2025 逆向安全攻防竞赛真题题库及反调试绕过答案.docxVIP

2025逆向安全攻防竞赛真题题库及反调试绕过答案

考试时长：150分钟总分：100分适用级别：进阶至竞赛级

说明：1.本试卷严格参照国内顶尖逆向安全攻防竞赛真题题型设计，核心覆盖静态反编译、动态调试、算法还原及反调试绕过四大模块；2.所有题目附件均为Linux/Windows双架构可执行文件，推荐工具集：IDAPro7.7+、GDB+pwndbg、x64dbg、x32dbg、radare2、UPX、ExeInfoPE；3.flag格式统一为flag{XXX}，XXX包含核心解题关键信息，需严格遵循格式作答；4.反调试相关题目需同时提交绕过思路及实际可执行的调试命令/脚本片段。

一、基础逆向与反调试识别题（共2题，每题10分，共20分）

题目1：反调试标记识别（难度：??）

题目描述：给定Windows可执行文件anti_debug_mark.exe，程序运行后无明显输出。已知程序嵌入基础反调试标记，需通过静态分析工具识别至少3种反调试特征，并提取隐藏在反调试逻辑后的flag。

附件：anti_debug_mark.exe（PE32+可执行文件，无壳）

答题要求：1.列出使用的分析工具及核心操作步骤；2.详细描述识别出的3种反调试特征及对应代码位置；3.写出提取的flag内容。

答案与解析

1.核心考点：Windows平台常见反调试技术识别（PE结构标记、API特征）、静态分析工具使用能力。

2.解题步骤：

①工具准备：ExeInfoPE（查壳与PE信息）、IDAPro7.7（静态反编译）、x64dbg（辅助验证）。

②初步分析：使用ExeInfoPE打开文件，确认无壳（输出Notpacked），PE头Debug目录存在异常标记（DebugType字段为0x0009，非标准值）。

③IDA分析：定位main函数生成伪代码，搜索反调试相关API调用，发现核心特征：

特征1：PE头Debug目录篡改——程序初始化时检测自身PE头Debug字段，若被调试器修改则退出，对应代码地址0

特征2：IsDebuggerPresent()API调用——在0调用该API，返回非0则执行exit(0)；

特征3：CheckRemoteDebuggerPresent()API调用——在0x004010C0处传入当前进程句柄，检测远程调试器附着。

④提取flag：在3种反调试逻辑均通过（即未检测到调试）的分支中，发现程序会从资源段读取字符串，核心代码：LoadStringA(hInstance,0x1001,flag_buf,0x20);，通过IDA资源窗口定位ID为0x1001的字符串资源。

3.参考答案：flag{Anti_Debug_Mark_PE_Debug_API}

题目2：简单数值验证与反调试绕过（难度：???）

题目描述：给定Linux可执行文件num_check_anti，运行后要求输入整数，输入正确则输出flag，但使用GDB调试时程序会立即退出。请绕过反调试机制，找到正确输入值及对应的flag。

附件：num_check_anti（ELF64-bit可执行文件）

答题要求：1.描述反调试机制的核心原理；2.写出GDB环境下的绕过命令或脚本；3.提交正确输入值及flag内容。

答案与解析

1.核心考点：Linux平台GDB反调试技术（ptrace系统调用）、动态调试绕过能力。

2.解题步骤：

①反调试原理识别：运行filenum_check_anti确认文件属性，直接执行./num_check_anti可正常提示输入，使用gdb./num_check_anti启动后，输入run程序立即退出。通过objdump-dnum_check_anti|grepptrace，发现程序调用ptrace(PTRACE_TRACEME,0,1,0)，检测自身是否被跟踪，返回-1则退出。

②GDB绕过方法：利用GDB的函数挂钩功能，将ptrace函数调用替换为返回0（成功）的模拟函数。

③绕过命令：

gdb./num_check_anti

(gdb)bmain#在main函数处下断点

(gdb)run#运行至main断点

(gdb)set$eax=0#若为64位系统则使用set$rax=0，强制ptrace返回成功

(gdb)finish#执行完ptrace调用

(gdb)continue#继续运行程序

④验证逻辑分析：绕过反调试后，程序提示输入整数，通过IDA分析伪代码，核心验证逻辑为输入值等于0x7E3（十进制20