首页
社区
课程
招聘
代码补丁实现扫雷秒杀
发表于: 2009-4-9 19:11 8799

代码补丁实现扫雷秒杀

2009-4-9 19:11
8799

关于扫雷秒杀的文章,看雪论坛上讨论的比较多,本文的部分地址也是来自看雪别人分析的结果,在这里对前辈们做的分析表示由衷的感谢。

以下工作均在Ollydbg下实现,不会OD的请先简单的学习下OD的使用再来看本文。

本文的思路是选取一个用处不大的菜单,修改菜单消息响应函数地址,使他指向我们自己编写的一个函数中,有点像HOOK,我在这里选取的是使用帮助这个菜单,感觉没什么用处,就改这个了。

第一步,我们要找一块不用的空间来存放我们编写的代码,我这里使用的是01004A57,后面是一大段的00,所以我就用这个了,你也可以选取其他的空间,当然必须要能够存放的下我们编写的代码,不能把别人的代码给覆盖了。

在这里,我们要完成秒杀的功能,实际上就是自动完成扫雷的工作,这里有几个比较重要的地址:
0x10056AC 列的数目
0x10056A8 行的数目
【列+行*0x20+0x1005340】的值如果为8F就表示存在雷
01003512 为关键CALL,扫雷的函数地址。
编写以下代码到空白区域

01004A57  $  55            PUSH EBP
01004A58  .  8BEC          MOV EBP,ESP                          ;保存堆栈
01004A5A  .  A1 AC560001  MOV EAX,DWORD PTR DS:[10056AC];获取到列的数目
01004A5F  .  83C0 01      ADD EAX,1 ;列加1
01004A62  .  50            PUSH EAX  ;保存列到堆栈中
01004A63  .  8B0D A8560001 MOV ECX,DWORD PTR DS:[10056A8];获取行的数目
01004A69  .  83C1 01      ADD ECX,1;行加1
01004A6C  .  51            PUSH ECX ;保存行到堆栈中
01004A6D  .  6A 00        PUSH 0 ;创建一个堆栈变量,保存外层循环次数(列记次变量)
01004A6F  .  6A 00        PUSH 0 ;创建一个堆栈变量,保存内层循环次数(行记次变量)
01004A71  .  33C0          XOR EAX,EAX ;eax得到一个0值
01004A73  .  8945 F0      MOV DWORD PTR SS:[EBP-10],EAX;将0放到堆栈中,初始值
01004A76  >  8345 F0 01    ADD DWORD PTR SS:[EBP-10],1;循环开始,堆栈中变量加1
01004A7A  .  8B45 F0      MOV EAX,DWORD PTR SS:[EBP-10];取出外层循环变量放到eax中
01004A7D  .  90            NOP ;调试留下的一些空位置
01004A7E  .  90            NOP
01004A7F  .  90            NOP
01004A80  .  3945 FC      CMP DWORD PTR SS:[EBP-4],EAX;比较外层循环是否结束
01004A83  .  74 2E        JE SHORT winmine.01004AB3;循环完了就跳
01004A85  .  33C9          XOR ECX,ECX;获取一个0值
01004A87  .  894D F4      MOV DWORD PTR SS:[EBP-C],ECX;将0保存到堆栈变量中
01004A8A  >  8345 F4 01    ADD DWORD PTR SS:[EBP-C],1;堆栈变量加1,内层循环开始
01004A8E  .  8B4D F4      MOV ECX,DWORD PTR SS:[EBP-C];取出堆栈变量到ecx
01004A91  .  394D F8      CMP DWORD PTR SS:[EBP-8],ECX;比较内层循环是否结束
01004A94  .^ 74 E0        JE SHORT winmine.01004A76;结束了就调到外层循环
01004A96  .  8BF1          MOV ESI,ECX
01004A98  .  C1E6 05      SHL ESI,5;esi = esi×32
01004A9B  .  F68430 405300>TEST BYTE PTR DS:[EAX+ESI+1005340],80;看该位置是否有雷,080h就是有雷的标记
01004AA3  .^ 75 E5        JNZ SHORT winmine.01004A8A;有雷就继续循环,没有雷就挖掉
01004AA5  .  51            PUSH ECX;参数2,行
01004AA6  .  50            PUSH EAX;参数1,列
01004AA7  .  E8 66EAFFFF  CALL winmine.01003512;调用扫雷函数
01004AAC  .  8B45 F0      MOV EAX,DWORD PTR SS:[EBP-10];取出堆栈变量到eax
01004AAF  .^ EB D9        JMP SHORT winmine.01004A8A;跳到内层循环
01004AB1  .^ EB C3        JMP SHORT winmine.01004A76;跳到外层循环
01004AB3  >  5F            POP EDI;这里2个pop是为了平衡堆栈,因为原来的函数带2个参数
01004AB4  .  5E            POP ESI
01004AB5  .  C9            LEAVE
01004AB6  .  C2 0800      RETN 8;返回

这段代码的意思就是遍历雷区所有位置的方格,如果方格内部不存在雷,就调用函数01003512挖掉该位置。

由于我选取的是菜单使用帮助的消息响应,原来的函数有2个参数,因此这里最后要用2个pop,中间的NOP是我在调试的时候留下的,你可以去掉,不过要记得修改跳转语句和CALL的地址。

第二步到消息响应的位置,修改消息响应函数,将这里的 CALL 01003D76修改CALL 01004A57。
01001F03  |. /EB 0A        JMP SHORT winmine.01001F0F
01001F05  |> |6A 02        PUSH 2                                  ;  Case 24F of switch 01001EDC,这里是第二个参数
01001F07  |. |6A 01        PUSH 1;这里是第一个参数
01001F09  |. |EB 04        JMP SHORT winmine.01001F0F
01001F0B  |> |6A 00        PUSH 0                                  ;  Case 24E of switch 01001EDC
01001F0D  |. |6A 03        PUSH 3
01001F0F  |> \E8 432B0000  CALL winmine.01003D76;要将这里改成我们自己编写的CALL地址
01001F14  |.  E9 90020000  JMP winmine.010021A9

修改好了,就直接用OD复制到可执行文件,全部保存内容,就基本上做好了。
完成以上的工作后就是修改下菜单的资源了,使用PExplorer修改菜单使用帮助的标题为使用秒杀。

好了,现在可以来看看效果了,点下使用秒杀,就可以看到自己完成,时间为0,雷的自动标记也已经做好了。

附件是修改好了扫雷,可以看看效果。


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

上传的附件:
收藏
免费 0
支持
分享
最新回复 (9)
雪    币: 205
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
牛人
!!!!!!!!!!!!
2009-4-9 23:31
0
雪    币: 411
活跃值: (12)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
不错。2003server下能正常、有效地运行,实现了0秒杀。
2009-4-10 11:28
0
雪    币: 202
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
我还以为是判断是否有雷, 然后挖掉呢, 原来是直接读取是否有雷的标志, 不好玩
记得什么软件就带有扫雷功能, 可能是金山打字通还是什么, 也能实现秒杀扫雷,  估计也是直接读取内存是否有雷的标志
2009-4-10 13:53
0
雪    币: 50
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
高人啊
写代码的能力非常的强
2009-4-28 21:07
0
雪    币: 251
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
这个代码补丁还不完善,如果我选高级或自定义以后,再用"秒杀",就没有反应了,用鼠标点也没有反应,只有重启扫雷,换成初级或中级才行.
2009-4-29 09:18
0
雪    币: 170
活跃值: (50)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
7
我刚刚下载下来,高级和自定义也都没问题的啊,你有空帮我调试下,看看在哪里出的问题吗?我这里正常。
2009-4-29 13:05
0
雪    币: 1373
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
我刚刚下载,高级和自定义都没问题。
2009-4-29 14:06
0
雪    币: 251
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
我机器出了点问题,现在好了.
2009-4-29 16:01
0
雪    币: 332
活跃值: (30)
能力值: ( LV12,RANK:460 )
在线值:
发帖
回帖
粉丝
10
就是类似那个外挂编写扫雷找call的教程
2009-4-29 22:41
0
游客
登录 | 注册 方可回帖
返回
//