XLYcmy的博客

架构清晰：面向对象设计，职责分离明确算法全面：覆盖了 CTF 中最常见的编码和简单加密用户体验优秀：提供命令行和交互式两种界面代码质量高：类型注解、异常处理、文档完整扩展性好：易于添加新算法和功能虽然该工具主要面向 CTF 竞赛，但其模块化设计和清晰的代码结构使其成为学习密码学基础、Python 编程和软件工程实践的优秀示例。程序在易用性和功能性之间取得了良好平衡，同时保持了代码的可读性和可维护性。

函数内有一个与服务名相关的列表。

一个专业、全面的Windows设备IOCTL扫描工具，它通过系统化的方法解决了驱动接口发现这一复杂问题。专业性：基于Windows驱动开发的深入理解设计扫描策略全面性：提供多种扫描方法覆盖不同使用场景健壮性：完善的错误处理和资源管理实用性：清晰的输出格式和用户反馈可扩展性：模块化设计便于功能扩展程序的核心价值在于将复杂的驱动通信探测任务自动化、系统化，为安全研究人员、系统开发者和逆向工程师提供了强有力的工具。

限于时间、资源、经济等综合因素影响，最终选择的方案并非最佳实践，模型未能完成一个更好的训练+强化学习（因实际环境没有GPU，很难完成这些操作）。综合现有资源条件，完成技术选型，并尽可能达到一个较优的结果，可能是此次比赛的学习和收获。

至此，模型完成训练验证，可以对于初赛结果进行预测。编写python程序进行预测，对1000个游戏日志文件进行自动化解析与推理，识别玩家核心行为意图并生成标准化答题卡（Excel格式）。调用本地ollama的API接口，配置参数为：temperature=0.1（低随机性，保证输出标签稳定）、top_p=0.9（控制生成结果的概率分布）、num_predict=10（限制输出长度，仅保留意图标签）等。请根据游戏日志分析玩家的意图，只输出意图标签，不要输出其他内容。技能交战：玩家正在或即将使用技能进行战斗。

该脚本基于ollama生态的create机制，将指定基础模型与预配置的Modelfile结合，快速生成定制化模型，同时覆盖环境检查、依赖验证、结果校验等关键环节，降低人工操作门槛，保障流程鲁棒性。在模型具体实现预测之前，对于训练模型先进行验证，编写脚本在验证集上完成验证过程，当准确率达到预期之后，再继续完成之后的模型预测。可以看到，脚本自动化完成环境检查→基础模型验证→配置文件校验→模型构建→结果验证的全流程，并支持参数灵活定制（基础模型、自定义模型名、数据目录），适配不同场景的模型定制需求。

主玩家识别则从多玩家日志中定位核心玩家（主玩家），作为特征提取的基准（保证特征聚焦目标玩家）；最后，完成日志摘要生成，筛选主玩家最近10条状态，提取时间、位置、速度、开镜状态等关键维度，并汇总最近5条动作、3条伤害事件，生成人类可读且机器可处理的日志摘要（作为模型输入）。首先对于比赛提供的游戏玩家意图预测训练数据集进行处理构造，利用Python编程进行处理，将非结构化的游戏日志文件转化为标准化、带标注的意图分类训练数据集，支撑之后“玩家未来5秒行为意图预测”模型的训练。

若未命中，遍历 0~255 所有字节密钥，对每个字节执行异或并尝试 UTF-8 解码，若通过 Flag 校验则返回。- 直接调用 base64.b64decode(data)，用 UTF-8 解码后检查是否为 Flag。- 对 ASCII 可打印字符范围!2. 多层 Base64 解码 (_try_multi_base64)- 直接将字节流逆序 data[::-1]，然后解码为 UTF-8。6. URL 解码 (_try_url_decode)7. Hex 解码 (_try_hex_decode)

从起点和终点同时开始BFS，每次扩展一层，直到两个搜索树相遇。- 递归回溯，可设置最大深度max_depth防止无限递归。- 过程：从起点开始，逐层向外扩展，记录访问标记和路径。- h(n)：启发函数，可选曼哈顿距离或欧氏距离。- 代价函数：f(n) = g(n) + h(n)- g(n)：从起点到当前节点的实际步数。需要反转（如果是从终点搜索的）算法（从起点和终点同时搜索）1. BFS（广度优先搜索）无法找到从起点到终点的路径。如果找到更好的路径，跳过。绘制解路径（使用线条）如果找到了更好的路径。

（1）BFS 探索(explore_bfs)：使用广度优先遍历，从起点开始，将相邻未访问且可通行的格子加入队列，直到所有可达区域被探索完毕或达到最大步数。每探索一个新格子，会调用 detector探测四个方向，记录墙壁。（2）DFS 探索(explore_dfs)：深度优先遍历，使用栈回溯，同样依赖侧信道探测。破解流程终止：移动到终点失败。智能解密失败，尝试暴力破解。破解流程终止：迷宫探索失败。破解流程终止：路径查找失败。导出失败（可能需要安装。侧信道校准次数（默认。

也采取了静态分析+模拟执行方式，在 IDA Pro 中使用 Unicorn 引擎模拟执行混淆代码，还原真实控制流；此外，使用 Process Monitor，以管理员权限运行，设置过滤器: Process Name is ShadowGateAPP.exe，清空记录 (Ctrl + E)后运行 ShadowGateAPP.exe 并执行操作，查看DeviceIoControl 调用。这种常见遍历并非取得太大功效，使用IDA对于设备函数进行深入分析。这是明显的代码混淆和反分析保护，用来阻碍静态分析的。

某软件或硬件最近有所更改，可能安装了签名错误或损毁的文件，或者安装的文件可能是来路不明的恶意件。程序会检测驱动设备是否已安装并可用，通过尝试打开设备句柄并发送一个测试 IOCTL 来验证通信链路。接着返回第一个可用的设备名供主程序直接使用。此外提供交互式排查界面，方便手动测试、查看驱动服务状态、获取故障排查建议。程序返回可用结果"\\.\ShadowGate"。第一个可用的设备名称，如果没有则返回。使用检测到的设备名称运行。未检测到可用的驱动设备。未找到运行中的驱动服务。驱动未安装或服务未启动。

答：信息系统安全风险评估是依据有关信息系统安全技术与管理标准，对信息系统及由其产生、处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程。通过安全风险评估，可全面、准确地了解组织的安全现状，发现系统的安全问题和可能的危害，从而确定信息系统的安全需求。答：可控性原则：在风险评估项目实施过程中，应严格按照标准的项目管理方法对服务过程、人员和工具进行控制，以确保风险评估实施过程中的可控和安全。（3）过程可控性：应按照项目管理的要求，成立项目实施团队，采用项目组长负责制，达到项目过程的可控。

安全管理的目的是保证系统或活动的正常运行，同时也要考虑成本、效益、可行性等因素。安全管理需要根据不同的情况和需求，制定合适的标准和策略，进行风险评估、监测、预防和应对。风险的识别与评估是安全管理的基础，风险的控制是安全管理的目的，从这个意义上讲，安全管理实际上是风险管理的过程。由此可见，安全管理策略的制定依据就是系统的风险分析和安全要求。答：这句话的意思是，安全管理不是要消除所有的安全风险，而是要通过合理的方法和措施，将安全风险控制在一个可以接受的范围内，即不会对用户和决策者造成严重的损害或影响。

物理安全管理需要考虑防火、防漏水和水灾、防自然灾害等物理安全威胁，因此，需要一系列措施保证组织或机构有足够的能力控制这些物理威胁，及时发现，并且一旦出现这些威胁，能够及时处理，保证人员安全。答：物理安全是信息系统安全的基础，它就是保障信息系统有一个安全的物理环境，对接触信息系统的人员有一套完整的技术控制手段，且充分考虑自然事件可能对信息系统造成的威胁并加以规避。概念：信息系统安全管理指通过计划、组织、领导、控制等环节来协调人力、物力、财力等资源，从而保证组织内的信息系统以及信息处理的安全。

完整性度量是一个过程，是在可信平台启动过程中，组件（固件或软件）加载和执行之前，其度量散列值被扩展到了TPM内部的平台配置寄存器(PCR)中，通过计算该组件的散列值，并同期望值比较，就可以维护它们的完整性。对平合的可信性进行度量，对度量的可信值进行可信存储，当访问者询问时提供可信报告，这一机制简称为度量、存储和报告机制。综上：在TCG中，可信根是无条件被信任的，系统不检测（也没有条件检测）可信根是否可信，以及可信根的行为，因此，可信根是否可信是平台可信的关键，而TPM则是可信根的基础。

安全日志是记录系统活动的文本文件，包括登录、文件访问、网络连接等信息，是系统运行过程中产生的，通常由操作系统、应用程序和网络设备生成，可以用于监控系统的活动，帮助检测和识别安全事件，以及进行安全故障排除。安全日志和审计数据虽然都是记录系统活动的信息，但它们的用途和生成方式有所区别：安全日志主要用于监控系统的活动，而审计数据主要用于确保系统的合规性和安全性。处理高速网络的挑战：随着网络速度的不断提高，包捕获机制需要能够处理大量的数据包，这对硬件和软件的性能提出了更高的要求。

安全级别高的可以访问安全级别低的数据，但安全级别低的不能访问安全级别高的数据;这两种管理的区别在于，拥有者可以访问所有可能的数据类型，而管理员具有控制数据的能力。（6）加解密对数据库的合法用户是透明的,加密后的数据库仍然能够满足用户在不同类别程度上的访问,尽量减少对用户使用的影响。（5）加密后的数据有较强的抗攻击能力,应该能够满足DBMS定义的数据完整性约束,解密时能识别对密文数据的非法篡改。（3）加密机制在理论上和计算上都具有足够的安全性，即在数据库数据的生命周期内,被加密的数据无法被破解。

答：Android操作系统是建立在Linux内核基础之上的，Android的内核除了提供Linux标准版的硬件驱动、网络、文件系统坊问控制和进程管理等功能外,还增加了一些新的特征，如：低内存管理机制，唤醒锁机制(集成进了Linux内核的唤醒机制中）,匿名共享内存，闹钟，网络访问控制机制和 Binder机制等。在文件被删除或系统重装后，密钥通常也会被删除或丢失，因此无法解密文件：失去原先的主密钥，从而失去EFS的访问能力，所以会导致不再能够打开原先使用 EFS加密的文件。否则，该进程将被拒绝访问该资源。

答：在多任务操作系统中，每个进程的运行需要一个独立的存储空间，进程的程序和数据都存储在该空间中,这个空间不包括该进程通过I/O指令访问的辅助存储空间(如磁盘、硬盘等），即虚地址空间。答：区别：与病毒不同，蠕虫是一个单独的程序，可以独立存在，无须备生在某个程序之中，其复制时是自身的完整拷贝。）安全风险：比如，当一个变量被存储在一个过大的存储单元中时，它可能会与其他敏感信息共享同一个存储单元，从而增加了信息泄露的风险。存储单元过小会导致内存碎片化问题，这会浪费大量的内存空间，从而导致系统的性能下降。

一、1.RBAC0 RBAC1 RBAC2 RBAC32.属性 身份标识3.接入访问控制 资源访问控制 网络端口和节点的访问控制二、1.B2.A3.ABE4.BCD5.ABC三、1.答：基于属性的访问控制（ABAC）是通过对实体属性添加约束策略的方式实现主、客体之间的授权访问。ABAC模型以属性为最小的授权单位，替代基于角色的访问控制模型中以身份标识为依据的授权方式，以满足开放网络环境下资源访同控制的要求。根据信息系统预先定义的安全策略，对提出访间请求的主体，依据其拥有的属性特征集、客体特征属性集和相应的环

每一种角色对应一组相应的权限。不必在每次创建用户时都进行分配权限的操作，只要分配用户相应的角色即可，而且角色的权限变更比用户的权限变更要少得多，这样将简化用户的权限管理，减少系统的开销。强制访问控制是指不再让普通用户管理资源的授权，而将资源的授权权限全部收归系统，由系统对所有资源进行统一的强制性控制，按照事先制定的规则决定主体对资源的访问权限。自主访问控制是指资源的所有者不仅拥有该资源的全部访问权限，而且能够自主的将访问权限授予其他的主体，或从授予权限的主体收回其访问权限。

在每个用于认证的消息后附加一个序列号，只有序列号。正确的消息才能被接收。

系统的硬件组成 、设施 （含网络）、运行环境和存储介质等方面的安全。

因为设计一个系统时，可以达到系统要求的方法是多种多样的，有的对安全有利，有的则对安全不利。在这种情况下，如果没有一个安全体系结构来指导系统设计的早期决策，就完全有可能选择了有致命安全缺陷的设计思路，从而只能采取在系统设计完成后，再添加安全功能的补救措施，但此时可能需要付出比选择其他方案要多很多倍的代价才能获得相应的安全特性和保证。入侵检测是指发现或确定入侵行为存在或出现的动作，也就是发现、跟踪并记录计算机系统或计算机网络中的非授权行为，或发现并调查系统中可能为视图入侵或病毒感染所带来的异常活动。

答：信息系统安全体系结构是从系统的角度解决信息系统安全问题，将普遍性的安全体系原理与信息系统自身实际应用相结合，形成满足信息系统安全需求的体 系结构，其目标是从技术和管理上保证完整准确地实现安全策略，全面准确地满足安全需求，包括确定必需的安全服务、安全机制、安全技术和安全管理，以及它们在系统上的合理部署和关系配置等。信息系统安全体系结构是与信息系统的体系结构紧密相连的，它是将信息安全要素加入系统体系结构中，描述的是信息系统满足安全需求时各基本要素之间的关系，即：安全要素要如何组织才能满足系统安全的需要。