OD 加载进程问题

下断在创建进程的函数

CreateProcess

，在中断在该函数处，设置eip指针到函数的retn，使堆栈平衡。eax

返回值

，可以设置为一个非0值，表示创建进程成功。

此时可以用另一个od打开新的进程即可。

058E2F1C

静态地址 cstrike.exe+1100ABC , 偏移量分别是 7c , 5d4 , cc

在这里插入图片描述

在这里插入图片描述

二、使用 OD 工具附加游戏进程

尝试使用 OD 查找 子d数据动态地址 058E2F1C , 对应的静态地址 , 即基地址

关闭 CE , 注意不能关闭游戏 , 游戏一旦关闭 , 下一次打开 , 动态地址就不是 058E2F1C 了 , 就会出现一个新的动态地址

先运行 OD 调试器 , 注意 , 运行 OD 工具时 , 要以管理员身份运行

在这里插入图片描述

先附加程序 ,

在这里插入图片描述

在进程窗口中 , 选择要附加的进程

在这里插入图片描述

注意 , 进入调试界面第一件事就是点击 运行 按钮 在这里插入图片描述 , 否则 游戏进程 会一直卡住

在这里插入图片描述

在这里插入图片描述

三、在 OD 工具中查看 058E2F1C 地址数据

在 OD 工具的 Command 命令框中 , 输入

dd 058E2F1C

1

1

命令 , 该命令就是查看访问 058E2F1C 地址的数据

---