=========================第二阶段比赛=========================
 

第二阶段比赛说明
 
参加资格:只有通过第一阶段比赛的选手,方可参与此阶段的比赛。具体名单请参考: 看雪论坛.珠海金山2007逆向分析挑战赛---第一阶段通过选手名单(65位)
本阶段采用综合计分的方式选出进入第三阶段的选手。
本阶段共四道题目,每题计分,每题的计分方法,将在题目放出时公布。
四道题不是同时给出,在第一题结束后,再放出第二题,以此类推。但无论答题正确与否,都有资格参与下一题的回答。若题目答错或未答,该题均计0分。

 
第二阶段第二题
 
这是一个被简单保护过的进程(下载见附件),不能被进程管理器“结束进程”功能终止其运行(“结束任务”功能可以正常结束),请提供尽可能多的方法结束该进程。
 
要求
 
1.通过标准:首先运行被保护的程序后,然后运行选手写的程序。选手写的程序执行后,被保护进程被结束,并且该结束方法不同于之前通过的方法。
3.提交方式:将工程源代码及可执行文件以附件的形式上传到“看雪论坛.珠海金山2007逆向分析挑战赛答案提交区”。并在帖子中说明该方法的简单流程(无此说明,视为无效上传)。
例如,说明一个实现获取设备对象对应文件路径的方法,可以用下面方式表示:
CreateFile(打开设备对象) -> NtQuerySystemInformation(打开进程句柄表) -> Device Object -> Driver Object -> ModuleList
4.每个选手每种方法一个帖子。每个选手第一种方法作为主题帖子,之后的方法以跟帖的方式上传附件。 
5.提交答案后,请在本帖跟帖确认一下。

答题规则
 
1.不限制大家使用的API。
2.由评委从原理上区分参赛者提交的答案是否算是一种方法。
3.为了以示公平,只要你想到的,都可以写程序提交。
4.在本题结束后,会将所有被认为独立算一种方法的答案整理,并且在论坛公布。

注:参赛者提交的答案,默认是不公开的,需发帖者跟帖说明哪些可以公开。

 
其他注意事项

1. 比赛答题期间,不得在论坛或群等公开场所讨论
2. 其他未通过第一阶段的朋友也可提交答题,但不计成绩,仅为友情参与。

提交机会:不限
 
计分方式:选手最低分0分,最高分150分。每多增加一种方法加10分。
 
答题时间:2007-8-30 12:00 至 2007-9-2 12:00止(共三天)
 
通过标准:首先运行被保护的程序后,然后运行选手写的程序。选手写的程序执行后,被保护进程被结束,并且该结束方法不同于之前通过的方法。
 
赛事预告:2007-9-2中午12点正式开始第二阶段第三题比赛。
 
更多规则请参考:看雪论坛.珠海金山2007逆向分析挑战赛——“金山杯”赛事细则
 
 
看雪论坛.珠海金山2007逆向分析比赛委员会
http://bbs.pediy.com
2007.8.30
 
======================规则更新日志================================
1.更新CrackMe.sys,见附件的CrackMe.sys_fix.rar
因为安装驱动的时候有版本检查,如果当前目录下的驱动版本比drivers目录下的驱动版本旧或一样的话,就不会复制过去了,这个版本解决了这问题。

2.修正更新:

首先向各位参赛者道歉,在发布本题之前委员会没有做好充分的沟通。

关于CrackApp的说明:

该程序的功能只是阻止从任务管理器中使用“结束进程”功能结束该进程。任务管理器中的“结束任务”是可以正常结束该程序的。

规则修正如下:

1.不限制大家使用的API。
2.由评委从原理上区分参赛者提交的答案是否算是一种方法。
3.为了以示公平,只要你想到的,都可以写程序提交。
4.在本题结束后,会将所有被认为独立算一种方法的答案整理,并且在论坛公布。

注:参赛者提交的答案,默认是不公开的,需发帖者跟帖说明哪些可以公开。