+- Home of Gamehacking - Archiv (http://archiv-homeofgamehacking.de)
+-- Forum: Sonstiges (http://archiv-homeofgamehacking.de/forumdisplay.php?fid=5)
+--- Forum: Sonstiges (http://archiv-homeofgamehacking.de/forumdisplay.php?fid=42)
+--- Thema: TrainMe (/showthread.php?tid=592)
RE: TrainMe 0.1 - Acubra - 10.11.2011
Hey,
ich habe mal das TrainMe um ein paar Anti-Debug Funktionen erweitert. Ziel ist es mit nem Olly ohne Plugins und Cheat Engine eine CodeInjection zu schreiben. Diese sollte natürlich den Wert der Variablen verändern. Ich würde mich freuen wenn einige von euch sich das mal angucken würden...
Download: [attachment=600]
Sourcecode gibts erst mal noch nicht ;P
RE: TrainMe 0.1 - iNvIcTUs oRCuS - 10.11.2011
Simplste Methode, ohne den Olly Debugger zu benutzen (war zu faul), wäre diese hier...
...Original Code...
[code=ASM]00401256 - 8D 05 88 30 40 00 - lea eax,[00403088][/code]
...Patched Code...
[code=ASM]00401256 - E9 A5 F1 FF FF - jmp 00400400
0040125B - 90 - nop[/code]
...Codecave bei 0x400400h...
[code=ASM]00400400 - 8D 05 88 30 40 00 - lea eax,[00403088]
00400406 - C7 00 00 80 3B 44 - mov [eax],443B8000
0040040C - E9 4A 0E 00 00 - jmp 0040125B[/code]
Wie gesagt, ohne zuhilfenahme von Olly...
grEEtZ sILeNt heLLsCrEAm
RE: TrainMe 0.1 - Acubra - 10.11.2011
Hey,
wie hast du denn den Opcode gefunden? Ich hatte eigentlich eine Funktion implementiert, welche alle Hardware Breakpoints auflöst.
RE: TrainMe 0.1 - iNvIcTUs oRCuS - 11.11.2011
Tja, is halt saueinfach wenn es sich um eine statische Adresse handelt... Da sieht man auch wieder sehr schön wie schnell der Witz bei Debuggerschutz etc. weg is.
RE: TrainMe 0.1 - maluc - 11.11.2011
Ich schraube am Wochenende mal ein TrainMe 0.2 zusammen.
Ich werde den Schwierigkeitsgrad etwas anheben.
RE: TrainMe - Acubra - 11.11.2011
Hey,
so hab nochmal dran rumgeschraubt. Adresse ist zwar immer noch statisch, die CodeInjection sollte jetzt aber nicht allzu einfach sein
Download: [attachment=601]
RE: TrainMe - iNvIcTUs oRCuS - 11.11.2011
Ich nehme an hier willst ebenfalls ne Codecave...???
Ansonsten wäre das erstmal mein Vorschlag, ohne Olly versteht sich
...Original Code...
[code=ASM]00401272 - D9 00 - fld dword ptr [eax][/code]
...Patched Code...
[code=ASM]00401272 - 90 - nop
00401273 - 90 - nop [/code]
Knappe Minute Arbeit...
RE: TrainMe - Acubra - 11.11.2011
Hey,
jo ich wollte ne CodeCave. Aber theoretisch dein genoppe wird auch von dem Programm erkannt und als Folge wird die decrement-funktion auch gar nicht erst ausgeführt. Bzw. ich hab nen kleinen Fehler gemacht und das Programm läuft weiter, anstatt sich zu beenden. Ist aber nicht weiter schlimm, da ja ne CodeCave geschrieben werden soll
@die Anderen Downloader : gar nicht erst reingeguckt? ;(
RE: TrainMe - ABartX - 12.11.2011
doch schon, aber ich raf's nicht :(
interessant wäre noch, wenn in about stehen würde um was es bei dem trainme geht.
greetz ABartX
RE: TrainMe - maluc - 12.11.2011
(11.11.2011, 23:06)Acubra schrieb: @die Anderen Downloader : gar nicht erst reingeguckt? ;(Hab einfach deine "Tricks" gepatcht.
Anders lief es nicht in OllyDbg2.
Oder er war weg bei Dec drücken.
[code=asm]<40127Ah>
call 40147Eh
<40147Eh>
fstp dword ptr [eax]
mov dword ptr [eax],443B8000h
fld dword ptr [eax]
ret[/code]
Die Byte Checks waren putzig. :P