首页
社区
课程
招聘
[转帖] 从开源软件学习windows下游戏插件快速扫盲
发表于: 2023-1-27 14:11 8097

[转帖] 从开源软件学习windows下游戏插件快速扫盲

2023-1-27 14:11
8097

首先,我们先看下一些法律基础,以确保大家是在学习插件,而不是外挂。

一个游戏插件的发布,前提是要得到游戏开发或者发行商的许可(或者有利游戏方不会封禁,比如直播软件),其中包括了功能会不会破环平衡性的讨论和达成共识。

当然,今天这个快速扫盲版的方法不会提及绕过anti-cheat,而是假设了已告知anti-cheat我们不会干坏事,在允许的范围下做事情。


那么,我们开始今天的旅程。


一、选择开源软件学习在游戏上显示内容

刚才我们学习了一下法律小基础,里面提到了一个tricky的地方是可以有利游戏方不会封禁,这个是因为软件安装在用户的电脑上,用户有一定权力去确保自己的系统运行在自己的方式上。比如我想直播一个游戏,除了游戏画面,我想放一些文字比如战绩比如广告,然后推送流(直播软件无法一个一个和游戏方谈判的,但是直播有利于更多玩家进入所以游戏方默许;再一个例子是杀毒软件,因为kernel driver的控制权问题,游戏制作发行方也不会太深究)。这里当然方法很多。比如可以使用录屏然后后期处理加上各种特效显示文字,这样直播人看不到这些特效;所以还有一种方法是注入一些代码到游戏程序上,然后画出想显示的内容,这样在直播的时候,播主可以看到内容,观众也可以看到,就比较方便了。


其实有很多方法显示,我们就快速过一下常用的两种方式。


第一种就是非侵入式的,但是对游戏的设置有要求。很简单,就是画个窗口显示内容,然后保证这个窗口top-most在所有窗口最前面显示就好。所以这个方法的好处就是,不会修改游戏的任何地方就能显示内容,坏处是游戏必须处于非全屏独占模式(无边框模式或者窗口模式),不然top-most是不生效的。github上也有一大把repo,比如 https://github.com/lolp1/Overlay.NET 当然overlay.net稍微和我们说的有点差别,它是创建一个窗口,然后把窗口塞到目标上去。


关键代码比如DirectX下,CreateWindow 再 DwmExtendFrameIntoClientArea 就能实现这部分功能了

......
        private bool CreateWindow() {
            Handle = Native.CreateWindowEx(
                WindowConstants.WindowExStyleDx,
                WindowConstants.DesktopClass,
                "",
                WindowConstants.WindowStyleDx,
                X,
                Y,
                Width,
                Height,
                IntPtr.Zero,
                IntPtr.Zero,
                IntPtr.Zero,
                IntPtr.Zero);

            if (Handle == IntPtr.Zero) {
                return false;
            }

            Native.SetLayeredWindowAttributes(Handle, 0, 255, WindowConstants.LwaAlpha);
......
        private void ExtendFrameIntoClient() {
            _margin.cxLeftWidth = X;
            _margin.cxRightWidth = Width;
            _margin.cyBottomHeight = Height;
            _margin.cyTopHeight = Y;
            Native.DwmExtendFrameIntoClientArea(Handle, ref _margin);
        }


第二种就是通过注入DLL的方式,hook到游戏的画面刷新函数,因为像windows游戏底层最终要么是DirectX要么是GL,很少会有开发商比出新裁自己开发底层库,所以函数就那么几个系列。所以,这里我们可以学习有名的直播软件OBS的代码 https://github.com/obsproject/obs-studio


首先简单介绍下DLL注入,这个其实就是柔和版的shellcode,注入一个自己的DLL到一个进程里,这样可以触发DLL的加载,从而在进程内部运行一次初始化DLL的代码,这样就可以在知道函数偏移以后,替换成自己的函数,达到hook的目的。如何知道函数偏移这个我们后面第二部分再说。不过,这里还要提一嘴,这个DLL的注入一般都是被anti-cheat监控的,所以并不是100%成功,当然一般没必要封死,毕竟还有诸如直播软件要用。


我们直接来看看obs干了啥吧,在这个程序里就是先 load_deubg_privilege,这个是提权操作,确保最大成功率;当然,这个在driver面前就是个0,这个我们也后面再说。接着就执行了 inject_helper。逆向嘛,也就是一堆压缩扭曲的源代码,麻烦点但是也是和代码一样追,我们看源代码多舒服(懒腰)…然后继续追着inject_helper 里面有两种方法 inject_library_obf 和 inject_library_safe_obf

int main(void)
{
    wchar_t dll_path[MAX_PATH];
    LPWSTR pCommandLineW;
    int argc;
    LPWSTR *argv;
    int ret = INJECT_ERROR_INVALID_PARAMS;

    SetErrorMode(SEM_FAILCRITICALERRORS);
    load_debug_privilege();

    pCommandLineW = GetCommandLineW();
    argv = CommandLineToArgvW(pCommandLineW, &argc);
    if (argv) {
        if (argc == 4) {
            if (GetModuleFileNameW(NULL, dll_path, MAX_PATH))
                ret = inject_helper(argv, argv[1]);
        }

        LocalFree(argv);
    }

    return ret;
}


这里我就不贴一长串代码了,这两函数就写在一个文件里:https://github.com/obsproject/obs-studio/blob/master/plugins/win-capture/inject-library.c

显然,为何 inject_library_safe_obf 叫safe,那是因为完全没有直接WriteProcessMemory硬核操作,safe的方式就是我使用windows api给进程的主线程注册一个事件callback,这样线程比如是待窗口的,那么除了它会自动加载你的DLL到进程里,还可以截获诸如鼠标键盘操作的事件;这个方法注册完回调,PostThreadMessage 触发一下,确保DLL在进程中加载;当然你看到了RETRY,那是因为这个是走windows的消息队列,注册表里默认10000的长度,万一丢包了可以重试增加成功率;这个方法也得看bit的,一般32位注入32位程序,64位注入64位的,所以这个程序就会编译成俩。另一个方法,就是硬核写入进程内存,十分粗鲁,大家自己看吧 create_remote_thread 是启动DLL的重点。另外提一嘴,想学习更多注入方法,可以看看 https://github.com/vinjn/injector 方法还蛮多的。


之后我们可以参考如何实现 hook 从而在游戏画面中展示我们想要画出的内容。举起一个栗子:https://github.com/obsproject/obs-studio/blob/master/plugins/win-capture/graphics-hook/d3d9-capture.cpp 我们就不管它是如何初始化和如何得到DirectX的画面要去推流的,我们看看OBS如何hook画面。 里面有个 manually_get_d3d9_addrs 函数,这个其实是如何得到DirectX的渲染关键函数,它拿到了vtable,然后使用特定index定位函数。之后就是替换这个函数,换成自己的,然后就可以在游戏内容绘制以后画你的内容,后面就是DirectX的知识了,好了,可以去学习imgui画界面了…

bool hook_d3d9(void)
{
    HMODULE d3d9_module = get_system_module("d3d9.dll");
    uint32_t d3d9_size;
    void *present_addr = nullptr;
    void *present_ex_addr = nullptr;
    void *present_swap_addr = nullptr;

    if (!d3d9_module) {
        return false;
    }

    d3d9_size = module_size(d3d9_module);

    if (global_hook_info->offsets.d3d9.present < d3d9_size &&
        global_hook_info->offsets.d3d9.present_ex < d3d9_size &&
        global_hook_info->offsets.d3d9.present_swap < d3d9_size) {

        present_addr = get_offset_addr(
            d3d9_module, global_hook_info->offsets.d3d9.present);
        present_ex_addr = get_offset_addr(
            d3d9_module, global_hook_info->offsets.d3d9.present_ex);
        present_swap_addr = get_offset_addr(
            d3d9_module,
            global_hook_info->offsets.d3d9.present_swap);
    } else {
        if (!dummy_window) {
            return false;
        }

        if (!manually_get_d3d9_addrs(d3d9_module, &present_addr,
                         &present_ex_addr,
                         &present_swap_addr)) {
            hlog("Failed to get D3D9 values");
            return true;
        }
    }

    if (!present_addr && !present_ex_addr && !present_swap_addr) {
        hlog("Invalid D3D9 values");
        return true;
    }

    DetourTransactionBegin();

    if (present_swap_addr) {
        RealPresentSwap = (present_swap_t)present_swap_addr;
        DetourAttach((PVOID *)&RealPresentSwap, hook_present_swap);
    }
    if (present_ex_addr) {
        RealPresentEx = (present_ex_t)present_ex_addr;
        DetourAttach((PVOID *)&RealPresentEx, hook_present_ex);
    }
    if (present_addr) {
        RealPresent = (present_t)present_addr;
        DetourAttach((PVOID *)&RealPresent, hook_present);
    }

    const LONG error = DetourTransactionCommit();
    const bool success = error == NO_ERROR;
    if (success) {
        if (RealPresentSwap)
            hlog("Hooked IDirect3DSwapChain9::Present");
        if (RealPresentEx)
            hlog("Hooked IDirect3DDevice9Ex::PresentEx");
        if (RealPresent)
            hlog("Hooked IDirect3DDevice9::Present");
        hlog("Hooked D3D9");
    } else {
        RealPresentSwap = nullptr;
        RealPresentEx = nullptr;
        RealPresent = nullptr;
        hlog("Failed to attach Detours hook: %ld", error);
    }

    return success;
}

好,我们稍微展开下那个vtable,这个其实是个编译器知识,

struct {
   int var;
   void (*fn)();
} *a;

简化点,就是编译一般是顺序放数据结构的,如果是32位的,在对齐的情况我们把a看成一个void*数组,a[0]对应var,a[1]对应fn的函数指针。


二、如何找到游戏中的数据

这个问题其实我们可以从单机游戏开始,尤其是没有压缩的保存文件。和上面稍微展开的vtable类似,当内存中的数据要存储到硬盘上的时候,一般就是直接serialize,所以可以很好的去分析保存文件学习内存中的样子。这里有一个分析仙剑本地保存文件的帖子 https://blog.csdn.net/prog_6103/article/details/6604276 这个只要多看看,自然就熟了;原来的金山游侠 fps2000旧时代的内存搜索或者cheat engine新时代的替代搜索内存就相当于这样在文件里找数据。


为了找到数据的位置,我们需要知道进程中任意内存中的内容,这个就是逆向的重点了。为了让它足够简单,我们会合理运用前一部分的知识。


单机游戏不会那么追求保护,所以可以先从单机游戏学习起来;一般刚才谈到的金山 fps ce直接搜索诸如血量之类的数值,就能找到那个位置。或者可以直接把相关游戏的exe dll拖到IDA里,找到写数据的位置。一个简单的例子,扫雷程序很简单,我们可以想想如果你写个程序会如何生成雷,应该是会用到随机数之类的函数,比如rand,所以扫雷exe拖到IDA里,找到call rand,顺藤摸瓜,就可以找到雷会存储到内存的哪个位置了。一般全局变量的地址都是固定的,这个就很好处理,写起插件来,只要能注入然后读取那个固定地址就好了。如果对于局部变量,一般它会存在heap堆里,遍历起来慢慢搜索;也有存在stack栈里的,比如一个函数while死循环就可以有一些变量在stack里,这个时候得先拿到进程PEB或者windows api可以得到模块的基础地址,exe其实也是一个模块,也有基址,然后找一些有特征的点,再计算这个点和数据的偏移,甚至hook一些必要的函数,让函数调用的时候通知出来也是一种方法。


网络游戏的保护很重要,它确保了游戏正常公平运营。所以才有了跌宕起伏的游戏和外挂激战。一般游戏发布的时候exe dll都是要加壳的,anti-cheat都是会要kernel driver保护的。在和游戏开发和运营商谈拢后,比如插件可以被允许读取游戏数据,然后分析再给玩家出报告,让玩家打得更好,这个就是增加游戏的retention,有成就感就能一直打这个游戏。那么这个时候需要突破一些限制。


首先静态分析是比较复杂的,因为加壳了,所以脱壳dump很重要,这个看雪的教程还是刚刚的 https://www.kanxue.com/chm.htm?id=2277&pid=node1000293

但是大家会发现诸如apxx 原x这样的重量级联网游戏,会有anti-cheat去patch内核层面的函数来达到保护,大家会发现attach debugger会失败,因为anti-cheat屏蔽了权限。这个权限大家可以参考 https://learn.microsoft.com/zh-CN/windows/win32/procthread/process-security-and-access-rights

想要突破这个process的权限,有很多方法;我们回到开源上,比如 https://github.com/notscimmy/libelevate 通过隐藏的数据结构重新拿到权限,当然anti-cheat会一直扫描,所以这就是一种对抗了。内核调试到ring0是肯定解决问题的,还有一种就是在可能的情况下注入DLL然后dump内存。这个注入DLL的方法我们在前一部分已经谈过了。


快速扫盲就暂时到这里吧。其实游戏插件的话题还有很多,比如说插件做出来了,如何保护自己让自己不被滥用?万一别人写了个DLL注入到你的程序里dump游戏内容,这个可能会遭到游戏开发和发行商的封杀的。安全问题一层又一层。科技向善吧。

本文拙劣,欢迎批评指正。谢谢。
 


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

最后于 2023-2-5 23:26 被freshreer编辑 ,原因:
收藏
免费 4
支持
分享
最新回复 (3)
雪    币: 235
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
2
期待大佬的下一篇文章~
2023-1-29 11:26
0
雪    币: 22
活跃值: (443)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
期待大佬的下一篇文章~
2023-1-29 15:59
0
雪    币: 1671
活跃值: (215817)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
4
游戏插件????
2023-1-29 16:08
0
游客
登录 | 注册 方可回帖
返回
//