通过遍历寻找召唤僵尸的CALL,通过调用CALL出现自定义的僵尸,加速僵尸的出现。我们可以通过僵尸出现在屏幕中的个数来遍历寻找僵尸出现的CALL
- 僵尸CALL的遍历技巧:
- 首先打开CE->进入游戏开始新的游戏-> 直接搜索未知初始化数据
- 等待出现第一个僵尸 ->CE搜索-增加的数值 -> 回到游戏中
- 等待出现第二个僵尸 -> CE搜索增加的数值 ->然后杀死一个僵尸-> 搜索减少的数值
- CE中直接选择介于两者之间的 -> 输入 0 - 10 这个范围 -> 进一步筛查
按照上面的步骤依次筛查 ,最终会看到两个数值!
1.首先打开CE工具,等待开始游戏以后,我们直接搜索未知初始值,因为结果太大所以地址栏不会显示。
2.当屏幕上出现第一只僵尸以后,我们直接切回CE修改器,搜索增加的数值。
3.等待出现第二只僵尸以后,我们再次搜索增加的数值,经过二次排查以后,地址栏的地址变得更少了。
4.等待出现第三只僵尸以后,再次回到CE搜索增加的数值,经过第三次排查,地址又变小了很多。
5.等待小推车自动的杀死一个僵尸,或手动杀死一只,(我是等待小推车推死的),然后回到CE搜索减少的数值。
6.接着搜索未变动的数值,此时CE会显示连个地址,我们加入下方地址栏。
7.在CE数据窗口选中第一个地址,右键选择是什么改写了它,然后等待出现僵尸,会发现一条汇编代码,我们记下地址00471B57
接着在第二个地址上同样的操作,然后记下地址0041DE07。
8.我们直接OD载入吧,载入以后运行起来,然后到程序领空,并在00471B57,0041DE07两个地指处下两个F2断点。
9.回到游戏等待出现僵尸,观察发现第一个地址00471B57并不是出现僵尸的地址,我们取消这个断点,然后按下F9让游戏跑起来。
接着回到游戏,再次等待出现僵尸,观察(如下)地址发现,只要出现了僵尸游戏就会被断在0041DE07地址处,那就非常肯定这就是关键地址了。
上方代码,一般情况下应该不会有调用函数,因为这里是只是计数器,那么这个函数的作用应该仅仅只是一个僵尸计数函数,所以我们要返回到上一层。
10.我们直接RETN返回到上一层,会看到如下代码,直接在PUSH地址上下一个F2断点,然后运行游戏,回到游戏等待出现新的僵尸,这里我为了演示方便重新开了一局。
经过我的测试,上面的参数经过不同程度的修改确实可以控制僵尸的出现位置,和僵尸的类型,但这里传递的参数还是过多,而且很多参数我们都用不到,那么我们直接出这个CALL,去外层看一下。
11.我们在以下位置直接下F2断点,等待出现僵尸OD会直接断下,我们经过单步调试然后记下这些地址参数。
上图的EDI是一个动态地址,因为他是僵尸对象,所以每次程序运行都会发生变化,如果想用代码注入器注入代码的话,则需要找到EDI的基地址,接下来我们将使用CE搜索EDI的基址和偏移。
12.这里我们使用X32dbg调试器,因为OD默认无法脱离进程,导致无法使用CE下断点,直接使用x32dbg附加游戏进程然后运行,并在00413055的位置下一个F2断点,回到游戏等待出现僵尸,然后x32dbg会自动断下,我们单步F8并记下ESI寄存器参数。
如上我们只需要记下143DF008然后,选择文件,选择脱离进程即可。
13.打开CE附加游戏进程,并搜索十六进制143DF008,多搜索几次排除一些干扰,然后选择几个看着顺眼的地址然后加入到下方地址列表。
14.直接在第二个地址上下一个硬件访问断点,然后会发现有一堆数据,此处选择第一个然后单击详细信息,发现此处的偏移地址是00768然后记下EDI的地址00FE40E8,记下以后关闭窗口。
15.此处我们已经发现了基地址,我们直接记下来吧 006A9F38偏移是768指向的就是僵尸的对象地址。
16.使用代码注入器测试一下效果。
转到召唤僵尸CALL:[00413055]执行到返回出CALL 在004140C9的地方直接给mov eax,1
