前两天共享了TP驱动和CE编写DNF外挂脚本，那些都是“利其器”，今天继续“善其事”。
当今外挂界主流首推E语言，纯中文编程，不过小白本人没接触过，听说各种模块化的东西，用起来特容易，又名“易语言”。大一的课程只教过C++，那就凑合着用c++编写吧。还是先说下，小白c++功底不高，很多代码只知道怎么写但不知道为什么，这里推荐游戏辅助编程爱好者看《郁金香C++外挂教程》，如果c++的基础实在薄弱就看完孙鑫老师的《孙鑫c++20课》，那个教程虽然是讲C++基础的，但整个20课俨然就是一个外挂编写基础，从用户界面MFC的设计到多线程的注入技术，发包的基础，动态链接库，简单钩子，都学会再看别人代码至少不会一点头绪没有。
这里还是以DNF为例，为啥？因为我目前只研究过DNF，前一阵是研究单机魔兽改图的，和外挂技术一比那就弱爆了。
动态链接库我现在使用还不是很熟练，所以这里先介绍一下不用动态链接库的远程注入代码。
这一贴我还是先扔个砖头，不介绍远程call调用，只说说基础的远程代码注入。
DNF驱动就好比美女的衣服，被脱去后DNF赤裸裸站在你面前，我们可以对其代码为所欲为。
OD找call不是本文的重点，只简单提一下：以人物血量为例。目前来说当前血量基址有两个：01E16E20，01E1805C,对其中任意一个下内存写入断点，堆栈找返回地址，四五层之后，会发现如下一段代码：
push 0
push edi
push ebx
mov ecx,esi
call edx

call edx调用之前栈顶值就是目标当前血量(这里已经不再只限于人物血量，怪物血量更新也掉用此函数)，当怪物打我们时，目前（2012年11月10日）来说这个函数地址（edx值）是0060C6A0。
外挂的原理无非就是修改内存，这里就是修改栈顶值，OD手动把她改为0，运行后就实现秒怪了。
下面我们用C++代码来实现这一功能：
当怪物打我们时，我们在call edx调用时（即当DNF执行到0060C6A0地址时）把保存我们血量的那一堆栈值改为9999，即伪无敌。

大体说下编写思路，最开始肯定获得修改dnf进程内存权限，打开DNF进程后，在其内部申请一段内存，写入我们修改过的代码，并把原DNF代码修改使之运行到0060C6A0时跳转到我们自己编写的代码里去，干完坏事再跳回去，神不知鬼不觉..
（清理现场我做的不是很好，不过这里内存的释放不一定那么重要，没影响）

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66

HWND hwnd = ::FindWindow(NULL,"地下城与勇士");           if (!hwnd)     {         MessageBox("请先运行游戏!");         return;     }       DWORD processid;     ::GetWindowThreadProcessId(hwnd,&processid);     HANDLE handle = OpenProcess(PROCESS_ALL_ACCESS,false,processid); //以上过程为套话，窗口名可以下载spy++获取，想知道每个具体函数自行MSDN或百度       LPCVOID base = (LPCVOID)0x0060C6A0; //base是要跳转的dnf原程序代码，我们在这里修改代码，使之跳到我们自己的函数中     ::ReadProcessMemory(handle,(LPCVOID)0x0060C6A0,    (LPVOID)&m_char,6,NULL); //设一个char[1000]型类成员变量，保存游戏程序在0060C6A0处原代码，以便不想用外挂时将代码还原     LPVOID newaddr=VirtualAllocEx(handle,NULL,0x256,MEM_COMMIT | MEM_RESERVE,PAGE_EXECUTE_READWRITE); //在DNF进程中申请内存以便存放我们自己编写的代码     m_newmem=newaddr; //保存新申请的内存地址在LPVOID型类成员变量m_newmem中，以便释放     char ch1={0xe9};     ::WriteProcessMemory(handle,(LPVOID)0x0060C6A0,(LPVOID)&ch1,1,NULL); //改写0060C6A0地址中DNF源代码，使他“跳”到我们自己的代码中，我们的代码在申请的newaddr内存中，汇编指令跳jmp机器码0xe9     int Jmp1=(int)newaddr-0x0060C6A0-5; //汇编中jmp某地址，转成机器码需要用公式转换： //机器码中地址=目标地址-e9（jmp）字节所在地址-5     ::WriteProcessMemory(handle,(LPVOID)0x0060C6A1,(LPVOID)&Jmp1,4,NULL); //将跳转地址即申请的内存地址转成机器码写入内存     char ch2={0x90};     ::WriteProcessMemory(handle,(LPVOID)0x0060C6A5,(LPVOID)&ch2,1,NULL); //我们改写了源代码的6个字节，而jmp newaddr只用了5个字节，这一字节没有用，用0x90（nop）空代码代替，不改也可以，因为程序不再会执行这里 //随着DNF的更新，0060C6A0这一地址值将会发生变化，但特征码一般不会变，以后若果发现程序不可用，可以特征码搜出新的地址替换0060C6A0           char ch[15]={0xc7,0x44,0x24,0x04,0x99,0x99,0x00,0x00,0x55,0x8b,0xec,0x8b,0x45,0x10,0xe9}; /*我们自己的代码，汇编代码的机器码，最好你手头有汇编和机器码转换的东东，比如CE里随便写一段就能看见对应的机器码，我这里的汇编是这样的： mov [esp+04],00009999      因为0060C6A0是call edx跳过来的，所以堆栈中被压入了call edx下一句地址，那我们的当前血值就是栈顶指针+4，即[esp,+4]里的值，把0x9999传入就是设定当前血量0x9999 push ebp         //0060C6A0源代码 不变 mov ebp,esp    //0060C6A0源代码 不变 mov eax,[ebp+10]    //0060C6A0源代码 不变*/     ::WriteProcessMemory(handle,newaddr,(LPVOID)&ch,15,NULL); //代码写入到e9（jmp），跳转地址仍需要用公式转换     int Jmp2=0x60c6a6-(int)newaddr-14-5; /*我们改写了源代码从0060C6A0开始的6个字节，所以我们应跳回到0060C6A0+6的位置，而当前e9（jmp）所在地址是newaddr+14*/     ::WriteProcessMemory(handle,(LPVOID)((int)newaddr+15),(LPVOID)&Jmp2,4,NULL); //写入跳回地址jmp 0060C6A6         CloseHandle(handle); [CODE] 若果不想用此功能，可将源代码写回0060C6A0 [CODE]     HWND hwnd = ::FindWindow(NULL,"地下城与勇士");           if (!hwnd)     {         MessageBox("请先运行游戏!");         return;     }           DWORD processid;     ::GetWindowThreadProcessId(hwnd,&processid);     HANDLE handle = OpenProcess(PROCESS_ALL_ACCESS,false,processid);         ::WriteProcessMemory(handle,(LPVOID)0x0060C6A0,(LPVOID)&m_char,6,NULL); //写回我们改写的6个字节，之前已经保存在了类成员变量中         VirtualFreeEx(handle,m_newmem,NULL,0x256); //释放内存，可有可无

如果你对此感兴趣，还可以设置一个编辑框，关联类成员变量后动态输入数字来修改当前血量，还可以编写动态链接库创建全局钩子实现在仓库按Home键呼出外挂界面并且按F2实现功能的开启与关闭，对DC使用熟练还可以美化用户界面，一个简单的C++DNF外挂就编写好了。
友情提醒：
如果你一直开着此功能刷图，掉线率达90%以上，如果要投入使用，请不要一直开启，而且可以将MOV [ESP +4],9999改成add [esp+4],XXX等等实现比较稳定的功能，这里不再赘述。

曾经怀疑出小三是因为有dnf代码校验，后来测试了一下一直手动修改堆栈值还是掉线，看来DNF不是检测的代码来判定小三的。

文中代码新建MFC添加按钮后直接复制可用，我不提供EXE文件下载了。

[招生]科锐逆向工程师培训(2025年3月11日实地，远程教学同时开班, 第52期)！