2025 年逆向攻防技能竞赛题库及控制流混淆解析.docxVIP

2025年逆向攻防技能竞赛题库及控制流混淆解析

考试时长：180分钟总分：100分适用级别：竞赛级

说明：1.本试卷严格对标国内逆向攻防竞赛真题范式，聚焦“控制流混淆解析”核心能力，覆盖平坦化、分支混淆、虚假控制流、虚拟机保护等典型混淆技术；2.题目附件包含Linux/Windows双架构可执行文件，推荐工具集：IDAPro7.7+Hex-Rays、GDB+pwndbg、x64dbg+x32dbg、VirtualizerDetector、deflat.py（平坦化还原脚本）；3.控制流混淆解析题需提交“混淆识别-逻辑还原-代码重写”完整过程，关键步骤需配图或伪代码说明；4.flag格式统一为flag{XXX}，严格遵循格式作答方可得分。

一、基础控制流混淆识别题（共2题，每题10分，共20分）

题目1：分支混淆识别与还原（难度：???）

题目描述：给定Windows32位可执行文件branch_obf.exe，程序采用条件分支混淆技术隐藏验证逻辑，输入正确的4位数字密码即可输出flag。请使用x32dbg结合IDA分析，识别分支混淆类型，还原真实控制流，找到正确密码及flag。

附件：branch_obf.exe（PE32可执行文件，无壳）

答题要求：1.说明识别的分支混淆技术类型（如跳转表混淆、条件反转等）；2.提交IDA伪代码（混淆前与还原后对比）；3.写出正确密码及flag内容。

标准答案与解析

1.核心考点：分支混淆技术识别、控制流还原基本方法、IDA伪代码编辑能力。

2.解题步骤：

①初步分析：使用x32dbg加载程序，输入测试密码“1234”，单步跟踪至验证函数0发现存在大量“jmp+1”“jmp-2”等短跳转指令，且条件判断语句逻辑混乱。

②混淆类型识别：通过IDA查看验证函数伪代码，发现程序将简单的“if-else”分支拆分为多个独立跳转，结合寄存器间接跳转（如jmpdwordptr[eax+4*edx]），判定为“跳转表+冗余分支”混合混淆。

③控制流还原：

-混淆伪代码片段：

c

int__cdeclverify(intpassword)

{

intv1;//eax

intv2;//edx

v1=password%10;

v2=password/10;

if(v1==5)

jmploc_4010A0;

jmploc_4010F0;

loc_4010A0:

v1=v2%10;

v2=v2/10;

if(v1==6)

jmploc_401120;

jmploc_4010F0;

loc_401120:

//更多冗余跳转...

loc_4010F0:

return0;

}

-还原方法：删除冗余跳转指令，将分散的分支逻辑合并，补充变量注释；

-还原后伪代码：

c

int__cdeclverify(intpassword)

{

intdigit1=password%10;//个位

intremain1=password/10;

intdigit2=remain1%10;//十位

intremain2=remain1/10;

intdigit3=remain2%10;//百位

intdigit4=remain2/10;//千位

if(digit1==5digit2==6digit3==7digit4==8)

return1;//验证通过

return0;

}

④验证正确密码：根据还原逻辑，正确4位密码为8765（千位8、百位7、十位6、个位5），输入后程序输出flag。

3.参考答案：混淆类型为跳转表+冗余分支；正确密码8765，flag{Branch_Obf_8765}

题目2：虚假控制流识别（难度：???）

题目描述：给定Linux64位可执行文件fake_flow.obf，程序嵌入大量虚假控制流分支干扰逆向分析，输入正确的6位字符串即可输出flag。请使用GDB+IDA识别虚假分支特征，提取真实验证逻辑，推导正确输入。

附件：fake_flow.obf（ELF64-bit可执行文件）

答题要求：1.列出虚假控制流的3个典型特征；2.提交真实验证逻辑的伪代码；3.写出正确输入字符串及f