找基址五種方法.doc

《找基址五種方法.doc》由會員上傳分享，免費在線閱讀，更多相關內容在工程資料-天天文庫。

1、ce查找：搜索當前血量218OD查找：OD附加，先點運行讓它跑起來。CTRL+G，.來到血的地址是ESI+25C，搜索左面[]中ESI的值，不要搜索右面EDX。向上查找ESI。ESI是從ECX來的，在這里按F2下斷?？纯磳Σ粚?，要是對血值發(fā)生變化會被自動斷下。成功斷下后在命令：后面添加ddecx+25c（因為血是ESI+25C，ESI是從ECX來的所以ESI+25C=ECX+25C）?；剀?。來到當前血量。DA十六進制換成十進制是218.證明ECX是對的，繼續(xù)找ECX的值。向上查找。兩段代碼之間會出現(xiàn)NOP。在高級語言中這兩段代碼叫做函數(shù)。NOP將2個函數(shù)分開，一般在OD中函數(shù)以PUSH開始R

2、ETN結束。因為在本段代碼沒有找到ECX，在向上找就是其他函數(shù)代碼了，那樣找起來會很麻煩，所以來到本段代碼頭部，看看還沒有CALL.點擊A0（代碼頭部）發(fā)現(xiàn)有個CALL，右鍵前往這個CALL。如果這里沒有CALL,在CALL這個位置下端，運行OD，讓血值發(fā)生變化自己斷下，看看返回值，然后記錄下來在排除查找！前往這個CALL，來到！向上查找。來到EAX發(fā)現(xiàn)是個跳轉，所以要往回跳。右鍵點擊跳回！跳到00454B71。一直向上來到頭部沒找到ECX，發(fā)現(xiàn)EAX這里有個調用，不過沒有CALL，所以在這里下斷，運行，到游戲里動一下讓它自動斷下。取消斷點，要不在這個斷點又被斷下了，看到了返回到……這個調用

3、。在第一個返回到，點右鍵，點在反匯編窗口中跟隨。然后運行OD。讓游戲動一下。沒被斷下，繼續(xù)向上查找ECX，發(fā)現(xiàn)ECX是的值是從EAX來的。向上找EAX，沒找到，發(fā)現(xiàn)函數(shù)代碼中部有個CALL。進入這個CALL看看。命令：DD[EAX+24]+25C在[EAX+24]這行代碼下端。在命令行按回車。發(fā)現(xiàn)當前血是對的，取消斷點在讓OD運行起來。向上dd[[ecx+8]+24]+25c在這行下斷，在命令行回車。發(fā)現(xiàn)血值還是對的。取消斷點，運行OD。會到剛才地址在小鍵盤上按-號。直到退出這個CALL。一直向上找，沒有ECX，來到頭部下端。到游戲里動下一，取消斷點。返回到。讓游戲跑起來。查找ECX。一直向

4、上找，直到找到基址，每找到上一級，dd命令，檢查對錯，遇CALL，返回，沒CALL下斷，返回，進CALL找基地。最后CE設置檢查對錯。ce+odODCTRL+GESI+25CESI=ECX前往CALL步驟同1，一直找到數(shù)組那里。下斷MOVECX,EAX，沒有ECX的值所以找EAX。按F8單步走一下，看看ECX和EAX的值是否一樣。一樣CE查找這個值1找一個下HR斷點能斷下來的地址。到OD里檢查一下。斷下來了，HD清除斷點。找EAX的值。公式找ECX。返回。找到ECX的值，CE查找?？纯磾嘣谑裁次恢茫∠麛帱c，還有看看那個寄存器存放的這個值。發(fā)現(xiàn)是EDI這個寄存器存放的這個值。向上到EDI，繼

5、續(xù)完成公式。直到找到常量。HR斷點方法。內存訪問CE