ini adalah originaly sebuah replie saya tidak pernah diposting ... Karena server turun pagi ini (atau happend apa pun).
--------- Untuk mencari pointer:
Katakanlah Anda punya alamat, tidak peduli apa, tapi mari kita mengatakan itu untuk kesehatan. Klik kanan dan pilih "mencari tahu apa menulis ke pointer ini". Tertabrak.
Anda akan memiliki beberapa kode, mungkin lebih potongan ... mereka bisa menjadi sesuatu seperti ini:
kode:
Desember [eax + 65]
mov [ECI + 65], 300
inc [eax + 65]
Jadi, jelas, ada sesuatu dengan 65. Hal ini offset. Sekarang, jika Anda klik dua kali salah satu baris, jendela akan pop-up. Ini akan memberitahu Anda nilai-nilai eax, ECI dan semua yang lain. Menemukan salah satu yang Anda butuhkan (untuk pertama akan eax, ECI kedua dan ketiga eax lagi). Sekarang, mulai scan baru, 4 byte dan centang kotak HEX. Pindai nilai bahwa kita hanya melihat ke atas.
Skenario terburuk: Anda mendapatkan thousends dari adresses.
Terbaik: Anda mendapatkan satu
Jika Anda mendapatkan satu alamat itu sederhana ... Jika Anda punya lebih mendapat sedikit lebih keras. Lagi pula, mencari adresses hijau dalam daftar pencarian. Mereka adalah statis (artinya tidak berubah). Jika tidak ada hijau, dari sekedar melanjutkan dengan hitam.
Klik tombol "add manualy". Centang kotak pointer dan masukkan alamat kami hanya menemukan. Dalam offset, masukkan 65. Selesai.
Sekarang, jika Anda tidak memiliki alamat hijau, ulangi untuk pointer dari awal. Tapi pastikan Anda mencari tahu apa menulis ke pointer, bukan nilai menunjuk.
--------
Ada cara lain ... Katakanlah Anda menemukan ini:
mov [eax + 65], 300
Dan Anda tidak bisa menemukan pointer. Klik "show assembler". Garis paling atas adalah kode yang kita temukan. Gulir ke atas sedikit, dan Anda mungkin menemukan garis menulis untuk EAX .. misalnya, Anda mungkin melihat ini:
kode:
mov eax, 0026F286
mov [eax + 65], 300
Sekarang Anda perlu tahu apa [] adalah untuk. Ketika sesuatu adalah antara [], itu meens itu diperlakukan sebagai pointer.
jadi
kode:
mov eax, 300 // bergerak 300 ke eax
mov [eax], 300 // bergerak 300 ke alamat disimpan dalam eax.
Kembali ke contoh. eax sekarang memegang 0026F286. Ini mungkin merupakan alamat (dan dalam kasus ini)
Sekarang, "mov [eax], 300" akan menulis ke alamat yang tersimpan dalam eax, yang kita hanya melihat. Jadi, pointer kita harus 0026F286 dengan offset 65.
--------------------
juga memungkinkan untuk memperlakukan adresses sebagai pointer, bukannya register. jadi
mov [0026F286], 300
adalah sama dengan
mov eax, 0026F286
mov [eax], 300
Masalah dengan cara ini adalah bahwa Anda tidak dapat menggunakan offset .. unles "mov [0026F286] 65300" diperbolehkan. Tapi tidak pasti ...
--------- Untuk mencari pointer:
Katakanlah Anda punya alamat, tidak peduli apa, tapi mari kita mengatakan itu untuk kesehatan. Klik kanan dan pilih "mencari tahu apa menulis ke pointer ini". Tertabrak.
Anda akan memiliki beberapa kode, mungkin lebih potongan ... mereka bisa menjadi sesuatu seperti ini:
kode:
Desember [eax + 65]
mov [ECI + 65], 300
inc [eax + 65]
Jadi, jelas, ada sesuatu dengan 65. Hal ini offset. Sekarang, jika Anda klik dua kali salah satu baris, jendela akan pop-up. Ini akan memberitahu Anda nilai-nilai eax, ECI dan semua yang lain. Menemukan salah satu yang Anda butuhkan (untuk pertama akan eax, ECI kedua dan ketiga eax lagi). Sekarang, mulai scan baru, 4 byte dan centang kotak HEX. Pindai nilai bahwa kita hanya melihat ke atas.
Skenario terburuk: Anda mendapatkan thousends dari adresses.
Terbaik: Anda mendapatkan satu
Jika Anda mendapatkan satu alamat itu sederhana ... Jika Anda punya lebih mendapat sedikit lebih keras. Lagi pula, mencari adresses hijau dalam daftar pencarian. Mereka adalah statis (artinya tidak berubah). Jika tidak ada hijau, dari sekedar melanjutkan dengan hitam.
Klik tombol "add manualy". Centang kotak pointer dan masukkan alamat kami hanya menemukan. Dalam offset, masukkan 65. Selesai.
Sekarang, jika Anda tidak memiliki alamat hijau, ulangi untuk pointer dari awal. Tapi pastikan Anda mencari tahu apa menulis ke pointer, bukan nilai menunjuk.
--------
Ada cara lain ... Katakanlah Anda menemukan ini:
mov [eax + 65], 300
Dan Anda tidak bisa menemukan pointer. Klik "show assembler". Garis paling atas adalah kode yang kita temukan. Gulir ke atas sedikit, dan Anda mungkin menemukan garis menulis untuk EAX .. misalnya, Anda mungkin melihat ini:
kode:
mov eax, 0026F286
mov [eax + 65], 300
Sekarang Anda perlu tahu apa [] adalah untuk. Ketika sesuatu adalah antara [], itu meens itu diperlakukan sebagai pointer.
jadi
kode:
mov eax, 300 // bergerak 300 ke eax
mov [eax], 300 // bergerak 300 ke alamat disimpan dalam eax.
Kembali ke contoh. eax sekarang memegang 0026F286. Ini mungkin merupakan alamat (dan dalam kasus ini)
Sekarang, "mov [eax], 300" akan menulis ke alamat yang tersimpan dalam eax, yang kita hanya melihat. Jadi, pointer kita harus 0026F286 dengan offset 65.
--------------------
juga memungkinkan untuk memperlakukan adresses sebagai pointer, bukannya register. jadi
mov [0026F286], 300
adalah sama dengan
mov eax, 0026F286
mov [eax], 300
Masalah dengan cara ini adalah bahwa Anda tidak dapat menggunakan offset .. unles "mov [0026F286] 65300" diperbolehkan. Tapi tidak pasti ...
