Cheat Engine也就是我们经常说的CE,用来读取进程的地址之类的,以我现在的水平来看,我只能修改一点简单的单机游戏的数值(比如植物大战僵尸),主要是单机游戏数据都存在本地,而且不需要绕过检测,并且也不会被抓(吃免费的饭)。

第1关

题目

1: 首先要打开Cheat Engine (如果你还没有运行它的话).
2: 然后点击”打开进程”图标(左上角那个带有电脑的图标,且位于”文件”下方.).
3: 当进程列表窗口打开后请在列表中找到这个教程程序. 它类似于 “00001F98-Tutorial-x86_64.exe” or “0000047C-Tutorial-i386.exe”. (前面的8位数字/字母可能会有差异.)
4: 如果你找到了这个进程就点击它, 然后点击 “打开” 按钮. (现在暂时不要理会其它的按钮,如果你有兴趣的话,以后再研究它们.)
恭喜你! 如果以上步骤没什么意外的话, 进程列表窗口将会消失并且在 Cheat Engine 主界面的上方会显示选择的进程名称.

解析

  1. 打开CE,点击左上角小电脑找到这个进程Tutorial-x86_64.exe(类似这样的名字)点击打开,OK。

第2关

题目

步骤 2: 精确值扫描 (密码=090453)

现在你已经用 Cheat Engine 中打开了教程,为我们下一步的练习做好了准备。

你可以在本窗口的左下方看到显示的”健康:XXX”,
在你每次点击”打我”按钮时,它的值便会减少。
要进入下一关,你必须找到这个数值并把它改成 1000 。
很多方法都可以找到这个数值的位置,但我将告诉你一个最简单的方法,”精确数值”扫描:
首先确认数值类型是设置为2字节或4字节,设置成1字节也可以的,不过最终修改数据的时候便会有点麻烦了(虽然说这是很容易解决的问题)。假如该地址后边的字节数值都为 0 ,
那么你设置成8字节也未尝不可,
在这我们就不必赌一把了。单浮点数,双浮点数,以及其他的扫描方法在这里行不通的,因为它们储存数值的方式不同。
当数值类型设置正确后,确认扫描类型设置了”精确数值”,把健康值填写在数值的输入框,并点击”首次扫描”,稍等一会儿(假设你的电脑非常的慢),扫描完毕,扫描的结果将会显示在主界面的左侧。
如果检索结果多于一个,你无法确定哪一个是正确的地址,那么继续点击”打我”,并将变更后的”健康值”填写在数值输入框中,点击”再次扫描”,重复这些步骤,直到你能确认已经找到了地址(在地址列表中只有一个地址)。
好,双击左侧列表中的地址,该地址便会移动到下方的地址列表中并显示它的当前数值。r
双击下方地址列表中的数值(或者选择它,按下回车),填写你要修改的数值:1000 。
如果操作正确,”下一步”按钮将变成可点击状态,本关就完成了。

提示:
如果你在扫描过程中出现了错误,可以点击”新的扫描”重新再来。当然,你也可以点击”打我”去查找一些更有价值的线索。

解析

  1. 很简单直接搜索4字节 精确数值100,然后点一下打我健康变成99,再次搜索99,一般就可以得到唯一的一个地址,修改这个地址的内容为1000即可

第3关

题目

步骤 3: 未知的初始值 (密码=419482)

OK, 看来你已经理解了如何利用”精确数值”扫描查找数值了,让我们进行下一步。

首先说明下重点. 因为你要进行的是”新的扫描”,所以你必须首先点击”新的扫描”才能开始一个”新的扫描”. (你一定认为这很简单, 但是有很多人困在这一步啊)所以请记住这一步骤
你现在应该已经点击了”新的扫描”,让我们继续

在上一关中我们知道初始数值的大小,所以我们可以利用”精确数值”扫描,但本关中仅有一个状态栏,我们并不知道它的初始数值。
我们只知道这个数值在0到500之间,并且每次点击”打我”之后便会减些健康值,每次减少的健康值会显示在进度条的上方。
同样有好几种方法可以找这个数值,(例如使用”数值减少了…”扫描方式),但我只教你最简单的方法,”未知的初始值”和”减少的数值”。
由于不知道当前数值的大小,”精确数值”扫描便派不上了用场,所以选择扫描方式”未知初始数值”。数值类型仍然选择 4 字节(这是因为大多数WINDOWS应用程序都使用 4 字节存放数据)。点击”首次扫描”并等待扫描结束。
扫描完成后,点击”打我”,你会减少一些健康值。(减少的健康值显示几秒便会消失,你并不需要刻意记下它)。
回到 Cheat Engine,在扫描类型中选择”减少的数值”,然后点击”再次扫描”。
扫描完毕后,再次点击”打我”,并重复上述步骤,直到检索出很少的几个地址。
我们已经知道这个数值在0到500之间,所以挑出那个最为相似的地址,并将它加到下方的地址列表。
现在,更改健康值为 5000,以便我们进入到下一关。

解析

  1. 这一关考验的是‘未知的初始值’这一项,然后点击打我,根据减少的值来继续测,最终能得到一个结果,修改即可。

第4关

题目

步骤 4: 浮点数 (密码=890124)

在前面的教程中我们使用字节的方式进行扫描,但有些游戏使用了”浮点数”来存储数值(这么做是为了给菜鸟制造一些麻烦,让他们没那么容易修改游戏)。
浮点数是带有小数点的数值(如 5.12 或 11321.1)。
正如本关中的健康和弹药,两者都以浮点方法储存数据,不同的是,健康值为单精度浮点数,而弹药值为双精度浮点数。
点击”打我”将减少一些健康值,而点击”开火”则消耗掉 0.5 的弹药。
你得把这两项都修改到 5000 或者更多才能过关。
“精确数值”扫描的方式虽然也可以完成本关的工作,但你应该试试其它更简练的扫描方式。。

解析

  1. 提示已经给的很详细了,健康是单浮点数,弹药是双浮点数,然后查找即可,基本上一两次就能的出答案

第5关

题目

步骤 5: 代码查找 (密码=888899)

某些游戏重新开始时,数据会存储在与上次不同的地方, 甚至游戏的过程中数据的存储位置也会变动。在这种情况下,你还是可以简单几步搞定它。
这次我将尽量阐述如何运用”代码查找”功能。
下方的数值每次启动教程的时候都会存放在内存不同的位置,所以地址列表中的固定地址是不起作用的。
我们要先找到这个数值当前的存储地址(要如何去做,相信不用我再啰嗦了)。
当你找到了地址就添加在下方的地址列表中,然后右健单击该地址,在弹出的菜单中选择”找出是什么改写了这个地址”,将弹出一个空白的窗口。
接着点击本教程窗体上的”改变数值”按钮,并返回 Cheat Engine 。如果操作没问题 在刚才弹出的空白窗口中会出现一些汇编代码。
选中代码并点击”替换”按钮,将它替换成什么也不做的代码(空指令),同时,修改后的代码也将放置在”高级选项”的代码列表中去(保存地址列表时会同时保存)。
点击”停止”,游戏会以正常的方式继续运行下去,点击”关闭”按钮,关掉窗口。
现在,再次点击教程窗口上的”改变数值”,没问题的话,”下一步”将变为可点击的状态。

提示:如果你以足够快的速度锁定住该地址,”下一步”按钮也会变为可点击的。

解析

1.找到数值地址然后右键,根据上面的教程走一遍就好了,把汇编代码nop掉,然后就OK了

第6关

题目

步骤 6: 指针: (密码=098712)

上一步阐述了如何使用”代码查找”功能对付变化位置的数据地址,但这种方法往往不能达到预期的效果,
所以我们需要学习如何利用指针。
在本关的 Tutorial.exe 窗口下面有两个按钮,一个会改变数值,另一个不但能改变数值而且还会改变数值在内存中存储的位置。
这一步,你不需要懂得汇编,但如果懂的话会很有帮助。
首先找到数值的地址,然后再查找是什么改写了这个地址。
再次改变数值,CE 便可以列出找到的汇编代码。 双击一行汇编代码(或选择它并点击”详细信息”)并打开”详细信息”窗口以显示详细的信息,用来告诉你当这个指令运行时发生了什么事情。
如果在这条汇编指令中没看到方括号([])的存在,我们就应该查看下一条汇编代码的详细信息,
如果看到了方括号,那很可能表示我们已经找到了需要的指针。
返回到主 cheat engine 窗口 (只要你愿意,你可以保持这个额外的信息窗口为打开状态。如果你要关掉它,那么要记好方栝号中间的代码)并做一次 4 字节的扫描,扫描”详细信息”窗口中告诉你的一串十六进制数值。
扫描完成时它可能返回一个或几百个地址。大多数时候你需要的地址将是最少的一个。现在点击”手工添加地址”按钮,并勾选”指针”选项。
“添加地址”窗口将发生变化,多出了”Address of Pointer(指针地址)”和”Offset (Hex)(偏移量(16进制))”的文本框,以便您键入一个指针的地址和偏移量。
请尽量填入刚才扫描到的地址。
如果汇编指令中的方栝号里存在计算(例如:[esi+12])则把数值部分填在”Offset (Hex)”的文本框中,如果不存在,则让它保持为 0 。
如果看上去是更复杂的计算指令的话(举例说明一下):
[EAX2+EDX+00000310] eax=4C 并且 edx=00801234.
这种情况下 EDX 便是数值的指针,而 EAX2+00000310 则是它的偏移量, 所以你要填在”Offset (Hex)”的将是 2*4C+00000310=3A8。(这些都是在十六进制下计算的,你可以使用WINDOWS的计算器,在科学方式下用十六进制计算)。
回到教程,点击”确定”这个地址便会加到 CE 主窗口下方的地址列表中,如果没做错,在地址栏将显示 P->xxxxxxxx,而 xxxxxxxx 和你扫描到的地址数值是一致的,如果不一致,那么可能是哪里出错了。
现在, 改变那条指针地址的数值为 5000 并锁定它,然后点击 Tutorial.exe 窗口上的”改变指针”按钮,如果一切正确,”下一步”按钮将变为可点击状态。

备注:
你也可以使用”指针扫描”的方式来查找这个指针地址。

解析

  1. 先找到分配的地址,然后‘查找是什么修改了他’,把[]里面的寄存器和偏移量记录下来(步骤6里的偏移量是0所以没写)
  2. 开一个新的扫描,然后打开十六进制,搜索得到的寄存器地址,找到存放这个地址的基址,(基址是不会改变的),然后右下角手动添加地址,添加一个指针变量,指向找到的基址,偏移量为0(指针是把地址里面的值给取出来的!!)

第7关

题目

步骤 7: 代码注入: (密码=013370)

代码注入是将一小段你写出的代码注入到目标进程中并执行它的技巧。

在这一步教程中,你将有一个健康值和一个每按一次将减少 1 点健康值的按钮,
你的任务是利用”代码注入”,使你每按一次按钮就增加2点的健康值。

查找这个地址,然后看看是什么在改写它(”找出是什么改写了这个地址”)。
当你看到那条减少数值的汇编代码后,选择”显示反汇编程序”,然后打开”自动汇编窗口”(菜单-工具->自动汇编 或 按下快捷键 Ctrl+a ),选择”模板”中的”代码注入”。CE 将自动生成一部分汇编代码并为你输入指令做好准备(如果 CE 没有给出正确的地址,你也可以手工输入它)。
注意 alloc 这部分代码,它会为你的代码分配出一小块空白的内存,过去,在 Win2000 之前的系统,这种行为存在安全隐患,很可能导致系统崩溃,幸运的是,这种情况在 win2000 以后的操作系统得到改善。
也要注意line newmem: 、originalcode: 以及用文本”此处放置你的代码”标示出的空白部分
正如你猜测的, 在这儿可以写下每次增加2点健康值的代码。
在这种情况下推荐你使用 “ADD” 汇编指令,
下面是一些示例:
“ADD [00901234],9” 使 [00901234] 地址的值增加9
“ADD [ESP+4],9” 使地址指针 [ESP+4] 的值增加9
在本关的情况下,你可以使用相同的手法处理减少健康值的那条原代码方括号之间的部分。

提示 1:
推荐你从原代码中删除减少健康值的那行代码,否则你得加 3 点健康值(你增加了3点,原代码减去1点,最终结果才会增加2点),这样看上去很容易让人迷惑,但最终方案还是由你来决定好了。
提示 2:
某些游戏中,原代码可能在多条指令之外,有时候(并非一向如此),它可能由不同的地方跳转至你的指令中并结束运行,其结果可能引起未知的错误;如果出现了这种情况,通常应当查看附近的那些跳转指令,进行修改,或者尝试使用不同地址进行代码注入,确认无误后便可以将你修改的代码注入到原代码中了。

解析

  1. 找到地址,查修改数值的汇编代码,然后修改代码的 + 1 为 -2就可以了。

  2. 但是吧这一项教程好像要教的是[注入],所以换一种方法,打开内存浏览器之后,选定那一段修改的代码然后点‘工具’->’自动汇编’->’模板’->’代码注入’。

  3. 这个就是一个注入的模板

    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    alloc(newmem,2048)
    label(returnhere)
    label(originalcode)
    label(exit)

    newmem: //this is allocated memory, you have read,write,execute access
    //place your code here

    originalcode:
    sub dword ptr [ebx+000004A4],01

    exit:
    jmp returnhere

    "Tutorial-i386.exe"+275E3:
    jmp newmem
    nop 2
    returnhere:

    把代码写在newmem下面,这个的原理应该就是运行那个代码的同时会把你注入的代码调用运行,然后再return回去继续走。

    我只要加上一句add dword ptr [ebx+000004A4],03就可以了
    因为减一是已经执行了的,所以想要+2代码就要+3(提示上有说)。sub是汇编的减,add是汇编的加。

第8关

题目

步骤 8: 多级指针: (密码=525927)

在这一步将解释如何使用多级指针。
在第 6 步,你已经清楚 1 级指针的概念和用途,并可以利用数值的首个地址找到存放数据真正的基址。
在本关中,你将看到 4 级指针,它由第一个指针指向第二个指针,再由第二个指针指向第三个指针,由第三个指针指向第四个指针,最终指向健康值的真正地址。
开始的几步与在第 6 步中的操作基本相同。找出是什么访问了这个地址,然后分析汇编指令,查找指针地址中的数值,以及它的偏移量,将它们记下来。但这次你按数值找出的仍然是一个指针,你得依据这些数值,使用同样的操作方法找出指向这个指针的指针。看看是什么访问了你发现的那个指针地址,分析汇编指令,留意可能的代码和偏移量,并加以利用。
持续这种过程,直到不能更进一步查找为止(通常基址为静态时,地址将以绿色标示)。
点击”改变数值”改变健康值,
如果你发现列表中那些指针地址所指向的值发生同样的变化时,那表示你可以试着将基址中的值更改为 5000,并锁定它,以便完成本关的任务了。

备注1: 本步骤也可以使用自动汇编程序脚本或者使用指针扫描器加以解决。
备注2: 在某些情况下,可以改变 CE 软件”代码查找”的相关设置。
当你遇到类似于 mov eax,[eax] 的指令时,调试程序将显示改变之后的寄存器中的值,也许利用它更容易找出指针的位置。

备注3: 你还在读?!当你查看汇编指令时你可能已经注意到,这些指针是在相同的代码块(相同的程序,如果你懂汇编,可以查看程序的起始代码)位置被读写。这种情况并不总会发生,但是当你在查找某个指针遇到问题的时候,没准能起到很大的用处。

解析

  1. 这个就经常用到了,因为地址一般都不是一级的而是多级的,偏移多次才能得到,先用数值找到第一个地址,然后查找访问,每次都能找到一个寄存器地址和偏移量(没有偏移量的就是0),然后倒着从基地址开始偏移。最后就是p -> 地址,把这个地址里的值给取出来了,就是我们需要改的。

第9关

题目

步骤 9: 注入++: (密码=31337157)

这一步将会解释如何处理游戏中的共用代码, 这种代码是通用在除了自己以外的其他同类型对像上

常常你在修改游戏的时候, 你找到了一个单位的健康, 或是你自己角色的健康, 你会发现一种情况: 如果你把健康相关代码移除的话,其结果是你的角色无敌, 但你的敌人也无敌了。
在这种情况下, 你必须想办法区分自己与敌人。
有时候很简单, 你只要检查最前面的4个字节(函数指针表), 它通常指向一个独一无二的地址, 代表着游戏玩家角色,而有的时候它是一个团体号码, 或者也可能是一个指针, 它指向另一个指针, 该址针又指向下一个指针,搞不好还指向下下一个指针, 最后指向一个玩家名字。总之完全取决于游戏的复杂度, 以及你的运气

最简单的方法是以”找出是什么改写了这个地址”去找出游戏代码,然后使用”分析(新/旧)数据/结构”的功能去比较两种结构。(你的单位和敌人的单位)然后看看是不是可以找到一个区分两者的方法。
当你找到如何区分你和电脑单位的方法后,你可以注入一段自动汇编脚本来检查状态,然后看是要运行游戏的代码还是要做其他的修改。(例如一击必杀)
另外, 你还可以用这个方法去创建一般所说的”字节数组”的字串, 它可以用来搜寻并产生一份所有你的单位或是敌人单位的列表
在这个教程中, 我已经实现了你将会玩到的最惊人的游戏.
这个游戏有4个玩家。2个属于你的阵容, 另外两个属于电脑方。
你的任务是找到改写健康的代码, 并且修改以至于你可以获得胜利,但”绝不能”使用锁定HP的方法.
完成修改以后, 请按 “重新启动游戏并自动执行” 来测试你的修改是否正确

提示1: 健康是一个单浮点数
提示2: 解法不只一种

解析

  1. 假设已经知道了这是公用代码段(伤害判定用的同一段代码)一个方法是:首先找到一个然后分析谁改变了他,显示这段代码的反汇编程序(内存查看器),打一个端点,分别操作一次,发现敌人的ESI寄存器一直是1,而自己方的ESI不是1,那么就可以由此来AOB注入一段

    1
    2
    3
    4
    cmp esi,1  //不带[]的
    je code
    fldz
    jmp return

  2. 另一种注入的方式不知道为什么一直错误,等我看看为什么再说。

有一个找类结构的步骤:找到公共代码段以后打开代码,找出指令访问的地址,然后依次点击出现四个地址,选择前两个标记为group1,选择后两个标记为group2,然后查找组内共性,找到与当前寄存器相同的寄存器打开,然后选择’only find matching group’然后扫描,找到特征,记录地址。

然后分别将四个加入结构分析,根据上面找到的地址找到那个位置看看偏移量之类的,然后注入代码

1
2
cmp [xxx+xx],x
je exit

之前不能通过的原因是我开的训练是32位的,用64位训练就可以了!