找基址的五种方法

1、一，纯肉眼跟踪法先用CE搜索一下是谁在改写当前的血量一，纯肉眼跟踪法先用CE搜索一下是谁在改写当前的血量附加信且一，纯肉眼跟踪法先用CE搜索一下是谁在改写当前的血量一，纯肉眼跟踪法先用CE搜索一下是谁在改写当前的血量D045643f mov00456445 mov >>00456448 MOV0045644© - mov00456451 - movesi+0000026c*ecx edxzedi+04ei + ijOijL'U ed>: eax,edi+Ocesi+00000260,eax一，纯肉眼跟踪法先用CE搜索一下是谁在改写当前的血量一，纯肉眼跟踪法先

2、用CE搜索一下是谁在改写当前的血量Copy memory指针值需要查找该地址可能是08F61830一，纯肉眼跟踪法先用CE搜索一下是谁在改写当前的血量一，纯肉眼跟踪法先用CE搜索一下是谁在改写当前的血量EAX=40544000EBX=08EEB5D8ECX-00000000EDX=00000DEEESI=08F61830EDI-07512FC2ESP-OD2FFE04EBP=O6F1EA98EIP-0045644E一，纯肉眼跟踪法先用CE搜索一下是谁在改写当前的血量The registers shown here are AFTER the instruction has been execu

3、ted. To show them before the instruction is executed u$e Access EKceptionsinstead of Debug Registers00456448|. 8996 5C020000 MOV DWORD PTR DS:ESI+25C,EDXDd esi+25c向上找到头004563A5|. 8BF1MOV ESI,ECX/ecx+25cDd ecx+25c在头部F2下断，看返回地址0057B924 . 8BC8Dd eax+25c0057B903|. 8B40 24Dd eax+24+25c0057B900 /$ 8B41 08

4、Dd ecx+8+24+25c在上面的头部下断，005747AF|. /EB 0DMOV ECX,EAXMOV EAXQWORD PTR DS:EAX+24MOV EAX,DWORD PTR DS:ECX+8|JMP SHORT elementc.005747BE/ 返回在这里005747A1|. 8B4C85 1C|MOV ECX,DWORD PTR SS:EBP+EAX*4+1CDd EBP+EAX*4+1C+8+24+25c假设EAX=0Dd EBP+1C+8+24+25c找到头部0057473C|. 8B68 08 MOV EBP ,DWORD PTR DS:EAX+8Dd eax+8

5、+1C+8+24+25c00574736|. 8BD9MOV EBX,ECXDd ecx+4+8+1C+8+24+25c004395D2|> 8B4D 5C MOV ECXQWORD PTR SS:EBP+5CDd ebp+5c+4+8+1C+8+24+25c找到头部004394A4|. 8BE9 MOV EBP ,ECXDd ecx+5c+4+8+1C+8+24+25c向上找00438B82|.8BCDMOVECX,EBP;|DdEBP+5c+4+8+1C+8+24+25c往上找很长，在头部00438145|. 8BE9MOV EBP ,ECXDd ecx+5c+4+8+1C+8+24

6、+25c返到上一级0042C8AC|. 8B4D 1C MOV ECXQWORD PTR SS:EBP+1CDd ebp+1c+5c+4+8+1C+8+24+25c走到头部0042C7BB|. 8BE9MOV EBP ,ECXDd ecx+1c+5c+4+8+1C+8+24+25c最后在0042C6B9|. 8BCF|MOV ECX,EDIDd edi+1c+5c+4+8+1C+8+24+25c看了一下EDI的值，是009811A0这个就是基址，Dd 009811A0+1c+5c+4+8+1C+8+24+25cC编莖地址|忝加时| 睡 J指时指向地扯曲掘你选権的伺瞎帚它針09434I指豺地ii

7、側旧列25C措卄抬向地址O323CC'你谨择的備務帯它到0323(1nHexI 24捋計揩向地址0706041你匾样的伺移带它對07eea昭针地力OfZIHe E洁計指向地址0GF1EA你选择的伺移芾它刊06F1L常针地11hsei (Hcxl 1C洁针指向地址03230)你选择的偏移帝它到03230Offsd (Hex日楷計揩向地址O0EEB5侏進择的隔移帚它對08EEBQg阳国4指针指向地址03230D你选樺的帰移带它到0323«猎針地力0096110祕|问5C踊定i 取稍根据XHY30同学们找的基址来对比dd 009811A0+1c+8+1c+8+24+25c址0045

8、6448|. 8996 5C020000 MOV DWORD PTR DS:ESI+25C,EDX写入血值 Dd esi+25c址00456448|. 8996 5C020000 MOV DWORD PTR DS:ESI+25C,EDX写入血值 Dd esi+25c址向址址08鹅 指針地出向地址 O323QD 洁計地勺抬+措向地址OTfiBtUI措針地* 两W4向地址 QCF1EA 猎針地指計指向地址032®指針地屮009811A0+1C 你谨择的儘瑤帶它到D9I34I OttsBt (Hex| 2SC你选择的債移帚方到03230(Offel IHex) 24像送择的轄移希它到07&

9、#171;0 Ofissi (Hc<) 8你选择的侵移带它到(JSFIEr ffsei (H*k) 1C你选操的偏移帚它封032301 OHief IH 刊 800456448|. 8996 5C020000 MOV DWORD PTR DS:ESI+25C,EDX写入血值 Dd esi+25c址00456448|. 8996 5C020000 MOV DWORD PTR DS:ESI+25C,EDX写入血值 Dd esi+25c址二,CE/OD配合查找法1,先在CE里搜索到血值00456448|. 8996 5C020000 MOV DWORD PTR DS:ESI+25C,EDX写入

10、血值 Dd esi+25c址00456448|. 8996 5C020000 MOV DWORD PTR DS:ESI+25C,EDX写入血值 Dd esi+25c址下断 HW 081423FC00456448|. 8996 5C020000 MOV DWORD PTR DS:ESI+25C,EDX写入血值 Dd esi+25cDd esi+25c004563A5 |. 8BF1 MOV ESI,ECXDd ecx+25c 找到头部下断向上找 0057B924 . 8BC8 MOV ECX,EAX ;Dd eax+25c因为再向上找会找到数组和循环，所以老师在这里用 CE 里搜索 ECX 的值

11、 在这里记录 EAX 的值,然后用 CE 查找随便找一个值搜索一下然后 HR 下断， 09D58FF4 马上被断了下来004745F0 /$ 8B49 1C MOV ECX,DWORD PTR DS:ECX+1C 004745F3 |. 33C0 XOR EAX,EAXdd ecx+25cdd ecx+1c+25c然后找到ECX的值，用CE来搜索，这次只找到三个值，老师随便选了第二个HR 09BE436C00462B23 .8B86 1C090000 MOV EAX，DWORD PTR DS:ESI+91C00462B29 . 8B78 14 MOV EDI，DWORD PTR DS:EAX+

12、14 dd eax+14+1c+25cdd esi+91c+14+1c+25c00462AA9 . 8BF1 MOV ESI，ECXdd ecx+91c+14+1c+25c 找到头部下断，返到上级 CALL004395D2 |> 8B4D 5C MOV ECX，DWORD PTR SS:EBP+5CDd ebp+5c+4+8+1C+8+24+25c00439537 |. 84C0 TEST AL，AL 老师在这里下断00439534 |. 8B4D 24 MOV ECX，DWORD PTR SS:EBP+24 dd ebp+24+91c+14+1c+25c找到头部004394A4 |.

13、8BE9 MOV EBP ，ECXdd ECX+24+91c+14+1c+25c 再返回上级00438B82 |. 8BCD MOV ECX，EBPdd EBP+24+91c+14+1c+25c 找到函数头部发现 EBP 也是上级的 ECX0042C8AC |. 8B4D 1C MOV ECX，DWORD PTR SS:EBP+1C dd EBP+1C+24+91c+14+1c+25c找到函数头部 很长00438145 |. 8BE9 MOV EBP ，ECXDd ecx+5c+4+8+1C+8+24+25c返回上级0042C7BB |. 8BE9 MOV EBP ，ECXdd ECX+1C+

14、24+91c+14+1c+25c再返回上级0042C8AC |. 8B4D 1CMOV ECXQWORD PTR SS:EBP+1CDd ebp+1c+5c+4+8+1C+8+24+25c找到头部0042C7BB|. 8BE9MOV EBP ,ECXDd ecx+1c+5c+4+8+1C+8+24+25c0042C794 |> 8BCFMOV ECX,EDIDd EDI+1c+5c+4+8+1C+8+24+25c0042C6E2|. 8BF9MOV EDI,ECX找到头部dd ECX+1C+24+91c+14+1c+25c也是上级的ECX00443F6A|> B9 A0119800

15、 |MOV ECX,elementc.009811A0dd 009811A0+1C+24+91c+14+1c+25c算計斗匚枣学门關1阡 指持地II指幷指冋地址M62WIMtlSlB）地址曲曲指甘指向雀址OB21UF舞什指向地址03230D 皓什地岀TO»11A0*1C'侬选择的偏移橹它封oa?tiOflset Hm 25C 你选糅的倡移橹它劉0X2COfiwt H?<| 1C供选悻的偏移忤它畀匚年吕OflMf Hsm 14你选捧的flfc移帯它到0£/11 Hex S1 匚你选择的偏移帯它劉032X1Oflist Hex 24三,HR断点法（感谢COO舸学）

16、还是先用CE查找出血值写入地址，用 OD附加00456448|. 8996 5C020000 MOV DWORD PTR DS:ESI+25C,EDXDd esi+25c查找ESI值的来源，HR 0857CE4800439534|. 8B4D 24 MOV ECX,DWORD PTR SS:EBP+24dd ebp+24+25C查找EBP来源，HR 03230D80，但是断不下来 03230D80向上找到头部004394A4|. 8BE9MOV EBP ,ECXdd ECX+24+25C再返回上级00438B82|. 8BCDMOV ECX,EBPdd EBP+24+25C找到函数头部发现EB

17、P也是上级的ECXdd ECX+24+25C0042C8AC|. 8B4D 1Cdd EBP+1C+24+25C找到头部0042C7BB|. 8BE9dd ECX+1C+24+25C 0042C794|> 8BCFdd EDI+1C+24+25C 0042C6E2|. 8BF9找到头部dd ECX+1C+24+25C也是上级的ECXMOV ECXQWORD PTR SS:EBP+1CMOV EBP ,ECXMOV ECX,EDIMOV EDI,ECX17 w 巴她fit晞待計怡向地址O921CF 指杆*M持针指向地址O323DD 托针地力 009011A0*1CI m 你选择的脩移带它到

18、08Z11OHset （Hel 2SC你选捧的債移帶它到（B230IOffset IHexl 2400443F6A|> B9 A0119800 |MOV ECX,elementc.009811A0 dd 009811A0+1C+24+25C四，直接内存访问法（感谢Ifscomic） 首先是用CE查找到血值地址，然后看一下是谁在访问这个地址 或者是在OD里下HR+当前血值地址 也就是说我们这次不是搜索谁在写入它，而只搜索谁在访问它发现是 004E705B MOV EDX,DWORD PTR DS:ESI+25C脯WE和轴MbE 了叭 F 砒SEW巧SUE? KBUO4E7O61S04E7O

19、68 UU4E706C OtliiE707fl e0HE7H729B8fi7B62D0O I1OUEAXf ' 11PTRDS:ES1*27BBBBE&OO2O0Q< HOUECXfDUllRDPTRDS£ESI*2SaSB965C02 SMI HOUEbX,DUURI>PTRDS:ES1+25CB3FH81CMPEAK,1.E8 HOI 1IF m F i：ALL elerwntc.W0SBF aHOU ES*E脳SS：ESP*20)JCKSS:ESP+1C,EDXSS：ESP+10pEAXDORDDWORDDMURD* S94C21I,S95424HO

20、UHOUHOUH3 SHORTPTR i PTftPTftelpnientc * 0O<i£707fl“ 7F 08,C7442410011 HOU DUORD PTR SS：ESP+19T1> 9BBE 7C02Ofl0 HOU ED I, I".川 RD P I it r S : p S 熄C* 6062 0001 NOU EAXIDVQRI> PTR I>S : ESI+26Q17 I'CALL里就有基址dd 009811A0+1C+24+25C五,纯CE查找基址£阳加信Qt? o £3004e704f - mow

21、eax esi400D00278- mov ecs.esi+00000250 >>0Q4e705b - hou «dx «i+OQOOQ2Sc 004e7061 - cnp eax 01ODIeTObi - 口I?罠%*20_ec3fCopy memcny指針値署墓竇找哇册址可龍昱曲華0EAX-OOOOiODAEBX>09183490DCX.000000D5EDX-ODOCOODAESI-090&1BADEDI-00$3SC3ESP-DESDFDS6EBF«03230DB0EIF-QQ4E7061nr&Ad 0 Debug Reg

22、isiei,L.两壬The regtM $hown here are AFTER the ntriction ha： been exK-ut?d Tq show them blune the nshuchon it eitecuied usAccew E>m(4on&搜索ESI的16进制值07C0DE98OCH 394bO - add unp.lu004394b3 - ret 0006>>0043?4b6 - mov eax sbpf24)00 394t)9 - push ebx004 394be -逻尸 e«x. eaxCo蹲(neiroiy指針值需宴査找

23、谣地址可能是O323OD0OEAK-Q9D610ACEE»DDOOOaOO £0-03230060ED-Q0926 OrE5I'77C1OAB1EDI-009811A0ESP-DESDFE8CEBP-032JQD8QEIP-004394B9The rebtar >hown ham are AFTER th« hsbucticn hat bean eNBeivd- To then befo<e the rnjcbcn is executedu«Access ExceptionsmstBd d Debug Regstwi:.甦丄搜索16进

24、制EBP的值03230D80阳加厲息 皆0042cflffli5 - MOV ecx. (ebp+0000043fl 0042c8ab - push ecx>>004 2c6iaiC nov ecx. |ebp+lc|0042c8a£ - call 00436120C?D42c8b4 - test alFalQw rnemoiy棺計伯雋戛査社谬地址町社昱®9011 A0EAX-OOOOOQ17 EDK-0355C4BDEBX-QOOOOOOD ESI-000000971£_-U J23CLLU EDI-009811AOESF-1E5PFF30EBP=009811AaEIP Dg2CEAFTha ieslers