数据分析之CE找数据大法

一．基本介绍

CE的全称为Cheat Engine，是一款内存修改编辑工具，其官网是http://www.cheatengine.org，可以在其官网下载到最新的CE工具，目前最新版本是Cheat Engine6.5。CE同时也是一款开源的工具，使用者可以在git中下载源代码： https://github.com/cheat-engine/cheat-engine。

CE的功能包括有16进制编辑，反汇编程序，内存查找工具。与同类修改工具相比，它具有强大的反汇编功能及调试功能，可以附加到游戏中进行调试，所以是分析游戏的工具之一。

二．CE内存搜索功能的使用

1. 精确搜索：

CE的主界面如下图所示，使用CE搜索游戏数据，首先需要将CE附加到游戏进程中。

点击左上角菜单下发的绿色方框的按钮，打开进程列表对话框。

选择相应的游戏并点击打开，此时，就可以在数值搜索框中输入需要搜索的数据。比如搜索游戏中显示角色血量值的存放地址：

如上图血量所示，在CE的搜索数值输入框中输入“生命值”12393，选择扫描类型为“精确数值”，点击“新的扫描”开始第一次扫描。

搜索出的匹配值有98个，由于结果较多，这个时候不能确定正确的存放地址，需要再次搜索。

这个时候被怪打一下（使血量变化），输入新的生命值，点击“再次搜索”，此时的搜索值可以缩小到3个。

此时经过测试就可以发现第一个地址就是存放游戏界面中血量显示的地址。

2. 模糊搜索

如果搜索数值不确定的话，就需要使用模糊搜索的方法。使用模糊搜索的情况主要有具体数值不显示在游戏界面上，比如血量用百分比表示。模糊搜索的类型比较多，如下图所示：

同样以搜索生命值为例，首次扫描时选择“未知的初始值”

点击“首次扫描”，这个时候会出现非常多的扫描结果。这个时候去被怪物打一下减少血量后，由于此时数值是减小的，所以在扫描类型中选择“减少的数值”，然后点击再次扫描：

重复多次扫描后，即可找到存放的生命值的地址。

三．代码跟踪

代码跟踪比较常见的用途是找基址，游戏中任何数据都在内存中存在，比如角色的血，蓝，等级等数据，这些数值存放的方式一般是对象+偏移，在C++就是以指针的方式表示，如果需要知道对象在内存中的存放地址，就需要找到对象的基址。

需要知道对象的地址或数据的偏移，常见的方法就是找到访问或改变这个值的指令，可以使用Cheat Engine的反汇编及调试功能。

如上例的数据搜索找到的生命值存放的地址，将其放到CE最下方地址列表中，右键点击列表中的地址项，如下图所示，“找出是什么访问了这个地址”和“找出是什么改下了这个地址”分别可以跟踪生命值在代码的什么地方被读取和改写。

例如需要找到在血量被改写的地方，先在地址列表中右键点击“找出是什么改写了这个地址”，此时CE会附加到其内置的调试器，并自动列入对生命值进行写入的代码。

此时，ecx=0x22B96D34是对象的地址，血量通过eax赋值到+41Ch的地址漂移处。如上图所示，所以一级指针ecx的偏移+41Ch地址处。Ecx的赋值为上一条指令mov ecx, [esi+10]，其二级指针是esi的偏移+10h地址处，再往上一条指令mov esi, [esi+4FA0]，可以确定三级指针为esi，偏移为+4FA0h，以此类推，就可以找到血量存放的基址。

*转载请注明来自游戏安全实验室（GSLAB.QQ.COM）