Windows 逆向之修改内存中的数据：从基础到实战

阿贾克斯的黎明

于 2025-02-10 21:35:41 发布

阅读量1.2k

点赞数 26

分类专栏： C++ 文章标签： windows

本文链接：https://blog.csdn.net/m0_57836225/article/details/145558649

版权

C++ 专栏收录该内容

156 篇文章

订阅专栏

Windows 逆向之修改内存中的数据：从基础到实战

在 Windows 逆向工程领域，修改内存中的数据是一项极为关键的技能，它不仅能帮助我们深入理解程序的运行机制，还在软件破解、漏洞挖掘等方面发挥着重要作用。今天，就带大家深入探索如何在 Windows 环境下修改内存中的数据。

前置知识

在开始实操前，需要了解一些基础知识。程序运行时，数据存储在内存中，每个数据都有对应的内存地址。我们修改内存数据，本质上就是对特定内存地址中的内容进行更改。同时，要掌握调试工具的基本使用，比如常见的 OllyDbg，它能让我们查看和修改内存数据。

示例代码准备

以一段简单的 C 语言代码为例，这段代码会在控制台输出 “Hello World”：

#include <stdio.h>

int main() {
    printf("Hello World\n");
    return 0;
}

使用 Visual Studio 等开发工具将其编译为 Release 版本，后续的操作都基于这个 Release 版本的可执行文件。

直接修改内存数据

打开调试工具并定位数据地址：打开 OllyDbg，将编译好的可执行文件拖入其中。由于不想一步步繁琐地寻找目标函数，直接在代码中找到输出 “Hello World” 的函数位置（假设已经知道该函数位置），在函数起始处设置断点。运行程序，程序会停在断点处。此时，查看函数调用栈和内存窗口，找到传递给printf函数的字符串地址。比如，这里找到的地址是0000847498 ，这个地址存储的就是 “Hello World” 的数据。
修改内存数据：在内存窗口中，右键点击找到的地址，选择 “二进制” - “编辑”。这里有两种选择：保持大小和不保持大小。不保持大小修改可能会覆盖后面的数据，所以通常选择保持大小。将 “Hello World” 修改为一串字符，比如全改为 “a”，并在末尾保留0a00 （0a代表换行符\n ，00代表字符串结束符）。修改完成后点击 “确定”。
查看修改效果：继续执行程序（可以按 F8 单步执行），此时控制台输出的内容就不再是 “Hello World”，而是修改后的 “aaa...”。

通过修改地址指向修改数据

准备新的数据：重新运行程序到主函数，在内存中找一段空闲的区域（假设找到地址0000849100 ）。右键点击该地址，选择 “二进制” - “编辑”，在里面写入想要的数据，比如 “bbbbb”，并按照规范在末尾加上0a00 代表换行和字符串结束。
修改原地址指向：回到之前找到的传递给printf函数的字符串地址（0000847498 ），双击该地址，将其修改为刚刚写入新数据的地址0000849100 。
查看结果：再次执行printf函数相关代码，这时控制台输出的就是修改后的 “bbbbb”。

修改内存数据的实际意义

在软件破解场景中，修改内存数据的作用尤为突出。假设一个程序有密码验证机制，程序内部预设的正确密码是 “123456” ，存储在内存的某个地址。当输入密码进行验证时，程序会对比内存中存储的密码和输入的密码。如果想要绕过验证，就可以在内存中直接将预设密码修改为输入的密码。比如，将内存中的密码修改为 “123456”，这样密码验证就能轻松通过。