找基址的五種方法

1、一，純肉眼跟蹤法先用CE搜索一下是誰在改寫當前的血量一，純肉眼跟蹤法先用CE搜索一下是誰在改寫當前的血量附加信且一，純肉眼跟蹤法先用CE搜索一下是誰在改寫當前的血量一，純肉眼跟蹤法先用CE搜索一下是誰在改寫當前的血量D045643f mov00456445 mov >>00456448 MOV0045644© - mov00456451 - movesi+0000026c*ecx edxzedi+04ei + ijOijL'U ed>: eax,edi+Ocesi+00000260,eax一，純肉眼跟蹤法先用CE搜索一下是誰在改寫當前的血量一，純肉眼跟蹤法先

2、用CE搜索一下是誰在改寫當前的血量Copy memory指針值需要查找該地址可能是08F61830一，純肉眼跟蹤法先用CE搜索一下是誰在改寫當前的血量一，純肉眼跟蹤法先用CE搜索一下是誰在改寫當前的血量EAX=40544000EBX=08EEB5D8ECX-00000000EDX=00000DEEESI=08F61830EDI-07512FC2ESP-OD2FFE04EBP=O6F1EA98EIP-0045644E一，純肉眼跟蹤法先用CE搜索一下是誰在改寫當前的血量The registers shown here are AFTER the instruction has been execu

3、ted. To show them before the instruction is executed u$e Access EKceptionsinstead of Debug Registers00456448|. 8996 5C020000 MOV DWORD PTR DS:ESI+25C,EDXDd esi+25c向上找到頭004563A5|. 8BF1MOV ESI,ECX/ecx+25cDd ecx+25c在頭部F2下斷，看返回地址0057B924 . 8BC8Dd eax+25c0057B903|. 8B40 24Dd eax+24+25c0057B900 /$ 8B41 08

4、Dd ecx+8+24+25c在上面的頭部下斷，005747AF|. /EB 0DMOV ECX,EAXMOV EAXQWORD PTR DS:EAX+24MOV EAX,DWORD PTR DS:ECX+8|JMP SHORT elementc.005747BE/ 返回在這里005747A1|. 8B4C85 1C|MOV ECX,DWORD PTR SS:EBP+EAX*4+1CDd EBP+EAX*4+1C+8+24+25c假設EAX=0Dd EBP+1C+8+24+25c找到頭部0057473C|. 8B68 08 MOV EBP ,DWORD PTR DS:EAX+8Dd eax+8

5、+1C+8+24+25c00574736|. 8BD9MOV EBX,ECXDd ecx+4+8+1C+8+24+25c004395D2|> 8B4D 5C MOV ECXQWORD PTR SS:EBP+5CDd ebp+5c+4+8+1C+8+24+25c找到頭部004394A4|. 8BE9 MOV EBP ,ECXDd ecx+5c+4+8+1C+8+24+25c向上找00438B82|.8BCDMOVECX,EBP;|DdEBP+5c+4+8+1C+8+24+25c往上找很長，在頭部00438145|. 8BE9MOV EBP ,ECXDd ecx+5c+4+8+1C+8+24

6、+25c返到上一級0042C8AC|. 8B4D 1C MOV ECXQWORD PTR SS:EBP+1CDd ebp+1c+5c+4+8+1C+8+24+25c走到頭部0042C7BB|. 8BE9MOV EBP ,ECXDd ecx+1c+5c+4+8+1C+8+24+25c最后在0042C6B9|. 8BCF|MOV ECX,EDIDd edi+1c+5c+4+8+1C+8+24+25c看了一下EDI的值，是009811A0這個就是基址，Dd 009811A0+1c+5c+4+8+1C+8+24+25cC編莖地址|忝加時| 睡 J指時指向地扯曲掘你選権的伺瞎帚它針09434I指豺地ii

7、側舊列25C措卄抬向地址O323CC'你謹擇的備務帯它到0323(1nHexI 24捋計揩向地址0706041你匾樣的伺移帶它對07eea昭針地力OfZIHe E潔計指向地址0GF1EA你選擇的伺移芾它刊06F1L常針地11hsei (Hcxl 1C潔針指向地址03230)你選擇的偏移帝它到03230Offsd (Hex日楷計揩向地址O0EEB5侏進擇的隔移帚它對08EEBQg陽國4指針指向地址03230D你選樺的帰移帶它到0323«獵針地力0096110祕|問5C踴定i 取稍根據XHY30同學們找的基址來對比dd 009811A0+1c+8+1c+8+24+25c址0045

8、6448|. 8996 5C020000 MOV DWORD PTR DS:ESI+25C,EDX寫入血值 Dd esi+25c址00456448|. 8996 5C020000 MOV DWORD PTR DS:ESI+25C,EDX寫入血值 Dd esi+25c址向址址08鵝 指針地出向地址 O323QD 潔計地勺抬+措向地址OTfiBtUI措針地* 兩W4向地址 QCF1EA 獵針地指計指向地址032®指針地屮009811A0+1C 你謹擇的儘瑤帶它到D9I34I OttsBt (Hex| 2SC你選擇的債移帚方到03230(Offel IHex) 24像送擇的轄移希它到07&

9、#171;0 Ofissi (Hc<) 8你選擇的侵移帶它到(JSFIEr ffsei (H*k) 1C你選操的偏移帚它封032301 OHief IH 刊 800456448|. 8996 5C020000 MOV DWORD PTR DS:ESI+25C,EDX寫入血值 Dd esi+25c址00456448|. 8996 5C020000 MOV DWORD PTR DS:ESI+25C,EDX寫入血值 Dd esi+25c址二,CE/OD配合查找法1,先在CE里搜索到血值00456448|. 8996 5C020000 MOV DWORD PTR DS:ESI+25C,EDX寫入

10、血值 Dd esi+25c址00456448|. 8996 5C020000 MOV DWORD PTR DS:ESI+25C,EDX寫入血值 Dd esi+25c址下斷 HW 081423FC00456448|. 8996 5C020000 MOV DWORD PTR DS:ESI+25C,EDX寫入血值 Dd esi+25cDd esi+25c004563A5 |. 8BF1 MOV ESI,ECXDd ecx+25c 找到頭部下斷向上找 0057B924 . 8BC8 MOV ECX,EAX ;Dd eax+25c因為再向上找會找到數組和循環(huán)，所以老師在這里用 CE 里搜索 ECX 的值

11、 在這里記錄 EAX 的值,然后用 CE 查找隨便找一個值搜索一下然后 HR 下斷， 09D58FF4 馬上被斷了下來004745F0 /$ 8B49 1C MOV ECX,DWORD PTR DS:ECX+1C 004745F3 |. 33C0 XOR EAX,EAXdd ecx+25cdd ecx+1c+25c然后找到ECX的值，用CE來搜索，這次只找到三個值，老師隨便選了第二個HR 09BE436C00462B23 .8B86 1C090000 MOV EAX，DWORD PTR DS:ESI+91C00462B29 . 8B78 14 MOV EDI，DWORD PTR DS:EAX+

12、14 dd eax+14+1c+25cdd esi+91c+14+1c+25c00462AA9 . 8BF1 MOV ESI，ECXdd ecx+91c+14+1c+25c 找到頭部下斷，返到上級 CALL004395D2 |> 8B4D 5C MOV ECX，DWORD PTR SS:EBP+5CDd ebp+5c+4+8+1C+8+24+25c00439537 |. 84C0 TEST AL，AL 老師在這里下斷00439534 |. 8B4D 24 MOV ECX，DWORD PTR SS:EBP+24 dd ebp+24+91c+14+1c+25c找到頭部004394A4 |.

13、8BE9 MOV EBP ，ECXdd ECX+24+91c+14+1c+25c 再返回上級00438B82 |. 8BCD MOV ECX，EBPdd EBP+24+91c+14+1c+25c 找到函數頭部發(fā)現 EBP 也是上級的 ECX0042C8AC |. 8B4D 1C MOV ECX，DWORD PTR SS:EBP+1C dd EBP+1C+24+91c+14+1c+25c找到函數頭部 很長00438145 |. 8BE9 MOV EBP ，ECXDd ecx+5c+4+8+1C+8+24+25c返回上級0042C7BB |. 8BE9 MOV EBP ，ECXdd ECX+1C+

14、24+91c+14+1c+25c再返回上級0042C8AC |. 8B4D 1CMOV ECXQWORD PTR SS:EBP+1CDd ebp+1c+5c+4+8+1C+8+24+25c找到頭部0042C7BB|. 8BE9MOV EBP ,ECXDd ecx+1c+5c+4+8+1C+8+24+25c0042C794 |> 8BCFMOV ECX,EDIDd EDI+1c+5c+4+8+1C+8+24+25c0042C6E2|. 8BF9MOV EDI,ECX找到頭部dd ECX+1C+24+91c+14+1c+25c也是上級的ECX00443F6A|> B9 A0119800

15、 |MOV ECX,elementc.009811A0dd 009811A0+1C+24+91c+14+1c+25c算計斗匚棗學門關1阡 指持地II指幷指冋地址M62WIMtlSlB）地址曲曲指甘指向雀址OB21UF舞什指向地址03230D 皓什地岀TO»11A0*1C'儂選擇的偏移櫓它封oa?tiOflset Hm 25C 你選糅的倡移櫓它劉0X2COfiwt H?<| 1C供選悻的偏移忤它畀匚年呂OflMf Hsm 14你選捧的flfc移帯它到0£/11 Hex S1 匚你選擇的偏移帯它劉032X1Oflist Hex 24三,HR斷點法（感謝COO舸學）

16、還是先用CE查找出血值寫入地址，用 OD附加00456448|. 8996 5C020000 MOV DWORD PTR DS:ESI+25C,EDXDd esi+25c查找ESI值的來源，HR 0857CE4800439534|. 8B4D 24 MOV ECX,DWORD PTR SS:EBP+24dd ebp+24+25C查找EBP來源，HR 03230D80，但是斷不下來 03230D80向上找到頭部004394A4|. 8BE9MOV EBP ,ECXdd ECX+24+25C再返回上級00438B82|. 8BCDMOV ECX,EBPdd EBP+24+25C找到函數頭部發(fā)現EB

17、P也是上級的ECXdd ECX+24+25C0042C8AC|. 8B4D 1Cdd EBP+1C+24+25C找到頭部0042C7BB|. 8BE9dd ECX+1C+24+25C 0042C794|> 8BCFdd EDI+1C+24+25C 0042C6E2|. 8BF9找到頭部dd ECX+1C+24+25C也是上級的ECXMOV ECXQWORD PTR SS:EBP+1CMOV EBP ,ECXMOV ECX,EDIMOV EDI,ECX17 w 巴她fit晞待計怡向地址O921CF 指桿*M持針指向地址O323DD 托針地力 009011A0*1CI m 你選擇的脩移帶它到

18、08Z11OHset （Hel 2SC你選捧的債移帶它到（B230IOffset IHexl 2400443F6A|> B9 A0119800 |MOV ECX,elementc.009811A0 dd 009811A0+1C+24+25C四，直接內存訪問法（感謝Ifscomic） 首先是用CE查找到血值地址，然后看一下是誰在訪問這個地址 或者是在OD里下HR+當前血值地址 也就是說我們這次不是搜索誰在寫入它，而只搜索誰在訪問它發(fā)現是 004E705B MOV EDX,DWORD PTR DS:ESI+25C脯WE和軸MbE 了叭 F 砒SEW巧SUE? KBUO4E7O61S04E7O

19、68 UU4E706C OtliiE707fl e0HE7H729B8fi7B62D0O I1OUEAXf ' 11PTRDS:ES1*27BBBBE&OO2O0Q< HOUECXfDUllRDPTRDS£ESI*2SaSB965C02 SMI HOUEbX,DUURI>PTRDS:ES1+25CB3FH81CMPEAK,1.E8 HOI 1IF m F i：ALL elerwntc.W0SBF aHOU ES*E脳SS：ESP*20)JCKSS:ESP+1C,EDXSS：ESP+10pEAXDORDDWORDDMURD* S94C21I,S95424HO

20、UHOUHOUH3 SHORTPTR i PTftPTftelpnientc * 0O<i£707fl“ 7F 08,C7442410011 HOU DUORD PTR SS：ESP+19T1> 9BBE 7C02Ofl0 HOU ED I, I".川 RD P I it r S : p S 熄C* 6062 0001 NOU EAXIDVQRI> PTR I>S : ESI+26Q17 I'CALL里就有基址dd 009811A0+1C+24+25C五,純CE查找基址£陽加信Qt? o £3004e704f - mow

21、eax esi400D00278- mov ecs.esi+00000250 >>0Q4e705b - hou «dx «i+OQOOQ2Sc 004e7061 - cnp eax 01ODIeTObi - 口I?罠%*20_ec3fCopy memcny指針値署墓竇找哇冊址可龍昱曲華0EAX-OOOOiODAEBX>09183490DCX.000000D5EDX-ODOCOODAESI-090&1BADEDI-00$3SC3ESP-DESDFDS6EBF«03230DB0EIF-QQ4E7061nr&Ad 0 Debug Reg

22、isiei,L.兩壬The regtM $hown here are AFTER the ntriction ha： been exK-ut?d Tq show them blune the nshuchon it eitecuied usAccew E>m(4on&搜索ESI的16進制值07C0DE98OCH 394bO - add unp.lu004394b3 - ret 0006>>0043?4b6 - mov eax sbpf24)00 394t)9 - push ebx004 394be -邏尸 e«x. eaxCo蹲(neiroiy指針值需宴査找

23、謠地址可能是O323OD0OEAK-Q9D610ACEE»DDOOOaOO £0-03230060ED-Q0926 OrE5I'77C1OAB1EDI-009811A0ESP-DESDFE8CEBP-032JQD8QEIP-004394B9The rebtar >hown ham are AFTER th« hsbucticn hat bean eNBeivd- To then befo<e the rnjcbcn is executedu«Access ExceptionsmstBd d Debug Regstwi:.甦丄搜索16進

24、制EBP的值03230D80陽加厲息 皆0042cflffli5 - MOV ecx. (ebp+0000043fl 0042c8ab - push ecx>>004 2c6iaiC nov ecx. |ebp+lc|0042c8a£ - call 00436120C?D42c8b4 - test alFalQw rnemoiy棺計伯雋戛査社謬地址町社昱®9011 A0EAX-OOOOOQ17 EDK-0355C4BDEBX-QOOOOOOD ESI-000000971£_-U J23CLLU EDI-009811AOESF-1E5PFF30EBP=009811AaEIP Dg2CEAFTha ieslers