[求助]哪位大哥帮忙看下这个数据的基址和偏移？-付费问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (13)
rxzcums 雪币： 427 活跃值： (65) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 1174 粉丝 0 关注私信	rxzcums 2 2 楼不是很懂这个工具，我大概觉得实际偏移是：8A260 你可以用hexworkshop打开crtl+g：8A260 去看看那里的值是不是48CD1400 如果不行就直接搜16进制串：48CD1400，找到一处最好，找到多出再判断，找不到就没辙了。。 2008-8-13 14:59 0
tldicklee 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 9 粉丝 0 关注私信	tldicklee 3 楼试了一下，8A260这个地方都是00 00 00 00, 48CD1400直接找不到，大哥再给想想办法吧！ 2008-8-13 15:13 0
rxzcums 雪币： 427 活跃值： (65) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 1174 粉丝 0 关注私信	rxzcums 2 4 楼我没辙了，大侠跟上。 2008-8-13 15:26 0
rxzcums 雪币： 427 活跃值： (65) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 1174 粉丝 0 关注私信	rxzcums 2 5 楼再搜索寄存器eax的值0014CD48 这句我没看懂，能否解释下？在图上0014CD48是 ECX 的值。 2008-8-13 15:29 0
东方介雪币： 102 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 79 粉丝 0 关注私信	东方介 6 楼 mov ecx,[0048a260] ====>ecx取得处。 lea edx,[ebp+edx2+00] mov [ecx+edx4],eax =====>停在这里，说明目标内存地址=ecx+edx*4 这里ecx的值可以从第1行看出在地址048a260处取得（注意，是地址。）现在就剩edx的值无法确定了，用OD跟一下看看吧。 2008-8-13 15:54 0
tldicklee 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 9 粉丝 0 关注私信	tldicklee 7 楼那么048a260是不是就可以直接当基址使用了呢？ 2008-8-13 16:12 0
rxzcums 雪币： 427 活跃值： (65) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 1174 粉丝 0 关注私信	rxzcums 2 8 楼完全不对怎么把那个当基址？你用工具看下基址就知道了 2008-8-13 16:39 0
tldicklee 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 9 粉丝 0 关注私信	tldicklee 9 楼图中我的操作步骤是这样的： 1、先运行程序和CE，进行数据搜索； 2、找到要修改的数据地址（0014CD5C）后，对这个地址进行监听写入操作； 3、CE捕捉到写入操作：mov [ecx+edx4],eax, ecx=0014CD48(这个数值在不同电脑上会有所不同)，edx=00000005(这个值没有变过); 4、然后在CE中新建了一个搜索，对0014CD48这个数据进行了搜索，只找到了一个地址0048A260,并且在CE中显示为绿色，CE中显示为绿色的地址一般都不会改变，确实程序在别的电脑上这一步也是找到的这个地址; 我想知道下一步我该怎么做才能得到基址呢？或者是实现一段汇编语言把ecx+edx4这个地址用一个静态地址储存也行啊！期待强人的出现！ 2008-8-13 20:12 0
tldicklee 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 9 粉丝 0 关注私信	tldicklee 10 楼现在可以确定的是这个数据存储地址是随机的，但是这个随机位置的地址是存在0048A260里－这个是固定的，rxzcums老师教我的用hexworkshop查看的方法读不到48CD1400，是因为这个地址在运行时才会有这个随机的数据地址，在编程过程中能不能用0048A260中存储的地址+偏移得到数据正确的地址呢？ 2008-8-14 14:58 0
rxzcums 雪币： 427 活跃值： (65) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 1174 粉丝 0 关注私信	rxzcums 2 11 楼你是不是想改游戏里的某个数据啊？其实配合OD应该能很方便的解决。 2008-8-14 16:08 0
东方介雪币： 102 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 79 粉丝 0 关注私信	东方介 12 楼 0048A260不是基址，也不是偏移，是指针。如果真如你说edx没有变过，一直是5，那么那个内存地址就是[0048a260]+5*4 即先读0048A260这个地址里的DWord数据再加上20就可以找到你要改的内存地址了，以上全是我个人见解，你可以试试。 2008-8-14 17:16 0
tldicklee 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 9 粉丝 0 关注私信	tldicklee 13 楼谢谢大家 2008-8-14 19:12 0
tldicklee 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 9 粉丝 0 关注私信	tldicklee 14 楼这个数据的基址是动态的，但是这个动态的地址是固定存在0048A260 里面，这究竟怎么回事，有高人出来解释一下吗？ 2008-8-15 06:41 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (13)
rxzcums 雪币： 427 活跃值： (65) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 1174 粉丝 0 关注私信	rxzcums 2 2 楼不是很懂这个工具，我大概觉得实际偏移是：8A260 你可以用hexworkshop打开crtl+g：8A260 去看看那里的值是不是48CD1400 如果不行就直接搜16进制串：48CD1400，找到一处最好，找到多出再判断，找不到就没辙了。。 2008-8-13 14:59 0
tldicklee 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 9 粉丝 0 关注私信	tldicklee 3 楼试了一下，8A260这个地方都是00 00 00 00, 48CD1400直接找不到，大哥再给想想办法吧！ 2008-8-13 15:13 0
rxzcums 雪币： 427 活跃值： (65) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 1174 粉丝 0 关注私信	rxzcums 2 4 楼我没辙了，大侠跟上。 2008-8-13 15:26 0
rxzcums 雪币： 427 活跃值： (65) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 1174 粉丝 0 关注私信	rxzcums 2 5 楼再搜索寄存器eax的值0014CD48 这句我没看懂，能否解释下？在图上0014CD48是 ECX 的值。 2008-8-13 15:29 0
东方介雪币： 102 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 79 粉丝 0 关注私信	东方介 6 楼 mov ecx,[0048a260] ====>ecx取得处。 lea edx,[ebp+edx2+00] mov [ecx+edx4],eax =====>停在这里，说明目标内存地址=ecx+edx*4 这里ecx的值可以从第1行看出在地址048a260处取得（注意，是地址。）现在就剩edx的值无法确定了，用OD跟一下看看吧。 2008-8-13 15:54 0
tldicklee 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 9 粉丝 0 关注私信	tldicklee 7 楼那么048a260是不是就可以直接当基址使用了呢？ 2008-8-13 16:12 0
rxzcums 雪币： 427 活跃值： (65) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 1174 粉丝 0 关注私信	rxzcums 2 8 楼完全不对怎么把那个当基址？你用工具看下基址就知道了 2008-8-13 16:39 0
tldicklee 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 9 粉丝 0 关注私信	tldicklee 9 楼图中我的操作步骤是这样的： 1、先运行程序和CE，进行数据搜索； 2、找到要修改的数据地址（0014CD5C）后，对这个地址进行监听写入操作； 3、CE捕捉到写入操作：mov [ecx+edx4],eax, ecx=0014CD48(这个数值在不同电脑上会有所不同)，edx=00000005(这个值没有变过); 4、然后在CE中新建了一个搜索，对0014CD48这个数据进行了搜索，只找到了一个地址0048A260,并且在CE中显示为绿色，CE中显示为绿色的地址一般都不会改变，确实程序在别的电脑上这一步也是找到的这个地址; 我想知道下一步我该怎么做才能得到基址呢？或者是实现一段汇编语言把ecx+edx4这个地址用一个静态地址储存也行啊！期待强人的出现！ 2008-8-13 20:12 0
tldicklee 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 9 粉丝 0 关注私信	tldicklee 10 楼现在可以确定的是这个数据存储地址是随机的，但是这个随机位置的地址是存在0048A260里－这个是固定的，rxzcums老师教我的用hexworkshop查看的方法读不到48CD1400，是因为这个地址在运行时才会有这个随机的数据地址，在编程过程中能不能用0048A260中存储的地址+偏移得到数据正确的地址呢？ 2008-8-14 14:58 0
rxzcums 雪币： 427 活跃值： (65) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 1174 粉丝 0 关注私信	rxzcums 2 11 楼你是不是想改游戏里的某个数据啊？其实配合OD应该能很方便的解决。 2008-8-14 16:08 0
东方介雪币： 102 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 79 粉丝 0 关注私信	东方介 12 楼 0048A260不是基址，也不是偏移，是指针。如果真如你说edx没有变过，一直是5，那么那个内存地址就是[0048a260]+5*4 即先读0048A260这个地址里的DWord数据再加上20就可以找到你要改的内存地址了，以上全是我个人见解，你可以试试。 2008-8-14 17:16 0
tldicklee 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 9 粉丝 0 关注私信	tldicklee 13 楼谢谢大家 2008-8-14 19:12 0
tldicklee 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 9 粉丝 0 关注私信	tldicklee 14 楼这个数据的基址是动态的，但是这个动态的地址是固定存在0048A260 里面，这究竟怎么回事，有高人出来解释一下吗？ 2008-8-15 06:41 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[旧帖] [求助]哪位大哥帮忙看下这个数据的基址和偏移？ 0.00雪花