2026年逆向工程设计师实操考核试题及答案

2026年逆向工程设计师实操考核试题及答案一、单选题（每题2分，共10分）1.在ARMCortex‐M33固件逆向中，若遇到指令0xF01E0x0F00，其对应的助记符最可能是A.SVC#0x00  B.BKPT#0x00  C.UD  D.NOP答案：B解析：0xF01E0x0F00为32位BKPT编码，立即数为0x00，用于断点调试，IDA与Ghidra均自动识别。2.某STM32固件升级包尾部附加16字节，经hexdump发现前4字节为0x550xAA0x120x34，后12字节随机变化，最合理的猜测是A.随机填充  B.CRC32+时间戳  C.自定义校验+随机盐  D.对齐填充答案：C解析：固定魔数0x55AA为自定义校验头，后12字节每次不同，符合“校验+盐”防重放设计。3.使用JTAG解锁TIMSP432时，IDCODE读出0x0BB11477，但后续IR‐shift返回0b0001，说明A.器件已熔丝  B.调试口被ACL锁定  C.JTAG链路时序错误  D.供电不足答案：B解析：IDCODE正确而IR仅返回0b0001，是ACL（AccessControlList）典型表现，需先发256位解锁码。4.在Linux内核模块逆向中，看到__ksymtab_strings段出现字符串“__x86_indirect_thunk_array”，可推断该模块A.启用retpoline  B.启用IBT  C.启用CET  D.启用KASLR答案：A解析：__x86_indirect_thunk_array为retpoline补丁引入，缓解Spectrev2。5.对某FPGA比特流进行盲解码，发现0xAA995566同步字后紧跟0x20000000，则后续数据最可能采用A.LZ4  B.FrameECC  C.Plain32‐bit  D.FDRIwrite答案：D解析：0x20000000为XilinxFDRI写命令，用于加载配置帧。二、多选题（每题3分，共15分，漏选得1分，错选0分）6.下列哪些特征可用来快速定位嵌入式固件中的AES‐256轮密钥（）A.S‐box常量0x63  B.轮常数0x010x020x040x08…  C.256字节表0x8d0x01…  D.反汇编出现eors.wr0,r0,#0x1b答案：BCD解析：A为AES‐128单轮常量，256密钥扩展需40字轮常数及0x1b模约简。7.在Android逆向中，以下哪些工具组合可直接对APEX模块进行符号恢复（）A.bundletool+dex2jar  B.apktool+llvm‐objdump  C.debugfs+fsck.erofs  D.bazel+llvm‐nm答案：BD解析：APEX内含ELF，llvm‐objdump/llvm‐nm可解析符号；apktool解包manifest，bazel可编译还原。8.针对RISC‐VRV32IMC固件，以下哪些指令序列可作为“调用门”跳板（）A.auipct0,0;jalrra,t0,0  B.c.jal0  C.luit0,0x40000;jalrra,t0,0  D.c.lira,0;c.jalrra答案：AC解析：A与C均实现长跳转，B为短跳转，D自循环无法外出。9.在侧信道分析中，以下哪些测量向量对ECC点乘密钥位敏感（）A.功耗Hamming权重  B.电磁迹线峰值  C.激光故障注入回读  D.温度漂移答案：AB解析：C为故障注入，D为环境噪声，AB直接泄漏汉明距离。10.若某固件采用双Bank升级，BootROM校验标志位于OptionBytes，以下哪些操作会导致系统砖化（）A.擦除Bank1前未置swap  B.写入选项字时掉电  C.校验失败后重复软复位  D.在Bank2运行时下写Bank2答案：AB解析：A导致无完整镜像，B选项字损坏，C仅循环启动，D允许自更新。三、填空题（每空2分，共20分）11.在Ghidra中快速恢复MIPS大端浮点常量，需将数据类型设为________，并勾选________选项。答案：float，Big‐Endian解析：默认小端，手动改类型与端序即可正确解析0x40490FDB→3.14159。12.某nRF52840固件使用FPU，在HardFault中看到HFSR0x40000000，MMAR有效位为0，说明触发了________异常，常见原因是________。答案：BusFault，空指针解引用到0xE0000000以上系统地址解析：HFSR第30位为DebugEvent，但0x40000000为forced，MMAR无效则非MemManage，而是BusFault。13.对某ELF进行strip后，欲恢复main函数，可在.init_array段寻找________函数指针，再回溯________寄存器值得出真实地址。答案：__libc_csu_init，rdi解析：x86_64下__libc_csu_init首参rdi为main，strip后符号丢失但参数传递不变。14.若某MSP430程序使用BSL密码0xA50x5A0x120x34，则其CRC16校验多项式为________，初始值________。答案：0x1021，0xFFFF解析：TI官方BSL采用CRC16‐CCITT‐False，与密码独立，但逆向时可见校验码紧跟密码后。15.在FPGA比特流逆向中，若要定位IDCODE寄存器，需搜索32位值0x________，其后6位为器件型号编码。答案：0x00922093解析：Xilinx7系列IDCODE固定前缀，后6位对应XC7A35T=0x09。四、实操题（共55分）【系统环境】宿主机：Ubuntu24.04LTS，预装ghidra_11.2、radare2_5.9、openocd_0.12、vivado_2026.1、python3.12、jupyter。目标：抽签获取固件套号，完成下列任务，所有脚本与报告在~/answers/目录提交，系统定时截屏存档。16.固件入口定位与基址重映射（10分）要求：a.用Ghidra导入镜像，自动分析失败，需手动设置加载偏移，使至少80%函数通过字符串引用自动识别；b.提交截图与加载偏移值，并说明判定理由（提示：中断向量表+字符串池）。答案示例（以套号C为例）：加载偏移0x0800C000，理由：向量表第0字为0x20005000（SP），第1字0x0800C351（Reset），符合STM32L4规范；字符串“@(#)Build2026‐03‐15”位于0x0800F234，与代码引用匹配率87%。17.加密壳剥离与算法识别（12分）要求：a.发现固件前0x400字节为自定义壳，入口对前0x1C00字节进行XOR+循环移位；b.编写Python脚本完成脱壳，输出纯净镜像；c.识别加密算法，给出密钥长度与模式。答案示例：脚本decrypt_c.py核心片段：key=[0x6A,0xDE,0x78,0xAC]foriinrange(0x1C00):c=firmware[i+0x400]rol=(c<<(i%3))|(c>>(8-i%3))plain=rol^key[i%4]fw_dec.append(plain)识别为XTEA‐64，delta0x9E3779B9，密钥长度128bit，模式ECB，提交diff报告：壳代码与解密后函数交叉引用一致。18.侧信道迹线分析与密钥恢复（10分）提供1000条功耗迹线（采样率24MS/s，长度1M点），已知AES‐128第1轮S‐box输出。要求：a.用Jupyter完成CPA攻击，恢复主密钥；b.提交代码与密钥，并给出相关系数峰值图。答案：CPA针对S‐boxHW模型，峰值出现在3742样本点，相关系数0.92，密钥为0xD014F9A8C7EE7B4B9A1E2F3C5D764829，代码使用chipwhisperer.analyzer标准API，图略。19.PCB逆向与信号完整性验证（8分）提供四层板高清扫描图（600dpi），顶层丝印模糊。要求：a.用KiCad重建最小系统原理图，识别出主控型号；b.对高速USB‐HS差分线进行阻抗计算，给出单端/差模阻抗值与叠层假设；c.导出Gerber并运行SI仿真，眼图宽度≥0.7UI判为通过。答案：主控为CY7C68033A‐56PVXC，通过QFN56封装与24MHz晶振定位；叠层假设FR41.6mm，L1‐L20.2mm，Er=4.3，差分线宽0.18mm间距0.15mm，计算得Zdiff=89Ω，Zodd=45Ω；仿真眼图0.73UI，通过。20.无线协议栈fuzzing与漏洞利用（15分）目标：nRF52运行私有2.4G协议，抓包文件给出频道2402MHz，1MbpsGFSK。要求：a.用GNURadio重放并解析帧格式，给出字段表；b.构造畸形帧触发崩溃，记录PC寄存器；c.编写ROP链，实现闪存转储0x00040000‐0x00041000到UART0，提交完整exploit.py。答案：帧格式：Preamble0xAA54，AccessAddress0x8E89BED6，PDU头1字节，长度4‐bit，MIC0‐4字节；崩溃：长度字段0xF导致memcpy越界，PC=0x00025F42（memmove+0x16）；ROP链：gadget10x00025F42pop{r0,r1,r2,pc}r0=0x00040000,r1=0x1000,r2=0x00000601（uart_send地址），pc=0x00018002（memcpy尾返）exploit.py使用HackRF发送，重放20次后成功dump，MD5值0x7fa3c6…，提交完整脚本与dump文件。五、综合报告（附加5分，可冲抵其他题扣分）请用英文撰写技术摘要（≥300词），概述你完成的主要逆向步骤、所用工具、关键发现与修复建议，禁止出现真实考生信息。答案示例：ThisreportdetailsthefullchainreverseengineeringofaproprietaryIoTfirmwarepackage.Bycombiningstaticanalysiswithside‐channelattacks,wesuccessfullydeobfuscatedadual‐layerencryptionscheme,recoveredtheAES‐128keywithin3742powertraces,andreconstructedthePCBschematicfroma600dpiscan.Acustom2.4GHzprotocolstackwasreverse‐engineeredandfuzzed,leadingtoamemorycorruptionbugthatcouldbeleveragedtodump4KBofinternalflashviaacompactROPchain.Thefindingswerevalidatedonbothsimulationandhard