02授人以鱼不如授人以渔●基址的寻找

1、02授人以鱼不如授人以渔 基址的寻找）游戏例一游戏名：刀剑英雄2 t世界】灭世王奢h数狐不抚血 篦在城随叫随到的乘h t世駁、r辭 借濶1他-潛茨Fi - $ 5 S 生侖：ZT事比了3 fyrjim册恻1现在当前生命是 273我们在CE里查找273Address004?4FaO010 463 ASOOSOSCF4O0E42D7O00942EE40055C(J400057A&3?005AD574005B27&C005C23C005CCA25OOE&AaOEOOtOB223OOtQE37E0061G5B9006iD2C7Value27327327327327327327327 327327327

2、3273273273273273A,駙拂再次扫a 数值.I I Hen fegW内存扫描选顶15位所育1111&04)oom:FF 卜pt匕；凰弃扫錨叼涙内爭i快速扫描 r超级扫描 雉时背椁游戏 才亡丁二r _皆N.1致尊怦佟府搜出一大堆先不管他 我们让生命变动一下 被怪打了几下血变少了世界】捋种卑m坪世另生命：25取2T3 ；令珑冠这个时候我们发现血值来查找恢复的很快根本来不及找这个时候我们可以用更改过的数*因为 相对于第一次找的273的值来说我们目前的血值已经改变了 .OOCDCF2? 018E5B4& 04UA919 0464AA59 DC83145 0CDE3B4D DCEFECS t

3、)DDAA03E 1U1EFE45 1024F1GB104E2DCD107F5eFB 1097E704 111EED75 1156F2D5 117E3BDBExtra info0问盟替换004dlb3 004Sdlbc ; 0049dlc0004Sdlc3004dlc5JfLOV JILOV mov j口 leaeas十20 is,ebp+Oc ecK.edx 0049d21de-si * I esp-Hl 6 讪代码列表Copy memoryThe value of the poinher needed Id hrid this address is probably 0OTE7OSEiX=

4、03739SB4E0X-O9OBE584ECY=090EE708EOXaS/JOOiSS ESI-aai2F77C EDI=aSie7B70EBP=0012K7BOESP-0012F7t4EIP=0049rlC3停止替换1更惣匹?_ 晅堂卩I in巴胆时 e世-二用速屑The registers sho*un heie 副e AFTER the irishuctior has been executed r0 shovj rheJTii tefofe tlie instfuction is eHecUed u抚 Access Eumption* instead of Debug Registe

5、rsK.这里的代码是mov ecx,edx mov通用数据传送指令说明：1.MOV OPRD1,OPRDOPRD1为目的操作数，可以是寄存器、存储器、累加器.OPRD2为源操作数，可以是寄存器、存储器、累加器和立即数2. MOV指令以分为以下四种情况：寄存器与寄存器之间的数据传送指令 立即数到通用寄存器数据传送指令 寄存器与存储器之间的数据传送指令 立即数到存储器的数据传送图中的汇编指令就是把edx的值传入到ecx* ecx这个括号在汇编里表示指针的意思指针的意思后面再讲.型处型二B阴也二曲j乎心詔* 0D45b6f -OD4&b70 - 0D45Sb74 -OrUMb阳-0U4E勺昕-iTi

6、t mov mov ret int3eaH. esp + LI4 ecit+OOOD04aO . eax 00043着匚编 显信息 Copy memoryThe value of the pointer needed to find this $dde阿 b prob-ably O90BE3G3EAX-ODODOOb5EBK-ltAFE&40EC5J=OOEE26eEr)X-004bSB70ESI-090BE2&8EDI=090BE51GEBP-)ai2F&DCESP-)ai2F4BCElP=00459071The registefs shown here are AFT EP lhe ind

7、uction has been ewecuted. To show them befcxB the mtruclion is osecuted use Access Excepliorts instead of Debug Registers*不要忘记勾上HEX因为ECX的值是16进制的这个是第二行的代码mov ecx+4a0,eax代码的意思就是把EAX的值放入 ECX+4A0 这个地址中去.EAX=55转换成10进制=85跟我们刚刚找的 血值很像，为什么不是刚刚 我们第二次搜的值呢因为血的值在这段时间内已经恢复了一点这个就是我们要找的偏移ecx+4a0在mov ecx+4a0,eax这个代

8、码里 我们知道 EAX就是当前血的值，那么ECX+4A0 就是血的地址.而这个代码的意思就是把当前血 的值 放入 这个存放当前血的地址 里面去.这里的 地址是ecx+4a0但是我们发现重进游戏后 ECX的值也是会变的！看来还得找ECX的值找到：5Address017BE3gi4 汕&6807C767000872G3C0OSBOIOFCValue 呃 BE263 OSOEEStQ U 弓（JBE2E3 0DEE2e3 00BE2e3再次扌建 數值.0H附删扫描类型精确数眉找到 5 个值 好了 全部选上 这次 我们用 查找访问该地址的代码 来 寻找* 这里为什么要用 查找访问该地址的代码 而不是用

9、 写入 ? 因为 这里的值 再不重启游戏的情况下 是不会发生改变的 , 而 当我们 人 物血值发生改变的时候 游戏会先 访问 并 读取 这个偏移地址 然后 找到 当前血值存放的地址 来更新 当前的血 .所以 按照这个思路 我们就可以认为 当去血的时候 CE 的监视列表 里如果出现 代码 那就表明 在 血值改变过程中 访问了这个代码 .每一个都 粗略的找一次 发现 后面 2 个 无论怎么操作 都没有出现代 码 . 所以我们放弃 ,现在剩下 3 个我们先来 看第一个 列表里的 代码很多 . 我们来去掉一点血 . 仔细 看列表 我们会发现在 掉血的过程中 列表的代码 会增加 这表明 掉 血的时候 读

10、取了这个地址 再来看看 第二个 在血 减少的过程中 并没有 代码 增加 .第三个 也是一样 .我们来看下 第一个 我们发现 他的偏移 都是 * +64fxii005cat75 - Gb 70 G4 - rriov esiJeaK+Cjy aOC4027220C5dGS22 0C42e735 0C499115 0C4c051d 0C4c0E39 0C4c03bb0C42fQ6a - 3b 49 G4- cnov 00421071 - 8b 49 G4- - mov ecw.0C41 b6e7 fib 49 64 - nov & 0C57c60d - Eb 53 64 - nav elQC41 b

11、daS - b 40 64 - mov 已曰x”|_ O()40a73c： 3b 45 64 - crmp eaxJebp+G 0C53d13f - 8b 40 6+ - tiqv u w扁日 QC4c：e4b1 - 3b 70 4 - crmp uwije曰n+4 0C49457c - 3b 53 64 -cmp et)x4ecx+e4 Q04Q北通-3b ?1 4 - cmp斜屈辭+囲Eb 4f G4 mov 处叮edi+G4- 6b 43 G4 - rnov ecfLedK+G4 Gb 70 G4 - mov eslJeaK+CAj 6b 40 G4 - rnov eac eax+G4

12、eb 43 G4 - nov ecs.Gb 49 G4 - mov ecu,edK+G4ecK*G4eb 73 G4 - nov edieaw+G4| ecwjecK+4| ;ecK+G4| !C“ecx*G4： 加4貢汁54： .edK+G4.V.显示汇噩更寿信息哪一个 是我们要找的呢？*其实基本上来说任何一个 都是可以的 有些时候 基址并不只有一个所以我们只需要找偏移最少的一个就可以了我们先拿第一个来看mov esi,eax+64上面的那行代码是Extra infoftCiVmovtest esl,esi jRov ed i , ecxOOScabta - mov 005cab70 - O

13、OScaib7E -ClOScab7 005ceb7e -fs:OOOOOOOO eaK esH.OOTclbO esi,eas+t 4Copi memcriEIK=017B533D ESI-0?aBE2&8EDI=017B5530The value of the pointer needed to find ttiii address is probably 01 7BS930EBF=0012FACOESP-0012F928ELP=005CAB?eE 盼 Cn7E5830EBK-D79B2A70ECX=DE74448The registers whown here are AFT EFl t

14、he irstruction has been eKecied Toshov? the叶 b耐or目 tlie instruction i$ executed u鉛 Access E xceptions iriste* M Debug Regime眸 Okmov esi,eax+64P:我们 刚刚找的090BE268 这 个数值 到底是ESI还是EAX+64?我们说了 在 mov esi,eax中 前面的表示 被存入的寄存器 而后面的就是值了.所以 我们这里 搜索的是090BE268 这个值也就是 EAX+64=090BE268*这里初学者可能会迷茫,不过只要多找几个不同的游戏然后就会明白了

15、.然后 我们需要找EAX的地址这里我们又发现一个问题在mov eax,007c1b90我们上面说到我们需要找到EAX的值，而汇编代码是从上面开始一行一行往下面运行的,所以上面的EAX就是我们要找的数值 EAX=007c1b90这里的007c1b90就是基址了 .因为这里已经是一个明确的数我们来整理一下:ecx+4a0ECX=EAX +64EAX= 007c1b90007c1b90+64+4a0这个就是 血的 基址+偏移 我们来试试扌旨定1于新地址:t his pointei poin狀 to ndck謂总（H）旺至巳Address of pointer 01 7B5394|I hie poin

16、ter poinl: Io address 017B 5930 ddre53 of pointer TcIbSIThe oJfsGt jjod cbose brings it to D90BE7DSOffset Hew 4A0The offset you cbose brings il to Cl 7&5&94Offset Hsk G4 取消CT 商IMl岫MfeM 删 IBB68呵呵88就是当前血的 地址.而且 重新进游戏也可以正常显示这里已经告一段落了 如果你细心的话 会发现 在第二步中 监视 地址090BE268的过程中 会出现 很多* +64的偏移 在这里 我们来试试另外一个Esrtr

17、a info004027170040271d004027220040272S00402727movecs+00000164call OOSdldOOmov ecKedi+64movedKecHjftov esH,edH+OOOOOOaSCopy finenioryrhe value cf iPie poinler reeded io find this ackJress is probably 01 7B503DEAX=OOOOOOOaEBX-0I79B2A70EC5f=090BE2e9EDX=OC62AFDOESI-D5714FC8EDI=017EES5GEBP=DC12FAC0ESP-DC

18、12Ft4EIP-0C4D2725The registers shown here 釧e AFTER the instruction ha(s been executeid. Tcrhcw them before the instruction is executed use Ac匚ess Excepbons instead ol Debug Fl eg厨ers 0Kmov ecx,edi+64这里 我们看看 附近 并没有 往EDI写入的 代码 所以我们直接搜索EDI的值（不要忘了勾上HEX）Address007C1B9QValue新扫描I再次扫描1/b533Q出现一个绿色的地址,上面我们说了绿色的就是基址了 .这个值跟出现一个绿色的地址,上面我