TrainMe

[Acubra]

Hey,
ich habe mal das TrainMe um ein paar Anti-Debug Funktionen erweitert. Ziel ist es mit nem Olly ohne Plugins und Cheat Engine eine CodeInjection zu schreiben. Diese sollte natürlich den Wert der Variablen verändern. Ich würde mich freuen wenn einige von euch sich das mal angucken würden...

Download:
  TrainMe.rar (Größe: 3,05 KB / Downloads: 533)
Sourcecode gibts erst mal noch nicht ;P

[iNvIcTUs oRCuS]

Simplste Methode, ohne den Olly Debugger zu benutzen (war zu faul), wäre diese hier...

...Original Code...
[code=ASM]00401256 - 8D 05 88 30 40 00 - lea eax,[00403088][/code]

...Patched Code...
[code=ASM]00401256 - E9 A5 F1 FF FF - jmp 00400400
0040125B - 90 - nop[/code]

...Codecave bei 0x400400h...
[code=ASM]00400400 - 8D 05 88 30 40 00 - lea eax,[00403088]
00400406 - C7 00 00 80 3B 44 - mov [eax],443B8000
0040040C - E9 4A 0E 00 00 - jmp 0040125B[/code]

Wie gesagt, ohne zuhilfenahme von Olly...
grEEtZ sILeNt heLLsCrEAm

[Acubra]

Hey,
wie hast du denn den Opcode gefunden? Ich hatte eigentlich eine Funktion implementiert, welche alle Hardware Breakpoints auflöst.

[iNvIcTUs oRCuS]

Tja, is halt saueinfach wenn es sich um eine statische Adresse handelt... Da sieht man auch wieder sehr schön wie schnell der Witz bei Debuggerschutz etc. weg is.

[maluc]

Ich schraube am Wochenende mal ein TrainMe 0.2 zusammen.
Ich werde den Schwierigkeitsgrad etwas anheben.

[Acubra]

Hey,
so hab nochmal dran rumgeschraubt. Adresse ist zwar immer noch statisch, die CodeInjection sollte jetzt aber nicht allzu einfach sein

Download:
  TrainMe.rar (Größe: 3,13 KB / Downloads: 518)

[iNvIcTUs oRCuS]

Ich nehme an hier willst ebenfalls ne Codecave...???

Ansonsten wäre das erstmal mein Vorschlag, ohne Olly versteht sich

...Original Code...
[code=ASM]00401272 - D9 00 - fld dword ptr [eax][/code]

...Patched Code...
[code=ASM]00401272 - 90 - nop
00401273 - 90 - nop [/code]

Knappe Minute Arbeit...

[Acubra]

Hey,
jo ich wollte ne CodeCave. Aber theoretisch dein genoppe wird auch von dem Programm erkannt und als Folge wird die decrement-funktion auch gar nicht erst ausgeführt. Bzw. ich hab nen kleinen Fehler gemacht und das Programm läuft weiter, anstatt sich zu beenden. Ist aber nicht weiter schlimm, da ja ne CodeCave geschrieben werden soll

@die Anderen Downloader : gar nicht erst reingeguckt? ;(

[ABartX]

doch schon, aber ich raf's nicht :(
interessant wäre noch, wenn in about stehen würde um was es bei dem trainme geht.


greetz ABartX

[maluc]

(11.11.2011, 23:06)Acubra schrieb: @die Anderen Downloader : gar nicht erst reingeguckt? ;(

Hab einfach deine "Tricks" gepatcht.
Anders lief es nicht in OllyDbg2.
Oder er war weg bei Dec drücken.
[code=asm]<40127Ah>
call 40147Eh
<40147Eh>
fstp dword ptr [eax]
mov dword ptr [eax],443B8000h
fld dword ptr [eax]
ret[/code]
Die Byte Checks waren putzig. :P