【技术笔记】Cheat Engine 内存搜索方法论:从入门到进阶
在进行逆向工程或游戏漏洞研究时,寻找目标数值的内存地址是最基础也最关键的一步。本文总结了基于功能划分的三大内存搜索策略。
一、 已知数值搜索 (Exact Value Search)
当数值直接显示在游戏界面(GUI)上时,这是最简单的情况。
1. 常见数据类型选择
4 Bytes (Int32):最常用的整数类型(如:弹药、金币、技能点)。
8 Bytes (Int64):用于超过 21 亿的大数值(如:大型模拟游戏中的总预算)。
Float / Double:浮点数,用于带有小数点的数值(如:坐标、血量百分比)。
String:文本数据(如:角色名、道具 ID)。
2. 避坑指南:UI 显示与内存存储的差异
有时候搜索精确数值找不到,可能是因为:
隐藏缩放:UI 显示
14.50,内存里可能存的是整数1450(存入时乘了 100,读取时除以 100)。显示舍入:UI 显示
100,但内存里可能是99.843。此时应尝试搜索浮点数或使用“介于两者之间”的搜索方式。
二、 差异化搜索 (Differential Search)
当数值被加密、隐藏或没有具体数字显示(如血条)时,需要观察数值的变化趋势。
1. 已知动态变化 (Known Dynamics)
通过初始化为Unknown initial value,然后根据操作进行过滤:
数值增加/减少 (Increased/Decreased value):血条减少、经验增加。
数值未变 (Unchanged value):排除那些随时间自动变化的“杂音”地址。
反向逻辑陷阱:有些游戏内存里存的是“已损失的血量”而非“当前血量”。如果搜索“减少”搜不到,试着搜“增加”。
2. 未知动态,但已知发生改变 (Changed value)
用于那些无法量化变化,但确定已更新的情况:
物品栏位置:交换两个道具的位置。
状态触发器:角色从“地面”变为“空中”。
密钥更新:加密解密时的 XOR 密钥变换。
三、 极端情况:“黑盒”搜索策略
如果数值完全不可见、动态变化且搜索不到,说明存在高强度混淆或复杂结构。
1. 空间局部性原理 (Spatial Locality)
逻辑上相关的变量(如 HP、MP、等级、坐标)通常在内存中被封装在同一个类或结构体里。
技巧:先找到容易找的坐标地址,然后在
Memory Viewer中观察附近的内存,往往能直接发现加密后的血量地址。
2. 功能追踪 (Functional Tracing)
不搜“值”,改搜“谁动了这个值”。
方法:使用 CE 的
Find out what writes to this address功能。高级工具:利用
Ultimap或Code Tracing追踪函数调用栈,找到处理核心逻辑的汇编指令,从而倒推加密算法或定位静态偏移。
总结建议
先简单后复杂:永远先从 4 字节精确搜索开始。
善用排除法:在角色静止时多次搜索
Unchanged value能过滤掉 90% 的无关干扰。理解引擎逻辑:搜索坐标时,Z 轴(高度)通常比 X/Y 轴更容易通过“增加/减少”来定位。
本文基于 Habr 社区《Методология: Поиск значений Cheat Engine》文章总结整理。