人造指针&基址
实验目标:通过向游戏注入一段特殊汇编代码,实现自动获取动态地址.省略找基址的麻烦
为什么会出现人造指针 ?
1.基址偏移层数太多,很难找
2.有些游戏根本找不到基址
人造指针有什么优缺点?
1.人造指针就算游戏更新也无需去重复找基址
2.缺点是,需要注入代码,获取钩子
1.打开并附加游戏进程,老样子找到阳光的动态地址,这里我们不去找基址,而是人造一个基址
选择mov eax,[esi+00005560]这一行
显示反汇编程序,选择工具->自动汇编
选择模板->点击CT表框架代码
选择模板->代码注入->点击确定按钮
写入以下汇编代码,意思是取出动态地址,赋值给指定内存地址,这个内存地址先空着
上面窗口不要关闭->在内存浏览器->选择视图->内存区域
在下面找出具有读写权限的空地址,并且属于映像的,(这里不要选择系统领空的资源,注入错了会完犊子的)双击会跳转到指定区域
我们记下这个地址
返回自动汇编框架,然后单击文件->分配到当前的CT表
填入刚才的人造基址 00722000
此时,修改人造基址就等于修改了游戏的参数
注释:alloc(00722000,4)函数(4表示/4字节)可以将一个只读地址转换成可读写地址,一般情况下用不到!
拓展:特征码Hook一个内部Call
CE+X64dbg寻找本地Call
实验目标:通过遍历阳光产生的时间,寻找阳光产生的本地Call,使用代码注入器注入,自定义生成阳光
阳光遍历技巧:
进入植物大战僵尸-> 当出现阳光后->马上搜索未知初始数值
返回游戏-> 马上切回CE-> 搜索减少的数值 -> 掉一点搜一点
最后排查出它的掉落地址-> 锁定1即可实现无限掉落
首先你要经过上面的步骤找到这个动态地址,锁定1后出现如下效果说明成功
在指定地址上右键 -> 选择 -> 找出是什么访问了这个地址
当出现阳光后,地址栏会多出一条指令,我们记下这条指令,关闭CE即可,CE的历史使命已经结束了
接下来:打开X64dbg调试器,附加植物大战僵尸进程
附加后点击运行,让程序跑起来
![CE+OD外挂制作实战 [提高篇]_第1张图片](http://img.e-com-net.com/image/info8/345ce8d59c9648d688b84142e4e51229.jpg)
使用 ctrl+G输入刚才得到的那个动态地址
此时往上找,有一个跳转指令,我们双击在此处下断点
上图这个跳转控制阳光的生成,可以看到这里有两个call 而且两个call的地址是相同的,我们尽量排除这样的结果,继续往下找
上图可知,在ret之前的最后一个call了,猜测可能是阳光生成的call于是乎,在push上下断点
![CE+OD外挂制作实战 [提高篇]_第2张图片](http://img.e-com-net.com/image/info8/9c770ce9b6934488b88cb963780b3299.jpg)
上图经过不断跟踪确定,只要阳光生成这里就会断下,说明我们断对了
此处我们通过不断跟踪,找出了它的隐藏参数,记下这些隐藏参数,后期注入用
![CE+OD外挂制作实战 [提高篇]_第3张图片](http://img.e-com-net.com/image/info8/eeecd66da0d64c95a088744fe7189ef8.jpg)
关闭x64dbg,这里选择脱离进程,打开代码注入器附加进程
上图,每次点击注入代码,就会出现一个阳光。此时我们已经找到了,结束。
特征码定位技术
实验目标:通过遍历找到植物的冷却时间,通过特征码定位指定位置,将指令修改成无冷却状态,从而实现无冷却效果.
特征码一般用在:
1.通杀版本(不同游戏版本的通杀)
2.游戏的更新(一键基址获取器)
3.动态地址的查找(比如网页游戏)
特征码查找:变化尽量比较小的,尽量具有唯一性(在这里还是必须唯一的好,因为如果定位的不准确可能影响修改效果)
特征码匹配规则:
mov [eax+4],ebx 可以(偏移+4较小)
mov [eax+431],ebx 不可以(中间+431偏移太大,不适合作为特征码)
mov [eax+4],10000 不可以(操作数过大)
je 0x321234 可以(注:小跳转可以,但大跳转不能作为特征码)
call 0x0031731C 不可以(一般call是函数调用,由于每次装入地址不确定,所以不能作为特征码)
push 可以
#这里说明一下,像是call 或者大跳转,一般而言我们不能用它作为特征码字段,如果非要作为特征码,当然也可以,只是在某些情况下会出现错误!
无冷却遍历技巧:
打开CE-> 搜索类型选择字节类型-> 在植物亮的状态时搜索1
拿起植物-> 搜0 -> 放下植物搜1 ->拿起植物搜0-> 一直重复-> 地址一般在最后面
首先你要经过上面的步骤找到这个动态地址,锁定1后出现如下效果说明成功
汇编代码分析:
@当我们放下植物后这里会出现这条汇编代码 1代表没有拿起来
0040CDEA - C6 44 08 70 01 - mov byte ptr [eax+ecx+70],01 { 1 }
@当我们拿起来是这里会变成0说明我们拿起来了
00488E73 - C6 45 48 00 - mov byte ptr [ebp+48],00 { 0 }
那么问题来了? 怎样实现无冷却?
答:将拿起来时的00改成01就能实现无冷却了,这里我们通过特征码定位到这段代码然后修改它.
这里要选是什么改写了它
首先我们点击00488E73 - C6 45 48 00 - mov byte ptr [ebp+48],00 { 0 }这条指令,查看反汇编代码,我们提取在它之上的作为特征码![CE+OD外挂制作实战 [提高篇]_第4张图片](http://img.e-com-net.com/image/info8/00028ff544934354bec96c2dc4059eb0.jpg)
这里选取:83 f8 1c 75 08 6a 1e
点击搜索后发现,能搜索到,只不过是在他之前,没关系我们可以加上偏移数
这里我们83F81C75086A1E这段特征码加上F(也就是十进制的15)就等于我们想要的地址
定位模块已给大家写好,打成模块了,下载地址:https://files-cdn.cnblogs.com/files/LyShark/易语言定位模块.zip
易语言写入以下内容,调用模块
点击注入按钮就会实现技能无冷却的啦!
(多级指针)通过动态地址找到基址
实验目标:通过遍历动态地址,找到基址,根据基址+偏移计算出当前动态地址,最后编写一个简单的修改器.
为什么要找基址? 偏移又是什么鬼?
1.我们通过一些遍历技巧找到了一些动态地址,但下次进入游戏就要重新查找.
2.偏移是汇编语言的一种内存管理方式,其通过地址加偏移的方式构建寻址空间.
查找遍历技巧:
1.查找基址,时尽量查找与 mov 相关的指令
2.应该尽量排除 ebp esp eip 等相关指令
1.采用传统方式查找
打开CE附件游戏进程
按照老方法,找到游戏阳光的动态地址。
在地址列表,右击,找出是什么改写了它
这里说明一下:为什么要找改写不着访问,因为改写我们可以更准且的筛选,后期其他的就可以只用访问啦
指针基址可能是 =18245638
00430A0B - and ecx,32
00430A0E - mov eax,[esi+04]
>>>>>00430A11 - add [eax+00005560],ecx #把ecx也就是获得的阳光数给了eax+5560 这里我们不知道eax的值,所有我们要找到他。
00430A17 - mov ecx,[eax+00005560]
00430A1D - cmp ecx,00002706
这里我们只需要关心:指针基址可能是 =183C2008 和它的偏移地址5560即可
CE这边扫瞄18245638 这个动态地址,会看到很多,一般是前三个,这边如果是连续的地址就不要选择了。
在026EA5A8这里找出是什么访问了这个地址。
这里要说明一下,我们现在要找的是eax是由谁给的,所以我们要尽量找 复制语句,像是 esi cmp 之类的不用考虑
指针基址可能是 =026E9E40
0045B6F9 - call eax
0045B6FB - mov ecx,[esi]
>>>>>0045B6FD - mov eax,[ecx+00000768] #这里可以看到,eax的值是ecx+768给的,这里我们就干他一炮,继续找ecx
0045B703 - test eax,eax
0045B705 - je 0045B710
继续找026E9E40搜索这个地址看看反应。
看到了绿色的,在CE中绿色的就是静态地址啦,说明我们已经找到了。在确认一下
指针基址可能是 =006A9EC0
00467AFE - int 3
00467AFF - int 3
>>>>>00467B00 - mov ecx,[006A9EC0] #这里可以看到,ecx=的值来自于一个静态地址 ,这就是基地址。
00467B06 - mov ecx,[ecx+000007F8]
00467B0C - cmp ecx,14
整理一下思路
首先我们找到阳光的动态地址
ecx的值就是阳光,他把这个数值复制给了eax+5560这个地址我们就得到了阳光 那么,问题来了,eax是多少?
00430A11 - add [eax+00005560],ecx
eax的值来自于ecx+768这个地址,我们这是要搜索ecx地址是谁给的?
0045B6FD - mov eax,[ecx+00000768]
最后得到了006A9EC0这个内存地址,完犊子,结束了!
00467B00 - mov ecx,[006A9EC0]
公式: 006A9EC0+768+5560=动态地址
用CE添加一个指针确认一下,这里读取到了0,说明正确了!它正是我们的阳光!
编写一个简单的辅助
这个是读取阳光的,按钮1被单机,读取阳光值
按钮2被单机,修改阳光值
点击改变阳光,看看
![CE+OD外挂制作实战 [提高篇]_第5张图片](http://img.e-com-net.com/image/info8/3f9464c77075491db9a5b83869f8c96f.jpg)
返回游戏看最终结果
2.使用CE的自带工具自动遍历(遍历时间长,慢不推荐使用)
在动态地址上点击 ->指针扫描器
配置相应的参数,最大允许偏移改成20470点击确定等待
开始扫描
结果出来啦有我们的阳光数
3.通过公式手动计算(有些游戏比如CF,只要查找改写地址游戏就崩溃,这时我们就需要手动计算啦)
要从当前地址D,搜索指针Z
我们可以用D - 偏移得到的内存数据
搜索内存数据 得到Z
------------------------------------------------------------------
搜索阳光的动态地址:18664588
00430A11 - 01 88 60550000 - add [eax+00005560],ecx <<
通过动态地址 - 偏移地址 =eax的地址
18664588 - 5560 = 1865F028
------------------------------------------------------------------
继续搜索:1865F028
0045B6FD - 8B 81 68070000 - mov eax,[ecx+00000768] <<
通过动态地址 - 偏移地址 =eax的地址
025B9E18 - 768 = 025B9E18
------------------------------------------------------------------
基址(绿了说明到头了):025B9E18
PlantsVsZombies.exe+2A9EC0
------------------------------------------------------------------
总结:
025B9E18 + 768 + 5560 = 阳光
------------------------------------------------------------------
写教程不容易,转载请加出处!谢谢