2026年网络攻防实战竞赛(CTF)夺旗赛模拟试卷(含答案)(隐写术逆向工程)

2026年网络攻防实战竞赛(CTF)夺旗赛模拟试卷(含答案)(隐写术逆向工程)一、单项选择题（每题2分，共20分。每题只有一个正确答案，请将正确选项字母写在括号内）1.在PNG文件结构中，用于存储图像数据的默认Chunk类型标识为（）A.IHDRB.IDATC.PLTED.IEND答案：B2.使用`steghide`工具提取JPEG隐写信息时，默认使用的加密算法是（）A.AES-128-CBCB.BlowfishC.3DESD.RC4答案：B3.某WindowsPE文件节区名为`.code`，其Characteristics字段值为0x60000020，下列描述正确的是（）A.包含可执行代码且可写B.包含可执行代码且可读C.包含初始化数据且可写D.包含未初始化数据且可读答案：B4.在CTF逆向工程中，遇到指令`jmpdwordptr[eax4+0x401000]`，其最可能的用途是（）4.在CTF逆向工程中，遇到指令`jmpdwordptr[eax4+0x401000]`，其最可能的用途是（）A.循环展开B.虚函数表跳转C.异常处理D.内联钩子答案：B5.使用`binwalk-e`提取固件后，发现某文件magic为`0x27051956`，该文件类型为（）A.uImageB.TRXC.squashfsD.JFFS2答案：A6.在AES-ECB模式中，若明文块P1与P2完全相同，则对应的密文块C1与C2的关系为（）A.C1与C2完全随机B.C1与C2相同C.C1与C2相差0x10D.C1与C2互为逆答案：B7.某ELF文件节头表被恶意清零，仍可通过下列哪个结构恢复入口点（）A..dynamicB..shstrtabC.ProgramHeaderTableD..symtab答案：C8.在LSB隐写中，若载体图像为24位真彩色，每个像素可嵌入最大比特数为（）A.1B.3C.8D.24答案：B9.使用`upx-d`脱壳失败，提示“overlaysizenon-zero”，最合理的下一步是（）A.使用`upx-f`强制脱壳B.使用`lzip`解压C.手动剥离overlay后修复入口D.直接调试UP0节答案：C10.在CTF中，给定Base64串`d2hvYW1p`，其解码后的十六进制值为（）A.77686f616d69B.77686f616d6aC.77686f616d68D.77686f616d67答案：A二、多项选择题（每题3分，共15分。每题有两个或以上正确答案，漏选、错选均不得分）11.下列哪些工具可直接分析AndroidDEX文件（）A.jadxB.dex2jarC.IDAProD.steghide答案：A、B、C12.关于PNG的APNG扩展，下列说法正确的是（）A.acTLchunk控制动画帧数B.fcTLchunk定义帧尺寸C.fdATchunk存储帧数据D.所有标准PNG解码器都能播放APNG答案：A、B、C13.在x86-64逆向中，下列哪些指令会隐式修改RSP寄存器（）A.callB.retC.pushD.movrsp,rax答案：A、B、C14.下列哪些特征可用于检测UPX加壳（）A.SectionnameUPX0/UPX1B.入口点位于UPX0C.高熵值D.ImportTable为空答案：A、B、C、D15.在CTF内存取证中，Volatility的`malfind`插件可检测到（）A.VAD条目无IMAGE标志B.页面执行权限C.MZ头D.线程隐藏答案：A、B、C三、填空题（每空2分，共20分）16.PNG文件IHDRchunk中宽度字段占用________字节，采用________字节序。答案：4，大端17.使用`foremost`恢复JPEG时，其默认文件头magic为________，文件尾magic为________。答案：0xffd8ff，0xffd918.在RSA加密中，若公钥指数e=3，且明文m=10，模数n=55，则密文c=________。答案：4019.某ELF文件被strip后，符号表`.symtab`被移除，但仍可通过________节中的________信息恢复部分函数名。答案：.dynsym，DT_SYMTAB20.使用`zsteg`检测PNGLSB隐写时，参数`-b`表示按________顺序读取位，参数`-o`表示________。答案：RGB，偏移字节21.在WindowsPE导入表中，IMAGE_IMPORT_DESCRIPTOR结构的OriginalFirstThunk字段指向________表，FirstThunk字段指向________表。答案：INT，IAT22.使用`apktool`反编译APK后，smali代码中指令`invoke-super`表示调用________类的方法。答案：父四、简答题（每题10分，共30分）23.描述PNG图像中IDATchunk的压缩流程，并说明如何利用zlib格式缺陷嵌入隐藏数据。答案：(1)IDATchunk存储经过zlib压缩的图像数据，zlib格式由CMF、FLG、压缩数据、ADLER32校验构成；(2)压缩数据采用DEFLATE算法，包含HLIT、HDIST、HCLEN等Huffman树描述；(3)利用DEFLATE的非压缩块类型（BTYPE=00）可在任意字节边界插入额外数据，且不影响解压结果；(4)攻击者可在非压缩块后追加自定义数据，再通过自定义解压器提取，标准PNG解码器会忽略多余字节；(5)检测方法：计算IDAT解压后数据长度与图像理论长度差异，或使用`pngcheck-v`查看多余字节。24.说明UPX加壳后OEP（原始入口点）的恢复流程，并给出x86-32下的调试脚本片段（GDB）。答案：(1)UPX加壳后，入口点位于UPX0节，代码自解压至UPX1；(2)解压完成后通过`pushad`保存寄存器，随后`popad`恢复，紧接着`jmpOEP`；(3)断点设置在`popad`后的`jmp`指令，提取跳转目标即为OEP；(4)GDB脚本示例：```bashset$pc=0x00401000bp0x0040d000+0x1000bp0x0040d000+0x1000commandssilentsetoeprintf"OEP=0x%x\n",$oepquitendrun```(5)将$oep值写入文件，使用`dd`剥离UPX0/UPX1，再修复SectionCharacteristics。25.描述AndroidDEX文件`dex_header`结构中`map_off`字段的作用，并给出通过`010Editor`模板定位`map_list`的公式。答案：(1)`map_off`给出文件偏移，指向`map_list`，其描述所有类型及偏移、大小；(2)`map_list`首四字节为size，后续每项12字节：type(2)、unused(2)、size(4)、offset(4)；(3)010Editor模板公式：```clocaluint32map_off=ReadUInt(dex_header.map_off);localuint32map_size=ReadUInt(map_off);printf("map_listat0x%x,%uentries\n",map_off,map_size);```(4)通过遍历`map_list`可校验所有chunk完整性，检测篡改。五、综合应用题（共65分）26.隐写术综合（20分）给定文件`stego.png`，尺寸1024×768，24位真彩色，文件大小1234567字节。使用`zsteg`检测到`b1,rgb,lsb,xy`存在连续ASCII：“CTF{”。(1)写出提取该隐藏流的Python脚本，要求不依赖第三方隐写库，仅使用PIL。（8分）(2)提取后得到十六进制流`0x789c...`，判断压缩格式并解压，给出最终flag。（6分）(3)说明如何在不改变文件大小前提下擦除该隐藏流，并给出擦除脚本。（6分）答案：(1)```pythonfromPILimportImageimportsysim=Image.open("stego.png")w,h=im.sizebits=[]foryinrange(h):forxinrange(w):r,g,b=im.getpixel((x,y))bits.append(str(r&1))bits.append(str(g&1))bits.append(str(b&1))data=''.join(bits)flag=''foriinrange(0,len(data),8):c=int(data[i:i+8],2)if32<=c<=126:flag+=chr(c)else:breakprint(flag)```(2)流以`0x789c`开头，为zlib压缩，使用`zlib.decompress`解压得`CTF{zlib_1n_pNg}`。(3)擦除脚本：将LSB全部置0，保持字节大小不变。```pythonout=Image.new(im.mode,im.size)foryinrange(h):forxinrange(w):r,g,b=im.getpixel((x,y))r=r&0xfeg=g&0xfeb=b&0xfeout.putpixel((x,y),(r,g,b))out.save("clean.png")```27.逆向工程综合（25分）给定ELF64-bit文件`rev`，运行输出“Wrong!”。使用IDA发现主要逻辑在函数`check()`，其反编译如下：```cboolcheck(chars){boolcheck(chars){uint8_texp[16]={0x3a,0x59,0x52,0x2c,0x68,0x4e,0x3d,0x21,0x32,0x74,0x5a,0x36,0x21,0x6d,0x55,0x38};for(inti=0;i<16;i++){if((s[i]^0x17)+0x42!=exp[i])returnfalse;}returntrue;}```(1)写出求解正确输入的Python脚本，得到flag。（10分）(2)若函数被编译为AVX2向量指令，说明如何在不支持AVX2的CPU上动态patch，使其回退到SSE，给出patch字节序列。（8分）(3)说明如何使用`qemu-user`模拟运行该ELF并验证flag。（7分）答案：(1)```pythonexp=[0x3a,0x59,0x52,0x2c,0x68,0x4e,0x3d,0x21,0x32,0x74,0x5a,0x36,0x21,0x6d,0x55,0x38]flag=''.join([chr((e-0x42)^0x17)foreinexp])print(flag)#输出：CTF{v3c_1sr3v3r}```(2)原指令`c5fd6f05xxxxxxxx`（vmovdqaymm0,[rip+off]），patch为`488b05xxxxxxxx`（movrax,[rip+off]）+`488945f0`（mov[rbp-0x10],rax），共12字节，剩余用`90`填充；(3)```bashqemu-x86_64-static-L/usr/x86-64-linux-gnu./rev输入CTF{v3c_1sr3v3r}，输出Correct!```28.固件隐写与取证综合（20分）给定路由器固件`firmware.bin`，使用`binwalk`提取出`squashfs-root`，在`/www/cgi-bin`发现`admin.cgi`，文件大小12345字节，strings无异常，但`hexdump-C`末尾附加`0xdeadbeef`及后续1024字节随机数据。(1)说明如何判定该附加数据是否为隐写容器，给出检测脚本。（6分）(2)发现附加数据实为XOR加密，密钥长度为4字节，使用xortool得到密钥为`0xba0xbe0xca0xfe`，写出解密脚本并提取隐藏PE文件。（8分）(3)将提取的PE提交到VirusTotal，发现检出率为0，说明如何静态分析其导出函数并给出关键函数名。（6分）答案：(1)检测脚本：```pythonimportmmap,structwithopen("admin.cgi","rb")asf:mm=mmap.mmap(f.fileno(),0,access=mmap.ACCESS_READ)off=mm