高级内存取证:游戏数据定位与更新应对
1. 定位玩家生命值地址
在游戏中,我们常常需要定位特定数据的地址,比如玩家的生命值。以如下代码为例:
struct PlayerVital { int current, maximum; }; PlayerVital health; // ... printString("Health: %d of %d\n", health.current, health.maximum);从这段代码可以看出,PlayerVital结构体包含当前值和最大值两个属性,health作为该结构体的实例,具备同样的属性。通过代码我们能推断出health用于显示玩家的生命值信息。
即便没有代码,仅从游戏界面显示的生命值文本,我们也能直观地得出类似结论。为了不使用内存扫描器来找到生命值地址,我们可以利用“Health”和“of”这两个字符串。下面是使用 OllyDbg 追踪生命值结构的步骤:
1. 打开 OllyDbg 并将其附加到可执行文件(如Chapter5_AdvancedMemoryForensics_Scanning.exe)。
2. 打开 OllyDbg 的可执行模块窗口,双击主模块(在示例中,主模块是模块窗口中唯一的.exe文件)。
3. CPU 窗口弹出后,在反汇编器窗格中右键单击,选择“Search for -> All referenced
)
