Windows 逆向使用 CE 工具挖掘关键数据内存真实地址 ( 查找子弹数据的动态地址 | 查找子弹数据的静态地址 | 静态地址分析 | 完整流程 ) ★
Posted 韩曙亮
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Windows 逆向使用 CE 工具挖掘关键数据内存真实地址 ( 查找子弹数据的动态地址 | 查找子弹数据的静态地址 | 静态地址分析 | 完整流程 ) ★相关的知识,希望对你有一定的参考价值。
文章目录
前言
在博客 【Windows 逆向】使用 CE 工具挖掘关键数据内存真实地址 ( CE 找出子弹数据内存地址是临时地址 | 挖掘真实的子弹数据内存地址 ) 中 , 没有找到真实地址 , 本篇博客重新开始一个完整流程 ;
在博客 【Windows 逆向】使用 CE 工具挖掘关键数据内存真实地址 ( 完整流程演示 | 查找临时内存地址 | 查找真实指针地址 ) 中 , 找到的地址是界面中显示的子弹地址 , 并不是实际的子弹地址 , 查找比较简单 ;
本篇博客尝试查找真实子弹地址 , 这个地址查找起来比较麻烦 ;
一、查找子弹数据临时内存地址
子弹个数 100 时 , 首次扫描 , 找到 4938 个内存值为 100 的地址 ;
开一枪以后 , 再次扫描 99 值 , 就剩下 196 个地址了 , 之后再次减少子弹个数 , 继续扫描 , 仍然是 196 个地址 ;
参考 【Windows 逆向】使用 CE 分析内存地址 ( 运行游戏 | 使用 CE 工具分析游戏内子弹数量对应的内存地址 | 内存地址初步查找 | 使用二分法定位最终的内存地址 ) 博客 , 使用二分法定位真实子弹数据 ;
最终结果为 : 子弹个数的动态地址是 05A59544 ;
二、查找子弹数据的静态地址
1、调试内存地址 05A59544 获取基址 05A59478
选中 05A59544 地址 , 按 F5 调试按钮 , 得到基址 05A59478 ;
指针基址可能是 =05A59478
05C1C0ED - mov eax,[esi+000000CC]
EAX=00000051
EBX=0E1DBB70
ECX=00000000
EDX=00000001
ESI=05A59478
EDI=00000001
EBP=00000000
ESP=0019F2F0
EIP=05C1C0F3
指针基址可能是 =05A59478
05C1C0E6 - je mp.CBasePlayerItem::DestroyItem+20D
05C1C0E8 - mov ecx,00000001
05C1C0ED - mov eax,[esi+000000CC]
05C1C0F3 - mov edx,[esi+000000D0]
05C1C0F9 - cmp eax,edx
2、通过搜索基址 05A59478 获取内存地址 0E1DC144
搜索 05A59478 , 勾选 " 十六进制 " 选项 , 然后点击 " 新的扫描 " 选项 , 选择 " 首次扫描 " , 扫描出
4
4
4 个结果 ;
3、调试内存地址 0E1DC144 获取基址 0E1DBB70
选择第 1 个找到的地址 0E1DC144 , 双击该地址 , 将其拉下来 , 选中该地址 , 按 F5 快捷键调试 ;
刚开始显示
开一枪之后 , 多了一行指令 , 这个指令就是子弹个数相关的指令 ;
分析多出的 05C03A42 - mov eax,[esi+000005D4] 指令 ; 得到基址 0E1DBB70 ;
指针基址可能是 =0E1DBB70
05C03A42 - mov eax,[esi+000005D4]
EAX=05A59478
EBX=00000000
ECX=0E1DBB70
EDX=00000000
ESI=0E1DBB70
EDI=05C3F74D
EBP=00000000
ESP=0019FA28
EIP=05C03A48
指针基址可能是 =0E1DBB70
05C03A36 - cmp [esi+00000948],bl
05C03A3C - jne mp.info_intermission+16A9
05C03A42 - mov eax,[esi+000005D4]
05C03A48 - mov ecx,[esi+000005D8]
05C03A4E - cmp eax,ebx
4、搜索基址 0E1DBB70 获取内存地址 1032FC50
搜索基址 0E1DBB70 , 搜索到如下几个内存地址 , 选择最后一个 , 将其拉下来按 F5 调试 ;
( 至于为什么选最后一个调试 , 前几个都测试过了 , 全部失败 , 这是经过几个小时反复试错 , 找到的路径 )
5、调试内存地址 1032FC50 获取基址 1032FBD4
调试内存地址 1032FC50 获取基址 1032FBD4 ;
指针基址可能是 =1032FBD4
05C13D3C - mov eax,[eax+7C]
EAX=0E1DBB70
EBX=1524EC14
ECX=0E1DBB70
EDX=00000002
ESI=00000000
EDI=05BC61B0
EBP=05E60918
ESP=0019FA14
EIP=05C13D3F
指针基址可能是 =1032FBD4
05C13D37 - cmp dword ptr [eax],00
05C13D3A - jne mp.func_rain+4A1
05C13D3C - mov eax,[eax+7C]
05C13D3F - pop esi
05C13D40 - ret
6、搜索基址 1032FBD4 获取内存地址
此时找到了 绿色的 静态地址 ;
这里有 2 个静态地址 , 数值都是基址 1032FBD4
-
静态地址 1 :
pcawwclconfig_mm.dll+10A40;
-
静态地址 2 :
cstrike.exe+1100ABC;
这里使用静态地址 2 , 因为静态地址 2 是以程序名开始的 ;
三、静态地址分析
搜索到的动态地址为 05A59544 ;
调试 05A59544 内存地址 , 得到 05A59478 基址 ;
指针基址可能是 =05A59478
05C1C0ED - mov eax,[esi+000000CC]
搜索 05A59478 基址 , 得到 0E1DC144 内存地址 ;
调试 0E1DC144 内存地址 , 得到 0E1DBB70 基址 ;
指针基址可能是 =0E1DBB70
05C03A42 - mov eax,[esi+000005D4]
搜索 0E1DBB70 基址 , 得到 1032FC50 内存地址 ;
调试 1032FC50 内存地址 , 得到 1032FBD4 基址 ;
指针基址可能是 =1032FBD4
05C13D3C - mov eax,[eax+7C]
搜索 1032FBD4 基址 , 得到 cstrike.exe+1100ABC 静态地址 ;
构造如下指针 , 指向了子弹数据所在的动态地址 05A59544 ;
以上是关于Windows 逆向使用 CE 工具挖掘关键数据内存真实地址 ( 查找子弹数据的动态地址 | 查找子弹数据的静态地址 | 静态地址分析 | 完整流程 ) ★的主要内容,如果未能解决你的问题,请参考以下文章
Windows 逆向使用 CE 工具挖掘关键数据内存真实地址 ( CE 找出子弹数据内存地址是临时地址 | 挖掘真实的子弹数据内存地址 )
Windows 逆向使用 Cheat Engine 工具进行指针扫描挖掘关键数据内存真实地址 ( 指针扫描 )
Windows 逆向使用 CE 工具挖掘关键数据内存真实地址 ( 逐层分析分析 静态地址 到 动态地址 的寻址 + 偏移 过程 ) ★
Windows 逆向使用 CE 工具挖掘关键数据内存真实地址 ( 查找子弹数据的动态地址 | 查找子弹数据的静态地址 | 静态地址分析 | 完整流程 ) ★
Windows 逆向OD 调试器工具 ( CE 工具通过查找访问的方式找到子弹数据基地址 | 使用 OD 工具附加游戏进程 | 在 OD 工具中查看 05869544 地址数据 | 仅做参考 )(代码