文章目录
- debug - 只要在内存中有显示相关的实际数据, 就会被CE找到
- 概述
- 笔记
- demo实现
- demo运行效果
- 用CE查找实际数据地址
- 找到自己的调试点 - 方法1
- 找到自己的调试点 - 方法2
- 打补丁
- 备注
- END
debug - 只要在内存中有显示相关的实际数据, 就会被CE找到
概述
自己写了一个demo, 想验证一下, 如果不让显示值和实际值是一个地址(不直接使用结构, 而是用函数从结构中取值, 然后通过函数返回值给显示值用, 是否可以给CE增加一些麻烦? 发现不好使:P 因为实际值也是有地址的, 一样会被CE找到…
CE在查找/定位数据方面, 真是利器.
我在demo中, 还做了显示值和实际值的比对, 如果显示值被改了, 就退出程序.
结果, 程序直接跑. 用CE冻结找到的内存值时, 居然检测不到显示值和实际值不一样. 只有在用CE调试后, 才能检测到显示值和实际值不一样…, 可能是自己写的有bug.
也有可能被锁定的是实际数据, 已经过了作弊检查那个函数.
也有可能, 找到的都不是显示值的地址. 所以能通过作弊检查的函数. 因为每次都只激活一个CE表项.
笔记
demo实现
/*!
* \file Defence_CE_FindData.cpp
* \brief 防止CheatEngine查找数据的方法
* CE擅长查找数据, 试试能不能给CE找点麻烦(用函数来取显示数据的地址/用函数取要显示的值, 而不是直接用结构指针).
*
* \note 编程环境: vs2019 x64 debug console
*/#include <Windows.h>#include <stdlib.h>
#include <stdio.h>
#include <string.h>
#include <cstdint>// 游戏UI中元素的显示用地址(e.g. 先使用控件的对象指针)
class game_addr_for_display
{
public:game_addr_for_display() { m_addr = NULL; }void set(float* addr) { m_addr = addr; }float* get() { return m_addr; }private:float* m_addr;
};class game_real_data
{
public:game_real_data() { m_data = .0f; }void set(float data) { m_data = data; }float get() { return m_data; }void res_inc() { m_data++; }private:float m_data;
};class game
{
public:void init(float* _addr_to_disp){m_disp.set(_addr_to_disp);}void run(){printf("please use CE modify real data, not display data, if APP exit(), means failed\n");do {Sleep(1000);m_data.res_inc(); // game resouce inc by some reasonshow_data();if (check_CE_modify()){printf("maybe memory was modify by some tools\n");break;}} while (true);}void show_data(){*m_disp.get() = m_data.get();printf("res disp data = %f\n", *m_disp.get());}bool check_CE_modify(){float f_disp = *m_disp.get();float f_real = m_data.get();return (((f_disp - f_real) < 0.001) ? false : true);}private:game_addr_for_display m_disp;game_real_data m_data;
};int main()
{float val_to_disp;game _game;_game.init(&val_to_disp);_game.run(); // entry game loopsystem("pause");return 0;
}demo运行效果
用CE查找实际数据地址
运行程序
用CE附加程序
CE高级选项暂停目标程序.
查找(浮点数 + 精确值), 填入的值为UI上显示的值为进程暂停后最后的UI值. e.g. 35
用CE恢复目标进程, 让程序接着跑. 等UI显示的值变化了, 再次暂停目标进程, 再Next查找
如果找到的比较多, 就重复上步, 直到找到的值较少.
我这里最后最少只能找到4个, 将这4个都加入CE表.
恢复进程, 让程序正常跑起来.
逐个激活找到的单条CE表项, 每次只激活一条CE表项.
观察是否会使UI上显示的值不变.
最后确定可以使UI值不变的那条CE表项
现在锁定的那条CE表项, 锁定的值为179, UI值是180. 综合自己写的demo逻辑, 可知, 现在锁定的CE表项是实际值.
用函数返回实际值, 再赋值给UI, 根本对CE没用:)
确定了影响UI显示的确定CE表项后, 将该项的激活选择去掉, 让程序正常跑.
查找该表项对应的写入指令, 如果查到了写入这个地址的指令, 就看反汇编, 应该使用实际数据的逻辑就在附近.
我这里只查到一条指令, 且看到这条指令在不断的更新这个地址(CNT = 12, 不断的再更新UI的值, 使变化的实际数据更新到UI).
如果查找到多条指令, 都逐条看看反汇编, 看看哪条是使用实际数据来更新UI值的实现.
如果找到多条指令, 可以用指令写入次数来判断, 哪条指令是干活的实际指令.
进入反汇编窗口, 惊讶. 因为程序是自己写的, 可以很清楚的看懂逻辑, 这里正是更新实际数据的实现
逻辑如下
从保存实际数据的结构中取得实际值(这个数据结构是类的指针, 类数据地址针对类指针有个偏移)
将取到的实际数据放入浮点寄存器.
将浮点寄存器的值 + 1
将更新后的实际数据(在浮点寄存器xmm0中), 更新(回写)到类成员变量中给.
可知, 实际数据(类成员变量)的地址就是 [rbp + 0xE0].
在此处反汇编处上面找一处合适的语句(开始取实际数据的值, 还没开始执行更新实际值的逻辑), 下断点, 手工记录推算一下.
RBP = B083EFF890
RBP + 0xE0 = B083EFF970
[RBP + 0xE0] => 0xB083EFFAC0
执行一句, 走到APP+11B16
RAX = B083EFFAC0, 和推算的一样, 这就是[RBP + 0xE0]的值.
在内存区, 去看地址 B083EFFAC0中的值
[ B083EFFAC0] = 0x44FAE000
用自己做的浮点计算器(小工具 - 浮点计算器)看一下对应的实际浮点值是多少?
可知, 现在实际值是2007.0
因为现在逻辑是实际值刚取到, 还没更新呢, 应该是UI值一样. 看了一下, 是这样.
将自己找到的这个合适的补丁点, 在单步调试的界面, 就加入codeList, 后续打补丁(或者供后续调试)用, 防止后续万一找不到了自己辛苦找到的调试点.
向下单步执行, 执行完实际数据+1操作后, 看一下xmm0寄存器, 可以看到实际值已经变为了2008.0
再单步执行到给实际值地址赋值后, 看一下更新后的值, 和自己推算的一样.
找到自己的调试点 - 方法1
在codelist中找到自己的调试点, 去反汇编区.
找到自己的调试点 - 方法2
如果下次想根据笔记直接找到调试点(如果脚本没保存), 可以搜索2进制指令
如果搜索到的不是唯一一条, 将目标语句上下文的关联汇编语句加进入一起搜索, 直到能搜索到自己的唯一调试点
48 8B 85 E0 00 00 00 F3 0F 10 00 F3 0F 58 05 AA 92 00 00
搜索的每个字节之间用空格分开, 否则搜索报错.
打补丁
打补丁, 让实际数据直接锁定为9999.0
合适的补丁点为将实际数据取出的那句.
补丁效果
补丁代码如下:
[ENABLE]
//code from here to '[DISABLE]' will be used to enable the cheat
alloc(newmem,2048,"Defence_CE_FindData.exe"+11B16)
label(returnhere)
label(originalcode)
label(exit)newmem: //this is allocated memory, you have read,write,execute access
//place your code here
// 打补丁, 让实际数据直接锁定为9999mov [rax], (float)9999.0originalcode:
movss xmm0,[rax]
addss xmm0,[Defence_CE_FindData.exe+1ADCC]exit:
jmp returnhere"Defence_CE_FindData.exe"+11B16:
jmp newmem
nop 7
returnhere:[DISABLE]
//code from here till the end of the code will be used to disable the cheat
dealloc(newmem)
"Defence_CE_FindData.exe"+11B16:
db F3 0F 10 00 F3 0F 58 05 AA 92 00 00
//movss xmm0,[rax]
//addss xmm0,[Defence_CE_FindData.exe+1ADCC]
备注
CE适合用来找线索(由可见的外在现象找实际数据的操作逻辑), 缩小调试关注的范围.
找到关键代码附近时, 再用IDA来学习.
如果只是关心数据逻辑, 找到关键数据后, 直接打补丁, 就O了.
如果要打补丁/查找数据, 用CE来做是很方便的.
