技术博客
首页 所有文章 标签 分类 关于
技术博客

目录

Windows-逆向OD-调试器工具-CE-工具通过查找访问的方式找到子弹数据基地址-使用-OD-工具附加游戏进程-在-OD-工具中查看子弹数据地址-推荐-

 收录于 逆向 Windows
   约 653 字   预计阅读 2 分钟 
https://bing.ee123.net/img/rand?artid=121349442

【Windows 逆向】OD 调试器工具 ( CE 工具通过查找访问的方式找到子弹数据基地址 | 使用 OD 工具附加游戏进程 | 在 OD 工具中查看子弹数据地址 | 推荐 )

文章目录

前言

上一篇博客 中 , 使用的 OD 工具不行 , 干岔劈了 , 本篇博客使用新的 OD 工具 ;

一、CE 工具通过查找访问的方式找到子弹数据基地址

使用 OD 工具 和 CE 工具 结合 , 挖掘关键数据内存地址 ;

在之前的博客 中 , 通过查找访问的方式 ,

https://i-blog.csdnimg.cn/blog_migrate/0dc3787bdfe1bfa860085871e089537a.png

找出了子弹数据的静态地址 ;

这里先使用 CE 查找到子弹数据的动态地址 , 然后再到 OD 中查找该动态地址对应的基地址 ;

先使用 CE 附加该进程 ;

https://i-blog.csdnimg.cn/blog_migrate/5d0b30381f8368c34ff4c469fb40dcf0.png

https://i-blog.csdnimg.cn/blog_migrate/c2b3cd7386d02610905be088f5c4ca41.png

然后打开之前的博客 , 分析出的数据 ;

https://i-blog.csdnimg.cn/blog_migrate/a4645c1432667f3f2f8a669bcb586c93.png

此时可以得出 , 当前子弹的动态地址为 058E2F1C ;

静态地址 cstrike.exe+1100ABC , 偏移量分别是 7c , 5d4 , cc ;

https://i-blog.csdnimg.cn/blog_migrate/d591bc96bac21c34c006e6585f7e787f.png

https://i-blog.csdnimg.cn/blog_migrate/814f46e57891cce30a4260511dc095ef.png

二、使用 OD 工具附加游戏进程

尝试使用 OD 查找 子弹数据动态地址 058E2F1C , 对应的静态地址 , 即基地址 ;

关闭 CE , 注意不能关闭游戏 , 游戏一旦关闭 , 下一次打开 , 动态地址就不是 058E2F1C 了 , 就会出现一个新的动态地址 ;

先运行 OD 调试器 , 注意 , 运行 OD 工具时 , 要以管理员身份运行 ;

https://i-blog.csdnimg.cn/blog_migrate/69c4d471b6334fbdf09a094ef14f1e1e.png

先附加程序 ,

https://i-blog.csdnimg.cn/blog_migrate/96b235e254d2d62c6f51fd1277343b13.png

在进程窗口中 , 选择要附加的进程 ;

https://i-blog.csdnimg.cn/blog_migrate/f9031eb5b79a057368d83658f4c42b15.png

注意 , 进入调试界面第一件事就是点击 运行 按钮 https://i-blog.csdnimg.cn/blog_migrate/1de74ab54ab947460abe6b0b9ee119de.png , 否则 游戏进程 会一直卡住 ;

https://i-blog.csdnimg.cn/blog_migrate/ae069120b7d7a47d680d0bdd40d8db58.png

https://i-blog.csdnimg.cn/blog_migrate/c9d169ccf529793b15b54ddb7a009e90.png

三、在 OD 工具中查看 058E2F1C 地址数据

在 OD 工具的 Command 命令框中 , 输入

dd 058E2F1C

命令 , 该命令就是查看访问 058E2F1C 地址的数据 ;

https://i-blog.csdnimg.cn/blog_migrate/0b019cab558629038fb86343cd2f7396.png

然后点击回车 , 即可查询出访问该地址的指令 , 在数据区 , 左边的 058E2F1C 是地址 , 右边的 0000002F 是数据 ;

https://i-blog.csdnimg.cn/blog_migrate/1c2a4612c12508e629037f84c84f587e.png

058E2F1C 内存地址的数据 2F 是子弹数据 , 十进制的 47 , 表示当前子弹个数是 47 ;

https://i-blog.csdnimg.cn/blog_migrate/55bf61c4b82aba4c52b8acf5a4f30bf4.png

在数据区地址上 , 点击右键选择 " 修改 " 选项 , 可以修改该位置内存信息 ,

https://i-blog.csdnimg.cn/blog_migrate/fdb5b10b553a23192fd04a4ff8cc473e.png

这里将子弹个数修改为 110 , 游戏中的子弹个数修改为 110 ;

https://i-blog.csdnimg.cn/blog_migrate/1fcde105c334f4b94e2ee744f54af7e7.png

https://i-blog.csdnimg.cn/blog_migrate/bf22541d850c48e7cd990df7a8fcb920.png

更新于 2021-11-16
 逆向WindowsOllydbgOdCe
返回 | 主页