wgzhizuo.doc

协议型网络游戏外挂制作之DLL中改代码

协议型网络游戏外挂制作之DLL中改代码  

--------------------------------------------------------------------------------
文章作者:zhangze     文章来源:     发布时间:2005-03-10 09:12:21  
　　第一节到第三节我们说了基本工具的准备，第四节使用免升级和免弹出主页来做了一下基本的练习。第四节中和普通的游戏修改器没有太大的区别，只是一个修改的是数据，一个修改的是代码。这一节中我们将通过在dll中修改大话的代码来进行外挂的制作。其实在dll中动态修改代码和上一节用的方法一样，只是要改写的东西更多了而已。  

　　原理和上一节中的函数一样，都是调用WriteProcessMemory。 

　　这一节的任务是拦截接收到的数据，关于发送的数据可以进行相类似的处理。一般在分析网络游戏的时候，都是先分析接收到的数据。对于大话的程序，中间如何去分析的过程就不说了，这要看自己的调适能力了。不过对于9.16之前的大话客户端程序，里面含有大量的调试信息（也可能是脚本信息），大致分析程序可以发现，程序总是在打印调试信息之后，然后做实际的工作。其中对于"rx_decode"这个字段很感兴趣，看看调用的地方： 

.text:00449D4F 154 push offset aRx_decode ; "rx_decode" 

　　在前方不久的地方就是网络函数recv，因此可以这样来理解，程序接收到数据之后，打印出调试信息，然后跳转到： 

.text:00449D95 154 push ebp 

　　的地方继续执行，通过不断的跟踪发现，大部分时候程序都执行到地址： 

.text:00449DED 154 mov [eax], edi 

　　而且，[edi]中的内容在相同的时刻几乎是相似的，通过在游戏中随机的打开中断，将[edi]中的内容dump出来，然后组成ASCII码便可以发现，里面的内容相对来说是不变的，如果你运气好刚好可以拦截到聊天数据的话，就会发现里面的内容就是聊天的内容。这有点像碰运气。不过，如果采用下面的方法的话，就可以不用碰运气了。首先，我们发现edi是一个数据的地址，ebp中是我们接收到的数据的长度。当对其中的内容感到怀疑的时候，我们就想将该语句执行的时候[edi]中的内容dump出来，dump的长度就是ebp中的值。因此我们通过w32dasm来制作内存补丁，使用W32dasm反编译程序之后，使用快捷键Ctrl+L可以将程序加载到内存中，不让程序执行，快捷键Ctrl+F12跳转代码窗口的地址到00449DED 一行，方便恢复代码的时候用。在调试窗口中按Ctrl+F12将当前代码位置跳转到00449DED。 

　　我们将在这里进行内存补丁的编写。点击Patch Code按钮就可以直接写内存代码了。在00449DED的位置的补丁如下： 

:00449DED E90ECA0400 jmp 00496800 

　　00496800地址的内容是一段空闲得内存。在ida中可以看到程序中没有任何地方使用这块内存，我们将在这里进行程序的修改。当程序执行到00449DED的时候，就会跳转到00496800接着执行，因此，我们还必须修改00496800处的代码，使用Ctrl+F12跳转到00496800处，开始打补丁： 

　:00496800 50 push eax;保存各寄存器的值 

　:00496801 53 push ebx 

　:00496802 51 push ecx 
　 
　:00496803 52 push edx 

　:00496804 55 push ebp；ebp为这次接收到的数据长度 

　:00496805 57 push edi；edi为数据地址 

　:00496806 6804040000 push 00000404；向外挂程序发送拦截消息ID 

　:0049680B A1D0664900 mov eax, dword ptr [004966D0]；[004966d0]中包含的是外挂窗口的窗口句柄 

　:00496810 50 push eax 

　:00496811 3EFF1574924700 call dword ptr ds:[00479274]；ds:[00479274]为SendMessage的函数地址，调用SendMessage函数向外挂发送命令 

　:00496818 5A pop edx;恢复各寄存器 

　:00496819 59 pop ecx 

　:0049681A 5B pop ebx 

　:0049681B 58 pop eax 

　:0049681C 8938 mov dword ptr [eax], edi；调用原来的操作，因为我们打补丁的时候跳过了部分操作，因此在这里进行原来的操作。 

　:0049681E 5F pop edi 

　:0049681F 5E pop esi 

　:00496820 5D pop ebp 

　:00496821 E9CC35FBFF jmp 00449DF2;跳回原来的地址之后接着执行 

　　以上就是拦截补丁的完整代码。在使用的时候，必须先将大话程序的[004966d0]中填充上外挂的窗口句柄，要不然是没办法弄得。 

　　使用W32dasm做补丁的时候好处在于我们看到的就是程序执行时用的虚拟地址，并且，W32dasm在给出汇编代码的同时给出了代码的16进制表示。补丁做完之后，剩下的就是如何将补丁程序放入到目标程序中了。 

　　当外挂窗口创建之后，我们通过向外挂窗口发送WM_USER+2来命令外挂窗口执行修改大话程序的操作。 

　　下面是具体的修改操作： 

void TwgHookForm::ModifyXy2(TMessage Message) 
{ 
　DWORD dwIdOld1, dwIdOld2, dwIdOld3, dwIdOld4, dwIdOld5; 
　DWORD id=GetCurrentProcessId(); 
　HANDLE handle1 = OpenProcess(PROCESS_ALL_ACCESS, FALSE,id); 
　if (wghandle) 
　{ 
　　Byte getrecv1[] = 
　　　{ 
　　　　0xE9, 0x0E, 0xCa, 0x04, 0x00 
　　　}; //5 
　　Byte getrecv2[] = 
　　　{ 
　　　　0x50, 0x53, 0x51, 0x52, 0x55, 0x57, 0x68, 0x04, 0x04, 0x00, 
　　　　0x00, 0xA1, 0xd0, 0x66, 0x49, 0x00, 0x50, 0x3E, 0xFF, 0x15, 
　　　　0x74, 0x92, 0x47, 0x00, 0x5A, 0x59, 0x5B, 0x58, 0x89, 0x38, 
　　　　0x5F, 0x5E, 0x5D, 0xE9, 0xcc, 0x35, 0xFB, 0xFF 
　　　}; //38 
　　VirtualProtectEx(handle1, (void*)(0x004966d0), 4, PAGE_READWRITE,&dwIdOld1); 
　　if ((WriteProcessMemory(handle1, (void*)(0x004966d0), &wghandle, 4,NULL)) == false) 
　　{ 
　　　ShowMessage("写句柄错误！"); 
　　　return ; 
　　} 
　　VirtualProtectEx(handle1, (void*)(0x004966d0), 4, dwIdOld1, &dwIdOld1); 
　　VirtualProtectEx(handle1, (void*)(0x00449DED), 5, PAGE_READWRITE,&dwIdOld4); 
　　if ((WriteProcessMemory(handle1, (void*)(0x00449DED), getrecv1, 5, NULL) 
) == false) 

　{ 
　　ShowMessage("拦截接收修正补丁错误！"); 
　} 
　VirtualProtectEx(handle1, (void*)(0x00449DED), 5, dwIdOld4, &dwIdOld4); 
　VirtualProtectEx(handle1, (void*)(0x00496800), 38, PAGE_READWRITE,&dwIdOld5); 
　if ((WriteProcessMemory(handle1, (void*)(0x00496800), getrecv2, 38,NULL)) == false) 
　{ 
　　ShowMessage("拦截接收补丁错误！"); 
　} 
　VirtualProtectEx(handle1, (void*)(0x00496800), 38, dwIdOld5, &dwIdOld5); 
} 

}  

　　在CB中使用自定义消息，需要在头文件中加入： 

#define WM_USER_MODIF (WM_USER+2) //修改大话程序的消息 
#define WM_USER_GETSEND (WM_USER+1) //拦截到发送数据接收到的消息 
#define WM_USER_APIHOOK (WM_USER+5) //APIHOOK拦截到接收到的消息 
#define WM_USER_GETRECV (WM_USER+4) //修改后的程序会向外挂窗口发送该消息。  

　　在外挂窗口类里面（我这里是TwgHookForm），添加函数void ModifyXy2(TMessage Message)； 

void GetRecv(TMessage Message);  

　　在protected:关键字下面添加消息映射声明： 

BEGIN_MESSAGE_MAP 
VCL_MESSAGE_HANDLER(WM_USER_MODIF, TMessage, ModifyXy2) 
VCL_MESSAGE_HANDLER(WM_USER_APIHOOK, TMessage, HOOKAPITest) 
VCL_MESSAGE_HANDLER(WM_USER_GETSEND, TMessage, GetSend) 
VCL_MESSAGE_HANDLER(WM_USER_GETRECV, TMessage, GetRecv) 
END_MESSAGE_MAP(TForm)  

　　以上就是拦截接收数据的全部了。结合以前的代码，运行程序，可以发现，拦截到的数据为所有的已经解密了的游戏数据，至于数据的解析，就看自己的了，这里给出一个解析的代码框架： 

#define CMDVOID(a) \ 
void CMDSAY##a(int cmd, int length, char* date) 
#define RECVCASE(cmd,length,data) \ 
case cmd:\ 
CMDSAY##cmd(cmd,length,data);\ 
break  


　　class中的声明： 

CMDVOID(10); 

CMDVOID(11); 

CMDVOID(21); 

　　在接收到的函数GetRecv中： 

void TwgHookForm::GetRecv(TMessage Message) 
{ 
　if (Message.WParam == 1) 
　{ 
　　cmdrecvstate = RECVCMD;//如果接收到的是1个字符，则接收到的是命令 
　} 
　else if (Message.WParam == 2) 
　{ 
　　cmdrecvstate = RECVLENGTH;//如果接收到长度是2个字符，则为将要接收到的数据长度 
　} 
　else 
　{ 
　　cmdrecvstate = RECVDATA;//否则接收到的就是数据 
　} 
　static int cmd,datalength; 
　switch (cmdrecvstate) 
　{ 
　　case RECVCMD: 
　　　cmd = *((int*)(Message.LParam)); 
　　　return; 
　　case RECVLENGTH: 
　　　datalength = *((int*)(Message.LParam)); 
　　　return; 
　　case RECVDATA: 
　　　if (datalength == Message.WParam) 
　　　{ 
　　　　Cmdsay(cmd, datalength, (char*)Message.LParam);//如果数据包没有被拆分，则进行命令解释 
　　　} 
　　　else 
　　　{//否则，打印这个包现在内容 
　　　　Memo1->Lines->Add("注意：这个数据不完整:"); 
　　　　AnsiString astemp1 = "[接受]["; 
　　　　astemp1.cat_sprintf("%x][", cmd); 
　　　　astemp1.cat_sprintf("应收长度：%d实际长度:%d][",datalength,Message.WParam); 
　　　　BYTE *temp = (BYTE*)Message.LParam; 
　　　　for (int i = 0; i < Message.WParam; i++) 
　　　　{ 
　　　　　astemp1.cat_sprintf("%0.2x ", temp[i]); 
　　　　} 
　　　　astemp1.cat_sprintf("]["); 
　　　　for (int i = 0; i < Message.WParam; i++) 
　　　　{ 
　　　　　if(temp[i]>=0x20) 
　　　　　　astemp1.cat_sprintf("%c", temp[i]); 
　　　　　else 
　　　　　　astemp1.cat_sprintf("."); 
　　　　} 
　　　　astemp1.cat_sprintf("]"); 
　　　　Memo1->Lines->Add(astemp1); 
　　　} 
　　　return; 
　　}  

　　程序仅仅很简单的进行数据包的拦截和解析，对于被拆分的包不作处理，在真实应用中应该将这些包合并。 

　　上面的接收规则对于9.16之前的大话程序有效，大话程序的一组数据会分成3次发送，首先接收到的是名字字，这个为1字节长度，接着是要接收的数据的长度，这个为2个字节，接下来就是数据了。如果真实接收到的数据和应该接收的数据长度不一样的话，表示这个包被拆分了。 

　　对于9.16之后的程序，大话不一定按照这样的规则来进行，因此上面的只适应于9.16之前的程序。 

　　下面是Cmdsay的函数实现： 

void TwgHookForm::Cmdsay(int cmd, int length, char* date) 
{ 
　switch (cmd) 
　{ 
　　RECVCASE (10,length,date); 
　　RECVCASE (11,length,date); 
　　RECVCASE (21,length,date); 
　　default://未被解析的命令 
　　AnsiString astemp1 = "[接受]["; 
　　astemp1.cat_sprintf("%x][", cmd); 
　　astemp1.cat_sprintf("%d][", length); 
　　BYTE *temp = (BYTE*)date; 
　　for (int i = 0; i < length; i++) 
　　{ 
　　　astemp1.cat_sprintf("%0.2x ", temp[i]); 
　　} 
　　astemp1.cat_sprintf("][");  
　　for(int i=0;i<length;i++)  
　　if(temp[i]>=0x20) 
　　　astemp1.cat_sprintf("%c",temp[i]); 
　　else 
　　　astemp1.cat_sprintf(".");  
　　　astemp1.cat_sprintf("]"); 
　　　Memo1->Lines->Add(astemp1); 
　　　break; 
　} 
}  

　　上面就是全部了，对于发送的命令拦截，和接收的类似，可以自己分析。在前几节教程中我已经将打补丁的注意点说了一遍，这里就不再说了。对于9.16之后的程序，我只做了很少的研究，主要是因为没有大量的时间和心情来做这些事情，这里仅仅给一点初步的提示： 

　　1、 对于发送的数据，有些部分可能会采用二次加密的办法。 

　　2、 对于接收的数据，程序为了增加调试的难度，将数据转换成浮点数之后不断的进行地址的变换和数据的转移。 

　　3、 程序将接收和发送放入了一个线程中（这个可能，因为9.16之后比9.16之前多了一个线程）。 

　　4、 数据采用浮点数存储，加密过程中有可能转换成浮点数，但加密完之后又会转换成浮点数，直到最后的时候才会转换成整数发送。 

　　由于大话程序内部进行了非常大量的浮点和整数的转换，因此现在的大话程序是非常的耗费CPU资源的。以下面的代码来说： 

Int I; 

Float k=(float)I;//利用浮点数寄存器，这个用的时间很短 

I=(int)k;//在编译器编译的时候，会用自己的浮点整型转换，而不是数学协处理器进行转换，这个转换大概比使用浮点寄存器转换慢12-60倍左右或者更多。使用ida4.7可以看到反编译之后调用了库函数_ftol。慢的原因是因为库函数是为数学计算进行的，而不是为了游戏中的效率而设计的。这是9.16之后大话变得卡的主要原因。  

　　对于9.16之后的程序，也可以进行相同的处理，只是在调试的时侯对于代码地址的查找比较麻烦。如果不喜欢自己来写代码数组的话，可以自己根据PE文件来写个代码补丁工具。这个我就不讲了，事实上，我自己也没有写，时间不足是一方面，人懒是没办法的。 

　　在前面APIHOOK一节（教程三）中，我的API类有点错误，这里更正一下： 

　　在APIHOOK.h中 

private: 
pfnOrig,PROC pfnHook,BOOL fExcludeAPIHookMod); 
void WINAPI ReplaceIATEntryInOneMod(PCSTR pszCalleeModName,PROC pfnOrig,PROC pfnHook,HMODULE hmodcaller,HANDLE handle); 
void WINAPI FixupNewlyLoadedModule(HMODULE hmod,DWORD dwFlags);  

　　应该改为： 

private: 

//pfnOrig,PROC pfnHook,BOOL fExcludeAPIHookMod);这个是没有删除干净的注释 

void WINAPI ReplaceIATEntryInOneMod(PCSTR pszCalleeModName,PROC pfnOrig,PROC pfnHook,HMODULE hmodcaller,HANDLE handle); 

void WINAPI FixupNewlyLoadedModule(HMODULE hmod,DWORD dwFlags); 

APIHOOK.cpp中： 

m_module = GetModuleHandle(pszCalleeModName); 

ReplaceIATEntryInOneMod(m_pszCalleeModName, m_pfnOrig, m_pfnHook, m_module,prochandle);  

　　应该修改为： 

m_module = hmod; 

ReplaceIATEntryInOneMod(m_pszCalleeModName, m_pfnOrig, m_pfnHook, m_module,prochandle);  

　　上次alan给我的源代码我上传之后才看了一下他的代码，发现他仅仅做了教程一里的。我将源代码整理了一下并给了他一份，应该不久之后就可以看到了。关于alan的联系方式： 

　　E-mail:tyr_alan@hotmal.com如果对他的代码有疑问的话，可以给他发邮件。 

　　主要内容终于讲完了，比我想象得要少，下一节主要讲解一下善后的处理，以便让外挂看起来更专业。由于下一节不是主要的内容，因此可能会拖后一点