ISCC 2025 练武区域赛与决赛逆向工程与移动安全题目详解<\/h1>

1. 数独与单词搜索题目<\/h2>

题目分析<\/h3>

程序要求输入一个9×9矩阵<\/li>

通过两个检查函数：

checklist1<\/code>和checklist2<\/code><\/li>
<\/ul>
解题步骤<\/h3>
checklist1函数<\/strong>：<\/p>

类似数独验证，返回值需大于8<\/li>
解决方案：输入有效的数独矩阵即可通过<\/li>
<\/ul>
checklist2函数<\/strong>：<\/p>

在矩阵中搜索特定单词（八个方向）<\/li>
需要找到超过4个指定单词<\/li>
指定单词列表：
ilterupaseuapslirtrsptialuepalitresutrsupealiueialsrtplteruispasiulapteraprsetuil
<\/code><\/pre>
<\/li>
解决方案：使用z3约束求解器爆破<\/li>
<\/ul>
隐藏提示<\/h3>

程序输出假flag后会提示"True decode is in true_decode"<\/li>
包含Motorola S-record格式数据（嵌入式固件常见格式）<\/li>
<\/ul>
处理S-record数据<\/h3>

将S-record记录转换为二进制文件<\/li>
使用IDA分析二进制文件<\/li>
发现假flag作为key，真实flag通过decode函数处理<\/li>
<\/ol>
最终flag<\/h3>
ISCC{T%uo4=WJfd0Due#qKmaIPfkiyp4UIX}<\/code><\/p>
2. Rust循环移位题目<\/h2>
加密逻辑<\/h3>

对flag进行循环左移<\/li>
每次循环左移的位数会变化<\/li>
<\/ul>
解题方法<\/h3>

动态调试观察v29值的变化规律（移位位数）<\/li>
编写逆向脚本还原移位操作<\/li>
<\/ol>
最终flag<\/h3>
ISCC{8IRM6hA0gb}<\/code><\/p>
3. 迷宫小游戏题目<\/h2>
题目特点<\/h3>

经典迷宫考点<\/li>
玩家位置(C)随机生成<\/li>
迷宫包含不可通行的区域<\/li>
<\/ul>
分析过程<\/h3>

使用IDA分析程序逻辑<\/li>
重命名关键函数和变量<\/li>
重点分析吃到金币后的操作（sub_41D580函数）<\/li>
<\/ol>
关键发现<\/h3>

读取txt文件（sub_40165D函数）<\/li>
内存中存在未分析的数据，实际是XXTEA加密算法<\/li>
在内存中可以找到加密密钥<\/li>
<\/ul>
解题方法<\/h3>

动态调试跟踪到加密过程<\/li>
由于游戏结束条件未知，采用爆破方法<\/li>
基于flag格式ISCC{}进行爆破<\/li>
<\/ol>
最终flag<\/h3>
ISCC{]aH_~=$a*j<.3hlcgeHE|+[Y}<\/code><\/p>
4. 邦布出击（Blowfish加密）<\/h2>
Java层分析<\/h3>

检查flag格式（ISCC{}）和长度（>7）<\/li>
使用a类的a方法进行Blowfish加密<\/li>
密钥来自b类的c方法（返回空导致程序闪退）<\/li>
<\/ol>
关键发现<\/h3>

数据库被加密（SQLCipher）<\/li>
通过MainActivity2类发现数据库解密逻辑<\/li>
找到base64编码的密钥（需三次解码）<\/li>
<\/ol>
获取密钥步骤<\/h3>

对info属性进行三次base64解码<\/li>
获得密钥：H4iJkLmNoPqRsTuV<\/code><\/li>
使用SQLCipher解密数据库<\/li>
<\/ol>
FRIDA脚本使用<\/h3>

Hook encrypt方法（Blowfish加密结果作为DES密文）<\/li>
Hook b类的c方法返回正确密钥<\/li>
输入测试数据触发获取flag<\/li>
<\/ol>
最终flag<\/h3>
ISCC{rR6ql9CGn0u\/kBPZpMzCEKmQy0ZkdlNB}<\/code><\/p>
5. Detective题目<\/h2>
Java层分析<\/h3>

启动页LoginActivity检查四位password（so层验证）<\/li>
MainActivity检查flag格式和长度<\/li>
a类的a方法进行加密后传给so层<\/li>
<\/ol>
加密流程<\/h3>

b方法：字符转十六进制（不足三位补0）<\/li>
b类的a方法：

特定索引值增加字符'3'<\/li>
按索引奇偶打乱顺序<\/li>
特定值后追加"21"并颠倒顺序<\/li>
<\/ul>
<\/li>
c方法：前面补"00"转回字符形式<\/li>
<\/ol>
so层分析<\/h3>

validatePassword：计算sha256比较（可hook绕过）<\/li>
stringFromJNI：简单异或加密（已知key）<\/li>
<\/ol>
最终flag<\/h3>
ISCC{@@bM0r!y}<\/code><\/p>
6. HolyGrail题目<\/h2>
Java层分析<\/h3>

FlagValidationActivity检查flag格式<\/li>
a类的validateFlag方法：

Vigenère加密<\/li>
so层processWithNative处理<\/li>
b类的a方法转换<\/li>
<\/ul>
<\/li>
<\/ol>
关键发现<\/h3>

使用SharedPreferences存储数据<\/li>
需要按正确顺序选择耶稣和十二门徒<\/li>
顺序在mobile2的libSequence-Clues.so中<\/li>
<\/ol>
解题步骤<\/h3>

找到按钮与名字的对应关系（布局文件中）<\/li>
so层分析：十六进制转十进制再转十三进制<\/li>
使用Frida hook validateFlag方法<\/li>
建立字符与加密结果的对应关系<\/li>
<\/ol>
维吉尼亚解密<\/h3>
密文：Wvqh~0f5zke3va~<\/code>

解密后：ISCC{Dome~0f5ecr3ts~}<\/code><\/p>
7. 练武决赛CrackMe<\/h2>
花指令处理<\/h3>

识别并清除三种花指令<\/li>
红色部分未定义，黑色部分nop<\/li>
按C转换代码后nop两字节<\/li>
<\/ol>
加密逻辑<\/h3>

类似凯撒加密（对偶数位）<\/li>
标准RC4加密（全部位）<\/li>
真实密文在偶数位<\/li>
<\/ol>
解密方法<\/h3>

提取偶数位<\/li>
逆向凯撒和RC4加密<\/li>
<\/ol>
最终flag<\/h3>
ISCC{2Q7gVLMK6HKaZg1}<\/code><\/p>
8. uglyCpp题目<\/h2>
分析过程<\/h3>

代码结构混乱，需动态调试<\/li>
fun1：构建36位flag的完全二叉树<\/li>
fun2：中序遍历二叉树<\/li>
fun4：生成176字节密钥流（"key1key2key3key4"）<\/li>
fun5：异或加密<\/li>
<\/ol>
解题方法<\/h3>

跟踪异或值<\/li>
编写解密脚本<\/li>
恢复原始顺序<\/li>
<\/ol>
最终flag<\/h3>
ISCC{ABMw7Cx8Hq2INXgpQ9JSMIGokDLl3L}<\/code><\/p>
9. GGAD题目<\/h2>
初始修改<\/h3>

修改AndroidManifest.xml中的程序入口<\/li>
重新打包（无签名验证）<\/li>
<\/ol>
Java层分析<\/h3>

so层validateKey检查key<\/li>
a类的a方法检查flag<\/li>
b方法：十六进制转八位二进制<\/li>
<\/ol>
so层分析<\/h3>

获取密钥的sha256值（cmd5可查：ExpectoPatronum）<\/li>
JNI2：二进制数据中1变0，0变1<\/li>
JNI1：RC4加密<\/li>
<\/ol>
解密步骤<\/h3>

使用Frida hook获取中间值<\/li>
解密RC4<\/li>
使用CyberChef工具处理<\/li>
<\/ol>
最终flag<\/h3>
ISCC{Cr3d3nceB@r3b0n3}<\/code><\/p>
10. 叽米是梦的开场白<\/h2>
动态加载dex<\/h3>

so层加载加密的dex文件（libmobile04.so）<\/li>
dump dex文件分析<\/li>
<\/ol>
第一部分flag<\/h3>

3DES加密<\/li>
密钥在libSunday.so中<\/li>
解密获取第一部分<\/li>
<\/ol>
第二部分flag<\/h3>

从assets加载加密文件<\/li>
使用libMonday.so解密<\/li>
同样是3DES加密，有现成的key和密文<\/li>
<\/ol>
最终flag<\/h3>
ISCC{WiMIit2Hx2hlAJ}<\/code><\/p>
通用解题技巧总结<\/h2>

动态分析<\/strong>：对于复杂逻辑，优先考虑动态调试<\/li>
Frida使用<\/strong>：hook关键方法获取中间值<\/li>
加密算法识别<\/strong>：熟悉常见加密特征（RC4, XXTEA, Blowfish等）<\/li>
数据格式识别<\/strong>：如Motorola S-record格式处理<\/li>
花指令处理<\/strong>：IDA中识别并清除无效指令<\/li>
多语言分析<\/strong>：C++逆向需注意名称修饰和异常控制流<\/li>
Android逆向<\/strong>：关注JNI调用和动态加载机制<\/li>
<\/ol>

ISCC 2025 练武区域赛与决赛逆向工程与移动安全题目详解<\/h1>

1. 数独与单词搜索题目<\/h2>

最终flag<\/h3>
`ISCC{T%uo4=WJfd0Due#qKmaIPfkiyp4UIX}<\/code><\/p>`

最终flag<\/h3>
`ISCC{8IRM6hA0gb}<\/code><\/p>`

最终flag<\/h3>
`ISCC{]aH_~=$a*j<.3hlcgeHE|+[Y}<\/code><\/p>`

最终flag<\/h3>
`ISCC{rR6ql9CGn0u\/kBPZpMzCEKmQy0ZkdlNB}<\/code><\/p>`

最终flag<\/h3>
`ISCC{@@bM0r!y}<\/code><\/p>`

维吉尼亚解密<\/h3>
密文：`Wvqh~0f5zke3va~<\/code> 解密后：ISCC{Dome~0f5ecr3ts~}<\/code><\/p>`

最终flag<\/h3>
`ISCC{2Q7gVLMK6HKaZg1}<\/code><\/p>`

最终flag<\/h3>
`ISCC{ABMw7Cx8Hq2INXgpQ9JSMIGokDLl3L}<\/code><\/p>`

最终flag<\/h3>
`ISCC{Cr3d3nceB@r3b0n3}<\/code><\/p>`

最终flag<\/h3>
`ISCC{WiMIit2Hx2hlAJ}<\/code><\/p>`

ISCC 2025 练武区域赛与决赛逆向工程与移动安全题目详解<\/h1>

1. 数独与单词搜索题目<\/h2>

最终flag<\/h3> ISCC{T%uo4=WJfd0Due#qKmaIPfkiyp4UIX}<\/code><\/p>

最终flag<\/h3> ISCC{8IRM6hA0gb}<\/code><\/p>

最终flag<\/h3> ISCC{]aH_~=$a*j<.3hlcgeHE|+[Y}<\/code><\/p>

最终flag<\/h3> ISCC{rR6ql9CGn0u\/kBPZpMzCEKmQy0ZkdlNB}<\/code><\/p>

最终flag<\/h3> ISCC{@@bM0r!y}<\/code><\/p>

维吉尼亚解密<\/h3> 密文：Wvqh~0f5zke3va~<\/code> 解密后：ISCC{Dome~0f5ecr3ts~}<\/code><\/p>

最终flag<\/h3> ISCC{2Q7gVLMK6HKaZg1}<\/code><\/p>

最终flag<\/h3> ISCC{ABMw7Cx8Hq2INXgpQ9JSMIGokDLl3L}<\/code><\/p>

最终flag<\/h3> ISCC{Cr3d3nceB@r3b0n3}<\/code><\/p>

最终flag<\/h3> ISCC{WiMIit2Hx2hlAJ}<\/code><\/p>

最终flag<\/h3>
`ISCC{T%uo4=WJfd0Due#qKmaIPfkiyp4UIX}<\/code><\/p>`

最终flag<\/h3>
`ISCC{8IRM6hA0gb}<\/code><\/p>`

最终flag<\/h3>
`ISCC{]aH_~=$a*j<.3hlcgeHE|+[Y}<\/code><\/p>`

最终flag<\/h3>
`ISCC{rR6ql9CGn0u\/kBPZpMzCEKmQy0ZkdlNB}<\/code><\/p>`

最终flag<\/h3>
`ISCC{@@bM0r!y}<\/code><\/p>`

维吉尼亚解密<\/h3>
密文：`Wvqh~0f5zke3va~<\/code> 解密后：ISCC{Dome~0f5ecr3ts~}<\/code><\/p>`

最终flag<\/h3>
`ISCC{2Q7gVLMK6HKaZg1}<\/code><\/p>`

最终flag<\/h3>
`ISCC{ABMw7Cx8Hq2INXgpQ9JSMIGokDLl3L}<\/code><\/p>`

最终flag<\/h3>
`ISCC{Cr3d3nceB@r3b0n3}<\/code><\/p>`

最终flag<\/h3>
`ISCC{WiMIit2Hx2hlAJ}<\/code><\/p>`