首页
社区
课程
招聘
未解决 [求助]游戏找数据遇到[esp+6c]这种要怎么跟?
发表于: 2021-2-20 17:16 5672

未解决 [求助]游戏找数据遇到[esp+6c]这种要怎么跟?

2021-2-20 17:16
5672

跟踪cs1.6找子弹地址的时候遇到了[esp+6c]结果没有跟对,大神帮帮小白看看


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (7)
雪    币: 106
活跃值: (609)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
ESP加偏移有可能是参数,也有可能是栈的变量。这个要取决于进入函数当时的栈顶是多少。
2021-2-20 17:19
0
雪    币: 220
活跃值: (493)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
你是找子弹地址还是找谁修改了子弹?如果是找地址建议先用ce

然后你第一幅图的ebp怎么那么奇怪竟然是0xe???
然后你想往回找调用,我也遇到过你这种问题,汇编想往回找调用关系先看看调试器的调用栈,观察栈的数据是不是从那个路径过来的,如果是c编译的程序都是call过来的所以全是链式关系,汇编里面那可不一定了,各种jmp ret。。。
2021-2-21 00:35
0
雪    币: 6661
活跃值: (4511)
能力值: ( LV10,RANK:163 )
在线值:
发帖
回帖
粉丝
4

灵活使用CE搜索,并且搭配IDA看看对应的函数。

最后于 2021-2-21 10:18 被yimingqpa编辑 ,原因:
2021-2-21 10:17
0
雪    币: 3998
活跃值: (5131)
能力值: ( LV7,RANK:100 )
在线值:
发帖
回帖
粉丝
5
add esp,0x20 
add esp,-0xC
这两个add,估计上面有条件跳转,往回跟,慢慢找。多跟几次,没有找不到的数据
2021-2-21 10:46
0
雪    币: 12857
活跃值: (9172)
能力值: ( LV9,RANK:280 )
在线值:
发帖
回帖
粉丝
6
建议拖进IDA F5,实在不行github搜cs16nd直接看源码
2021-2-21 15:48
0
雪    币: 220
活跃值: (331)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
找到数据了,看雪有怎么多好心人帮助小白,看来以后多来问问问题,谢谢各位大神了
2021-2-24 20:53
0
雪    币: 20
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
8
可以先下断,看esp+6c跟栈底的相对位置关系,然后记录下函数执行完返回的位置。在函数头部下条件断点,避免多个地方共用这段代码。然后根据刚才观察到的相对位置关系找到这个数据的位置,然后在数据窗口给他下一个硬件写入断点,直接f9运行,你就知道这个数据在哪里被写人了。
2021-3-7 14:12
0
游客
登录 | 注册 方可回帖
返回
//