5ecurity团队(5ecurity.cn)成员 晓虎(xiaohu@5ecurity.cn)原创发布
学习逆向分析和外挂编程也有一段时间了,我总结了外挂开发的基本思路和一些初级的方法和技巧。首先说说基本思路吧。我觉得外挂开发主要分为两部分:
一是对游戏的分析调试,主要是找基址和call地址等游戏信息。
二是使用编程工具进行外挂功能开发,比如用delphi或者VB、VC等自己熟悉的一种开发工具进行开发。
开发中使用的技巧一般包括:
窗口查找
获得窗口句柄
获得进程句柄
读取游戏进程内存
修改游戏进程内存
远程call调用等
通过学习和交流我发现用简单的小游戏入门还是很容易的,下面我就以QQ挖金子游戏为例与大家分享我的入门经历吧。
工欲善其事必先利其器,首先说说我们要使用的工具吧,对于刚入门的一来说首先掌握几款常用的工具即可,对于简单的游戏分析,调试工具使用CE即可,编程工具我们使用DELPHI7(当然也可以使用delphi2010,不过推荐使用delphi7,因为delphi7的绿色U盘版很好用、很方便哈),需要一个辅助工具SPY++,不过delphi7的绿色版已经集成了很多辅助工具,这也是我极力推荐的原因。
第一部分:游戏调试篇
在开始编程之前,首先是对游戏进行分析,获得游戏窗口基本信息和数据内存基址,这一步需要有一定的逆向工程能力和耐心。
第一步:游戏窗口信息的获取
首先是获得窗口标题信息,我们可以用SPY++这类工具进行分析,不过在分析的过程中发现SPY++是无法查到挖金子游戏窗口标题的(看来腾讯是把微软的这个窗口分析工具给屏蔽了),因此我们使用delphi7绿色版自带的工具Spy4Win来进行查找,方法比较简单:
在delphi7的“Tools”菜单下找到工具“Spy4Win”,如图一所示
然后拖动Spy4Win界面上的小狗图标到QQ挖金子游戏窗口,就可以查看窗口信息了。查找到的信息如图2所示:
在工具的“代码”页可以看到关于窗口句柄查找的api函数,而且还有vc、vb、delphi三个版本的说明,这对编程是有一定帮助的。如图3所示:
记录这些信息,我们继续下一步的分析。其实只要记住图3中的代码即可。
第二步:游戏内存地址的获取
分析游戏数据在内存中的地址是比较重要的,因为外挂的原理一般都是通过对游戏数据的操作来实现外挂功能的。首先我们确定要查找的数据:座位号、时间、踩雷数据等。
打开CE,附加游戏进程,如图4所示:
然后变换座位号,用CE查找变化的数据。操作方法如下:首先设置扫描类型为“未知初始化数值”、数值类型为“字节”,然后点击“首次扫描”进行数据获取。如图5所示:
这样会找到很多结果,然后在QQ游戏大厅中,换座位,再在CE窗口中设置扫描类型为“更改的数值”,点击“再次扫描”进行数据的筛选。如图6所示:
如上步骤反复筛选,在结果栏中绿色数据就是我们要找的座位号基址了。然后双击这个基址将其保存在下面的数据监视窗口进行实时查看。如图7所示:
那么座位号基址就是:0043E1F4。下面我们来查找其他数据了,查找其他数据的方法与此类似,游戏开局以后,时间的值会逐渐减少,那我们就可以用CE查找“减少的数值”进行筛选。如图8所示:
时间的基址就是:0043E0A9。下面再查查踩雷的数据地址了,一开始找这个地址的时候有点麻烦,方法是这样的:在没有踩雷时在CE中扫描“未知初始化数值”,踩雷后在CE中扫描“更改的数值”,然后在挖金子中点击“取消”后,回到CE中扫描“更改的数值”,多次踩雷后扫描后发现三个基址。也发现一个规律:踩雷后这三个地址的数据变为1,未踩雷或者点击“取消”后者三个数据都为0,因此大家在找这三个基址的时候可以使用这个规律进行快速查找,如图9所示:
踩雷的基址就是:0043C698、0043C788、0043E06C。也许你已经想到了,只要让这3个地址的数据始终为0就可以实现踩雷不死了。呵呵,得到了这些游戏数据在内存中的地址后,我们就可以通过编程来实现外挂功能了。
第二部分:外挂编程篇
编程我们主要使用delphi来实现,如果你擅长其他编程语言也可以使用其他编程工具来实现。基本原理都是一样的,调用的API函数基本也是一样的。界面可以如图10设计:
下面就是编写功能代码了,主要介绍核心代码,完整工程及外挂程序关注5ecurity公众号领取。
第一步:进程句柄获取
获得了游戏的基本信息就可以通过编程来实现几个简单的功能了。关于api函数的说明MSDN中说的很详细了,这里就不多说了,核心代码如下:
begin
//获取挖金子游戏窗口句柄
Gameh:=findwindow('#32770','挖金子');
//通过窗口句柄获取进程ID
GetWindowThreadprocessID(Gameh,GamePid);
//获取进程句柄
gamehProcess:=OpenProcess(windows.PROCESS_ALL_ACCESS,false,GamePid);
end;
第二步:修改内存数据
首先是时间无限功能的实现,这个功能可以通过定时修改时间基址的数据来实现,我这里用的是时间控件实现的,时间间隔为每秒。
timestop:=30000;
Writeprocessmemory(gamehProcess,pointer($0043e0a8),@timestop,4 ,WriteByte);
踩雷不死功能也比较简单,通过前面分析,只要保持下面三个地址的数据一直是0就可以了,代码如下:
undie:=0;
Writeprocessmemory(gamehProcess,pointer($0043C698),@undie,4 ,WriteByte);
Writeprocessmemory(gamehProcess,pointer($0043C788),@undie,4 ,WriteByte);
Writeprocessmemory(gamehProcess,pointer($0043E06C),@undie,4 ,WriteByte);
秒杀功能可以通过修改座位号的方法实现,在调试时发现座位号是这样分布的0、1、2、3代表上、右、下、左四个座位,如果将座位号复制为其他不存在的数据,则可实现秒杀的效果,这应该是游戏的一个bug吧。具体功能实现代码很简单,如下编写即可:
seckill:=4;
Writeprocessmemory(gamehProcess,pointer($0043E1F4),@seckill,4 ,WriteByte);
窃屏功能也很容易实现,只要座位号改为其他玩家的就可以显示其他玩家的游戏信息了。代码如下:
seckill:=strtiint(edit1.text);
Writeprocessmemory(gamehProcess,pointer($0043E1F4),@seckill,4 ,WriteByte);
Ok!代码写好了,下面编译一下进行测试吧,进入游戏之后再运行外挂,然后体验一下各项功能吧。我的秒杀效果如图11所示:
总结:
这个辅助程序比较基础,主要是通过分使用CE进行分析,获得游戏数据:座位号基址、时间基址、踩雷变化基址。这些地址都属于一级基址,比较简单。虽然简单,但是通过自己动手进行分析操作还是有一定收获的。如果继续开发,建议查找多级地址进行深入分析,比如道具数据和道具格子地址,以及道具使用call调用等,这样可以完成一些变态功能的开发,比如无限道具,无限加分等操作。在本文中使用修改座位号来进行秒杀的做法还是比较新颖的,利用游戏的这个bug来直接快速的实现秒杀功能。因此在外挂开发的实践中,一定要尽可能多的尝试,也许就会有意想不到的收获。
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
最后于 2018-3-4 12:16
被cnsecurity编辑
,原因: