼 0 沙发一下! 现在编辑下!
不懂算法雪币： 202 活跃值： (77) 能力值： ( LV6，RANK：90 ) 在线值：发帖 16 回帖 328 粉丝 5 关注私信	不懂算法 2 2007-8-30 12:03 3 楼 0 222222222222
firefly 雪币： 260 活跃值： (102) 能力值： ( LV9，RANK：170 ) 在线值：发帖 15 回帖 317 粉丝 0 关注私信	firefly 4 2007-8-30 12:04 4 楼 0 驱动？！！！！太困难了！
Aker 雪币： 2134 活跃值： (14) 能力值： (RANK：170 ) 在线值：发帖 47 回帖 760 粉丝 2 关注私信	Aker 4 2007-8-30 12:04 5 楼 0 dddddddddddddd
大菜一号雪币： 424 活跃值： (10) 能力值： ( LV9，RANK：850 ) 在线值：发帖 58 回帖 1519 粉丝 0 关注私信	大菜一号 21 2007-8-30 12:07 6 楼 0 fdhgfd
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 93 回帖 2058 粉丝 5 关注私信	shoooo 16 2007-8-30 12:07 7 楼 0 抗议!!!!!! 我2000直接任务管理器就能杀又是一个xp only? 为什么不提早通知我们准备xp?
forgot 雪币： 6073 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3744 粉丝 15 关注私信	forgot 26 2007-8-30 12:08 8 楼 0 我抗议！我已运行后什么也不做关闭后就BSOD 一个题都出不好还怎么做
arries 雪币： 220 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 78 粉丝 0 关注私信	arries 2007-8-30 12:09 9 楼 0 以前逆向的程序算不算？
icefall 雪币： 154 活跃值： (70) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 156 粉丝 0 关注私信	icefall 1 2007-8-30 12:11 10 楼 0 先留个名... 抗议!!!!!! 我2000直接任务管理器就能杀又是一个xp only? 为什么不提早通知我们准备xp? 我的XP进程管理器也可以安全的结束它呀!!!
forgot 雪币： 6073 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3744 粉丝 15 关注私信	forgot 26 2007-8-30 12:12 11 楼 0 抗议，没法做啊
少爷雪币： 51 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 195 粉丝 0 关注私信	少爷 2007-8-30 12:12 12 楼 0 留守第一页!!
null 雪币： 109 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 54 粉丝 1 关注私信	null 1 2007-8-30 12:13 13 楼 0 这题...... 评判条件会累死评委们的......
ccfer 雪币： 8191 活跃值： (4248) 能力值： ( LV15，RANK：2459 ) 在线值：发帖 84 回帖 1475 粉丝 103 关注私信	ccfer 16 2007-8-30 12:14 14 楼 0 2000下驱动有问题
forgot 雪币： 6073 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3744 粉丝 15 关注私信	forgot 26 2007-8-30 12:15 15 楼 0 蓝了几次，OK了，开始提交
Aker 雪币： 2134 活跃值： (14) 能力值： (RANK：170 ) 在线值：发帖 47 回帖 760 粉丝 2 关注私信	Aker 4 2007-8-30 12:18 16 楼 0 2007-8-30 12:00 至 2007-9-1 12:00止（共三天）这个是两天吧;))))
十三少雪币： 226 活跃值： (15) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 384 粉丝 1 关注私信	十三少 2 2007-8-30 12:23 17 楼 0 变相索取code吧。
ccfer 雪币： 8191 活跃值： (4248) 能力值： ( LV15，RANK：2459 ) 在线值：发帖 84 回帖 1475 粉丝 103 关注私信	ccfer 16 2007-8-30 12:24 18 楼 0 我们都不识数了
kanxue 雪币： 32408 活跃值： (18775) 能力值： (RANK：350 ) 在线值：发帖 1826 回帖 15215 粉丝 487 关注私信	kanxue 8 2007-8-30 12:44 19 楼 0 现在CrackMe.sys在Windows2000不能正常工作，我们正在联系作者修正这个bug。暂时请Windows2000系统的朋友休息一下，比赛共有3天时间，不计时。＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝ 17：00更新：作者反馈说可能是大家用的是结束任务，而不是结束进程
一个刀客雪币： 209 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 123 粉丝 0 关注私信	一个刀客 1 2007-8-30 12:46 20 楼 0 先提交了3种
zmworm 雪币： 5143 活跃值： (363) 能力值： (RANK：170 ) 在线值：发帖 45 回帖 294 粉丝 8 关注私信	zmworm 4 2007-8-30 12:56 21 楼 0 是交流，代码应该都会公开的^_^。
十三少雪币： 226 活跃值： (15) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 384 粉丝 1 关注私信	十三少 2 2007-8-30 12:59 22 楼 0 找到PID的方法可以用同一种方法不？既然驱动没起作用，那我用普通方法杀也算吧。
斐波纳契雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 37 粉丝 0 关注私信	斐波纳契 1 2007-8-30 13:01 23 楼 0 满分15种方法, 每种方法平均卖500, 这个算起来也7500了哈! 嘿嘿! 赚!
大师兄雪币： 207 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 90 粉丝 0 关注私信	大师兄 2007-8-30 13:02 24 楼 0 这个应该需要先征得作者同意比较好。。。
kanxue 雪币： 32408 活跃值： (18775) 能力值： (RANK：350 ) 在线值：发帖 1826 回帖 15215 粉丝 487 关注私信	kanxue 8 2007-8-30 13:05 25 楼 0 己纠正，是三天。答题时间：2007-8-30 12:00 至 2007-9-2 12:00止（共三天）
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

笨笨雄

184

发帖

3569

回帖

570

RANK

关注

私信

他的文章

[调查] 我来带节奏，大家都说说自己现在是个什么状况

[原创]cocos2dx lua 反编译(20170417增加补充说明)

[转帖]不解释

关于我们

联系我们

企业服务

看雪公众号

最新回复 (116) 1 2 3 4 5 ▶
壹只老虎雪币： 112 活跃值： (16) 能力值： ( LV9，RANK：290 ) 在线值：发帖 38 回帖 703 粉丝 3 关注私信	壹只老虎 7 2007-8-30 12:02 2 楼 0 沙发一下! 现在编辑下!
不懂算法雪币： 202 活跃值： (77) 能力值： ( LV6，RANK：90 ) 在线值：发帖 16 回帖 328 粉丝 5 关注私信	不懂算法 2 2007-8-30 12:03 3 楼 0 222222222222
firefly 雪币： 260 活跃值： (102) 能力值： ( LV9，RANK：170 ) 在线值：发帖 15 回帖 317 粉丝 0 关注私信	firefly 4 2007-8-30 12:04 4 楼 0 驱动？！！！！太困难了！
Aker 雪币： 2134 活跃值： (14) 能力值： (RANK：170 ) 在线值：发帖 47 回帖 760 粉丝 2 关注私信	Aker 4 2007-8-30 12:04 5 楼 0 dddddddddddddd
大菜一号雪币： 424 活跃值： (10) 能力值： ( LV9，RANK：850 ) 在线值：发帖 58 回帖 1519 粉丝 0 关注私信	大菜一号 21 2007-8-30 12:07 6 楼 0 fdhgfd
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 93 回帖 2058 粉丝 5 关注私信	shoooo 16 2007-8-30 12:07 7 楼 0 抗议!!!!!! 我2000直接任务管理器就能杀又是一个xp only? 为什么不提早通知我们准备xp?
forgot 雪币： 6073 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3744 粉丝 15 关注私信	forgot 26 2007-8-30 12:08 8 楼 0 我抗议！我已运行后什么也不做关闭后就BSOD 一个题都出不好还怎么做
arries 雪币： 220 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 78 粉丝 0 关注私信	arries 2007-8-30 12:09 9 楼 0 以前逆向的程序算不算？
icefall 雪币： 154 活跃值： (70) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 156 粉丝 0 关注私信	icefall 1 2007-8-30 12:11 10 楼 0 先留个名... 抗议!!!!!! 我2000直接任务管理器就能杀又是一个xp only? 为什么不提早通知我们准备xp? 我的XP进程管理器也可以安全的结束它呀!!!
forgot 雪币： 6073 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3744 粉丝 15 关注私信	forgot 26 2007-8-30 12:12 11 楼 0 抗议，没法做啊
少爷雪币： 51 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 195 粉丝 0 关注私信	少爷 2007-8-30 12:12 12 楼 0 留守第一页!!
null 雪币： 109 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 54 粉丝 1 关注私信	null 1 2007-8-30 12:13 13 楼 0 这题...... 评判条件会累死评委们的......
ccfer 雪币： 8191 活跃值： (4248) 能力值： ( LV15，RANK：2459 ) 在线值：发帖 84 回帖 1475 粉丝 103 关注私信	ccfer 16 2007-8-30 12:14 14 楼 0 2000下驱动有问题
forgot 雪币： 6073 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3744 粉丝 15 关注私信	forgot 26 2007-8-30 12:15 15 楼 0 蓝了几次，OK了，开始提交
Aker 雪币： 2134 活跃值： (14) 能力值： (RANK：170 ) 在线值：发帖 47 回帖 760 粉丝 2 关注私信	Aker 4 2007-8-30 12:18 16 楼 0 2007-8-30 12:00 至 2007-9-1 12:00止（共三天）这个是两天吧;))))
十三少雪币： 226 活跃值： (15) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 384 粉丝 1 关注私信	十三少 2 2007-8-30 12:23 17 楼 0 变相索取code吧。
ccfer 雪币： 8191 活跃值： (4248) 能力值： ( LV15，RANK：2459 ) 在线值：发帖 84 回帖 1475 粉丝 103 关注私信	ccfer 16 2007-8-30 12:24 18 楼 0 我们都不识数了
kanxue 雪币： 32408 活跃值： (18775) 能力值： (RANK：350 ) 在线值：发帖 1826 回帖 15215 粉丝 487 关注私信	kanxue 8 2007-8-30 12:44 19 楼 0 现在CrackMe.sys在Windows2000不能正常工作，我们正在联系作者修正这个bug。暂时请Windows2000系统的朋友休息一下，比赛共有3天时间，不计时。＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝ 17：00更新：作者反馈说可能是大家用的是结束任务，而不是结束进程
一个刀客雪币： 209 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 123 粉丝 0 关注私信	一个刀客 1 2007-8-30 12:46 20 楼 0 先提交了3种
zmworm 雪币： 5143 活跃值： (363) 能力值： (RANK：170 ) 在线值：发帖 45 回帖 294 粉丝 8 关注私信	zmworm 4 2007-8-30 12:56 21 楼 0 是交流，代码应该都会公开的^_^。
十三少雪币： 226 活跃值： (15) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 384 粉丝 1 关注私信	十三少 2 2007-8-30 12:59 22 楼 0 找到PID的方法可以用同一种方法不？既然驱动没起作用，那我用普通方法杀也算吧。
斐波纳契雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 37 粉丝 0 关注私信	斐波纳契 1 2007-8-30 13:01 23 楼 0 满分15种方法, 每种方法平均卖500, 这个算起来也7500了哈! 嘿嘿! 赚!
大师兄雪币： 207 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 90 粉丝 0 关注私信	大师兄 2007-8-30 13:02 24 楼 0 这个应该需要先征得作者同意比较好。。。
kanxue 雪币： 32408 活跃值： (18775) 能力值： (RANK：350 ) 在线值：发帖 1826 回帖 15215 粉丝 487 关注私信	kanxue 8 2007-8-30 13:05 25 楼 0 己纠正，是三天。答题时间：2007-8-30 12:00 至 2007-9-2 12:00止（共三天）
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复