Windows逆向分析实战:使用CE+OD获取用户信息

最新推荐文章于 2025-03-18 21:01:37 发布
最新推荐文章于 2025-03-18 21:01:37 发布
阅读量5.2k 收藏 38
点赞数 4
分类专栏: 逆向分析 文章标签: c++ qt windows 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42962516/article/details/114904925
版权

序:

很多想学软件逆向分析的朋友们,初学者往往看到一大堆的技术资料,直接就懵了。本文以一个简单的例子,演示一下使用CE+OD进行内存的获取,然后使用Qt进行界面显示,让初学者简单了解逆向分析的流程,并且一步步自己进行手动实现,让初学者有一些成就感,避免直接上来就是技术文档打击到学习的热情。

一、准备工作:

CheatEngine 简称CE 用来定位数据;
Ollydbg 简称OD 用来动态调试;
微信版本:3.1.0.67
Qt:5.13.0用来开发界面(我喜欢用Qt做界面,习惯使用MFC的朋友们也可以使用MFC,核心部分不影响)
资源可能不太好找,这里放上我使用的逆向分析三件套:CE+OD+IDA

二、使用CE获取找偏移地址

1、登陆电脑微信,打开CE软件,点击电脑图标,选择进程,选中WeChat.exe,点Open按钮;
在这里插入图片描述
2、在微信找到自己的登陆信息:LaoWang
![在这里插入图片描述](https://img-blog.csdnimg.cn/20210316225305252.png

3、选择Value Type为String,将上一步中的用户名输入进去,然后点击First Scan按钮进行查找;
在这里插入图片描述

4、查看搜索结果有绿色的,说明用户名偏移是固定的,此处为10F235FC
在这里插入图片描述

5、查看该偏移地址附近的信息
在这里插入图片描述

6、该偏移地址附近的信息,有电话、地址信息、微信号等,说明个人信息是放在一起的;
在这里插入图片描述

二、使用OD查看更多内存信息

1、打开OD软件,File—>Attach,在弹出界面选择微信进程,然后点击Attach按钮;
在这里插入图片描述
2、我们在CE中搜索到的内存地址是:10F235FC,
(1)在OD界面我们使用dc 10F235FC命令,查找该内存地址附加的文本
在这里插入图片描述
(2)在OD界面我们使用dd 10F235FC命令,查找地址附加的指针所指向的文本(在文本较长的情况下,可能会使用指针)
在这里插入图片描述
在这里插入图片描述
可以看到wxid指针偏移地址是:10F23A18

四、计算偏移地址

1、计算偏移地址的方法:
偏移=内存地址-模块基址

2、在CE中查找模块:按下图步骤,可以看出内存地址所对应的模块为WeChatWin.dll;
在这里插入图片描述
3、在OD中查找模块基址:View—>Executable modules,找到WeChatWin.dll对应的基址为:0F680000

 Base=0F680000
 Size=01B40000 (28573696.)
 Entry=10529FDC WeChatWi.<ModuleEntryPoint>
 Name=WeChatWi
 File version=3.1.0.67
 Path=D:\Program Files (x86)\WeChat\WeChatWin.dll

在这里插入图片描述
4、计算偏移
通过上面我们已经知道:
模块基址:0F680000

那么偏移地址
用户名

最低0.47元/天 解锁文章
某东滑块验证逆向分析与算法还原
吴秋霖的博客
04-05 2万+
京东滑块参数逆向分析与算法还原!协议过滑块验证爬虫必备技能~
python实战项目37:js逆向--cai招网
lyccomcn的博客
09-06 1898
keywords=%E5%85%AC%E5%85%B1%E4%BD%8F%E5%AE%85,打开开发者工具进行抓包。将data作为参数传入AESDecrypt函数,打印。发现报错,变量variate未定义。回到开发者工具控制台,执行variate,将结果复制到js文件中,再执行发现得到正确结果。新建caizhao.js文件,将解密函数复制到js文件中,首先将函数稍作修改,函数名为AESDecrypt。在控制台打印JSON.parse,发现是解密后的数据,加密入口找到。分别下断点,刷新网页,发现断住了。
逆向分析三件套CE+OD+IDA
03-16
软件逆向分析工具包:CE用来定位数据,OD用来动态调试,IDA用来看代码 懂得自然懂
odce实现植物大战僵尸自动收集阳光
m0_57485346的博客
10-29 7494
阳光自动收集
微信版本过低 使用CheatEngine绕过
最新发布
qq_38962012的博客
03-18 1164
Hex记得打勾,值填要改的微信版本,就是打开提示低版本的这个版本,换算逻辑点这里:微信版本号转换,我的版本是3.8.0.33,转换过来就是63080021,把这个值填进Hex的值里,再点First Scan。对最下面的地址列表,每一项都进行修改,双击,在弹出的窗口里填,要伪装的微信版本号,比如我要伪装成3.9.10.27,通过:微信版本号转换,获得的值是63090a1b。点First Scan后,正常情况下,左边的列表会找到一些内容,最底下标绿色的就是根据上面的版本号找到的内存里对应的内容。
CE+OD外挂制作实战 [提高篇]
weixin_30448685的博客
08-08 1万+
人造指针&基址 实验目标:通过向游戏注入一段特殊汇编代码,实现自动获取动态地址.省略找基址的麻烦 为什么会出现人造指针 ? 1.基址偏移层数太多,很难找 2.有些游戏根本找不到基址 人造指针有什么优缺点? 1.人造指针就算游戏更新也无需去重复找基址 2.缺点是,需要注入代码,获取钩子 1.打开并附加游戏进程,老样子找到阳光的动态地址,这里我们不去找基址,而是人造...
逆向三件套
08-28
逆向工具三件套,适应于大多数的逆向工程任务。熟练掌握工具的使用
CE+OD找基址详解
12-07
CE+OD找基址详解 你懂的 带图文 很详细
基址必备工具CEOD
09-14
这两个工具分别是CE6.4中文版和OD,免安装。两个都没做免杀,我正常使用的。因OD的原因,被检测病毒是正常的,如果不放心,可以用虚拟机来使用
【游戏逆向逆向基础之ODCE结合找数据
douluo998的博客
04-04 1794
ODCE结合找数据情况一,CE找突破口,锁定目标内存地址,在CE中查看其访问代码,然后到od中追踪其来源,这是最常见的情况,优点在于可以查找到所有的访问代码(前提是下断以后要尽量的做和地址数据相关的动作,比如人物血量,你就要考虑到扣血,加血,吃药,被怪物攻击,换装备等等一系列的可能导致人物血地址被访问的动作,这样才能得到更全面的访问代码),不会漏掉任何的线索,然后逐条到OD找来源,一旦某几条找不到来源,还有更多代码可以使用。如果说谁强大,并没有,不同的情况,应用不同的工具才算是最明智的选择。
C++逆向实战:x86端游内存自动打怪教程
2. 游戏逆向与工具使用:通过CE( Cheat Engine)和OD(OllyDbg)等逆向工程工具,学员将学习如何查看和分析游戏内存结构,找到关键数据的存储位置。 3. Python脚本编写:课程引导学生编写Python脚本来自动化处理...
游戏安全逆向工程师:从入门到精通83课分享
qq_50390093的博客
05-14 2663
游戏安全逆向工程师—01.简单的介绍一下DLL是怎样的一种存在 游戏安全逆向工程师—02.Windows.API编程速成-环境搭建 游戏安全逆向工程师—03.Windows_API是什么东西 游戏安全逆向工程师—04.C-C++调用Windows.API编程方法速成 游戏安全逆向工程师—05.C-C++调用Windows.API编程方法补充:GetLastError返回值 游戏安全逆向工程师—06.易语言调用Windows.API编程方法速成 游戏安全逆向工程师—07.C-C++编写DLL速成, 游戏安全
找基址五种方法OD+CE,以及单独找基址的方法。非常实用
05-24
CE找基址,非常详细,CE找基址,非常详细CE找基址,非常详细CE找基址,非常详细CE找基址,非常详细
OD+CE+代码注入
11-04
Cheat Engine 中文版(CE游戏修改器) OllyDBG_1.10 ollyice WG开发人员必备的优良工具!
关于找人物包裹地址方法
VxD
03-12 1686
早就答应给大家说一下我是怎么找包裹地址的,今天有空,我就简单的讲一下,希望对大家有帮助...首先我们用CE来找出是什么指令修改了我们包裹中物品的数量(怎么找我就不说了,不懂的看CCB老大的教程)找到指令是0048F0AB     mov     dword ptr [ecx+14], edx用OD打开武林elementclient.exe,Ctrl+G转到表达式0048F0AB..
Windows 逆向OD 调试器工具 ( OD 工具简介 | OD 工具与 CE 工具对比 )
让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 )
11-15 1万+
一、OD 工具简介、 二、OD 工具与 CE 工具对比、 三、博客资源、
ODCE使用示例-Python实现win98扫雷一键标雷外挂
热门推荐
小小明-代码实体的专栏
08-11 4万+
大家好,我是小小明,前面我在《基于概率分析的智能AI扫雷程序秒破雷界世界纪录》一文中的除了用AI算法自动扫雷外,后面还演示了使用内存外挂直接知道答案进行扫雷的方法。 前面我们通过内存外挂可以实现1秒内扫雷完毕,本文通过写内存的API直接修改内存,达到扫雷标识雷的位置的效果: 关于写内存的windowsAPI,大家可以参考下面的链接: https://docs.microsoft.com/zh-cn/windows/win32/api/memoryapi/nf-memoryapi-writeprocess.
C++之PVZCheat制作(一):利用CEOD实现秒杀僵尸
qq_46122208的博客
08-01 1359
主要思路是僵尸受到攻击则血量减少,用CE扫描减少的变量,找到控制僵尸扣血的代码,然后利用OD修改。 那么先打开游戏和CE,等待第一只僵尸出现。 由于僵尸的血量是未知量,所以扫描类型选择未知的初始值进行首次扫描。 在僵尸受到攻击时暂停游戏,来到CE扫描类型选择减少的数值点击再次扫描。可以看到出现了很多结果,再次返回游戏让僵尸受到攻击之后再用CE扫描,如此反复,便得到了控制僵尸血量的地址。 右击该地址,点击“是什么改写了改地址”。返回游戏让僵尸受到一次伤害便可以得到相应的结果。 .
【游戏逆向逆向基础----CE使用和基础
douluo998的博客
04-04 1830
这么说大家可能不懂什么意思,举个例子,如果有一个人物血量地址是00401223,里面的值是1,那么我们扫描1的时候 是扫不到这个地址的,因为他的个位不会0,4,8,C,那么怎么办呢?例如,如果我们扫描00000000-7fffffff 这个范围的未知初始值去找某一个数据可能要很久,甚至有时候机器会卡住,这个时候我们可以尝试分段扫描,把他分成两半,先扫前半段地址,看是否能够找到,找不到再去扫描后半段,减少了单次扫描的压力。第二步,我们要确定扫描的类型,是精确扫描呢,还是模糊扫描呢?
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

老王敲代码

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值