[结束]第三阶段◇第一题]看雪论坛.珠海金山2007逆向分析挑战赛-1)珠海金山2007逆向分析挑战赛-看雪-安全社区|安全招聘|kanxue.com

[结束]第三阶段◇第一题]看雪论坛.珠海金山2007逆向分析挑战赛

2007-9-12 11:58 146736

[结束]第三阶段◇第一题]看雪论坛.珠海金山2007逆向分析挑战赛

zmworm

2007-9-12 11:58

146736

=========================第三阶段比赛=========================

第三阶段比赛说明

参加资格：第二阶段总成绩前十名的选手，方可参与此阶段的比赛。
具体名单为：
ccfer
shoooo
十三少
不懂算法
一个刀客
smartsl
AloneWolf
TeLeMan
DiKeN
forgot
本阶段只有一道题目，在规定时间内完成题目的，按质量优劣，选出两名优胜者。将获得一等奖。
本阶段采用综合评定的方式。

第三阶段第一题

附件中是一个文件感染型变形病毒感染的三个样本,请分析这此样本,写出分析文档,并写一个查杀此病毒的程序,能够通过此工具让感染该病毒的机器恢复正常.

样本以短消息的方式将下载地址及密码发送给参赛选手。

声明

此样本只做比赛研究使用,请选手勿将此病毒传播出去！
选手研究病毒时,请在断网的虚拟机（如VMVare，Virtual PC）中运行！不要在本机运行！若不断网有可能通过文件共享，感染他人机器！
若选手无法控制该样本,或无分析环境.选手有权不分析该样本.
如果选手因主观或非主观原因,将此病毒散播,造成选手本人或他人危害的,由选手本人承担全部责任.金山公司及看雪论坛不承担任何责任.
比赛结束后,选手有义务在24小时内删除该病毒!

如果选手下载此样本,则选手已经同意本声明的内容

要求

1.要求选手必须提供一套解决方案。
解决方案至少包含
<1>病毒分析文档;
<2>处理该病毒的思路及程序设计思路文档;
<3>该病毒的查杀程序源码及编译后的文件。
解决方案至少可以成功清除附件提供的样本。
提供以上方案,才可以叫做一个相对成功的解决方案。选手提供多个相对成功方案的,只能指定其中的一个为比赛用方案。
2.上传方式：将源码及编译好的程序以附件上传到“看雪论坛.珠海金山2007逆向分析挑战赛——答案提交区”，并以跟帖的方式将解决方案的文档贴出。
3.提交答案后，请在本帖跟帖确认一下。

其他注意事项

1. 比赛答题期间，不得在论坛或群等公开场所讨论
2. 其他未通过第二阶段的朋友不提供样本。

提交机会：选手可以有多次提交机会。多次提交不影响最后的评定。

答题时间：2007-9-12 12:00 至 2007-9-19 12:00 止

评定方法

答题时间结束后,若没有选手提交了相对成功的解决方案,则一等奖空缺;若只有一个选手提交了相对成功的解决方案，则一等奖只给一个。若有两个或两个以上选手提交了相对成功的方案,则由竞赛评测小组,对所有提交方案进行综合评定,选出相对最好的两个方案.此两方案的提交者获得一等奖.

评定方面包括：
清除工具在染毒机器上的
查毒效果
清除效果
误报
性能（扫描速度,稳定性）
等多方面.

为保证比赛的公平性,获得一等奖的解决方案会在论坛中公开。
请勿使用涉及选手公司或其他公司商业机密的代码或信息.若因此导致的代码泄露,由选手本人承担全部责任.金山公司及看雪论坛不承担任何责任!
评定工作预计24号左右完成。

更多规则请参考：看雪论坛.珠海金山2007逆向分析挑战赛――“金山杯”赛事细则

看雪论坛.珠海金山2007逆向分析比赛委员会
http://bbs.pediy.com
2007.9.12

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

#比赛题目

收藏・11

点赞・0

打赏

最新回复 (83) 1 2 3 4 ▶
十三少雪币： 226 活跃值： (15) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 384 粉丝 1 关注私信	十三少 2 2007-9-12 12:10 2 楼 0 123456 沙发抢到了。
LaraCraft 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 24 粉丝 0 关注私信	LaraCraft 2007-9-12 12:10 3 楼 0 111111111111111111111111111
forgot 雪币： 6071 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3744 粉丝 15 关注私信	forgot 26 2007-9-12 12:11 4 楼 0 1.发送如何同步 2.怎么不提前告知我准备VMare 3.可否用影子系统之类的代替
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 93 回帖 2058 粉丝 5 关注私信	shoooo 16 2007-9-12 12:12 5 楼 0 啊, 没希望了, 么有环境只上传idb有分么
十三少雪币： 226 活跃值： (15) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 384 粉丝 1 关注私信	十三少 2 2007-9-12 12:14 6 楼 0 郁闷了，昨天刚把虚拟的XP给删了。。现在没VM环境了。
forgot 雪币： 6071 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3744 粉丝 15 关注私信	forgot 26 2007-9-12 12:15 7 楼 0 我有权不分析，你也有权不给我分啊
kanxue 雪币： 29414 活跃值： (18625) 能力值： (RANK：350 ) 在线值：发帖 1826 回帖 15212 粉丝 485 关注私信	kanxue 8 2007-9-12 12:16 8 楼 0 VMware映像文件马上短消息发给大家一份。安装VMware后，直接打开映像文件（XP Sp2系统）
zmworm 雪币： 5141 活跃值： (363) 能力值： (RANK：170 ) 在线值：发帖 45 回帖 294 粉丝 8 关注私信	zmworm 4 2007-9-12 12:16 9 楼 0 有七天的时间，加上装虚拟机的时间足够了:）
一个刀客雪币： 209 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 123 粉丝 0 关注私信	一个刀客 1 2007-9-12 12:20 10 楼 0 某人的强项啊。。。
zmworm 雪币： 5141 活跃值： (363) 能力值： (RANK：170 ) 在线值：发帖 45 回帖 294 粉丝 8 关注私信	zmworm 4 2007-9-12 12:21 11 楼 0 此题谁做的好，谁优胜;不是谁做的快谁优胜。所以不用着急提交:）
null 雪币： 109 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 54 粉丝 1 关注私信	null 1 2007-9-12 12:22 12 楼 0 不能友情参与啊？
zmworm 雪币： 5141 活跃值： (363) 能力值： (RANK：170 ) 在线值：发帖 45 回帖 294 粉丝 8 关注私信	zmworm 4 2007-9-12 12:23 13 楼 0 分析可能比大家省时了，但处理应该是一样的，因为不能把公司的代码搬过来呀，呵呵。
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 93 回帖 2058 粉丝 5 关注私信	shoooo 16 2007-9-12 12:23 14 楼 0 DiKeN又无敌了
zmworm 雪币： 5141 活跃值： (363) 能力值： (RANK：170 ) 在线值：发帖 45 回帖 294 粉丝 8 关注私信	zmworm 4 2007-9-12 12:23 15 楼 0 涉及病毒，所以不太好办，落个传播病毒的罪名可不好
十三少雪币： 226 活跃值： (15) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 384 粉丝 1 关注私信	十三少 2 2007-9-12 12:34 16 楼 0 太毒了，已经落下这个罪名了。你赔我机器。。。我中毒了。。。
forgot 雪币： 6071 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3744 粉丝 15 关注私信	forgot 26 2007-9-12 12:36 17 楼 0 1. 有什么危害? 2. 可否直接提交给NOD :)
不懂算法雪币： 202 活跃值： (77) 能力值： ( LV6，RANK：90 ) 在线值：发帖 16 回帖 328 粉丝 5 关注私信	不懂算法 2 2007-9-12 12:38 18 楼 0 太毒了呀，连人都被感染了要分析此病毒，请把电脑放在隔离区，遥控分析
nbw 雪币： 337 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2839 粉丝 20 关注私信	nbw 24 2007-9-12 12:45 19 楼 0 支持！啥时候把病毒给大家看看阿。
十三少雪币： 226 活跃值： (15) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 384 粉丝 1 关注私信	十三少 2 2007-9-12 12:54 20 楼 0 请勿使用涉及选手公司或其他公司商业机密的代码或信息 Diken有难了.
海风月影雪币： 7300 活跃值： (3758) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2313 粉丝 116 关注私信	海风月影 22 2007-9-12 13:27 21 楼 0 第二阶段给个友情参加的资格行不看了半天的题目也就这条可以逆向看看
青衣骑士雪币： 392 活跃值： (54) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 27 粉丝 0 关注私信	青衣骑士 2007-9-12 14:39 22 楼 0 明年还有类似比赛不？今年错过了
十三少雪币： 226 活跃值： (15) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 384 粉丝 1 关注私信	十三少 2 2007-9-12 14:41 23 楼 0 总算把系统装好了。。。
zjjmjtoot 雪币： 299 活跃值： (25) 能力值： ( LV10，RANK：170 ) 在线值：发帖 13 回帖 159 粉丝 0 关注私信	zjjmjtoot 4 2007-9-12 15:06 24 楼 0 果然是病毒公司的题目！
一个刀客雪币： 209 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 123 粉丝 0 关注私信	一个刀客 1 2007-9-12 15:13 25 楼 0 此题看似简单，要做好太难。。。我投降
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

zmworm

发帖

294

回帖

170

RANK

关注

私信

他的文章

[分享]咕咚智能健康称的开源硬件下载地址

[推荐]打造无人机编队

[调查]那些年，一起玩过的智能外设

[原创]看雪主办：走进企业看安全--第4站：安全管家（12月21日）--免费报名

看雪主办：走进企业看安全--第3站：360公司（11月30日）

关于我们

联系我们

企业服务

看雪公众号

最新回复 (83) 1 2 3 4 ▶
十三少雪币： 226 活跃值： (15) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 384 粉丝 1 关注私信	十三少 2 2007-9-12 12:10 2 楼 0 123456 沙发抢到了。
LaraCraft 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 24 粉丝 0 关注私信	LaraCraft 2007-9-12 12:10 3 楼 0 111111111111111111111111111
forgot 雪币： 6071 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3744 粉丝 15 关注私信	forgot 26 2007-9-12 12:11 4 楼 0 1.发送如何同步 2.怎么不提前告知我准备VMare 3.可否用影子系统之类的代替
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 93 回帖 2058 粉丝 5 关注私信	shoooo 16 2007-9-12 12:12 5 楼 0 啊, 没希望了, 么有环境只上传idb有分么
十三少雪币： 226 活跃值： (15) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 384 粉丝 1 关注私信	十三少 2 2007-9-12 12:14 6 楼 0 郁闷了，昨天刚把虚拟的XP给删了。。现在没VM环境了。
forgot 雪币： 6071 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3744 粉丝 15 关注私信	forgot 26 2007-9-12 12:15 7 楼 0 我有权不分析，你也有权不给我分啊
kanxue 雪币： 29414 活跃值： (18625) 能力值： (RANK：350 ) 在线值：发帖 1826 回帖 15212 粉丝 485 关注私信	kanxue 8 2007-9-12 12:16 8 楼 0 VMware映像文件马上短消息发给大家一份。安装VMware后，直接打开映像文件（XP Sp2系统）
zmworm 雪币： 5141 活跃值： (363) 能力值： (RANK：170 ) 在线值：发帖 45 回帖 294 粉丝 8 关注私信	zmworm 4 2007-9-12 12:16 9 楼 0 有七天的时间，加上装虚拟机的时间足够了:）
一个刀客雪币： 209 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 123 粉丝 0 关注私信	一个刀客 1 2007-9-12 12:20 10 楼 0 某人的强项啊。。。
zmworm 雪币： 5141 活跃值： (363) 能力值： (RANK：170 ) 在线值：发帖 45 回帖 294 粉丝 8 关注私信	zmworm 4 2007-9-12 12:21 11 楼 0 此题谁做的好，谁优胜;不是谁做的快谁优胜。所以不用着急提交:）
null 雪币： 109 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 54 粉丝 1 关注私信	null 1 2007-9-12 12:22 12 楼 0 不能友情参与啊？
zmworm 雪币： 5141 活跃值： (363) 能力值： (RANK：170 ) 在线值：发帖 45 回帖 294 粉丝 8 关注私信	zmworm 4 2007-9-12 12:23 13 楼 0 分析可能比大家省时了，但处理应该是一样的，因为不能把公司的代码搬过来呀，呵呵。
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 93 回帖 2058 粉丝 5 关注私信	shoooo 16 2007-9-12 12:23 14 楼 0 DiKeN又无敌了
zmworm 雪币： 5141 活跃值： (363) 能力值： (RANK：170 ) 在线值：发帖 45 回帖 294 粉丝 8 关注私信	zmworm 4 2007-9-12 12:23 15 楼 0 涉及病毒，所以不太好办，落个传播病毒的罪名可不好
十三少雪币： 226 活跃值： (15) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 384 粉丝 1 关注私信	十三少 2 2007-9-12 12:34 16 楼 0 太毒了，已经落下这个罪名了。你赔我机器。。。我中毒了。。。
forgot 雪币： 6071 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3744 粉丝 15 关注私信	forgot 26 2007-9-12 12:36 17 楼 0 1. 有什么危害? 2. 可否直接提交给NOD :)
不懂算法雪币： 202 活跃值： (77) 能力值： ( LV6，RANK：90 ) 在线值：发帖 16 回帖 328 粉丝 5 关注私信	不懂算法 2 2007-9-12 12:38 18 楼 0 太毒了呀，连人都被感染了要分析此病毒，请把电脑放在隔离区，遥控分析
nbw 雪币： 337 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2839 粉丝 20 关注私信	nbw 24 2007-9-12 12:45 19 楼 0 支持！啥时候把病毒给大家看看阿。
十三少雪币： 226 活跃值： (15) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 384 粉丝 1 关注私信	十三少 2 2007-9-12 12:54 20 楼 0 请勿使用涉及选手公司或其他公司商业机密的代码或信息 Diken有难了.
海风月影雪币： 7300 活跃值： (3758) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2313 粉丝 116 关注私信	海风月影 22 2007-9-12 13:27 21 楼 0 第二阶段给个友情参加的资格行不看了半天的题目也就这条可以逆向看看
青衣骑士雪币： 392 活跃值： (54) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 27 粉丝 0 关注私信	青衣骑士 2007-9-12 14:39 22 楼 0 明年还有类似比赛不？今年错过了
十三少雪币： 226 活跃值： (15) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 384 粉丝 1 关注私信	十三少 2 2007-9-12 14:41 23 楼 0 总算把系统装好了。。。
zjjmjtoot 雪币： 299 活跃值： (25) 能力值： ( LV10，RANK：170 ) 在线值：发帖 13 回帖 159 粉丝 0 关注私信	zjjmjtoot 4 2007-9-12 15:06 24 楼 0 果然是病毒公司的题目！
一个刀客雪币： 209 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 123 粉丝 0 关注私信	一个刀客 1 2007-9-12 15:13 25 楼 0 此题看似简单，要做好太难。。。我投降
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复