在逆向工程和游戏修改领域，使用Cheat Engine（简称CE）查找程序基址是一项核心技能。

1. 理解基址与偏移的概念

在开始寻找基址之前，理解其基本概念至关重要。

程序中的许多数据，如角色生命值、金币数量等，其存储地址在每次游戏重启后都会变化，因为它们存储在动态分配的内存中。

而基址（Base Address）通常是模块（如游戏主程序exe或某个dll）的起始地址，这个地址本身每次启动也会变化（由于ASLR等机制）。

但模块内部的相对偏移（Offset）是固定的。

因此，我们寻找的“基址”通常是指一个指向最终数据的静态指针链的起点，其形式常为“基址 + 偏移1 + 偏移2 + …”。

找到正确的基址后，无论程序重启多少次，我们都能通过“基址 + 一系列偏移”这个固定的公式，计算出数据的最新地址。

p>

2. CE找基址最经典简单的方法：找出是什么改写了这个地址

对于初学者来说，“找出是什么改写了这个地址”是寻找基址最直观、最简单的方法之一。

首先，打开Cheat Engine和你要分析的程序（如一个单机游戏）。

然后，在CE中附加到目标进程，并扫描出你想要修改的数值（比如当前生命值100）。

当找到该数值的地址后，将其添加到下方的地址列表中。

右键点击这个地址，选择“找出是什么改写了这个地址”。

这会弹出一个新的窗口，然后你返回游戏，让这个数值发生变化（比如让角色受到伤害，生命值减少为90）。

此时，CE的窗口会记录下一条汇编指令，这条指令就是修改该数值的代码。

p>

3. 深入分析：找出访问该地址的代码

仅仅知道是什么改写了地址还不够，我们需要知道这条指令在访问哪个寄存器或指针来获取数据的最终地址。

在“找出是什么改写了这个地址”的窗口中，你会看到类似“mov [eax+04], edx”的汇编指令。

这条指令的意思是：将edx寄存器中的值，移动到以“eax寄存器的值加4”为地址的内存中去。

这里的“[eax+04]”就是你的生命值地址。

p>

4. 关键步骤：找出基址

现在，我们的目标是找到eax的值是从哪里来的。

在CE的汇编指令窗口上，有一个“显示反汇编程序”按钮，点击它来打开更详细的反汇编窗口。

在这个窗口的代码区域向上滚动，观察eax寄存器是如何被赋值的。

p>你可能会看到类似这样的代码序列：
mov eax, [ebx+10]
mov ecx, [eax+04]
…

这表明eax的值是从[ebx+10]这个地址加载而来的。

那么，ebx的值又是从哪来的呢？继续向上追溯。

你可能会发现一条类似“mov ebx, 00A12345”的指令，或者“mov ebx, [some_global_address]”。

这个“00A12345”或“some_global_address”很可能就是一个静态的基址！

因为它的值在程序重启后不会改变（相对于模块起始地址的偏移是固定的）。

p>

5. 使用指针扫描器验证基址

为了验证我们找到的地址确实是正确的基址，CE提供了一个强大的工具：指针扫描器。

回到CE的主界面，右键点击你最初找到的生命值地址，选择“指针扫描”。

在弹出的窗口中，选择保存指针扫描文件（.ptr），然后CE会扫描所有可能指向该地址的指针链。

扫描完成后，会打开一个指针扫描结果列表。

这个列表会列出许多“基址 + 偏移”的组合。

一个好的基址指针通常具有较高的偏移等级（但并非绝对），并且其基址地址明显属于某个模块（如“game.exe+1A3D00”）。

重启游戏，再次附加进程，检查你之前找到的基址指针是否依然能正确指向变化后的生命值地址。

如果能够正确指向，恭喜你，你已经成功找到了基址。

p>

6. 总结与注意事项

通过“找出是什么改写了这个地址”来追溯汇编代码，是CE找基址最经典、最教学性也相对简单的方法。

这种方法虽然步骤清晰，但需要使用者具备基本的汇编语言阅读能力。

整个过程可以概括为：找到动态地址 -> 追踪改写指令 -> 逆向分析指针链 -> 定位静态基址 -> 使用指针扫描验证。

请记住，并非所有程序都使用简单的指针链，有些可能会使用复杂的加密或混淆技术，这会大大增加分析的难度。

但对于许多简单的单机应用程序和游戏，上述方法是最直接有效的入门途径。

免责声明：本文内容仅供技术研究与学习之用，请勿用于任何非法或侵权用途。读者因参考本文内容而对任何软件或系统进行操作所产生的一切后果，本文作者及发布平台均不承担任何责任。