一、比赛规则：
1. 比赛时间：2009年11月27日至2010年1月3日24：00；
2. 比赛纪律：
   1) 严禁同一人用两个或两个以上会员ID参赛；
   2) 比赛答题期间，不得在论坛或群等公开场所讨论；严禁以任何方式透露答案或答题细节;
   3) 违反以上任何一条，取消相关人员比赛资格，并ban掉相关ID。
3. 其它说明：对题目的含义如有不明之处，可以在论坛上发帖询问，但仅限于对题目本身含义的讨论，其他关于答题思路、评分标准的问题，将不予回复。
4. 答案提交规则，请认真阅读：
   （1） 为了确保答案的安全性以及结果反馈的便利性，本次比赛采用：论坛比赛区报名参赛+邮箱提交答案的方式进行。
   （2） 参加比赛的选手，请到比赛区：http://www.debugman.com/thread.php?fid=38发参赛帖，帖子标题请注明自己的ID、已做题号和邮箱地址，得分结果也将通过回复此贴告知参赛选手；
   （3） 题目答案请提交至邮箱 : 360game@360.cn，以其它任何方式提交的答案视为无效答案。为防止重复参赛，第一次提交答案请以以下格式书写邮件主题：选作题号+论坛ID+真实姓名+身份证号+联系电话，身份证号是用于判断最佳新人奖的重要依据，如未提交身份证号，视为放弃参与此奖项的角逐；
   （4） 选做一题即为参赛，参赛选手可以一次性提交选作各题答案，也可以逐次提交选作各题答案；
   （5） 每题仅能提交一次，请认真阅题，慎重提交。有如多次提交，以第一次提交的答案为准；
   （6） 提交的答案须包括所有源代码；
   （7） 由于参赛提交的任何个人信息，奇虎360公司以及DEBUGMAN论坛将严格保密并仅用于本次比赛所需的用途。

二、评分标准：
1. 此次比赛共设六道试题，每题100分，满分600分。以总分排序选出优胜者；另外，综合历次大赛经验，为便于评判，大赛组委会将视选手的答题情况酌情增加附加题，如设置附加题，将在适当时间发布；
2. 每题都存在多种不同解法，答出多种解法者，根据答案优劣，酌情加分；
3. 如题目挑战失败，但提供了解题思路及分析过程，也可酌情得分。

三、比赛题目：
1. 分析并解决某安全产品的驱动程序在windows 7 上安装后，发生的启动时锁死系统的BUG
提供锁死时的DUMP文件，要求分析出详细的问题原因，并提供修补程序或方法。修补程序只能修改BUG,不能使该产品的功能或任何正常逻辑受到影响

DUMP文件下载：http://mdl.360safe.com/win7_DeadLock.7z
满分 ：100分

2.解密Vista SP1中Bootmgr.dll
Vista 的BootMgr是系统启动过程中的引导程序之一，类似于Windows 2000/XP上的NtLdr文件。
此文件在Vista SP1及以后的操作系统版本中，其中的32位PE文件bootmgr.dll是经过处理的，不能够直接分析。
尝试分析其加密机制，并写出详细的处理流程，并编写解密程序，程序要求可以将bootmgr文件中的bootmgr.dll 转化为正确的PE文件，编写语言可以是汇编\C\C++或Delphi

满分 ：100分

3.分析并解决程序互锁问题
提供两个拥有HIPS类功能的程序：rmdring3.exe和RegmonDelete.sys，以及rmsring3.exe和RegMonSet.sys
其中RegMonDelete.sys会拦截对于指定路径：
HKEY_LOCAL_MACHINE\SYSTEM\360GAME2009

下注册表键值的删除动作，并通知rmdring3.exe，rmdring3.exe会显示提示让用户确认是否允许
RegMonSet.sys会拦截指定路径的注册表键值的写入动作，并通知rmsring3.exe,rmsring3.exe会显示提示让用户确认是否允许。rmdring3.exe和RegMonDelete.sys我们提供了源代码。

我们在rmdring3.exe和rmsring3.exe上增加了一些特殊的处理，使其会陷入一个巧妙的DeadLock中。
使用驱动加载工具加载RegMonDelete.sys和RegMonSet.sys，然后运行rmdring3.exe和rmsring3.exe,开启监控 ，然后删除指定路径下注册表键值，会发现系统陷入死锁，任何对指定路径下注册表写入、删除操作的进程都会锁死。

试分析此死锁原因，并尝试修改rmdring3.exe和RegMonDelete.sys的代码，要求修改完毕后，不会再出现类似的情况。要求不依赖超时机制，要做到完全不会死锁，而且不会影响现有的逻辑。

rmdring3.exe和RegMonDelete.sys的代码是公开的，而且可以任意修改，rmsring3.exe和RegMonSet.sys的代码是不公开的，而且不允许修改，修改的RegMonDelete.sys和rmdring3.exe也不能对RegMonSet.sys和rmsring3.exe做任何补丁或对其行为做任何特殊处理，当然也不能删除引发死锁的代码。总之要求不要投机取巧，要真正从修改通讯手段的方式上，解决这个问题。

3题附件.rar (93.91 KB)

3题附件.rar (93.91 KB)
下载次数: 0

2009-11-27 12:46

具体解决代码会由评委评判其水平并进行评判
满分 ：100分

4.编写读取内核内存的驱动
编写一个驱动程序，提供一个接口给RING3程序或RING0程序使用，这个接口的功能是：读取任意虚拟（包括内核地址空间）内存

要求：
1)、可以稳定读取任意地址内存，若该地址为无效地址，返回FALSE；否则必须正确读取（无论该页是否被换出至辅存）。
2)、支持Windows XP / VISTA / Win7
满分：100分
  
5.删除被驱动保护的文件
A. 环境
操作系统:Windows XP sp2
磁盘格式: C盘必须为NTFS格式;   请确保系统盘为C盘
B. 挑战规则
1. 运行DbgView.exe,用驱动加载工具加载我们的驱动文件 HijackFile.sys, 然后务必打开一下 IE浏览器,当看到如下信息表明驱动启动成功:
  

10_1_00a3b51dde3b354.jpg (61.18 KB)

2009-11-27 12:46

2. 本驱动启动成功后会保护 “C:\WINDOWS\system32\360Safe.txt” 文件不被操作(删除/重命名/读/写 均会失败). 效果如下:

10_1_19ff54d4fa895ac.jpg (69.95 KB)

2009-11-27 12:46

或者:

10_1_b1e78b109793555.jpg (58.25 KB)

2009-11-27 12:46

3. 请尝试写程序删除本文件
C. 挑战条件
   1. 驱动加载成功后,不能摘除本驱动的HOOK, 不能破坏本驱动的过滤函数流程.,不能对本驱动做任何修改
   2. 必须写程序删除掉该文件, 应用程序和驱动均可
   3. 不能重启系统
   4. 删除该文件后能在Windows资源管理器(explorer.exe)中看到删除效果  
   5. 删除该文件后,系统磁盘不能有任何损坏(用chkdsk检测)

5题附件.rar (32.45 KB)

5题附件.rar (32.45 KB)
下载次数: 0

2009-11-27 12:46

6. 记录程序控制转移并进行匹配算法研究
(1)利用调试与性能监视功能（例如最后分支记录等）编写一个记录程序，记录一个线程调用一个API（定为CreateFileA）的控制流路径（应过滤无关数据）。
(2)在干净的系统多次（10次）运行，以所得数据为基础生成一个正常控制流路径模板（可自由设计，比如可选取一些数据构造流图或是call tree），并提供一个模式匹配算法计算以后系统运行生成的数据同模板间的相似度（例如计算控制流图的相似度），要求：
       (a).干净系统运行数据计算的结果（相似度）大于90%；
       (b).使用API HOOK（例如使用hxdef）后生成的数据计算结果低于10%
参考评分标准：
1、控制流路径的正确记录；
2、设计的模板能有效描述干净系统控制流路径特征；
3、根据算法给适当分数。

后来想想,这帮搞游戏外挂的人是牛人啊. 又要调试游戏,又要写驱动和漂亮的界面,又要会加密解密,又要懂网络,又要做网站...

太强悍了,而且很低调,看来利润很丰厚啊. 我怕人家的挂有病毒,想自己写一个,自己玩,多好啊,又不怕被腾讯封. 外面放出去给菜鸟们用的挂没几天就被腾讯封了,又得更新又得重新下载,还担心被盗号. 哎, 调试游戏又不容易, 他们这帮人不一般呐...

丢个外挂,驱动貌似35KB,看有没有人逆一下(有人逆我就不逆了)

穿越火线V4.2版本外挂_穿透力.网吧家庭通用版.rar

外挂的驱动.rar

[不用看了,垃圾挂,用Cheat Engine改的,没意思...]

http://bbs.pediy.com/showthread.php?t=98312

调试笔记之雨过天晴多点还原软件MBR实例.rar (985.03 KB) | DownLoad

btw: 引用 V 插 K 同学的话 :

"没那么复杂~根据VMW开放的代码可以直接从VMware的img文件里提取出disk.img来不多说了~弄这么复杂干啥~"

我火星了, 貌似你那样做支持VM 3, 4. 现在都6.5版本了.无图无真相,弄出来了再这样说,我才相信.其他的我不管,反正我用我的方法达到目的了,也没什么损失,倒是积累了些调试经验. 娃哈哈,未尝不好~

昨天晚上T球很不和谐, 某人(非公司的人,以前离职的同学带过来踢球的人, 9号,技术不咋地,倒是人品极差) 踢脏球, 还打电话要找人来砍人,差点打了群架,人最后没事,那小子最后从车里拿出大铁棒,把某车给砸了! 麻痹的, 哎,一个老鼠坏一锅汤!

网络杯, 貌似网易,腾讯,搜狐,百度等公司球队都参加,不过本公司球队貌似练大场很少. 今年又要被虐了.

btw: 13个驱动中有些驱动的idb我删除了,毕竟不好亮全,自己看看就成. 请详细参见每个目录中的*.txt.c文件

相关参考:
   [1] Bypass 微点主动防御软件
   [2] 微点对MmLoadSystemImage的处理
   [3] 微点在检测IFEO方面好脆弱

Links:

http://www.debugman.com/read.php?tid=3570&page=1&toread=1
http://hi.baidu.com/sudami/blog/item/d07e94139e4ccb0a5aaf539e.html
http://www.debugman.com/read.php?tid=2849&page=e&#a

It is an interesting thing for me to study Multi-point restore,oho.

逆向sysnap注册表还原_src.V 1.08.rar (218.07 KB) | Reverse_Sysnap_RegeditRestore_src.V%201.08.rar

       步入社会,经过几件事儿,有了些教训. 纵然你心善耿直但不要指望别人都是如此. 林子大了什么样的鸟都有,尤其是当存在巨大的利益冲突时,人性丑陋的一面会表现的淋漓精致. 即使没有利益冲突,也会因为种种原因诸如他人莫名的嫉妒,性格的不合,未满足他人可笑的自尊,措辞的不严谨,他人不健康的心态等,而"得罪"他人,故说话做事得考虑前因后果,思而后行.

       任何人在一定的环境下不可能一下子便站到最高处,必有寄人篱下之时! 在靠自己能力奋斗的过程中必须提防一些耍手段排挤你的小人. 害人之心不可有,防人之心不可无! 这种人未必定义为小人,可以解释为想利用一切办法达到目的而不择手段之人. 这类人在任何一个环境下都存在(公司,学校,事业单位), 要学会如何和这类人相处而又不受伤害!

      在强者和弱者的对话中,处于下风的自然是弱者.不要渴望得到怜悯,对方的心狠手辣更要让你愤怒的同时知道世态炎凉的道理,要让自己变得更强大更圆滑! 让对手敬畏你比让他憎恨你更可怕!

1. 无论一件事多么失败,都要从中看到一线曙光,一丝希望.

2. 面善者非心善者. 提防笑里藏刀之人. 人心冷淡,要学会保护自己,让自己不受制于人.

3. 对付阴人者, 同样得玩阴的.而且不要得罪对方,又能很好的维护自己的利益.

4. 为人处事,不要太张扬,溢于言表. 即使你心中很厌恶此人,见了面依然要友善,即使虚伪也无妨,展示出平易近人,不卑不亢,甚至是很客气很尊敬的姿态. 记住,这样只有好处,没有坏处!

5. 与人为善,直率坦诚! 但不能对任何人都是如此,任何时候都要有所保留! 见什么样的人说什么样的话!

以上是我刚离开校园,步入社会后的一些深刻感触.当然,这些文字不是写着玩儿的,是得时刻提醒自己去这样为人处事的,步入社会要学会如何生存!

代码风格混乱,看了吐血的不要骂我!!

Kill_KV2008.sudami.2008.03.23_src.rar (178.92 KB)

btw:
不知道RAR密码的同学参考下面这个图片!汗,注释要看仔细啊!

基于Windows内核层的Anti-Rootkits研究及其实现.rar (966.73 KB) | Anti-Rootkits_Graduation_Thesis.pdf

k5f0_4f0.sys.IDB.sudami.rar (695.05 KB)