看了不少书阿.入门应该很快

我以前分析过这个,就是无限洗牌.直接分析那个洗牌的菜单就可以了.到最后也就是改个跳转.不过郁闷的是好像洗牌多了以后,最后的得分是负数,被同学狂骂......后来也没继续搞.

对于VB程序,可以试一下带壳分析,
用trace指令,分析一下游戏的过程,看看那些是关键,
游戏中的数据一般放在内存中的

谢谢nbw和lordor。

我利用ida查找rtcMsgBox,终于找到了存储分数的位置在004A3134.(这是脱壳后的程序)

然后利用softice拦截rtcMsgBox,此时已进入msvbvm60.

利用D命令，显示004A3134的数据，显示00005234（实际上我的分数只有210分），从ida显示程序在读入数据后，还调用了__vbaStrR4.代码如下所示：
.text:00485EC2 8B 15 34 31 4A 00 mov     edx, dword_4A3134
.text:00485EC8 50                push    eax
.text:00485EC9 52                push    edx
.text:00485ECA FF 15 24 11 40 00 call    ds:__vbaStrR4
不知道这个函数有什么功能？

另外一个疑问是，代码段和数据段的选择子为何不一样,代码段为001b,数据段确是0010.

我看啦上面，也有点问题，我想问那个程序把分数放到内存里，到是可以，可是从那里来的呢！！！！它不可能每一回都是把分数写入到自己的EXE文件里吧！我想它一定把分数放到它本身以外的一个地方，只是可能是加密啦而已！！！

都32位了,选择子无所谓
至于数据的来历可以用 bpm  XXXXXX(地址) .我这2天搞这个,头大的要死
另外比分也没放在exe里面.你自己找找看.应该不难

分数的问题我已经解决了，就放在004A3134，唯一高明之处是它以单精度实数的形式存放的，即IEEE浮点格式标准。这也是一般的游戏修改器无法捕抓到它的原因。

现在将目标转移到如何修改提示次数和直接进入任意关卡的问题上，这个程序可能是因为汉化的原因，菜单是程序执行后生成的，exeScope无法捕抓到。

利用消息断点 bmsg xxxxxxxx wm_char截取键盘消息，也无法获取。
游戏中获取提示的快捷方式是F5, 利用wm_keydown仍然无法截取按键。估计被处理菜单快捷方式的消息处理函数处理掉了。我现在想知道的就是如何截取用户选取菜单的消息。

nbw,可不可以告诉我你当时是怎样分析那个菜单的？谢了！

连续洗牌,直到最后弹出对话框,就拦截这个对话框
要是不行的话再说

谢谢nbw.

我找到判断洗牌的代码了，洗牌次数存放在004a30d4.

老婆要睡了，明天继续。

4A3194 提示次数
4A30D4 洗牌次数
4A3134 总分

游戏还是用专用工具比较好，比如 game expert等

10搂，这个游戏不是我自己玩，不会要教我老婆怎么用game expert 吧。

无限洗牌的问题解决了，在00485acd处连续修改为10个nop.

关数记录在004a30ce处，现在问题是如何一开始游戏就进入第3关呢？如果说用户直接输入关数，则要增加的代码或许比较多。

如果用keymaker做个lorder怎么样？动态修改内存

你先用这个软件把程序中的汉字转换成英文，再进行静态反编译看看。附件:VBExplorer.rar

用game master就可以做个无敌档，不过只能从easy开始，还有时间能否让它停下来

经过一个星期的努力和大虾们的指点，终于将我的“处男作”完成了。

实现的目标包括：
（1）找到分数的记录位置，修改分数，并保存在分数榜中；
（2）实现无限制洗牌；
（3）实现直接进入某一关卡；
（4）解决脱壳后，只能玩easy级的问题。

将自己的一些心得体会贴出来，与大家分享。希望能继续得到高手们的帮助。

xiv.实现无限制洗牌的方法。
   1.是洗牌次数用完后，会弹出一个“已无牌可走”的对话框。
   2.通过Ultra Edit获取“已无牌可走”的Unicode编码，然后在ida中搜索到字符串的位置；
   3.根据对字符串的引用，找到对应的编码在00485acd处。
   4.然后将次数减一及判断跳转的指令去掉即可。
xv.实现直接进入任意关卡的方法
   1.每关结束后，都会弹出“成功完成第n关”的对话框。
   2.通过该对话框找到存放关数的位置在004a30ce处。
   3.然后利用bpmw 004a30ce w设置对该处的写断点，找到对应的初始化关数代码在004894ff。
   4.然后在004a2394处找到代码空隙，于是加一个跳转，然后赋予任意关数值，然后再跳回。对机器指令仍然不是很熟悉，用到的指令包括：
    a)jmp rel32 (E9 xx xx xx xx) : 32位相对跳转；
    b)mov word ptr mem,imm (66 C7 05 MM MM MM MM ww ww )
xvi.目前来看，以上解决的3个问题都是利用bpx msvbvm60!rtcMsgBox设置对话框断点解决。对于菜单的截取，因为涉及消息处理机制，所有的消息是通过回调消息处理函数解决的。因此跟踪时通常进入底层代码，无法去到上层代码中去。
xvii.继续研究消息处理代码，解决只有easy级别的问题。
    1.这个问题花了一天的时间，终于解决了。在VB编写的程序中，并没有直接调用user32!EnableMenuItem。从EnableMenuItem到用户的应用程序，还隔了几层调用。另一方面，通过F12无法跟踪到调用代码，或许是这种程序结构实现了隐藏：
                     push Offset_NextAddress
                     jmp Loc_Ret
                     …
     Loc_Ret:        ret               
     因此必须老实的用F10一步一步返回。
   2.通过跟踪，发现对菜单的屏蔽是写在程序里的。因此估计压缩时还添加了恢复这些菜单的代码。因此用Aspdie并没有完全将代码还原。
   3.设置菜单的代码入口点包括：(参数0为禁止，FF为开启)
     a)0047BCB9：（提示）
     b)0047BD3D：（洗牌）
     c)0047BD9D：（暂停）
     d)0047BE0A：（放弃）
     e)0047BF29
     f)0047BFEA
     g)0047C0AB
     h)0047C16C
     i)0047C22D
     j)0047C2EE
xviii.通过对这个程序的破解，感觉还需要更多的了解底层的东西。另外需要《Windows API》以及《Intel opCode》的相关资料。对于指令代码，目前的资料都描述得不是很清楚，或许真的需要看Intel提供的资料。

最后再次感谢看雪，感谢各位高手，感谢精神上支持我的老婆！