内存读取本地登录歪歪YY号所在频道

方便新手学习,好几年没接触内存顺便发个分析查找过程给不懂得看吧,老手勿喷,内存我就是个弟弟！怕太长就分析就找搜索所在频道的内存地址吧

1.首先用CE读取YY进程  
2.进入一个频道然后搜索频道号码-频道号码为数字所以搜索整数型的  填完点首次搜索
3.在进入个不同号码的频道然后输入新频道号码点再次搜索  
4.在进入个不同号码的频道然后输入新频道号码点再次搜索,重复几次,把结果中的地址过滤掉过滤到剩下正确的地址就行了。  
5.这些结果地址都是能读取到YY所在频道，我们随便找一个双击添加到下面列表  
6.右键选择这个地址选择找出是什么访问了这个地址,如果弹出附加点确定就行了  
7.然后YY在进入一个频道CE就会把那个地址访问了这个地址的列表列出来  
8.然后随便双击一个指定,找到地址+偏移  
9.然后搜索十六进制地址0042F500,搜索这个是要找到父地址,父地址内容就是可以指向我们这个内存地址  
10.找到一个绿色的结果,绿色就是静态地址,我们可以直接通过静态地址得出地址的指向  
11.双击该结果添加到列表,然后列表双击地址看他的地址内容是模块+偏移还是直接静态的  
得到结果 servicesdk.dll+6A888
12.下面我们分析下得到的结果看源码要怎么写,首先基址怎么计算出来的,(静态地址内容：servicesdk.dll+6A888←这个地址的内容就是改写了地址的基址,先取servicesdk.dll这个模块的句柄然后加上偏移6A888就是基址,读取这个基址的内容就是偏移地址0042F500,这个地址在附加那个步骤我们可以看到偏移,就是mov[eax+20],也就是0042F500+20就是我们频道号码的基址,总结就是先取模块句柄servicesdk.dll+十六进制偏移6A888就是第一个基址,读取第一个基址内容得到eax的基址就是第二个基址0042F500,第二个基址+20就是第三个基址,第三个基址的内容
http://www.awuming.com/thread-26350-1-1.html