CE傻瓜教程：實(shí)例《植物大戰(zhàn)僵尸》陽光基址的查找

1、制作游戲修改器，應(yīng)該有很多人對這類內(nèi)容感興趣吧。發(fā)現(xiàn)這個游戲純屬巧合，一日我在百度搜索“植物”這個詞時，搜索框下方就列出一大堆“植物大戰(zhàn)僵尸”的相關(guān)內(nèi)容，于時就下載來玩了一下，挺有意思的，玩到最后就有了修改的念頭，本人對于游戲的態(tài)度是：能改則改，現(xiàn)實(shí)生活中我是窮人，在游戲中至少也要變富人吧。費(fèi)話不說了，準(zhǔn)備開始,先看一下游戲截圖，好讓大家有一些總體認(rèn)識戲時這個內(nèi)存地址都會不一樣，所以要找出基址，我使用的工具是簡體人吧。費(fèi)話不說了，準(zhǔn)備開始,先看一下游戲截圖，好讓大家有一些總體認(rèn)識戲時這個內(nèi)存地址都會不一樣，所以要找出基址，我使用的工具是簡體中文版（以下簡稱），步驟如下：1打開游戲并運(yùn)行在窗口模

2、式，再打開，點(diǎn)擊左上角電腦圖標(biāo)選中進(jìn)程確定，如下圖：掃描結(jié)果：0偏移地址薊看內(nèi)鎖定描述非隨機(jī)函數(shù)撥生器1啟用速度破解00000884-svchost.ee000008C0-svchost.exe000009DC_360tray,exe00000dF4-：=LLg.exeOOUUUdF8-ctmon.exe00000AlC-360sd.exe00UUUE24-wmiprvse.ex00000B2C-emiile.exe00UUU740-w3wp.exe00000TC4掃描結(jié)果：0偏移地址薊看內(nèi)鎖定描述非隨機(jī)函數(shù)撥生器1啟用速度破解000001Aij-RdfSnap.exe進(jìn)程列表窗口列表2、在數(shù)

3、值框中輸入當(dāng)前陽光數(shù)5，0點(diǎn)擊首次掃描切換到游戲中種一棵向日葵，使陽光數(shù)變成0；再切換回，在數(shù)值框中輸入，點(diǎn)擊再次掃描；將會搜索到一個結(jié)果，如下圖所示：000001Aij-RdfSnap.exe進(jìn)程列表窗口列表2C05Q3同樣掃描杲讀內(nèi)存椒速掃齋超級掃描掃描時暫停游戲00000850-F1ahtsVsZombies.exe團(tuán)啟mJ掃描結(jié)果：i數(shù)值2C05Q3同樣掃描杲讀內(nèi)存椒速掃齋超級掃描掃描時暫停游戲00000850-F1ahtsVsZombies.exe團(tuán)啟mJ掃描結(jié)果：i數(shù)值16進(jìn)制植物大戰(zhàn)僵尸中文販掃描類型藉確數(shù)值數(shù)值類型4字辛偏移地址數(shù)値3CD29FB8C內(nèi)存掃描選項(xiàng)16字節(jié)32字節(jié)

4、00400000FF再次掃描新掃描CheatEngine5.4簡體中文版3、雙擊此地址添加到下方的地址列表中，在列表中雙擊“數(shù)值”下面對應(yīng)的內(nèi)容可以修改此內(nèi)存值；我們將值改成100試0試看，如下圖：再看看游戲中的值，修改成功了，如下圖：G植物大戰(zhàn)僵尸中文煎查看內(nèi)存0CD29FB81000國圄同掃描結(jié)果：1一偏移地址數(shù)值鎖定描述數(shù)值:16字節(jié)*h字節(jié)結(jié)束全部00400000TFFFFFFF顯示廠同樣掃崙哽讀內(nèi)存1二快速掃描匸超級掃描【匚掃花時暫停游戲1010CD29FB8非隨機(jī)i:啟用速！手動;類型數(shù)值1000如上圖所示，內(nèi)存地址“0CD29FB8”就是存放陽光的地址，我們可以隨意的修改此內(nèi)存中

5、的數(shù)值，比金山游俠還要好用。但是此地址是動態(tài)的，下次運(yùn)行游戲時它存放的肯定就不是陽光了，我們要繼續(xù)查找不會變的靜態(tài)地址，看下一步。4、在此地址上點(diǎn)右鍵-查找寫入該地址的代碼，會看到一個對話框“下列代碼更改選擇的地址”，里面是空白的；切換回游戲，隨便種一棵植物（目的是讓陽光變少，好找出哪些代碼修改了此內(nèi)存）；再回到Ce會看到剛才的空白對話框中已經(jīng)有內(nèi)容了，雙擊或點(diǎn)“更多信息”出現(xiàn)下圖內(nèi)容：注意看紅色匯編代碼：是傳送指令，把的值傳送到D550的值是進(jìn)制的20等于（進(jìn)制的800，恰好就是陽光值，而D指向的地址0CD24A58偏移加550剛好等于0CD9FB8,此地址保存著當(dāng)前陽光值，很顯然這就是改變

6、內(nèi)存的賦值代碼了，紅色代碼上面那行，很顯然就是減法運(yùn)算。傳記住D的值“0CD24A58,下一步5、將上面的搜索框前的進(jìn)制勾選上一將D的值填進(jìn)去一首次掃描，如下圖所示:搜索出一堆地址，剛開始時我也是毫無頭緒，搜索了幾次都發(fā)現(xiàn)有這個值“010D84E0”，以為這個就是基址了，其實(shí)不是的，但這個值是怎么來的呢？我們繼續(xù)下一步。、將上一步搜索出的值添加到地址列表右鍵查找所有訪問此地址的代碼，稍等一下就出一大堆代碼出來了，如下圖：濟(jì)地址數(shù)值丄邂m菴J品汝攔挨J亠設(shè)置苣看內(nèi)存004897de83b86807濟(jì)地址數(shù)值丄邂m菴J品汝攔挨J亠設(shè)置苣看內(nèi)存004897de83b8680700000041be56

7、83by680700000045398083by680700000041be8383by680700000045384083by68070000004538c083by680700000045392083by680700000045395083by680700000040aeb583by680700000040aedi：83by680700000041a255399868070000004537dO83b8680700000041：=l：6a83b868070000004173dT83by68070000004173fT83by680700000041740583by6807ULI00下列代碼

8、訪問選擇的地址004526e00042461600-00-00-00-00-00-00-00-00-00-cmpcmpcmpcmpcmpcmpcmpcmpcmpcmpcmpeacmpcmpcmpcmpcmp00-00-00-00-00-8tibT68070000-movesi83b86807000000-cmp.PihFi1bpspitnnnnm仃百口口u替換顯示反匯編程序添加到代碼列表更劣信息傳送指喙停止飯發(fā)生普股解口地址世定描迷也址類型數(shù)值獨(dú):有描述-0CD2GFB8飛八字節(jié)800沒有描述010D84E04沒有描述010D84E04字節(jié)0sDCD24A58雙擊第一個指令查看更多信息，如下圖

9、:ESIill回陌掃描結(jié)果：0偏移地址0045266a00452-67100452673004525730045207bcmpbyteptredi+000004cf00je00452B9bmovesi,edi+00000768testu回i,sije0045269b設(shè)宣EAK=00452650EDK=00667BA0ESP=0012FCA0EBX=0012FD00E：SI=0CD24A58EBP=00000001查右-內(nèi)存EDI=010D7D78EIP=00452679ECX=010D7D78寄存器是運(yùn)行之后顯示在這里的說明在便用除了非調(diào)試寄存器存取執(zhí)行之前顯示的.nouTtranrSr004

10、17-3d7004173fFEAK=00452650EDK=00667BA0ESP=0012FCA0EBX=0012FD00E：SI=0CD24A58EBP=00000001查右-內(nèi)存EDI=010D7D78EIP=00452679ECX=010D7D78寄存器是運(yùn)行之后顯示在這里的說明在便用除了非調(diào)試寄存器存取執(zhí)行之前顯示的.nouTtranrSr00417-3d7004173fF00417405確定Lnui_irnnrnuurrrirnn-83-.b96807000000-83b96807000000=-8.b96807000000-cmp00452673亠Sbb768070000-mov

11、曲i004526e0004246b6niUFnRfd-8bb768070000-movesi-83b86807000000cmp-Rhf；rf；n7nn皿二“止“塁停止口地址傳送扌指彳的值或要查找這平地址010DTDT8鎖定描述鎖定描述3沒有描述地址類型數(shù)值0CD29FB84字節(jié)800LI1LIII84E04字節(jié)0 x0CD24A58原來的值是得來的，的值是我們繼續(xù)搜索,如下圖：大功告成，查找到了綠色內(nèi)存地址，綠色內(nèi)存地址表明該地址在游戲中是靜態(tài)的，它就是我們要找的基址了。7下面我們試著把這些內(nèi)存地址連接起來，內(nèi)存地址（值為）偏移，地址（值為偏移（此地址就是我們第二步搜索出來的陽光地址）。好了

12、，我們用測試一下是否正確，如下圖，手動填加地址進(jìn)行測試：13.13.11./MessageBox(cannotopenprocess!);11./MessageBox(cannotopenprocess!);Q旨.圃.掃描結(jié)果:151000000850-F1:eltlIsVsZonibies.eKe偏移地址006A9EC0006A9F38006A9F78006AA00C010D7A14010D8ETn010D9J010DFE010D7D78OiODTDTS010D7D78010D7D78010E7D78新掃莊再次掃3S數(shù)值設(shè)置Z1EQ旨.圃.掃描結(jié)果:151000000850-F1:eltlI

13、sVsZonibies.eKe偏移地址006A9EC0006A9F38006A9F78006AA00C010D7A14010D8ETn010D9J010DFE010D7D78OiODTDTS010D7D78010D7D78010E7D78新掃莊再次掃3S數(shù)值設(shè)置Z1E進(jìn)制010d7.178掃描類型精確數(shù)值數(shù)值:器卷提供新地址:01285L0128FL01291F0130DLLI13LIEL匚I13OF4OISLIF0130FJLH3LIFI0CD29FB8回指針移除指針指向的地址0CD24A58指針地址010D84E0你選擇的偽移星停在0CD29FB8偏移量（Hei5560查看指針指向的地址0

14、10DTDT8指針地址ULlFiadecO你選擇的偏移量停在010D84E0偏移量（Hei768取消發(fā)生器解地址沒有描述殺有描述il010D84E0006A9EC04字節(jié)QkQCD24A584字節(jié)OkOIODTDTSP-XJCD29FB84字節(jié)800結(jié)果完全正確，最終地址指向的內(nèi)存值為80，0繼續(xù)下一步。8、有了內(nèi)存基址，現(xiàn)在我們就可以寫程序了，相對于找基址，寫代碼就簡單得多核心代碼如下：HWNDhWnd=:FindWindow（NULL,植物大戰(zhàn)僵尸中文版”）；/查找窗口句柄if(hWnd=0)return;HANDLEhProc；DWORDproID；GetWindowThreadProc

15、essId(hWnd,&proID);/取得進(jìn)程IDhProc=OpenProcess(PROCESS_ALL_ACCESS,false,proID)；/打開進(jìn)程if(hProc=NULL)/m_sunny=(int)hWnd;/UpdateData(false);12.return;12.14.DWORDads_ps=0 x006a9ec0;/讀取內(nèi)存地址DWORDvalue;ReadProcessMemory(hProc,(void*)ads_ps,&value,4,NULL);ads_ps=value+0 x768;ReadProcessMemory(hProc,(void*)ads_p

16、s,&value,4,NULL);ads_ps=value+0 x5560;UpdateData();value=m_sunny;/陽光值WriteProcessMemory(hProc,(void*)ads_ps,&value,4,NULL);/寫內(nèi)存CloseHandle(hProc);復(fù)制代碼的和匯編都是剛學(xué)的，以上讀取指針的代碼我自己看了都覺得怪怪的，呵呵。將就用著先吧。最終做出來的程序運(yùn)行界面如下圖所示：最終做出來的程序運(yùn)行界面如下圖所示：13.13.11./MessageBox(cannotopenprocess!);11./MessageBox(cannotopenprocess

17、!);13.13.11./MessageBox(cannotopenprocess!);11./MessageBox(cannotopenprocess!);后記：剛開始我只做了修改及鎖定，但后面覺得這樣太麻煩，干脆就做了“安放植物不減陽光，反而獲得陽光的功能”，個人感覺這個功能更有意思，這個功能實(shí)現(xiàn)起來更簡單，還記得第4步的減法指令嗎？只要將改成就行了，呵呵。當(dāng)然寫到我們的程序中是要用進(jìn)制的，這個進(jìn)制的獲得也在中獲得，如下圖：11./MessageBox(cannotopenprocess!);11./MessageBox(cannotopenprocess!);0041BAT4地址十及進(jìn)制反匯編代碼D041BA74deaddesijebxD041BA7689b76.MOVedi+0(?005D041BA7CbO(ilMOVal,01仔細(xì)看了，ee對應(yīng)的進(jìn)制代碼為2，我改成ddee后代碼為de,大家可以自己改改看了。不過在我們的程序要修改其它程序的代碼是要有權(quán)限才行的，直接拿上面的代碼來用是行不通的，我在上面代碼基礎(chǔ)上加了個函數(shù)rtlrte代碼如下：DWORDads_ps=0 x0041ba74;/程/序內(nèi)存地址WORDvalue;value=0 xde01;VirtualProtectEx(hProc,(void*)ads_ps,2,PAGE_READWRI