《Windwos PE》1.3 动态调试工具

1.3.1 CE内存搜索工具

CE（Cheat Engine）是一个流行的内存修改和调试工具，它也包含了内存搜索功能。使用CE的内存搜索工具，您可以在运行中的进程中搜索特定的内存值，并对其进行修改。

■以下是使用CE进行内存搜索的一般步骤：

●启动CE：双击Cheat Engine可执行文件以启动CE。

●选择进程：在CE的主界面中，点击左上角的计算机图标按钮，选择您想要搜索的进程。这将使CE与该进程建立连接，以便进行内存搜索和修改。

●打开内存搜索器：在CE的菜单栏中，选择"Edit"（编辑）菜单，然后选择"Scan for values"（搜索值）选项，或使用快捷键Ctrl + F。

●设置搜索条件：在内存搜索器对话框中，您可以设置搜索条件：

1．选择要搜索的数据类型（例如整数、浮点数、字符串等）。

2．输入要搜索的具体数值或数值范围。

3．选择搜索方式（例如精确搜索、模糊搜索、增加/减少值等）。

●开始搜索：点击"First scan"（首次搜索）按钮开始搜索。CE将在选择的进程的内存空间中查找符合搜索条件的内存地址。

●分析搜索结果：CE将显示搜索结果列表，其中包含符合搜索条件的内存地址和对应的值。您可以在这些结果中查找您感兴趣的值。

●进行进一步的搜索和筛选：如果搜索结果很多，您可以在结果列表中继续进行进一步的搜索和筛选，以缩小范围。例如，您可以根据新的条件再次搜索，或在已有结果中过滤掉不符合要求的值。

●修改内存值：选择您要修改的内存地址，在CE的主界面中进行相应的修改操作。请注意，修改内存值可能会对进程的行为产生影响，请谨慎操作。

       CE内存搜索工具自带一个通关游戏教程Tutorial.exe，我们只需要按照教程操作一遍，基本就可以熟悉CE工具的使用方法了。接下来我们举例说明。

       第一步：运行Tutorial.exe，如图1-37所示。

图1-37 CE内存搜索工具使用游戏教程

       第二步：运行CE5.6汉化版，程序界面如图1-38所示。点击左上角“open”按钮，显示当前进程列表。

 

图1-38 使用CE打开进程

      

第三步：点击训练进程Tutorial.exe界面下一步，进入步骤2（精确值扫描），左下角的初始健康值为100，点击“打我”按钮，健康值变为95，如图1-39所示。

图1-39 精确值扫描训练

       第四步：在CE窗口，数据栏输入要查找的内存数据“95”，搜索类型设置为“精确值”（这里可以根据实际情况选择某个大于或小于的搜索类型），值类型设置为“4 Bytes”（这里可以根据实际需要选择字符串或其他数据类型）。左侧的“HEX”选表示搜索十六进制数，可以自动转换。下方的搜索设置栏中可以设置搜索方式，默认为快速搜索（以4个字节为单位搜索），深度搜索表示以字节为单位搜索，速度较慢。设置好以后，点击“新的搜索”按钮，左侧地址栏窗口会显示所有的搜索结果，如图1-40所示。我们会发现，有很多内存地址处的值都是95，如果要确定哪一个为正确的地址，则需要再次搜索。

图1-40 第一次搜索

       第五步：再次点击训练进程Tutorial.exe界面“打我”按钮，健康值此时变为90。然后我们在CE搜索值一栏输入搜索值“90”，点击再次搜索。此时左侧地址栏只剩下一个地址，此地址就应该是正确的内存地址了。如果还是出现多个地址，则可以同样的方法继续搜索。或者点击“打我”，减少健康值，观察哪个地址处的值发生变化，与训练进程中的健康值相同。

       第六步：点击地址栏下方的“查看内存”按钮，或者鼠标双击地址，将地址添加到下方窗口列表。选中地址后点击鼠标右键，选择“改变记录”>“值”，弹出对话框窗口，如图1-41所示。将该地址处的值改为1000。此时再次点击训练进程Tutorial.exe界面“打我”按钮，健康值此时变为1000。

图1-41 修改内存地址处的值