查找游戏里数据存放的内存位置

最新推荐文章于 2023-07-05 09:46:22 发布
最新推荐文章于 2023-07-05 09:46:22 发布
阅读量5.9k 收藏 7
点赞数 1
分类专栏: WG研究 文章标签: 游戏 c byte 编译器 语言
 
武林人物包裹地址方法  
  1. 先用CE找到对应数值(比如物品的数量)的内存地址。
  2. 用CE的“谁改写了这个地址”功能找到哪条指令修改了该数值。记下该指令的地址。
    0048F0AB     mov     dword ptr [ecx+14], edx
  3. 用OD打开目标进程,Ctrl+G转到表达式0048F0AB
    可以看到这条指令是在一个函数中
  4. 0048F0A0 /$ 8B4424 04     mov     eax, dword ptr [esp+4]     //参数1 我们使用了这个物品(比如吃药)下断点
    0048F0A4 |. 8B51 14       mov     edx, dword ptr [ecx+14]    //参数2
    0048F0A7 |. 03D0          add     edx, eax
    0048F0A9 |. 8BC2          mov     eax, edx
    0048F0AB |. 8951 14       mov     dword ptr [ecx+14], edx    //此处是改写的指令地址 存放的当前物品的数量
    0048F0AE |. 85C0          test    eax, eax
    0048F0B0 |. 7D 07         jge     short 0048F0B9
    0048F0B2 |. C741 14 00000>mov     dword ptr [ecx+14], 0
    0048F0B9 |> 8B41 18       mov     eax, dword ptr [ecx+18]    //当前物品堆叠上限
    0048F0BC |. 8B51 14       mov     edx, dword ptr [ecx+14]    //存放的当前物品的数量
    0048F0BF |. 3BD0          cmp     edx, eax                    //比较 存放的当前物品的数量 和 当前物品堆叠上限
    0048F0C1 |. 7E 03         jle     short 0048F0C6           
    0048F0C3 |. 8941 14       mov     dword ptr [ecx+14], eax
    0048F0C6 |> 8B41 14       mov     eax, dword ptr [ecx+14]
    0048F0C9 /. C2 0400       retn     4
  5. 我们在开始的地方F2下断,F8单步步过看看每条指令都做了些什么...
    粗略的看一下,可以发现,当前CALL传入的参数1也就是[ESP+4]是-1,也就是我们使用了这个物品(比如吃药),[ECX+14]是存放的当前物品的数量,而[ECX+18]上存放的当前物品堆叠上限...(16进制的)
  6. 再看看程序流程,基本可以看出这个函数的功能是判断当前使用的物品是否超出1~99这个范围,也就是判断是否用完了或者是捡满了...
  7. 那么找包裹物品的地址,我们就要找出ECX的值是怎么来的!!!
    OK,Ctrl+F9执行到返回,我们来看看是哪条指令调用了这个CALL...
    返回到指令:
    0048908D |. E8 0E600000     call     0048F0A0
  8. 老习惯,我们上下拖动大致看看这段指令有多长...(其实主要是大概要回溯多长,因为我们要找ECX的值)
    00489060 /$ 53           push     ebx
    00489061 |. 8B5C24 08     mov     ebx, dword ptr [esp+8]
    00489065 |. 56           push     esi
    00489066 |. 57           push     edi
    00489067 |. 85DB         test     ebx, ebx   
    00489069 |. 8BF9         mov     edi, ecx                //ECX是由上一级函数传入的,
    0048906B |. 7C 3E         jl       short 004890AB
    0048906D |. 3B5F 10       cmp     ebx, dword ptr [edi+10]
    00489070 |. 7D 39         jge     short 004890AB
    00489072 |. 8B47 0C       mov     eax, dword ptr [edi+C]
    00489075 |. 8B3498       mov     esi, dword ptr [eax+ebx*4]    //下断点 发现EBX的值实际上就是我们点击包裹的格子序号
    00489078 |. 85F6         test     esi, esi
    0048907A |. 75 08         jnz     short 00489084
    0048907C |. 5F           pop     edi
    0048907D |. 5E           pop     esi
    0048907E |. B0 01         mov     al, 1
    00489080 |. 5B           pop     ebx
    00489081 |. C2 0800       retn     8
    00489084 |> 8B4C24 14     mov     ecx, dword ptr [esp+14]
    00489088 |. F7D9         neg     ecx
    0048908A |. 51           push     ecx
    0048908B |. 8BCE         mov     ecx, esi
    0048908D |. E8 0E600000     call     0048F0A0            //此处调用
  9. 先看看指令,发现ECX=ESI,往上ESI=[EAX+EBX*4],OK!!!我们在
    00489075 |. 8B3498       mov     esi, dword ptr [eax+ebx*4]
    处下断...
  10. 发现EBX的值实际上就是我们点击包裹的格子序号(当然,人家是从0开始计数的...)
    恩,有门...再就是找EAX的值是怎么来的了...
    往上看,EAX=[EDI+C],EDI=ECX...
    没办法,ECX是由上一级函数传入的,好吧,继续Ctrl+F9...
    转到指令
    00457724 |. E8 37190300     call     00489060
  11. 还是上下看看...有点长,中间还有好几个CALL,郁闷...
    004576B0 /$ 8B4424 04     mov     eax, dword ptr [esp+4]
    004576B4 |. 53           push     ebx
    004576B5 |. 55           push     ebp
    004576B6 |. 56           push     esi
    004576B7 |. 8B70 0C       mov     esi, dword ptr [eax+C]
    004576BA |. 8BD9         mov     ebx, ecx
    004576BC |. 33C9         xor     ecx, ecx
    004576BE |. 57           push     edi
    004576BF |. 8A0E         mov     cl, byte ptr [esi]
    004576C1 |. 51           push     ecx            //push ecx的时候ECX是0
    004576C2 |. 8BCB         mov     ecx, ebx         //这个EBX的值很熟,后来一想,这个值不就是人物属性地址[[8BCB44]+1C]+24的值么
    004576C4 |. E8 C7860000     call     0045FD90     //对于高级语言,编译器一般习惯于将返回值放如EAX中          
    004576C9 |. 8BE8         mov     ebp, eax        // 此时 eax = 上面函数的返回值。
    004576CB |. 85ED         test     ebp, ebp
    004576CD |. 0F84 AC000000 je       0045777F
    004576D3 |. 33D2         xor     edx, edx
    004576D5 |. 6A 00         push     0
    004576D7 |. 8A56 01       mov     dl, byte ptr [esi+1]
    004576DA |. 8BCD         mov     ecx, ebp
    004576DC |. 52           push     edx
    004576DD |. E8 EE0F0300     call     004886D0
    004576E2 |. 8BF8         mov     edi, eax
    004576E4 |. 85FF         test     edi, edi
    004576E6 |. 0F84 93000000 je       0045777F
    004576EC |. 8B46 02       mov     eax, dword ptr [esi+2]
    004576EF |. 8B4F 08       mov     ecx, dword ptr [edi+8]
    004576F2 |. 3BC8         cmp     ecx, eax
    004576F4 |. 0F85 85000000 jnz     0045777F
    004576FA |. 6A 00         push     0                       ; /Arg3 = 00000000
    004576FC |. 6A 00         push     0                       ; |Arg2 = 00000000
    004576FE |. 50           push     eax                       ; |Arg1
    004576FF |. 8BCB         mov     ecx, ebx                   ; |
    00457701 |. E8 9A4A0200     call     0047C1A0                   ; /elementc.0047C1A0
    00457706 |. 8B07         mov     eax, dword ptr [edi]
    00457708 |. 8BCF         mov     ecx, edi
    0045770A |. FF50 1C       call     dword ptr [eax+1C]
    0045770D |. 66:8B46 06     mov     ax, word ptr [esi+6]
    00457711 |. 66:85C0       test     ax, ax
    00457714 |. 74 3C         je       short 00457752
    00457716 |. 33C9         xor     ecx, ecx
    00457718 |. 25 FFFF0000     and     eax, 0FFFF
    0045771D |. 8A4E 01       mov     cl, byte ptr [esi+1]
    00457720 |. 50           push     eax
    00457721 |. 51           push     ecx
    00457722 |. 8BCD         mov     ecx, ebp
    00457724 |. E8 37190300     call     00489060
    打起精神,记住我们要找的是ECX的值...
    仔细看,就可以看出,ECX=EBP,而EBP=EAX
    004576DA |. 8BCD         mov     ecx, ebp
    004576C9 |. 8BE8         mov     ebp, eax
  12. 从函数开始下断,我们看看是什么指令修改了EAX的值...
    恩,mov ebp, eax上面有个CALL,大家都应该知道对于高级语言,编译器一般习惯于将返回值放如EAX中的吧...
  13. 二话不说,先进call 0045FD90里面看看是个什么情况...
    0045FD90 /$ 8B4424 04     mov     eax, dword ptr [esp+4]
    0045FD94 |. 83F8 04       cmp     eax, 4                     ; Switch (cases 0..4)
    0045FD97 |. 77 34         ja       short 0045FDCD
    0045FD99 |. FF2485 D4FD45>jmp     dword ptr [eax*4+45FDD4]
    0045FDA0 |> 8B81 3C080000 mov     eax, dword ptr [ecx+83C]         ; Case 0 of switch 0045FD94
    0045FDA6 |. C2 0400       retn     4
    0045FDA9 |> 8B81 40080000 mov     eax, dword ptr [ecx+840]         ; Case 1 of switch 0045FD94
    0045FDAF |. C2 0400       retn     4
    0045FDB2 |> 8B81 44080000 mov     eax, dword ptr [ecx+844]         ; Case 2 of switch 0045FD94
    0045FDB8 |. C2 0400       retn     4
    0045FDBB |> 8B81 78080000 mov     eax, dword ptr [ecx+878]         ; Case 3 of switch 0045FD94
    0045FDC1 |. C2 0400       retn     4
    0045FDC4 |> 8B81 7C080000 mov     eax, dword ptr [ecx+87C]         ; Case 4 of switch 0045FD94
    0045FDCA |. C2 0400       retn     4
    0045FDCD |> 33C0         xor     eax, eax                   ; Default case of switch 0045FD94
    0045FDCF /. C2 0400       retn     4
    0045FDD2       8BFF         mov     edi, edi
    0045FDD4     . A0FD4500       dd       elementc.0045FDA0             ; 分支表 被用于 0045FD99
    0045FDD8     . A9FD4500       dd       elementc.0045FDA9
    0045FDDC     . B2FD4500       dd       elementc.0045FDB2
    0045FDE0     . BBFD4500       dd       elementc.0045FDBB
    0045FDE4     . C4FD4500       dd       elementc.0045FDC4
  14. 发现是个分支处理的函数,至于吃药是怎么分支的,我们先出去看看这个参数[ESP+4]和ECX的值是怎么来的...
    004576BF |. 8A0E         mov     cl, byte ptr [esi]
    004576C1 |. 51           push     ecx
    004576C2 |. 8BCB         mov     ecx, ebx
    004576C4 |. E8 C7860000     call     0045FD90
  15. 下断,可以知道push ecx的时候ECX是0,而mov ecx,ebx的时候不知道大家看出来什么没有...
    当时我就觉得这个EBX的值很熟,后来一想,这个值不就是人物属性地址[[8BCB44]+1C]+24的值么...
    而且,吃药的时候,那个CALL要传入的参数始终是0...
  16. 至此,所有的我们需要的信息都找到了...那我们就可以总结了...
    1. [[[[8BCB44]+1C]+24]+83C]+10 的值是角色包裹最大容量...
    2. [[[[8BCB44]+1C]+24]+83C]+C 是角色包裹首地址...
    3. [[[[[8BCB44]+1C]+24]+83C]+C]+4*格子序号 是格子物品首地址...
    4. [[[[[[8BCB44]+1C]+24]+83C]+C]+4*格子序号]+14 是此格物品的数量...
    5. [[[[[[8BCB44]+1C]+24]+83C]+C]+4*格子序号]+18 是此格物品的堆叠上限...
ked
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网络游戏进程内存搜索技术易语言分析
weiixn_kkcs的博客
05-29 1520
易语言X64位进程内存搜索技术 现在有很多新出的游戏都是64位程序了,而且对CE很不友好, 检测CE导致搜索内存地址,分析数据信息困难,建议我在Game-EC 驱动模块 8.5.2 版本开发64位进程的内存搜索功能。 所以考虑到这点,于是我就开发了支持64位程序进程内存搜索,先来说明下驱动模块这个功能吧 ================================================================================================= 子程序
植物大战僵尸:逆向分析阳光
CSDN
12-04 7946
植物大战僵尸这款游戏可以说是很多90后的回忆了,基本上只要是90后或多或少的都接触过,而玩游戏与制作辅助是两个概念,今天我将给大家分享一些游戏辅助方面的制作技巧,之所以使用植物大战僵尸这款游戏是因为游戏简单容易分析,且不需要考虑驱动保护版权等相应的问题,这我会把我的分析思路分享出来,来供大家参考。 游戏下载地址:链接:https://pan.baidu.com/s/1ajoUNpq8DmYsp...
如何获取游戏内存地址_游戏引擎养成《番外》 内存管理*译文
weixin_39710991的博客
12-06 493
# WHY 最近在研究U3d webGL ,很多人在吐槽WebGL support启动时需设定TOTAL_MEMORY. 其实在游戏引擎设计中,提前申请大块内存并自己管理有诸多的好处。PhantomEngine在一开始的时候也准备设计自己的MemoryManager,并且也参考借鉴了不少的资料,虽然最后没有实际应用(主要是没人喜欢关注这个)。Unity在Unite2019上公布了对现有GC方...
从0开始学模拟挂(一)--找内存基址,包含原理
热门推荐
踏实做事,诚信做人
11-19 2万+
1、首先打开CE,在设置面尽量使用内核模式调试器 2009-8-5 14:23 上传 下载附件 (65.16 KB) 2、点击左上角的电脑图标 2009-8-5 14:25 上传 下载附件 (30.68 KB) 3、选中游戏进程,按确定 2009-8-5 14:27 上传 下载附件 (29.57 K
[外挂学习]Jim's游戏外挂学习笔记1——动态分配内存游戏怎么样找内存地址
pzhccy的专栏
09-19 1455
作者:Jims支持原创,经典收藏!这贴之前有朋友发过,东西很全面,所以整理了一下发出来,应该对新来的朋友有帮助![外挂学习]Jims游戏外挂学习笔记1——动态分配内存游戏怎么样找内存地址(原创) 游戏:天龙八部版本:0.13.0402系统:windows xp工具:CE5.2+OD1.10目标:搜索人物基地址第一步,用CE搜索人物HP,得到一堆地址,掉血后继续搜索,得到唯一地址0ABDC36
c语言怎么查找游戏内存,C程序使用动态内存分配查找最大数字
weixin_35733790的博客
05-22 441
C程序使用动态内存分配查找最大数字在此示例中,您将学习在动态分配的内存查找用户输入的最大数字。要理解此示例,您应该了解以下C语言编程主题:在动态分配的内存查找最大的元素#include#includeintmain(){intnum;float*data;printf("输入元素总数:");scanf("%d",&num);//为num元素分配内存data=(flo...
Jim's游戏外挂学习笔记1——动态分配内存游戏怎么样找内存地址
u010488395的专栏
05-06 1106
游戏:天龙八部  版本:0.13.0402  系统:windows xp  工具:CE5.2+OD1.10  目标:搜索人物基地址    第一步,用CE搜索人物HP,得到一堆地址,掉血后继续搜索,得到唯一地址0ABDC360(HP地址)    第二步,切换地图后发现该地址的值已经不是HP,是动态地址,重复第一步搜索出新的HP地址(地址 省略)    第三
redis数据查找key在内存中的位置的方法
09-10
查找 Redis 数据库中的某个 key 在内存中的位置,首先需要理解 Redis 的内部数据结构和工作原理。 1. **Redis 数据库结构**: Redis 中的每个数据库都是由 `redisDb` 结构体表示的。这个结构体包含了数据库的 ID...
C++内存查找实例
09-04
C++内存查找是一种技术,用于在程序运行时搜索特定内存区域以找到指定的数据值。这个实例展示了如何在Windows环境下实现内存查找功能。在C++编程中,内存查找通常用于调试、逆向工程或者性能分析等目的。 在提供的...
数据结构VIP教程代码_分块查找_数据结构教程代码_
09-30
分块查找则是对这种状况的一种改进,它将数据存储在多个固定大小的块中,并通常维护一个索引表来保存每个块的首元素。当我们需要查找某个元素时,首先通过索引找到可能包含目标值的块,然后在该块内进行线性查找。...
一些数据结构小游戏
05-18
1. **数组**:Java中最基础的数据结构之一,它是一个固定大小的存储单元集合,用于存放相同类型的数据。在游戏中,可能用数组来存储玩家得分、关卡状态等信息。 2. **链表**:与数组不同,链表的元素不是在内存中...
常用数据数据加载到内存
03-27
标题 "常用数据数据加载到内存中" 涉及的核心知识点是数据内存管理,这在计算机科学,尤其是编程和软件开发中是非常基础且重要的。数据加载到内存中通常是程序运行过程中不可或缺的一部分,特别是对于大数据处理、...
Jim's游戏外挂学习笔记4—查找数据数组的内存分布和地址
pzhccy的专栏
03-05 1577
作者:Jims支持原创,经典收藏!这贴之前有朋友发过,东西很全面,所以整理了一下发出来,应该对新来的朋友有帮助![外挂学习]Jims游戏外挂学习笔记4——查找数据数组的内存分布和地址(原创) 游戏:天龙八部,版本:0.16.0108,系统windows xp,工具:CE5.2+OD1.10+C#2005目标:查找内存中怪数据的数组格式和位置首先更正笔记1中的人物基址的查找方法,具体查找方法
如何获取游戏内存地址_再来!月神带你挖游戏内存漏洞
weixin_39850143的博客
11-10 3539
_投稿:月神配图:M_____ 先不讲wpe的思路,因为游戏种类繁杂,每个游戏的功能不同,测试方式也不一样。后面再讲,今天要讲的是CE,一款内存修改器。相信很多人都使用过,类似于金山游侠。 通常游戏封包加密了我搞不定的情况下,我选择修改内存来达到目的,游戏和软件一样,都是本地生成数据后发送给服务器,服务器接收到了相应的值再返回给客户端,就是你和服务器直接的对话,而有了wpe和ce这些工...
使用CE查找游戏基地址
最新发布
不负韶华梦为马
07-05 8449
7、根据代码计算得到, 18是十六进制换算成十进制就是24,这一步后我们得到了18 = [33183480+158] , 33183480这个内存地址就是我们需要下一步需要查找的地址。9、这时又会得到这么多数据,从中选取有用的数据,一样的加入到结果栏,右键"Find out what accesses this address" ,6、这时会增加很多汇编代码,找到任意一条,代码双击打开(注意不要查找mov xxx, xxx, xxx是一样的代码,因为这样的代码无法在ce分析)16、计算得到表达式。
内存中找怪物之代码注入篇
weixin_33857230的博客
09-11 366
http://www.cppblog.com/niewenlong/archive/2007/07/21/28474.html 转载于:https://www.cnblogs.com/scarroot/archive/2008/09/11/1288809.html
Jim's游戏外挂学习笔记4——查找数据数组的内存分布和地址
skybot的专栏
02-19 2040
2007-06-21 15:41 > >更多精彩技术文章>游戏:天龙八部,版本:0.16.0108,系统windows xp,工具:CE5.2+OD1.10+C#2005目标:查找内存中怪数据的数组格式和位置首先更正笔记1中的人物基址的查找方法,具体查找方法以下简单说明:1.CE中根据人物经验或血找到某
一篇文章带你充分了解函数栈帧
m0_64318128的博客
04-24 1069
目录 1.什么是函数栈帧? 2.什么是栈? 3.相关寄存器和汇编指令 3.1相关寄存器 3.2相关汇编命令 4.函数栈帧的创建和销毁 4.1函数栈帧的创建 4.2函数栈帧的销毁 1.什么是函数栈帧? 我们在写C语言代码的时候,经常会把一个独立的功能抽象为函数,所以C程序是以函数为基本单位的。那函数是如何调用的?函数的返回值又是如何待会的?函数参数是如何传递的?这些问题都和函数栈帧有关系。 函数栈帧就是函数调用过程中在程序的调用栈,所开辟的空间,这些空间是用来存放...
理解Java内存数据存放与类型管理
6. **内存地址与变量查找**:虽然内存地址通常难以记住,但在Java中,通过变量名就可以找到相应数据的存储位置,这是因为每个变量都有一个唯一的标识符。 7. **数据类型转换**:理解何时会发生自动类型转换(如当...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值