CE 注入汇编

分配一块内存,并执行代码,通过 Add Address Manually 按钮可以查看 MyData 地址存放的数据,可以用来测试 CALL。 采用 Cheat Engine Table 可以方便的通过开关控制脚本,注入 DLL 也可以通过开关控制。 [ENABLE] alloc(MyCode, 512) // allocate 512 bytes inside open process and …

Cheat Engine 的 AOB 脚本

CE 的脚本可以让你分配一块内存用于存放代码,并 hook 原始指令跳转到新代码段,最后再跳转回 hook 点字节数的下一个地址 脚本可以使用 label 标记 脚本可以分配全局内存地址指针来保存数据(可能是地址基址) 在某些时刻比 OD 更好使,patch 字节,bypass 更合适 Cheat Engine:Auto Assembler Auto Assembler – Comma …

外挂读进程数据

进程数据在各个段上,包括栈、堆和线程栈 访问数据需要基址加偏移 先用 CE 扫一下数据,看看数据地址的分布,看在进程地址空间的那个段上 如果数据在栈上,那么基址就是栈的上限,偏移就是栈上限地址 – 地址,可以从进程的 TEB 段获取线程栈基址 如果数据在堆上,那么可以通过 CreateToolhelp32Snapshot Heap32ListFirst Heap32ListNext 枚举堆地址,然 …

windbg 攻略

windbg 可断在系统函数上 (windows api) 上,查看堆栈数据,然后继续执行。 1. 为函数调用 TRACE 一条信息 bp 0x41414141 “.echo in function x” 2. 输出 API 的参数 bp nt!ZwCreateFile “du poi(poi(esp+10)+0xC);g” bp kernel32!LoadLibraryExA “da poi(e …