文章目录

• 前言
• 一、CE 工具通过查找访问的方式找到子弹数据基地址
• 二、使用 OD 工具附加游戏进程
• 三、在 OD 工具中查看 058E2F1C 地址数据

前言

上一篇博客 【Windows 逆向】OD 调试器工具 ( CE 工具通过查找访问的方式找到子弹数据基地址 | 使用 OD 工具附加游戏进程 | 在 OD 工具中查看 05869544 地址数据 ) 中 , 使用的 OD 工具不行 , 干岔劈了 , 本篇博客使用新的 OD 工具 ;

一、CE 工具通过查找访问的方式找到子弹数据基地址

使用 OD 工具 和 CE 工具 结合 , 挖掘关键数据内存地址 ;

在之前的博客 【Windows 逆向】使用 CE 工具挖掘关键数据内存真实地址 ( 查找子弹数据的动态地址 | 查找子弹数据的静态地址 | 静态地址分析 | 完整流程 ) ★ 中 , 通过查找访问的方式 ,

找出了子弹数据的静态地址 ;

这里先使用 CE 查找到子弹数据的动态地址 , 然后再到 OD 中查找该动态地址对应的基地址 ;

先使用 CE 附加该进程 ;

然后打开之前的博客 , 分析出的数据 ;

此时可以得出 , 当前子弹的动态地址为 058E2F1C ;

静态地址 cstrike.exe+1100ABC , 偏移量分别是 7c , 5d4 , cc ;

二、使用 OD 工具附加游戏进程

尝试使用 OD 查找 子弹数据动态地址 058E2F1C , 对应的静态地址 , 即基地址 ;

关闭 CE , 注意不能关闭游戏 , 游戏一旦关闭 , 下一次打开 , 动态地址就不是 058E2F1C 了 , 就会出现一个新的动态地址 ;

先运行 OD 调试器 , 注意 , 运行 OD 工具时 , 要以管理员身份运行 ;

先附加程序 ,

在进程窗口中 , 选择要附加的进程 ;

注意 , 进入调试界面第一件事就是点击 运行 按钮

, 否则 游戏进程 会一直卡住 ;

三、在 OD 工具中查看 058E2F1C 地址数据

在 OD 工具的 Command 命令框中 , 输入

dd 058E2F1C

命令 , 该命令就是查看访问 058E2F1C 地址的数据 ;

然后点击回车 , 即可查询出访问该地址的指令 , 在数据区 , 左边的 058E2F1C 是地址 , 右边的 0000002F 是数据 ;

058E2F1C 内存地址的数据 2F 是子弹数据 , 十进制的 47 , 表示当前子弹个数是 47 ;

在数据区地址上 , 点击右键选择 " 修改 " 选项 , 可以修改该位置内存信息 ,

这里将子弹个数修改为 110 , 游戏中的子弹个数修改为 110 ;