我又回来了,沮丧并拼命寻求帮助:D。
我正在尝试为一个简单的程序创建一个作弊,它基本上是一个.dll文件,当它使用它的基地址注入它时,它会改变主程序的整数值。问题是,我找不到使用作弊引擎主要是因为有多个级别指针与NEGATIVE?偏移。例如:
//Starting pointer address
0x0033FCF0 -> 200
//Finding second level pointer using "Find out what's accessing this address" in Cheat Engine
**(mov eax,[ebp+08])** // **EAX=0x00000007** , **EPB=0x0033FCE8 => mov 00000007,[0033FCE8+08]**
2nd Level Pointer:
**(0033FCE8+18) -> 200**
所以我继续使用“找出什么是......”找到下一个指针,但在使用T-SEARCH和第二级指针地址时,我得到了7到8个新的静态地址。
问题是,我不知道哪一个是正确的,因为作弊引擎REFUSES让我使用NEGATIVE添加指针?偏移量。
示例:
Base Pointer:
**mov eax,[epb-18] !!!** // Notice the **MINUS**
除了一切之外,Cheat Engine拒绝接受带负偏移的指针!
那么,还有另一种从多个级别指针中查找基址的方法吗? 欢迎OlyDBG / Idapro解决方案。非常感谢你们!
以下是我试图破解的简单程序的源代码:
#include <iostream>
#include <conio.h>
#include <windows.h>
#include <stdlib.h>
int main(){
int hp = 100;
while(1){
std::cout << hp << std::endl;
Sleep(3000);
hp += 10;
system("cls");
}
return 0;
}
我要做的是用这个.dll编辑hp整数
#include <windows.h>
#define BASE 0xBASE_POINTERS_ADDRESS_WHICH_I_NEED_TO_FIND
#define OFFSET 0xTHE_OFFSET
#define VALUE 90
void MainFunction()
{
while(1)
{
if (GetAsyncKeyState(VK_MENU)&0x8000 && GetAsyncKeyState('C')&0x8000)
MessageBox(0,L"Alt + C was pressed!",L"MessageBox! ",0);
*(int*)((*(int*)BASE) + OFFSET) = VALUE;
Sleep(100); //Let the program rest, otherwise it hogs cpu resources.
}
}
BOOL WINAPI DllMain(HINSTANCE MyInstance,DWORD reason_for_call,LPVOID PointerToVoid)
{
if (reason_for_call == DLL_PROCESS_ATTACH) CreateThread(0,0,(LPTHREAD_START_ROUTINE)&MainFunction,0,0,0);
return true;
}
顺便说一句,我试图破解惠普! 〜哦,等等,我已经说过了,哦,好吧,无论如何;)
谢谢你们,上帝保佑你们!
答案 0 :(得分:20)
我认为你误解了Cheat Engine的目标。
CE允许您修改以持久方式存储在内存中的值。例如,在堆上,或在程序的静态数据中。
例如,C ++对象以确定的方式分配,因此它们永远不会移动。这就是为什么它们可以被一个在整个对象的生命周期内保持不变的指针引用。该对象有时由另一个拥有。如果找到指向所有者对象的指针,则会找到所谓的基指针。
例如:
class Object
{
bool dummy;
int someField;
Object* child;
};
现在假设你有一个3 Object的嵌套树。这意味着你有一个根Object(n°1),其child是另一个Object(n°2),其child是另一个Object( N°3)。想象一下,你做了这样的事情:
int main(int argc, char** argv)
{
Object root; // n°1
root.child = new Object(); // n°2
root.child->child = new Object(); // n°3
return 0;
}
你有兴趣搞乱n°3的someField值。您知道someField相对于Object的地址是+sizeof(bool) = 1。
因此(void*)&(object n°3) + 1是指向您想要的someField的指针。
现在,您如何找到指向对象n°3的指针?
知道child的相对地址是+sizeof(bool)+sizeof(int) = 5。我们知道指向对象n°3的指针是(void*)&(object n°2) + 5.
对象n°2的地址也是如此,我将把它留作练习。
但对象n°1怎么样?它没有在堆上分配。它在堆栈上。废话。所以我们必须找到另一种方法来找到存储对象n°1的地址。
局部变量存储在堆栈中。在汇编中,它们通过相对于寄存器EBP的偏移量来标识(如果函数不改变堆栈,则由ESP标识)。
EBP是堆栈的顶部,而ESP是堆栈的底部。
在这个例子中:
function foo()
{
int a;
double b;
}
当调用foo时,堆栈将增加到足以容纳a和b,即sizeof(int)+ sizeof(double)或12个字节。 a将存储在EBP - sizeof(int) = EBP - 4(与ESP + 8相同),b将存储在EBP - sizeof(int) - sizeof(double) = EBP - 12(与ESP相同)。 注意!编译器可以更改此顺序,因此变量的声明顺序在内存中不一定相同。优化也可以完全改变这一点。但是,让我们保持这个简单的好吗?
回到我们的主要例子。我们有哪些局部变量?只有根。因此,root将直接位于EBP - 9。但是,这只是当main是调用堆栈顶部的函数时。没有调试器,你就无法做到。
假设调用main时我们的EBP是0028FF28(取自新编译的C程序)。
root(0x0028FF28 - 9)= 0x0028FF1F;
指向root.child的指针位于(0x0028FF1F + 5)=(0x0028FF24);
因此,root.child位于* 0x0028FF24。
指向root.child->child的指针位于(* 0x0028FF24 + 5)=(假设为10000)
然后root.child->child为* 10000。
最后,root.child->child.someField为* 10000 + 3。
总结一下:你只需要找到root的静态地址来找到其余的。 root不在堆上或任何类型的持久内存中,但是它位于main的堆栈上,它几乎在所有程序中持续存在,因此它几乎就像是永久性的。 CE通过扫描整个进程内存空间来帮助您找到静态地址
考虑到所有这些,您应该能够计算堆栈上hp的相对地址,并找到一个指向它的静态指针(main非常非常非常可能每个都有一个静态帧地址你启动程序的时间)。如果您需要帮助,请使用调试器!我推荐Immunity Debugger。