簡易Pointer更新教學(新增圖片)

作者: -
有人問說
Pointer要怎麼更新呢?
其實很簡單...就像更新數據一樣
簡單敘述一下...
手打KNowlet 發佈於knowlet3389.blogspot.com

1.先開啟你的CE(LE、ME...)

2.載入上板CEM(你也可以預先保留AoB,比較方便快速)

3.打開Memory view (記憶體檢視)

4.Search (搜尋) -->Find assembly code!(搜尋反組譯代碼)

5.打入你要更新的Pointer!(貼心提醒:請先把記憶體回到00401000,否則會少找!)

6.等個幾分鐘,應該會有幾個代碼出現,點兩下,跳到那邊,觀察一下附近的指令!
代碼的指令後面應該都會有[Pointer代碼]


7.如果附近有[xxx+offset],如果沒有,那就用上面的方法一樣去找Offest。
(貼心提醒:有些Offest是固定不變的不需要更新。)

例如:
008A9F6B - 89 0d 60 16 d2 00          - mov [00d21660],ecx
[這就是Pointer的Base Address了]----------↗
008A9F71 - c3                         - ret

小提示:像這個AoB搜尋時就要輸入89 0d ?? ?? ?? 00 c3 ...因為框框中位置會變動所以要用問號代替。
手打KNowlet 發佈於http://knowlet3389.blogspot.tw


P.s 如果搜尋到很多組的話請多組比對,或實際測試看看是否更新對...

留言

  1. 匿名2012年4月12日 下午6:10

    請問5.打入你要更新的Pointer

    是要輸入甚麼??

    可否範例一下

    期待影片教學!!!

    回覆刪除
  2. 匿名2012年7月25日 下午2:40

    請問第6點
    會跑出超級多
    那麼該雪哪個ㄋ??

    回覆刪除
    回覆
    1. knowlet2012年7月25日 晚上10:26

      隨便選,不過不一定對XDDD看你的熟悉度...
      有些Pointer的位置Offest會直接出現在Base Address下方...

      刪除
  3. 匿名2012年8月2日 下午3:14

    請問洋蔥大大我用CE載入v147.2的cem 想找(血魔基址):00DB2268 的AOB
    我在 ->Find assembly code 輸入00DB2268 後
    跑出一堆選項 我全點去看 就是沒找到[xxx+offset] 麻煩洋蔥大解決我的疑惑 感謝!!

    回覆刪除
    回覆
    1. knowlet2012年8月2日 下午5:02

      其實很少會直接Offest在底下的(吧)XD
      只是有可能:D

      刪除
  4. 匿名2012年8月17日 下午4:46

    [xxx+offset]這是甚麼?? 找不到阿
    請問洋蔥大它是會直接顯示[xxx+offset]還是??

    回覆刪除
  5. Toby2012年8月26日 凌晨4:41

    我想問一下怎麼讓CE的記憶體檢視器那裏的16進制資料可以把記憶體位置也分成4組顯示
    也就是所有的資料都看起來有空格分開

    回覆刪除
  6. 浮雲2012年9月20日 晚上9:35

    mov [00d21660],ecx 你示範的是這樣
    那如果我搜尋到很多資料 其中一個mov [xxxxxxxx],ecx
    就是這個嗎?

    因為有很多資料 例如以下
    MOV EDB,[xxxxxxxx]

    回覆刪除

張貼留言

本月最夯

偷用電腦,怎知?事件檢視器全記錄!(開機時間、啟動項時間...)

作者: knowlet -
圖片
想知道你的電腦在你不使用的時候是否被開機過嗎?小朋友是不是趁家長不在家的時候偷偷完電腦啊?常常懷疑家裡或公司的電腦被人偷偷開來亂弄東西,可以用下面的方法檢查一下電腦在什麼時候有被開機、登入使用過。 Windows 系統裡的「事件檢視器」會紀錄很多電腦的相關資訊,包含什麼時候開機、登入、登出,或者系統發生哪些錯誤或其他的特殊事件等等,通通會紀錄在「事件檢視器」的日誌中。如果你只是想知道電腦什麼時候開機過的話,可以很輕易的從「事件檢視器」裡查到電腦確實的開機、關機時間。
閱讀完整內容