【Windows 逆向】使用 CE 工具挖掘关键数据内存真实地址 ( 逐层分析分析 静态地址 到 动态地址 的寻址 + 偏移 过程 ) ★
文章目录
- 前言
- 一、上一篇博客中获取到的静态地址
- 二、第一层静态地址 cstrike.exe+1100ABC
- 三、第二层地址
- 四、第三层地址
- 五、第四层地址
- 六、静态地址 到 动态地址 的寻址 + 偏移 过程总结
前言
在博客 【Windows 逆向】使用 CE 工具挖掘关键数据内存真实地址 ( CE 找出子弹数据内存地址是临时地址 | 挖掘真实的子弹数据内存地址 ) 中 , 没有找到真实地址 , 本篇博客重新开始一个完整流程 ;
在博客 【Windows 逆向】使用 CE 工具挖掘关键数据内存真实地址 ( 完整流程演示 | 查找临时内存地址 | 查找真实指针地址 ) 中 , 找到的地址是界面中显示的子弹地址 , 并不是实际的子弹地址 , 查找比较简单 ;
在博客 【Windows 逆向】使用 CE 工具挖掘关键数据内存真实地址 ( 查找子弹数据的动态地址 | 查找子弹数据的静态地址 | 静态地址分析 | 完整流程 ) ★ 中 , 查找真实子弹的地址 , 本篇博客中基于该博客的查找结果进行分析 ;
一、上一篇博客中获取到的静态地址
cstrike.exe+1100ABC 地址 , 是在博客 【Windows 逆向】使用 CE 工具挖掘关键数据内存真实地址 ( 查找子弹数据的动态地址 | 查找子弹数据的静态地址 | 静态地址分析 | 完整流程 ) ★ 中获取到的静态地址 ;
搜索到的动态地址为 05A59544 ;
调试 05A59544 内存地址 , 得到 05A59478 基址 ;
指针基址可能是 =05A59478
05C1C0ED - mov eax,[esi+000000CC]
搜索 05A59478 基址 , 得到 0E1DC144 内存地址 ;
调试 0E1DC144 内存地址 , 得到 0E1DBB70 基址 ;
指针基址可能是 =0E1DBB70
05C03A42 - mov eax,[esi+000005D4]
搜索 0E1DBB70 基址 , 得到 1032FC50 内存地址 ;
调试 1032FC50 内存地址 , 得到 1032FBD4 基址 ;
指针基址可能是 =1032FBD4
05C13D3C - mov eax,[eax+7C]
搜索 1032FBD4 基址 , 得到 cstrike.exe+1100ABC 静态地址 ;
构造如下指针 , 指向了子弹数据所在的动态地址 05A59544 ;
二、第一层静态地址 cstrike.exe+1100ABC
cstrike.exe+1100ABC 静态地址的 内存地址值为 02500ABC , 该内存地址存储的值为 1032FBD4 ;
三、第二层地址
第一层静态地址 指向的内存地址存储的值为 1032FBD4 ;
第二层地址如下图 :
该 1032FBD4 值 加上 7C 构成一个新地址 1032FC50 , 该 1032FC50 地址中存储的值是 0E1DBB70 ;
四、第三层地址
第二层地址 指向的内存地址存储的值为 0E1DBB70 ;
第三层地址如下图 :
该 0E1DBB70 值 加上 5D4 构成一个新地址 0E1DC144 , 该 0E1DC144 地址中存储的值是 05A59478 ;
五、第四层地址
第三层地址 指向的内存地址存储的值为 05A59478 ;
第四层地址如下图 :
该 05A59478 值 加上 CC 构成一个新地址 0E1DC144 , 该 0E1DC144 地址中存储的值是 05A59544 ;
六、静态地址 到 动态地址 的寻址 + 偏移 过程总结
这个 05A59544 地址 , 就是最终的子弹数据存储的动态地址 ;
逆向的过程 就是 根据 动态地址 05A59544 地址 , 逐步分析 汇编代码 调用 , 最终追溯到 静态地址 cstrike.exe+1100ABC ;
程序正向运行时 , 根据静态地址 , 及 寻址 + 偏移 等多步操作 , 就可以得到正确的 子弹数据的动态地址 ;
每次启动应用 , 得到的动态地址值是不同的 ;
【Windows 逆向】使用 CE 工具挖掘关键数据内存真实地址 ( 逐层分析分析 静态地址 到 动态地址 的寻址 + 偏移 过程 ) ★相关推荐
- 【Windows 逆向】使用 CE 工具挖掘关键数据内存真实地址 ( 查找子弹数据的动态地址 | 查找子弹数据的静态地址 | 静态地址分析 | 完整流程 ) ★
文章目录 前言 一.查找子弹数据临时内存地址 二.查找子弹数据的静态地址 1.调试内存地址 05A59544 获取基址 05A59478 2.通过搜索基址 05A59478 获取内存地址 0E1DC1 ...
- 【Windows 逆向】使用 CE 工具挖掘关键数据内存真实地址 ( 完整流程演示 | 查找临时内存地址 | 查找真实指针地址 )
文章目录 前言 一.查找子弹数据临时内存地址 二.查找子弹数据真实地址 前言 在上一篇博客 [Windows 逆向]使用 CE 工具挖掘关键数据内存真实地址 ( CE 找出子弹数据内存地址是临时地址 ...
- 【Windows 逆向】使用 CE 工具挖掘关键数据内存真实地址 ( CE 找出子弹数据内存地址是临时地址 | 挖掘真实的子弹数据内存地址 )
文章目录 一.CE 找出子弹数据内存地址是临时地址 二.挖掘真实的子弹数据内存地址 1.找出哪些指令访问了子弹数据地址 0x21160114 2.查看 0x21160114 地址是如何计算出来的 ( ...
- 【Windows 逆向】使用 Cheat Engine 工具进行指针扫描挖掘关键数据内存真实地址 ( 指针扫描 )
文章目录 前言 一.获取动态地址 二.扫描目前地址指针 1.初次扫描 2.重启游戏后再次扫描 前言 在博客 [Windows 逆向]使用 CE 工具挖掘关键数据内存真实地址 ( CE 找出子弹数据内存 ...
- 【Windows 逆向】CE 地址遍历工具 ( CE 结构剖析工具 | 遍历查找后坐力数据 | 尝试修改后坐力数据 )
文章目录 一.遍历后坐力数据 二.尝试修改后坐力数据 一.遍历后坐力数据 在上一篇博客 [Windows 逆向]CE 地址遍历工具 ( CE 结构剖析工具 | 从内存结构中根据寻址路径查找子弹数据的内 ...
- 【Windows 逆向】CE 地址遍历工具 ( CE 结构剖析工具 | 尝试进行瞬移操作 | 尝试查找飞天漏洞 )
文章目录 一.尝试进行瞬移操作 二.尝试查找飞天漏洞 一.尝试进行瞬移操作 在上一篇博客 [Windows 逆向]CE 地址遍历工具 ( CE 结构剖析工具 | 人物数据内存结构 | 人物三维坐标数据 ...
- 【Windows 逆向】CE 地址遍历工具 ( CE 结构剖析工具 | 从内存结构中根据寻址路径查找子弹数据的内存地址 )
文章目录 一.CE 结构剖析工具 二.从内存结构中根据寻址路径查找子弹数据的内存地址 一.CE 结构剖析工具 游戏中的数据结构 , 需要靠调试和观察 , 才能发现其中的规律 ; 之前发现的 静态地址 ...
- 【Windows 逆向】CheatEngine 工具 ( CheatEngine 简介 | 使用 Lazarus 编译 CE 源码 | CheatEngine 相关文档资料 )
文章目录 一.CheatEngine 简介 二.使用 Lazarus 编译 CE 源码 三.CheatEngine 相关文档资料 一.CheatEngine 简介 CheatEngine 简称 CE ...
- 【Windows 逆向】CheatEngine 工具 ( 汉化版 CE 工具推荐 | 编写简单 C++ 程序 | C++ 程序执行分析 | 使用 CE 修改上述 C++ 程序 )
文章目录 一.汉化版 CE 工具推荐 二.编写简单 C++ 程序 三.C++ 程序执行分析 四.使用 CE 修改上述 C++ 程序 一.汉化版 CE 工具推荐 推荐一个汉化版的 CE 工具 : htt ...
最新文章
- oracle XE解决端口占用等问题
- C/C++指针错误与调试相关学习总结
- boost::mp11::mp_is_set相关用法的测试程序
- 使用a标签调用手机系统的一些小技巧(打电话、发短信)
- Dart中的mixins
- c#随机数生成编号_忘掉 Snowflake,感受一下性能高出587倍的全局唯一ID生成算法...
- SAP License:基于成本的获利分析表CE1-CE4
- No package ‘gtksourceview-4‘ found
- C语言输出素数表(1-100)前100个
- 指针实现写一个函数,将一个3×3的整数矩阵转置
- IDEA中使用快捷键快速定位到报错位置
- Python数据可视化的3大步骤!
- C# 网络编程之获取本机名、ip地址、域名、物理位置
- shell脚本获取当前时间和1分钟/1小时前时间
- 气体压力测试与泄露量测试
- joan sola_Joan Touzet在CouchDB和Apache方式上
- 《机器学习》周志华课后习题答案——第一章(1-3题完结)
- 简单快速的“0x800c0006 安装失败 .NET framework 等旧版本软件安装失败”的解决方法
- PostgreSQL修炼之道:从小工到专家
- 基于C++的不围棋NOGO代码-PKU计算概论A大作业-MCTS算法Minimax算法