第一次参加CTF 感觉还行吧,一天半不到就撸完了。(不用infhook的话)

后面Ring0要完全得满分要上infhook是没想到的。研究infhook又花了时间，之前一直没看这个。

弄完infhook的时候 已经是过了交题半小时了。

winmine.exe是一个扫雷游戏程序，winmine.dmp是该程序的一份进程dump, 在这份dump中，有一个DLL作弊程序。

1, 请找到该作弊程序，给出模块名（1分）

2, 并分析它所包含的4个作弊功能，给出实现作弊功能的函数的偏移，并说明其作弊功能是什么（4分）

使用工具：WinDbg、Study Pe+ x64

windbg载入dump

通过.writemem C:\dump.bin 0x6e220000 L46000将作弊模块dump下来。

因为该DLL已在内存中展开 需要把Raw RawSize修正 才能被工具正常识别区段

我们将Raw Address和Virtual Address弄成一样的就行啦。

使用工具：IDA Pro v7.2、PEEdit

IDA载入后 发现有大量的MFC函数 此时用PEEdit看下窗体资源部分。

发现有四个功能

扫了一眼IDA分析出来的函数 发现有几个函数有读取游戏或修改游戏或调用游戏函数的行为
结合CE分析 确定这四个函数 分别对应窗体上的四个功能 所以确定此模块为作弊模块

查看IDA反编译的结果 与分析的一致(IDA红箭头处)

1.暂停时间(改90 90 90 90 90)

2.遇雷不爆(改EB 1D)

3.一键游戏

雷类型 = 0x8F 换行 = 0x10

遍历棋盘 不是雷 则调用点击call进行扫雷 达到一键游戏效果

4.地图分布
使用数据与3一致 遍历出棋盘的数据 然后输出呈现。

作弊功能函数偏移

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课