参赛网址:
参考资料:
题目要求:
初赛ring3题目:(本题共5分)
winmine.exe是一个扫雷游戏程序,winmine.dmp是该程序的一份进程dump, 在这份dump中,winmine.exe的内存映像有指令被篡改,篡改实现了外挂功能。
1, 请找出dump中,winmine.exe的内存映像中2处被篡改实现外挂功能的指令
(被篡改指令的偏移、篡改前后的指令分别是什么),并分析这些指令篡改所实现的外挂功能是什么。(4分)
2, 请提供文档,详细描述解题过程,如涉及编写程序,必须提供源代码。(1分)
分析流程:
1、将dump跟winmine.exe的代码段分别提取出来,进行对比
实操:
1、使用PE工具查询winnine.exe代码段范围
2、使用windbg找到代码段特征
PE头: 0x1000000
代码段:0x1001000
3、将二者做对比
winmine.dmp保存名为Newdump.txt
winnine.exe保存名为oldexe.txt
过滤掉前面0x1D4个字节
4、作弊功能1:无限时间
| IDA地址 | 未修改 | 外挂修改 | 作弊功能 |
| 0x01002FF5 | inc dword ptr ds:100579Ch | 6个nop | 游戏无限时间<999 |
FF 05 9C 57 00 01 -> 90 90 90 90 90 90
修改的是时间,最大999
5、作弊功能2:屏蔽失败流程
| IDA地址 | 未修改 | 外挂修改 | 作弊功能 |
| 0x01003591 | push 0 | Jmp Exit | 遇到雷 不进入错误函数,继续游戏 |
6A 00 -> EB 1D
4680
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
