Code Cave Tutorial

[Acubra]

Hey,
hier das versprochene Tutorial zu den Code Caves. Ich hoffe das es euch gefällt und hilft.

Online lesen:
http://butl9r.de/CodeCaveTut/CodeCaves.htm

Download (Offline lesen):

  Code Cave Tutorial.rar (Größe: 1,04 MB / Downloads: 1.301)

[iNvIcTUs oRCuS]

Moin Acubra...

Klasse Tutorial, aber schon nen Fehler entdeckt...

Zitat:In eax befindet sich zu diesem Zeitpunkt immer der angezeigte Wert +1.

Stimmt so nicht.

Noch etwas...

Zitat:Bitte achtet darauf, dass
der hacken bei „Also scan non-executable read-only memory“ draußen ist, da wir sonst
gegebenenfalls nicht auf den gefunden Bereich zugreifen können.

Warum sollte man den Haken rausmachen? Mit Cheat Engine kann man ebenfalls Speicher als beschreibbar markieren.

So - Klugscheißmodus Ende...

grEEtZ
sILeNt heLLsCrEAm

[Acubra]

(24.10.2011, 20:44)sILeNt heLLsCrEAm schrieb: Moin Acubra...

Klasse Tutorial, aber schon nen Fehler entdeckt...

Zitat:In eax befindet sich zu diesem Zeitpunkt immer der angezeigte Wert +1.

Stimmt so nicht.

Hey,
was stimmt denn daran nicht? Eax enthielt bei mir auf jeden Fall x+1 und hat den Wert dann in die statische Adresse verschoben (x steht für den angezeigten Wert nach der dec instruction). Kannst du mir das Rätsel vllt. auflösen?

[iNvIcTUs oRCuS]

(24.10.2011, 22:34)Acubra schrieb: ...Eax enthielt bei mir auf jeden Fall x+1 und hat den Wert dann in die statische Adresse verschoben (x steht für den angezeigten Wert nach der dec instruction)...

Mit dieser Aussage hast Du natürlich recht. Du hattest ja geschrieben: "Zu diesem Zeitpunkt...". Schaut man sich den Screenshot an ist die Zeile oberhalb der Decrement Anweisung markiert. Deswegen ist das vielleicht etwas widersprüchlich... :rolleyes:

[ABartX]

hi Acubra

danke für das code cave tut


greetz ABartX

[EuroCop]

im grunde nix besonderes was mir aber top gefällt ist wie du die bilder mit dem codecave zur beschreibung dargestellt hast.

die hast du echt top für nen newbie veranschaulicht. erklärung ist ok habs nur kurz überflogen. wird aber sicherlich vielen helfen.

[Sheek]

Ich finde das Tutorial auch sehr gut, voralem deine Skize vom Code cave, habe verstanden was es ist. Was ich etwas kommisch finde was ich vielleicht überlesen habe und was mich wundert wieso bist du von Cheat enigne aufeinmal in ollydbg?

Zitat:Als nächstes folgen wir unserem Sprung und befinden uns an einer Stelle, wo wir unseren eigenen Code schreiben können (natürlich nur in ASM).

Hätte ich das Bild nicht gesehn hätt ich nicht gewusst wo ich suchen bzw wie ich mein Sprung verfolgen sollte, ok wissen tue ich es jetzt auch nicht wirklich. Habe OlyDBG geladen, aber attachen kann ich den process nicht

Zitat:unable to attach to process 'TrainMe' with ID 0000012(300).
Reason: 00000057(ERROR_INVALID_PARAMETER)

Also an dieser stelle hänge ich jetzt, will lernen daher bin ich das Tutorial schritt für schritt durchgegangen. Gibt es was was ich im CE noch nicht gefunden habe was genau so aussieht wie der OllyDBG?

[Acubra]

Hey,
du hast doch nen originalen Opcode (mov [0057B320], eax) mit einem Sprungbefehl zu einer anderen Adresse überschrieben. Jetzt gehst du einfach zu dieser Adresse (in OllyDbg Ctrl+G und die Adresse eingeben).

Zu deinem Olly Problem kann ich nicht viel sagen. Versuch mal Olly mit administrativen Rechten zu starten.

//EDiT: Mit CheatEngine kannst du auch einfach per Rechtsclick --> go to address--> Adresse eingeben zur gewünschten Cave kommen.

[fr33k]

Das Olly Problem liegt wie es Acubra schon erwähne an den fehlenden Admin-Rechten.
Einfach rechtsklick drauf und als Admin starten

[Sheek]

Okay, Danke denke damit kann ich das Tutorial weiter verfolgen, aber eine Ergenzung wäre nicht schlecht. Das du z,b jetzt OllyDBG geöffnet hast um den jmp zu verfolgen. Wie gesagt kannte das Programm aus ner Zeit als ich Cracker werden wollte..^^
kläglich gescheitert, keine guten deutschen sources zum lernen^^