[原创]那些年我曾今玩过的魔兽外挂（一）-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]那些年我曾今玩过的魔兽外挂（一）

发表于: 2019-3-6 12:30 21893

[原创]那些年我曾今玩过的魔兽外挂（一）

黑洛

2019-3-6 12:30

21893

本系列文章的发布顺序并非按照外挂功能复杂程度排序，这点请各位看官注意。

另外，亲爱的大手子们，你以为不封你们真的是因为没检测到你们吗？

那么，接下来要说的这个，应该是我目前玩过的在思路上最巧妙的，涉及到的点也是个检测的盲点，在长达10年（毫不夸张）的对抗过程中被双方都忽略点。

文件名：jasstools.zip

包含文件：jasstools.m3d,globals.txt,function.txt,main.txt,Game.dll

MD5：

jasstools.m3d: f55f15eb7a6c5b962df6a32c40d09372

game.dll:267861a0dfd416dbad13e7ee3ec7794a

OK，依照惯例从DllMain()开始：

DllMain()非常清晰没什么好看的，当 ul_reason_for_call == DLL_PROCESS_ATTACH,即dll挂靠的时候执行 InitHack()函数

显然这个“InitHack()”函数才是我们要关注的重点。

就一份外挂来说，这个流程是写得非常符合“war3的规范的”，甚至比一些商业代码都要规范，当然还有更规范的外挂代码。其中有一句代码是我要吐槽的：

这种代码在这份显得“非常正规”的代码中简直是神一样的存在，因为正常做法大概是：

虽然这样要多写一点代码，但是看起来更符合这份代码的风格不是吗？

当然这句话我在很多易语言源码中见过比如：“game.dll”、““Game.dll” 、“GAME.DLL”比较三次的，实际上根本不用比较。

其流程图大致如下：

吐槽完毕，显然通过观察流程我们发现样本做了一个非常关键的操作，即hook g_game_module_handle + 0x1FAB34 也就是compline_jass_script()这个函数。

不得了啦！偷梁换柱嘞！不被发现的那种~~~

好，那么我们看下这个回调函数DetourGameComplineJassScript()

就截图了上半部分，下半部分不是关键，所以省略了。

那么这一大串东西，到底做了些什么？其实很简单，看以下伪代码：

while（编译的脚本 != nullptr）
{
    if（v_当前编译的脚本名称 == "war3map.j"）
    {
        ......
        v_修改后的脚本大小 == 向原地图脚本中插入作弊脚本();
        将脚本使用暴雪字符串处理规范进行处理();
        覆盖原脚本Buffer();
        ...... 
    }
}
调用原ComplineJassScript();

看以下流程图：

while（编译的脚本 != nullptr）
{
    if（v_当前编译的脚本名称 == "war3map.j"）
    {
        ......
        v_修改后的脚本大小 == 向原地图脚本中插入作弊脚本();
        将脚本使用暴雪字符串处理规范进行处理();
        覆盖原脚本Buffer();
        ...... 
    }
}
调用原ComplineJassScript();

看以下流程图：

所以，这个外挂的核心功能流程已经被我们分析清晰了，当然这个关键函数里还有一个关键点：InsertCheatScriptToMapOrginJassScript()

这个函数负责向内存中的原地图脚本插入作弊脚本，那么我们跟进去看看它是怎么实现这个操作的：

哇！这密密麻麻的一坨是啥？看着好恐怖啊！实际上一点都不恐怖，你只需要关注我画红框的地方。这些就是这个函数的关键，你只要关心它们就好了。

再给出流程图之前，我们要引入一个前置知识，Jass2语言：

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

最后于 2019-3-6 12:35 被黑洛编辑，原因：

#调试逆向

上传的附件：

jasstool.rar （4.33MB，210次下载）

收藏・43

免费・8

支持

最新回复 (27) 1 2 ▶
uestclv 雪币： 180 活跃值： (43) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 1 关注私信	uestclv 2 楼支持～～～ 2019-3-6 13:25 0
bkhumor 雪币： 688 活跃值： (3620) 能力值： (RANK：15 ) 在线值：发帖 20 回帖 192 粉丝 5 关注私信	bkhumor 3 楼打魔兽吗？我人族贼菜 2019-3-6 13:45 0
Editor 雪币： 26398 活跃值： (63257) 能力值： (RANK：135 ) 在线值：发帖 1689 回帖 4390 粉丝 1764 关注私信	Editor 4 楼感谢分享~ 2019-3-6 14:11 0
aabiaobiao 雪币： 592 活跃值： (187) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 28 粉丝 3 关注私信	aabiaobiao 5 楼占个楼你算是比较有牌面的至少比那个大黄狗好多了我就看他很不舒服 2019-3-6 14:13 0
HadesW 雪币： 9217 活跃值： (1886) 能力值： ( LV6，RANK：90 ) 在线值：发帖 2 回帖 54 粉丝 87 关注私信	HadesW 2 6 楼等老哥下一篇！ 2019-3-6 14:30 0
DWwinter 雪币： 403 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 121 粉丝 0 关注私信	DWwinter 7 楼 aabiaobiao 占个楼你算是比较有牌面的至少比那个大黄狗好多了我就看他很不舒服吐槽千万条，文明第一条。用语不规范，四楼两行泪。 2019-3-6 14:59 0
はつゆき雪币： 1641 活跃值： (3601) 能力值： (RANK：15 ) 在线值：发帖 15 回帖 396 粉丝 42 关注私信	はつゆき 8 楼 aabiaobiao 占个楼你算是比较有牌面的至少比那个大黄狗好多了我就看他很不舒服你看外挂相关帖子应该都会觉得很舒服，很有排面 2019-3-6 15:06 0
ggsuper 雪币： 545 活跃值： (247) 能力值： ( LV5，RANK：70 ) 在线值：发帖 7 回帖 76 粉丝 10 关注私信	ggsuper 9 楼感谢分享~ 2019-3-31 14:56 0
木志本柯雪币： 4711 活跃值： (4224) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 363 粉丝 4 关注私信	木志本柯 10 楼呦西检测手段收藏了 2019-4-8 02:28 0
whitelen 雪币： 0 活跃值： (150) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 28 粉丝 0 关注私信	whitelen 11 楼妈呀 2019-4-8 17:49 0
pengrui 雪币： 0 活跃值： (168) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	pengrui 12 楼只看到了喊话功能，没有变态功能 2019-4-8 22:45 0
黑洛雪币： 6124 活跃值： (4651) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 568 粉丝 72 关注私信	黑洛 1 13 楼 pengrui 只看到了喊话功能，没有变态功能那说明你没看懂，再看一遍，没看懂就再看10遍，看到看懂为止。 2019-4-9 00:14 0
岭南散人雪币： 334 活跃值： (92) 能力值： ( LV7，RANK：100 ) 在线值：发帖 43 回帖 283 粉丝 1 关注私信	岭南散人 1 14 楼对于电脑游戏几乎从不感兴趣。但开阔了眼界。谢谢 2019-4-9 08:51 0
上古七夜雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	上古七夜 15 楼网易平台对抗图无效。自定义脚本能开起来，不过跟平台玩家不同步，看不到任何一个人。可以聊天。 2019-11-22 15:48 0
mb_qkotfqiz 雪币： 347 活跃值： (44) 能力值： (RANK：10 ) 在线值：发帖 21 回帖 106 粉丝 10 关注私信	mb_qkotfqiz 16 楼注入类型的都是垃圾外挂，外挂功能全驱动内核操作才是正确姿势。最后于 2019-11-23 13:37 被mb_qkotfqiz编辑，原因： 2019-11-23 13:36 0
黑洛雪币： 6124 活跃值： (4651) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 568 粉丝 72 关注私信	黑洛 1 17 楼 mb_qkotfqiz 注入类型的都是垃圾外挂，外挂功能全驱动内核操作才是正确姿势。山总说的对，山总开发个全内核的挂开源啊。 2019-11-24 20:17 0
mb_qkotfqiz 雪币： 347 活跃值： (44) 能力值： (RANK：10 ) 在线值：发帖 21 回帖 106 粉丝 10 关注私信	mb_qkotfqiz 18 楼黑洛山总说的对，山总开发个全内核的挂开源啊。开源是不可能的，这辈子是不可能开源的。 2019-11-24 21:17 0
pengrui 雪币： 0 活跃值： (168) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	pengrui 19 楼你说这句话我就觉得你很无知，愚昧 2020-1-7 16:01 0
mb_qjljtrkk 雪币： 224 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	mb_qjljtrkk 21 楼老哥麻烦您能加我一下联系方式吗我的qq1255165501 想请教您几个问题高价回报 2020-3-7 16:02 0
wx_洛溪雪币： 33 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 17 粉丝 0 关注私信	wx_洛溪 22 楼请问下大佬子啊官方对战调试过没用od断下来魔兽就崩溃了 2020-6-30 18:39 0
黑洛雪币： 6124 活跃值： (4651) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 568 粉丝 72 关注私信	黑洛 1 23 楼 wx_洛溪请问下大佬子啊官方对战调试过没用od断下来魔兽就崩溃了写个驱动把那个反调试过了吧，r3也能搞，但是r3要处理的东西太多了。具体看我git吧，有例子 2020-6-30 21:06 0
wx_洛溪雪币： 33 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 17 粉丝 0 关注私信	wx_洛溪 24 楼大佬git ID是啥或者给个链接 2020-6-30 21:36 0
sanqiu 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 3 回帖 41 粉丝 5 关注私信	sanqiu 25 楼はつゆき你看外挂相关帖子应该都会觉得很舒服，很有排面大黄狗每一个帖子都在叫什么入狱喝茶什么的然而他一直干的就是这个事 2022-12-9 06:28 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

黑洛

发帖

568

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (27) 1 2 ▶
uestclv 雪币： 180 活跃值： (43) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 1 关注私信	uestclv 2 楼支持～～～ 2019-3-6 13:25 0
bkhumor 雪币： 688 活跃值： (3620) 能力值： (RANK：15 ) 在线值：发帖 20 回帖 192 粉丝 5 关注私信	bkhumor 3 楼打魔兽吗？我人族贼菜 2019-3-6 13:45 0
Editor 雪币： 26398 活跃值： (63257) 能力值： (RANK：135 ) 在线值：发帖 1689 回帖 4390 粉丝 1764 关注私信	Editor 4 楼感谢分享~ 2019-3-6 14:11 0
aabiaobiao 雪币： 592 活跃值： (187) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 28 粉丝 3 关注私信	aabiaobiao 5 楼占个楼你算是比较有牌面的至少比那个大黄狗好多了我就看他很不舒服 2019-3-6 14:13 0
HadesW 雪币： 9217 活跃值： (1886) 能力值： ( LV6，RANK：90 ) 在线值：发帖 2 回帖 54 粉丝 87 关注私信	HadesW 2 6 楼等老哥下一篇！ 2019-3-6 14:30 0
DWwinter 雪币： 403 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 121 粉丝 0 关注私信	DWwinter 7 楼 aabiaobiao 占个楼你算是比较有牌面的至少比那个大黄狗好多了我就看他很不舒服吐槽千万条，文明第一条。用语不规范，四楼两行泪。 2019-3-6 14:59 0
はつゆき雪币： 1641 活跃值： (3601) 能力值： (RANK：15 ) 在线值：发帖 15 回帖 396 粉丝 42 关注私信	はつゆき 8 楼 aabiaobiao 占个楼你算是比较有牌面的至少比那个大黄狗好多了我就看他很不舒服你看外挂相关帖子应该都会觉得很舒服，很有排面 2019-3-6 15:06 0
ggsuper 雪币： 545 活跃值： (247) 能力值： ( LV5，RANK：70 ) 在线值：发帖 7 回帖 76 粉丝 10 关注私信	ggsuper 9 楼感谢分享~ 2019-3-31 14:56 0
木志本柯雪币： 4711 活跃值： (4224) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 363 粉丝 4 关注私信	木志本柯 10 楼呦西检测手段收藏了 2019-4-8 02:28 0
whitelen 雪币： 0 活跃值： (150) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 28 粉丝 0 关注私信	whitelen 11 楼妈呀 2019-4-8 17:49 0
pengrui 雪币： 0 活跃值： (168) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	pengrui 12 楼只看到了喊话功能，没有变态功能 2019-4-8 22:45 0
黑洛雪币： 6124 活跃值： (4651) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 568 粉丝 72 关注私信	黑洛 1 13 楼 pengrui 只看到了喊话功能，没有变态功能那说明你没看懂，再看一遍，没看懂就再看10遍，看到看懂为止。 2019-4-9 00:14 0
岭南散人雪币： 334 活跃值： (92) 能力值： ( LV7，RANK：100 ) 在线值：发帖 43 回帖 283 粉丝 1 关注私信	岭南散人 1 14 楼对于电脑游戏几乎从不感兴趣。但开阔了眼界。谢谢 2019-4-9 08:51 0
上古七夜雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	上古七夜 15 楼网易平台对抗图无效。自定义脚本能开起来，不过跟平台玩家不同步，看不到任何一个人。可以聊天。 2019-11-22 15:48 0
mb_qkotfqiz 雪币： 347 活跃值： (44) 能力值： (RANK：10 ) 在线值：发帖 21 回帖 106 粉丝 10 关注私信	mb_qkotfqiz 16 楼注入类型的都是垃圾外挂，外挂功能全驱动内核操作才是正确姿势。最后于 2019-11-23 13:37 被mb_qkotfqiz编辑，原因： 2019-11-23 13:36 0
黑洛雪币： 6124 活跃值： (4651) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 568 粉丝 72 关注私信	黑洛 1 17 楼 mb_qkotfqiz 注入类型的都是垃圾外挂，外挂功能全驱动内核操作才是正确姿势。山总说的对，山总开发个全内核的挂开源啊。 2019-11-24 20:17 0
mb_qkotfqiz 雪币： 347 活跃值： (44) 能力值： (RANK：10 ) 在线值：发帖 21 回帖 106 粉丝 10 关注私信	mb_qkotfqiz 18 楼黑洛山总说的对，山总开发个全内核的挂开源啊。开源是不可能的，这辈子是不可能开源的。 2019-11-24 21:17 0
pengrui 雪币： 0 活跃值： (168) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	pengrui 19 楼你说这句话我就觉得你很无知，愚昧 2020-1-7 16:01 0
mb_qjljtrkk 雪币： 224 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	mb_qjljtrkk 21 楼老哥麻烦您能加我一下联系方式吗我的qq1255165501 想请教您几个问题高价回报 2020-3-7 16:02 0
wx_洛溪雪币： 33 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 17 粉丝 0 关注私信	wx_洛溪 22 楼请问下大佬子啊官方对战调试过没用od断下来魔兽就崩溃了 2020-6-30 18:39 0
黑洛雪币： 6124 活跃值： (4651) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 568 粉丝 72 关注私信	黑洛 1 23 楼 wx_洛溪请问下大佬子啊官方对战调试过没用od断下来魔兽就崩溃了写个驱动把那个反调试过了吧，r3也能搞，但是r3要处理的东西太多了。具体看我git吧，有例子 2020-6-30 21:06 0
wx_洛溪雪币： 33 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 17 粉丝 0 关注私信	wx_洛溪 24 楼大佬git ID是啥或者给个链接 2020-6-30 21:36 0
sanqiu 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 3 回帖 41 粉丝 5 关注私信	sanqiu 25 楼はつゆき你看外挂相关帖子应该都会觉得很舒服，很有排面大黄狗每一个帖子都在叫什么入狱喝茶什么的然而他一直干的就是这个事 2022-12-9 06:28 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复