外挂学习之路（2）--- 老生常谈“基地址”

万恶的csdn编辑器，编写博客粘贴图片依然是那么麻烦！

以植物大战僵尸为例找阳光基地址

1.先用CE找到直接地址:0X13E155D8

2.查看谁接触了这个地址（一般不需要更改阳光值就可以找到相关代码）

我们看到出现两行代码，她们的偏移量都是0x5560,随便点击一个，出现以下汇编信息

EAX=0000004B
EBX=00000005
ECX=00000000
EDX=0B598FC0
ESI=13E10078
EDI=0B5D8E90
EBP=0018FA98
ESP=00189790
EIP=0048982B

指针基址可能是 =13E10078

0048981D - test al,al
0048981F - jne PlantsVsZombies.exe+89933
00489825 - mov eax,[esi+00005560]
0048982B - xor ecx,ecx
0048982D - test eax,eax

3.再用CE搜索这个地址0X 13E10078，（多赛选几次，因为一般结果有很多个）

 出现搜索结果之后观看是否有绿颜色的地址，如果有则选择绿颜色的，没有就选择第一个，把这个地址拉倒下边，在上面右键查看谁接触了这个地址，如果一直查看不多谁放了这个地址的话，就换个地址

如果，看到了很多地方放了这个代码，那就随便选择一个地方双击，

EAX=02569E78
EBX=13EB6B88
ECX=00000000
EDX=0FDC0002
ESI=00000001
EDI=0018FA98
EBP=00189838
ESP=00189774
EIP=004537D7

指针基址可能是 =02569E78

004537CE - int 3 
004537CF - int 3 
004537D0 - cmp dword ptr [eax+00000768],00
004537D7 - jne PlantsVsZombies.exe+537DC
004537D9 - xor al,al

4.接着就重复上面的工作搜多地址 02569E78（搜索时切记勾上HEX选项）

按照上面说好的规则，有绿色的选择绿色的，结果我们看到了：mov ecx,[PlantsVsZombies.exe+2A9EC0]

说明这就是个基地址。

5.基地址验证：

0X12c = 300

后注：

1.这种找基地址的结束方式有点特殊，一般都是以常量地址结束

2.有看到相关教程分析汇编代码意思和[]符号的左右，额，其实不用分析了