「参赛指南」2025数字中国创新大赛移动互联网安全积分争夺赛总决赛

为贯彻落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《工业和信息化部等十六部门关于促进数据安全产业发展的指导意见》《网络产品安全漏洞管理规定》等法律法规政策文件，以及党的二十大关于建设现代化产业体系的重要论述，广泛凝聚社会各界关于加快建设网络强国、数字中国的共识，在数字中国建设峰会组委会指导下，福建省通信管理局和福州市人民政府主办，中国软件评测中心（工业和信息化部软件与集成电路促进中心）承办2025数字中国创新大赛数字安全赛道数据安全和移动互联网（APP）安全赛事。

注：①答疑方式为线下答疑。②签到需要核查社保证明、身份证、学生证等相关材料，请选手务必准备好。

参赛地址和账号密码以现场信息条形式下发

本次决赛分为理论知识、技能实操与不良APP发现三个竞赛环节。参赛选手分为桃李组（学生组）和松柏组（非学生组），两个组别比赛内容相同，独立进行总分排名。

 (一) 理论知识赛

理论知识赛包括单项选择题、多项选择题和判断题，共100道题，主要考察参赛选手对政策法规和移动互联网应用安全基础知识等的掌握。

参赛队伍在竞赛开放时段登录竞赛平台进行作答，组委会按照队伍参赛人数提供答题账号（最多4个/队），每队至少答题1次，答题时长限时1小时，超时未作答者记为0分。

（二）技能实操赛

技能实操赛涉及鸿蒙操作系统、安卓操作系统、iOS系统，由于比赛全程禁止使用实体手机，请选手按需自备操作环境（鸿蒙题目需要选手准备相应工具及环境，如abc-decompiler、python等；安卓推荐工具为雷电模拟器9.1.141版本，模拟器信息为手机版OPPO Reno11 Pro  Android版本9x86_64架构；IOS题目推荐hopper、Ghidra等工具，选手自行选择）。

技能实操赛答题时长6.5小时，赛题涵盖APP逆向分析、APP通信安全、APP文件加解密、APP隐私数据安全及合规等方向。各参赛选手通过分析题目获取flag进行得分。

flag的格式为flag{XXXX}，选手需提交包含flag{}在内的完整flag值，例如：答案为flag{abc}，选手需提交flag{abc}。

（三） 不良APP发现

3.1 不良APP定义

在本次赛事中，存在以下3种严重问题的应用程序视为不良APP应用，参赛选手需以报告的形式提交发现相关问题以获得积分。

(1)病毒恶意程序

应用包含病毒等恶意程序代码，在用户不知情或未授权的情况下，在移动终端系统中安装、运行以达到不正当目的，或具有违反国家《网络安全法》等相关法律法规的行为。

(2)侵害个人信息

应用存在违法违规收集使用个人信息的问题，重点观测近一年内国家一级监管机构（网信办/工信部/公安部/市场监督管理总局）出现过1次及以上通报案例行为，省/市级监管单位（各地网安/通管局等）出现过3次及以上通报案例行为。例如违规收集个人信息、超范围收集个人信息等行为。

(3)传播非法内容

包含色情、赌博等违反法律法规和社会公序良俗的内容，或者为传播此类内容提供途径的行为。

该不良APP发现赛题所需环境、工具推荐如下（不做强制推荐，选手自行考量选择）：

hook框架: frida-server x86 16.0.3， frida-server x64 16.0.3，frida，frida-tools，或xposed等其他hook框架；

反编译工具: ida pro ，jadx，GDA；

运行环境: python，推荐夜神模拟器，因比赛环境没有网络，需提前下载安装好不同的系统版本（安桌9及以上，且同时安装32位和64位），比赛时默认使用64位安卓系统运行；

其他工具: 参赛选手可自行准备其他自己在恶意应用分析中常用的相关工具。

3.2 赛题介绍

组委会提供10个有效的APP样本信息，包含8个病毒恶意程序样本、1个侵害个人信息样本以及1个传播非法内容样本，由参赛者利用自身能力在规定时间内完成对应用的检测分析，对不良应用的应用名称、包名、版本、文件md5、不良类型以及详细判定过程、证据进行详细描述。

（一）理论知识赛

理论知识赛中，单选题、多选题、判断题均为1分/题，选手答对得分、答错不扣分。

每支队伍得分为：该队所有答题账号有效得分的最小值（不含0分）；仅当某队全部账号均为0分时，该队得分记为0分。

（二）技能实操赛

本次技能实操赛总体采用“CD积分+一二三血”的模式。

CD积分模式中，选手每道解出赛题的得分 = 该题目原始分值 * ( 1 + 热度值 )。热度值使用百分比形式表示，最大默认100%，最小值0%。

首个解出赛题的选手得分 = 500 * ( 1 + 100% )。当题目一旦被解出，将启动衰减机制。热度值立刻衰减到99%，此后每5分钟热度值衰减1%，衰减至0%后停止（即每题可获得分数下限为500分）。

每题附加一二三血奖励分，对前三名解出该道赛题的选手，分别在该题CD积分的基础上提供5%、3%、1%的得分奖励。

（三）不良APP发现

不良APP包含三种类别(病毒恶意程序、侵害个人信息、传播非法内容)，参赛选手需将所有应用问题通过一份报告进行详细描述并提交至平台（报告命名为:“队伍名称+不良APP分析报告.pdf”,若出现一个队伍提交多份报告的情况，以最后提交的报告为准），报告内容见模板。注：每个问题点为固定分值。

l 病毒恶意程序问题，需在报告中写明对应APP的flag（一个APP存在一个或者多个flag）；

l 侵害个人信息问题，需参赛选手可能完整披露应用侵害个人信息的违规内容，如截图、行为堆栈信息等；

l 传播非法内容问题，需披露应用的具体违规的证据内容。

整体计分规则如下:

裁判根据选手提交报告中的flag信息、证据信息，判定正确则可得分，反之不得分，整体不扣分。

技能实操赛结束0.5小时内，即4月19日17:30前，参赛队伍需要在平台上传提交每道实操赛题详细的解题报告（WriteUp），经组委会审核后，确定各参赛队最终得分和排名。逾期提交或不提交视为放弃本次比赛排名。注：不良APP发现无需提交WP，提交报告即可。

本次决赛的最终成绩，由理论知识、技能实操和不良APP发现三个模块得分计算得出，满分10000分。三个模块权重依次为15%、55%、30%。

计算公式如下：

其中，C为参赛队伍本次决赛最终得分，C1team为该队理论知识赛得分，C2team为该队技能实操赛得分，C2max为所有队伍技能实操赛最高得分，C3team为该队不良APP发现得分（不良APP发现总分为3000分）。

以下情况将视为违规，大赛组织委员会有权取消参赛队伍的参赛资格：

1. 参赛报名信息造假，跨队重新组队；

2. 参赛过程中出现违反国家相关法律、法规的行为；

3. 涉嫌抄袭、代打、串题、交换解题思路等作弊行为；

4. 比赛期间进行跨队伍交流；

5. 攻击比赛平台或在规则之外恶意攻击其他竞赛选手，破坏比赛公平性、稳定性的行为；

6. 在比赛过程中发现或者被举报认定存在的其他违规行为。

1. 比赛全程禁止选手访问互联网；选手需在开赛前上交手机等通讯设备；

2. 选手需通过浏览器（建议Chrome）访问竞赛平台，不允许把账号泄露给他人；

3. 比赛期间，禁止不同参赛队伍合作或共享解题思路等任何比赛相关信息；

4. 禁止攻击赛事平台，如果发现平台漏洞，请向运维团队报告；

5. 关于比赛规则的调整和最终解释权归大赛组委会所有，以组委会最新通知为准。

平台运维由支持方提供运维小组，决赛过程中全程维护。题目均经过多次测试稳定运行上线。除平台运行故障问题外，赛题问题理论上不接受任何形式的咨询。平台运维问题请现场举手联系工作人员。