-
-
[原创]娱乐War3 随机函数 GetRandomInt 懒人利用法。
-
发表于: 2017-6-9 03:59
-
眼睛一闭一睁,接触逆向6年过去了,技术一点没有长进,主要突出一个懒字。
不是什么高难技术,纯属分享。
起因最近被带动玩一款叫做“宠物小精灵防御战” 的 war3地图, 每个玩家“抓”精灵进行PK的游戏。
那么这里问题就来了, 抓精灵是有概率的,这就很气,很皮,似乎很大程度结果都要向运气看齐,说到这里不由想起了十连跑(小精灵逃跑)的悲伤。
于是我就想,抓精灵的概率是否和本地时间有关?还是和游戏时间有关? 不过这么猜那就对不起自己码农的身份了。
使用解包工具打开魔兽地图,提取出 JASS 脚本文件, 观察定位看到抓精灵的概率 GetRandomInt(1,'d')>=50 / 随机1到100的数据 大于XX时怎么怎么,就是你了。
那么魔兽的 GetRandomInt 是怎么随机呢, 种子怎么生成,算法是什么样, 应该做一个HOOK吗,搞个DLL注入还是搞个远程调用,好像问题很多。
先从逆向说起, 通过百度得知 GetRandomInt 函数在 game.dll 文件内, 定位到后如下:
进入到关键算法,准备提取算法
突然看到 程序使用了一块固定数据 参与计算, 要把这段数据复制出来再搞来搞去编程什么的,太麻烦了。
目前已知的信息, GetRandomInt 参数为两个数字, 其中种子保存在固定位置,且每次执行GetRandomInt后,种子会相应的变化,
那么,写个新程序加载game.dll ,通过搜索特征码也好,硬编码也好定位函数地址,从war3.exe内存中读取种子数据并写入自己的模块内,直接本进程调用GetRandomInt即可知道
war3下次执行GetRandomInt时的结果,从而知道,什么时候能抓到精灵,什么时候抓不到。
开始编写程序,找到war3窗口,打开进程,得到模块地址,搜索到GetRandomInt地址, +$28 得到种子地址指针 , 同时自身加载 game.dll 并找到各地址。
然后每当需要时就读取远程内存并计算下一次随机数。
贴个简单的关键代码
/////////////////////////////////////////////////////////////////////////////
ReadProcessMemory(hWarPro,Pointer(pzhongzi),@dqbytes[0],8,size); //远程种子数据地址
asm
pushad
mov eax,my_zhongzi //本进程中的种子地址
mov ebx,Cardinal(dqbytes[0]) //远程war3读取到的种子前4字节
mov [eax],ebx //写入到本进程
mov ebx,Cardinal(dqbytes[4]) //远程war3读取到的种子后4字节
mov [eax+4],ebx //写入到本进程
push $64 //参数100
push $1 //参数1
call my_fun //本进程内 GetRandomInt 地址
mov c,eax //得到结果
add esp,8
popad
end;
lbl2.Caption:=IntToStr(c);
/////////////////////////////////////////////////////////////////////////
同步调试后,每次运算结果与war3相同。 立刻上线对战平台测试,什么稀有神兽想抓就抓,爽,艹翻一切。
每次GetRandomInt的数字越小,说明越容易抓到,稀有的50以下, 半神兽15以下, 神兽5以下, 每个玩家抓精灵时都会调用GetRandomInt,观察好数字决定自己抓精灵的时机就可以了,
我感觉我在这个游戏无敌了。
对了,去年还有个病毒利用魔兽jass漏洞,只要玩了后门地图就会在启动文件夹建立一个批处理文件, 批处理下载一个程序运行并感染用户的所有war3地图实现传播,太厉害了。
后记: GetRandomInt 应该可以利用得更多, 比如 Dota Imba 每个玩家开场获得一个宝箱,宝箱开出的东西是随机的,开到好东西决定了一个好的开局甚至碾压, 如果分析一下对应地图的jass文件,应该可以控制到想开什么开什么。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
算法代码确实很少, 不过现在困扰我的问题是,我希望用game.dll内置函数做到在魔兽界面显示字符串,但几个text函数除了参数外对寄存器的数值也有要求,且外部调用跳转复杂容易崩溃,还没找到简单的办法, D3D8 HOOK 自己写字 没接触过比较麻烦, 打算放弃了。 |
|
|
|
|
|
嗯,搞了DLL注入尝试调用JASS 的几个TEXT函数,在OD下各种配置堆栈参数都容易崩溃,寄存器的数据回溯追踪一时半会搞不完, 索性不搞了。 把魔兽搞成窗口模式自己的程序置顶勉强用用.. 不HOOK的话,好像百度看别人直接GDI绘图的话画面会闪什么的, 我也没尝试,等什么时候闲了再试试吧。 |
|
|
|
|
|
|
|
|
不能改,一改就掉线了,数据是互相验证的,发现不同就掉啦... 对了另外暴击这个事也要看暴击的算法,看地图是使用的魔兽自带的暴击技能还是自己做的触发器判断暴击不同地图不同处理... |
|
|
|
|
|
这就厉害了,不考虑来一波吗?.. 腾讯对战平台每天几万人在玩.搞个万把量应该不难。 |
|
|
已经有人在做了,基本上都是辅助做图的,提供一下原本魔兽没有的功能。https://www.hiveworkshop.com/threads/memory-hack.289508/ 这是一个俄罗斯人搞的japi。你可以看看。 |
|
|
用在线翻译看了一下, 在JASS文件里看到了诸多win API,这些按照说法是利用了某种BUG才能执行的吧? 看样子貌似在JASS文件里想做什么就做什么了? 比如最简单的下载一个程序运行,做个捆绑插件赚点流量应该行得通吧? 看你上面的话去年已经有人这么做了然后被补上了吗? 哈哈,谢谢你带我增回见识。 本想多看看的,突然有点事没时间了我得出门了。 |
|
|
关于ReturnBug的问题已经在11平台被修复,关于非游戏模块调用jass函数的问题也将尽快解决,大概就是这个样子了。 |
|
|
|
|
|
非游戏模块调用JASS函数有具体教程吗?想学习一下。。 |
|
|
非游戏模块调用JASS函数有具体教程吗?想学习一下。。 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
黑洛
