外挂写作.docx
《外挂写作.docx》由会员分享,可在线阅读,更多相关《外挂写作.docx(20页珍藏版)》请在冰豆网上搜索。
外挂写作
看本文前必须先会ASM,VC,OD,FPE,HOOK
1游戏修改
我一直用的是FPE2000,不习惯用其他的修改器,因为有个功能其他的修改器没有,而且这个功能相当重要。
怎样搜索就不讲了,主要讲分析。
先看血和魔法,大家会发现一般的游戏血和魔法都在相临的位置,为什么哪?
这个原理很简单,因为编程人员的习惯问题。
写游戏时会定义一个基本的结构,这个结构包含人物
的一些属性,例如:
struct_CHAR_ATTR
{
charName[30]
DWORDHP,MAXHP;
DWORDMP,MAXMP;
DWORDExp;
}
这样一来程序运行后分配内存是按结构分配的,所以直接分配一个结构的大小并不考虑结构中的变量,那么结构中的变量地址当然是相临的。
所以一般查到HP的时候就可以查到1个人物的一些基本属性了。
以经验来讲,人物的动作也在这个结构附近,这里就要介绍只有FPE有的重要功能了。
动作一般是一些数字表示,当人物做一个砍怪的动作时,会分N个细节的动作,一般这些动作都是连续的数字,好比0是站立准备砍怪,1是举起武器,2是往下挥武器,3是砍到怪,4是收起武器,然后就是循环这几个动作,那我们怎样
找这个地址哪,首先找到HP地址,然后在FPE上点EDIT页面,这时FPE显示的数据是点击edit时的数据,再转回游戏,不要动也不要掉血,不然就不准了,再转回FPE,按下F5(这个就是我说的重要功能),有没有看到一些地址的数据已经变了,没错这些数据变动的数据就是人物的骨骼动画数据,如果没有发现变动也不要紧,按PAGEUP或者PAGEDOWN,看看附近的内存页是否有数据在变动,接下来就是分析这些动画数据了,我们再回游戏,然后让你的人物跑起来,要跑的比较远不然还没等转到FPE就停了,跑起来后我们转回FPE,然后一直按着F5,看数据的变化,主要是寻找*循环*变动的数据,可能刚开始找这些不会太明白,不过没关系,凭知觉,看哪个象就在哪个地址锁定,锁定完后再去游戏跑跑看,如果人物跑的动作不对的话那就证明你成功了,接下来用同样的方法找打怪的动作,找到后就可以做光人物加速而游戏速度不变的功能了:
)什么?
到现在你不还不知道怎么做人物加速?
那我再费点手力,还看上面0、1、2、3、4动作,我们可以直接去掉0、1、2两个动作,在FPE里锁定值是3,判断是=0,就是当做0动作时直接跳到3动作。
这样就直接是砍怪和收武器的动作了作了,如果还嫌慢那就把4也去掉,FPE里同一地址锁定值是0,判断是3,这样光剩下砍的动作了,做完后回游戏看看,发现你的任务砍怪时一直在抽筋:
)
FPE里还有个重要的搜索就是'?
',用这个可以搜索条状数值,如果不会的话可以哪一些单机游戏做实验。
2窗口化
2D游戏窗口化
主要是修改窗口类型。
//窗口类型和窗口扩展类型
LONGstyle,exstyle
//得到窗口类型
style=GetWindowLong(窗口句柄,GWL_STYLE);
//加上标题栏
style=style|WS_CAPTION;
//这里就是把游戏设置成窗口模式了
SetWindowLong(窗口句柄,GWL_STYLE,style);//修改窗体的exstyle属性
//对于扩展类型可以改也可以不改,看自己喜好了。
exstyle=GetWindowLong(窗口句柄,GWL_EXSTYLE);
exstyle=exstyle|WS_EX_APPWINDOW|WS_EX_WINDOWEDGE;
//设置窗口的扩展类型
SetWindowLong(窗口句柄,GWL_EXSTYLE,exstyle);
//这里是设置窗口的大小,并且设置置顶的属性
SetWindowPos(窗口句柄,HWND_NOTOPMOST,0,0,800,600,SWP_SHOWWINDOW);
//显示窗口
ShowWindow(窗口句柄,SW_SHOWNORMAL);
//接下来是修改窗口的消息了,一般游戏会在改变窗口模式消息检测是否是全屏模式
//这个变量用来保存游戏窗口原先的消息处理函数
WNDPROCOldMsgProc;
//得到原来的消息函数
OldMsgProc=(WNDPROC)GetWindowLong(窗口句柄,GWL_WNDPROC);
//接下来我们就替换自己的窗口消息函数
if(SetWindowLong(窗口句柄,GWL_WNDPROC,(long)MsgProc)==0)
returnfalse;
//窗口消息函数
LRESULTCALLBACKMsgProc(HWNDhWnd,UINTmsg,WPARAMwparam,LPARAMlparam)
{
//消息过滤
switch(msg)
{
caseWM_ACTIVATEAPP:
caseWM_ACTIVATE:
caseWM_KILLFOCUS:
caseWM_SETFOCUS:
caseWM_CLOSE:
return0;
//杀掉检测窗口模式的定时器
caseWM_TIMER:
if(wparam==检测窗口模式的定时器ID)
KillTimer(hWnd,wparam);//杀掉
break;
}
returnCallWindowProc(OldProcMsg,hWnd,msg,wparam,lparam);
}
这样就完成窗口化了,还有一点需要注意的,就是如果游戏启用定时器检测窗口状态时我们必须把这些定时器关掉,可以用spy++检测游戏窗口用了哪几个定时器。
然后记录下来定时器的ID,在窗口消息3D游戏窗口化
3D游戏就比较简单了,主要是靠的是DirectX中的CreateDevice函数,当然每个dx版本创建都不一样,但基本步骤都差不多。
只要修改D3DPRESENT_PARAMETERS结构就可以实现了。
我们只要hookdx的CreateDevice,在其中把D3DPRESENT_PARAMETERS.Windowed属性改为true即可。
不过可能导致游戏不能正常运行或者画面位移、透明等,这些就要参考dx的D3DPRESENT_PARAMETERS结构另外的参数了。
可以参考任意一个D3D教程,里面都有详细的解释。
3游戏加速
游戏加速是利用修改时间函数的返回值。
利用hook修改返回值应该是很简单的,我就不讲了,但是有些游戏当你利用hook修改后他却提示你修改函数被修改而终止游戏。
不过不要怕只要会汇编没什么能难倒的。
下面的函数就是修改了GetTickCount()函数的返回值用vc写的。
下面是在hook初始化时做的工作。
DWORDdwIdOld1=0;
DWORD*p1=((DWORD*)GetTickCount)+3;
VirtualProtectEx(GetCurrentProcess(),(LPVOID)p1,2,PAGE_READWRITE,&dwIdOld1);
if(m_Speed==1)
{
__asm
{
pusheax
moveax,p1
mov[eax+1],0x17//加1倍速度
popeax
}
}
else
{
__asm
{
pusheax
moveax,p1
mov[eax+1],0x16//加2倍速度
popeax
}
}
VirtualProtectEx(GetCurrentProcess(),(LPVOID)p1,2,dwIdOld1,&dwIdOld1);
这个我就不多讲了因为想要源代码的可以找我。
4写屏
大多数人是利用修改游戏函数写屏的,我的方法是HOOKdx写屏。
原理很简单,游戏是要通过Blt和BltFast转换页面的,我将字写到后台页面就可以了,好处是不必太麻烦找游戏输出函数,而且换个游戏也一样能用。
而且还能贴个图片到游戏。
坏处是如果dx版本不同就要修改代码了。
建议用MS的detours,方便而且稳定。
//输出文字到一个页面
HRESULTDrawText(LPDIRECTDRAWSURFACEm_pdds,TCHAR*strText,DWORDdwOriginX,DWORDdwOriginY,
COLORREFcrBackground,COLORREFcrForeground)
{
HDChDC=NULL;
HRESULThr;
HFONThFont=NULL;
if(m_pdds==NULL||strText==NULL)
returnE_INVALIDARG;
//Makesurethissurfaceisrestored.
if(FAILED(hr=m_pdds->Restore()))
returnhr;
if(FAILED(hr=m_pdds->GetDC(&hDC)))
returnhr;
//Setthebackgroundandforegroundcolor
SetBkColor(hDC,crBackground);
SetTextColor(hDC,crForeground);
if(hFont)
SelectObject(hDC,hFont);
//UseGDItodrawthetextonthesurface
TextOut(hDC,dwOriginX,dwOriginY,strText,strlen(strText));
if(FAILED(hr=m_pdds->ReleaseDC(hDC)))
returnhr;
returnS_OK;
}
//显示文本太简单了,就在HOOK的函数里写1句。
//老版本的BltFast这个是从离屏页面Copy图片到后台页面的函数
//DefHookDApi是我自己写的快捷定义hook函数不用去管。
detours
DefHookDApi(BltFast,HRESULT,(DWORDx,DWORDy,LPDIRECTDRAWSURFACElpdds,LPRECTlprc,DWORD
n))
{
//我们直接把东西Copy到离屏页面
DrawText(lpdds,"BltFast",0,0,RGB(0,0,0),RGB(255,255,0));
HRESULTret=Real_BltFast(x,y,lpdds,lprc,n);
returnret;
}
//老版本的Blt这个是从后台页面Copy主页面的函数
DefHookDApi(Blt,HRESULT,(GUIDFAR*lpGUID,LPRECTlprc,LPDIRECTDRAWSURFACElpdds,LPRECT
lprc1,
DWORDn,LPDDBLTFXn1))
{
//我们直接把东西Copy到后台页面
DrawText(lpdds,"Blt",0,0,RGB(0,0,0),RGB(255,255,0));
HRESULTret=Real_Blt(lpGUID,lprc,lpdds,lprc1,n,n1);
returnret;
}
5分析封包
我是用OD直接解密的,不提倡用wpe看,看的累,而且看半天看不出来东西。
首先是确保游戏运行文件没有加壳。
再看看启动后的游戏进程名是否跟你运行的exe名一样,如果不一样那么我们先来看他是如何启动的游戏进程,用od取你运行的exe文件,然后在命令里面输入bpCreateWindowW和bpCreateWindowExW,然后按F9运行,点你连接的服务器,这时会中断下来,然后看他启动的文件和参数,先在启动文件创建个快捷方式,然后把参数填到快捷方式里,以后直接运行这个快捷方式即可。
用od取实际的游戏执行文件,然后在命令行输入bpsend,bprecv,bpWSASend,bpWSARecv四个命令,再点od的调试-》参数,把刚才记录的参数写进去。
按CTRL+F2重新取。
按F9运行。
随便输入个帐号和密码点进入,这时会中断到send或者WSASend,按CTRL+F9即可回到游戏领域,然后像上看,加密可能就在这上面。
首先我们来判断这个函数的开始,如何判断函数入口那,就是看PUSH语句,od一般把一个函数用蓝线扩起来了,比较容易分清。
看函数入口到调用send或WSASend前面有没有call语句,如果有我们需要跟进去,如果发现离函数入口很近而且没有call语句那直接按CTRL+F9再回上一个领域,照这样的方法就可以找到加密算法了。
其实很简单。
接下来是recv和WSARecv,首先讲recv,中断这里后我们在堆栈窗口右键点buffer,然后选内存中显示。
再按CTRL+F9,发现内存中有了接收的数据,然后在内存的第一个字节右键点读硬件中断,继续按F9运行吧,很快会中断到读取内存的地方,很简单这里有可能就是加密的地方,如果看不出来那么在内存第5个字节同样做读硬件内存中断,很快就能找到解密地方。
WSARecv的buffer不一样,他是个缓存指针,如果中断到这里我们一样在堆栈窗口右键点buffer,然后选内存中显示。
这是个结构,前4个是buffer大小,后面的才是数据,按CTRL+F9,发现接收数据,我们直接在第5个地方下读硬件中断,以后就跟recv一样了。
呵呵一切都不难,只要会汇编就ok。
6找写屏函数的方法
我用si来分析的,因为od我不知道怎么搜索内存。
。
。
在游戏的交谈栏里写一句话,先不要发送,然后用si的s命令搜索你要发的这句话比如话是‘我要搜索的内存’,sds:
00000000lffffffff'我要搜索的内存',有可能会找到多个地址,这个跟fpe的搜索差不多,一个一个修改试试,用“d地址”命令可以查看找到的地址,然后光标移动到内存页面上面就可以修改了。
找到正确的后就要下内存断点了,"bpm地址r"命令就可以了,返回游戏把话发出去,这时就会中断到读这段内存的语句了,一般是lea汇编指令,意思是把这个内存地址副给积存器,然后PUSH,然后就是call了,至于如何分析call有几个参数可以看win32asm教程。
有时候也可能复杂点,就是游戏把这个内存拷贝到另一个内存然后再输出,这样就是多了一个步骤而已,只要在拷贝到另一个内存的地址下个内存中断即可。
找到函数如何利用哪?
在你的hookdll中可以直接调用这个函数,例如这个写屏函数有2个参数,1个是buf,第2个是buf的长度,汇编语句是
movebx,ds[?
?
?
?
]
pushebx
leaeax,ds[?
?
?
?
]
pusheax
call?
?
?
?
?
?
//用vc写个函数,不用怀疑就是那么简单
__declspec(naked)Out(char*buf,intlen)
{
movebx,len
pushebx
leaeax,buf
pusheax
call?
?
?
?
?
?
}
一般我都做利用recv或WSARecv函数返回失败后做这些功能。
DefHookApi(recv,int,(SOCKETs,char*buf,intlen,intflags))
{
intret=Real_recv(s,buf,len,flags);
if(ret<1&&strcmp(outbuf,""))
{
Out(outbuf,strlen(outbuf));
ZeroMemory(outbuf,sizeof(outbuf));//记得清空不然会一直发送
}
}
这样就ok了。
开发外挂的一些原理
2007年04月19日星期四19:
42
看本文前必须先会ASM,VC,OD,FPE,HOOK
1游戏修改
我一直用的是FPE2000,不习惯用其他的修改器,因为有个功能其他的修改器没有,而且这个功能相当重要。
怎样搜索就不讲了,主要讲分析。
先看血和魔法,大家会发现一般的游戏血和魔法都在相临的位置,为什么哪?
这个原理很简单,因为编程人员的习惯问题。
写游戏时会定义一个基本的结构,这个结构包含人物
的一些属性,例如:
struct_CHAR_ATTR
{
charName[30]
DWORDHP,MAXHP;
DWORDMP,MAXMP;
DWORDExp;
}
这样一来程序运行后分配内存是按结构分配的,所以直接分配一个结构的大小并不考虑结构中的变量,那么结构中的变量地址当然是相临的。
所以一般查到HP的时候就可以查到1个人物的一些基本属性了。
以经验来讲,人物的动作也在这个结构附近,这里就要介绍只有FPE有的重要功能了。
动作一般是一些数字表示,当人物做一个砍怪的动作时,会分N个细节的动作,一般这些动作都是连续的数字,好比0是站立准备砍怪,1是举起武器,2是往下挥武器,3是砍到怪,4是收起武器,然后就是循环这几个动作,那我们怎样
找这个地址哪,首先找到HP地址,然后在FPE上点EDIT页面,这时FPE显示的数据是点击edit时的数据,再转回游戏,不要动也不要掉血,不然就不准了,再转回FPE,按下F5(这个就是我说的重要功能),有没有看到一些地址的数据已经变了,没错这些数据变动的数据就是人物的骨骼动画数据,如果没有发现变动也不要紧,按PAGEUP或者PAGEDOWN,看看附近的内存页是否有数据在变动,接下来就是分析这些动画数据了,我们再回游戏,然后让你的人物跑起来,要跑的比较远不然还没等转到FPE就停了,跑起来后我们转回FPE,然后一直按着F5,看数据的变化,主要是寻找*循环*变动的数据,可能刚开始找这些不会太明白,不过没关系,凭知觉,看哪个象就在哪个地址锁定,锁定完后再去游戏跑跑看,如果人物跑的动作不对的话那就证明你成功了,接下来用同样的方法找打怪的动作,找到后就可以做光人物加速而游戏速度不变的功能了:
)什么?
到现在你不还不知道怎么做人物加速?
那我再费点手力,还看上面0、1、2、3、4动作,我们可以直接去掉0、1、2两个动作,在FPE里锁定值是3,判断是=0,就是当做0动作时直接跳到3动作。
这样就直接是砍怪和收武器的动作了作了,如果还嫌慢那就把4也去掉,FPE里同一地址锁定值是0,判断是3,这样光剩下砍的动作了,做完后回游戏看看,发现你的任务砍怪时一直在抽筋:
)
FPE里还有个重要的搜索就是'?
',用这个可以搜索条状数值,如果不会的话可以哪一些单机游戏做实验。
2窗口化
2D游戏窗口化
主要是修改窗口类型。
//窗口类型和窗口扩展类型
LONGstyle,exstyle
//得到窗口类型
style=GetWindowLong(窗口句柄,GWL_STYLE);
//加上标题栏
style=style|WS_CAPTION;
//这里就是把游戏设置成窗口模式了
SetWindowLong(窗口句柄,GWL_STYLE,style);//修改窗体的exstyle属性
//对于扩展类型可以改也可以不改,看自己喜好了。
exstyle=GetWindowLong(窗口句柄,GWL_EXSTYLE);
exstyle=exstyle|WS_EX_APPWINDOW|WS_EX_WINDOWEDGE;
//设置窗口的扩展类型
SetWindowLong(窗口句柄,GWL_EXSTYLE,exstyle);
//这里是设置窗口的大小,并且设置置顶的属性
SetWindowPos(窗口句柄,HWND_NOTOPMOST,0,0,800,600,SWP_SHOWWINDOW);
//显示窗口
ShowWindow(窗口句柄,SW_SHOWNORMAL);
//接下来是修改窗口的消息了,一般游戏会在改变窗口模式消息检测是否是全屏模式
//这个变量用来保存游戏窗口原先的消息处理函数
WNDPROCOldMsgProc;
//得到原来的消息函数
OldMsgProc=(WNDPROC)GetWindowLong(窗口句柄,GWL_WNDPROC);
//接下来我们就替换自己的窗口消息函数
if(SetWindowLong(窗口句柄,GWL_WNDPROC,(long)MsgProc)==0)
returnfalse;
//窗口消息函数
LRESULTCALLBACKMsgProc(HWNDhWnd,UINTmsg,WPARAMwparam,LPARAMlparam)
{
//消息过滤
switch(msg)
{
caseWM_ACTIVATEAPP:
caseWM_ACTIVATE:
caseWM_KILLFOCUS:
caseWM_SETFOCUS:
caseWM_CLOSE:
return0;
//杀掉检测窗口模式的定时器
caseWM_TIMER:
if(wparam==检测窗口模式的定时器ID)
KillTimer(hWnd,wparam);//杀掉
break;
}
returnCallWindowProc(OldProcMsg,hWnd,msg,wparam,lparam);
}
这样就完成窗口化了,还有一点需要注意的,就是如果游戏启用定时器检测窗口状态时我们必须把这些定时器关掉,可以用spy++检测游戏窗口用了哪几个定时器。
然后记录下来定时器的ID,在窗口消息3D游戏窗口化
3D游戏就比较简单了,主要是靠的是DirectX中的CreateDevice函数,当然每个dx版本创建都不一样,但基本步骤都差不多。
只要修改D3DPRESENT_PARAMETERS结构就可以实现了。
我们只要hookdx的CreateDevice,在其中把D3DPRESENT_PARAMETERS.Windowed属性改为true即可。
不过可能导致游戏不能正常运行或者画面位移、透明等,这些就要参考dx的D3DPRESENT_PARAMETERS结构另外的参数了。
可以参考任意一个D3D教程,里面都有详细的解释。
3游戏加速
游戏加速是利用修改时间函数的返回值。
利用hook修改返回值应该是很简单的,我就不讲了,但是有些游戏当你利用hook修改后他却提示你修改函数被修改而终止游戏。
不过不要怕只要会汇编没什么能难倒的。
下面的函数就是修改了GetTickCount()函数的返回值用vc写的。
下面是在hook初始化时做的工作。
DWORDdwIdOld1=0;
DWORD*p1=((DWORD*)GetTickCount)+3;
VirtualProtectEx(GetCurrentProcess(),(LPVOID)p1,2,PAGE_READWRITE,&dwIdOld1);
if(m_Speed==1)
{
__asm
{
pusheax
moveax,p1
mov[eax+1],0x17//加1倍速度
popeax
}
}
else
{
__asm
{
pusheax
升级会员 