400000 (esadecimale) è il BaseAddress del processo: si tratta dell'indirizzo di memoria (logico, non fisico) dove viene caricato il codice del programma (da quell'indirizzo iniziano le sezioni del programma: sotto Windows, il formato Portable Executable ha varie sezioni che contengono codici, dati e risorse e vengono caricate in memoria all'avvio del programma. La prima sezione viene caricata al BaseAddress).
Quando Cheat Engine scrive il nome del processo (come ad esempio "minesweeper.exe"+000AAA38) con quello vuole indicare il BaseAddress di quel processo. Quindi per trovare l'indirizzo devi fare (con una calcolatrice impostata su esadecimale): VA = BaseAddress+RVA. Dove VA sta per Virtual Address (è l'indirizzo virtuale vero e proprio che ti interessa. "virtuale" in quanto non corrisponde alla vera locazione fisica: siamo in modalità protetta, e Windows alloca per tutti i processi una memoria virtuale); Il BaseAddress è di solito 400000 ma non per forza: puoi controllarlo con un PE Analyzer, ma anche con un debugger (quindi anche con lo stesso CE); RVA sta per Relative Virtual Address ("relative" perché è relativo al BaseAddress: ovvero non corrisponde all'indirizzo logico vero e proprio (VA) ma è un indirizzo che deve essere sommato al BaseAddress).
Se il BaseAddress del processo è 400000 e CE mostra: "nomeprocesso.exe"+00123ABC per trovare il vero indirizzo (VA) devi fare:
VA = 400000 + 00123ABC = 00523ABC
![:\](/forum/data/assets/smilies/mhhae.gif "Mhhae :\")
perchèèèè