首页
论坛
专栏
课程

[比赛题目] [结束]第三阶段◇第一题]看雪论坛.珠海金山2007逆向分析挑战赛

2007-9-12 11:58 144279

[比赛题目] [结束]第三阶段◇第一题]看雪论坛.珠海金山2007逆向分析挑战赛

2007-9-12 11:58
144279


=========================第三阶段比赛=========================

第三阶段比赛说明

参加资格:第二阶段总成绩前十名的选手,方可参与此阶段的比赛。
具体名单为:
ccfer
shoooo
十三少
不懂算法
一个刀客
smartsl
AloneWolf
TeLeMan
DiKeN
forgot
本阶段只有一道题目,在规定时间内完成题目的,按质量优劣,选出两名优胜者。将获得一等奖。
本阶段采用综合评定的方式。


第三阶段第一题
附件中是一个文件感染型变形病毒感染的三个样本,请分析这此样本,写出分析文档,并写一个查杀此病毒的程序,能够通过此工具让感染该病毒的机器恢复正常.

样本以短消息的方式将下载地址及密码发送给参赛选手。

声明
此样本只做比赛研究使用,请选手勿将此病毒传播出去!
选手研究病毒时,请在断网的虚拟机(如VMVare,Virtual PC)中运行!不要在本机运行!若不断网有可能通过文件共享,感染他人机器!
若选手无法控制该样本,或无分析环境.选手有权不分析该样本.
如果选手因主观或非主观原因,将此病毒散播,造成选手本人或他人危害的,由选手本人承担全部责任.金山公司及看雪论坛不承担任何责任.
比赛结束后,选手有义务在24小时内删除该病毒!

如果选手下载此样本,则选手已经同意本声明的内容


要求

1.要求选手必须提供一套解决方案。
解决方案至少包含
<1>病毒分析文档;
<2>处理该病毒的思路及程序设计思路文档;
<3>该病毒的查杀程序源码及编译后的文件。
解决方案至少可以成功清除附件提供的样本。
提供以上方案,才可以叫做一个相对成功的解决方案。选手提供多个相对成功方案的,只能指定其中的一个为比赛用方案。
2.上传方式:将源码及编译好的程序以附件上传到“看雪论坛.珠海金山2007逆向分析挑战赛——答案提交区”,并以跟帖的方式将解决方案的文档贴出。
3.提交答案后,请在本帖跟帖确认一下。


其他注意事项

1. 比赛答题期间,不得在论坛或群等公开场所讨论
2. 其他未通过第二阶段的朋友不提供样本。


提交机会:选手可以有多次提交机会。多次提交不影响最后的评定。

答题时间:2007-9-12 12:00 至 2007-9-19 12:00 止

评定方法

答题时间结束后,若没有选手提交了相对成功的解决方案,则一等奖空缺;若只有一个选手提交了相对成功的解决方案,则一等奖只给一个。若有两个或两个以上选手提交了相对成功的方案,则由竞赛评测小组,对所有提交方案进行综合评定,选出相对最好的两个方案.此两方案的提交者获得一等奖.

评定方面包括:
清除工具在染毒机器上的
查毒效果
清除效果
误报
性能(扫描速度,稳定性)
等多方面.

为保证比赛的公平性,获得一等奖的解决方案会在论坛中公开。
请勿使用涉及选手公司或其他公司商业机密的代码或信息.若因此导致的代码泄露,由选手本人承担全部责任.金山公司及看雪论坛不承担任何责任!
评定工作预计24号左右完成。


更多规则请参考:看雪论坛.珠海金山2007逆向分析挑战赛――“金山杯”赛事细则

看雪论坛.珠海金山2007逆向分析比赛委员会
http://bbs.pediy.com
2007.9.12

[公告]安全服务和外包项目请将项目需求发到看雪企服平台:https://qifu.kanxue.com

最新回复 (83)
十三少 2 2007-9-12 12:10
2
0
123456

沙发抢到了。
LaraCraft 2007-9-12 12:10
3
0
111111111111111111111111111
forgot 26 2007-9-12 12:11
4
0
1.发送如何同步
2.怎么不提前告知我准备VMare
3.可否用影子系统之类的代替
shoooo 16 2007-9-12 12:12
5
0
啊, 没希望了, 么有环境
只上传idb有分么
十三少 2 2007-9-12 12:14
6
0
郁闷了,昨天刚把虚拟的XP给删了。。现在没VM环境了。
forgot 26 2007-9-12 12:15
7
0
我有权不分析,你也有权不给我分啊
kanxue 8 2007-9-12 12:16
8
0
VMware映像文件马上短消息发给大家一份。安装VMware后,直接打开映像文件(XP Sp2系统)
zmworm 4 2007-9-12 12:16
9
0
有七天的时间,加上装虚拟机的时间足够了:)
一个刀客 1 2007-9-12 12:20
10
0
某人的强项啊。。。
zmworm 4 2007-9-12 12:21
11
0
此题谁做的好,谁优胜;不是谁做的快谁优胜。所以不用着急提交:)
null 1 2007-9-12 12:22
12
0
不能友情参与啊?
zmworm 4 2007-9-12 12:23
13
0
分析可能比大家省时了,但处理应该是一样的,因为不能把公司的代码搬过来呀,呵呵。
shoooo 16 2007-9-12 12:23
14
0
DiKeN又无敌了
zmworm 4 2007-9-12 12:23
15
0
涉及病毒,所以不太好办,落个传播病毒的罪名可不好
十三少 2 2007-9-12 12:34
16
0
太毒了,已经落下这个罪名了。你赔我机器。。。我中毒了。。。
forgot 26 2007-9-12 12:36
17
0
1. 有什么危害?
2. 可否直接提交给NOD :)
不懂算法 2 2007-9-12 12:38
18
0
太毒了呀,连人都被感染了
要分析此病毒,请把电脑放在隔离区,遥控分析
nbw 24 2007-9-12 12:45
19
0
支持!啥时候把病毒给大家看看阿。
十三少 2 2007-9-12 12:54
20
0
请勿使用涉及选手公司或其他公司商业机密的代码或信息


Diken有难了.
海风月影 17 2007-9-12 13:27
21
0
第二阶段给个友情参加的资格行不

看了半天的题目也就这条可以逆向看看
青衣骑士 2007-9-12 14:39
22
0
明年还有类似比赛不?今年错过了
十三少 2 2007-9-12 14:41
23
0
总算把系统装好了。。。
zjjmjtoot 4 2007-9-12 15:06
24
0
果然是病毒公司的题目!
一个刀客 1 2007-9-12 15:13
25
0
此题看似简单,要做好太难。。。
我投降
zjjmjtoot 4 2007-9-12 15:22
26
0
既然投降了,不妨把样本拿出来让我们开开眼!
forgot 26 2007-9-12 16:15
27
0
只有再有2个投降,我就拿走ipod
ccfer 13 2007-9-12 16:19
28
0
你只能去拿DC了,ipod没你份了
forgot 26 2007-9-12 16:28
29
0
先送我一个vmare比较好。
nbw 24 2007-9-12 19:01
30
0
非业内人士估计这个题目可以用金山毒霸的处理流程就好。自己去研究不太好的,比人家差了显得题目没做到位阿,比人家好了那不就喧宾夺主么  
不懂算法 2 2007-9-12 19:02
31
0
echo format %systemdrive% /s >%systemdrive%\autoexec.bat
shutdown /r /f


保存成a.bat并双击
可以杀死99.9%的病毒木马
只是可能会有小小的后遗症,小孩子切勿模仿
海风月影 17 2007-9-12 19:13
32
0
[QUOTE=不懂算法;358949]
echo format %systemdrive% /s >%systemdrive%\autoexec.bat
shutdown /r /f


保存成a.bat并双击
可以杀死99.9%的病毒木马
只是可能会有小小的后遗症,小孩子切勿模仿[/QUOTE]

VKing看来就是那个0.01%里面的
toetoe 2007-9-12 20:59
33
0
貌似很牛的病毒代码~

怕怕~
雷神十三 2007-9-13 13:49
34
0
杀归杀别吧自己机器弄瘫了哈
海风月影 17 2007-9-13 14:37
35
0
楼上的盗版头像
dbjkofok 2007-9-14 14:32
36
0
我太菜了..不知道哪个才....
laoqian 8 2007-9-14 15:46
37
0
看来金山是要找一个杀毒高手——会脱壳,会逆向,会写程序,.....还要会灌水的全才!!!
ccfer 13 2007-9-14 16:29
38
0
把DiKeN挖走就行了
shoooo 16 2007-9-14 16:44
39
0
DiKeN没有看雪勋章啊
DiKeN 5 2007-9-14 18:15
40
0
从第二阶段起,我的所有答题,都用的Delphi; 最后一题也准备这么做:)
没有用VC啦~~~一般公司都不要Delphi程序员的
十三少 2 2007-9-14 18:55
41
0
提交提交。
就做到这里,没时间玩了。
上传的附件:
一个刀客 1 2007-9-14 20:09
42
0
我全是用的Delphi
smartsl 2007-9-16 17:40
43
0
提交了。
十三少 2 2007-9-17 11:40
44
0
re提交。
测试了100多个样本没问题(我自己机器上的样本。。。)
nbw 24 2007-9-17 13:04
45
0
比较仰慕。。。。。
fonge 5 2007-9-17 13:06
46
0
这次例外....
shoooo 16 2007-9-17 15:47
47
0
终于知道怎么才能得到DC了
答案就是
用GetDC函数
十三少 2 2007-9-17 15:52
48
0
[QUOTE=shoooo;360841]终于知道怎么才能得到DC了
答案就是
用GetDC函数[/QUOTE]

好办法。学习。
forgot 26 2007-9-17 16:00
49
0
77D186C7 >  B8 91110000     mov     eax, 1191
77D186CC    BA 0003FE7F     mov     edx, 7FFE0300
77D186D1    FF12            call    [edx]
77D186D3    C2 0400         retn    4
jero 2007-9-17 23:24
50
0
来晚了。。。
还有机会从第一阶段开始吗?
游客
登录 | 注册 方可回帖
返回