以前实现过无限血量,详见
http://blog.csdn.net/qq_35519254/article/details/79292322
,这次实现无限生命。
正常情况下英雄只有三条命,如下图所示:
CE附加进程,搜索3,当生命值没有变化时,继续搜索三,当生命值变成2时,搜索2,这样确定一个地址,然后搜索什么改写了改地址:(后来测试时,程序直接崩溃,我就改用ollgdbg附加进程,在CE搜到的地址处下内存写断点),得到如下地址:
这样就得到了改写生命值的地址:0x00464428,然后使用IDA分析一下:
可以看到当血量为0时,就会减一条命,这样要想实现无数条的效果,只要将dec ecx nop掉就可以了。。。
我们继续分析为什么游戏一开始英雄是3条命,而不是100条命呢?
.text:00464421 mov ecx, [edx+1B0h]
.text:00464427 dec ecx
.text:00464428 mov [edx+1B0h], ecx ; hero_fate
通过这段代码可以看到,英雄生命值保存在0x00464421处edx+1B0h,我们可以猜测,
edx是英雄的对象地址,偏移0x1b0是英雄血量的保存地址
重新运行游戏,CE附加进程,在.text:00464421 mov ecx, [edx+1B0h]处下断点,运行:
可以看到此时edx=0x0b0cec10,这个可能是英雄的基地址
然后在CE中搜索0x0b0cec10
看到一个地址0x005DEF0C颜色是绿色的,表示每次启动时,该地址都保存的是英雄的基地址。
再次启动游戏,CE附加进程,在0x005DEF0C处查看什么地址改写了改数据,运行游戏:
可以看到0x42dae8改写了改地址,IDA分析一下:
.text:0042D9C0 hero_create_write_address proc near ; CODE XREF:
.text:0042D9C0 ; .text:0042D905p
.text:0042D9C0
.text:0042D9C0 var_C = dword ptr -0Ch
.text:0042D9C0 var_8 = dword ptr -8
.text:0042D9C0 var_4 = dword ptr -4
.text:0042D9C0
.text:0042D9C0 sub esp, 0Ch
.text:0042D9C3 push ebx
.text:0042D9C4 push esi
.text:0042D9C5 push edi
.text:0042D9C6 mov esi, ecx
.text:0042D9C8 call sub_452840
.text:0042D9CD xor ebx, ebx
.text:0042D9CF lea ecx, [esi+124h]
.text:0042D9D5 mov [esi+9Ch], ebx
.text:0042D9DB mov [esi+0A0h], ebx
.text:0042D9E1 mov [esi+0A4h], ebx
.text:0042D9E7 mov [esi+0A8h], ebx
.text:0042D9ED mov [esi+0ACh], ebx
.text:0042D9F3 mov [esi+0B0h], ebx
.text:0042D9F9 mov [esi+0B4h], ebx
.text:0042D9FF mov [esi+0B8h], ebx
.text:0042DA05 mov [esi+0BCh], ebx
.text:0042DA0B mov [esi+0C0h], ebx
.text:0042DA11 mov [esi+0C4h], ebx
.text:0042DA17 mov [esi+0C8h], ebx
.text:0042DA1D mov [esi+0CCh], ebx
.text:0042DA23 mov [esi+0D0h], ebx
.text:0042DA29 mov [esi+0D4h], ebx
.text:0042DA2F call sub_42D980
.text:0042DA34 mov ecx, 12h
.text:0042DA39 xor eax, eax
.text:0042DA3B lea edi, [esi+1B8h]
.text:0042DA41 mov edx, ebx
.text:0042DA43 rep stosd
.text:0042DA45 lea ecx, [esi+0D8h]
.text:0042DA4B mov [esp+18h+var_8], 3F800000h
.text:0042DA53 mov al, 1
.text:0042DA55 mov dword ptr [esi], offset off_58EA58
.text:0042DA5B mov [ecx], edx
.text:0042DA5D mov edx, [esp+18h+var_8]
.text:0042DA61 mov [esi+94h], al
.text:0042DA67 mov [esi+0FCh], al
.text:0042DA6D mov [ecx+4], edx
.text:0042DA70 mov edx, ebx
.text:0042DA72 mov [esi+104h], al
.text:0042DA78 xor eax, eax
.text:0042DA7A mov [ecx+8], edx
.text:0042DA7D lea ecx, [esi+108h]
.text:0042DA83 mov [esi+98h], ebx
.text:0042DA89 mov [esi+0F0h], ebx
.text:0042DA8F mov [esi+100h], ebx
.text:0042DA95 mov dword ptr [esi+0E4h], 3F666666h
.text:0042DA9F mov [esi+0ECh], ebx
.text:0042DAA5 mov [esi+0E8h], ebx
.text:0042DAAB mov dword ptr [esi+0F4h], 0BF800000h
.text:0042DAB5 mov dword ptr [esi+0F8h], 0FFFFFFFFh
.text:0042DABF mov [esi+90h], ebx
.text:0042DAC5 mov [esi+11Ch], ebx
.text:0042DACB mov [ecx], eax
.text:0042DACD pop edi
.text:0042DACE mov [esp+14h+var_C], ebx
.text:0042DAD2 mov [esp+14h+var_4], ebx
.text:0042DAD6 mov [ecx+4], eax
.text:0042DAD9 mov [ecx+8], eax
.text:0042DADC mov [ecx+0Ch], eax
.text:0042DADF mov [ecx+10h], eax
.text:0042DAE2 mov [esi+120h], bl
.text:0042DAE8
mov dword_5DEF0C, esi
.text:0042DAEE mov [esi+121h], bl
.text:0042DAF4 mov eax, esi
.text:0042DAF6 pop esi
.text:0042DAF7 pop ebx
.text:0042DAF8 add esp, 0Ch
.text:0042DAFB retn
.text:0042DAFB hero_create endp
.text:0042DAFB
可以看到该函数(hero_create_write_address)就是给esi的偏移赋值,然后将esi地址(也就是英雄基地址)写入固定地址dword_5DEF0处,但是没有发现对该地址的偏移0x1b0赋值,查看下该函数的调用情况:
可以看到该函数(heap_create)创建了一个大小为0x200的堆,然后为该堆赋值。
然后在改地址偏移0x1b0处下内存写断点,查看什么改写了改地址:
用IDA分析一下:
可以看到此时就是将3条命写入创建堆偏移0x1b0处
然后看一下函数调用顺序:
hero_create->hero_create_write_address->hero_create_write_fate_1->hero_create_write_fate
要实现无数条命的办法就是将0x0042F1A5处 mov dword ptr [edi+1B0h], 3 的3修改为任意值,就可以实现无数条命的效果了 。