-
-
[原创]某游戏皮肤修改工具的逆向与实现
-
发表于: 2014-10-7 21:10
-
某游戏也就是国内目前很火的竞技游戏英雄联盟了,前不久在网上发现到了一个本地修改皮肤的辅助工具,话说作者以前一直以为这种辅助工具是通过修改本地皮肤文件来实现的,想来没什么技术含量,需要的时候找到那个文件修改就行了。这次简单的调试了一下,发现该工具是通过修改游戏内存实现的,于是觉得有意思,就有了本文。(作者技术以及表达能力都很差,请大家见谅,有问题可以短信我或者邮件我)
工具没加壳,比较简单,本文主要找到其思路,然后自己写代码实现(为了保护工具以及游戏,本文仅提供辅助工具部分反汇编代码和作者自己按照其思路写的文件以及部分源码,不提供该工具名称、文件以及作者自己写的完整源代码,你可以根据此文逆向作者的dll,然后自己实现)
首先分析辅助的文件的作用,辅助修改游戏内存,大部分就两种,ReadProcessMemory等API和注入dll,TX的游戏有TP保护的,所以ReadProcessMemory这种方法肯定行不通。推测辅助是注入dll到游戏的,so在打开工具的情况下打开游戏,使用XT查看游戏相关进程模块,发现游戏进程“League of Legends.exe”(以后称其为游戏进程)注入了Skin.dll。而游戏启动进程” lol.launcher_tencent.exe”(以后称其为启动进程)注入了Mon.dll,同时辅助工具也加载了Mon.dll,修改皮肤时会创建一个Skin.cfg配置文件,里面记录了修改的信息,应该是某个dll会根据里面的信息来修改的。所以我们重点调试Mon.dll和Skin.dll。(逆向过程不是很好表述,所以作者是通过截图+文字来表述的,有些流程是一些简单的字符串处理流程和条件判断流程,为了节省篇幅,都会略过)。
一:Mon.dll的调试
定位到dll入口处,
部分源码
CreateProcessAHook代码
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 | BOOL WINAPI CreateProcessAHook( __in LPCTSTR lpApplicationName, LPTSTR lpCommandLine, __in LPSECURITY_ATTRIBUTES lpProcessAttributes, __in LPSECURITY_ATTRIBUTES lpThreadAttributes, __in BOOL bInheritHandles, __in DWORD dwCreationFlags, __in LPVOID lpEnvironment, __in LPCTSTR lpCurrentDirectory, __in LPSTARTUPINFO lpStartupInfo, __out LPPROCESS_INFORMATION lpProcessInformation) { //修改输入参数,调用原函数 int ret=OLD_CreateProcessA(lpApplicationName, lpCommandLine, lpProcessAttributes, lpThreadAttributes, bInheritHandles, dwCreationFlags | CREATE_SUSPENDED, lpEnvironment, lpCurrentDirectory, lpStartupInfo, lpProcessInformation); GetModuleFileName(g_hModule,g_szPath,MAX_PATH); memset(g_bWriteCode,0,1000); CONTEXT ThreadContext; ThreadContext.ContextFlags = CONTEXT_FULL; GetThreadContext(lpProcessInformation->hThread,&ThreadContext); LPVOID lpAddress = VirtualAllocEx(lpProcessInformation->hProcess,NULL,1000,MEM_COMMIT,PAGE_EXECUTE_READWRITE); if (!lpAddress) { DebugPrintf("VirtualAllocEx Error %d",GetLastError()); return ret; } BYTE szBuffer[1000]; BYTE *bP; RtlZeroMemory(szBuffer,1000); szBuffer[0] = 0x9C; szBuffer[1] = 0x60; szBuffer[2] = 0xE8; *(DWORD*)(szBuffer+3) = 0x104; RtlCopyMemory(szBuffer + 7,g_szPath,MAX_PATH); bP = &szBuffer[0x104+7]; *bP = 0xB8; *(DWORD*)(bP+1) = (DWORD)LoadLibraryA; *(bP+5) = 0xFF; *(bP+6) = 0xD0; *(bP+7) = 0x61; *(bP+8) = 0x9d; *(bP+9) = 0x68; *(DWORD*)(bP+10) = ThreadContext.Eip; *(bP+14) = 0xc3; DebugPrintf("lpAddress = %x",lpAddress); if(!WriteProcessMemory(lpProcessInformation->hProcess, lpAddress, szBuffer, 1000, NULL)) { DebugPrintf("WriteProcessMemory Error,%d",GetLastError()); return ret; } FlushInstructionCache(lpProcessInformation->hProcess, lpAddress, 1000); ThreadContext.Eip = (DWORD)lpAddress; SetThreadContext(lpProcessInformation->hThread, &ThreadContext); ResumeThread(lpProcessInformation->hThread); return ret; } |
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
谢谢大牛的赞。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
小弟才疏学浅,对我来说新奇。这就是书看少了的下场
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
