Cheat Engine 和 OllyDBG 常用操作

一、Cheat Engine

可以随意下载一个

通过CE打开进程

1、附加进程，点击图中的 计算机图标弹出对话框，如下

2、搜索内容(勾选UTF-16) 否则搜索不到包含中文的内容

数据类型选择字符串，数值填入想要输入的内容。

搜索内容如果包含中文则勾选UTF-16选项

例如有一个微信好友名称带了中文：张三

则数据类型：字符串

数值输入：张三

勾选：UTF-16

不然就会搜索不到

3、基地址 (绿色)

上图中讲到基地址，基地址是一块稳定的内存，是我们重点关注的内容，如果地址为黑色则说明该地址是动态地址，不稳定的地址。

当我们找到稳定的基地址后，常常会结合基地址计算一下我们想要找的内容的地址，得到便宜地址

例如，内存中有一块内容是表示我的微信名，如果知道偏移地址，那么可以根据基地址+偏移地址得到 我的微信名，所以这里的基址很重要

4、查看内存中，聚焦后快捷键：ctrl + g 可以跳转到指定地址查看内存

点击查看内存，聚焦下方的内存试图，然后快捷键chtl + g，填入要查看的内存。

如下操作

5、得到dll的基地址

二、OllyDBG

使用 OllyDBG 调试exe程序有2个选项，分别对应下面的打开 和 附加

2者区别在于打开是程序还没跑起来，附加则是程序已经在运行中，所以附加是更常用的操作。

一般我们都是打开一个程序，例如微信，然后用OD进行调试

1、附加 到一个正在运行的进程

文件 ==》附加 =》根据对话框找到想要附加的程序

附加程序后，程序会属于暂停状态，点击运行即可让程序恢复运行状态

如果点击运行按钮，程序还不可用，则点击 t 按钮，右键resume all thread让所有线程都属于激活状态

2、主界面介绍

当我们附加完一个程序的时候，会有下面的窗口，分为4块区域

1. 汇编指令
2. 寄存器 做运算的时候会用到
3. 内存
4. 栈

3、查看指定内存内容

dd（ascii码）、dc（中文）、du(Unicode编码)

例如Command中输入：dc 00f2e8b0

4、断点，快捷键F2,鼠标光标按快捷键设断点

F2是加断点

按钮b是现实所有的断点，

按钮c是回到主界面