dnf 外挂编写
原理(1)
我们在使用OD做CALL调试的时候大家都会选择嵌入一句 __asm INT 3;来让OD自动断在我们需要的代码处。经过测试发现DNF拦截了INT 3的中断门,一旦程序运行到INT 3就会跳转到DNF内的一段代码,直接将游戏T下线。在这里呢就不讲如何恢复了,对我来说这个还做不到,于是想到了一个替代办法,没脑人也能做成事,多出点傻力气也就可以了。言归正传。
dnf 外挂编写教程原理(1)
我们在使用OD做CALL调试的时候大家都会选择嵌入一句 __asm INT 3;来让OD自动断在我们需要的代码处。经过测试发现DNF拦截了INT 3的中断门,一旦程序运行到INT 3就会跳转到DNF内的一段代码,直接将游戏T下线。在这里呢就不讲如何恢复了,对我来说这个还做不到,于是想到了一个替代办法,没脑人也能做成事,多出点傻力气也就可以了。言归正传。
dnf 外挂编写教程原理(1)
我们在使用OD做CALL调试的时候大家都会选择嵌入一句 __asm INT 3;来让OD自动断在我们需要的代码处。经过测试发现DNF拦截了INT 3的中断门,一旦程序运行到INT 3就会跳转到DNF内的一段代码,直接将游戏T下线。在这里呢就不讲如何恢复了,对我来说这个还做不到,于是想到了一个替代办法,没脑人也能做成事,多出点傻力气也就可以了。言归正传。
或许许多人对SYSER的操作还不熟悉,这里就详细的按步说下。
在我们写打DLL代码中,想在哪里断下我们就在那个位置添加一句:__asm MOV EAX,1F0001_
这样做的前提是:你接下来的代码不会使用到EAX的数据,如果使用到了,你可以更换成其他的对下面代码没有影响的寄存器。另外你还要能够手工触发你的被测试代码,例如按某个键就执行你需要测试的代码。
在我们写打DLL代码中,想在哪里断下我们就在那个位置添加一句:__asm MOV EAX,1F0001_
这样做的前提是:你接下来的代码不会使用到EAX的数据,如果使用到了,你可以更换成其他的对下面代码没有影响的寄存器。另外你还要能够手工触发你的被测试代码,例如按某个键就执行你需要测试的代码。
在我们写打DLL代码中,想在哪里断下我们就在那个位置添加一句:__asm MOV EAX,1F0001_
这样做的前提是:你接下来的代码不会使用到EAX的数据,如果使用到了,你可以更换成其他的对下面代码没有影响的寄存器。另外你还要能够手工触发你的被测试代码,例如按某个键就执行你需要测试的代码。
在我们写打DLL代码中,想在哪里断下我们就在那个位置添加一句:__asm MOV EAX,1F0001_
这样做的前提是:你接下来的代码不会使用到EAX的数据,如果使用到了,你可以更换成其他的对下面代码没有影响的寄存器。另外你还要能够手工触发你的被测试代码,例如按某个键就执行你需要测试的代码。
上面的条件都满足了那我们继续:
CTRL+F12 进入SYSER的界面,输入命令:ADDR DNF 进入DNF的领空,鼠标点击菜单Tools菜单,选择第一项:Memory Search 也就是内存搜索工具,弹出搜索对话框 我们设定第一项TYPE为DWORD,搜索内容自然是1F0001,接下来是Range也就是搜索区域设置,我们点击Select module按钮来选择当前DNF的类,在列表中选择你要测试的代码所在的类,双击类名称后面的起始地址,这样搜索范围就被固定在这个类中了。点下find按钮,在内存显示窗口内就会出现匹配的数据了,我们需要的是数据的地址。
得到数据的存储地址后,我们在下面的命令窗口输入命令: U 地址 注意这里的地址就是刚刚我们得到的数据存储地址,U后面是有空格的。命令成功执行后,我们可以移动下代码窗口右侧的滚动条,让SYSER得以正确识别代码。
这里我们说下为什么选择使用1F0001这个数值,大家通过上面步骤看到了,它其实的作用就是一个特征码,既然是特征码,它越具有唯一性对我们的寻找也就越有帮助,通过上面的步骤如果运气好的话,那找到的就是你自己的代码,也就是:__asm MOV EAX,1F0001;所在的,你的程序里的位置,如果不是的话可以继续搜索find next,我想大家都应该有能力识别出到底找到的地方是不是自己想要的地方,如果连自己的程序反汇编后事什么样都判断不出来的话,不建议看本文,还要多加努力。
我们通过特征码方式找到了自己的程序特定的代码段,剩下来的工作就是F9在这里下个断点了,呵呵,然后一切随你操作了就,人工断点完成。
单步步进快捷键F11,步过F10,继续运行F5,或者输入命令X
就到这里。
dnf 外挂编写教程原理(2)
寻找血量计算方法:
当鼠标放置于血条上会有提示信息出现(这里很重要必须将鼠标放置在血条上,显示出信息后再呼出SYSER的调试窗口,同时鼠标也不要动,就停留在这里),显示出当前血量和最大血量,我们就从这里入手来找到血量的计算函数。
将鼠标放置于DNF的血条上CTRL+F12呼出syser调试窗口用第一节里我们使用过的内存搜索工具在DNF的内存范围内进行搜索,类型是Text (Ansi),搜索我的最大血量1375很快在地址:00E23C78这里发现了完整的显示信息:“HP:756/1375”,而且这个地址是个常量,固定功能就是存储显示信息,此处的00E23C78是用来存储血和蓝的临时显示信息,稍后大家就会自然明白。
数据找到了,接下来就是对这块内存下内存写入断点:bpmd 00E23C78
这里注意:内存断点共有4个命令,bpm bpmb bpmw bpmd,后三个依次是对内存下BYTE、WORD、DWORD的断点。这里下完的断点经常会引起DNF崩溃,大家自己摸索规律来让自己顺利完成跟踪和分析。
下完断点后按F5或者输入X命令让游戏继续运行,屏幕一闪随后断了下来。
在没有真正分析代码之前请大家回忆下自己写挂的经历,这有助于开拓思路。
因为血量在游戏运行过程中首先是一个数字型变量,而我们入手的地方是界面显示部分,别忘了我们是按照Text方式搜索的,所以目前得到的是个字符类型的,从核心计算到界面显示必然要经历一个数字到字符的转换过程。
我们仔细看下左边堆栈里的数据情况(现在是断点生效并且成功断下来的时候),我们看到堆栈里有几组一眼就能认出的数据,类似:“HP:756/1375”这样的,我们越过这些明文的字符数据从堆栈继续向下找,直到没有再出现:“HP:756/1375”这样的数据,目光停下,然后我们将要寻找的就是血量的数值,将 756 和 1375分别转换成 16进制数得到: 2F4 和55F ,于是我们继续向下在堆栈中寻找这2个16进制数,终于发现他们了,而且是挨在一起的,接下来的精确定位这2个数据的来源过程略过,大家自己完成,我只给出结果,因为过程复杂而且SYSER在单机上调试的时候无法复制代码出来,所以讲起来也很不方便,下面只把最关键的代码给出来:
MOV ECX,[00DA3C0C] //取CALL基址
MOV EDX,[ECX]
CALL [EDX+000003F0] //当前血量计算函数
MOV ECX,[00DA3C0C] //取CALL基址
PUSH EAX //当前血量
MOV EAX,[ECX]
CALL [EAX+000003EC] //当前最大血量计算函数
PUSH EAX //当前最大血量
PUSH 00C36584 //输出格式基址
PUSH 00000200
PUSH 00E23C78 //界面信息输出信息基址(前面我们使用内存搜索工具得到的地址)
CALL 00401D40 //数字类型数据转字符类型数据并将字符串写入界面信息输出信息基址CALL
好今天任务完成。大家如果能理解得了回去就可以自己动手把蓝和经验什么的也给找出来。明天将深入分析这2个函数的算法,从而得到真正的血、蓝存储地址。
调试中要用到的新的快捷键F6 运行到返回为止。新命令BD(使断点失效) BE(使已经失效的断点重新生效) BC(清除断点) BL(查看断点列表,也可以使用CTRL+F9这个快捷键)
dnf 外挂编写教程原理(3)
经过第二节的分析我们继续对 血量计算函数进行深入的分析,最终得到了它的解密算法:
PUSH EBX
MOV EBX,[00F5F11C] //[00F5F11C]=9cdeef02
PUSH ESI
PUSH EDI
MOV EDI,ECX //ECX=4F61228 (上层函数由基址计算得来)
MOV EAX,[EDI] //98240fec
MOV ECX,[EDI+4] //[4F6122C]=4CEC6
XOR EAX,EBX //EAX=4fae0ee(运算后)
SUB EAX,EDI //EAX=4CEC6(运算后)
CMP EAX,ECX //相等
JZ 00A626EC //跳转实现
MOV ECX,[00F5F118]
PUSH 3F
PUSH EDI
CALL 00A630A0 //可能是个错误处理函数,也有可能是外挂检测和报告函数
MOV EBX,[00F5F11C]
MOV ECX,[00F5F118] //跳转至此 64f3e58
MOV EAX,[EDI+4] //[4f6122c]=4CEC6
MOV EDX,[ECX+44] //[64f3e9c]=243b0000
SHL EAX,2 //EAX=133b18 (运算后)
MOV ESI,[EDX+EAX] //[244e3b18]=b890d7ee
ADD EDX,EAX //EAX=133b18 EDX=243b0000 运算后EDX=244e3b18
XOR ESI,EDX //ESI=9cdeecf6(运算后)
MOV EDX,[ECX+48] //[64f3ea0]=4c050000
ADD EAX,EDX //EAX=4c183b18(运算后)
MOV EDX,[EAX] //d0c6d7ee
XOR EDX,EAX //edx=9cdeecf6(运算后)
XOR ESI,EBX //esi=3f4(运算后)(至此我们的血量数值也就计算出来了)
XOR EDX,EBX //edx=3f4(运算后)(同样也是血量数值)
CMP ESI,EDX //相等
JZ 00A6271B //跳转实现
PUSH 40
PUSH EDI
CALL 00A630A0
POP EDI //跳转至此
MOV EAX,ESI //esi=3f4(为函数返回值赋值)
POP ESI
POP EBX
RET
上面的解密算法很简单多数都是异或,2次数据比对算是对数据的真伪检测。其实算法在这里不是很重要,重要的是我们透过分析代码得到了血量的原始存储地址和数值这就足够了,如果服务器不对玩家血量做验证的话,这里完全可以实现锁血锁蓝了。
dnf 外挂编写教程原理(4)、、
前一节中例子代码里有一个可疑的CALL,最终证实该函数具备错误处理和日志
功能。
经过前三节的从界面显示信息 到 界面数据显示CALL 到 界面数据解密函数 对DNF实施了一次纵深打击,但这还不够,我们要继续使用已经获得的资料来进行拓展。
首先就是对解密函数进行拓展,在解密函数内部下断点,观察这个解密函数都能为游戏提供哪些数据的解密服务,通过观察,我们能直接看到的数据有:当前血量、当前最大血量 当前蓝量、当前最大蓝量 人物等级。
在观察过程中我们需要一些技巧,要使用到条件断点把已经知道的数据和无用的数据过滤掉,SYSER条件断点的使用方法:首先在需要断下来的地方F9下一个断点,然后按快捷键CTRL+F9呼出断点列表对话框,选中刚刚下好的断点,再点击Edit按钮进行编辑,在Condition编辑框内输入你需要的条件,例如:esi!=2&&esi!=3&&esi!=0 这样一个条件断点就完成了。
上面是对解密函数的拓展。我们分析过程中还有一个重要的点,那就是界面信息输出CALL。
我们同样也在这里下个断点,观察,都有什么数据传递过来显示在屏幕上。经过分析发现了一个重要的东西,那就是地面遍历。当然这里也可以对玩家,怪物 遍历,具体代码过长不能手工打出来了,只能大家自己分析。
至此关于DNF方面的要分享给大家的就提供到这里,相信打开了这么大的一个缺口有能力的人能够自行进行研究了,我也就不再发表类似的启蒙帖子了,祝大家好运,本文终。
dnf 外挂编写教程原理(4)、、
前一节中例子代码里有一个可疑的CALL,最终证实该函数具备错误处理和日志记录功能。
经过前三节的从界面显示信息 到 界面数据显示CALL 到 界面数据解密函数 对DNF实施了一次纵深打击,但这还不够,我们要继续使用已经获得的资料来进行拓展。
首先就是对解密函数进行拓展,在解密函数内部下断点,观察这个解密函数都能为游戏提供哪些数据的解密服务,通过观察,我们能直接看到的数据有:当前血量、当前最大血量 当前蓝量、当前最大蓝量 人物等级。
在观察过程中我们需要一些技巧,要使用到条件断点把已经知道的数据和无用的数据过滤掉,SYSER条件断点的使用方法:首先在需要断下来的地方F9下一个断点,然后按快捷键CTRL+F9呼出断点列表对话框,选中刚刚下好的断点,再点击Edit按钮进行编辑,在Condition编辑框内输入你需要的条件,例如:esi!=2&&esi!=3&&esi!=0 这样一个条件断点就完成了。
上面是对解密函数的拓展。我们分析过程中还有一个重要的点,那就是界面信息输出CALL。
我们同样也在这里下个断点,观察,都有什么数据传递过来显示在屏幕上。经过分析发现了一个重要的东西,那就是地面遍历。当然这里也可以对玩家,怪物 遍历,具体代码过长不能手工打出来了,只能大家自己分析。
至此关于DNF方面的要分享给大家的就提供到这里,相信打开了这么大的一个缺口有能力的人能够自行进行研究了,我也就不再发表类似的启蒙帖子了,祝大家好运,本文终。