009-CE分析基址偏移-精确数值【瑞客论坛 www.ruike1.com】.txt

009-CE分析基址偏移示例 2021在线班 郁金香灬老师 QQ 150330575 交流群:158280115 "gtutorial-i386.exe"+2D88C0]+494]+14]+1c [[["gtutorial-x86_64.exe"+3CCD20]+7C0]+28]+24 2021在线班 郁金香灬老师 QQ 150330575 交流群:158280115 学习目标: 熟悉CE工具来分析基址偏移 思路 1、分析目标数值内存地址 2、在CE中选中找到的内存地址,F5查找访问的代码，从而分析出偏移 3、循环第1步和第2步分析出所有偏移，直到找到最终的基址 [[PlantsVsZombie.exe+2A9EC0]+768]+5560 [[6A9EC0]+768]+5560 PlantsVsZombie.exe+89825: 0048981D - 84 C0 - test al,al 0048981F - 0F85 0E010000 - jne PlantsVsZombie.exe+89933 00489825 - 8B 86 60550000 - mov eax,[esi+00005560] <<第一个偏移 0048982B - 33 C9 - xor ecx,ecx 0048982D - 85 C0 - test eax,eax EAX=00000BD9 EBX=00000002 ECX=00000000 EDX=0940E7C0 ESI=15E6B230 再次进入 第1个步骤 EDI=13051938 ESP=00189790 PlantsVsZombie.exe+52673: 0045266A - 80 BF CF040000 00 - cmp byte ptr [edi+000004CF],00 00452671 - 74 28 - je PlantsVsZombie.exe+5269B 00452673 - 8B B7 68070000 - mov esi,[edi+00000768] << 第二偏移 00452679 - 85 F6 - test esi,esi 0045267B - 74 1E - je PlantsVsZombie.exe+5269B EAX=00452650 EBX=0018FD00 ECX=02279E38 EDX=00667BA0 ESI=15E6B230 EDI=02279E38 再次进入 第1步骤 ESP=0018FC60 EBP=00000001 EIP=00452679 [PlantsVsZombie.exe+2A9EC0]=edi [[PlantsVsZombie.exe+2A9EC0]+768]==[edi+00000768]==esi [[[PlantsVsZombie.exe+2A9EC0]+768]+00005560] [[6A9EC0]+768]+5560 0040F831 | 8B0D C09E6A00 | mov ecx,dword ptr ds:[6A9EC0] | 0040F837 | 8B89 F8070000 | mov ecx,dword ptr ds:[ecx+7F8] | 0040F83D | 83F9 14 | cmp ecx,14 | PlantsVsZombie.exe+F831 - 8B 0D C09E6A00 - mov ecx,[PlantsVsZombie.exe+2A9EC0] PlantsVsZombie.exe+F837 - 8B 89 F8070000 - mov ecx,[ecx+000007F8] PlantsVsZombie.exe+F83D - 83 F9 14 - cmp ecx,14 PlantsVsZombie.exe+2A9EC0 GetMoudleHandle("PlantsVsZombie.exe")+2A9EC0