前言

在博客 【Windows 逆向】使用 CE 工具挖掘关键数据内存真实地址 ( CE 找出子弹数据内存地址是临时地址 | 挖掘真实的子弹数据内存地址 ) 中 , 没有找到真实地址 , 本篇博客重新开始一个完整流程 ;

在博客 【Windows 逆向】使用 CE 工具挖掘关键数据内存真实地址 ( 完整流程演示 | 查找临时内存地址 | 查找真实指针地址 ) 中 , 找到的地址是界面中显示的子弹地址 , 并不是实际的子弹地址 , 查找比较简单 ;

在博客 【Windows 逆向】使用 CE 工具挖掘关键数据内存真实地址 ( 查找子弹数据的动态地址 | 查找子弹数据的静态地址 | 静态地址分析 | 完整流程 ) ★ 中 , 查找真实子弹的地址 , 查找过程比较复杂 ;

在上面的 3 篇博客中 , 通过分析 基址变址寻址 汇编指令 , 查找 基址 + 偏移量 , 工作量比较大 , 而且很繁琐 ;

本篇博客中介绍一种简单的 " 指针扫描 " 方法 , 可以快速找出数据 动态地址 对应的 静态地址 + 偏移量 ;

一、获取动态地址

---

在之前的博客中 , 已经分析出了子弹的 静态地址 , cstrike.exe+1100ABC ;

动态地址 05929544 ;

二、扫描目前地址指针

---

1、初次扫描

右键点击 动态地址 选项 , 在弹出的菜单中 , 选择 " 扫描目前地址指针 " 选项 ;

会弹出两个选项 , " 地址寻找 " / " 数值寻找 " , 这里要查找的是地址 05929544 , 查找哪个指针访问了该地址 ;

最大偏移量 " 2048 " 一般不需要修改 , 最大等级 " 5 " , 如果不清楚也设置默认的值 5 , 这里指的是从 静态地址 出发 , 经过多少次基址变址寻址 , 找到了 子弹数据的真实地址 05929544 ;

点击确定之后 , 选择一个目录 , 存储扫描出的地址信息 ;

扫描完成后的结果 ;

在指针扫描对话框的左上角 , 可以设置类型 , 这里将类型设置为 4 Byte ;

2、重启游戏后再次扫描

关掉游戏 , 重新进入游戏 ;

在 CE 中 , 重新搜索 , 附加进程 ;

点击 " 查看内存 " 按钮 , 在弹出的内存信息对话框中 , 选择 " 菜单栏 / 工具 / 指针扫描 " 选项 ,

弹出 " 指针扫描 " 对话框 ,

选择 " 菜单栏 / 文件 / 打开 " 选项 ,

打开上一次存储的 子弹数据 指针扫描结果 ;

打开后 , 很多指针都失效了 ;

选择 " 菜单栏 / 指针扫描器 / 重新扫描内存 - 移除没有指向张恒却地址的指针 " 选项 ,

选择 " 数值寻找 " , 此时子弹的个数是 42 , 这里查找 4 Byte 的 42 值 ;

然后点确定 , 保存为 2.PTR ;

重新扫描的结果如下 , 只剩下 13 万个指针 ;

这些指针都可以使用 ;

可以多次重启游戏 , 筛选该数据 ;