二阶三题,测试样本-1)珠海金山2007逆向分析挑战赛-看雪-安全社区|安全招聘|kanxue.com

二阶三题,测试样本

2007-9-10 11:56 33715

二阶三题,测试样本

zmworm

2007-9-10 11:56

33715

分数还没统计完,原准备分数全算出后再给公布测试样本.现在大家想自己算分数,那就先公布出来样本吧.样本共8个,选项如下：
1.exe L0 MT all res
2.exe L0 MF Virus Detec
3.exe L2 MT
4.exe L2 MF all res,Virus Detec
5.dll L0 MT Strip Exe Reloc and Dll,Compress Exports
6.dll L0 MF Compress Exports
7.dll L2 MT Virus Detec,Compress Exports
8.dll L2 MF Virus Detec,Strip Exe Reloc and Dll,Compress Exports

MT 指 Mangle import 不选择
MF 指 Mangle import 不选择

1.exe 中的test按钮会对 5,6,7,8 进行检查.
样本尽可能做到选项的均匀分布.

大家可以自己先测试一下:)

八个样本中一个样本不能脱的请注意：
之所以称为脱壳机，就是针对某一版本壳有一定的通用性。
测试提供的样本虽有其随机性，但也不太可能覆盖各方面情况。打个比方，对仓库的货物进行检验，也是按一定比例抽检部分样品（具体参考“抽样检验的国家标准”），不可能将所有货物都抽取到，验证时最终只对样品负责。这个和本题是一个道理的。

针对提交答案得0分的朋友，还是付出了很多的，评委们商量了一下，如果你能自己提供一个样品测试通过，本题最终给10分作为对你劳动付出的一种认可。

[培训]二进制漏洞攻防（第3期）；满10人开班；模糊测试与工具使用二次开发；网络协议漏洞挖掘；Linux内核漏洞挖掘与利用；AOSP漏洞挖掘与利用；代码审计。

#比赛题目

上传的附件：

Test.rar （514.13kb，48次下载）

收藏・5

点赞・0

打赏

最新回复 (35) 1 2 ▶
大菜一号雪币： 424 活跃值： (10) 能力值： ( LV9，RANK：850 ) 在线值：发帖 58 回帖 1519 粉丝 0 关注私信	大菜一号 21 2007-9-10 11:58 2 楼 0 沙发````坐着看舒服
backer 雪币： 1829 活跃值： (1308) 能力值： (RANK：50 ) 在线值：发帖 27 回帖 324 粉丝 105 关注私信	backer 1 2007-9-10 11:59 3 楼 0 看看。。。。。。。。。。。。
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 93 回帖 2058 粉丝 5 关注私信	shoooo 16 2007-9-10 12:00 4 楼 0 惨了, 只对了4题 ipod没了
十三少雪币： 226 活跃值： (15) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 384 粉丝 1 关注私信	十三少 2 2007-9-10 12:18 5 楼 0 能进前10就还有希望。。。
TeLeMan 雪币： 103 活跃值： (1708) 能力值： ( LV4，RANK：50 ) 在线值：发帖 14 回帖 131 粉丝 7 关注私信	TeLeMan 1 2007-9-10 13:31 6 楼 0 真是遗憾啊,两个小bug导致75%错误.
不懂算法雪币： 202 活跃值： (77) 能力值： ( LV6，RANK：90 ) 在线值：发帖 16 回帖 328 粉丝 5 关注私信	不懂算法 2 2007-9-10 13:52 7 楼 0 怎么没有vc的exe加lv2壳的，样本分布不均匀，抗议
likunkun 雪币： 334 活跃值： (17) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 284 粉丝 1 关注私信	likunkun 1 2007-9-10 13:58 8 楼 0 这次比赛输了，这次而已。
zmworm 雪币： 5143 活跃值： (363) 能力值： (RANK：170 ) 在线值：发帖 45 回帖 294 粉丝 8 关注私信	zmworm 4 2007-9-10 14:06 9 楼 0 3.exe 4.exe 就是 delphi的exe加lv2壳的.加壳应该与编译器无关.考虑压缩问题,所以选择了Delphi
不懂算法雪币： 202 活跃值： (77) 能力值： ( LV6，RANK：90 ) 在线值：发帖 16 回帖 328 粉丝 5 关注私信	不懂算法 2 2007-9-10 14:08 10 楼 0 你加的是lv0 上传的附件： 1.JPG （20.37kb，114次下载）
ccfer 雪币： 8188 活跃值： (4243) 能力值： ( LV15，RANK：2459 ) 在线值：发帖 84 回帖 1475 粉丝 103 关注私信	ccfer 16 2007-9-10 14:10 11 楼 0 是的，但你前面说明写成了lv0
一个刀客雪币： 209 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 123 粉丝 0 关注私信	一个刀客 1 2007-9-10 14:14 12 楼 0 我是0分，进前5没希望了。。。
zmworm 雪币： 5143 活跃值： (363) 能力值： (RANK：170 ) 在线值：发帖 45 回帖 294 粉丝 8 关注私信	zmworm 4 2007-9-10 14:17 13 楼 0 样本没有针对任何人做处理,样本集合只是考虑了用最少的样本覆盖尽可能多的选项. 实事上,等成绩出来,你会看到这道题大家做的都是非常不好.
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 93 回帖 2058 粉丝 5 关注私信	shoooo 16 2007-9-10 14:18 14 楼 0 delphi的两个exe 都抽了重定位, 害人啊
zmworm 雪币： 5143 活跃值： (363) 能力值： (RANK：170 ) 在线值：发帖 45 回帖 294 粉丝 8 关注私信	zmworm 4 2007-9-10 14:19 15 楼 0 [QUOTE=不懂算法;357986]你加的是lv0 不好意思, 2.exe的确是lv0的:)
不懂算法雪币： 202 活跃值： (77) 能力值： ( LV6，RANK：90 ) 在线值：发帖 16 回帖 328 粉丝 5 关注私信	不懂算法 2 2007-9-10 14:24 16 楼 0 也就是说没有一个是vc的exe加lv2的壳，这种情况都没有，覆盖面也太低了吧
zmworm 雪币： 5143 活跃值： (363) 能力值： (RANK：170 ) 在线值：发帖 45 回帖 294 粉丝 8 关注私信	zmworm 4 2007-9-10 14:24 17 楼 0 选项就是这样,很多东西我也很难预测到…….壳没脱出来,肯定是有一方面没有考虑全. 目前做的最好的选手,可以成功脱出6个^_^
不懂算法雪币： 202 活跃值： (77) 能力值： ( LV6，RANK：90 ) 在线值：发帖 16 回帖 328 粉丝 5 关注私信	不懂算法 2 2007-9-10 14:27 18 楼 0 这样造成的结果是经过努力的选手由于样本选取的原因跟没有做这道题的选手分数一样，都是0分这样公平么？
zmworm 雪币： 5143 活跃值： (363) 能力值： (RANK：170 ) 在线值：发帖 45 回帖 294 粉丝 8 关注私信	zmworm 4 2007-9-10 14:28 19 楼 0 嗯是这样的,PeTite 有6个主要选项,编译器VC,Delphi.类型有dll,exe 全部覆盖的话要2^8 = 256种样本. 全部都脱一遍,再运行一遍,我会……
不懂算法雪币： 202 活跃值： (77) 能力值： ( LV6，RANK：90 ) 在线值：发帖 16 回帖 328 粉丝 5 关注私信	不懂算法 2 2007-9-10 14:34 20 楼 0 我觉得至少应该有 vc,delphi dll,exe lv0,lv2 2^3=8 这8种再根据加壳选项，每种选取两个加壳选项这样是16种，应该不算过分的
humourkyo 雪币： 926 活跃值： (362) 能力值： (RANK：500 ) 在线值：发帖 42 回帖 250 粉丝 16 关注私信	humourkyo 12 2007-9-10 14:39 21 楼 0 是不公平啊这题我不会,0分认了可不懂算法他这个至少可以脱vc asm的exe 和dll也是0分不太合理啊
kanxue 雪币： 32410 活跃值： (18730) 能力值： (RANK：350 ) 在线值：发帖 1827 回帖 15215 粉丝 487 关注私信	kanxue 8 2007-9-10 15:20 22 楼 0 之所以称为脱壳机，就是针对某一版本壳有一定的通用性。测试提供的样本虽有其随机性，但也不太可能覆盖各方面情况，只要能代表大部分情况就合格。打个比方，对仓库的货物进行检验，也是按一定比例抽检部分样品（具体参考“抽样检验的国家标准”），不可能将所有货物都抽取到，验证时最终只对样品负责。这个和本题是一个道理的。针对提交答案得0分的朋友，还是付出了很多的，评委们商量了一下，如果你能自己提供一个样品测试通过，本题最终给10分作为对你劳动付出的一种认可。
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 93 回帖 2058 粉丝 5 关注私信	shoooo 16 2007-9-10 15:23 23 楼 0 检验货物是随机取样吧既然加壳选项提供了lv0-lv9 为啥样本只有lv0和lv2 同意+10分的政策, 但会不会发生这种情况, 成功1个样本的人反而比成功0个样本+10分的分数低
zmworm 雪币： 5143 活跃值： (363) 能力值： (RANK：170 ) 在线值：发帖 45 回帖 294 粉丝 8 关注私信	zmworm 4 2007-9-10 15:24 24 楼 0 ………… lv1-lv9是一样的,你又不是不知道
一个刀客雪币： 209 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 123 粉丝 0 关注私信	一个刀客 1 2007-9-10 15:28 25 楼 0 我相信提交了的各位肯定都自测过，肯定有能脱下的样本，这样大家都能加10分了，有什么意义呢？
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

zmworm

发帖

294

回帖

170

RANK

关注

私信

他的文章

[分享]咕咚智能健康称的开源硬件下载地址

[推荐]打造无人机编队

[调查]那些年，一起玩过的智能外设

[原创]看雪主办：走进企业看安全--第4站：安全管家（12月21日）--免费报名

看雪主办：走进企业看安全--第3站：360公司（11月30日）

关于我们

联系我们

企业服务

看雪公众号

最新回复 (35) 1 2 ▶
大菜一号雪币： 424 活跃值： (10) 能力值： ( LV9，RANK：850 ) 在线值：发帖 58 回帖 1519 粉丝 0 关注私信	大菜一号 21 2007-9-10 11:58 2 楼 0 沙发````坐着看舒服
backer 雪币： 1829 活跃值： (1308) 能力值： (RANK：50 ) 在线值：发帖 27 回帖 324 粉丝 105 关注私信	backer 1 2007-9-10 11:59 3 楼 0 看看。。。。。。。。。。。。
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 93 回帖 2058 粉丝 5 关注私信	shoooo 16 2007-9-10 12:00 4 楼 0 惨了, 只对了4题 ipod没了
十三少雪币： 226 活跃值： (15) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 384 粉丝 1 关注私信	十三少 2 2007-9-10 12:18 5 楼 0 能进前10就还有希望。。。
TeLeMan 雪币： 103 活跃值： (1708) 能力值： ( LV4，RANK：50 ) 在线值：发帖 14 回帖 131 粉丝 7 关注私信	TeLeMan 1 2007-9-10 13:31 6 楼 0 真是遗憾啊,两个小bug导致75%错误.
不懂算法雪币： 202 活跃值： (77) 能力值： ( LV6，RANK：90 ) 在线值：发帖 16 回帖 328 粉丝 5 关注私信	不懂算法 2 2007-9-10 13:52 7 楼 0 怎么没有vc的exe加lv2壳的，样本分布不均匀，抗议
likunkun 雪币： 334 活跃值： (17) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 284 粉丝 1 关注私信	likunkun 1 2007-9-10 13:58 8 楼 0 这次比赛输了，这次而已。
zmworm 雪币： 5143 活跃值： (363) 能力值： (RANK：170 ) 在线值：发帖 45 回帖 294 粉丝 8 关注私信	zmworm 4 2007-9-10 14:06 9 楼 0 3.exe 4.exe 就是 delphi的exe加lv2壳的.加壳应该与编译器无关.考虑压缩问题,所以选择了Delphi
不懂算法雪币： 202 活跃值： (77) 能力值： ( LV6，RANK：90 ) 在线值：发帖 16 回帖 328 粉丝 5 关注私信	不懂算法 2 2007-9-10 14:08 10 楼 0 你加的是lv0 上传的附件： 1.JPG （20.37kb，114次下载）
ccfer 雪币： 8188 活跃值： (4243) 能力值： ( LV15，RANK：2459 ) 在线值：发帖 84 回帖 1475 粉丝 103 关注私信	ccfer 16 2007-9-10 14:10 11 楼 0 是的，但你前面说明写成了lv0
一个刀客雪币： 209 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 123 粉丝 0 关注私信	一个刀客 1 2007-9-10 14:14 12 楼 0 我是0分，进前5没希望了。。。
zmworm 雪币： 5143 活跃值： (363) 能力值： (RANK：170 ) 在线值：发帖 45 回帖 294 粉丝 8 关注私信	zmworm 4 2007-9-10 14:17 13 楼 0 样本没有针对任何人做处理,样本集合只是考虑了用最少的样本覆盖尽可能多的选项. 实事上,等成绩出来,你会看到这道题大家做的都是非常不好.
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 93 回帖 2058 粉丝 5 关注私信	shoooo 16 2007-9-10 14:18 14 楼 0 delphi的两个exe 都抽了重定位, 害人啊
zmworm 雪币： 5143 活跃值： (363) 能力值： (RANK：170 ) 在线值：发帖 45 回帖 294 粉丝 8 关注私信	zmworm 4 2007-9-10 14:19 15 楼 0 [QUOTE=不懂算法;357986]你加的是lv0 不好意思, 2.exe的确是lv0的:)
不懂算法雪币： 202 活跃值： (77) 能力值： ( LV6，RANK：90 ) 在线值：发帖 16 回帖 328 粉丝 5 关注私信	不懂算法 2 2007-9-10 14:24 16 楼 0 也就是说没有一个是vc的exe加lv2的壳，这种情况都没有，覆盖面也太低了吧
zmworm 雪币： 5143 活跃值： (363) 能力值： (RANK：170 ) 在线值：发帖 45 回帖 294 粉丝 8 关注私信	zmworm 4 2007-9-10 14:24 17 楼 0 选项就是这样,很多东西我也很难预测到…….壳没脱出来,肯定是有一方面没有考虑全. 目前做的最好的选手,可以成功脱出6个^_^
不懂算法雪币： 202 活跃值： (77) 能力值： ( LV6，RANK：90 ) 在线值：发帖 16 回帖 328 粉丝 5 关注私信	不懂算法 2 2007-9-10 14:27 18 楼 0 这样造成的结果是经过努力的选手由于样本选取的原因跟没有做这道题的选手分数一样，都是0分这样公平么？
zmworm 雪币： 5143 活跃值： (363) 能力值： (RANK：170 ) 在线值：发帖 45 回帖 294 粉丝 8 关注私信	zmworm 4 2007-9-10 14:28 19 楼 0 嗯是这样的,PeTite 有6个主要选项,编译器VC,Delphi.类型有dll,exe 全部覆盖的话要2^8 = 256种样本. 全部都脱一遍,再运行一遍,我会……
不懂算法雪币： 202 活跃值： (77) 能力值： ( LV6，RANK：90 ) 在线值：发帖 16 回帖 328 粉丝 5 关注私信	不懂算法 2 2007-9-10 14:34 20 楼 0 我觉得至少应该有 vc,delphi dll,exe lv0,lv2 2^3=8 这8种再根据加壳选项，每种选取两个加壳选项这样是16种，应该不算过分的
humourkyo 雪币： 926 活跃值： (362) 能力值： (RANK：500 ) 在线值：发帖 42 回帖 250 粉丝 16 关注私信	humourkyo 12 2007-9-10 14:39 21 楼 0 是不公平啊这题我不会,0分认了可不懂算法他这个至少可以脱vc asm的exe 和dll也是0分不太合理啊
kanxue 雪币： 32410 活跃值： (18730) 能力值： (RANK：350 ) 在线值：发帖 1827 回帖 15215 粉丝 487 关注私信	kanxue 8 2007-9-10 15:20 22 楼 0 之所以称为脱壳机，就是针对某一版本壳有一定的通用性。测试提供的样本虽有其随机性，但也不太可能覆盖各方面情况，只要能代表大部分情况就合格。打个比方，对仓库的货物进行检验，也是按一定比例抽检部分样品（具体参考“抽样检验的国家标准”），不可能将所有货物都抽取到，验证时最终只对样品负责。这个和本题是一个道理的。针对提交答案得0分的朋友，还是付出了很多的，评委们商量了一下，如果你能自己提供一个样品测试通过，本题最终给10分作为对你劳动付出的一种认可。
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 93 回帖 2058 粉丝 5 关注私信	shoooo 16 2007-9-10 15:23 23 楼 0 检验货物是随机取样吧既然加壳选项提供了lv0-lv9 为啥样本只有lv0和lv2 同意+10分的政策, 但会不会发生这种情况, 成功1个样本的人反而比成功0个样本+10分的分数低
zmworm 雪币： 5143 活跃值： (363) 能力值： (RANK：170 ) 在线值：发帖 45 回帖 294 粉丝 8 关注私信	zmworm 4 2007-9-10 15:24 24 楼 0 ………… lv1-lv9是一样的,你又不是不知道
一个刀客雪币： 209 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 123 粉丝 0 关注私信	一个刀客 1 2007-9-10 15:28 25 楼 0 我相信提交了的各位肯定都自测过，肯定有能脱下的样本，这样大家都能加10分了，有什么意义呢？
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复