第三关 要求板子全变成绿色，门会打开，然后去到门那里。 思路1：猜测板子绿色个数有个变量存储，找到修改成全点亮。 实现： 确实有这个变量，改成全点亮了，然后敌人全部挤到门口了。所以先到门口，再修改，就过关了，或者找到我们自己的坐标传送进去也行。 思路2：修改绿色数量的同时，锁定敌人坐标。 实现： 坐标一般是float类型，使用未知值扫描，确定三个敌人的x坐标，直接锁定，然后跑到门口。 结果不行，因为锁定的原理其实是不停的写数据，程序控制的敌人位置也是锁定的，两个都在不停的写，敌人位置超高频率来回跳动，我们还是过不去 思路3：修改敌人y坐标，锁定，让敌人去屏幕外 实现： 前面说了，y坐标一般在x坐标后4个字节的位置，不用再找了，手动添加地址就行了。 还有一个在上面，勉强可以把，能过关。 思路4：无敌 我们碰到敌人才死，所以把自己弄无敌可以了。 因为我们碰撞就会死，所以应该有一个变量储存我们的存活状态，一个函数执行修改，我们用nop代替试试。 先找存活状态。 未知数扫描，找了半天，最后还剩下一百多个变量，都是存活为1，死亡为0，我们当然没时间一个个尝试（其实不嫌麻烦不怕崩溃，折半查找也很快能确定），换个思路，找到人的坐标，数据分析找周围的变量来找存活状态。 找到x坐标，找出是什么改写了它，动一下，找到坐标的offset应该是24，数据分析添加x坐标-24，添加结构体，分析结果如下： 找到了暂停，和是否可见，死亡次数，没有找到存活变量。 所以我们还可以用另一种方法查看直接点击内存地址，查看周围内存空间，右键地址，browse this in memory region，死亡查看哪些值在变化。 找到以上几个有价值的变量，一个个锁定试一下，最后一个是死亡次数。经过确定，几个变量分别代表如下含义 锁定了之后我们超快速重生，撞上去跟没死一样。 因为我们碰撞就会死，所以应该有一个变量储存我们的存活状态，一个函数执行修改，我们用nop代替试试。 对存活状态地址，找出什么改写了这个地址，死了找到两条指令，一条应该是碰撞，另一条应该是原地复活，我们用nop代替碰撞。 发现确实不死了，但是那个代码应该是直接弄死的。所以我们这个操作应该是属于取消碰撞伤害，不掉血，并不是不碰撞。 思路5：取消碰撞 打开disassembler往前看两行，发现如下代码： 比较[rbx+40]和0,我们已经知道，这里是存的是存活状态，不等于0的时候跳转，我们把它改成je。会发现我们碰撞消失了，具体是什么原理我自己还没有弄懂。汇编太菜了，要补习啊。