第一节到第三节我们说了基本工具的准备,第四节使用免升级和免弹出主页来做了一下基本的练习。第四节中和普通的游戏修改器没有太大的区别,只是一个修改的是数据,一个修改的是代码。这一节中我们将通过在dll中修改大话的代码来进行外挂的制作。其实在dll中动态修改代码和上一节用的方法一样,只是要改写的东西更多了而已。
原理和上一节中的函数一样,都是调用WriteProcessMemory。
这一节的任务是拦截接收到的数据,关于发送的数据可以进行相类似的处理。一般在分析网络游戏的时候,都是先分析接收到的数据。对于大话的程序,中间如何去分析的过程就不说了,这要看自己的调适能力了。不过对于9.16之前的大话客户端程序,里面含有大量的调试信息(也可能是脚本信息),大致分析程序可以发现,程序总是在打印调试信息之后,然后做实际的工作。其中对于"rx_decode”这个字段很感兴趣,看看调用的地方:
.text:00449D4F
154 push offset aRx_decode ;
"rx_decode"
在前方不久的地方就是网络函数recv,因此可以这样来理解,程序接收到数据之后,打印出调试信息,然后跳转到:
.text:00449D95
154 push ebp
的地方继续执行,通过不断的跟踪发现,大部分时候程序都执行到地址:
.text:00449DED 154
mov [eax],
edi
而且,[edi]中的内容在相同的时刻几乎是相似的,通过在游戏中随机的打开中断,将[edi]中的内容dump出来,然后组成ASCII码便可以发现,里面的内容相对来说是不变的,如果你运气好刚好可以拦截到聊天数据的话,就会发现里面的内容就是聊天的内容。这有点像碰运气。不过,如果采用下面的方法的话,就可以不用碰运气了。首先,我们发现edi是一个数据的地址,ebp中是我们接收到的数据的长度。当对其中的内容感到怀疑的时候,我们就想将该语句执行的时候[edi]中的内容dump出来,dump的长度就是ebp中的值。因此我们通过w32dasm来制作内存补丁,使用W32dasm反编译程序之后,使用快捷键Ctrl+L可以将程序加载到内存中,不让程序执行,快捷键Ctrl+F12跳转代码窗口的地址到00449DED
一行,方便恢复代码的时候用。在调试窗口中按Ctrl+F12将当前代码位置跳转到00449DED。
我们将在这里进行内存补丁的编写。点击Patch
Code按钮就可以直接写内存代码了。在00449DED的位置的补丁如下:
:00449DED E90ECA0400 jmp
00496800
00496800地址的内容是一段空闲得内存。在ida中可以看到程序中没有任何地方使用这块内存,我们将在这里进行程序的修改。当程序执行到00449DED的时候,就会跳转到00496800接着执行,因此,我们还必须修改00496800处的代码,使用Ctrl+F12跳转到00496800处,开始打补丁:
:00496800
50 push eax;保存各寄存器的值
:00496801 53 push ebx
:00496802 51 push
ecx
:00496803 52 push edx
:00496804 55 push
ebp;ebp为这次接收到的数据长度
:00496805 57 push edi;edi为数据地址
:00496806
6804040000 push 00000404;向外挂程序发送拦截消息ID
:0049680B A1D0664900 mov eax,
dword ptr [004966D0];[004966d0]中包含的是外挂窗口的窗口句柄
:00496810 50 push
eax
:00496811 3EFF1574924700 call dword ptr
ds:[00479274];ds:[00479274]为SendMessage的函数地址,调用SendMessage函数向外挂发送命令
:00496818
5A pop edx;恢复各寄存器
:00496819 59 pop ecx
:0049681A 5B pop
ebx
:0049681B 58 pop eax
:0049681C 8938 mov dword ptr [eax],
edi;调用原来的操作,因为我们打补丁的时候跳过了部分操作,因此在这里进行原来的操作。
:0049681E 5F pop
edi
:0049681F 5E pop esi
:00496820 5D pop ebp
:00496821
E9CC35FBFF jmp
00449DF2;跳回原来的地址之后接着执行
以上就是拦截补丁的完整代码。在使用的时候,必须先将大话程序的[004966d0]中填充上外挂的窗口句柄,要不然是没办法弄得。
使用W32dasm做补丁的时候好处在于我们看到的就是程序执行时用的虚拟地址,并且,W32dasm在给出汇编代码的同时给出了代码的16进制表示。补丁做完之后,剩下的就是如何将补丁程序放入到目标程序中了。
当外挂窗口创建之后,我们通过向外挂窗口发送WM_USER+2来命令外挂窗口执行修改大话程序的操作。
下面是具体的修改操作:
void TwgHookForm::ModifyXy2(TMessage Message)
{
DWORD dwIdOld1,
dwIdOld2, dwIdOld3, dwIdOld4, dwIdOld5;
DWORD
id=GetCurrentProcessId();
HANDLE handle1 =
OpenProcess(PROCESS_ALL_ACCESS, FALSE,id);
if
(wghandle)
{
Byte getrecv1[] =
{
0xE9, 0x0E, 0xCa,
0x04, 0x00
}; //5
Byte getrecv2[] =
{
0x50,
0x53, 0x51, 0x52, 0x55, 0x57, 0x68, 0x04, 0x04, 0x00,
0x00, 0xA1,
0xd0, 0x66, 0x49, 0x00, 0x50, 0x3E, 0xFF, 0x15,
0x74, 0x92,
0x47, 0x00, 0x5A, 0x59, 0x5B, 0x58, 0x89, 0x38,
0x5F, 0x5E, 0x5D,
0xE9, 0xcc, 0x35, 0xFB, 0xFF
}; //38
VirtualProtectEx(handle1,
(void*)(0x004966d0), 4, PAGE_READWRITE,&dwIdOld1);
if
((WriteProcessMemory(handle1, (void*)(0x004966d0), &wghandle, 4,NULL))
== false)
{
ShowMessage("写句柄错误!");
return
;
}
VirtualProtectEx(handle1, (void*)(0x004966d0), 4, dwIdOld1,
&dwIdOld1);
VirtualProtectEx(handle1, (void*)(0x00449DED), 5,
PAGE_READWRITE,&dwIdOld4);
if ((WriteProcessMemory(handle1,
(void*)(0x00449DED), getrecv1, 5, NULL)
) ==
false)
{
ShowMessage("拦截接收修正补丁错误!");
}
VirtualProtectEx(handle1,
(void*)(0x00449DED), 5, dwIdOld4,
&dwIdOld4);
VirtualProtectEx(handle1, (void*)(0x00496800), 38,
PAGE_READWRITE,&dwIdOld5);
if ((WriteProcessMemory(handle1,
(void*)(0x00496800), getrecv2, 38,NULL)) ==
false)
{
ShowMessage("拦截接收补丁错误!");
}
VirtualProtectEx(handle1,
(void*)(0x00496800), 38, dwIdOld5,
&dwIdOld5);
}
} |
在CB中使用自定义消息,需要在头文件中加入:
#define WM_USER_MODIF (WM_USER+2) //修改大话程序的消息
#define
WM_USER_GETSEND (WM_USER+1) //拦截到发送数据接收到的消息
#define WM_USER_APIHOOK
(WM_USER+5) //APIHOOK拦截到接收到的消息
#define WM_USER_GETRECV (WM_USER+4)
//修改后的程序会向外挂窗口发送该消息。 |
在外挂窗口类里面(我这里是TwgHookForm),添加函数void
ModifyXy2(TMessage Message);
| void GetRecv(TMessage
Message); |
在protected:关键字下面添加消息映射声明:
BEGIN_MESSAGE_MAP
VCL_MESSAGE_HANDLER(WM_USER_MODIF, TMessage,
ModifyXy2)
VCL_MESSAGE_HANDLER(WM_USER_APIHOOK, TMessage,
HOOKAPITest)
VCL_MESSAGE_HANDLER(WM_USER_GETSEND, TMessage,
GetSend)
VCL_MESSAGE_HANDLER(WM_USER_GETRECV, TMessage,
GetRecv)
END_MESSAGE_MAP(TForm) |
以上就是拦截接收数据的全部了。结合以前的代码,运行程序,可以发现,拦截到的数据为所有的已经解密了的游戏数据,至于数据的解析,就看自己的了,这里给出一个解析的代码框架:
#define CMDVOID(a) \
void CMDSAY##a(int cmd, int length, char*
date)
#define RECVCASE(cmd,length,data) \
case
cmd:\
CMDSAY##cmd(cmd,length,data);\
break |
class中的声明:
CMDVOID(10);
CMDVOID(11);
CMDVOID(21);
在接收到的函数GetRecv中:
void TwgHookForm::GetRecv(TMessage Message)
{
if
(Message.WParam == 1)
{
cmdrecvstate =
RECVCMD;//如果接收到的是1个字符,则接收到的是命令
}
else if (Message.WParam ==
2)
{
cmdrecvstate =
RECVLENGTH;//如果接收到长度是2个字符,则为将要接收到的数据长度
}
else
{
cmdrecvstate
= RECVDATA;//否则接收到的就是数据
}
static int cmd,datalength;
switch
(cmdrecvstate)
{
case RECVCMD:
cmd =
*((int*)(Message.LParam));
return;
case
RECVLENGTH:
datalength =
*((int*)(Message.LParam));
return;
case RECVDATA:
if
(datalength == Message.WParam)
{
Cmdsay(cmd, datalength,
(char*)Message.LParam);//如果数据包没有被拆分,则进行命令解释
}
else
{//否则,打印这个包现在内容
Memo1->Lines->Add("注意:这个数据不完整:");
AnsiString
astemp1 = "[接受][";
astemp1.cat_sprintf("%x][",
cmd);
astemp1.cat_sprintf("应收长度:%d实际长度:%d][",datalength,Message.WParam);
BYTE
*temp = (BYTE*)Message.LParam;
for (int i = 0; i <
Message.WParam; i++)
{
astemp1.cat_sprintf("%0.2x ",
temp[i]);
}
astemp1.cat_sprintf("][");
for (int i =
0; i < Message.WParam;
i++)
{
if(temp[i]>=0x20)
astemp1.cat_sprintf("%c",
temp[i]);
else
astemp1.cat_sprintf(".");
}
astemp1.cat_sprintf("]");
Memo1->Lines->Add(astemp1);
}
return;
} |
程序仅仅很简单的进行数据包的拦截和解析,对于被拆分的包不作处理,在真实应用中应该将这些包合并。
上面的接收规则对于9.16之前的大话程序有效,大话程序的一组数据会分成3次发送,首先接收到的是名字字,这个为1字节长度,接着是要接收的数据的长度,这个为2个字节,接下来就是数据了。如果真实接收到的数据和应该接收的数据长度不一样的话,表示这个包被拆分了。
157
|
