2025 攻防竞赛逆向指令修改题库及解析.docxVIP

2025攻防竞赛逆向指令修改题库及解析

考试时长：120分钟总分：100分适用级别：攻防竞赛逆向方向初、中阶核心聚焦：x86/x64指令集特性、逆向指令识别、静态指令Patch、动态指令修改、反调试指令规避、指令混淆还原

说明：1.本题库以“指令修改”为核心，覆盖WindowsPE、LinuxELF两大主流平台逆向场景；2.推荐工具：IDAPro8.5、x64dbg2.3.5、GDB13.1、010Editor14.0；3.实操题需明确指令修改前后的机器码、汇编指令及操作步骤，确保可复现；4.解析需结合“指令原理-逆向逻辑-竞赛技巧”，强化指令修改的实战应用能力。

第一部分基础理论与指令识别（共10题，每题2分，共20分）

一、单项选择题

以下关于x86指令“JZ”（JumpifZero）的描述，错误的是（）

A.该指令属于条件跳转指令，依赖标志寄存器ZF位的状态

B.若ZF=1，则执行跳转；若ZF=0，则顺序执行下一条指令

C.指令机器码为“74”，跳转偏移量为8位有符号数

D.可通过将机器码改为“75”（JNZ）实现跳转条件反转

在分析WindowsPE程序时，发现某段代码存在“INT3”指令，其主要作用是（）

A.触发系统中断，执行特定系统功能

B.作为软件断点，使程序执行暂停供调试

C.终止程序运行，释放内存资源

D.实现指令加密，保护核心逻辑

以下x64指令中，无法通过直接修改机器码实现“返回true”（RAX=1）的是（）

A.movrax,1;ret

B.xorrax,rax;incrax;ret

C.push1;poprax;ret

D.addrax,1;ret

在静态PatchLinuxELF程序时，修改“CMPEAX,0”指令为“CMPEAX,1”，需重点关注的是（）

A.指令的字节序是否为小端存储

B.指令长度是否不变，避免破坏后续指令地址

C.ELF文件的权限是否为可写

D.是否需要重新计算程序的CRC校验值

以下关于反调试指令“CPUID”的说法，正确的是（）

A.CPUID指令仅能获取CPU信息，无法用于反调试

B.调试器运行时，CPUID指令的返回结果与正常运行时一致

C.可通过修改CPUID指令为NOP，规避基于该指令的反调试检测

D.CPUID指令的机器码为“0FA2”，无法被静态识别

二、多项选择题

以下属于x86架构中“NOP”指令核心作用的有（）

A.填充指令长度，使代码对齐，提升执行效率

B.替换无用指令或反调试指令，实现程序Patch

C.暂停程序执行，等待用户输入

D.清除寄存器中的数据，实现初始化

在动态调试过程中修改指令时，以下操作规范的有（）

A.在x64dbg中，通过“汇编”窗口修改指令后，点击“汇编”按钮确认生效

B.修改指令前，先保存当前指令的原始机器码，便于后续恢复

C.若修改的指令处于循环中，需确保修改后的指令在循环每次执行时都生效

D.动态修改的指令仅在当前进程内存中有效，程序重启后需重新修改

以下x86指令对中，指令长度相同且可实现逻辑反转的有（）

A.JZ（74）与JNZ（75）

B.JE（74）与JNE（75）

C.JB（72）与JNB（73）

D.CALL（E8）与RET（C3）

针对包含“指令自修改（SMC）”的程序，逆向时需注意的要点有（）

A.SMC程序的核心指令在静态文件中为加密状态，需先让程序解密后再分析

B.可通过在解密函数执行后设置断点，获取解密后的原始指令

C.若直接静态修改SMC程序的指令，可能因指令未解密导致修改无效

D.可通过修改SMC程序的解密函数，使解密后的指令为自定义逻辑

在逆向指令修改中，以下属于“破坏性修改”的场景有（）

A.将程序的注册校验函数入口指令改为“ret”，直接跳过校验

B.删除程序中的日志输出指令，减少调试干扰

C.修改指令时未保持原指令长度，导致后续指令地址偏移错误

D.替换程序的核心加密指令，使加密结果固定为特定值

第二部分实操指令修改与综合逆向（共4题，第11题15分，第12题20分，第13题20分，第14题25分，共80分）

题目11：基础指令Patch——跳转逻辑修改（难度：???）

题目描述：给定Windowsx86无壳PE程序jump_patch.exe，该程序运行后要求输入密码，核心校验逻辑如下（IDA反汇编代码，文件偏移