一、寻找阳光
第一步:打开ce选择进程植物大战僵尸。
第二步:初始阳光值为150,输入150,点击首次扫描,显示结果。
第三步:消耗(或者增加)阳光值,使阳光值产生变化为50,输入50,点击再次扫描,显示结果。
第四步:单击右键,选择改变该值,进行阳光值的修改。
二、找出阳光基址
右键单击,阳光内存地址,点击什么访问了该地址。
找出偏移量,和可能的地址。
点击新的扫描,勾选16进制,输入可能的地址,首次扫描。
重复操作,找出绿色的基址,点击手动添加地址。
点击指针,找出是什么修改了地址。
三、阳光产出速率
我们首次扫描未变动的初始值,然后我们进行扫描减少的数值,因为阳光产出会有CD
当阳光发光的时候,生成阳光,我们选择增大的数值,因为她CD增加了
然后我们再次搜索减少的数值
最终得到一个阳光产出CD值,我们将它修改0,阳光不断产出
我们可以找到结构体,很明显,值为我们修改的1000
经过测试,这个为该第一行第一列的植物的血量,为300
四、无限掉落阳光
下坠的阳光 我们刚出现阳光,搜索未知的初始值,然后我们选择减少的数值
然后我们搜索减少的数值
找到了地址16B8EAF8 偏移量 00005538
再次寻找029CA860 偏移量0768
修改后为1,成功
五、自动收集阳光
找到阳光的内存地址。
点击什么改写了该地址,然后收集一次阳光。
点击停止,显示反汇编程序,点击调试,设置断点,再次收集阳光。自动汇编,点击模板,选择CT表框架代码,再选择模板代码注入。
将jne修改为jmp,关闭断点,解放双手,自动收集。
自动收集+无限掉落
六、僵尸血量
首先我们让他被打一次,扫描一次减少的数值,
找到访问之后,
进行再次查询
七、关卡跳跃
当我们通关后,扫描当前关卡
然后我们修改为5,发现退回到5关了
跳关,发现计数为1
偏移量24 我们接着往上找
然后我们找到基址和偏移
八、子弹发射
我们选择一个植物,选择第三关
我们使用变速精灵修改0.1
然后开始选择未知的初始值,然后子弹发射出去,我们选择减少的数值
同时 猜测范围应该小于2000
射出子弹的一瞬间,选择增加的数值
改动数值后,子弹不在发射,我们对他进行汇编修改
点击什么改写了他
我们查看反汇编
选择自动注入
跳转到这里0045f8A9
我们把代码修改为-04,射速超快
九、植物基址
我们假设植物的冷却刷新由0 和 1来决定,那么我们可以进行不间断搜索
首先确保三个卡槽处于正常状态,我们进行新的扫描,点击豌豆射手,然后进行搜索0
处于刷新状态,我们修改为0进行查询
之后,010101 不间断刷新
我们修改之后,仍有30个无法确认,我们选择寻找一个特殊值
我们将植物,拿起,放下,发现有改写的东西
mov byte ptr [eax+ecx+70],01 也就是他将这个置换为1
EAX 为000000,ecx为108B9398 还有70的偏移量,ecx和70两个偏移量,我们先按下不表
我们去CE中搜索整个地址
我们只找到一处地址
我们点击,什么访问了这个地址
点击,放下植物,就会有很多
下一个偏移量为00000144 EDI为12aada50
我们发现有很多,然后我们对他进行逐个查看,看放置植物是否会对他发生改变
发现有一个特殊的,上面很多都是变化的,我们放置植物刷新后,留下了最新的固定地址
mov esi,[esi+00000768]
偏移量 00000768
我们再去搜索试试02571130
我们搜索到四个基址
添加后锁定为1
然后我们去寻找第二个基址
同理找到一个70偏移量的植物
我们将几个基址进行尝试后,发现只有一个可以得出数值
这时候我们发现,找到的,都是原来第一个值的基址,那么到底有什么问题呢?
原来在这里
这个eax就是偏移量,就是为了查看植物修改而来的,那么我们增加70+50(这里两个都是16进制)也就是C0的偏移再重新看看
那么为什么不能多加一个指针呢?因为加一个指针就跨段了,很明现eax 和70 都在一个ip之中,所以我们不能跨段
