2025 攻防竞赛逆向核心验证函数定位题库及答案.docxVIP

2025攻防竞赛逆向核心验证函数定位题库及答案

考试时长：180分钟总分：100分适用级别：攻防竞赛逆向方向入门至进阶

说明：1.本试卷聚焦攻防竞赛逆向模块核心能力——验证函数定位，覆盖字符串检索、交叉引用分析、特征指令匹配、异常处理跟踪、壳保护下定位等典型场景；2.题目附件包含Windows/Linux双架构可执行文件，推荐工具集：IDAPro8.0+Hex-Rays、x64dbg+x32dbg、GDB+pwndbg、Ghidra、Radare2、PEiD；3.所有题目需提交“定位思路-核心操作步骤-验证函数地址-关键特征描述”完整过程，定位过程需结合工具操作细节；4.部分题目需结合动态调试辅助验证，需标注关键断点及调试现象；5.答案中验证函数地址以IDA默认加载基址（0x400000/0x7FF60000等）为准，若工具加载基址不同需说明偏移计算方式。

第一部分基础定位技巧（共3题，每题10分，共30分）

题目1：字符串检索定位验证函数（难度：??）

题目描述：给定Windows32位可执行文件str_check.exe（无壳），程序运行后提示“请输入验证码：”，输入错误时输出“验证失败！”，输入正确则输出“验证通过，flag为CTF{XXX}”。请使用字符串检索方法定位核心验证函数，并简述定位过程。

附件：str_check.exe（PE32可执行文件）

答题要求：1.描述使用IDA进行字符串检索的具体操作；2.提交定位到的验证函数地址；3.说明该函数的核心特征（如参数个数、关键调用关系）；4.结合动态调试验证定位结果的正确性。

答案与详解

1.核心考点：基于交互字符串的验证函数定位，字符串检索与交叉引用分析的基础应用。

2.定位过程（IDA操作）：

-步骤1：启动IDAPro，加载str_check.exe，等待自动分析完成（进度条显示100%）。

-步骤2：使用字符串检索功能，快捷键为Shift+F12，打开“Stringswindow”窗口。

-步骤3：在字符串窗口中筛选关键交互字符串，依次找到“请输入验证码：”“验证失败！”“验证通过，flag为CTF{XXX}”，这些字符串均与验证逻辑直接相关。

-步骤4：右键点击“验证通过，flag为CTF{XXX}”字符串，选择“Jumptoxref”（或快捷键X），查看引用该字符串的代码位置，跳转到汇编代码处（地址0。

-步骤5：向上回溯汇编代码，找到函数起始位置（通过pushebp;movebp,esp标准函数入口指令识别），确定验证函数起始地址为0函数名可手动命名为verify_code。

3.验证函数核心特征：

-函数参数：1个（输入的验证码字符串地址，通过moveax,[ebp+arg_0]指令可见）。

-关键调用关系：函数内调用strlen（地址0判断输入长度，调用strcmp（地址0进行字符串匹配。

-返回值特征：验证通过返回1（moval,0x1），验证失败返回0（xoral,al）。

4.动态调试验证（x32dbg）：

-在验证函数入口0断点（快捷键F2），运行程序（F9），输入任意字符串后程序断下。

-单步执行（F7）至字符串匹配指令处，观察寄存器变化，确认该函数确实负责验证逻辑的执行与结果判断，定位结果正确。

5.最终结论：验证函数地址为0定位核心依据为关键交互字符串的交叉引用。

题目2：交叉引用定位验证函数（难度：???）

题目描述：给定Linux64位可执行文件xref_calc.elf（无壳），程序中存在一个预设的密钥数组key[8]={0x12,0x34,0x56,0x78,0x9A,0xBC,0xDE,0xF0}，核心验证函数会读取该数组与输入进行运算。请通过数组的交叉引用定位核心验证函数，并还原函数调用关系。

附件：xref_calc.elf（ELF64-bit可执行文件）

答题要求：1.描述在IDA中查找密钥数组及查看交叉引用的操作；2.提交验证函数地址及调用该函数的上层函数地址；3.画出函数调用关系图（简化版）；4.说明验证函数的核心运算特征。

答案与详解

1.核心考点：基于数据交叉引用的验证函数定位，数据与代码关联分析能力。

2.定位过程（IDA操作）：

-步骤1：加载xref_calc.elf，切换至“Functionswindow”查看函数列表，初步排除库函数（如printf、scanf），聚焦用户自定义函数。

-步骤2：查找密钥数组，方法一：使用“Sea