cheat engine 查找血量地址规律

cheat engine 查找血量地址规律

最近在做软件安全与漏洞分析的一个小作业的时候,用到了这个软件,觉得有必要记录下来。

老师给了一个攻击小老鼠的游戏,点击attack,小老鼠的血量会减少。让我们开发一个小工具来锁定小老鼠的血量。

我们知道对于单机游戏而言,游戏中的参数基本存在计算机的堆栈里。这个题目中的小老鼠的血量也应该存在进程中的某个地址里。

首先打开小老鼠的游戏,接着打开cheat engine,选择小老鼠的进程打开。

在这里插入图片描述

可以看到小老鼠的血量是90.

在这里插入图片描述

所以我们在cheat engine输入90,来扫描一下,看看哪些地址的变量值为90,可以看到右边有这几个地址值为90。

在这里插入图片描述

我们现在再点击attack,得到如下结果。可以确定这个红色的地址是保存着小老鼠的血量,我们双击这个地址,会看到下方框中有了这个地址。

在这里插入图片描述

右键点击这个地址,选择箭头标的这个。看看是什么地址写了这个地址。

在这里插入图片描述

然后会弹出一个框,选yes,接着还有一个空空的大窗口。这时我们再点击attack,会发现窗口中多了一个地址。

在这里插入图片描述

双击上面那个地址,会弹出一个信息框。我们就知道这个地址的偏移地址是esi+0000000BC,然后我们记录下这个ESI的值,为0012FD60。

在这里插入图片描述

接着我们回到原来的窗口,在搜索栏输入esi的地址,0012FD60,并选中前面的hex。点击newscan没有什么东西,再点击first scan,可以看到右边多出了好多地址。然后我们注意看,其中有个绿色的,说明这个地址是基址,同样双击这个基址加入下面的方框中。

在这里插入图片描述

在下面的方框中,我们再双击这个地址。有如下界面

在这里插入图片描述

再点击pointer。这里是添加指针。指针的基地址为下面方框显示的00571128,偏移量是刚刚得到的BC。点击ok。这里的00571128实际上也可以表示为程序基址+171128,就像上面的绿色字写的那样。这两个表示的东西是一样的。

在这里插入图片描述

接下来我们再点击attack,会发现这两个地址的值都变化了。而且我们也可以看到我们的指针指向的地址和上面的那个是一样的。所以我们找到了血量地址的规律。

在这里插入图片描述

因此我们得到了小老鼠血量可以表示为=[ [程序基址+0x171128] + 0xBC ]

添加项和更改项: 增加了对il2cpp(单声道)的支持 添加了对.NET dll插件的支持 现在,断点上的更改寄存器也会影响FP和XMM寄存器 添加了CEShare,这是与他人共享表的一种方式 改进的拆卸 复制字节+地址现在仅执行字节+地址 调用过滤器现在可以使用展开数据获取函数,以获取正确的指令列表 结构剖析在底部显示了指针路径 步进时跟随注册(右键单击注册以显示选项) 现在,registersymbol和label在一行中支持多个定义 从pdb获取数据时提高了结构列表的速度 hexview:双击非字节值现在会以您设置的类型显示 将排序添加到找到的代码对话框 向已更改的地址窗口添加了过滤 调试器设置将不再锁定更改,仍然需要您重新打开进程才能产生影响 添加了始终隐藏子组 组头现在可以用作地址 AA命令createthreadandwait现在具有超时参数 汇编程序扫描改进 添加了CE的AVX2版本,它将加快CE所做的所有那些浮点运算的速度... 改进了PDB文件的结构查找 Symbolhandler现在可以在指针前面具有以下类型:(BYTE),(WORD),(DWORD),(QWORD),(CHAR),(SHORT),(INT),(INT64)将指针转换为值这种类型的 Structure Dissect现在可以检测vc ++和对象Pascal类名 解剖代码现在也可以检测到对字符串的引用 现在,对地址列表进行排序可以更快,更正确地对组进行排序(取决于您当前选择的级别) 右键单击地址列表标题以显示一个菜单,该菜单可让您禁用排序 改进了流程列表的响应能力 所选浮点舍入类型现在保存在注册表中 您现在可以使用(地址列表说明)作为地址 改进的自动完成 变化: 默认情况下,DBVM不会激活TSC挂钩。您仍然可以使用dbvm_enableTSCHook()激活它
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

破落之实

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值