黑客测试:全国统一PS免杀四級考试

来源：白狐q-zone

请自觉闭卷，时间，四十分钟
第一部分：客观题

一，单项选择（10题，每题6分）：
1,目前PS（1130）一共有几个组件必须要被免杀?
A，1个
B，3个
C，5个
D，7个

2,PcHide.sys如果免杀时修改得不成功，将会:
A，没有隐藏功能
B，肉鸡不能上线
C，被控端蓝屏
D，被别人笑掉大牙

3,PS全称及中方意思是：
A，PhotoShop 照片店
B，PlayStation 索尼
C，PcShare 电脑共享
D，PS/2 鼠标的接口

4,以下的工具组合不能定位特征码的是：
A，winhex
B，伯乐
C，c32asm
D，CCL

5,下列哪一项不属于免杀的方法：
A，修改特征码
B，加壳
C，脱壳
D，重建资源

6,PS作者曾在20CN网络安全小组活动，他的名字的正确写法是：
A，无可飞议
B，無可非議
C，無可飛議
D，无可非议
(本题答错拖出论坛)

7,用CCL作32字节的全文件替换后，特征码全在PE头的范围里，这是因为：
A，杀毒软件有问题
B，该文件有至少两处特征码
C，见鬼了
D，CCL版本太低(建议用2.7.1以上)

8,今年九月未十月初，冰雨使用了一个工具解决了当时PS0906版的SYS文件无法修改的问题，这个工具是：
A，ollydbg1.1第二版（caocong汉化）
B，lordpe豪华版
C，pedtor1.7英文版
D，QQ2005正式版
（本题答错T出本版）

9,本卷出题者白狐曾经是下列哪个网站的木马免杀班的讲师：
A，黑客动画吧
B，黑鹰基地
C，华夏黑客同盟
D，黑客基地
（本题答错全卷记零分）

10,pchide.sys的3D4位置处的ASCII码是：
A，PE..
B，this program can not be run in dos
C，D:\Soft\smr\
D，MOV BYTE PTR [EBP-8],5C

第二部分：修改题（共两题，每题10分）
11,请给出修改方案：
-------------定位结果------------
序号 起始偏移 大小 结束偏移
0001 00001525 0000001E 00001543

00401525: C64424 11 75 MOV [BYTE SS:ESP+11], 75
0040152A: C64424 12 70 MOV [BYTE SS:ESP+12], 70
0040152F: C64424 13 64 MOV [BYTE SS:ESP+13], 64
00401534: C64424 14 61 MOV [BYTE SS:ESP+14], 61
00401539: C64424 15 74 MOV [BYTE SS:ESP+15], 74
0040153E: C64424 16 65 MOV [BYTE SS:ESP+16], 65
00401543: FF15 40304000 CALL NEAR [DWORD DS:403040]

12,请给出修改方案：
-------------定位结果------------
序号 起始偏移 大小 结束偏移
0001 000017FD 00000003 00001800

100017F9: C9 LEAVE
100017FA: C2 1000 RETN 10
100017FD: 55 PUSH EBP
100017FE: 8BEC MOV EBP,ESP
10001800: 51 PUSH ECX
10001801: 51 PUSH ECX
10001802: 837D 0C 01 CMP DWORD PTR [EBP+C],1

第三部分：主观题(共一题，20分)
13，论述：
已知某杀毒软件，它选取的特征码长度最短为4个字节,用CCL全文件替换8字节,试杀后得到以下结果：
-------------定位结果------------
序号 起始偏移 大小 结束偏移
0001 0000081E 0000008 00000825
附近代码
0001081A: FF33 PUSH DWORD PTR [EBX]
0001081C: 8975 7C MOV [EBP+7C],ESI
0001081F: E8 180B0000 CALL 0001133C
00010824: 803E 00 CMP BYTE PTR [ESI],0
00010827: 75 08 JNZ SHORT 00010831

在00012222处有空白区，
这时把CALL 0001133C移走，
替换为JMP 00012222，
保存后仍然被杀
请分析原因