0x00前言

文章中的文字可能存在語法錯誤以及標點錯誤，請諒解；

如果在文章中發現程式碼錯誤或其它問題請告知，感謝！

0x01準備工具：

2.Visual Studio 2010

3.植物大戰殭屍

0x02實現過程

1.思路

我們開啟的每一個程式中，儲存資料的記憶體地址都會發生改變，但是程式的基址和偏移不會變。所謂基址，可以簡單理解為不會隨程式執行的起始時間和環境改變的地址，即全域性資料區的資料的地址。 所以，我們關閉遊戲再啟動，存放遊戲關鍵值的變數的地址不變。

所以現在我們利用cheat engine工具找到遊戲的基址和偏移，獲取到之後，再利用C語言中ReadProcessMemory（）和WriteProcessMemory（）進行修改地址所指向的值就可以了。

2.找到陽光值基址

首先開啟植物大戰殭屍遊戲：

然後開啟cheat engine，將植物大戰殭屍附加到該應用上：

接下來看一下游戲左上角的太陽值，將太陽值寫入value中，然後單擊First Scan：

此時在cheat engine中左側的內容區出現包含和剛才輸入值相同的資料行，然後回到遊戲，等待新的小太陽的出現，當撿到小太陽後，太陽值將發生改變，現在回到cheat engine中，觀察內容區Value列，看該列資料是否出現變化的行（出現變化的行也會自動標紅顯示，方便查詢）：

上圖中變化的行已經標記出來，為了確定該行和遊戲中的太陽值相關，多在遊戲中撿幾個小太陽，看看標記的Value列是否跟著遊戲改變，確定該地址和太陽值有關後，雙擊左鍵，將該行標記在最下對話方塊中，然後單擊右鍵，選擇“Find out what writes to this address”:

此時彈出一個對話方塊，對話方塊中沒有內容，此時回到遊戲中進行使用或收集太陽的操作，現在，對話方塊中出現數據操作的資訊。注意，當你撿太陽值是“add……”資訊，當你使用太陽值是“mov……”資訊，雙擊以觀察詳細資訊：

現在，在彈出對話方塊中觀察紅字部分：mov [edi + 00005560] ,esi，該指令意思是將esi的值傳遞給[edi + 00005600]所指的地址中，其中00005560為偏移量，為十六進位制數值。通過檢視edi的值得知，edi為1476A5B0（或者直接檢視The value……probaply 1476A5B0那一行提示），這樣，我們獲得了上級地址0x1476A5B0和偏移00005560。然後在The value……probaply 1476A5B0那一行提示右鍵複製上級地址值。

回到遊戲，繼續撿太陽或者使用太陽值，然後選擇左側對話方塊中從第一行開始選擇，右鍵選擇“Find out what accessses this address”，直到在彈出的對話方塊中有類似mov……的指令為止。

同前，此時得到偏移0000768，上級地址為0x0283A1F8，將左側對話方塊中的該行標記在最下對話方塊，關閉彈出的兩個對話方塊，開始新一次Scan，複製0283A1F8到value中，勾選Hex，然後單擊“First Scan”：

此時觀察左側對話方塊中有綠色的行，證明我們找到了一個綠色的靜態地址(綠色顯示的是基址)，現在選擇“Add Address Manually”，在彈出對話方塊中選擇 “Pointer”：

在彈出的對話方塊中將基址輸入的框中，然後單擊兩次“Add offset”（因為我們經過兩次的定址)，依次填入偏移，一次偏移為0x0000768，一次為0x00005560（從最近一次的偏移開始填），填寫完成後，檢視Address中的數值是否為遊戲中小太陽的值，如下圖：

我們現在理清一次思路：

由基址0x006A9EC0裡的值+0x768後是個地址，

該地址裡的值+0x5560就是儲存小太陽值的記憶體單元。

所以，現在我們找到了基址，然後在編寫程式碼時將該基址加上0x768以及0x5560就是小太陽的記憶體單元。

3程式碼

#include <stdio.h>
#include <windows.h>

#define SUN_SHINE_BASE_ADDR 0x006A9EC0					//陽光基址
#define SUN_SHINE_OFFSET_FIRST 0x768					//一級偏移
#define SUN_SHINE_OFFSET_SECOND 0x5560					//二級偏移值

int main()
{
	int modifySunshine = 0;
	DWORD ErrorInfo = 0;
	DWORD Size = 0;
	DWORD SunShineNum=0;								    //最後值
	DWORD PID = 0;
	DWORD SunShineBaseAddress = SUN_SHINE_BASE_ADDR;		//陽光基址

	DWORD SunShineBaseAddressValue = 0;						//陽光基址值

	DWORD SunShineOffsetFirst = SUN_SHINE_OFFSET_FIRST;		//一級偏移

	DWORD SunShineOffsetFirstValue = 0; 					//一級偏移值

	DWORD SunShineOffsetSecond = SUN_SHINE_OFFSET_SECOND;	//二級偏移

	HANDLE Process = 0;

	HWND hWinmine = FindWindowW(NULL, L"植物大戰殭屍中文版");	//找到視窗

	GetWindowThreadProcessId(hWinmine, &PID);				//獲取程序標識

	if (0 == PID)
	{
		printf_s("獲取PID失敗\n");
		return -1;
	}

	Process = OpenProcess(PROCESS_ALL_ACCESS, 0, PID);
	if (NULL  == Process )
	{
		printf_s("程序開啟失敗\n");
		ErrorInfo = GetLastError();
		return -1;
	}

	if (0 == ReadProcessMemory(Process, (LPVOID)SunShineBaseAddress, &SunShineBaseAddressValue, sizeof(DWORD), &Size))
	{
		printf_s("獲取基址失敗\n");
		ErrorInfo = GetLastError();
		return -1;
	}

	if (0 == ReadProcessMemory(Process, (LPVOID)(SunShineBaseAddressValue + SunShineOffsetFirst), &SunShineOffsetFirstValue, sizeof(DWORD), &Size))
	{
		printf_s("獲取一級偏移失敗\n");
		ErrorInfo = GetLastError();
		return -1;
	}

	if (0 == ReadProcessMemory(Process, (LPVOID)(SunShineOffsetFirstValue + SunShineOffsetSecond), &SunShineNum, sizeof(DWORD), &Size))
	{
		printf_s("獲取二級偏移失敗\n");
		ErrorInfo = GetLastError();
		return -1;
	}

	printf_s("SunShineNum:%d\n", SunShineNum);
	printf_s("輸入你要修改的值：");
	scanf_s("%d", &modifySunshine);

	WriteProcessMemory(Process, (LPVOID)(SunShineOffsetFirstValue + SunShineOffsetSecond), &modifySunshine, sizeof(DWORD), &Size);

	CloseHandle(Process);	//關閉控制代碼
	system("pause");
	return 0;
}

4執行結果

執行結果如下圖，成功修改了小太陽的值：

因為獲取的是靜態基址，所以就算遊戲關閉了，再開，也可以執行該程式碼進行修改。

以上。