當(dāng)前位置：首頁(yè) > 运维知识 > windows >内容正文

windows

【Windows 逆向】使用 CE 工具挖掘关键数据内存真实地址 ( 逐层分析分析静态地址到动态地址的寻址 + 偏移过程 ) ★

發(fā)布時(shí)間：2025/6/17 windows 27 豆豆

生活随笔收集整理的這篇文章主要介紹了【Windows 逆向】使用 CE 工具挖掘关键数据内存真实地址 ( 逐层分析分析静态地址到动态地址的寻址 + 偏移过程 ) ★ 小編覺(jué)得挺不錯(cuò)的,現(xiàn)在分享給大家,幫大家做個(gè)參考.

文章目錄

前言
一、上一篇博客中獲取到的靜態(tài)地址
二、第一層靜態(tài)地址 cstrike.exe+1100ABC
三、第二層地址
四、第三層地址
五、第四層地址
六、靜態(tài)地址到動(dòng)態(tài)地址的尋址 + 偏移過(guò)程總結(jié)

前言

在博客【W(wǎng)indows 逆向】使用 CE 工具挖掘關(guān)鍵數(shù)據(jù)內(nèi)存真實(shí)地址 ( CE 找出子彈數(shù)據(jù)內(nèi)存地址是臨時(shí)地址 | 挖掘真實(shí)的子彈數(shù)據(jù)內(nèi)存地址 ) 中 , 沒(méi)有找到真實(shí)地址 , 本篇博客重新開(kāi)始一個(gè)完整流程 ;

在博客【W(wǎng)indows 逆向】使用 CE 工具挖掘關(guān)鍵數(shù)據(jù)內(nèi)存真實(shí)地址 ( 完整流程演示 | 查找臨時(shí)內(nèi)存地址 | 查找真實(shí)指針地址 ) 中 , 找到的地址是界面中顯示的子彈地址 , 并不是實(shí)際的子彈地址 , 查找比較簡(jiǎn)單 ;

在博客【W(wǎng)indows 逆向】使用 CE 工具挖掘關(guān)鍵數(shù)據(jù)內(nèi)存真實(shí)地址 ( 查找子彈數(shù)據(jù)的動(dòng)態(tài)地址 | 查找子彈數(shù)據(jù)的靜態(tài)地址 | 靜態(tài)地址分析 | 完整流程 ) ★ 中 , 查找真實(shí)子彈的地址 , 本篇博客中基于該博客的查找結(jié)果進(jìn)行分析 ;

一、上一篇博客中獲取到的靜態(tài)地址

cstrike.exe+1100ABC 地址 , 是在博客【W(wǎng)indows 逆向】使用 CE 工具挖掘關(guān)鍵數(shù)據(jù)內(nèi)存真實(shí)地址 ( 查找子彈數(shù)據(jù)的動(dòng)態(tài)地址 | 查找子彈數(shù)據(jù)的靜態(tài)地址 | 靜態(tài)地址分析 | 完整流程 ) ★ 中獲取到的靜態(tài)地址 ;

搜索到的動(dòng)態(tài)地址為 05A59544 ;

調(diào)試 05A59544 內(nèi)存地址 , 得到 05A59478 基址 ;

指針基址可能是 =05A59478 05C1C0ED - mov eax,[esi+000000CC]

搜索 05A59478 基址 , 得到 0E1DC144 內(nèi)存地址 ;

調(diào)試 0E1DC144 內(nèi)存地址 , 得到 0E1DBB70 基址 ;

指針基址可能是 =0E1DBB70 05C03A42 - mov eax,[esi+000005D4]

搜索 0E1DBB70 基址 , 得到 1032FC50 內(nèi)存地址 ;

調(diào)試 1032FC50 內(nèi)存地址 , 得到 1032FBD4 基址 ;

指針基址可能是 =1032FBD4 05C13D3C - mov eax,[eax+7C]

搜索 1032FBD4 基址 , 得到 cstrike.exe+1100ABC 靜態(tài)地址 ;

構(gòu)造如下指針 , 指向了子彈數(shù)據(jù)所在的動(dòng)態(tài)地址 05A59544 ;

二、第一層靜態(tài)地址 cstrike.exe+1100ABC

cstrike.exe+1100ABC 靜態(tài)地址的內(nèi)存地址值為 02500ABC , 該內(nèi)存地址存儲(chǔ)的值為 1032FBD4 ;

三、第二層地址

第一層靜態(tài)地址指向的內(nèi)存地址存儲(chǔ)的值為 1032FBD4 ;

第二層地址如下圖 :

該 1032FBD4 值加上 7C 構(gòu)成一個(gè)新地址 1032FC50 , 該 1032FC50 地址中存儲(chǔ)的值是 0E1DBB70 ;

四、第三層地址

第二層地址指向的內(nèi)存地址存儲(chǔ)的值為 0E1DBB70 ;

第三層地址如下圖 :

該 0E1DBB70 值加上 5D4 構(gòu)成一個(gè)新地址 0E1DC144 , 該 0E1DC144 地址中存儲(chǔ)的值是 05A59478 ;

五、第四層地址

第三層地址指向的內(nèi)存地址存儲(chǔ)的值為 05A59478 ;

第四層地址如下圖 :

該 05A59478 值加上 CC 構(gòu)成一個(gè)新地址 0E1DC144 , 該 0E1DC144 地址中存儲(chǔ)的值是 05A59544 ;

六、靜態(tài)地址到動(dòng)態(tài)地址的尋址 + 偏移過(guò)程總結(jié)

這個(gè) 05A59544 地址 , 就是最終的子彈數(shù)據(jù)存儲(chǔ)的動(dòng)態(tài)地址 ;

逆向的過(guò)程就是根據(jù) 動(dòng)態(tài)地址 05A59544 地址 , 逐步分析匯編代碼調(diào)用 , 最終追溯到靜態(tài)地址 cstrike.exe+1100ABC ;

程序正向運(yùn)行時(shí) , 根據(jù)靜態(tài)地址 , 及尋址 + 偏移等多步操作 , 就可以得到正確的子彈數(shù)據(jù)的動(dòng)態(tài)地址 ;

每次啟動(dòng)應(yīng)用 , 得到的動(dòng)態(tài)地址值是不同的 ;

總結(jié)

以上是生活随笔為你收集整理的【Windows 逆向】使用 CE 工具挖掘关键数据内存真实地址 ( 逐层分析分析静态地址到动态地址的寻址 + 偏移过程 ) ★的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。

上一篇：【Windows 逆向】使用 CE 工具
下一篇：【Windows 逆向】Cheat En