这一篇进入了进阶内容,讲的内容也变得即有广泛又有深入,推荐有一定基础和实践或者编程经验的观看!
通常来说,进入游戏的第一件事往往是找 生命值,你可以从生命值地址追溯到本地玩家对象并获取其地址
首先确认我们的生命值,搜索 4bytes 的精确数值 Exact value,随后通过挨打/穿脱装备来改变生命值!
如果生命值是精确数值的话,仅改变一次后,即可找到2个数值,通过经验判断一个是生命值最大值,一个是当前生命值,我们再穿一件装备看一下哪个数值在跳就可以知道留哪个了
如果你在操作的是单机游戏,直接修改或者冻结是更不错的办法!需要注意的是,有可能数值仅用于 GUI 显示,即你获得的地址是 GUI 从玩家对象获取的备份数据地址,而不是 玩家对象的真实数据,一般这种情况筛选重找就好了
一般来说我们都要找到一个 Object 对象,而生命值 Health 存储在里面
例如 Player 就是 C 语言里面定义出来的一个类,在这情况下也就是是一个 struct 结构体。所以我们的 Local Player 也就是一个实体对象 Entity Object
所以现在生命值极有可能在实体对象内部,一般来说汇编代码知道如何访问 Health 地址,因为汇编指令需要从 Player 处出发开始寻址,找到 [PlayerAddr + 0B0] 这样的地方来获取生命值
这一部分推荐多看原视频,比较玄学,有一点在讲内功的感觉
编译器要想办法实现这个过程,对我们来说不必关注里面的细节,只需要找到是什么在 read/write 这个地址即可,也就是CS420课程中学到的 Find out what accesses/writes to this address,一般来说 accesses 包含了 read & write,但 write 只有 write,需要根据情况来判断使用
通过 找出是什么访问了这个地址,有时这个过程不会这么轻松,你要通过 writes 和 accesses 一起找,熟能生巧!而且有的时候你不能直接一眼判断出他就是生命值偏移,很多时候这是不可靠的,需要借助后续的技巧来判断,假设,验证
有一个情况是:有可能所有对象都是 GameObject,包括矿石,家具,栅栏,GameObject 衍生出了 Player,那么你想找 XYZ 坐标,很有可能就无法通过 Player 结构体找到了!这需要你保持一些直觉性,对数据的敏锐性,和重复大量的实验和试错,很多时候这些东西是没办法讲述教学的
我们来试着理解这个案例:[eax+40] 获取了生命值,然后把他读取到了一些地方,比如 UI,技能计算线程等等,那么这个 eax 地址的数据或许只是一个 数据引用锚点,开放给 UI 数据通信之类的,这种帧刷新的,往往就不是实际有用的线索
再看看上面的写入,经过尝试,发现 eax 就是实际的 Player 对象基址,即为 317161D78
object 就是编程时你设置的 class 的实例,class 包含了一个类型的数据,而 object 是实际生成的一个类的实例(这一部分讲的很绕,推荐结合后续理解、找其他资料或者学习一些面向对象编程知识!
PlayerEntity obj = new PlayerEntity();
还是 CS420 里面讲过的,我们可以用 内存视图 Memory view 里面的 Tool 来解析结构体 Struct,这个功能非常好用:
输入地址,添加新的结构,这就得到了我们想要的结构分析。他不总是正确的,只是作为一个大致的猜测和指导,你可以通过这个找到很多好的信息,比如:如果你找到了3个连续的 Float,那基本上就是找到 XYZ 坐标了!如果你跳一下发现有东西变了,那就是 Z 坐标(我这里就是上面说的阴间情况,Player 数据和 GameObject 数据是分开的)
这样一来,我们就知道了 entity object 的基址 Base address,还有 health 的偏移 Offset
下一步是要找到静态地址,静态地址始终与模块相关,而模块总是加载到同一位置
所以,我们想找到指向实体的指针对象,指针只是一个 包含另一个地址 的地址
现在我们进行新的扫描,这里要使用 Hex 十六进制,因为我们要粘贴十六进制数据进来了
扫描出来的结果都是包含地址或者实体对象的变量,在视频作者的演示中,他这里已经是最终的指向 Player 对象的模块
而有时有可能扫描出来这样的效果,根据经验,显然这就是我们上面所说的:GameObject 中存储的指向 PlayerState 的指针!
此时根据新的地址进行结构体分析,就可以找到 XYZ 坐标了,这里展示了 Tool 不能良好处理的地方:
此时他们被解析成 4 bytes,显然这个值不会是 int 类型,回顾一下之前了解到的 byte 信息:
float 和 int 都是 4bytes,我们点击 4 Bytes 把数据的解析方式改成 Float 类型
这就得到了正确的 XYZ 坐标信息!
当你发现一些绿色的地址,打开以后发现内部是这样的
其中这个 ac_client.exe 就是模块,模块加上偏移,最终指向的代码块是固定不变的,每次重启游戏都不会变化
可以按下 Ctrl + H 或者通过 Memory View -> Tools -> Dissect PE headers 内存查看器来剖析 PE 标头
这些都是加载到内存里的不同模块,当你点击 INFO 信息时可以查看里面的具体信息
上面的 PE 标头将会在后续其他课程中介绍,回到刚刚我们找到的地址处
这些找到的 绿色的地址 是固定在模块的某个位置上的,而 黑色的地址 也就是最常见到的动态地址,他们可能是通过 C 语言的 new 或者 malloc 分配得到的,所以他们会随着虚拟内存初始化进行加载
因此查找指针的目标就是向后追踪,直到找到一个静态地址,现在我们只是一个 1-level pointer 即 1级指针
在这里不是简单的把 ac_client.exe + 10F4F4 相加,而是通过相加之后得到的地址进行解引用,最终得到了 00A3A7D0 这个指针路径上的中间量
通过这样的多级指针,我们最终就寻址到了玩家生命值处!
对于非从业者来说,学习指针的过程可能需要耗费六个月之久,这是一个抽象的概念,不断尝试!不断试错!试着找到他们之间的逻辑!多做练习多看论坛!