|
|
本帖最后由 银河漫步 于 2011-9-30 23:11 编辑
- d: q/ u9 |0 R8 t6 s I% _9 f ?6 c* a! R1 o# q2 e
基地址的查找与特征数据
7 J& b6 p, p" @$ C; n, |" |4 {(指针部分的使用说明在二楼,对基地址没兴趣的可跳过)2 Z+ A% M! s! {0 w0 n- L4 a7 `
9 I/ t4 N7 Q o6 Z6 b4 W; v' Q/ N
所谓基地址其实就是指针,其用法和指针的用法几乎相同,但是只所以区别开来还是因为模拟器这种东西,每次模拟游戏时游戏里的数据都是相对于某一个地址的偏移地址,所以与其每次都取写这个指针,不如把这个地址记录下来作为这个模拟器的基地址,则可以在做相同模拟器的游戏的时候方便很多
$ z: H! k( ], q1 `% } 指针怎么查找?CM其实目前没有反汇编的功能,所以关于指针的查找还是建议使用CheatEngine或者OllyDBG,我个人推荐前者5 }& v5 o* x2 i) ]' X1 N
CheatEngine简称CE,这软件功能十分强大,但是直到6.0版本,对于修改器界面的设计始终功能比较简单,无法做出比较随心所欲的修改器,而纯粹以编程的方式去处理修改器界面则门槛相对较高,所以也有了CheatMaker这一类的中间软件层的存在,所以就笔者我而言,是属于用CE寻址,然后用CM实现界面设计的这一类人(另一说,CE 6.1的版本已经可以推出了比较好的修改器设计功能,但是到目前为止笔者尚未研究出头绪…)' U' H, \" U4 q/ u
( U& u/ ]8 I) t% F9 i
以SFC模拟器:Snex9X为例子,模拟器版本Ver 1.52,游戏三国志III,如下图查找金钱& X5 W& w `6 e; R+ P+ o
! h" H. ^* O: W, R6 h' e2 c& r
9 n9 `- Y1 i" f
% m" q) }/ G. j' b得到了唯一地址:013BF460
" B' i8 U; V. C( H
( M& F: H" X# J4 s# \" b7 ^
" ^& Z2 j: w( H, c6 o; Y7 U+ L3 j7 }( O* X# N J* z
然后对这个数据跟踪,得到一个可能的地址指针值,注意这个地址指针值的013BCBA0是对应ESI的值,而EBX的值是28C0,这个是指的平原金钱的偏移地址
$ U0 E+ Q! F7 W! u3 r' h0 q4 {$ V值得注意的是[ebx+esi]的模式esi通常将不是固定值,这种时候,指针的好处就特别明显了,因为每次用模拟器模拟同一个游戏,对应的数据的搜索的绝对地址往往都在变动/ R6 a% S% N, o. `
但是相对esi的ebx的偏移地址则是固定的
; x( G, Z' X7 ]( e2 g& f0 D v: U0 d6 e, D& u8 R
: ~ I D0 m! f! y# L
0 s' p1 o0 ~. n直接搜索相关这个地址的内容可以得到以下结果 e) ]/ x+ o" T
& q( C4 b! A. O
! F$ \8 d. B, `5 @* m+ @
: |( C; X9 {) T q6 M+ m如果得到的结果很多需要做一些进一步的测试和跟踪, 其实这里搜索到的这些都可以作为这个版本模拟器的基地址,比如任意选择一个0076448C7 A: [2 A4 B/ L% ?+ X V& N; C
* W% T2 {# P" o$ Y
7 o1 _ ]; _( Y; o1 q4 h# v8 E1 q- \% b7 r9 R
我们可以看到,指针指向的地址的数据已经和原地址数据一致了 ,这里的28C0是之前的ebx的值,就是刚才平原城金钱的相对偏移地址
$ _& b+ W0 i' r& Z那么我们把这个指针添加到CM的支持程序管理
6 n f" h( d8 z+ e0 F3 l& b1 R: o- G% x7 |% r8 b; b( a- u0 k
8 w* b* ^' {( Q" o0 j/ e8 T5 g
% i& c0 B8 S1 b+ Y' Y; G% s
" T' P; R2 f$ Q" }- R, F, S这里的最大偏移量是指的相对于这个基地址所指向的地址,最大允许的偏移量是多少,SFC游戏几乎不会超过20000,但其实这里填0表示不限制,也没有关系
D" k* j d- K6 L% x& r添加完毕后,我在CM里搜索平原城的金钱地址得到如下图片. I8 J9 W: A& L: r
* ?! x1 K( ~ R0 O8 r
% L1 ~( ~3 \- Z$ ^( M* O% ]0 O
( {% e" j0 Z! U, B这个时候,对应的CM地址等于了原来的ebx的值,即这个金钱地址的相对偏移地址,我们的基地址添加成功了
/ h2 k6 G( v1 `+ P1 [7 X5 L
8 U G' j8 M' T$ L0 v- F' R但是这么添加基地址,仅仅只是支持了Snes9X Ver 1.52版,如果用户换了一个版本的模拟器,则将出现不支持的情况,这是因为一个程序的升级通常会让基地址发生变化,所以在模拟器里要能够支持一个系列全版本的模拟器,就需要使用动态定位基地址的方法,于是采用了“基址特征数据”这个概念8 L6 Y3 ?5 `% n% Q( ]3 [1 B
5 R( V4 p1 c. Y' z+ H* E回到我们之前的搜索出很多基地址的那个步骤,这里选择基地址其实是有诀窍的,我们启动另一个版本的Snes9X模拟器,模拟同样的游戏,同样搜索平原金钱的地址指针
9 d& N5 } G% a, N* D我们保留之前的模拟器进程和调试器进程,同时启动不同版本的模拟器进程双开另一个调试进程来进行跟踪调试以方便对比
! h. p5 `2 v- R$ _+ g+ E2 i) z* ]
' p% I: k$ K/ j
; L9 a. N/ x3 e( F采用同样的方法得到了 也可以得到基地址列表
^: U/ i5 e% c+ C% o那么现在需要从这些基地址里面找到可以通用的特征码,这个比较考验经验,查看特数据的方式可以右键点击任意基地址,点击“反汇编该内存区域”( }. q, H3 |( J
然后找到两个不同版本的模拟器之间的通用的一个基地址特征数据,如果找不到甚至要开始进行2级或者多级指针查找
" j Q" e! R' u- e+ H* R所谓的基址特征数据就是指的通过一段内存数据的搜索可以定位到一个固定地址,然后通过这个固定地址增加一个偏移值就可以定位到基地址
' @! P, \4 o7 U# {8 i9 \比如这里SFC模拟器SNes9X我们就用2级指针来进行基地址搜索以及确定基址特征码,首先以0076448C作为一级指针来追踪二级指针6 V7 S2 M# X7 P$ k
(如果这里对于多级指针的查找和添加方法看不明白的,请在网上搜索CheatEngine八步教学的教程自学一下)% ~0 n" i) {& U' `$ g" p4 P3 n7 S
5 U! o2 s5 @8 w( s2 s u# C
5 ?0 N; O" R% k- ?; b
5 i1 m& K: b. j8 I重新读取一下游戏就可以找到以下代码
, S8 P1 @2 e6 A3 Z3 i$ X& ~& r* g8 Q3 ~, Y+ ~# b- F Y4 C
1 r" L8 e3 Y& X& M9 e1 `/ b8 ?' Y2 S: e4 K9 h
使用深度扫描可以找到对应007311C8的指针
( S9 [) X4 f3 Y0 ^7 ?- \% ~% [! g+ v* V; F8 Z8 l
% F T1 q3 P: a8 f& u
3 P {9 e4 x0 O/ J这个时候对于基地址的添加就多了一种方式,使用2级指针进行寻址,这时候【附加数据】需要填上1,才能正常寻址
8 }: e& h3 L0 v( \& S% D* }3 N3 B. m/ U+ Q; E
9 A! s3 n' v2 B" p3 A! d! T8 i
! f, G) R7 A/ u改完后我们可以尝试搜索平原的金钱,可以看到添加2级指针的基地址的结果和之前的效果相同1 ?$ A$ V' s* l0 n
. m& D" V- N _2 H- w0 s
+ T# i. S) y; {7 L" U9 |, Y0 v/ Y/ H
$ V, Q" O% e! i+ c( n+ I/ u
但是换一个版本的模拟器时同样无法使用
* d* D+ i' Y2 f" Y所以我们对于其他版本的模拟器以同样的方法和选地址方式进行这个2级指针的寻址,得到对比结果如下5 L& i$ g2 Z3 H- Y
4 d- b3 ~, l- r2 o. x
: I; p9 v9 r0 v3 F' M/ p2 I
1 F* v8 _0 \9 `. }8 z可以看到两个版本的模拟器,对应的2级指针地址很接近但并不相同,那么我需要一种可以自动定位到各个版本的基地址的方法,这种自动定位的方法就是“特征码寻址”, J& Z+ Z/ e. f8 Y% o! W7 f
我们分别对上图的红框内的2级指针地址查看反汇编的代码,如下图: H( r( X! |* |9 n6 t
0 j P2 z; d3 L, ~% b$ d0 T
+ D8 [2 g9 w7 [$ q5 L0 @
' A/ q: ~2 }7 I' ?8 w然后又可以得到一个对比图,下图中选中的部分就是相关到2级指针的地址的代码7 J; v. N$ u3 l7 _, [# N
) p& T/ ]& U- p& Q; R1 B- ^+ y
( P Y( G3 @0 |7 a5 l* ^ T8 h% x
$ k$ A6 P4 T" J) b8 J通过观察可以看到,虽然2级指针的地址和代码不同的模拟器版本有一些区别,但是在这段代码前两者确有一段共同的代码:2B C7 48 C1 E0 05 50
5 [4 c0 i8 Z' n! N我们不妨对这段代码进行搜索,如下图,注意反汇编里看到的字节搜索的时候要反过来,2B C7 48 C1,搜索就要搜索C148C72B
' _$ [, f& s9 U. k/ s9 ^
, x9 T/ Z9 q* u, @, n G* z3 f2 L. I% d" _# b/ p3 u; J; T; [ i
. ?* c; N U9 \4 {( X
非常幸运的,这段代码在模拟器的程序里具有唯一性,那么我们就可以通过这段代码定位到之前的2级指针的地址
% T, M1 \; t. [5 z这段代码的地址是00409664,2级指针的地址是00409674,两个地址之前相差10(H),那么我通过定位到00409664,然后增加10(H)的偏移就可以得到2级指针的基地址00409674; E5 a ]) d- k3 f9 E
我们在看一下另一个版本的模拟器,这段代码定位的地址是00409FD4,而2级指针的地址是00409FE4,差值也是10(H)& a, M1 e5 b2 N" a$ O
那么这两个版本的模拟器的共性我们就找到了(这种共性肯定不止一处,这里只是介绍方法)' b Q6 W/ R9 b' u
最后我们就是要把共性统一成模拟器的基地址/ ^& ]7 h- e0 C9 p
6 ^2 {' q) `& h$ \
4 ~5 S& Y/ @( U ]. i: l8 Z1 ~4 i) h4 ]4 K( }/ N& T
这里的基址特征数据就是用刚才我们所说的不同版本模拟器的共性进行定位到基地址,而这里的附加数据“5”表示找到的基地址的指向的地址的偏移,我们再把前面添加2级指针的基地址的图来对比一下3 ]+ h) \5 M+ W9 r4 C
! ^5 V: i+ _/ [; A
l" S6 {0 s: _
; k2 o& u% s' G2 a
按照基址特征数据的方式,我们尝试一下对其他版本的模拟器搜索金钱地址的结果,之前我搜索的是Snes9X 1.52版,现在我来搜索1.53版
* w; y; M. s6 F7 K# c( ^6 U7 P2 f5 T2 C
' N; J) s, }* i4 r. O# i
8 C6 e" }: ^3 B! \) ^ |
/ _! p/ U" E4 ]/ @0 E) I我们可以看到,现在两个版本的模拟器通过特征地址的方式统一了搜索的结果,但是这样其实我们还只是作出了通用1.52和1.53两个版本的模拟器
$ r4 [8 Z0 P* k) b( T( J如果想作出更大的兼容性,则还需要拿更多的版本的Snes9X来做这种共性的测试,最终找到一个共性地址 U& W+ ?, H' x; \( V* R# H
值得说明的是,这里的基址特征数据可以用?做替代,比如2BC748C1E00550作为特征地址码的话可以写成2B??48C1????50,这样其实可以模糊出更多的版本共性出來& X. ^0 M& {; `- `& B. p
本文可以看作一篇实例教学,关于附加数据和添加说明写法的详细说明1 C; i9 l1 m* q# R' V4 Q2 c. L
还可以参考http://www.cheatmaker.org/Help/supportDoc/supportDoc.html
. |' t1 j+ ?% U) I+ H" o这里最下面的位置写了各个基地址和附加数据的写法和作用3 E8 Z' J* t# O/ c
( t& P+ e% E o( Y8 z1 D |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
x
|
[复制链接]
IP卡
狗仔卡
发表于 2011-9-30 21:49:05
提升卡
置顶卡
变色卡
显身卡
楼主
发表于 2011-9-30 21:54:22
发表于 2011-9-30 22:29:09
发表于 2011-10-6 09:37:21