本教程面向有C\C++基础的人，最好还要懂一些Windows编程知识
写这个教程只是为了让玩家更好地体验所爱的单机游戏，顺便学到些逆向知识，我不会用网络游戏做示范，请自重

CE也不是专门用来调试的，本章将介绍几款调试工具，并且完善上一章的东方辉针城修改器

本章提到的工具都可以在或下载

OllyDbg简称OD，现在一般用它的修改版OllyICE，其实是一样的
OD是最常用的Windows程序反汇编调试器，可惜不能调试64位程序（目前64位版开发中），不能调试Ring0层（内核态）

我更习惯1.x版本，但是64位系统只能用2.x版本...

看看这界面，这语法高亮，比WinDbg不知道高到哪里去了

需要记住几个常用快捷键：
F2下断点，F7单步步入，F8单步步过，F9运行，Alt+C查看反汇编，Alt+K查看堆栈，Alt+B查看断点

写个小程序CrackMe示范一下如何用OD破解

运行CrackMe，用OD附加（在菜单-文件-附加），按F9运行

因为输入错误密码会弹出对话框提示，我们就在MessageBoxW下个断点（注意MessageBox是个宏，根据程序是ANSI还是UNICODE字符集决定是MessageBoxA还是MessageBoxW，要是不知道到底调用了哪个那就两个都下断吧，不过它们最后都会调用MessageBoxTimeoutW）

按F9运行，随便输入个密码后断下，按Alt+K查看堆栈

点右键，在菜单里选编辑-复制所有修改到可执行文件

在弹出的窗口里再点右键选保存文件

然后运行保存好的程序，随便输入个密码都能注册成功了

IDA是一个世界顶级的交互式反汇编工具，它的使用者囊括了软件安全专家，军事工业，国家安全信息部门，逆向工程学者，黑客
IDA专门用来静态调试，就是不运行程序只看代码，缺点是程序加了壳就看不出什么了

它还有一个强大的插件，按F5把当前函数翻译成C语言（不过只在32位版有）

如果用OD看不出什么就用IDA看吧

WinDbg是微软发布的调试工具，支持32位和64位程序，可以调试Ring0层（内核态）
要记很多命令，用着很不爽，除了调试内核我都不用

这次我要给这个修改器加上更强大的功能：无敌和秒杀

用OD附加游戏，在下面的内存窗口按Ctrl+G转到上一章搜索到的残机地址

然后下个硬件断点或内存断点（内存断点会比较卡，硬件断点会断在操作这个内存的指令的下一条指令，内存断点会断在操作这个内存的指令，我优先使用硬件断点）

然后在游戏中故意撞个敌机或弹幕，断在44F61D，上面那条就是给残机赋值的指令
（这时可以把硬件断点删除了，在查看-硬件断点里）

看堆栈是哪里调用了这个函数，来到上一层

上面有个跳转跳过了这个函数，把它改成jmp试试，按F9运行，回到游戏再撞弹幕
发出了"biu"的声音，然后就动不了了...
回到OD把刚才的修改撤销（选中修改后的jmp指令，按Alt+backspace），又复活了
看看这条跳转的条件，我怀疑[edi+0x690]是玩家状态的flag（死亡flag（笑））

在44DD8B这里按F2下断，再撞弹幕断下

刚撞弹幕就断下，这里的值是0，说明0就是死亡flag了

现在要找是哪个代码给状态flag赋值了0，不过OD要做这件事很难（因为总是有写入这个地址的指令！），还是交给CE做吧

（因为重启了游戏，地址变了）

第一条就是一直在写入的那条，我猜这个flag其实是玩家在当前状态经过的帧数？
第二条是撞弹幕时出现的，赋值为0，就是它了
后面的是复活后出现的，不用管

我看了一下这个函数没有能跳过赋值[edi+0x690]=0的代码，大概这个函数是死亡函数

下个断点，撞弹幕，看堆栈，往上一层看看有没有跳过调用这个函数的

这条指令刚好跳过了这个调用，把它改成jmp再撞弹幕试试

成功了，怎么撞弹幕和敌机都没事
赶紧记下地址0x，原机器码7F，修改后EB

然后我发现死亡函数的上一层是碰撞检测函数，普通弹幕和激光用的是不同的碰撞检测，所以只改这一处对激光没用
可以像上面那样在死亡函数下断点然后撞激光，不过既然知道了44F7A0是死亡函数可以用神器IDA查看哪里调用了这个函数

总共有4个引用，全部修改岂不是很麻烦，所以我打算把死亡函数修改成什么也不做直接返回

地址0x，原机器码55，修改后C3

首先随便找个BOSS（⑨）虐一虐，用CE搜减少的数值搜出三个HP地址

那就修改试试吧，修改第一个和第三个都没用，被同步成第二个，那么第二个就是真HP（我猜是敌机数组中的HP，而第一个是BOSS HP，每帧会和第二个同步）

找出修改HP的代码（不装逼用OD了，还是用CE干这个好）

这是赋值HP的指令，赋值0就可以实现秒杀了
给寄存器赋值0最好的办法是用异或(xor)指令，只占2字节而且速度比mov快

玩一会，连小怪都可以秒杀了，看来这个函数是敌机类的减HP函数，对敌机通用的

等等，怎么下一个BOSS开符卡后没有秒杀，再找找哪个代码修改了HP

原来上面还有一个修改HP的代码，用于开了符卡的BOSS
为了不破坏栈我们不能修改pop指令，修改上面那个add吧

好了，这下对所有的敌机都能秒杀了

// 修改关于无敌的代码
// 修改关于秒杀的代码
 

 不过做到这种程度了还能好好玩游戏吗，所以作弊还是适可而止吧
 

本教程面向有C\C++基础的人，最好还要懂一些Windows编程知识
写这个教程只是为了让玩家更好地体验所爱的单机游戏，顺便学到些逆向知识，我不会用网络游戏做示范，请自重

CE也不是专门用来调试的，本章将介绍几款调试工具，并且完善上一章的东方辉针城修改器

本章提到的工具都可以在或下载

OllyDbg简称OD，现在一般用它的修改版OllyICE，其实是一样的
OD是最常用的Windows程序反汇编调试器，可惜不能调试64位程序（目前64位版开发中），不能调试Ring0层（内核态）

我更习惯1.x版本，但是64位系统只能用2.x版本...

看看这界面，这语法高亮，比WinDbg不知道高到哪里去了

需要记住几个常用快捷键：
F2下断点，F7单步步入，F8单步步过，F9运行，Alt+C查看反汇编，Alt+K查看堆栈，Alt+B查看断点

写个小程序CrackMe示范一下如何用OD破解

运行CrackMe，用OD附加（在菜单-文件-附加），按F9运行

因为输入错误密码会弹出对话框提示，我们就在MessageBoxW下个断点（注意MessageBox是个宏，根据程序是ANSI还是UNICODE字符集决定是MessageBoxA还是MessageBoxW，要是不知道到底调用了哪个那就两个都下断吧，不过它们最后都会调用MessageBoxTimeoutW）

按F9运行，随便输入个密码后断下，按Alt+K查看堆栈

点右键，在菜单里选编辑-复制所有修改到可执行文件

在弹出的窗口里再点右键选保存文件

然后运行保存好的程序，随便输入个密码都能注册成功了

IDA是一个世界顶级的交互式反汇编工具，它的使用者囊括了软件安全专家，军事工业，国家安全信息部门，逆向工程学者，黑客
IDA专门用来静态调试，就是不运行程序只看代码，缺点是程序加了壳就看不出什么了

它还有一个强大的插件，按F5把当前函数翻译成C语言（不过只在32位版有）

如果用OD看不出什么就用IDA看吧

WinDbg是微软发布的调试工具，支持32位和64位程序，可以调试Ring0层（内核态）
要记很多命令，用着很不爽，除了调试内核我都不用

这次我要给这个修改器加上更强大的功能：无敌和秒杀

用OD附加游戏，在下面的内存窗口按Ctrl+G转到上一章搜索到的残机地址

然后下个硬件断点或内存断点（内存断点会比较卡，硬件断点会断在操作这个内存的指令的下一条指令，内存断点会断在操作这个内存的指令，我优先使用硬件断点）

然后在游戏中故意撞个敌机或弹幕，断在44F61D，上面那条就是给残机赋值的指令
（这时可以把硬件断点删除了，在查看-硬件断点里）

看堆栈是哪里调用了这个函数，来到上一层

上面有个跳转跳过了这个函数，把它改成jmp试试，按F9运行，回到游戏再撞弹幕
发出了"biu"的声音，然后就动不了了...
回到OD把刚才的修改撤销（选中修改后的jmp指令，按Alt+backspace），又复活了
看看这条跳转的条件，我怀疑[edi+0x690]是玩家状态的flag（死亡flag（笑））

在44DD8B这里按F2下断，再撞弹幕断下

刚撞弹幕就断下，这里的值是0，说明0就是死亡flag了

现在要找是哪个代码给状态flag赋值了0，不过OD要做这件事很难（因为总是有写入这个地址的指令！），还是交给CE做吧

（因为重启了游戏，地址变了）

第一条就是一直在写入的那条，我猜这个flag其实是玩家在当前状态经过的帧数？
第二条是撞弹幕时出现的，赋值为0，就是它了
后面的是复活后出现的，不用管

我看了一下这个函数没有能跳过赋值[edi+0x690]=0的代码，大概这个函数是死亡函数

下个断点，撞弹幕，看堆栈，往上一层看看有没有跳过调用这个函数的

这条指令刚好跳过了这个调用，把它改成jmp再撞弹幕试试

成功了，怎么撞弹幕和敌机都没事
赶紧记下地址0x，原机器码7F，修改后EB

然后我发现死亡函数的上一层是碰撞检测函数，普通弹幕和激光用的是不同的碰撞检测，所以只改这一处对激光没用
可以像上面那样在死亡函数下断点然后撞激光，不过既然知道了44F7A0是死亡函数可以用神器IDA查看哪里调用了这个函数

总共有4个引用，全部修改岂不是很麻烦，所以我打算把死亡函数修改成什么也不做直接返回

地址0x，原机器码55，修改后C3

首先随便找个BOSS（⑨）虐一虐，用CE搜减少的数值搜出三个HP地址

那就修改试试吧，修改第一个和第三个都没用，被同步成第二个，那么第二个就是真HP（我猜是敌机数组中的HP，而第一个是BOSS HP，每帧会和第二个同步）

找出修改HP的代码（不装逼用OD了，还是用CE干这个好）

这是赋值HP的指令，赋值0就可以实现秒杀了
给寄存器赋值0最好的办法是用异或(xor)指令，只占2字节而且速度比mov快

玩一会，连小怪都可以秒杀了，看来这个函数是敌机类的减HP函数，对敌机通用的

等等，怎么下一个BOSS开符卡后没有秒杀，再找找哪个代码修改了HP

原来上面还有一个修改HP的代码，用于开了符卡的BOSS
为了不破坏栈我们不能修改pop指令，修改上面那个add吧

好了，这下对所有的敌机都能秒杀了

// 修改关于无敌的代码
// 修改关于秒杀的代码
 

 不过做到这种程度了还能好好玩游戏吗，所以作弊还是适可而止吧
 

　　没想到泪指传说的名字,发行都有着曲折的故事啊.都是些关于PS的往事,有兴趣自己下去看看.

　　该修改器貌似很专业.各种英文单词打头,不懂的也会被其勾起兴趣,欢迎下载测试.