笑傲江湖基址找法_和人物血值分析修正
本帖最后由 JolaSia 于 2015-1-28 00:49 编辑笑傲江湖基址找法_和人物血值分析修正
一、前言:
前面我发布的第一个人物血值分析,找到的基址偏移非常多,在这,要感谢网友:116189899的指点,下面对血值的查找重新出一个,第一个就不删除了,留大家研究学习。
二、还是先来CE:
在查找前,CE的要设置为浮点数查找,同时得把快捷查找的勾去掉,不然会找不到的。
同时对浮点数查找,要用范围查找方式,不然也是会查不到。
找到地址后,右键查找写入这个地址的代码,如下:
006696F4 - D9 5C 24 04- fstp dword ptr
006696F8 - D9 01- fld dword ptr
006696FA - D9 98 29060000- fstp dword ptr <<
00669700 - 8B 46 0C- mov eax,
00669703 - D9EE - fldz
EAX = 1CE26588
EBX=0701C750
ECX=39BF0562
三、下面查找EAX的来源:
(不过老实说,因为我是知道了EAX的来源是来自于 [总基址]+24]+8c]+629,但是我在CE中查找值为 1CE26588 的地址,如果如下:
我一共找到了30个地址,并且对每个地址的下个访问这个代码的地址,结果是只有一个地方是这个:
其他的,都是乱七八糟什么都有,所以我对当时能一下子找到这个的兄弟无比佩服,我不知道是水平还是运气,可能是我太菜了。
004A1240 - A1 C0571501 - mov eax,
004A1245 - 8B 48 24- mov ecx,
004A1248 - 8B 81 8C000000- mov eax, <<
004A124E - C3 - ret
004A124F - CC - int 3
EAX=1CE26588
EBX=00000028
ECX = 07151610
四、再用CE查找ECX值的地址:
绿色的出来了,查找访问这个绿色地址的代码:
004A121F - CC - int 3
004A1220 - A1 C0571501 - mov eax,――这句就是基址了,不过我的CE显示有点问题,与OD不同
004A1225 - 8B 40 24- mov eax, <<
004A1228 - C3 - ret
004A1229 - CC - int 3
四、总结:
所以在分析数据时,如果我们发现了觉得比较有作用的地方,可以考虑用CE把这些值读取出来,在跟踪数据时随时观察,这样可能可以做到事半功倍。
**** Hidden Message *****
纯粹路过,没任何兴趣,仅仅是看在老用户份上回复一下 激动人心,无法言表! 看到这帖子真是高兴! 支持下 进来观摩下~~~~~ 谢谢分享,好贴! 谢谢分享,好贴! 谢谢收藏了,研究好几天没弄明白 {:2_27:} 支持楼主,感谢楼主的分享,好贴必须学习!