@StoneWeaver вот если прочитать байты со всего виртуального адресного пространства процесса, это будет называться сохранением состояния или снимка программы? Если да, то получается если я запишу обратно все эти байты в память процесса это будет называться восстановлением состояния.

Тот же пример с игрой - это будет считаться будто я сохранил игровой процесс в файл в виде снимка, а потом восстановил его, только использовал не игровую функцию сохранения, а функцию чтения/записи байт в памяти.

У меня есть игра, в которой есть персонаж, который может ходить, бегать и прыгать. У него есть здоровье. Я могу сохранить состояние игры (процесса) - сделать снимок/дамп с помощью специального инструмента. Дальше похожу, побегаю, уменьшу количество здоровья и загружу дамп/снимок в память процесса и в итоге получу исходные координаты и начальное количество здоровья (которое было на момент создания дампа). Похожая штука есть в эмуляторах.

Могу ли я сказать, что снимок или дамп памяти — это байты, которые были сохранены на момент создания снимка в виртуальном адресном пространстве (в куче, сегменте кода, сегменте данных, BSS-сегменте, стеке и в области для загруженных библиотек, см. изображение ниже)?

Если да, то я могу прочитать байты в адресах памяти и записать эти байты и соответствующие адреса памяти в файл, а потом, когда мне нужно, с помощью цикла или чего-то подобного записать эти байты по нужным адресам обратно в игровой процесс.

@Partizan1078
В EDI был адрес памяти который каждый кадр или каждую секунду хранил разные значения, примерно от 0 до 7-ми значного. Тут я пока не понял что это такое. Ну и да если прибавить смещение, получаю адрес изначальный.
Artmoney пробовал, но давно и только чтоб пару значений найти.
В CE использовал его же отладчик, правой кнопкой по адресу и "what access", "what writes to this address".

P.S. Попробовал Artmoney, адреса находит, даже показывает как бы реальные адреса (те которые в игре, например, 0997FE78 - это адрес в игре или эмулируемый, а есть 17D7FE78 - это уже адрес на ПК то есть, который эмулирует), но при попытке присоединить отладчик снова вижу movss [edi+0C400268], xmm2. Выходит надо отлаживать именно тот самый реальный игровой адрес -> попробовал, не хочет, даже в CE пытался найти именно реальный адрес, но безуспешно, значит в памяти ПК его нет, CE его не видит, а он есть.

Добрый день, ломаю игру на эмуляторе PPSSPP (32-битный процесс). До этого с эмуляторными играми не работал. Со структурами я знаком, поэтому нашёл адрес здоровья машины и попытался через отладчик в CE (использую последнюю версию 7.5) найти что пишет или читает этот адрес.

Ожидал увидеть что-то такое опкод [регистр+смещение], значение (если есть), где в регистре содержится базовый адрес структуры конкретной машины в игровом мире, а смещение - это смещение в байтах от начала структуры до адреса/поля со здоровьем в структуре. Для примера в играх GTA 3, VC, SA на PC это работает так да и в принципе во всех играх, так как такая штука как структура устроена везде одинаково.

Однако увидел нечто такое movss [edi+0C400268], xmm2 по логике в edi должен быть базовый адрес структуры, но там адрес, который в памяти находиться сильно сильно выше относительно адреса здоровья машины и смещение как можно видеть 0x0C400268 тоже весьма огромное. Попытался через автоматический поиск указателей в CE найти хоть что-то, но там 0, однако если указать максимальное значение смещение перед началом поиска в 999999 то что-то начнёт находить, только начало указателя будет чем-то таким "PPSSPPWindows.exe"+0004D110.

Вопрос, в чём тут хитрость и можно ли найти всё таки базовый адрес структуры?