首页
社区
课程
招聘
贴一篇以前写的,男人系列,应该算简单的逆向吧:)
发表于: 2004-5-23 17:35 6072

贴一篇以前写的,男人系列,应该算简单的逆向吧:)

2004-5-23 17:35
6072
男人系列超级内存补丁点睛教程
                      作者:cyclotron[BCG][DFCG][FCG][OCN]

    软件破解多了,难免有些乏味??成天在SoftICE里下一些常规的断点拦截,或者反汇编以后查找字符串,然后分析算法......这一系列几近公式化的操作给我们带来的乐趣已经远远不及第一个cracker凭借其深厚的WinSDK和汇编功力破解软件时所享受到的那种快感,我已经很少为自己的名字出现在ABOUT对话框中而激动了。
    一年多来我常常在网上搜寻合适的猎物,但破解后很少数能为我所用,我只是花费大量的时间编写和优化注册机,逐渐地,我开始觉得编程能给我带来更多的乐趣??而不是注册本身。

    差不多该是结束漫无目的的破解的时候了。

    我翻出了这个游戏??是男人就XXXX。让我们从这里开始新的旅程吧!

    选中这个游戏主要基于以下两个原因:
1.        拜读了RoBa兄弟的一篇修改″是男人就下100层″的文章,很受启发。
2.        这几个软件没有加壳,对应的资源也很容易找到。

    在这里要说明的是,我并没有打算全面讲解修改器制作的全过程,而是将选择我认为最不易实现的一个功能进行详细的讲解;文中将涉及一些WinSDK编程和汇编编程的内容,尽管我将尽可能具体地说明它们的功能,但是对WinSDK和汇编的一定了解无疑将有助于你的理解,确切的说,我个人不认为本文将适合于那些刚开始套用常规的公式捣拨软件但却对编程一无所知的朋友。

    我将要实现的功能是″是男人就上120层″中的弹跳力无限功能。我想试用过我的内存补丁的朋友都知道这个功能意味这什么:按住空格键不放,弹跳力就会不断增加,只要蓄力时间足够长,一跳跳至几百甚至几千层不是问题。但是这个功能存在如下缺陷:

    当蓄力超过能量槽所能显示的范围时,能量槽这块实际上显示成了一块跳板;此外,小人的行动会暂停一段时间,在这期间播放一系列杂乱的声音(包括那声″绝望的尖叫″??在下文中我将继续使用这个词来表示这段众所周知的声音),然后其动作会继续,但声音就此消失。

    我花了一个晚上的时间完全修复了这个bug,而这段修复过程将成为本文最主要的部分。

    为了实现这个功能,我们首先要找到游戏存放弹跳力数值的内存地址,这无疑是各类游戏修改器的拿手好戏。我使用的是《金山游侠》。
启动游戏以后,我们设法进行一些操作,使能量槽显示值(即弹跳力数值)发生变化,然后用《金山游侠》搜索相应的数值。最终我定位在下面的内存地址上:
00138078

    好了,让我们用SoftICE重新载入游戏,下内存写入断点:
bpmd 138078 w
    然后进入游戏。

    奇怪的是,SoftICE并没有弹出。这是你应该想到了:这个地址是动态分配的。
    现在的问题是我们必须先找出这个地址,然后在不重新启动游戏的前提下使SoftICE中断在游戏的地址空间,以便我们设内存访问断点。
这时我们的crack技术将发挥作用了,还记得重新游戏前的那个注册对话框么?那里就是我们的突破口。在注册对话框中输入一点信息,然后在SoftICE里设断:
bpx GetWindowTextA
点击注册按钮......BOOM,几下F12后我们来到了游戏领空,在这里我们设内存访问断点:
bpmd [找到的地址] w
然后进入游戏。终于,我们中断在下面的地方:

00406F32  CALL 是男人就.00404DBD
00406F37  ADD ESP,4
00406F3A  MOV EAX,DWORD PTR SS:[EBP+8]
00406F3D  MOV DWORD PTR DS:[EAX+1194],0
00406F47  MOV EAX,DWORD PTR SS:[EBP+8]
00406F4A  MOV DWORD PTR DS:[EAX+1198],120
00406F54  MOV EAX,DWORD PTR SS:[EBP+8]
00406F57  MOV DWORD PTR DS:[EAX+119C],1
00406F61  MOV EAX,DWORD PTR SS:[EBP+8]
00406F64  MOV DWORD PTR DS:[EAX+11A4],0B
00406F6E  MOV EAX,DWORD PTR SS:[EBP+8]
00406F71  MOV DWORD PTR DS:[EAX+11A8],0         -->;这里对弹跳力数值做初始化
00406F7B  MOV EAX,DWORD PTR SS:[EBP+8]          -->;光标落在这里
00406F7E  MOV DWORD PTR DS:[EAX+11B0],0
00406F88  MOV EAX,DWORD PTR SS:[EBP+8]
00406F8B  MOV EAX,DWORD PTR DS:[EAX+11B0]
00406F91  MOV ECX,DWORD PTR SS:[EBP+8]


你也许已经猜到了:[寄存器+11A8]这样的形式正是这个游戏寻址动态数据的方式,寄存器保存着基址,后面那个是偏移量。在这里我们只关心弹跳力的数值,但是这个形式对我们后面的处理非常有用。对于这样一个小游戏,我们几乎可以断定弹跳力数值都是通过这个形式进行访问的,打开心爱的W32Dasm来确定这些位置吧:
[A区]:
00403CF3  PUSH EAX
00403CF4  CALL 是男人就.00401A40
00403CF9  ADD ESP,4
00403CFC  MOV EAX,DWORD PTR SS:[EBP+8]
00403CFF  MOV DWORD PTR DS:[EAX+1190],1
00403D09  MOV EAX,DWORD PTR SS:[EBP+8]
00403D0C  MOV DWORD PTR DS:[EAX+1198],160
00403D16  MOV EAX,DWORD PTR SS:[EBP+8]
00403D19  MOV DWORD PTR DS:[EAX+11A8],0          -->;这里
00403D23  MOV EAX,DWORD PTR SS:[EBP+8]
00403D26  MOV DWORD PTR DS:[EAX+1304],0
00403D30  MOV EAX,DWORD PTR SS:[EBP+8]
00403D33  MOV DWORD PTR DS:[EAX+1310],0
00403D3D  MOV EAX,DWORD PTR SS:[EBP+8]


[B区]:
00405AA1  MOV EAX,DWORD PTR DS:[EAX+C]             ; |
00405AA4  PUSH EAX                                 ; |hPalette
00405AA5  MOV EAX,DWORD PTR SS:[EBP+8]             ; |
00405AA8  MOV EAX,DWORD PTR DS:[EAX+4]             ; |
00405AAB  PUSH EAX                                 ; |hDC
00405AAC  CALL DWORD PTR DS:[<&GDI32.SelectPalette>; \SelectPalette
00405AB2  MOV DWORD PTR SS:[EBP-4],EAX
00405AB5  PUSH 0CC0020                             ; /ROP = SRCCOPY
00405ABA  MOV EAX,DWORD PTR SS:[EBP+8]             ; |
00405ABD  MOV EAX,DWORD PTR DS:[EAX+11A8]          -->;这里
00405AC3  SHL EAX,4                                ; |
00405AC6  ADD EAX,0A0                              ; |

[C区]:
004068C6  MOV DWORD PTR DS:[EAX+11AC],1
004068D0  MOV EAX,DWORD PTR SS:[EBP+8]
004068D3  MOV ECX,0C
004068D8  MOV EAX,DWORD PTR DS:[EAX+11A8]         -->;这里
004068DE  CDQ
004068DF  IDIV ECX
004068E1  LEA EAX,DWORD PTR DS:[EDX+1]
004068E4  MOV ECX,DWORD PTR SS:[EBP+8]
004068E7  MOV DWORD PTR DS:[ECX+11A8],EAX         -->;这里
004068ED  MOV EAX,DWORD PTR SS:[EBP+8]
004068F0  PUSH EAX
004068F1  CALL 是男人就.00405A93

[D区]:
    004068F0  PUSH EAX
004068F1  CALL 是男人就.00405A93
004068F6  ADD ESP,4
004068F9  MOV EAX,DWORD PTR SS:[EBP+8]
004068FC  CMP DWORD PTR DS:[EAX+1338],0
00406903  JE 是男人就.00406924
00406909  MOV EAX,DWORD PTR SS:[EBP+8]
0040690C  MOV EAX,DWORD PTR DS:[EAX+11A8]         -->;这里
00406912  ADD EAX,8E
00406917  PUSH EAX
00406918  MOV EAX,DWORD PTR SS:[EBP+8]
0040691B  PUSH EAX
0040691C  CALL 是男人就.00406E3D
00406921  ADD ESP,8
00406924  JMP 是男人就.00406A12

[E区]:
0040692C  CMP DWORD PTR DS:[EAX+11AC],1
00406933  JNZ 是男人就.00406A05
00406939  MOV EAX,DWORD PTR SS:[EBP+8]
0040693C  MOV DWORD PTR DS:[EAX+11B0],1
00406946  MOV EAX,DWORD PTR SS:[EBP+8]
00406949  MOV EAX,DWORD PTR DS:[EAX+11A8]         -->;这里
0040694F  MOV ECX,DWORD PTR SS:[EBP+8]
00406952  MOV DWORD PTR DS:[ECX+11A0],EAX
00406958  MOV EAX,DWORD PTR SS:[EBP+8]
0040695B  INC DWORD PTR DS:[EAX+1320]

[F区]:
00406AFF  CMP DWORD PTR DS:[EAX+11A0],0
00406B06  JGE 是男人就.00406C3F
00406B0C  MOV EAX,DWORD PTR SS:[EBP+8]
00406B0F  MOV DWORD PTR DS:[EAX+11B0],0
00406B19  MOV EAX,DWORD PTR SS:[EBP+8]
00406B1C  MOV DWORD PTR DS:[EAX+11A8],0         -->;这里
00406B26  MOV EAX,DWORD PTR SS:[EBP+8]
00406B29  MOV DWORD PTR DS:[EAX+11A0],0
00406B33  MOV EAX,DWORD PTR SS:[EBP-4]
00406B36  LEA EAX,DWORD PTR DS:[EAX+EAX*2]

[G区]:
00406F4A  MOV DWORD PTR DS:[EAX+1198],120
00406F54  MOV EAX,DWORD PTR SS:[EBP+8]
00406F57  MOV DWORD PTR DS:[EAX+119C],1
00406F61  MOV EAX,DWORD PTR SS:[EBP+8]
00406F64  MOV DWORD PTR DS:[EAX+11A4],0B 
00406F6E  MOV EAX,DWORD PTR SS:[EBP+8]
00406F71  MOV DWORD PTR DS:[EAX+11A8],0         -->;这里
00406F7B  MOV EAX,DWORD PTR SS:[EBP+8]
00406F7E  MOV DWORD PTR DS:[EAX+11B0],0
00406F88  MOV EAX,DWORD PTR SS:[EBP+8]
00406F8B  MOV EAX,DWORD PTR DS:[EAX+11B0]


我们已经找到所有对弹跳力数值的访问,除了G区是对其值进行初始化以外,其他的操作都是未知的。但是通过观察以后,我们发现C区的操作尤其可疑:
004068D3  MOV ECX,0C                             -->;ecx赋值12(12恰为能量槽的饱和值)
004068D8  MOV EAX,DWORD PTR DS:[EAX+11A8]         -->;把弹跳力数值读至eax
004068DE  CDQ
004068DF  IDIV ECX                                -->;除以12
004068E1  LEA EAX,DWORD PTR DS:[EDX+1]            -->;加上1
004068E4  MOV ECX,DWORD PTR SS:[EBP+8]            -->;取得动态数据的基址
004068E7  MOV DWORD PTR DS:[ECX+11A8],EAX         -->;保存回去

联想到游戏的动作(能量槽总是饱和以后再回零递增),我猜这就是我们要找的地方了。如果要使弹跳力无限增加,我们只要去掉那个求余操作就可以了。看看我修改的代码:
004068D0  MOV EAX,DWORD PTR SS:[EBP+8]
004068D3  MOV ECX,0C
004068D8  MOV EAX,DWORD PTR DS:[EAX+11A8]
004068DE  INC EAX                                  -->;仅仅是递增
004068DF  NOP
004068E0  NOP
004068E1  NOP
004068E2  NOP
004068E3  NOP
004068E4  MOV ECX,DWORD PTR SS:[EBP+8]
004068E7  MOV DWORD PTR DS:[ECX+11A8],EAX
004068ED  MOV EAX,DWORD PTR SS:[EBP+8]
004068F0  PUSH EAX


事实上,这正是我的内存补丁所做的一切??就这么多。但是不要以为这样完工了,如果是那样,我前面的许多话就白说了,你一定觉得我前面所描述的那个bug很恼人,上面的修改结果就是这样。接下来的工作才是最重要的??修正这个bug。
毫无疑问,这个bug是在我们修改了偏移量为11A8处的值后产生的,因此必然与该值的存取有关。我们已经找到了游戏中所有与该值的存取有关的代码,但是并不清楚它们分别实现什么功能。所以我们的第一步是定位这处代码。
首先我们从声音入手:能量槽饱和以后,发出一系列杂乱的声音,游戏如何播放声音呢?我在学习VB的时候使用过一个Windows多媒体函数PlaySound,该函数可以播放资源中的波形声音(.wav),我想我们的游戏很可能调用这个函数来播放声音,所以让我们观察一下程序的输入表。

..................
USER32.MessageBoxA
USER32.ModifyMenuA
USER32.MoveWindow
USER32.PostQuitMessage
USER32.PtInRect
USER32.RegisterClassA
USER32.ReleaseCapture
............
USER32.WinHelpA
WINMM.mciSendCommandA
WINMM.sndPlaySoundA


很遗憾,游戏并没有调用这个函数。
但是我们并非一无所获,WINMM.sndPlaySoundA引起了我们的注意,其函数原型如下:

BOOL sndPlaySound ( LPCSTR lpszSound , UINT fuSound );
LpszSound 指定将要播放的声音,它通常是系统声音标识或者波形文件名;
FuSound   指定播放参数;

MSDN并没有指出该函数可以播放资源中的声音,但输入表告诉我们它是我们的唯一选择。
我们试着在反汇编代码中寻找对它的调用:

00404267  CALL DWORD PTR DS:[<&GDI32.DeleteObject>]    ; \DeleteObject
0040426D  MOV EAX,DWORD PTR SS:[EBP+8]
00404270  MOV EAX,DWORD PTR DS:[EAX+C]
00404273  PUSH EAX                                     ; /hObject
00404274  CALL DWORD PTR DS:[<&GDI32.DeleteObject>]    ; \DeleteObject
0040427A  PUSH 0
0040427C  PUSH 0
0040427E  CALL DWORD PTR DS:[<&WINMM.sndPlaySoundA>]   ;  WINMM.sndPlaySoundA
00404284  MOV DWORD PTR SS:[EBP-8],8D


这显然不是我们需要的。MSDN指出,当lpszSound参数为NULL时,函数将终止异步播放的声音。
下面是第二处调用(也是最后一次),我想这次我们找对地方了:)
00406E3D  PUSH EBP
00406E3E  MOV EBP,ESP
00406E40  PUSH EBX
00406E41  PUSH ESI
00406E42  PUSH EDI
00406E43  PUSH 0
00406E45  PUSH 0                                       -->;同样是为了终止任何正在播放的声音
00406E47  CALL DWORD PTR DS:[<&WINMM.sndPlaySoundA>]   ;  WINMM.sndPlaySoundA
00406E4D  CMP DWORD PTR SS:[EBP+C],9D
00406E54  JA 是男人就.00406E75
00406E5A  PUSH 5
00406E5C  MOV EAX,DWORD PTR SS:[EBP+C]
00406E5F  MOV ECX,DWORD PTR SS:[EBP+8]
00406E62  MOV EAX,DWORD PTR DS:[ECX+EAX*4+1110]        -->;这是一个查表操作
00406E69  PUSH EAX                                     -->;这个参数标识了将要播放的声音
00406E6A  CALL DWORD PTR DS:[<&WINMM.sndPlaySoundA>]   ;  WINMM.sndPlaySoundA
00406E70  JMP 是男人就.00406EAB
00406E75  CMP DWORD PTR SS:[EBP+C],9E
00406E7C  JNZ 是男人就.00406E97
00406E82  PUSH 40005
00406E87  PUSH 9E                                     -->;这是什么?
00406E8C  CALL DWORD PTR DS:[<&WINMM.sndPlaySoundA>]   ;  WINMM.sndPlaySoundA
00406E92  JMP 是男人就.00406EAB
00406E97  PUSH 40004
00406E9C  MOV EAX,DWORD PTR SS:[EBP+C]
00406E9F  AND EAX,0FFFF
00406EA4  PUSH EAX                                    -->;又一次调用
00406EA5  CALL DWORD PTR DS:[<&WINMM.sndPlaySoundA>]   ;  WINMM.sndPlaySoundA
00406EAB  POP EDI
00406EAC  POP ESI
00406EAD  POP EBX
00406EAE  LEAVE
00406EAF  RETN


我在本文的开头提到过,这个游戏的资源很容易找到,现在是动用EXEscope的时候了:



我想大家一定对″绝望的尖叫″印象深刻,那么我们就从它入手。
160D,转换为16进制就是A0h,等会儿我们会用到它。
这次换OllyDbg,我们在上面代码的RET处设下断点,然后开始游戏。不出所料,一旦我们按下空格键蓄力,游戏就被中断了。但是在这之前并没有播放我们所需要的声音。于是我们不断地返回游戏,并不断中断在这里,直到我们听到″绝望的尖叫″!这次要小心了,按下F8以后,我们来到了调用这段代码的地方:
004068F1  CALL 是男人就.00405A93
004068F6  ADD ESP,4
004068F9  MOV EAX,DWORD PTR SS:[EBP+8]
004068FC  CMP DWORD PTR DS:[EAX+1338],0
00406903  JE 是男人就.00406924
00406909  MOV EAX,DWORD PTR SS:[EBP+8]
0040690C  MOV EAX,DWORD PTR DS:[EAX+11A8]                  -->;注意这里
00406912  ADD EAX,8E                                       -->;加上一个基址8E
00406917  PUSH EAX                                         -->;参数2
00406918  MOV EAX,DWORD PTR SS:[EBP+8]
0040691B  PUSH EAX                                         -->;参数1,动态数据存储区的基址
0040691C  CALL 是男人就.00406E3D                           -->;我们从这里出来
00406921  ADD ESP,8                                        -->;返回到这里
00406924  JMP 是男人就.00406A12
00406929  MOV EAX,DWORD PTR SS:[EBP+8]

这不就是我们前面找到的D区么?!果然与弹跳力的数值有关!我们再重复这一过程,会发现播放″绝望的尖叫″之前,参数2的值为A0h,正是″绝望的尖叫″的资源标识!8Eh=142D,而143D正是弹跳力为1时播放的蓄力声音!
现在一切都清楚了,游戏是通过弹跳力的值计算出声音资源的标识,然后调用WINMM.sndPlaySoundA播放相应的声音!如果弹跳力不断增加而且不回零,那么参数2标识的资源是无效的声音,当参数2的值达到A0h时??″绝望的尖叫″!如果该值继续增加,那么标识的就根本不是声音资源了,所以继续蓄力就不会播放声音。
把原理弄明白了,打补丁就方便了,我们只要在代码区的空白处添加一些代码,让参数2在传入之前先对12D求余,就可以播放有效的声音了。真的是这样吗?我做了这样的尝试,不幸的是,一旦我在空白代码区写入代码,以修改可执行文件,就会产生非法访问错误,而在原有的代码区修改却不会出错。但是我想即使写入合法,那也不是最高效的修改方法,或许我们真的可以放弃那种做法,在原有的代码上实现我们的功能。

在修改之前,我们先看看能量槽显示的位图问题吧。

先看一下程序的位图资源,下面是我在程序资源中找到的相关位图:



是不是很有想法?有了前面的经验,我们大致可以猜测位图也是以某种查表方式″贴″上去的:每一个弹跳力值都对应有一块位图块,根据弹跳力的值可以确定相应的位图块。

查表的前提就是读取弹跳力的值,也就是偏移量11A8处的值。对了,它在我们前面找到的一些代码区里!
除了C区和D区以外,只有B区和E区有对弹跳力的读取。到底是哪里呢?我的结论是B区。为什么?看我的注释就明白了。
00405A93  PUSH EBP
00405A94  MOV EBP,ESP
00405A96  SUB ESP,4
00405A99  PUSH EBX
00405A9A  PUSH ESI
00405A9B  PUSH EDI
00405A9C  PUSH 0                                       ; /ForceBackground = FALSE
00405A9E  MOV EAX,DWORD PTR SS:[EBP+8]                 ; |
00405AA1  MOV EAX,DWORD PTR DS:[EAX+C]                 ; |
00405AA4  PUSH EAX                                     ; |hPalette
00405AA5  MOV EAX,DWORD PTR SS:[EBP+8]                 ; |
00405AA8  MOV EAX,DWORD PTR DS:[EAX+4]                 ; |
00405AAB  PUSH EAX                                     ; |hDC
00405AAC  CALL DWORD PTR DS:[<&GDI32.SelectPalette>]   ; \SelectPalette
00405AB2  MOV DWORD PTR SS:[EBP-4],EAX
00405AB5  PUSH 0CC0020                                 ; /ROP = SRCCOPY
00405ABA  MOV EAX,DWORD PTR SS:[EBP+8]                 ; |
00405ABD  MOV EAX,DWORD PTR DS:[EAX+11A8]                        ß读取弹跳力的值
00405AC3  SHL EAX,4                                    ; |       ß乘以16(能量槽位图的高度)
00405AC6  ADD EAX,0A0                                  ; |       ß加上一个基址
00405ACB  PUSH EAX                                     ; |Ysrc   ß作为BitBlt的参数传入
00405ACC  PUSH 0C0                                     ; |XSrc = C0 (192.)
00405AD1  MOV EAX,DWORD PTR SS:[EBP+8]                 ; |
00405AD4  MOV EAX,DWORD PTR DS:[EAX+13A4]              ; |
00405ADA  PUSH EAX                                     ; |hSrcDC
00405ADB  PUSH 10                                      ; |Height = 10 (16.)
00405ADD  PUSH 60                                      ; |Width = 60 (96.)
00405ADF  PUSH 20                                      ; |YDest = 20 (32.)
00405AE1  PUSH 58                                      ; |XDest = 58 (88.)
00405AE3  MOV EAX,DWORD PTR SS:[EBP+8]                 ; |
00405AE6  MOV EAX,DWORD PTR DS:[EAX+4]                 ; |
00405AE9  PUSH EAX                                     ; |hDestDC
00405AEA  CALL DWORD PTR DS:[<&GDI32.BitBlt>]          ; \BitBlt ß这个函数是关键,一经过这里,能
量槽的位图就发生变化了
00405AF0  PUSH 0                                       ; /ForceBackground = FALSE
00405AF2  MOV EAX,DWORD PTR SS:[EBP-4]                 ; |
00405AF5  PUSH EAX                                     ; |hPalette
00405AF6  MOV EAX,DWORD PTR SS:[EBP+8]                 ; |
00405AF9  MOV EAX,DWORD PTR DS:[EAX+4]                 ; |
00405AFC  PUSH EAX                                     ; |hDC
00405AFD  CALL DWORD PTR DS:[<&GDI32.SelectPalette>]   ; \SelectPalette
00405B03  POP EDI
00405B04  POP ESI
00405B05  POP EBX
00405B06  LEAVE
00405B07  RETN

BitBlt函数是干什么的?下面是MSDN对它的描述:
Transfers bits from a rectangle on a source device to a rectangle that has the same dimensions on a destination device. The transfer is controlled by a ternary raster operation value that specifies how corresponding bits from the source, destination, and pattern in a brush are combined to form the final bits in the destination.
大致意思就是说把一个矩形区域里的位(象素)从一个设备传递到另一个设备,这里的功能我们可以理解为把一块矩形位图复制到视频显示器上输出。它的原型是:

BOOL BitBlt (LPPDEVICE lpDestDev, WORD wDestX, WORD wDestY,
    LPPDEVICE lpSrcDev, WORD wSrcX, WORD wSrcY, WORD wXext,
    WORD wYext, long Rop3, LPBRUSH lpPBrush, LPDRAWMODE lpDrawMode);
这个函数的参数看起来很多,其实并不复杂。第一个参数是目的设备描述表的句柄,第二、第三个参数指定目标位置,第四个参数是源设备描述表的句柄,第五到第八个参数指定源位图块的位置,剩下一些标志性参数没必要知道。OllyDbg已经把对应的参数都注释出来了,值得注意的是Ysrc,它是通过弹跳力的值计算出来的。很明显,0A0,所谓的基址,就是弹跳力为零时的位图块的左上角的Y坐标。
现在这个bug可以得到解释了:程序以弹跳力的值为索引计算出源位图块的Y坐标位置,这个值如果超过了12,那么得到的位图块自然就是无效的。
从上面这个RET返回后(处理完能量槽的显示后),我们来到了:
004068C3  MOV EAX,DWORD PTR SS:[EBP+8]
004068C6  MOV DWORD PTR DS:[EAX+11AC],1
004068D0  MOV EAX,DWORD PTR SS:[EBP+8]
004068D3  MOV ECX,0C
004068D8  MOV EAX,DWORD PTR DS:[EAX+11A8]
004068DE  CDQ
004068DF  IDIV ECX                                    -->;这里不就是弹跳力的递增么?
004068E1  LEA EAX,DWORD PTR DS:[EDX+1]
004068E4  MOV ECX,DWORD PTR SS:[EBP+8]
004068E7  MOV DWORD PTR DS:[ECX+11A8],EAX
004068ED  MOV EAX,DWORD PTR SS:[EBP+8]
004068F0  PUSH EAX
004068F1  CALL 是男人就.00405A93                      -->;我们从这里出来
004068F6  ADD ESP,4                                   -->;停在这里
004068F9  MOV EAX,DWORD PTR SS:[EBP+8]
004068FC  CMP DWORD PTR DS:[EAX+1338],0
00406903  JE 是男人就.00406924:[EA
00406909  MOV EAX,DWORD PTR SS:[EBP+8]
0040690C  MOV EAX,DWORD PTR DS:[EAX+11A8]
00406912  ADD EAX,8E                                  -->;计算声音资源的索引
00406917  PUSH EAX
00406918  MOV EAX,DWORD PTR SS:[EBP+8]
0040691B  PUSH EAX
0040691C  CALL 是男人就.00406E3D                      -->;这就是播放声音的那个call
00406921  ADD ESP,8
00406924  JMP 是男人就.00406A12
00406929  MOV EAX,DWORD PTR SS:[EBP+8]
0040692C  CMP DWORD PTR DS:[EAX+11AC],1

我们回到了C区的代码,注意到这个事实非常重要,这有利于我们后面对代码的修改。
最后一个疑问:E区代码对弹跳力的读取是干什么的呢?我想是程序开始用牛顿定律开始计算小人能跳多高了吧??这正是我们所希望的。那么A区和F区呢,它们对弹跳力值赋0,我想可能与小人从一块跳板掉到(或者跳到)另一块跳板时弹跳力要重新计数有关吧,当然如果你觉得这个规则不利于你″做男人″,也可以发挥一下,nop掉这句代码。无论如何,这些同我们所要实现的弹跳力无限功能已经没什么关系了:)

现在我们已经完全明白程序的处理了,如何修改呢?要想通过修改代码(而不是添加代码)来增加功能,我们必须做一件事:对原来的代码进行优化,籍此腾出空间增加我们自己的代码。当然这两步可以同时实现,就看各位各显神通了。我的思路是这样的:11A8处还是必须存放无限增加的弹跳力值(因为后面要用它计算弹跳高度),但是在索引位图和声音资源时来个″偷天换日″,把有效的索引值赋给相应的参数。
幸运的是,程序是用VC4编译的,我们要修改的那部分代码似乎效率颇低,有些寄存器根本就没有使用,还有不少重复的工作量:
004068C3  MOV EAX,DWORD PTR SS:[EBP+8]
004068C6  MOV DWORD PTR DS:[EAX+11AC],1
004068D0  MOV EAX,DWORD PTR SS:[EBP+8]         -->;一遍又一遍地读取基址,而且每回只用一次
004068D3  MOV ECX,0C                           -->;这是除数,不能省略的,但不一定要在这里赋值
004068D8  MOV EAX,DWORD PTR DS:[EAX+11A8]
004068DE  CDQ
004068DF  IDIV ECX
004068E1  LEA EAX,DWORD PTR DS:[EDX+1]
004068E4  MOV ECX,DWORD PTR SS:[EBP+8]         -->;一遍又一遍地读取基址,而且每回只用一次
004068E7  MOV DWORD PTR DS:[ECX+11A8],EAX
004068ED  MOV EAX,DWORD PTR SS:[EBP+8]         -->;一遍又一遍地读取基址,而且每回只用一次
004068F0  PUSH EAX                             -->;这里传入基址值??早就可以做了!
004068F1  CALL 是男人就.00405A93 
004068F6  ADD ESP,4

程序始终没有用到ebx、esi、edi,我经过确认以后决定用ebx来保存反复回零的弹跳力值,作为索引位图块和声音资源只用。esi和edi保存了两个貌似地址的东东,还是不动为妙。
上面这段代码修改如下:
004068C3  MOV EAX,DWORD PTR SS:[EBP+8]
004068C6  MOV DWORD PTR DS:[EAX+11AC],1
004068D0  MOV EAX,DWORD PTR SS:[EBP+8]
004068D3  PUSH EAX                              -->;这里就把基址作为参数传入
004068D4  INC DWORD PTR DS:[EAX+11A8]           -->;弹跳力直接递增
004068DA  MOV EAX,DWORD PTR DS:[EAX+11A8]       -->;读取弹跳力的值
004068E0  DEC EAX
004068E1  MOV ECX,0C                            -->;除数
004068E6  CDQ
004068E7  IDIV ECX                              -->;求余,余数送edx
004068E9  INC EDX                               -->;余数加1
004068EA  MOV EBX,EDX                           -->;送ebx保存
004068EC  NOP
004068ED  NOP
004068EE  NOP
004068EF  NOP
004068F0  NOP                                   -->;还空出5个字节
004068F1  CALL 是男人就.00405A93
004068F6  ADD ESP,4

实现了新功能,也把有效的索引值保存下来了。当然下面的地方也要做修改:
004068F9  MOV EAX,DWORD PTR SS:[EBP+8]
004068FC  CMP DWORD PTR DS:[EAX+1338],0
00406903  JE 是男人就.00406924:[EA
00406909  MOV EAX,DWORD PTR SS:[EBP+8]
0040690C  MOV EAX,EBX                          -->;声音的索引值从ebx取得
0040690E  NOP
0040690F  NOP
00406910  NOP
00406911  NOP
00406912  ADD EAX,8E
00406917  PUSH EAX
00406918  MOV EAX,DWORD PTR SS:[EBP+8]
0040691B  PUSH EAX
0040691C  CALL 是男人就.00406E3D               -->;播放声音
00406921  ADD ESP,8

另一处:
00405AB2  MOV DWORD PTR SS:[EBP-4],EAX
00405AB5  PUSH 0CC0020                                 ; /ROP = SRCCOPY
00405ABA  MOV EAX,DWORD PTR SS:[EBP+8]                 ; |
00405ABD  MOV EAX,EBX                                      ß位图块的索引值从ebx取得
00405ABF  NOP
00405AC0  NOP
00405AC1  NOP
00405AC2  NOP
00405AC3  SHL EAX,4                                    ; |
00405AC6  ADD EAX,0A0                                  ; |
00405ACB  PUSH EAX                                     ; |YSrc
00405ACC  PUSH 0C0                                     ; |XSrc = C0 (192.)
00405AD1  MOV EAX,DWORD PTR SS:[EBP+8]                 ; |
00405AD4  MOV EAX,DWORD PTR DS:[EAX+13A4]              ; |
00405ADA  PUSH EAX                                     ; |hSrcDC
00405ADB  PUSH 10                                      ; |Height = 10 (16.)
00405ADD  PUSH 60                                      ; |Width = 60 (96.)
00405ADF  PUSH 20                                      ; |YDest = 20 (32.)
00405AE1  PUSH 58                                      ; |XDest = 58 (88.)
00405AE3  MOV EAX,DWORD PTR SS:[EBP+8]                 ; |
00405AE6  MOV EAX,DWORD PTR DS:[EAX+4]                 ; |
00405AE9  PUSH EAX                                     ; |hDestDC
00405AEA  CALL DWORD PTR DS:[<&GDI32.BitBlt>]          ; \BitBlt    ß显示相应的位图块
00405AF0  PUSH 0                                       ; /ForceBackground = FALSE

经过上面的修改,我们的bug就被修复了,在实际弹跳力不断增加的同时,仍然用有效的索引取得位图和声音资源,画面的显示和声音的播放与原来完全一致^O^

又是一个不眠之夜......

                               Author:cyclotron[BCG][DFCG][FCG][OCN]
                                               2004.1

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 6
支持
分享
最新回复 (4)
雪    币: 392
活跃值: (909)
能力值: ( LV9,RANK:690 )
在线值:
发帖
回帖
粉丝
2
为什么图片不能显示??
2004-5-23 18:05
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
3
应该可以
实在不行你把脱壳论坛的帖子重新编辑一下,我帮你转到这里来
2004-5-24 02:12
0
雪    币: 392
活跃值: (909)
能力值: ( LV9,RANK:690 )
在线值:
发帖
回帖
粉丝
4
脱壳论坛那篇是我在坛子不稳定时贴的,纯属忙中出错,还烦请fly删除,谢了
图片显示就算了吧,现在编辑也不能重新上传图片了:(
2004-5-24 10:01
0
雪    币: 253
活跃值: (27)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
5
来个下篇,凑一套:D :D :D
2004-5-24 22:23
0
游客
登录 | 注册 方可回帖
返回
//