实验工具：

CE

DEV C++

首先我们得找到冷却的动态地址，再找基址

一、打开CE

找到植物大战僵尸的进程，并装载

然后我们搜索1（植物拿起是0，放下是1）

我们就先拿起，然后点再次搜索0。然后放下，然后再次搜索1。

我们搜到7条地址

然后再一个个排除

怎么排除呢

我们随便找一个地址，右键，查看是什么改写了这个地址。

然后出现这样一个窗口

这时候我们再回到界面，拿起植物，再放下植物。发现窗口并没有数据出现，我们就可以排除掉这个窗口了。

随后我们找到地址为0BEE8648的地址有写入数据

我们分析放下的数据，也就是mov byte ptr [eax+ecx+70],01

双击打开详细信息

这里可以看到，关键代码处就是mov byte ptr [eax+ecx+70],01

后面那个[]中间装的就是我们的偏移值

其中地址指针是0BEE85D8

我们再到CE 中去搜索这个值（搜索的时候记住是HEX--十六进制）

我们点再次扫描，去掉会变动的值

找到一处地址为0F26B60C的数据

这回我们要点击是什么访问了这个地址（点改写你会发现没有数据）

然后再拿起放下植物，找到最后一行数据

找到下一个偏移量是144，地址是0F26B4C8

再按照上面的操作搜索

发现没有静态的地址

继续往下面找

找到后点开最后放下植物所留下的数据

mov esi,[esi+00000768]

可以看到偏移量是768

访问它的地址是002326F0

再去搜索这个地址看看

往下面拖一点就会看到有几个地址是绿色的，这个绿色的地址代表静态地址，也就是基址

我们找到基址后，记录下来，并点击手动添加地址

从上所知

基地址为：006A9EC0

一级偏移为：768

二级偏移为：144

三级偏移为：70

经过尝试，发现第一个卡槽的三级偏移是 70+ eax（此时eax的值为0）

卡槽二的三级偏移为 70+ 50

卡槽三的三级偏移为 70 + 50*2

也就是说卡槽是从零开始算起，依次加50的偏移量就可以了

下面我们测试下，先将地址添加后 激活，让该地址的值一直为1

成功修改后，我们用C做一个简单的写入