Перейти к содержанию

TrainMe AntiDebug - Level 1


holy

Рекомендуемые сообщения

Всем привет )

Фишек трейнми раскрывать не буду, все узнаете сами.

 

Требуется:

1. Найти указатель на значение

2. Написать скрипт замораживающий значение

 

TrainMe - http://rgho.st/private/7cpcHSkpL/d40c4cd467f82c82637f05b25e9a299a

  • Плюс 1
Ссылка на комментарий
Поделиться на другие сайты

8FJFaL3Yopk.jpg

Скрытый текст

{ Game   : TrainMe by holy - AntiDebug Level 1.exe
  Version: 
  Date   : 2016-06-18
  Author : partoftheworlD

  This script does blah blah blah
}

[ENABLE]

aobscanmodule(etst,TrainMe by holy - AntiDebug Level 1.exe,89 02 89 44 24 08) // should be unique
alloc(newmem,$1000)

label(code)
label(return)

newmem:

code:
  mov [edx],#5999
  mov [esp+08],eax
  jmp return

etst:
  jmp code
  nop
return:
registersymbol(etst)

[DISABLE]

etst:
  db 89 02 89 44 24 08

unregistersymbol(etst)
dealloc(newmem)

{
// ORIGINAL CODE - INJECTION POINT: "TrainMe by holy - AntiDebug Level 1.exe"+142A

"TrainMe by holy - AntiDebug Level 1.exe"+13FE: 0F B7 8C 24 98 00 00 00  -  movzx ecx,word ptr [esp+00000098]
"TrainMe by holy - AntiDebug Level 1.exe"+1406: 8B 15 18 60 40 00        -  mov edx,["TrainMe by holy - AntiDebug Level 1.exe"+6018]
"TrainMe by holy - AntiDebug Level 1.exe"+140C: 81 F2 F3 1A 40 00        -  xor edx,"TrainMe by holy - AntiDebug Level 1.exe"+1AF3
"TrainMe by holy - AntiDebug Level 1.exe"+1412: 83 F9 01                 -  cmp ecx,01
"TrainMe by holy - AntiDebug Level 1.exe"+1415: 8B 02                    -  mov eax,[edx]
"TrainMe by holy - AntiDebug Level 1.exe"+1417: 0F 84 A3 00 00 00        -  je "TrainMe by holy - AntiDebug Level 1.exe"+14C0
"TrainMe by holy - AntiDebug Level 1.exe"+141D: 8D 58 F6                 -  lea ebx,[eax-0A]
"TrainMe by holy - AntiDebug Level 1.exe"+1420: 83 F9 02                 -  cmp ecx,02
"TrainMe by holy - AntiDebug Level 1.exe"+1423: 0F 44 C3                 -  cmove eax,ebx
"TrainMe by holy - AntiDebug Level 1.exe"+1426: 8D 5C 24 1C              -  lea ebx,[esp+1C]
// ---------- INJECTING HERE ----------
"TrainMe by holy - AntiDebug Level 1.exe"+142A: 89 02                    -  mov [edx],eax
"TrainMe by holy - AntiDebug Level 1.exe"+142C: 89 44 24 08              -  mov [esp+08],eax
// ---------- DONE INJECTING  ----------
"TrainMe by holy - AntiDebug Level 1.exe"+1430: C7 44 24 04 24 40 40 00  -  mov [esp+04],"TrainMe by holy - AntiDebug Level 1.exe"+4024
"TrainMe by holy - AntiDebug Level 1.exe"+1438: 89 1C 24                 -  mov [esp],ebx
"TrainMe by holy - AntiDebug Level 1.exe"+143B: E8 38 0D 00 00           -  call "TrainMe by holy - AntiDebug Level 1.exe"+2178
"TrainMe by holy - AntiDebug Level 1.exe"+1440: A1 0C 60 40 00           -  mov eax,["TrainMe by holy - AntiDebug Level 1.exe"+600C]
"TrainMe by holy - AntiDebug Level 1.exe"+1445: 89 5C 24 04              -  mov [esp+04],ebx
"TrainMe by holy - AntiDebug Level 1.exe"+1449: 89 04 24                 -  mov [esp],eax
"TrainMe by holy - AntiDebug Level 1.exe"+144C: E8 5F 04 00 00           -  call "TrainMe by holy - AntiDebug Level 1.exe"+18B0
"TrainMe by holy - AntiDebug Level 1.exe"+1451: 83 EC 08                 -  sub esp,08
"TrainMe by holy - AntiDebug Level 1.exe"+1454: 31 C0                    -  xor eax,eax
"TrainMe by holy - AntiDebug Level 1.exe"+1456: 81 C4 88 00 00 00        -  add esp,00000088
}

 

 

Ссылка на комментарий
Поделиться на другие сайты

2 минуты. 

Чёй-то ещё проще.

В табличке и скрипт и адрес с поинтером.

TrainMe by holy - AntiDebug Level 1.CT

Изменено пользователем Garik66
Ссылка на комментарий
Поделиться на другие сайты

12 hours ago, Garik66 said:

В табличке и скрипт и адрес с поинтером.

 

- Адрес с указателем не верный. Адрес msvcrt.dll+B5B00 не находится в адресном пространстве моего кода. Соответственно на той же Windows XP такого адреса не будет (как и библиотеки msvcrt.dll)

 

// -------

 

Ну а в остальном понятно, опять быстро взломали :) Хотя адрес никто и не нашел (основное задание), но скрипты рабочие.

Ну ничего, следующий будет точно сложней!

 

Изменено пользователем holy
Ссылка на комментарий
Поделиться на другие сайты

×
×
  • Создать...

Важная информация

Находясь на нашем сайте, Вы автоматически соглашаетесь соблюдать наши Условия использования.