使用 x64dbg + Cheat Engine 实现游戏exe或dll文件的外部控制接口（代码硬注入）

laozhhaiJohn

使用 x64dbg + Cheat Engine 实现游戏exe或dll文件的外部控制接口（代码硬注入）

本文通过修改《古墓丽影123重制版》（Tomb.Raider.I.II.III.Remastered），演示如何结合 Cheat Engine (CE) 与 x64dbg，对 游戏文件tomb1.dll 进行代码硬注入，创建一个可通过外部控制开关（如 CE 地址表）开启/关闭的“拔枪吓杀敌人”功能。

本文原文由本人手动在记事本中书写，现在观看的MD格式化版本由AI处理后呈现。本人手写原文更详细，在文章最后有贴附。

---

零、工具准备

1. Cheat Engine 版本为：本论坛下载的7.6.1版本。
2. x64dbg 版本为：x64dbg 简体中文修订版 (Apr 11 2024)(王苏汉化)。
3. 《古墓丽影123重制版》(Tomb.Raider.I.II.III.Remastered)。
   应该是打了全部更新补丁的版本，程序信息如下：

• 名称: tomb123.exe
  大小: 1067088；字节 : 1042 KiB
  修改时间：2024年11月5日，3:38:55
  SHA256: c3d2a0188ad359a243c270c759dff142a131f302fa634fca404482875970673d

• 名称: tomb1.dll
  大小: 1051728； 字节 : 1027 KiB
  修改时间：2024年11月5日，3:38:54
  SHA256: c68fff94bdd297f6cb0fc3556e56daea159a5677aeaec102e3889b824fd72df3

4. 截图及标注工具：主要是：FastStone Capture，很优秀的截图及图片标注工具软件。其中也配合用了pixpin。

一、定位关键写入指令

1. 在 Cheat Engine 中：
   • 找到敌人 HP 的内存地址，并加入地址列表。
   • 右键该地址 → “查找访问该地址的代码”。
2. CE 返回两条写入指令。观察行为发现：
   • 其中一条仅在 劳拉持枪时持续执行，空手时不运行。
   • 选择该指令作为注入点。

目标指令如下（绿色基址，地址固定）：

地址	字节码	汇编代码
tomb1.dll+267E2	66 83 7B 26 00	cmp word ptr [rbx+26], 00

此指令用于判断敌人 HP 是否为 0，是理想的 Hook 点。

---

二、寻找代码洞（Code Cave）

1. 在 CE 的 内存视图（Memory Viewer） 中：
   • 菜单 → 视图 → 显示模块地址（Ctrl+M） ✅（务必勾选）
   • 菜单 → 工具 → 扫描代码洞（Ctrl+Alt+C）
2. 设置扫描范围：
   • 起始地址：tomb1.dll+267E2（或 tomb1.dll+00000）
   • 结束地址：tomb1.dll+FFFFF
   • 洞大小：50 字节以上（确保足够存放自定义代码）
3. 点击 “开始”，CE 返回唯一可用代码洞，例如：

   7FF9B34276B0

   

   • 若已勾选“显示模块地址”，则显示为：tomb1.dll+A76B0
   • 复制此地址备用

💡 代码洞（Code Cave）：程序中未使用的连续 00 字节区域，可用于安全注入自定义代码。

---

三、编写注入逻辑（在 x64dbg 中）

1. 关闭 CE，启动 x64dbg，附加到游戏进程 tomb123.exe。
2. 在 CPU 窗口地址栏按 Ctrl+G，输入：

   tomb1.dll+A76B0

   

   • 若提示“正确的表达式”，说明地址解析成功。
3. 在该区域选择一个起始位置编写汇编（例如从 ...A76C0 开始）：
   

   00007FF9B89876C0 | 52                  | push rdx                                 ; 保存寄存器
   00007FF9B89876C1 | 8A15 F8FFFFFF       | mov dl, byte ptr [按实际写*76BF]          ; 读取控制标志位（默认=0）
   00007FF9B89876C7 | 80FA 01             | cmp dl, 0x1                              ; 是否启用作弊？
   00007FF9B89876CA | 5A                  | pop rdx                                  ; 恢复寄存器
   00007FF9B89876CB | 75 06               | jne tomb1.按实际写*76D3                   ; 若≠1，跳过修改
   00007FF9B89876CD | 66:C743 26 0000     | mov word ptr [rbx+0x26], 0x0             ; 强制设 HP=0（秒杀）
   00007FF9B89876D3 | 66:837B 26 00       | cmp word ptr [rbx+0x26], 0x0             ; 原始指令
   00007FF9B89876D8 | E9 0AF1F7FF         | jmp tomb1.按实际写*67E7                   ; 跳回原程序继续执行

   

   对应字节码（约 30 字节）：

   53 8A 1D F8 FF FF FF 80 FB 01 5B 75 06 66 C7 43 26 00 00 66 83 7B 26 00 E9 0A F1 F7 FF

关键设计：外部控制接口

• 标志位地址：tomb1.dll+A76BF
  • 默认值：00 → 功能关闭
  • 改为 01 → 启用“拔枪秒杀”
• 此地址即为我们预留的 “游戏作弊外部控制接口”！

---

四、Hook 原始指令

1. 在 x64dbg 中跳转到注入点：

   tomb1.dll+267E2

2. 该指令占 5 字节，正好可替换为一条 jmp 指令。
3. 右键该行 → “汇编”（或按空格），输入：

   jmp tomb1.dll+A76C0

   • 提示“指令编码成功”即表示替换成功。
     

     ✅ 此操作将原程序流程重定向至我们的自定义代码。

---

五、功能验证

1. 返回游戏，拔枪/收枪测试是否崩溃 → 若无崩溃，说明注入稳定。
2. 在 x64dbg 的 转储窗口（Dump） 中：
   • 右键 → 转到地址：tomb1.dll+A76BF
   • 双击右侧十六进制值（当前为 00），改为 01
     
3. 回到游戏，拔枪面对敌人 → 敌人立即死亡！✅
4. 将值改回 00 → 功能关闭，恢复原版逻辑。

🎯 成功实现“开关式”作弊功能！

---

六、永久保存修改（打补丁）

⚠️ 重要：先备份原始文件！

1. 在资源管理器中，备份：

   游戏安装目录\1\tomb1.dll

2. 在 x64dbg 中：
   • 菜单 → 文件 → 补丁（Ctrl+P）
   • 点击 “修补文件”，选择上述 tomb1.dll 覆盖保存。
     
3. 菜单 → 文件 → 分离，关闭 x64dbg。

现在，游戏已硬编码注入你的逻辑，但默认关闭（标志位=0），外观与原版无异。

---

七、通过 Cheat Engine 控制接口

1. 打开 CE，附加到游戏。
2. 手动添加地址：
   • 地址：tomb1.dll+A76BF
   • 类型：Byte（字节）
3. 在地址表中：
   • 值为 0 → 功能关闭
   • 改为 1 → 启用“拔枪秒杀”
4. 右键该条目 → 设置激活/停用值：
   • 激活时设为 1
   • 停用时设为 0
5. 勾选/取消勾选即可开关功能！

---

八、Cheat Engine 表文件（.CT）

将以下内容保存为 .CT 文件，双击即可加载：

<?xml version="1.0" encoding="utf-8"?>
<CheatTable CheatEngineTableVersion="47">
  <CheatEntries>
    <CheatEntry ValueOnActivate="1" ValueOnDeactivate="0">
      <ID>1</ID>
      <Description>"拔枪吓死敌人"</Description>
      <ShowAsSigned>0</ShowAsSigned>
      <VariableType>Byte</VariableType>
      <Address>tomb1.dll+A76BF</Address>
    </CheatEntry>
  </CheatEntries>
  <UserdefinedSymbols/>
</CheatTable>

---

总结

通过本教程，你学会了：

• 如何使用 CE 定位关键写入指令
• 如何扫描并利用代码洞（Code Cave）
• 如何在 x64dbg 中编写跳转逻辑与条件判断
• 如何创建 可外部控制的开关式作弊接口
• 如何打补丁实现永久修改
• 如何通过 CE 表一键启用/禁用功能

🕹️ 现在，快去游戏里试试你的“拔枪秒杀”神技吧！

---

🔒 免责声明：本文仅用于学习逆向工程与调试技术，请勿用于商业游戏作弊或违反用户协议的行为。

——————————————————————————————————————————————
原记事本格式文本：

学习试用 x64dbg 配合 Cheat Engine，对exe或dll文件代码注入，创建一个“游戏作弊外部控制接口”！

一，在ce中首先找到敌人Hp的地址，加入地址列表。

例如：狮子的Hp地址类似为：tomb123.exe+A9F7EDE，初始值30。

然后在ce地址表中，右键该地址，选：查找访问该地址的代码。

也就是让CE去找哪些代码访问(含读与写)该地址，即敌人hp数值的地址。

ce找到的写入代码有2条，观察发现：其中1条仅在劳拉持枪时候持续运行，而劳拉空着手的时候该代码不运行。

好，注入点就选取该指令(也就是该代码)。该指令如下(此游戏的地址都是绿色基址，不变动)：

地址：                字节码              汇编代码
tomb1.dll+267E2:    66 83 7B 26 00     - cmp word ptr [rbx+26],00

(这条代码在进行下面的操作之前，已经在ce中进行注入试验，表明可以作为拔枪吓灭敌人的功能注入点。)

二，ce中查看内存，在内存视图(Memory Viewer)窗口，
1、在菜单点击：视图 - 显示模块地址(ctrl+M)。这个选项确保勾选！！！(否则后面需要手动计算地址。)
2、在菜单点击：工具 - 扫描代码洞(ctrl+alt+c)。
在打开的“扫描dodecaves”扫描代码洞小窗口中，
起始地址填写：tomb1.dll+267E2  （也可以填写 tomb1.dll+00000）
结束地址填写：tomb1.dll+FFFFF
这是为了让代码洞尽量靠近需要注入的原始指令代码区域。

下面的 Cave大小(洞大小)，设置为50。意思是50字节以上的代码空洞。
这是因为怕自己注入的代码量太多，字节数不够用，因此至少50字节代码洞。
(看后面写的汇编代码，转为字节码后占用30多个字节)

点击按钮：开始（有的汉化翻译为‘起始’）

ce在我们给定的范围内，找到唯一的一个代码洞地址：例如：7FF9B34276B0 （这个代码洞地址是随即地址）！！

复制这个地址，在CE的内存视图中的上半部分-地址、字节、操作码内容中，任意位置点击右键，出现菜单，选择最上端“转到地址”(ctrl+G),
粘贴该地址，确定后，内存视图转到该地址，可以看到大片的 “00”字节！！

复制该地址：tomb1.dll+A76B0
(如果在前面勾选了“显示模块地址”，就是这个样子，否则，地址仍然是7FF9B34276B0。)

三，好了，现在关闭CE，打开x64dbg，附加游戏程序tomb123.exe。
在cpu地址栏，右键 - 转到 - 表达式(ctrl+G),粘贴：tomb1.dll+A76B0，
看到输入框下面绿色的文字“正确的表达式！ ->.....”,说明目前为止，一切正确。
点击确定，可以看到，和CE中一摸一样的内存内容。

好了，我选择了一个看着顺眼的地址：...*76C0 (即RAV偏移 = A76C0)的地址开始写汇编如下：

00007FF9B89876C0 | 52                  | push rdx                                 |保存寄存器
00007FF9B89876C1 | 8A15 F8FFFFFF       | mov dl, byte ptr [按实际写*76BF]         |将 *76BF 地址的1字节值复制到寄存器(该值日常为0，以后在ce中可改写为1)
00007FF9B89876C7 | 80FA 01             | cmp dl, 0x1                              |比较是否为1(这里比较结果会影响后面的跳转)
00007FF9B89876CA | 5A                  | pop rdx                                  |恢复寄存器
00007FF9B89876CB | 75 06               | jne tomb1.按实际写*76D3                  |比较结果不相等，即*76BF地址值不为1，则跳到下面cmp word.... 位置执行
00007FF9B89876CD | 66:C743 26 0000     | mov word ptr [rbx+0x26], 0x0             |相等，即*76BF地址值为1，则会执行这一句：将0写入敌人的Hp地址
00007FF9B89876D3 | 66:837B 26 00       | cmp word ptr [rbx+0x26], 0x0             |原程序代码：比较敌人的Hp是否为0
00007FF9B89876D8 | E9 0AF1F7FF         | jmp tomb1.按实际写*67E7                  |跳回原程序继续执行

以上“按实际写*”是指按照你当前写汇编代码的实际地址的前面部分写，后面4位应该和我的相同。

上面的汇编代码，被编译成为以下字节代码，大约30字节左右：
52 8A 15 F8 FF FF FF 80 FA 01 5A 75 06 66 C7 43 26 00 00 66 83 7B 26 00 E9 0A F1 F7 FF

好，上面汇编，我们设置了一个标志位，它的地址：tomb1.dll+A76BF。
这个地址在游戏程序中，日常为0，除非我们以后改写这个地址中的值。
这就是给我们自己留的一个“游戏作弊外部控制接口”！！！

(说明：上面的 *76BF 地址 (RAV=A76BF)是我一个靠近自写汇编代码位置的一个代码洞中的地址，
你也可以用其他的代码洞中空地址。)

四，准备工作做好了。现在需要在注入点位置，将原程序改写，让源程序跳转到这里执行！

在x64dbg的cpu界面，跳转到：tomb1.dll+267E2 这一注入点位置(我们在第一步中找到的指令位置)。

我们看到，该指令恰好5个字节！正好可以进行近跳转 (5 字节)。

点击该地址，右键，选“汇编”，或者点击该地址后按空格键：
出现汇编窗口，输入jmp和我们上一步自写汇编代码的地址： 
jmp tomb1.dll+A76C0

我们可以在该窗口看到绿色提示：指令编码成功！好，点确定！关闭该汇编窗口。

五，好的，下面就是验证了！

回到游戏，面对敌人，拔枪收枪，看看游戏有没有没有崩溃。没崩溃的话，说明截至目前，一切正确。

好了，下面测试拔枪吓死敌人！

回到我们编写的汇编代码位置：tomb1.dll+A76C0

为便于改写，我们这次在x64dbg的cpu窗口下面的16进制"转储" 窗口（任意一个，1-5随便一个）进行操作！(软件官方翻译为内存1、内存2...内存5)

在转储1窗口下面的地址中，随意右键点击一个地址，转到tomb1.dll+A76BF。

这是我们的标志位地址：*76BF 地址 (RAV=A76BF)，也就是tomb1.dll+A76BF。

在"地址"右侧的内容中，如果不是显示的是“十六进制”，那么就右键，选择“十六进制”- “ASCII”。可以看到，现在这里的显示和CE内存视图越来越像了！！

好，双击地址“00007FF999B176BF”右侧“十六进制”下方，第一个数值，它现在应该是“00”。双击它，出现修改窗口，在这里的表达式、有符号、无符号位置，随便一个地方，输入数字1，确定！！。(因为是一个简单值，所以在哪里输入都无所谓)

我们看到*76BF的值被从00改为01了。

回到游戏，再次面对敌人，拔枪试试！！！是不是屏幕中的所有敌人都应声而倒！！！

成功了！！ 

现在可以把01再改回00，回到游戏看看是不是这个拔枪吓死敌人的功能消失了！！

六，在资源管理器中，找到“游戏安装目录\1”目录下的“tomb1.dll”文件，将这个原始文件进行备份！！！请务必进行这一步备份操作！！！

在x64dbg中，选菜单 - 文件 - 补丁(ctrl+p), 点击“修补文件”，在保存文件窗口，选择“游戏安装目录\1”目录下的“tomb1.dll”文件，保存！！

好了，现在游戏文件已经被我们进行了硬编码的注入！！

在x64dbg中，文件菜单下点“分离”，分离程序和游戏，然后关闭x64dbg程序。

现在，在游戏中实验以下，是不是拔枪对敌人没有影响了(在上一步最后，按照我的步骤将01改为00)。现在的游戏和原版游戏看不出有任何区别。

七，好，现在我们进行用CE使用我们的“游戏作弊外部控制接口”！！
打开ce，附加到游戏。手动添加地址：tomb1.dll+A76BF，注意，下面的“类型”务必选择 “字节”。

现在在地址表中可以看到，该地址的值为0。

我们将该值改为1，回到游戏，看看是不是拔枪敌灭！！再将该值改为0，是不是恢复游戏原始逻辑。

为了方便使用该记录，对该记录进行配置：激活值设置1，停用值设置为0。

这样，我们勾选该地址激活，自动将数值该为1，启用拔枪灭敌功能。

取消勾选，则该值自动改回0，取消拔枪灭敌的能力！！

好了，看了这么多，你不去游戏里试试吗？

八，ct表文件的内容：
<?xml version="1.0" encoding="utf-8"?>
<CheatTable CheatEngineTableVersion="47">
  <CheatEntries>
    <CheatEntry ValueOnActivate="1" ValueOnDeactivate="0">
      <ID>1</ID>
      <Description>"拔枪吓死敌人"</Description>
      <ShowAsSigned>0</ShowAsSigned>
      <VariableType>Byte</VariableType>
      <Address>tomb1.dll+A76BF</Address>
    </CheatEntry>
  </CheatEntries>
  <UserdefinedSymbols/>
</CheatTable>

laozhhaiJohn

gunxsword 发表于 2026-2-24 22:22
内存可以动态申请,直接用CE的脚本功能写好,然后看汇编,申请后直接写就行,可以省好几步!

您的提醒太及时了。按照您的提示，我实验了下，确实省事。于是简单又做了一个在《古墓丽影123重制版/复刻版》中，给劳拉高坠尖叫加了个开关。哈哈。

这个开关补丁就是在ce中写好，把涉及的2处指令的字节码拷贝出来，然后在x64dbg中粘贴入对应地址。确实节省了不少的时间以及避免了输入错误问题和相对跳转计算的问题。

---

🎮 古墓丽影123重制版：劳拉高坠尖叫开关补丁制作指南

本教程介绍如何在《古墓丽影123重制版/复刻版》中，通过修改 tomb1.dll 添加一个高坠尖叫开关。该方法利用 Cheat Engine (CE) 定位指令，结合 x64dbg 进行字节码注入，避免了手动计算相对跳转地址的繁琐过程。

⚠️ 重要安全提示

1. 备份文件：在操作前，务必备份游戏目录下的 tomb1.dll 文件，以防修改失败导致游戏无法启动。
2. 代码审计：建议在使用任何补丁前，利用 AI 工具或反汇编软件分析补丁内容，确保其中不包含危害系统安全的恶意代码。
3. 责任自负：修改游戏文件可能导致游戏不稳定或被反作弊系统标记，请仅在单机模式下使用。

---

🛠️ 核心原理

1. 拦截：在原程序的验证逻辑处（0x20155）插入跳转指令，将执行流重定向到空白区域（0xA7701）。
2. 注入：在空白区域写入自定义逻辑，包含一个全局开关判断。
3. 还原：根据开关状态，选择执行原始的尖叫逻辑或直接跳过。

涉及的汇编逻辑

注入点：tomb1.dll + 0xA7701

; 检查全局开关标志位 (地址: 0x7FF9AFB87741)
cmp byte ptr [0x7FF9AFB87741], 0x1   ; 如果值为 1，则开启特殊逻辑（关闭尖叫）
jne tomb1.7FF9AFB87713               ; 如果不等于 1，跳转到原始逻辑继续执行

; --- 开关生效时的逻辑 ---
jmp tomb1.7FF9AFB00178               ; 直接跳过尖叫触发代码

; --- 原始逻辑复现 (当开关未激活时) ---
cmp word ptr [rcx+0x24], ax          ; 原始的高度/速度判断
jl tomb1.7FF9AFB00178                ; 如果满足条件，跳转
jmp tomb1.7FF9AFB0015B               ; 否则，执行尖叫逻辑

拦截点：tomb1.dll + 0x20155

; 原指令被替换为跳转
jmp tomb1.7FF9AFB00178+0x875A7       ; 跳转到 0xA7701 (即 E9 A7 75 08 00)
nop                                  ; 填充剩余字节 (90)

---

📥 补丁文件使用方法

无需手动输入十六进制代码，方便的使用 x64dbg 专用的 .1337 补丁格式。

步骤 1：创建补丁文件

新建一个文本文件，命名为 取消尖叫.1337 (文件名可自定义，扩展名必须是 .1337)，并将以下内容完整复制进去：

>tomb1.dll
0000000000020155:66->E9
0000000000020156:39->A7
0000000000020157:41->75
0000000000020158:24->08
0000000000020159:7C->00
000000000002015A:1D->90
00000000000A7701:00->80
00000000000A7702:00->3D
00000000000A7703:00->39
00000000000A7707:00->01
00000000000A7708:00->0F
00000000000A7709:00->85
00000000000A770A:00->05
00000000000A770E:00->E9
00000000000A770F:00->65
00000000000A7710:00->8A
00000000000A7711:00->F7
00000000000A7712:00->FF
00000000000A7713:00->66
00000000000A7714:00->39
00000000000A7715:00->41
00000000000A7716:00->24
00000000000A7717:00->0F
00000000000A7718:00->8C
00000000000A7719:00->5B
00000000000A771A:00->8A
00000000000A771B:00->F7
00000000000A771C:00->FF
00000000000A771D:00->E9
00000000000A771E:00->39
00000000000A771F:00->8A
00000000000A7720:00->F7
00000000000A7721:00->FF

步骤 2：在 x64dbg 中应用

1. 启动 x64dbg。
2. 点击 File -> Open，选择《古墓丽影123重制版》的主程序（通常是 Tomb123.exe ）。
3. 等待程序加载。
4. 点击菜单栏 File (文件) -> Patch (补丁) -> Load Patch File... (加载补丁文件)。
5. 选择刚才创建的 取消尖叫.1337 文件。
6. 观察底部日志窗口，若显示 Patch applied successfully 则表示成功。
7. 点击 Run (运行) 启动游戏，测试高坠时是否还有尖叫声音。

---

💡 技巧总结

• CE + x64dbg 联动：在 CE 中编写和测试汇编逻辑非常方便，确认无误后，直接复制机器码（Bytecode）到 x64dbg 中粘贴，可以极大减少手动输入错误。
• 避免相对跳转计算：通过在 CE 中直接生成最终的跳转指令，CE 自动计算偏移量，省去了人工计算地址的麻烦。
• 模块化补丁：使用 .1337 格式可以将复杂的内存修改保存为单一文件，便于分享和重复使用。

注意！！！开关地址：tomb1.dll+A7741

值 = 1：取消尖叫！

祝你在劳拉的冒险之旅中玩得开心！🏔️🔦

laozhhaiJohn

aiy1925 发表于 2026-2-27 08:46
我小白不太懂啊，为啥不直接用ce在空白处写跳转？每次都改内存不行吗？

哦，上面文中所有的功能，都能在CE中完整实现。我是在学习x64dbg的过程中，练练手，结合ce和x64dbg给游戏作弊。其实，无论单独用CE或者单独用x64dbg，都能实现控制内存指令，实现游戏作弊。

caizhuokun

谢谢大神，学到了很多，受益匪浅！

JackCrown

谢谢大神，学到了很多，受益匪浅！

kelzch

感谢分享，很实用

gra1108

谢谢楼主的精彩教程，我看来得消化一段时间

zdyzzgdnnyx

如果用ce的代码注入和ct框架会不会方便一点

SanJohn

谢谢大佬分享，来学习一下

XorLaz

其实直接只用CE就可以了，个人还是比较喜欢用CE的反汇编窗口，看着比较简洁，虽然说没dbg功能多吧....

Czxzh81

新手学习，感谢分享！

0Hero0

x64dbg用了一下，完全看不懂，过来学习！