windows逆向中,CE扮演着不可或缺的角色。
其根本原因是,上手简单,功能强大,提供多方位的突破口。
点击小电脑图标,
选择我们想要调试的程序,
就可以附加调试了。
很多的游戏保护驱动以及反调试手段,都针对CE做了一定的处理,由此可见CE确实是一款不错的工具,否则也没有必要对其大费周章。
随便附加一个进程,我们来看看他的基本使用。
首先CE最重要的功能是一款内存搜索工具,除去搜索功能以外,其他功能是可以用OD以及IDA 等工具替代的,也可以说是功能重叠的,在其他功能上我个人一般更喜欢使用 OD和IDA。
那么我们主要来说一下搜索功能
在游戏中,软件中,任何东西都是在内存中存放的,所以任何数据都可以用CE扫描的到,这是毋庸置疑的,只是有难易之分罢了。
显示在我们面前的文字,是以字符串的形式存放的。
人物的血量等直观的数值可能是整数型或则浮点型等类型存放的。
人物周围是否有宝藏等抽象的信息,也会以标志位或则其他类型存放的。
第一步 我们要选择扫描的数据类型,当然数据类型不是固定的,比如人物血量,没人规定他一定是整数型(4 bytes),他可能的类型很多,这是开发者决定的,所以,你只有去尝试才知道最终结果。
第二步,我们要确定扫描的类型,是精确扫描呢,还是模糊扫描呢?
如果你要扫描人物血量100,那么毫无疑问这是一个精确的数值,但是如果你要扫描一个100.28的血量值呢?他很可能是100.279或则 200.281四舍五入而得到的,这个时候如果是精确扫描是不是就有可能找不到正确的答案呢?
这个时候,往往我们就需要选择两数之前来扫描
当然有的时候我们还需要,扫描比什么数值大或则小来扫描
更有极端情况,我们选择了未知初始值,就是我们根本不知道他是多少,也不知道他在什么范围,这样的工作量很大很大,扫描过程会非常久,我们通过非常有限的线索来回变化扫描
这种情况并不少见,比如很多游戏里不显示坐标信息,那么我们想扫描坐标怎么办?只能未知初始值,然后来回走动,搜索变动的数值,要很久才能慢慢筛选出来正确的坐标。
第三步,确定我们的扫描范围,正常我们扫描所有内存地址的话
start 00000000 stop 7fffffff 就可以了 7fffffff之后基本都是显卡等地址不需要扫描
没有特殊需求不需要改动这个范围,有的时候为了减少扫描时间或则其他目的可以修改这个范围。
例如,如果我们扫描00000000-7fffffff 这个范围的未知初始值去找某一个数据可能要很久,甚至有时候机器会卡住,这个时候我们可以尝试分段扫描,把他分成两半,先扫前半段地址,看是否能够找到,找不到再去扫描后半段,减少了单次扫描的压力
再例如,你认为某一个标志位是基地址,那么可以直接把范围改成模块的地址范围,轻松的几次扫描快速找到地址
第四步,其他的一些设置
别的设置不需要多余修改,唯一值得注意的是, Fast Scan,也就是快速扫描,他后面默认的是4,也就是说他只扫描0,4,8,C的地址。这么说大家可能不懂什么意思,举个例子,如果有一个人物血量地址是00401223,里面的值是1,那么我们扫描1的时候 是扫不到这个地址的,因为他的个位不会0,4,8,C,那么怎么办呢?你只要把Fast Scan 的单选框去掉就可以了,当然这种情况不多见,这就是所谓的歪偏移,不过一旦出现这种情况,大家应该知道怎么去应对,平时就不需要勾掉这个了,因为这样会降低扫描速度。
第五步,全部设置完毕,我们可以开始扫描了
把你想扫描的数值填入,
这个代表是否是十六进制
然后首次扫描即可
首次扫描以后 ,想办法改变你要扫的数值
进行再次扫描
经过多次的筛选,最终锁定你想找的内存地址,
那么逆向的第一步,找突破口地址就已经搞定了
怎么样,并不复杂吧