本文介绍了CheatEngine和OllyDBG两款内存调试工具的使用方法。通过CheatEngine,讲解了如何搜索内存中的字符串,特别是针对包含中文内容的搜索,并强调了基地址的重要性。在OllyDBG部分,阐述了如何附加到运行中的进程,理解主界面的各个区域,查看特定内存内容以及设置断点进行调试。这些技巧对于逆向工程和程序分析非常实用。
一、Cheat Engine
可以随意下载一个
通过CE打开进程
1、附加进程,点击图中的 计算机图标弹出对话框,如下
2、搜索内容(勾选UTF-16) 否则搜索不到包含中文的内容
数据类型选择字符串,数值填入想要输入的内容。
搜索内容如果包含中文则勾选UTF-16选项
例如有一个微信好友名称带了中文:张三
则数据类型:字符串
数值输入:张三
勾选:UTF-16
不然就会搜索不到
3、基地址 (绿色)
上图中讲到基地址,基地址是一块稳定的内存,是我们重点关注的内容,如果地址为黑色则说明该地址是动态地址,不稳定的地址。
当我们找到稳定的基地址后,常常会结合基地址计算一下我们想要找的内容的地址,得到便宜地址
例如,内存中有一块内容是表示我的微信名,如果知道偏移地址,那么可以根据基地址+偏移地址得到 我的微信名,所以这里的基址很重要
4、查看内存中,聚焦后快捷键:ctrl + g 可以跳转到指定地址查看内存
点击查看内存,聚焦下方的内存试图,然后快捷键chtl + g,填入要查看的内存。
如下操作
5、得到dll的基地址
二、OllyDBG
使用 OllyDBG 调试exe程序有2个选项,分别对应下面的打开 和 附加
2者区别在于打开是程序还没跑起来,附加则是程序已经在运行中,所以附加是更常用的操作。
一般我们都是打开一个程序,例如微信,然后用OD进行调试
1、附加 到一个正在运行的进程
文件 ==》附加 =》根据对话框找到想要附加的程序
附加程序后,程序会属于暂停状态,点击运行即可让程序恢复运行状态
如果点击运行按钮,程序还不可用,则点击 t 按钮,右键 resume all thread让所有线程都属于激活状态
2、主界面介绍
当我们附加完一个程序的时候,会有下面的窗口,分为4块区域
- 汇编指令
- 寄存器 做运算的时候会用到
- 内存
- 栈
3、查看指定内存内容
dd(ascii码)、dc(中文)、du(Unicode编码)
例如Command中输入:dc 00f2e8b0
4、断点,快捷键 F2,鼠标光标按快捷键设断点
F2是加断点
按钮b是现实所有的断点,
按钮c是回到主界面
扫一扫
6585
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
