编程语言

img zhangze

协议型外挂制作五

发表于2004/11/3 12:31:00  1715人阅读

协议型外挂制作五

By rix

       第一节到第三节我们说了基本工具的准备,第四节使用免升级和免弹出主页来做了一下基本的练习。第四节中和普通的游戏修改器没有太大的区别,只是一个修改的是数据,一个修改的是代码。这一节中我们将通过在dll中修改大话的代码来进行外挂的制作。其实在dll中动态修改代码和上一节用的方法一样,只是要改写的东西更多了而已。

       原理和上一节中的函数一样,都是调用WriteProcessMemory

       这一节的任务是拦截接收到的数据,关于发送的数据可以进行相类似的处理。一般在分析网络游戏的时候,都是先分析接收到的数据。对于大话的程序,中间如何去分析的过程就不说了,这要看自己的调适能力了。不过对于9.16之前的大话客户端程序,里面含有大量的调试信息(也可能是脚本信息),大致分析程序可以发现,程序总是在打印调试信息之后,然后做实际的工作。其中对于"rx_decode”这个字段很感兴趣,看看调用的地方:

.text:00449D4F 154                 push    offset aRx_decode ; "rx_decode"

在前方不久的地方就是网络函数recv,因此可以这样来理解,程序接收到数据之后,打印出调试信息,然后跳转到:

.text:00449D95 154                 push    ebp

的地方继续执行,通过不断的跟踪发现,大部分时候程序都执行到地址:

.text:00449DED 154                 mov     [eax], edi

而且,[edi]中的内容在相同的时刻几乎是相似的,通过在游戏中随机的打开中断,将[edi]中的内容dump出来,然后组成ASCII码便可以发现,里面的内容相对来说是不变的,如果你运气好刚好可以拦截到聊天数据的话,就会发现里面的内容就是聊天的内容。这有点像碰运气。不过,如果采用下面的方法的话,就可以不用碰运气了。首先,我们发现edi是一个数据的地址,ebp中是我们接收到的数据的长度。当对其中的内容感到怀疑的时候,我们就想将该语句执行的时候[edi]中的内容dump出来,dump的长度就是ebp中的值。因此我们通过w32dasm来制作内存补丁,使用W32dasm反编译程序之后,使用快捷键Ctrl+L可以将程序加载到内存中,不让程序执行,快捷键Ctrl+F12跳转代码窗口的地址到00449DED               一行,方便恢复代码的时候用。在调试窗口中按Ctrl+F12将当前代码位置跳转到00449DED

我们将在这里进行内存补丁的编写。点击Patch Code按钮就可以直接写内存代码了。在00449DED的位置的补丁如下:

:00449DED E90ECA0400                    jmp 00496800

00496800地址的内容是一段空闲得内存。在ida中可以看到程序中没有任何地方使用这块内存,我们将在这里进行程序的修改。当程序执行到00449DED的时候,就会跳转到00496800接着执行,因此,我们还必须修改00496800处的代码,使用Ctrl+F12跳转到00496800处,开始打补丁:

:00496800 50                            push eax;保存各寄存器的值

:00496801 53                            push ebx

:00496802 51                            push ecx

:00496803 52                            push edx

:00496804 55                            push ebpebp为这次接收到的数据长度

:00496805 57                            push ediedi为数据地址

:00496806 6804040000                    push 00000404;向外挂程序发送拦截消息ID

:0049680B A1D0664900                    mov eax, dword ptr [004966D0][004966d0]中包含的是外挂窗口的窗口句柄

:00496810 50                            push eax

:00496811 3EFF1574924700                call dword ptr ds:[00479274]ds:[00479274]SendMessage的函数地址,调用SendMessage函数向外挂发送命令

:00496818 5A                            pop edx;恢复各寄存器

:00496819 59                            pop ecx

:0049681A 5B                            pop ebx

:0049681B 58                            pop eax

:0049681C 8938                          mov dword ptr [eax], edi;调用原来的操作,因为我们打补丁的时候跳过了部分操作,因此在这里进行原来的操作。

:0049681E 5F                            pop edi

:0049681F 5E                            pop esi

:00496820 5D                            pop ebp

:00496821 E9CC35FBFF                    jmp 00449DF2;跳回原来的地址之后接着执行

以上就是拦截补丁的完整代码。在使用的时候,必须先将大话程序的[004966d0]中填充上外挂的窗口句柄,要不然是没办法弄得。

使用W32dasm做补丁的时候好处在于我们看到的就是程序执行时用的虚拟地址,并且,W32dasm在给出汇编代码的同时给出了代码的16进制表示。补丁做完之后,剩下的就是如何将补丁程序放入到目标程序中了。

当外挂窗口创建之后,我们通过向外挂窗口发送WM_USER+2来命令外挂窗口执行修改大话程序的操作。

下面是具体的修改操作:

void TwgHookForm::ModifyXy2(TMessage Message)

{

 DWORD dwIdOld1, dwIdOld2, dwIdOld3, dwIdOld4, dwIdOld5;

 DWORD id=GetCurrentProcessId();

 HANDLE handle1 = OpenProcess(PROCESS_ALL_ACCESS, FALSE,id);

 if (wghandle)

    {

        Byte getrecv1[] =

        {

            0xE9, 0x0E, 0xCa, 0x04, 0x00

        }; //5

        Byte getrecv2[] =

        {

            0x50, 0x53, 0x51, 0x52, 0x55, 0x57, 0x68, 0x04, 0x04, 0x00,

                0x00, 0xA1, 0xd0, 0x66, 0x49, 0x00, 0x50, 0x3E, 0xFF, 0x15,

                0x74, 0x92, 0x47, 0x00, 0x5A, 0x59, 0x5B, 0x58, 0x89, 0x38,

                0x5F, 0x5E, 0x5D, 0xE9, 0xcc, 0x35, 0xFB, 0xFF

        }; //38

        VirtualProtectEx(handle1, (void*)(0x004966d0), 4, PAGE_READWRITE,

            &dwIdOld1);

        if ((WriteProcessMemory(handle1, (void*)(0x004966d0), &wghandle, 4,

            NULL)) == false)

        {

            ShowMessage("写句柄错误!");

            return ;

        }

        VirtualProtectEx(handle1, (void*)(0x004966d0), 4, dwIdOld1, &dwIdOld1);

        VirtualProtectEx(handle1, (void*)(0x00449DED), 5, PAGE_READWRITE,

            &dwIdOld4);

        if ((WriteProcessMemory(handle1, (void*)(0x00449DED), getrecv1, 5, NULL)

            ) == false)

        {

            ShowMessage("拦截接收修正补丁错误!");

        }

        VirtualProtectEx(handle1, (void*)(0x00449DED), 5, dwIdOld4, &dwIdOld4);

        VirtualProtectEx(handle1, (void*)(0x00496800), 38, PAGE_READWRITE,

            &dwIdOld5);

        if ((WriteProcessMemory(handle1, (void*)(0x00496800), getrecv2, 38,

            NULL)) == false)

        {

            ShowMessage("拦截接收补丁错误!");

        }

        VirtualProtectEx(handle1, (void*)(0x00496800), 38, dwIdOld5, &dwIdOld5);

    }

}

CB中使用自定义消息,需要在头文件中加入:

#define WM_USER_MODIF (WM_USER+2) //修改大话程序的消息

#define WM_USER_GETSEND (WM_USER+1) //拦截到发送数据接收到的消息

#define WM_USER_APIHOOK (WM_USER+5) //APIHOOK拦截到接收到的消息

#define WM_USER_GETRECV (WM_USER+4)  //修改后的程序会向外挂窗口发送该消息。

在外挂窗口类里面(我这里是TwgHookForm),添加函数void ModifyXy2(TMessage Message)

void GetRecv(TMessage Message);

protected:关键字下面添加消息映射声明:

BEGIN_MESSAGE_MAP

                VCL_MESSAGE_HANDLER(WM_USER_MODIF, TMessage, ModifyXy2)

                VCL_MESSAGE_HANDLER(WM_USER_APIHOOK, TMessage, HOOKAPITest)

                VCL_MESSAGE_HANDLER(WM_USER_GETSEND, TMessage, GetSend)

                VCL_MESSAGE_HANDLER(WM_USER_GETRECV, TMessage, GetRecv)

        END_MESSAGE_MAP(TForm)

以上就是拦截接收数据的全部了。结合以前的代码,运行程序,可以发现,拦截到的数据为所有的已经解密了的游戏数据,至于数据的解析,就看自己的了,这里给出一个解析的代码框架:

#define CMDVOID(a) /

void CMDSAY##a(int cmd, int length, char* date)

#define RECVCASE(cmd,length,data) /

case cmd:/

CMDSAY##cmd(cmd,length,data);/

break

 

class中的声明:

CMDVOID(10);

CMDVOID(11);

CMDVOID(21);

在接收到的函数GetRecv中:

void TwgHookForm::GetRecv(TMessage Message)

{

 if (Message.WParam == 1)

    {

        cmdrecvstate = RECVCMD;//如果接收到的是1个字符,则接收到的是命令

    }

    else if (Message.WParam == 2)

    {

        cmdrecvstate = RECVLENGTH;//如果接收到长度是2个字符,则为将要接收到的数据长度

    }

    else

    {

        cmdrecvstate = RECVDATA;//否则接收到的就是数据

    }

    static int cmd,datalength;

    switch (cmdrecvstate)

    {

        case RECVCMD:

            cmd = *((int*)(Message.LParam));

            return;

        case RECVLENGTH:

            datalength = *((int*)(Message.LParam));

            return;

        case RECVDATA:

            if (datalength == Message.WParam)

            {

                Cmdsay(cmd, datalength, (char*)Message.LParam);//如果数据包没有被拆分,则进行命令解释

            }

          else

            {//否则,打印这个包现在内容

                    Memo1->Lines->Add("注意:这个数据不完整:");

                    AnsiString astemp1 = "[接受][";

                    astemp1.cat_sprintf("%x][", cmd);

                     astemp1.cat_sprintf("应收长度:%d实际长度:%d][",datalength,Message.WParam);

                BYTE *temp = (BYTE*)Message.LParam;

                    for (int i = 0; i < Message.WParam; i++)

                    {

                        astemp1.cat_sprintf("%0.2x ", temp[i]);

                    }

                    astemp1.cat_sprintf("][");

                     for (int i = 0; i < Message.WParam; i++)

                    {

                    if(temp[i]>=0x20)

                        astemp1.cat_sprintf("%c", temp[i]);

                        else

                        astemp1.cat_sprintf(".");

 

                    }

                    astemp1.cat_sprintf("]");

 

                Memo1->Lines->Add(astemp1);

            }

            return;

    }

程序仅仅很简单的进行数据包的拦截和解析,对于被拆分的包不作处理,在真实应用中应该将这些包合并。

上面的接收规则对于9.16之前的大话程序有效,大话程序的一组数据会分成3次发送,首先接收到的是名字字,这个为1字节长度,接着是要接收的数据的长度,这个为2个字节,接下来就是数据了。如果真实接收到的数据和应该接收的数据长度不一样的话,表示这个包被拆分了。

对于9.16之后的程序,大话不一定按照这样的规则来进行,因此上面的只适应于9.16之前的程序。

下面是Cmdsay的函数实现:

void TwgHookForm::Cmdsay(int cmd, int length, char* date)

{

        switch (cmd)

    {

RECVCASE (10,length,date);

 RECVCASE (11,length,date);

 RECVCASE (21,length,date);

        default://未被解析的命令

                 AnsiString astemp1 = "[接受][";

                astemp1.cat_sprintf("%x][", cmd);

                astemp1.cat_sprintf("%d][", length);

             BYTE *temp = (BYTE*)date;

                for (int i = 0; i < length; i++)

                {

                    astemp1.cat_sprintf("%0.2x ", temp[i]);

                }

            astemp1.cat_sprintf("][");      

            for(int i=0;i<length;i++)     

            if(temp[i]>=0x20)

            astemp1.cat_sprintf("%c",temp[i]);

             else

            astemp1.cat_sprintf(".");         

            astemp1.cat_sprintf("]");

            Memo1->Lines->Add(astemp1);

                                         break;

    }

}

上面就是全部了,对于发送的命令拦截,和接收的类似,可以自己分析。在前几节教程中我已经将打补丁的注意点说了一遍,这里就不再说了。对于9.16之后的程序,我只做了很少的研究,主要是因为没有大量的时间和心情来做这些事情,这里仅仅给一点初步的提示:

1、  对于发送的数据,有些部分可能会采用二次加密的办法。

2、  对于接收的数据,程序为了增加调试的难度,将数据转换成浮点数之后不断的进行地址的变换和数据的转移。

3、  程序将接收和发送放入了一个线程中(这个可能,因为9.16之后比9.16之前多了一个线程)。

4、  数据采用浮点数存储,加密过程中有可能转换成浮点数,但加密完之后又会转换成浮点数,直到最后的时候才会转换成整数发送。

由于大话程序内部进行了非常大量的浮点和整数的转换,因此现在的大话程序是非常的耗费CPU资源的。以下面的代码来说:

Int I;

Float k=(float)I;//利用浮点数寄存器,这个用的时间很短

I=(int)k;//在编译器编译的时候,会用自己的浮点整型转换,而不是数学协处理器进行转换,这个转换大概比使用浮点寄存器转换慢12—60倍左右或者更多。使用ida4.7可以看到反编译之后调用了库函数_ftol。慢的原因是因为库函数是为数学计算进行的,而不是为了游戏中的效率而设计的。这是9.16之后大话变得卡的主要原因。

对于9.16之后的程序,也可以进行相同的处理,只是在调试的时侯对于代码地址的查找比较麻烦。如果不喜欢自己来写代码数组的话,可以自己根据PE文件来写个代码补丁工具。这个我就不讲了,事实上,我自己也没有写,时间不足是一方面,人懒是没办法的。

在前面APIHOOK一节(教程三)中,我的API类有点错误,这里更正一下:

APIHOOK.h

private:

pfnOrig,PROC pfnHook,BOOL fExcludeAPIHookMod);

 void WINAPI ReplaceIATEntryInOneMod(PCSTR pszCalleeModName,PROC pfnOrig,PROC pfnHook,HMODULE hmodcaller,HANDLE handle);

 void WINAPI FixupNewlyLoadedModule(HMODULE hmod,DWORD dwFlags);

应该改为:

private:

//pfnOrig,PROC pfnHook,BOOL fExcludeAPIHookMod);这个是没有删除干净的注释

 void WINAPI ReplaceIATEntryInOneMod(PCSTR pszCalleeModName,PROC pfnOrig,PROC pfnHook,HMODULE hmodcaller,HANDLE handle);

 void WINAPI FixupNewlyLoadedModule(HMODULE hmod,DWORD dwFlags);

APIHOOK.cpp中:

m_module = GetModuleHandle(pszCalleeModName);

  ReplaceIATEntryInOneMod(m_pszCalleeModName, m_pfnOrig, m_pfnHook, m_module,

    prochandle);

应该修改为:

m_module = hmod;

  ReplaceIATEntryInOneMod(m_pszCalleeModName, m_pfnOrig, m_pfnHook, m_module,

    prochandle);

上次alan给我的源代码我上传之后才看了一下他的代码,发现他仅仅做了教程一里的。我将源代码整理了一下并给了他一份,应该不久之后就可以看到了。关于alan的联系方式:

E-mail:tyr_alan@hotmal.com如果对他的代码有疑问的话,可以给他发邮件。

主要内容终于讲完了,比我想象得要少,下一节主要讲解一下善后的处理,以便让外挂看起来更专业。由于下一节不是主要的内容,因此可能会拖后一点。

本文章只贴于www.csdn.netwww.gameres.com Blog上面,请勿将文章用于任何商业场合,如果因为本教程引起其他的后果的话,则与本人无关,本人只讲技术实现。如果要转贴的话,请注明出处,如果有疑问或者商议的话,请发E-Mailzeze0556@sina.com或者QQ23033206留言,MSNzeze0556@msn.com。另外请勿给我信箱发垃圾邮件,在添加好友的时候一定要写好附言,我已经被莫名其妙的广告信件和流言蜚语吓得没有胆了。算是我求各位大虾了

 

阅读全文
0 0

相关文章推荐

img
取 消
img