多图超强评测!江苏省普通高中信息技术学业水平测试考试系统做得烂死了!
今天我去参加了江苏省普通高中信息技术学业水平测试,作为一个考生,我想谈谈自己对这次考试和之前下发下来的练习系统的看法。 按照时间顺序,先说那个练习系统。我们本来通知是需要的同学购买光盘的,定价很黑,要20元/张。真不知道考试院的那伙坐办公室的领导们脑子里面是怎么想的?! 学生的钱赚得容易还是怎么着?反正我是非常BS的。还好后来没有再说买光盘的事情,学校的网站提供了下载。下面我对这个考试练习系统的做一番简单的评测。 我下载下来看看,安装程序有173MB,装完以后还要一个微软的SOAP工具包。安装的时候向system32写了挺多东西的,不知道都是些什么。也正因为这些还有其他的一些程序设计上的问题,这个考试练习系统和我家笔记本上的Vista系统不兼容。不过这也到可以理解,毕竟整个江苏省还没有哪个学校高级到电脑室装Vista的。于是我把它装到了台式机的XP系统中去。 装好以后我打开那个练习系统,可以看出它的完成度还是比较高的,虽然在UI设计方面还存在一些瑕疵(后话:今天我考试的时候发现UI稍有改进,但是瑕疵依然存在,这也体现了软件公司的不严谨)。当然我不能要求这个考试系统的UI设计能和知名公司(比如eico design)相比了,能看得下去我就知足矣! 由于我们学的是网络技术应用,所以我就选择了一份相应的试卷进入。所有的题目都放在一张大页面中,这倒无所谓了,但是字号仅有9pt就实在让人看不过去了吧?如果字号能大一点就好多了。这里面的题目我到是没有什么好说的。不过有一道操作题实在是让我喷饭了,那就是修改IP地址的题目。点击前面的那个图标以后,就出现了模拟Windows2000的桌面的画面,在这个画面中,只有“网上邻居”可以使用右键点击,出来的菜单只有“属性”点击后有效,点了以后又出来一个图片,这时只有“本地连接”点右键有反应,而菜单里还是只有“属性”点了有反应。最后又跳出一个图片,鼠标放在“属性”按钮上居然还会变成手型……彻底无语……点了这个按钮后终于出来一个像点样子的对话框,可惜那也是伪造的,和系统里面的根本不一样……到此,我已经被该软件公司的设计才能所打动得热泪盈眶,五体投地,欲罢不能…… 做完题目后,点击交卷。在单机版里可以立即查到自己的分数,还可以看正确答案,这点倒是值得肯定的。 试用完后,我打开了考试系统的安装目录一探究竟。默认安装目录是C:\ksExcise\,这里面的ksData才是真正的核心。这个单机版估计就是把服务端和客户端放到一起,做了一点限制而已。经过初步的勘测,发现考生做完的题目经过rar打包后放在UpExam目录下,估计真正考试的时候这个rar就是要传上去的。而operation文件夹下存放着考试需要的素材文件。 C:\ksExcise\ksData下,散布着各种文件,其中很多是exe。奇怪的是,这些程序有的是用Visual Basic写的,有些是用Delphi写的,令我感觉十分凌乱。其中最大的exe文件,是一个叫examsystem.exe的。我打开它看了一看,里面的位图资源果然证实了我之前的猜想——那个设置IP地址的题目是如此的粗制滥造…… 下面我想说的是考试系统中最重要的环节,也是最应该保密的环节,那就是试题的内容。但是让我感到十分遗憾的是,单机版中的试题加密措施实在是太小儿科了,简单到连我这样的菜鸟都能破解的地步。下面我就来说一说我的破解方法。 在C:\ksExcise\ksData下,有一个名为button2的文件,它便是试题数据库核心文件。当然,简单一点的加密措施也是有的。如果想直接得到解密的数据库文件,那么只需要登陆进考试,然后在C:\Documents and Settings\[用户名]\Local Settings\Temp\[计算机名称]\考试数据\文件夹下,就可以看到解密了的button2文件,把它拷贝出来即可(当然不复制也没关系,因为这个程序在退出的时候并不会删除自己产生的临时文件)。当然这需要打开考试系统到登陆界面。 根据我的猜想,真正的考试环境下,服务器端也应该有这样的一个button2文件的。这就为考题的泄密创造了“良好的条件”。事实上,就算不适用客户端,也可以直接对加密过的button2文件进行处理,因为我刚才说过,这个文件的加密措施实在是太小儿科了。说白了,就是修改了文件头部,我们只需要把它修改回来就可以了。用16进制编辑器打开button2文件,可以看到文件头部是这样的: Offset 0 1 2 3 4 5 6 7 8 9 A B C D E F 00000000 7A 67 40 23 77 51 3F 48 4E 4B 59 49 5E 4A 1F 12 把偏移量从00000000到0000009F这段修改成下面的这样: Offset 0 1 2 3 4 5 6 7 8 9 A B C D E F 00000000 00 01 00 00 53 74 61 6E 64 61 72 64 20 4A 65 74 修改好以后保存,然后把文件的扩展名修改成.mdb。这样就可以直接使用Access打开了。你肯定已经想到了,题目数据库其实就是Access数据库,只是把文件头部修改了一下,让Access无法直接打开而已。用Access打开数据库文件后,如果看到了要求输入数据库密码的对话框,那么你离成功已经很近了。因为Access数据库文件的密码仅仅是一个口令而已,不包含任何的类似CRC32校验之类的东西,所以破解起来非常方便。事实上,密码就是zfpoweraddmz。输入密码后就可以成功打开数据库了。这里面,External表里面是选择题,Operate表里面是操作题。表里面带字母“T”的字段是纯文本的,而实际上真正考试系统里面显示出的文字是不带字母“T”的字段中的RTF富文本。External表中,Answer字段便是正确答案。另外一个名为operatings的表是操作题的关键步骤判定依据。好了,我现在说了这么多,相信大家都已经了解了。我知道这些内容对这次的考试冲击太大,所以也不想造成太大的影响。 下面说说我今天考试的一些感受。 今天考试,我RP不好,抽到了一条CSS代码题,还有一条超级无敌超纲的Access操作题。虽然Access操作题对我来说不在话下,但是那条CSS代码提真的让我有些摸不找头脑。考试之前,我们还进行了所谓的“考前辅导”。根据后来考试的内容,估计是这些老师已经知道了考试的内容了,所以讲的也挺有“针对性”的。不知道他们通过什么样的途径知道题目的?难道也是我上面说的方法?呵呵~~~我记得“考前辅导”的时候,有位老师说,如果考试的时候让你把CSS插在<body>区,就放在<body>区,不要放到<head>下面去。所以我就记得很清楚。 那道CSS题的具体内容我记不大清楚了,有三个要求。第一个要求是在<body>区插入CSS样式,具体的内容我记不大清楚了,反正有link、vlink、text-decoration、font-family等一些属性。以前我们老师教的都是在<head></head>下面弄CSS的,就是<style type="text/css">CSS内容</style>这样的模式。因为有刚才那个“考前辅导”,我就在<body>下面写了<style type="text/css">CSS内容</style>。但是事实上,这样写是完全错误的,而Frontpage也能看出这个错误,会自动地把这块CSS挪动到<head></head>里面去(顺便BS下大纲,微软早就让Frontpage退役而使用新产品Microsoft Expression Web Designer了,但是我们考试永远不能与时俱进)。但是我当时也没有多想,直到我提前交完卷骑车回家的时候才对那位辅导老师说的话产生了严重的怀疑。回家用Dreamweaver做了下实验,<body>下出现<style>完全是无效的。这时我对这一问重新审视,估计要在<body>标签里面做文章。我记得题目里面<body>标签里面本来就有一些属性,但是题目里面要求加入的样式既包含元素属性又包含样式。我想这道题是不是应该把link、vlink等作为元素属性直接加入,然后再用“style="text-decoration: underline;font-family:宋体"”这样的写法把样式加入到<body>标签里面。最后的标签就形如这样: <body link="#000000" vlink="#000000" alink="#000000" leftmargin="0" topmargin="0" rightmargin="0" bottommargin="0" style="text-decoration: underline; font-family:宋体" > 第二问是要求把一个字幕的字体和颜色修改成隶书和红色。这道题又是十分BT的。字体修改倒是没什么,立竿见影。但是颜色修改就没有那么容易了。选择“红色”以后死活都不见红色,真是气人。到代码里面一看,原来这个字幕文件还被一个style所控制。到<head>再去看看,原来这个名为“style2”的样式里面就已经规定了颜色,要在这里把代码修改成“#FF0000”才能把那文字改成红色啊!第三问是修改网页标题,很简单,略过。 由于我只是学生,所以不可能拿到这个考试系统的服务端和客户端程序,只能在使用的过程中做一点浅析评测。这个考试系统和那个单机版的基本上一样,只不过拥有了考生信息的数据库。考试程序的界面也是一样的,很粗糙,不过也算实用。考试的时候,我偷偷看了一下,在C:\Documents and Settings\[用户名]\Local Settings\Temp\[计算机名称]\考试数据\文件夹下,同样有button2文件。这说明真正的考试系统也是采用的差不多的加密题目的方法——我不禁冒了一身冷汗,这考试系统居然是如此不严谨和不完善,如果被别有用心的人利用了,那将是多严重的后果啊! 最后作一个总结,仅代表我个人——一个参加考试的学生的观点。虽然考试的形式很正规,但是作为考试的重要部分——考试的程序却做得实在不怎么样,或者说得偏激一点,很烂很烂。在这里补充一点,我听说,我们市某学校的某考场,有人在做改IP地址的题目时,误改本机IP地址,造成系统错误,电脑强行收取所有人的试卷,所以他们要重考一次。这再一次证明了这个考试系统的不完善。试想,在程序运行的时候,禁止修改本机的真实IP真的很难做到吗?作为一个省级的考试系统,做成这样,实在是让人怀疑考试院的人都是吃什么饭的!好了,评测结束。
本文主要内容包括:单机版考试系统简单评测、单机版考试系统题库破解方法、我对我抽中的一条CSS代码题的讨论。
00000010 60 67 66 25 5F 26 2A 2A 9E 43 7D 62 1A 6F 82 76
00000020 CD 8C 39 54 6A 15 2B B1 00 9F EA 99 C5 B9 15 E0
00000030 27 9C C7 1A 97 F2 B2 9D 19 BF A4 E0 F7 64 A5 AC
00000040 96 64 8B 4C F4 37 0B B8 B3 D9 C9 E1 13 C0 17 06
00000050 C0 4D 12 0E 65 50 84 CB 81 94 75 48 39 69 B8 18
00000060 CF 33 12 9D 39 78 EA 0A 22 0C 85 FA 57 B4 7B 13
00000070 E2 9B 53 54 64 E1 A1 53 A9 4C 74 B8 86 D0 F3 42
00000080 C5 44 E2 3A 79 62 F8 C4 E4 48 93 FF 7D A1 06 82
00000090 5C 33 52 CB C3 07 49 F9 2A 06 7A 66 74 0D 14 00
00000010 20 44 42 00 01 00 00 00 B5 6E 03 62 60 09 C2 55
00000020 E9 A9 67 72 40 3F 00 9C 7E 9F 90 FF 85 9A 31 C5
00000030 79 BA ED 30 BC DF CC 9D 63 D9 E4 C3 D3 41 FB 8A
00000040 BC 4E A0 61 8A 37 71 DE F3 FA ED C4 4D E6 3D 2C
00000050 EB 60 6C 0E 1F 36 C4 E8 A5 B1 2B 6E 13 43 93 35
00000060 B1 33 68 FB 79 5B CE 2F 7C 2A AF D0 7C 99 05 13
00000070 98 FD 13 77 40 C4 FF 75 83 66 5F 95 F8 D0 89 24
00000080 85 67 C6 1F 27 44 D2 EE CF 65 ED FF 07 C7 46 A1
00000090 78 16 0C ED E9 2D 62 D4 54 06 00 00 34 2E 30 00
loading...
