Jim's游戏外挂学习笔记1——动态分配内存的游戏怎么样找内存地址

最新推荐文章于 2022-10-02 13:18:03 发布
最新推荐文章于 2022-10-02 13:18:03 发布
阅读量374 收藏
点赞数
分类专栏: 辅助资料 文章标签: 游戏 hp character c byte file

作者:Jim's

支持原创,经典收藏!
这贴之前有朋友发过,东西很全面,所以整理了一下发出来,应该对新来的朋友有帮助!

[外挂学习]Jim's游戏外挂学习笔记1——动态分配内存的游戏怎么样找内存地址
游戏:天龙八部
版本:0.13.0402
系统:windows xp
工具:CE5.2+OD1.10
目标:搜索人物基地址

第一步,用CE搜索人物HP,得到一堆地址,掉血后继续搜索,得到唯一地址0ABDC360(HP地址)

第二步,切换地图后发现该地址里的值已经不是HP,是动态地址,重复第一步搜索出新的HP地址(地址省略)

第三步,这时候不再切换地图,用CE5.2对找到的HP地址下写访问内存断点,此步也可用OD下写内存断点,找到汇编语句如下

0044B280    55              PUSH EBP
0044B281    8BEC            MOV EBP,ESP
0044B283    56              PUSH ESI
0044B284    8BF1            MOV ESI,ECX                              ; 1.2 esi=ecx
0044B286    8B4E 04        MOV ECX,DWORD PTR DS:[ESI+4]
0044B289    8B01            MOV EAX,DWORD PTR DS:[ECX]
0044B28B    57              PUSH EDI
0044B28C    FF90 14010000  CALL DWORD PTR DS:[EAX+114]
0044B292    83F8 02        CMP EAX,2
0044B295    8B3D 48465700  MOV EDI,DWORD PTR DS:[<&tEngine.?tThrowS>; tEngine.?tThrowStringException@@YAXPBDZZ
0044B29B    75 19          JNZ SHORT Game.0044B2B6
0044B29D    68 63050000    PUSH 563
0044B2A2    68 54975700    PUSH Game.00579754                      ; ASCII "./DataPool/GMDP_CharacterData.cpp"
0044B2A7    68 48975700    PUSH Game.00579748                      ; ASCII "CT_MONSTER"
0044B2AC    68 20975700    PUSH Game.00579720                      ; ASCII "Character must not %s,(File:%s Line:%d)"
0044B2B1    FFD7            CALL EDI
0044B2B3    83C4 10        ADD ESP,10
0044B2B6    8B4E 04        MOV ECX,DWORD PTR DS:[ESI+4]
0044B2B9    8B11            MOV EDX,DWORD PTR DS:[ECX]
0044B2BB    FF92 14010000  CALL DWORD PTR DS:[EDX+114]
0044B2C1    83F8 01        CMP EAX,1
0044B2C4    75 19          JNZ SHORT Game.0044B2DF
0044B2C6    68 64050000    PUSH 564
0044B2CB    68 54975700    PUSH Game.00579754                      ; ASCII "./DataPool/GMDP_CharacterData.cpp"
0044B2D0    68 78975700    PUSH Game.00579778                      ; ASCII "CT_PLAYEROTHER"
0044B2D5    68 20975700    PUSH Game.00579720                      ; ASCII "Character must not %s,(File:%s Line:%d)"
0044B2DA    FFD7            CALL EDI
0044B2DC    83C4 10        ADD ESP,10
0044B2DF    8B46 08        MOV EAX,DWORD PTR DS:[ESI+8]            ; 1.2 eax=[esi+8]
0044B2E2    8B4D 08        MOV ECX,DWORD PTR SS:[EBP+8]            ; 01.1 血来自父函数第一个参数
0044B2E5    8988 B8060000  MOV DWORD PTR DS:[EAX+6B8],ECX          ; 1.1 血被写入
0044B2EB    8B0D 9C975B00  MOV ECX,DWORD PTR DS:[5B979C]
0044B2F1    8B11            MOV EDX,DWORD PTR DS:[ECX]
0044B2F3    68 B4545700    PUSH Game.005754B4                      ; ASCII "player"
0044B2F8    6A 19          PUSH 19
0044B2FA    FF52 4C        CALL DWORD PTR DS:[EDX+4C]
0044B2FD    5F              POP EDI
0044B2FE    5E              POP ESI
0044B2FF    5D              POP EBP
0044B300    C2 0400        RETN 4


这是完整的子函数,实际血被写入的那句代码是红色那句,由此可得知血被存在[eax+6b8]中,6b8是个偏移量,HP指针地址其实存在eax中,根据该段代码的分析,得知eax=[esi+8],而esi=调用函数带进来的ecx,以上代码中注释1.1,1.2,1.3有说明,记好此时的eax,ecx两个值,下面一步就是要查这两个值存的东西变不变

第四步,让自己掉一次血,发现HP地址没变,OD中0044B2F5行代码处下断点,发现此时的eax,ecx也没变,猜测HP地址切换地图时才可能重新分配

第五步:切换一次地图后代码中断,发现此时的eax,ecx与上次又不一样了,上步的猜测可能正确,因为eax=[esi+8]=[ecx+8],所以eax是依赖ecx的,ecx又是来自调用函数的,所以使用调用堆栈去查看调用函数中ecx是怎么来的,OD中调用堆栈的父函数处回车即可,以下是父函数代码
004D7A10    55              PUSH EBP
004D7A11    8BEC            MOV EBP,ESP
004D7A13    51              PUSH ECX
004D7A14    A1 F0975B00    MOV EAX,DWORD PTR DS:[5B97F0]
004D7A19    3B05 E4975B00  CMP EAX,DWORD PTR DS:[5B97E4]
004D7A1F    53              PUSH EBX
004D7A20    56              PUSH ESI
004D7A21    0F85 AB080000  JNZ Game.004D82D2
004D7A27    8B75 08        MOV ESI,DWORD PTR SS:[EBP+8]
004D7A2A    8B0D 78695B00  MOV ECX,DWORD PTR DS:[5B6978]
004D7A30    8B46 08        MOV EAX,DWORD PTR DS:[ESI+8]
004D7A33    8B11            MOV EDX,DWORD PTR DS:[ECX]
004D7A35    50              PUSH EAX
004D7A36    FF52 44        CALL DWORD PTR DS:[EDX+44]              ; 2.5 eax是该函数的返回值,该函数返回一个重要的地址
004D7A39    8BD8            MOV EBX,EAX                              ; 2.4 ebx=eax
004D7A3B    85DB            TEST EBX,EBX
004D7A3D    0F84 8F080000  JE Game.004D82D2
004D7A43    33C0            XOR EAX,EAX
004D7A45    8A46 0C        MOV AL,BYTE PTR DS:[ESI+C]
004D7A48    57              PUSH EDI
004D7A49    8BBB 2C010000  MOV EDI,DWORD PTR DS:[EBX+12C]          ; 2.3 edi=[ebx+12c]
004D7A4F    83E0 01        AND EAX,1
004D7A52    8945 FC        MOV DWORD PTR SS:[EBP-4],EAX
004D7A55    74 2B          JE SHORT Game.004D7A82
004D7A57    8B4E 18        MOV ECX,DWORD PTR DS:[ESI+18]
004D7A5A    51              PUSH ECX
004D7A5B    8BCF            MOV ECX,EDI
004D7A5D    E8 DE1FF7FF    CALL Game.00449A40
004D7A62    8B15 78695B00  MOV EDX,DWORD PTR DS:[5B6978]
004D7A68    3B5A 44        CMP EBX,DWORD PTR DS:[EDX+44]
004D7A6B    75 15          JNZ SHORT Game.004D7A82
004D7A6D    8B57 08        MOV EDX,DWORD PTR DS:[EDI+8]
004D7A70    8B0D 10985B00  MOV ECX,DWORD PTR DS:[5B9810]
004D7A76    8B52 70        MOV EDX,DWORD PTR DS:[EDX+70]
004D7A79    8B01            MOV EAX,DWORD PTR DS:[ECX]
004D7A7B    52              PUSH EDX
004D7A7C    FF90 A0000000  CALL DWORD PTR DS:[EAX+A0]
004D7A82    33C0            XOR EAX,EAX
004D7A84    8A46 0C        MOV AL,BYTE PTR DS:[ESI+C]
004D7A87    83E0 02        AND EAX,2
004D7A8A    D1E8            SHR EAX,1
004D7A8C    85C0            TEST EAX,EAX
004D7A8E    74 0B          JE SHORT Game.004D7A9B
004D7A90    8B46 20        MOV EAX,DWORD PTR DS:[ESI+20]
004D7A93    50              PUSH EAX                                ; 02.1 eax里存放了血,给子函数使用
004D7A94    8BCF            MOV ECX,EDI                              ; 2.2 ecx=edi
004D7A96    E8 E537F7FF    CALL Game.0044B280                      ; 2.1 ecx影响了子函数
004D7A9B    33C0            XOR EAX,EAX


CALL Game.0044B280即第三步找到的子函数,调用子函数时血量值作为参数传进去,具体的子函数功能我也没搞清楚,大体感觉上可能是拿到数据包后给内存中的HP地址赋值。

继续分析这段代码,2.1,2.2,2.3这三句发现ecx=[ebx+12c],看来这里的12c又是一个偏移量,在2.3上下断点,获取到此时的ebx=0B387708,继续分析发现2.4,2.5中ebx=eax=2.5调用的子函数的返回值,动态调试跟下去发现2.5那行调用的子函数里,的确是为了获取这个0b387708,具体函数功能没看懂,里面是一堆比较复杂的地址运算得到了这个值

第六步:CE中查找0b387708存在什么地址里,找到两个地址013D2BD8和013D6064,随后切换地图发现这两个地址里的值都改变了,但还是相同,用这个新值进行[[[新值+12c]+8]+6b8]运算,终于得到了HP值。
感觉这两个地址有可能是个不变的值,重开游戏后确认,的确同样的运算还能得到HP值。
姑且任务第一个值013D2BD8为要查找的基地址,而血是经过偏移3次后找到的,偏移量分别是12c,8,6b8
目标基本完成,OVER! 

不羁少年
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
动态地址的处理-基址
10-16
动态地址的处理-基址动态地址的处理-基址动态地址的处理-基址动态地址的处理-基址动态地址的处理-基址
[外挂学习]Jim's游戏外挂学习笔记1——动态分配内存游戏怎么样内存地址
pzhccy的专栏
09-19 1441
作者:Jims支持原创,经典收藏!这贴之前有朋友发过,东西很全面,所以整理了一下发出来,应该对新来的朋友有帮助![外挂学习]Jims游戏外挂学习笔记1——动态分配内存游戏怎么样内存地址(原创) 游戏:天龙八部版本:0.13.0402系统:windows xp工具:CE5.2+OD1.10目标:搜索人物基地址第一步,用CE搜索人物HP,得到一堆地址,掉血后继续搜索,得到唯一地址0ABDC36
使用Cheat Enginee(CE)到“植物大战僵尸”金币的内存基址
yjc1517的博客
10-02 1854
右键点击该指针基址,复制后在ce中新的扫描、首次扫描十六进制精确数值该指针基址。右键点击该指针基址,复制后在ce中新的扫描、首次扫描十六进制精确数值该指针基址。在ce中首次扫描当前金币数的十分之一,捡金币后再次扫描当前金币数的十分之一。双击其中的一个,添加到地址列表,双击列表中的地址值,复制该值。双击添加到地址列表,修改数值后金币数值随之改变。将扫描结果添加到代码列表,查看是谁访问了此地址。双击添加到地址列表,查看谁访问了这个地址。点击手动添加地址,勾选指针类型。修改该数值金币随之改变。
网络安全学习第16篇 - CE游戏动态内存修改器
一清道长的个人博客
07-02 5339
CE程序设计 注:参考网上程序,和实验15大同小异 相关知识: CE(Cheat Engine )是众多游戏修改工具的其中之一,也是一款开源软件。运行之后的界面,估计大多数人看见了都不知所谓,一对对数字描述了游...
动态内存分配--动态数组
frueyang的博客
12-10 729
动态内存分配–动态数组 需求:设计一个掷硬币游戏,开始前要求用户先输入本局模拟掷硬币的次数n,记录每次掷的结果,并根据结果模拟为正面或反面,要求输出正面和反面的累计出现次数。 #include <stdio.h> #include <stdlib.h> #include <time.h> int main() { int *p, n; printf("请输...
机器学习笔记.pdf
06-20
来自SAP的梁劲(Jim Liang)所写的一份 700+页的学习教程(英文版),详细、明了地介绍了机器学习中的相关概念、数学知识和各种经典算法。对于新手也非常友好
Jim Liang Get started with machine learning 学习笔记 上(1-310页)
05-06
Jim Liang machine learning notes 上半部分 Jim Liang machine learning notes 上半部分
SQL学习笔记一SQL基础知识
12-15
简单的INSERT语句 INSERT INTO Person(Id,Name,Age) VALUES(1,’Jim’,20) 常用int和uniqueidentifier做主键数据类型 标识规范:自动给主键填充值。将字段“是标识列”设置为“是”,一个表只能有一个标识列 Gu
JavaScript学习笔记(二) js对象
12-11
1.简单类型 javascript的简单类型包括 数字(Number)、字符串(String)、布尔值(Boolean)、null值 和 undefined值。其他所有值都是对象。 2.对象 javascript中的对象是可变键控集合。在javascript中,数组、函数...
Java 程序里的内存泄漏
12-22
译序:Java 的内存泄漏,这不是一个新话题。Jim Patrick 的这篇文章早在 2001 年写出来了。但这并不意味着 Java 的内存泄漏是一个过时了的甚至不重要的话题。相反,Java 的内存泄漏应当是每一个关心程序健壮性、稳定...
游戏里数据存放的内存位置
Bug 无处不在!
08-31 5838
 武林人物包裹地址方法 先用CE到对应数值(比如物品的数量)的内存地址。 用CE的“谁改写了这个地址”功能到哪条指令修改了该数值。记下该指令的地址。0048F0AB     mov     dword ptr [ecx+14], edx 用OD打开目标进程,Ctrl+G转到表达式0048F0AB可以看到这条指令是在一个函数中 0048F0A0 /$ 8B4424 04 
网络游戏进程内存搜索技术易语言分析
weiixn_kkcs的博客
05-29 1475
易语言X64位进程内存搜索技术 现在有很多新出的游戏都是64位程序了,而且对CE很不友好, 检测CE导致搜索内存地址,分析数据信息困难,建议我在Game-EC 驱动模块 8.5.2 版本开发64位进程的内存搜索功能。 所以考虑到这点,于是我就开发了支持64位程序进程内存搜索,先来说明下驱动模块里这个功能吧 ================================================================================================= 子程序
Jim's游戏外挂学习笔记4—查怪数据数组的内存分布和地址
pzhccy的专栏
03-05 1568
作者:Jims支持原创,经典收藏!这贴之前有朋友发过,东西很全面,所以整理了一下发出来,应该对新来的朋友有帮助![外挂学习]Jims游戏外挂学习笔记4——查怪数据数组的内存分布和地址(原创) 游戏:天龙八部,版本:0.16.0108,系统windows xp,工具:CE5.2+OD1.10+C#2005目标:查到内存中怪数据的数组格式和位置首先更正笔记1中的人物基址的查方法,具体查方法
c语言怎么查游戏内存,C程序使用动态内存分配查最大数字
weixin_35733790的博客
05-22 431
C程序使用动态内存分配查最大数字在此示例中,您将学习在动态分配的内存中查用户输入的最大数字。要理解此示例,您应该了解以下C语言编程主题:在动态分配的内存中查最大的元素#include#includeintmain(){intnum;float*data;printf("输入元素总数:");scanf("%d",&num);//为num元素分配内存data=(flo...
定位动态地址的3种方法
l198738655的博客
11-02 6717
现在的游戏全是双地址效验内存,内存地址不断变化,现在E里面有很多模块,读写内存,取颜色,模拟键盘,模拟鼠标,如果内存是静态的,我相信各位全用不上API,就光用模块就能写出简单的内挂了,当然内挂的准确度还要看各位用什么样的方式来解决各种问题了,可是内存是动态的,每次启动游戏内存就全会变,我们不能每次让玩家来用金山游侠查血地址输入到你外挂里然后再启动外挂啊,呵呵,所以下面我说说我是如何解决动态内存的
如何获取游戏内存地址_游戏引擎养成《番外》 内存管理*译文
weixin_39710991的博客
12-06 480
# WHY 最近在研究U3d webGL ,很多人在吐槽WebGL support启动时需设定TOTAL_MEMORY. 其实在游戏引擎设计中,提前申请大块内存并自己管理有诸多的好处。PhantomEngine在一开始的时候也准备设计自己的MemoryManager,并且也参考借鉴了不少的资料,虽然最后没有实际应用(主要是没人喜欢关注这个)。Unity在Unite2019上公布了对现有GC方...
如何返回在函数中动态分配的内存地址
tlh3930101的专栏
09-16 1206
要在函数里返回内存有两种办法 一种是指针的指针 **fp ,用这个指针指向一个需要分配内存的值。 另外一种方法更简单,你在函数里创造一个指针然后 return他就可以了。 下面讲讲第一种方法的实现: int fun(char **fp, int b) {
jim liang 机器学习
最新发布
08-01
Jim Liang 是一个机器学习领域的专家。他在这个领域有着丰富的经验和深厚的知识。 Jim Liang 在机器学习方面的研究涵盖了多个领域,包括监督学习、无监督学习和强化学习。他熟悉各种机器学习算法和技术,如线性回归...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值