【文章标题】: 天堂1窗口化的方式
【文章作者】: dengkeng
【作者邮箱】: poppig#sohu.com
【软件名称】: 天堂1
【下载地址】: 自己搜索下载
【加壳方式】: Themida
【保护方式】: Themida
【使用工具】: IDA,OD,StrongOD.dll
【操作平台】: xp,sp2
【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【详细过程】
天堂1窗口化的方式
这个游戏也算是老游戏了,可能因为过于太老吧,没有一些设置选项的东西.
(现在的游戏大部分都有)所以要想着怎么样窗口化这个游戏.通用的工具大家
都知道D3DWindower这个程序,但是使用起来还是有点问题,游戏虽然给窗口化
了,但是鼠标的操作确实怪怪的,貌似现在的Gua提供的窗口化的功能要缴费以
后才能够使用.尽量在网上google,找到几个关于传奇的窗口的代码,主要部分
我摘录了一下.
1. Hook的时机,Hook时首先截获DirectDrawCreat函数,从中得到产生的设备
对象的指针的指针.这个指针是放在堆栈中的,它是一个指向com虚表指针的指针.
2.截获这个指针后,将虚表中的地址SetCooperatelever 和 SetDisplayMode
函数替换成我的SetCooperatelever 和 SetDisplayMode函数地址.
3.下面就是写SetCooperatelever 和 SetDisplayMode两个涵数了
SetDisplayMode 屏掉,因为DirectX中窗口化方式下显示模式不能设置.
在SetCooperatelever 中设置显示分鞭率为1024*768
当让这个是别人总结的,我们就拿来主义了.经过后面的实验,发现3还是有点
问题.(虽然屏幕给窗口化了,但是鼠标的操作还是有点问题,实际还是全屏幕,
只是游戏给窗口化了,有点别扭吧,^_^,就是如果你操作游戏,实际上鼠标是点不
了游戏窗口以外的东西,要运行其他的东西还是需要Alt+Tab进行切换.
好了,下面就说说方法吧.
方法1:分析别人的外挂程序.挂的名字不说了.开启外挂,然后定位到游戏代码
DirectDrawCreate的部分.IDA分析字符串.
___:00423660 sub_423660 proc near ; CODE XREF: sub_4234A0p
___:00423660
___:00423660 var_120 = byte ptr -120h
___:00423660 var_20 = dword ptr -20h
___:00423660 var_1C = dword ptr -1Ch
___:00423660 var_10 = dword ptr -10h
___:00423660 var_C = dword ptr -0Ch
___:00423660 var_8 = dword ptr -8
___:00423660 var_4 = dword ptr -4
___:00423660
___:00423660 push ebp
___:00423661 mov ebp, esp
___:00423663 sub esp, 120h
___:00423669 call sub_423450
___:0042366E cmp eax, 10h
___:00423671 jz short loc_42367A
___:00423673 mov g_IsFullWindow, 1
___:0042367A
___:0042367A loc_42367A: ; CODE XREF: sub_423660+11j
___:0042367A mov eax, dword_67F9F8
___:0042367F test eax, eax
___:00423681 jnz short loc_4236B3
___:00423683 push eax
___:00423684 push offset dword_67F9F8
___:00423689 push eax
___:0042368A call sub_4D53B8
___:0042368F ; ---------------------------------------------------------------------------
___:0042368F test eax, eax
___:00423691 jz short loc_4236AE
___:00423693 push eax
___:00423694 push offset aDirectdrawcrea ; "DirectDrawCreate failed err=%d"
___:00423699
___:00423699 loc_423699: ; CODE XREF: sub_423660+7Aj
___:00423699 lea eax, [ebp+var_120]
___:0042369F push eax
___:004236A0 nop
___:004236A1 call near ptr 77C0F931h
___:004236A6 add esp, 0Ch
___:004236A9 jmp loc_423752
___:004236AE ; ---------------------------------------------------------------------------
___:004236AE
___:004236AE loc_4236AE: ; CODE XREF: sub_423660+31j
___:004236AE mov eax, dword_67F9F8
___:004236B3
___:004236B3 loc_4236B3: ; CODE XREF: sub_423660+21j
___:004236B3 mov cl, g_IsFullWindow
___:004236B9 test cl, cl
___:004236BB mov ecx, [eax]
___:004236BD jz short loc_4236C3
___:004236BF push 11h
___:004236C1 jmp short loc_4236C5
___:004236C3 ; ---------------------------------------------------------------------------
___:004236C3
___:004236C3 loc_4236C3: ; CODE XREF: sub_423660+5Dj
___:004236C3 push 8
___:004236C5
___:004236C5 loc_4236C5: ; CODE XREF: sub_423660+61j
___:004236C5 mov edx, g_GamehWnd
___:004236CB push edx
___:004236CC push eax
___:004236CD call dword ptr [ecx+50h]
___:004236D0 test eax, eax
___:004236D2 jz short loc_4236DC
___:004236D4 push eax
___:004236D5 push offset aSetcooperative ; "SetCooperativeLevel failed err=%d"
___:004236DA jmp short loc_423699
___:004236DC ; ---------------------------------------------------------------------------
___:004236DC
___:004236DC loc_4236DC: ; CODE XREF: sub_423660+72j
___:004236DC mov al, g_IsFullWindow
___:004236E1 test al, al
___:004236E3 jz loc_42376A
___:004236E9 mov ecx, g_GamehWnd
___:004236EF push 0FFFFFFF0h
___:004236F1 push ecx
___:004236F2 call near ptr 2F30387h ; GetWindowLongA
___:004236F7 nop
___:004236F8 mov edx, g_GamehWnd
___:004236FE and eax, 0FF3DFFFFh
___:00423703 or eax, 80000000h
___:00423708 push eax
___:00423709 push 0FFFFFFF0h
___:0042370B push edx
___:0042370C call near ptr 2F305BDh ; SetWindowLongA
___:00423711 nop
___:00423712 mov eax, dword_67F9F8
___:00423717 push 10h
___:00423719 push 1E0h
___:0042371E mov ecx, [eax]
___:00423720 push 280h
___:00423725 push eax
___:00423726 call dword ptr [ecx+54h]
___:00423729 test eax, eax
___:0042372B jge loc_423885
___:00423731 push eax
___:00423732 lea edx, [ebp+var_120]
___:00423738 push offset aSetmodeFailedE ; "SetMode failed err=%x"
正常的流程,也就是全屏幕的过程,g_IsFullWindow,这个地方的地址,是为1(当然这
个后面分析出的结果,我用IDA给它重新命名了),所以4236BD,4236E3这2个地方它不会
跳走,所以就执行了
call dword ptr [ecx+50h]
call dword ptr [ecx+54h]
这2个函数,通过后面的提示,以及网上的一些搜索.ecx+0x50应该就是SetCooperativeLevel
的函数的地址,而ecx+0x54就是SetDisplayMode,现在看看挂是怎么给窗口化的?重新再来,开游戏
你会发现如果用挂,这个地方的流程就变化了g_IsFullWindow这个地方的值给改变了为0了,而不是
原来的1.所以方法1很简单Hook DirectDrawCreat这个函数,然后在里面修改g_IsFullWindow这个
地址的值(因为紧跟着就是判断调用,所以我们在Hook的DirectDrawCreat里面做下手脚)
HRESULT WINAPI MyDirectDrawCreate(GUID FAR* lpGUID, LPDIRECTDRAW FAR* lplpDD,IUnknown FAR* pUnkOuter)
{
HRESULT hResult;
__asm
{
push pUnkOuter
push lplpDD
push lpGUID
Call [g_DirectDrawCreate_Call]
mov hResult,eax
}
*(byte *)g_IsWindow = 0;
return hResult;
}
方法1的特点,简单,但是缺点就是需要随着游戏的更新而更新这个全局变量的地址,来适应游戏的
升级.为了达到通用版本(针对这个游戏),所以我们想到了方法2,实际上这个游戏也不是不能够自己
窗口化,只是他自己没有给出让玩家自己设定而已(想不通,为什么呢?难道非要一心一意的玩游戏?)
好了,接下来我们在上面MyDirectDrawCreate里面返回4236BD这个地址跳走了,原来是不会跳走的
push 11现在跳走了然后push 8,这个是个什么意思呢???google一下这个函数,需要对Dircet编程有
点了解,你会发现SetCooperativeLevel的调用方式
HRESULT SetCooperativeLevel(HWND hwnd,DWORD dwLevel);
第一个是游戏的HWND,创建窗口得来的(这个也很重要,后面会讲到),第2个就是我们前面看到的2次
跳转的不同的值,默认的是0x11,窗口化的这个地方传入0x08
0x11 = DDSCL_EXCLUSIVE | DDSCL_FULLSCREEN
0x08 = DDSCL_NORMAL
看到了吗?这个就是全屏幕的调用,窗口则传入DDSCL_NORMAL的方式,接下来我们继续走4236E3这个
地方,因为已经修改掉了,所以就是0了,它就跳到了42376A,代码见下面,其实就处理一些窗口的东西
了.
___:0042376A loc_42376A: ; CODE XREF: sub_423660+83j
___:0042376A mov eax, g_GamehWnd
___:0042376F push esi
___:00423770 push 12CA0000h
___:00423775 push 0FFFFFFF0h
___:00423777 push eax
___:00423778 call near ptr 2F305BDh ; SetWindowLongA
___:0042377D nop
___:0042377E lea ecx, [ebp+var_10]
___:00423781 push 1E0h
___:00423786 push 280h
___:0042378B push 0
___:0042378D push 0
___:0042378F push ecx
___:00423790 call near ptr 2F30737h ; SetRect
___:00423795 nop
___:00423796 mov edx, g_GamehWnd
___:0042379C mov esi, g_GetWindowLongA
___:004237A2 push -20 ; GWL_EXSTYLE
___:004237A4 push edx
___:004237A5 call esi ; g_GetWindowLongA
___:004237A7 push eax ; eax = 0x40100
___:004237A8 mov eax, g_GamehWnd
___:004237AD push eax
___:004237AE call near ptr 2F30965h ; GetMenu
___:004237B3 nop
___:004237B4 mov ecx, g_GamehWnd
___:004237BA neg eax
___:004237BC sbb eax, eax
___:004237BE neg eax
___:004237C0 push eax
___:004237C1 push -16 ; GWL_STYLE
___:004237C3 push ecx
___:004237C4 call esi ; g_GetWindowLongA
___:004237C6 lea edx, [ebp+var_10]
___:004237C9 push eax
___:004237CA push edx
___:004237CB call near ptr 2F30D21h ; AdjustWindowRectEx
___:004237D0 nop
___:004237D1 mov eax, [ebp+var_4]
___:004237D4 mov edx, [ebp+var_C]
___:004237D7 mov ecx, [ebp+var_8]
___:004237DA sub eax, edx
___:004237DC push 16h ; _DWORD
___:004237DE mov edx, g_GamehWnd
___:004237E4 push eax ; _DWORD
___:004237E5 mov eax, [ebp+var_10]
___:004237E8 mov esi, g_SetWindowPos
___:004237EE sub ecx, eax
___:004237F0 push ecx ; _DWORD
___:004237F1 push 0 ; _DWORD
___:004237F3 push 0 ; _DWORD
___:004237F5 push 0 ; _DWORD
___:004237F7 push edx ; _DWORD
___:004237F8 call esi ; g_SetWindowPos
___:004237FA mov eax, g_GamehWnd
___:004237FF push 13h ; _DWORD
___:00423801 push 0 ; _DWORD
___:00423803 push 0 ; _DWORD
___:00423805 push 0 ; _DWORD
___:00423807 push 0 ; _DWORD
___:00423809 push 0FFFFFFFEh ; _DWORD
___:0042380B push eax ; _DWORD
___:0042380C call esi ; g_SetWindowPos
___:0042380E lea ecx, [ebp+var_20]
___:00423811 push 0
___:00423813 push ecx
___:00423814 push 0
___:00423816 push 30h
___:00423818 call near ptr 2F40000h ; SystemParametersInfoA
___:0042381D nop
___:0042381E mov eax, g_GamehWnd
___:00423823 lea edx, [ebp+var_10]
___:00423826 push edx
___:00423827 push eax
___:00423828 call near ptr 2F40402h ; GetWindowRect
___:0042382D nop
___:0042382E mov eax, [ebp+var_10]
___:00423831 mov ecx, [ebp+var_20]
___:00423834 cmp eax, ecx
___:00423836 jge short loc_42383D
___:00423838 mov eax, ecx
___:0042383A mov [ebp+var_10], eax
___:0042383D
___:0042383D loc_42383D: ; CODE XREF: sub_423660+1D6j
___:0042383D mov ecx, [ebp+var_C]
___:00423840 mov edx, [ebp+var_1C]
___:00423843 cmp ecx, edx
___:00423845 jge short loc_42384C
___:00423847 mov ecx, edx
___:00423849 mov [ebp+var_C], ecx
___:0042384C
___:0042384C loc_42384C: ; CODE XREF: sub_423660+1E5j
___:0042384C push 15h ; _DWORD
___:0042384E push 0 ; _DWORD
___:00423850 push 0 ; _DWORD
___:00423852 push ecx ; _DWORD
___:00423853 mov ecx, g_GamehWnd
___:00423859 push eax ; _DWORD
___:0042385A push 0 ; _DWORD
___:0042385C push ecx ; _DWORD
___:0042385D call esi ; g_SetWindowPos
___:0042385F mov edx, g_GamehWnd
___:00423865 mov dword_682088, 0
___:0042386F push 1
___:00423871 push 0
___:00423873 push edx
___:00423874 mov dword_68208C, 0
___:0042387E call near ptr 2F71B9Fh ; InvalidateRect
好了,既然知道了游戏的处理流程,我们就可以自己实现了.Hook DirectDrawCreate是
肯定的了,接下来就是要Hook SetCooperativeLevel跟SetDisplayMode了
HRESULT WINAPI MyDirectDrawCreate(GUID FAR* lpGUID, LPDIRECTDRAW FAR* lplpDD,IUnknown FAR* pUnkOuter)
{
HRESULT hResult;
__asm
{
push pUnkOuter
push lplpDD
push lpGUID
Call [g_DirectDrawCreate_Call]
mov hResult,eax
}
//这个看开头的说明
DWORD dwDD = (DWORD)*lplpDD;
dwDD = *(DWORD *)dwDD;
Hook_Api(*(DWORD *)(dwDD+0x50)
,(DWORD)MySetCooperativeLevel,
&g_str_inline_hook_SetCooperativeLevel,&g_SetCooperativeLevel_Call);
Hook_Api(*(DWORD *)(dwDD+0x54)
,(DWORD)MySetDisplayMode,
&g_str_inline_hook_SetDisplayMode,&g_SetDisplayMode_Call);
return hResult;
}
HRESULT WINAPI MySetCooperativeLevel(DWORD dwThis,HWND hwnd,DWORD dwLevel)
{
HRESULT hResult;
__asm
{
push 0x00000008
push hwnd
push dwThis
Call [g_SetCooperativeLevel_Call]
mov hResult,eax
}
return hResult;
}
MySetCooperativeLevel,我们需要把参数人为的修改为0x08
HRESULT WINAPI MySetDisplayMode(DWORD dwThis,DWORD dwWidth,DWORD dwHeight,DWORD dwBit)
{
HRESULT hResult = 1;
// __asm
// {
// push dwBit
// push dwHeight
// push dwWidth
// push dwThis
// Call [g_SetDisplayMode_Call]
// mov hResult,eax
// }
return hResult;
}
MySetDisplayMode函数里面,我们什么都不做,OK,让他直接返回,就像开头说的一样
回忆一下,SetDisplayMode 屏掉,因为DirectX中窗口化方式下显示模式不能设置.然后
再开游戏,dll注入进去,看看是否已经窗口化掉了???但是这个只是个假象,游戏虽然
窗口化掉了,但是点了窗口外面的东西没有反应,这个就是窗口化后,后面的部分没有处理
,也就是跳到42376A开始的往下执行部分,没有执行.因为默认的Hook调以后,执行完
SetDisplayMode以后,在42372B处会跳到结尾结束.所以我们需要自己补齐那部分的
处理代码,位置嘛,当然是在MySetDisplayMode里面,毕竟在它里面什么都不做,那我们
就来做点东东了.也就是帮他执行42376A后面的代码.代码如下:
HRESULT WINAPI MySetDisplayMode(DWORD dwThis,DWORD dwWidth,DWORD dwHeight,DWORD dwBit)
{
HRESULT hResult = 1;
RECT rcSect;
SetWindowLong(g_GamehWnd,GWL_STYLE,0x12CA0000);
SetRect(&rcSect,0,0,0x280,0x1E0);
DWORD dwExstyle = GetWindowLong(g_GamehWnd,GWL_EXSTYLE);
HMENU hMenu = GetMenu(g_GamehWnd);
DWORD dwstyle = GetWindowLong(g_GamehWnd,GWL_STYLE);
AdjustWindowRectEx(&rcSect,dwstyle,(BOOL)hMenu,dwExstyle);
long cy = rcSect.bottom - rcSect.top;
long cx = rcSect.right - rcSect.left;
SetWindowPos(g_GamehWnd,0,0,0,cx,cy,0x16);
SetWindowPos(g_GamehWnd,(HWND)0x0FFFFFFFE,0,0,0,0,0x13);
RECT rcWorkArea;
SystemParametersInfo(SPI_GETWORKAREA,0,&rcWorkArea,0);
GetWindowRect(g_GamehWnd,&rcSect);
if(rcSect.left < rcWorkArea.left)
{
rcSect.left = rcWorkArea.left;
}
if(rcSect.top < rcWorkArea.top)
{
rcSect.top = rcWorkArea.top;
}
SetWindowPos(g_GamehWnd,(HWND)0,rcSect.left,rcSect.top,0,0,0x15);
InvalidateRect(g_GamehWnd,NULL,TRUE);
return hResult;
}
在进游戏看看,是不是已经能够操作游戏窗口外的东西了,当然还有一点要说明,以为
后面的代码处理部分用到了g_GamehWnd,所以为了达到通用,你可以自己处理下或者在
MySetCooperativeLevel里面保存一下hwnd到g_GamehWnd,也可以Hook CreateWindowExA
来得到g_GamehWnd,当然这个游戏用Themida处理过了,一些Api的调用都不在系统空间执
行了当然你可以继续在CreateWindowExA往下Hook.
好了方法2也说完了,方法2的特点就是通用天1的所有版本,以后游戏更新也不怕了,
辛苦一次,幸福以后啊.:)至于传奇的是否可行,这个没有下游戏我就不知道了,我想应该
也应该可以吧.
在此感谢fengyue的StrongOD,仅以此文献给,在网上找不到处理游戏窗口化的方式跟
MySetDisplayMode代码的XDJM
--------------------------------------------------------------------------------
【经验总结】
有效合理运用已知外Gua跟Google,:)
--------------------------------------------------------------------------------
【版权声明】: 转载请注明作者并保持文章的完整, 谢谢!
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
