EMU618社区

 找回密码
 立即注册
搜索
查看: 3586|回复: 12

[原创HACK教程] CheatMaker教学进阶之一 - 基地址与指针

  [复制链接]

签到天数: 6 天

[LV.2]偶尔看看I

发表于 2011-9-30 21:49:05 | 显示全部楼层 |阅读模式
本帖最后由 银河漫步 于 2011-9-30 23:11 编辑
/ Y: A0 j. Y6 h7 c
* a# s0 H; `! D0 W8 Q, J. a基地址的查找与特征数据
' [! }' G) V. b6 {(指针部分的使用说明在二楼,对基地址没兴趣的可跳过)
  w# C3 L4 a2 p  c# c: `- I/ u7 n) G! ?! ?! H6 V5 L2 o
  所谓基地址其实就是指针,其用法和指针的用法几乎相同,但是只所以区别开来还是因为模拟器这种东西,每次模拟游戏时游戏里的数据都是相对于某一个地址的偏移地址,所以与其每次都取写这个指针,不如把这个地址记录下来作为这个模拟器的基地址,则可以在做相同模拟器的游戏的时候方便很多) n7 V, B9 r7 Y: t5 s# P* g8 I
  指针怎么查找?CM其实目前没有反汇编的功能,所以关于指针的查找还是建议使用CheatEngine或者OllyDBG,我个人推荐前者
" h1 N2 t2 E: E( I7 N( P' W( q/ J: N  CheatEngine简称CE,这软件功能十分强大,但是直到6.0版本,对于修改器界面的设计始终功能比较简单,无法做出比较随心所欲的修改器,而纯粹以编程的方式去处理修改器界面则门槛相对较高,所以也有了CheatMaker这一类的中间软件层的存在,所以就笔者我而言,是属于用CE寻址,然后用CM实现界面设计的这一类人(另一说,CE 6.1的版本已经可以推出了比较好的修改器设计功能,但是到目前为止笔者尚未研究出头绪…)3 I1 _' R7 ^' D- s2 f7 T; D+ u

% G* n% \: F" X  o  r- d以SFC模拟器:Snex9X为例子,模拟器版本Ver 1.52,游戏三国志III,如下图查找金钱
/ L' N' U' I& I7 G' ~6 f
1 p/ q" [  G8 H, K  u9 W2 o: G, f5 W* _$ Z
' E/ y* `# A# b0 i1 w. @& y3 H. R
得到了唯一地址:013BF460
& g; j4 ^; u* c2 p
9 h- I. c8 ~: P) c. F6 n. U; b4 P5 N5 E( r
' b5 c" V1 t* U# @
然后对这个数据跟踪,得到一个可能的地址指针值,注意这个地址指针值的013BCBA0是对应ESI的值,而EBX的值是28C0,这个是指的平原金钱的偏移地址1 k% F5 W+ {( @% Y
值得注意的是[ebx+esi]的模式esi通常将不是固定值,这种时候,指针的好处就特别明显了,因为每次用模拟器模拟同一个游戏,对应的数据的搜索的绝对地址往往都在变动
* s4 a. |5 \$ d/ ^: t% [$ q但是相对esi的ebx的偏移地址则是固定的
) F  g, U  L4 z  T
" Q! Z; p, I5 j4 `/ d4 }4 x4 w% R$ h( v& u7 X# j2 h/ W& i+ q. B+ I7 F
' Y! d$ t) P+ d1 M2 L
直接搜索相关这个地址的内容可以得到以下结果% k) X5 x, R% i) K
$ g* R9 ?0 k# D2 [! W( f
% o) D; J( W2 W$ b7 A
, u- k. F3 N, D- ]; ?) B
如果得到的结果很多需要做一些进一步的测试和跟踪, 其实这里搜索到的这些都可以作为这个版本模拟器的基地址,比如任意选择一个0076448C
3 n4 j; b& e1 d- P
) E3 X+ ?% T: h, L! q
: x4 L- K- @) B/ }9 b+ V( P, i* t& F, I: n# U- f" w
我们可以看到,指针指向的地址的数据已经和原地址数据一致了 ,这里的28C0是之前的ebx的值,就是刚才平原城金钱的相对偏移地址! t( E. D- C0 k/ c
那么我们把这个指针添加到CM的支持程序管理/ n' f+ G: V8 H: i- R# e1 v
5 j- ]* t6 @( h0 u' c% m! X" e3 k& A
1 L! h; s- x1 h( c% O
$ t2 f9 Y+ `/ e: _! {5 z4 Y4 _

0 ~! Y- v' L8 U* D0 }这里的最大偏移量是指的相对于这个基地址所指向的地址,最大允许的偏移量是多少,SFC游戏几乎不会超过20000,但其实这里填0表示不限制,也没有关系' k7 W0 Z, G3 Z1 N. {5 A7 [
添加完毕后,我在CM里搜索平原城的金钱地址得到如下图片0 d6 W( @1 g( W/ r+ K
' K- e+ ^& a& D3 z
1 c0 L  t% y! C& Y1 C, A

9 C  X7 }$ N$ n7 E# t: A4 W3 d这个时候,对应的CM地址等于了原来的ebx的值,即这个金钱地址的相对偏移地址,我们的基地址添加成功了
# \  I, k/ q5 [1 `: P+ l# u( W! T, E
但是这么添加基地址,仅仅只是支持了Snes9X Ver 1.52版,如果用户换了一个版本的模拟器,则将出现不支持的情况,这是因为一个程序的升级通常会让基地址发生变化,所以在模拟器里要能够支持一个系列全版本的模拟器,就需要使用动态定位基地址的方法,于是采用了“基址特征数据”这个概念( a1 J- \4 y" j0 o
' F3 ?; @* C0 L$ G2 e
回到我们之前的搜索出很多基地址的那个步骤,这里选择基地址其实是有诀窍的,我们启动另一个版本的Snes9X模拟器,模拟同样的游戏,同样搜索平原金钱的地址指针1 a1 K" `/ D2 ]0 }$ R, h$ f
我们保留之前的模拟器进程和调试器进程,同时启动不同版本的模拟器进程双开另一个调试进程来进行跟踪调试以方便对比
$ k2 `' `7 N" b( B
0 c' G2 _  k$ E" l* p5 `" z5 v& A# h8 U$ U8 I
7 |# I8 d2 a: J3 [0 e0 ~
采用同样的方法得到了 也可以得到基地址列表5 u) i4 s$ U- y% J3 k6 O
那么现在需要从这些基地址里面找到可以通用的特征码,这个比较考验经验,查看特数据的方式可以右键点击任意基地址,点击“反汇编该内存区域”; y" p1 Y1 L" |1 D4 s
然后找到两个不同版本的模拟器之间的通用的一个基地址特征数据,如果找不到甚至要开始进行2级或者多级指针查找
$ U  A: b/ R  G8 ?  k: {所谓的基址特征数据就是指的通过一段内存数据的搜索可以定位到一个固定地址,然后通过这个固定地址增加一个偏移值就可以定位到基地址2 y8 {  [/ H; ^8 M. X9 d$ t) K7 M
比如这里SFC模拟器SNes9X我们就用2级指针来进行基地址搜索以及确定基址特征码,首先以0076448C作为一级指针来追踪二级指针. k7 M1 s0 d' e2 h" S9 m. R3 B
(如果这里对于多级指针的查找和添加方法看不明白的,请在网上搜索CheatEngine八步教学的教程自学一下)3 ?% `, p# p9 U

# o  Q, a: _+ z1 M5 X9 s3 U& r* c( c" o) U7 l/ ~
4 V' s  T0 p- o2 T2 x- ~
重新读取一下游戏就可以找到以下代码$ d4 k4 V( ~5 v' n! O( g
  s4 ^* G) q8 h8 [8 p

  O& M6 M' T: A* [" _8 @8 _- `/ M: n0 a. P
使用深度扫描可以找到对应007311C8的指针% _& k* G6 T9 r+ }7 s
* `: n! U; [: z8 l8 X& O
3 T+ q# w' Z& s+ l/ i0 k  [

& m0 h; w# p' |: H这个时候对于基地址的添加就多了一种方式,使用2级指针进行寻址,这时候【附加数据】需要填上1,才能正常寻址
8 u/ I3 H. ?9 D! A  L8 {
+ o( E7 R6 Y# W( B4 V: A8 J) u: K, \# j: P9 u

$ l4 q) H$ q2 C, ~改完后我们可以尝试搜索平原的金钱,可以看到添加2级指针的基地址的结果和之前的效果相同
- z9 F) J6 L$ _1 x% w/ B4 K4 K1 j$ |* L" o" E
' T2 m! {* {# z+ X! T, }% W

- y7 W; y, R0 R+ m* ]& ^但是换一个版本的模拟器时同样无法使用
, h( J! H3 T* r! V. ~所以我们对于其他版本的模拟器以同样的方法和选地址方式进行这个2级指针的寻址,得到对比结果如下: _6 E. O2 e% k; _/ l+ q
8 H% f" F# o) j
3 b" B# K+ |, S# \5 {. p% U
/ d( K: F, T, [3 l
可以看到两个版本的模拟器,对应的2级指针地址很接近但并不相同,那么我需要一种可以自动定位到各个版本的基地址的方法,这种自动定位的方法就是“特征码寻址”8 L: L8 R* H! a" q) _9 C% }: |
我们分别对上图的红框内的2级指针地址查看反汇编的代码,如下图8 b* q+ b, f7 n
/ U5 L/ m2 v2 ]& ~" V

& a% H; Q8 B1 A# a1 a" s
* M8 B$ S4 e' a/ E! d然后又可以得到一个对比图,下图中选中的部分就是相关到2级指针的地址的代码
- q  a# _  [4 N) Z; y
- E; T3 |2 {, f8 a, z) O# w! ~: q, x/ K& a! Y

3 [+ u9 d8 n& Z, r通过观察可以看到,虽然2级指针的地址和代码不同的模拟器版本有一些区别,但是在这段代码前两者确有一段共同的代码:2B C7 48 C1 E0 05 50
4 e1 k+ ^! J0 d我们不妨对这段代码进行搜索,如下图,注意反汇编里看到的字节搜索的时候要反过来,2B C7 48 C1,搜索就要搜索C148C72B% B9 S; m+ B$ S3 O0 D" V% R3 J

0 V3 W- n9 p7 g& z1 x" T9 Z, Q& l- p9 j  G
+ J, |" x  X* C0 x
非常幸运的,这段代码在模拟器的程序里具有唯一性,那么我们就可以通过这段代码定位到之前的2级指针的地址! ^- U, m& S# b- l$ }
这段代码的地址是00409664,2级指针的地址是00409674,两个地址之前相差10(H),那么我通过定位到00409664,然后增加10(H)的偏移就可以得到2级指针的基地址00409674- _0 O  V: y8 Q/ [8 K8 C
我们在看一下另一个版本的模拟器,这段代码定位的地址是00409FD4,而2级指针的地址是00409FE4,差值也是10(H)
; t  J, D' \+ q! L$ ^3 V那么这两个版本的模拟器的共性我们就找到了(这种共性肯定不止一处,这里只是介绍方法)
1 f1 l. y) \6 J+ t% P8 g! ?最后我们就是要把共性统一成模拟器的基地址
* H( H0 {3 F& `2 z' L% F
" x- a+ M. F2 c* |' f) J; T8 m9 p0 E) ?. e$ F
5 _, ?$ [- l3 O# F2 v; c
这里的基址特征数据就是用刚才我们所说的不同版本模拟器的共性进行定位到基地址,而这里的附加数据“5”表示找到的基地址的指向的地址的偏移,我们再把前面添加2级指针的基地址的图来对比一下
4 R5 A$ ^) z4 W+ _5 S& E
9 I/ t! h/ E3 @; @1 Y0 z7 h. f# t7 g$ ^  X5 c  Z
' l+ C( C. d6 K' X
按照基址特征数据的方式,我们尝试一下对其他版本的模拟器搜索金钱地址的结果,之前我搜索的是Snes9X 1.52版,现在我来搜索1.53版
0 O* C6 T1 d5 \: N1 r1 {- s' V. G/ Q
3 e& B8 y; s2 p9 g
3 B" _$ F% y4 _; b+ E  |
3 d# a) R: x" V; V. I  i, e. d# B0 Z' c
我们可以看到,现在两个版本的模拟器通过特征地址的方式统一了搜索的结果,但是这样其实我们还只是作出了通用1.52和1.53两个版本的模拟器9 o! g5 `* J' w& C8 r
如果想作出更大的兼容性,则还需要拿更多的版本的Snes9X来做这种共性的测试,最终找到一个共性地址+ E' U, y/ z/ @4 a$ f
值得说明的是,这里的基址特征数据可以用?做替代,比如2BC748C1E00550作为特征地址码的话可以写成2B??48C1????50,这样其实可以模糊出更多的版本共性出來& G! a1 v: d, G# W3 d) U# J
本文可以看作一篇实例教学,关于附加数据和添加说明写法的详细说明
+ c4 S. l" H% [- B( h还可以参考http://www.cheatmaker.org/Help/supportDoc/supportDoc.html8 U5 G1 p5 O2 g+ ]3 A$ p/ B
这里最下面的位置写了各个基地址和附加数据的写法和作用
. E$ ^9 j. m% l" C/ u% }
  J& S: D! S" t9 H5 w* T" c% `  f. F4 M

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

x

签到天数: 6 天

[LV.2]偶尔看看I

 楼主| 发表于 2011-9-30 21:49:49 | 显示全部楼层
本帖最后由 银河漫步 于 2011-9-30 21:52 编辑
/ I2 x9 ^" `6 U6 v+ G8 |, Q3 A9 b1 @
指针型数据的使用
0 d7 m1 n  W5 F, }
/ z$ c8 W4 A, q/ a  上述关于基地址的概念其实就是指针,笔者之所以拿模拟器来举例子是因为基地址的应用大多在模拟器领域,而有很多PC游戏不同的数据用的“基地址”不是一个,这样就无法通过定义一个“基地址”来解决问题,对于这种多基地址的PC游戏,直接使用控件调用指针是最好的方法,在控件的基础教学里我们都有提到过一些控件的【附加数据】这个功能,但是其实所有的地址控件都有一个通用的附件数据“9”,9后面跟参数(第一指针,第一级偏移,第二级偏移...),这样一个控件就可以在修改器进程里做指针寻址,而不是单纯的静态寻址
  ^7 T4 o) |+ b6 t2 m: z6 W/ ~  O' G. Q# @
我们以《植物大战僵尸》(应该没有人没玩过了吧…)这个游戏为例,使用的版本是年度版的汉化版,下图是通过指针寻址得到的游戏中的“阳光”这个数据的地址) x6 q0 W$ z; ?- M2 U
. Q1 c# j/ ?9 _3 I# W+ n
- E' p' ~2 j% C$ B) _

- o' F8 P$ J3 N# s( M5 b( Y可以看到,这个数据的基地址是7784F8,第一级的偏移是868,第二级的偏移是5578,在CheatEngine里通过这种定义方式就可以准确的得到阳光的地址和数据" h* `+ P5 W' h6 v0 v
那么这个数据怎么在CheatMaker里制作修改器时进行添加,则可以如下图所示1 P0 |- g$ M/ C
& X  l* p" q9 I+ S
1 E- k7 h; i+ L$ C8 Q
8 Q( M# P) p' j- f; F- v
对应数据控件的地址写上指针的最后一级的偏移地址,对应这里的就是5578,而在附加数据部分,9(第一级指针7794F8,第一级偏移868),就完成了和CheatEngine相同的动态寻址效果  `* x  i3 z7 [- X' V4 S2 c* i/ ~. J
我们再看一下游戏中的花园里那个喷雾剂的寻址结果
/ O' {; _5 Y" Q, v3 q/ ~3 `( M8 b4 Q

% q7 y3 n' K7 I' o, h) u  V- k
0 [  z+ s) t9 F. U: X游戏中是17,对应内存地址的数据是1017,有个简单的防修改算法,那么添加到CheatMaker寻址的方法和上述类似,但是我用了两个附加数据以控制数据的显示,如下图/ z0 m- a, u& ^8 i
+ p- O: i1 W. @
% E; P0 a) f) C/ H

  l" _, D$ n6 ]; a7 x2 r这里9(7794F8,950)以及地址里的224,和上述金钱的一样,不解释了,附加数据的后半截,用“|”符号进行了间隔,20这个附加数据是对读出的地址进行运算后再显示,这个在控件教学的TextBox控件里是有说明的,同时你写入的数据也会根据这个运算反算后再写回内存
, f# O7 ]1 ]- `& t其实我想说的是,控件的附加数据是可以用多个的,中间只需要用“|”符号间隔,我们可以看一下修改器运行的效果对比0 ]$ e1 G7 Z3 F3 S% [* d
$ T3 Q- Q- t' C1 {& L- |! G
+ h9 P& V8 T0 l; M3 K9 N

  s6 y" j/ G- Q) a看上图就可以知道这样写可以让我们的修改器读起来更顺畅8 O+ T& r  i" f& Q8 h$ g
但是我强调关于附加数据可叠加使用的目的是另一个,就是配合附加数据“9”来使用的另一个附加数据“6”
1 X1 U. S9 g! P我们之前说过了,关于进程的“基地址”或者“特征地址”的查询和添加方法,如果一个进程被定义好了基地址,那么对这个进程做的搜索个控件地址控制操作都是以这个基地址为前提的,那么有些游戏,比如模拟器,大多数游戏的大多数数据都有一个固定的“基地址”,一般情况下只需要添加好了这个基地址就可以解决了,但是少数游戏的数据并不受这个绝大多数基地址的控制,而是另一个基地址,那么对这少部分数据我不需要按照这个进程所对应的基地址进行寻址,而想使用Windows下的一般进程的指针寻址,那么对于这种已经添加了基地址的进程,控件想要使用一般寻址来调用指针的话,则需要在把附加数据“9”和附加数据“6”一起用,格式一般为:6|9(指针),附加数据“6”后面没有参数,仅仅表示这个控件的寻址不受进程基地址的限制,而使用绝对指针寻址% X5 c' {' c% s+ o1 {
$ B/ W6 a% `6 I8 K# F9 w/ D7 b
& Q( [2 q9 S! I8 @0 H9 U7 k
- k8 M8 K8 Q1 S: @, u
上图是NDS游戏《光与影的英雄》的修改器,对应的DeSmuME模拟器,该模拟器已经添加好了特征码,95%的游戏都可以使用这个特征码进行相对偏移地址的寻址,但是《光与影的英雄》这个游戏就是特例,部分数据不使用通用的那个基地址,于是我想在不改变DeSmuME.exe的进程的通用基地址的情况下,单独定义这个游戏的一些数据的基地址,就可以采用上图中的那种附加数据的调用方式+ m/ {' x8 d+ M& q, M( @

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

x

签到天数: 1548 天

[LV.Master]伴坛终老

发表于 2011-9-30 21:54:22 | 显示全部楼层
制作教程辛苦了

该用户从未签到

发表于 2011-9-30 22:29:09 | 显示全部楼层
讀完了, 對基地址的查詢大致是理解的
6 z, r  G, s' K: A6 E主要是卡在了CheatEngine的使用方面和對ebx那些東西的具體含義的理解上

该用户从未签到

发表于 2011-9-30 23:11:10 | 显示全部楼层
高手,好东西先收藏了

签到天数: 14 天

[LV.3]偶尔看看II

发表于 2011-10-1 08:41:38 | 显示全部楼层
制作教程辛苦了

该用户从未签到

发表于 2011-10-1 01:00:51 | 显示全部楼层
谢谢楼主的分享,学习了

签到天数: 26 天

[LV.4]偶尔看看III

发表于 2011-10-4 12:42:35 | 显示全部楼层
银河漫步 发表于 2011-9-30 21:49   C1 o. g5 k' E, c& Q
指针型数据的使用
: ?! `- K! X4 X; A) O8 ?7 F
, T- E4 y. ^- i1 o# r  上述关于基地址的概念其实就是指针,笔者之所以拿模拟器来举例子是因为基地址的应 ...

. Q0 U' |" {9 I; j现在为几个游戏的遇敌率烦心呢,,
2 H5 g3 k6 x/ g; G说说RPG的遇敌率怎样调整,主要只 绝对不遇敌和绝对遇敌 (口袋妖怪情况特殊啊)

该用户从未签到

发表于 2011-10-6 09:37:21 | 显示全部楼层
收藏。。。0 }  o* R* q$ l& s1 K/ W
话说三国志3修改器很好用的说。。。一堆没年龄的家伙也可以出来显摆了。。。

签到天数: 15 天

[LV.4]偶尔看看III

发表于 2011-10-10 11:41:52 | 显示全部楼层
十分感谢制作这么详细的教程 不过就是还没有实际操作过 可能用一下会好些吧

签到天数: 1046 天

[LV.10]以坛为家III

发表于 2011-10-15 13:09:34 | 显示全部楼层
这个值得学习 谢谢LZ分享啊

签到天数: 31 天

[LV.5]常住居民I

发表于 2012-11-14 11:22:25 | 显示全部楼层
ce呀,不知道还有这个!

签到天数: 5 天

[LV.2]偶尔看看I

发表于 2012-12-25 14:51:26 | 显示全部楼层
一直把CE当做金山游侠用的飘过。。。。{:4_100:}
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋|国治模拟精品屋 ( 沪ICP备15012945号-1 )

GMT+8, 2025-4-26 13:46 , Processed in 1.078125 second(s), 21 queries , Gzip On.

Powered by Discuz! X3.4

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表