2025 攻防竞赛逆向静态 Patch 题库及标准答案.docxVIP

2025攻防竞赛逆向静态Patch题库及标准答案

考试时长：120分钟总分：100分适用级别：攻防竞赛逆向方向初、中阶核心聚焦：静态Patch原理、二进制文件结构、逆向工具实操（IDA/010Editor/x64dbg）、Patch场景化应用

说明：1.本题库以“静态Patch”为核心，覆盖WindowsPE、LinuxELF两种主流二进制文件格式的Patch场景；2.推荐工具集：IDAPro8.5、010Editor14.0、x64dbg2.3.5、GDB13.1、Binwalk2.3.3；3.实操题需标注关键偏移地址、机器码修改前后对比及验证方法，确保复现性；4.解析需包含“考点定位-逆向思路-Patch逻辑-风险提示”完整链路，贴合竞赛解题思维。

第一部分基础理论（共10题，每题2分，共20分）

一、单项选择题

以下关于“静态Patch”的定义，最准确的是（）

A.调试时通过修改寄存器值绕过程序校验

B.直接修改二进制文件的指令或数据，使程序逻辑改变

C.通过Hook技术动态篡改API调用结果

D.对程序进行脱壳处理后重新编译

WindowsPE文件中，代码段的默认属性是（），这是静态Patch时需重点关注的内存权限基础

A.可读可写可执行（RWX）

B.可读可执行（RX）

C.可读可写（RW）

D.仅可读（R）

使用IDAPro对二进制文件进行静态Patch后，需执行以下哪项操作才能生成修改后的可执行文件（）

A.直接保存IDA数据库文件（.idb）

B.通过“Edit→Patchprogram→Applypatchestoinputfile”导出

C.执行“Analysis→Rebuild”重新分析

D.复制IDA反编译后的伪代码重新编译

以下哪种指令修改场景，属于“最安全的静态Patch”（）

A.将“jnz0x401234”（机器码7508）改为“jmp0x401234”（机器码EB08）

B.将“push0x1”改为“push0x0”，机器码长度从5字节变为3字节

C.在代码段插入全新的10字节指令

D.删除代码段中5字节的无用指令

LinuxELF文件中，用于标识程序入口地址的字段位于（），若需通过静态Patch修改程序入口，需定位该结构

A.节头表（SectionHeaderTable）

B.程序头表（ProgramHeaderTable）

C.ELF头部（ELFHeader）

D.符号表（SymbolTable）

二、多项选择题

静态Patch时，若遇到“程序启动后自行校验文件完整性”的保护，以下应对思路正确的有（）

A.先定位完整性校验的核心函数，Patch该函数使其返回“校验通过”

B.完成Patch后，重新计算文件的校验值（如CRC32、MD5）并写入程序预设位置

C.直接删除程序中所有与校验相关的代码段

D.使用调试器动态获取程序运行时的内存数据，跳过文件校验环节

以下工具中，可用于对二进制文件进行静态Patch的有（）

A.IDAPro

B.010Editor

C.x64dbg

D.Binwalk

对“if(password==correct_pass){执行核心功能;}else{退出程序;}”的C语言代码编译后的二进制文件进行静态Patch，以下可行的思路有（）

A.定位“password==correct_pass”的比较指令，将比较结果强制改为“相等”

B.将“else{退出程序;}”对应的跳转指令修改为“不跳转”，直接执行核心功能

C.直接删除“退出程序”对应的代码段

D.将“correct_pass”的常量值修改为用户输入的任意值

静态Patch二进制文件时，可能导致程序崩溃的常见原因有（）

A.修改指令后未保持指令长度一致，破坏后续指令地址

B.篡改了程序的全局变量初始化数据

C.Patch后的代码段内存权限不支持执行

D.未同步更新程序的重定位表信息

针对“加壳后的二进制文件”进行静态Patch，以下说法正确的有（）

A.必须先对程序进行脱壳处理，才能进行有效的静态Patch

B.若壳未对程序主体进行加密，仅做压缩，可直接Patch壳的校验逻辑

C.脱壳后的程序需修复导入表，否则静态Patch后可能无法运行

D.可通过动态调试获取脱壳后的内存数据，dump为文件后再进行静