Software Engineer English & Software Engineering Blog - Sean

Cheat Engine(CE)으로 포인터의 포인터를 찾아 보자.

CE을 실행하고 Help - Cheat Engine Tutorial 을 실행 한다.

Cheat Engine에서 Tutorial을 열어 준다.

Edit - Settings를 클릭하고 Cheat Engine settings 창이 열리면 Pointer adding: Append pointerline instead of insert를 체크 한다.

Tutorial에서 찾아야 하는 값인 3045를 First Scan 으로 찾아서 Address List에 추가 한다.

Address List에 추가된 주소는 첫 번째 포인터가 가리키는 주소와 그 주소에 저장된 값이다. 4 단계에 걸친 포인터를 모두 찾아 주어야 한다. 추가된 목록에서 우클릭 - Find out what accesses this address(F5)를 클릭 한다.

열려 있는 프로세스에 Cheat Engine의 debugger를 attach 한다는 메세지 박스가 나온다.

Yes 를 클릭하면 아래와 같은 창이 뜬다.

Tutorial 로 돌아와 Change value 버튼을 클릭 한다.

Find out what accesses this address 로 지정한 주소에 접근하는 opcode가 표시 된다.

More information 버튼을 클릭하면 추가 정보가 표시 된다. 내용을 확인해 보면 eax에 저장된 값을 rsi+18에 복사하고 있다.

rsi의 주소는 01587460이고 여기에 offset 값 18을 더하면 01587478로 위에서 CE으로 찾은 주소의 값과 일치 한다.

CE에서 Hex 체크 박스를 클릭하고 rsi 주소값을 입력한 다음 New Scan을 클릭하고 First Scan 한다. 아래와 같이 rsi 주소 값을 가지는 메모리의 주소(첫 번째 포인터)를 찾았다. 이 상태에서 Add Address Manually 버튼을 클릭 한다.

Add address 창이 뜨면 Pointer 체크 박스를 클릭 하고 위에서 찾은 메모리 주소를 입력한다. offset 값으로 18을 입력 하면 최종 값인 3559가 표시 된다.

OK를 클릭하면 CE에 아래와 같이 표시 된다.

이제 이 포인터의 포인터를 찾아 보자. 추가한 포인터에서 F5를 눌러 Find out what accesses this address를 실행하면 아래와 같은 메세지가 나온다.

Find out what accesses this pointer를 클릭한다.

Tutorial로 돌아가 Change value 버튼을 클릭하면 아래와 같이 포인터에 접근하는 opcode 목록을 표시해 준다. 첫 번째 opcode의 operand 인 rsi 값을 확인해 보면 07312500으로 위에서 찾은 포인터의 주소와 일치 한다.

rsi 값을 가지는 주소(포인터)를 찾아 보자. 015661E8에 같은 값이 저장되어 있는걸 확인 할 수 있다.

리스트에 추가된 포인터를 더블 클릭하고 Add Offset 버튼을 클릭하면 아래와 같은 화면으로 바뀐다.

하단 주소 입력 에디트 박스에 포인터 주소값을 입력해 주면 아래와 같이 표시된다. OK 버튼을 클릭한다.

별 다른 변화는 없어 보이지만 포인터의 포인터까지 찾아 놓은 상태이다.

다시 그 포인터의 포인터를 찾는 과정을 반복하면 아래와 같이 더 이상 포인터로 지시되지 않는 녹색 주소값이 나온다. (CE 에서는 static address가 녹색으로 표시 된다)

이 마지막 포인터를 추가해 준다.

마지막 포인터까지 추가되었으면 Active 체크 박스를 클릭해서 값을 고정 시키고 Value를 5000으로 수정 한다.

Tutorial로 돌아가 Change pointer버튼을 클릭하면 3초 후 Next 버튼이 활성화 된다. a pointer to a pointer to a pointer to a pointer to the health 값을 찾은 것이다.

※ 참고: 포인터 스캐너 사용법

Cheat Engine으로 간단하게 Pointer를 찾을 수 있다.

Cheat Engine에서 Tutorial 프로세스를 열어 준다. Value를 변경해 가며 정확한 Address를 찾는다.

찾은 Address에서 오른쪽 클릭 하고 'Find out what accesses this address'를 클릭한다.

Cheat Engine에 debugger를 붙여 준다.

아래와 같은 창이 뜬다.

Tutorial로 돌아가 Change value 버튼을 클릭해 값을 변경 하면 018F3D30 주소에 접근한 opcode들이 표시 된다. 그 중 두 번째 opcode가 018F3D30 위치의 값을 바꾼다는 것을 알 수 있다. (아래 창에서 << 표시된 opcode) More information을 클릭하면 약간의 추가 정보가 표시 된다.

Cheat Engine에서 value가 저장된 Address인 018F3D30을 다시 Hex scan 한다.

018F3D30이 저장된 Address가 Pointer의 Address 이다. Add Address Manually 버튼을 클릭한다.

Pointer를 체크한다.

Pointer의 Address를 입력한다. offset 값은 없으므로 0으로 둔다.

Value가 저장된 위치를 가리키는 Pointer가 추가 된다.

Value를 5000으로 수정하고 Active를 체크한다. (Value가 5000으로 고정 된다)

Tutorial에서 Change value 버튼을 클릭하면 Value가 바뀌지만 메모리 상에서는 다시 5000으로 돌아간다. Change pointer 버튼을 클릭하면 Pointer가 가리키는 주소(Value 값이 저장된 주소)가 바뀌고 Cheat Engine 에서 찾아 놓은 Pointer 가 가리키는 주소값도 똑같이 바뀐다. Next 버튼이 활성화 되고 Pointer를 찾았음을 확인 할 수 있다.

이번에는 아래와 같은 코드로 프로그램을 만들어서 정확히 확인해 보자. 

프로그램을 실행 시키면 포인터에 저장된 주소(p)와 그 주소에 저장된 값(*p)이 표시 된다.

아래와 같이 1을 선택하면 값을 1 증가 시키고 2를 선택하면 포인터에 저장된 주소를 다시 할당 한다.

프로그램을 다시 실행하고 Cheat Engine으로 Value를 변경해 가며 주소를 찾는다.

프로그램에서 주소값을 표시해 주므로 Cheat Engine에서 찾은 주소가 맞는지 쉽게 확인 된다.

마찬가지로 Find out what accesses this address 로 어떤 코드가 이 주소에 접근하는지 확인해 보자.

More informatioin의 내용도 확인해 보자.

Value의 주소값을 Hex Scan으로 검색한다. 아래와 같이 두 개의 주소가 확인 되었다.

프로그램에서 2번을 선택해 Pointer가 가리키는 주소를 변경해 보자.

00F3F764에 저장된 값이 프로그램과 동일하게 변경되는걸 확인 할 수 있다. 00F3F764가 포인터의 주소이다.

Add Address Manually로 Pointer를 추가해 준다.

프로그램에서 Value와 Pointer value를 변경하면 Cheat Engine에 찾아 놓은 포인터에도 똑같이 적용되는걸 확인 할 수 있다.