遊戲外掛製作教材
阿新 • • 發佈:2018-12-22
前言:
做自己喜歡的!------ 明天你來自己做外掛
隨著網路遊戲的日益火爆,很多玩家都投身到遊戲中。目前很多玩家都依賴於一些遊戲的外掛程式來進行遊戲。那麼做一個遊戲的外掛程式是否是一件很困難的事呢?回答是"否",誠然編寫一些程式是需要一些基本知識的,所以我們想以最簡單的語言來給你講授編寫外掛程式的一些技巧,一些方法,並提供給你一些基本的輔助工具,即使你是一個菜鳥,看了我們的教程,並技巧地使用我們提供給你的工具,你完全能夠編寫出一個完全屬於你自己的外掛。在本教程內,我們提供了金庸群俠傳,以及網路三國這兩個遊戲的修改實際例子,因為這兩款遊戲都是對封包進行過加密運算的,如果你對這兩個遊戲的修改有了一定的瞭解後,相信你在其他遊戲中也能非常好地做出屬於自己的外掛。我們提供了金庸打增援20個NPC和網路三國在PK中自動吃藥,自動發鏢這兩個實際的例子,讓你上手更容易。我們也會本教程內附上這兩個軟體以提供給你使用和學習。我們會在教程內講授給你怎麼去破解封包的加密演算法,怎麼利用我們提供給你工具來偽造和傳送封包。本教程除了文字教程外,我們還會提供金庸群俠和三國的外掛程式,另外還提供6個外掛製作工具,以供你使用。希望在以後的遊戲中,每一個玩家都能夠在遊戲中成長起來,不但遊戲玩的出色,修改遊戲也同樣出色,做一個真正的遊戲DIY。 要想在修改遊戲中做到百戰百勝,是需要相當豐富的計算機知識的。有很多計算機高手就是從玩遊戲,修改遊戲中,逐步對計算機產生濃厚的興趣,逐步成長起來的。不要在羨慕別人能夠做到的,因為別人能夠做的你也能夠!我相信你們看了本教程後,會對遊戲有一個全新的認識,呵呵,因為我是個好老師!(別拿雞蛋砸我呀,救命啊!#¥%……*)
不過要想從修改遊戲中學到知識,增加自己的計算機水平,可不能只是靠修改遊戲呀!
要知道,修改遊戲只是一個驗證你對你所瞭解的某些計算機知識的理解程度的場所,只能給你一些發現問題、解決問題的機會,只能起到幫助你提高學習計算機的興趣的作用,而決不是學習計算機的捷徑。
一:什麼叫外掛?
現在的網路遊戲多是基於Internet上客戶/伺服器模式,服務端程式執行在遊戲伺服器上,遊戲的設計者在其中創造一個龐大的遊戲空間,各地的玩家可以通過執行客戶端程式同時登入到遊戲中。簡單地說,網路遊戲實際上就是由遊戲開發商提供一個遊戲環境,而玩家們就是在這個環境中相對自由和開放地進行遊戲操作。那麼既然在網路遊戲中有了伺服器這個概念,我們以前傳統的修改遊戲方法就顯得無能為力了。記得我們在單機版的遊戲中,隨心所欲地通過記憶體搜尋來修改角色的各種屬性,這在網路遊戲中就沒有任何用處了。因為我們在網路遊戲中所扮演角色的各種屬性及各種重要資料都存放在伺服器上,在我們自己機器上(客戶端)只是顯示角色的狀態,所以通過修改客戶端記憶體裡有關角色的各種屬性是不切實際的。那麼是否我們就沒有辦法在網路遊戲中達到我們修改的目的?回答是"否"。我們知道Internet客戶/伺服器模式的通訊一般採用TCP/IP通訊協議,資料交換是通過IP資料包的傳輸來實現的,一般來說我們客戶端向伺服器發出某些請求,比如移動、戰鬥等指令都是通過封包的形式和伺服器交換資料。那麼我們把本地發出訊息稱為SEND,意思就是傳送資料,伺服器收到我們SEND的訊息後,會按照既定的程式把有關的資訊反饋給客戶端,比如,移動的座標,戰鬥的型別。那麼我們把客戶端收到伺服器發來的有關訊息稱為RECV。知道了這個道理,接下來我們要做的工作就是分析客戶端和伺服器之間往來的資料(也就是封包),這樣我們就可以提取到對我們有用的資料進行修改,然後模擬伺服器發給客戶端,或者模擬客戶端傳送給伺服器,這樣就可以實現我們修改遊戲的目的了。 目前除了修改遊戲封包來實現修改遊戲的目的,我們也可以修改客戶端的有關程式來達到我們的要求。我們知道目前各個伺服器的運算能力是有限的,特別在遊戲中,遊戲伺服器要計算遊戲中所有玩家的狀況幾乎是不可能的,所以有一些運算還是要依靠我們客戶端來完成,這樣又給了我們修改遊戲提供了一些便利。比如我們可以通過將客戶端程式脫殼來發現一些程式的判斷分支,通過跟蹤除錯我們可以把一些對我們不利的判斷去掉,以此來滿足我們修改遊戲的需求。
在下幾個章節中,我們將給大家講述封包的概念,和修改跟蹤客戶端的有關知識。大家準備好了嗎?
遊戲資料格式和儲存:
在進行我們的工作之前,我們需要掌握一些關於計算機中儲存資料方式的知識和遊戲中儲存資料的特點。本章節是提供給菜鳥級的玩家看的,如果你是高手就可以跳過了,呵呵! 如果,你想成為無堅不摧的劍客,那麼,這些東西就會花掉你一些時間;如果,你只想作個江湖的遊客的話,那麼這些東西,瞭解與否無關緊要。是作劍客,還是作遊客,你選擇吧!
現在我們開始!首先,你要知道遊戲中儲存資料的幾種格式,這幾種格式是:位元組(BYTE)、字(WORD)和雙字(DOUBLE WORD),或者說是8位、16位和32位儲存方式。位元組也就是8位方式能儲存0~255的數字;字或說是16位儲存方式能儲存0~65535的數;雙字即32位方式能儲存0~4294967295的數。為何要了解這些知識呢?在遊戲中各種引數的最大值是不同的,有些可能100左右就夠了,比如,金庸群俠傳中的角色的等級、隨機遇敵個數等等。而有些卻需要大於255甚至大於65535,象金庸群俠傳中角色的金錢值可達到數百萬。所以,在遊戲中各種不同的資料的型別是不一樣的。在我們修改遊戲時需要尋找準備修改的資料的封包,在這種時候,正確判斷資料的型別是迅速找到正確地址的重要條件。在計算機中資料以位元組為基本的儲存單位,每個位元組被賦予一個編號,以確定各自的位置。這個編號我們就稱為地址。在需要用到字或雙字時,計算機用連續的兩個位元組來組成一個字,連續的兩個字組成一個雙字。而一個字或雙字的地址就是它們的低位位元組的地址。現在我們常用的Windows 9x作業系統中,地址是用一個32位的二進位制數表示的。而在平時我們用到記憶體地址時,總是用一個8位的16進位制數來表示它。
二進位制和十六進位制又是怎樣一回事呢?
簡單說來,二進位制數就是一種只有0和1兩個數碼,每滿2則進一位的計數進位法。同樣,16進位制就是每滿十六就進一位的計數進位法。16進位制有0--F十六個數字,它為表示十到十五的數字採用了A、B、C、D、E、F六個數字,它們和十進位制的對應關係是:A對應於10,B對應於11,C對應於12,D對應於13,E對應於14,F對應於15。而且,16進位制數和二進位制數間有一個簡單的對應關係,那就是;四位二進位制數相當於一位16進位制數。比如,一個四位的二進位制數1111就相當於16進位制的F,1010就相當於A。瞭解這些基礎知識對修改遊戲有著很大的幫助,下面我就要談到這個問題。由於在計算機中資料是以二進位制的方式儲存的,同時16進位制數和二進位制間的轉換關係十分簡單,所以大部分的修改工具在顯示計算機中的資料時會顯示16進位制的程式碼,而且在你修改時也需要輸入16進位制的數字。你清楚了吧?在遊戲中看到的資料可都是十進位制的,在要尋找並修改引數的值時,可以使用Windows提供的計算器來進行十進位制和16進位制的換算,我們可以在開始選單裡的程式組中的附件中找到它。現在要了解的知識也差不多了!不過,有個問題在遊戲修改中是需要注意的。在計算機中資料的儲存方式一般是低位數儲存在低位位元組,高位數儲存在高位位元組。比如,十進位制數41715轉換為16進位制的數為A2F3,但在計算機中這個數被存為F3A2。 看了以上內容大家對資料的存貯和資料的對應關係都瞭解了嗎?
好了,接下來我們要告訴大家在遊戲中,封包到底是怎麼一回事了,來!大家把袖口捲起來,讓我們來幹活吧!
二:什麼是封包?
怎麼截獲一個遊戲的封包? 怎麼去檢查遊戲伺服器的ip地址和埠號?Internet使用者使用的各種資訊服務,其通訊的資訊最終均可以歸結為以IP包為單位的資訊傳送,IP包除了包括要傳送的資料資訊外,還包含有資訊要傳送到的目的IP地址、資訊傳送的源IP地址、以及一些相關的控制資訊。當一臺路由器收到一個IP資料包時,它將根據資料包中的目的IP地址項查詢路由表,根據查詢的結果將此IP資料包送往對應埠。下一臺IP路由器收到此資料包後繼續轉發,直至發到目的地。路由器之間可以通過路由協議來進行路由資訊的交換,從而更新路由表。但是您仔細看,您的名字在每個封包中並不是出現在相同的位置上- 在第2個封包裡,名字是出現在第4個位置上 - 在第4個封包裡,名字是出現在第6個位置上在這種情況下,您就需要使用ADVANCED MODE - 您在搜尋列﹝SEARCH﹞填上:53 68 61 64 6F 77 請務必從位置1開始填﹞ - 您想要從原來名字Shadow的第一個字母開始置換新名字,因此您要選擇從數值被發現的位置開始替代連續數值﹝from the position of the chain found﹞。 - 現在,在修改列﹝MODIFY﹞000的位置填上:6D 6F 6F 6E 20 20 ﹝此為相對應位置,也就是從原來搜尋欄的+001位置開始遞換﹞ - 如果您想從封包的第一個位置就修改數值,請選擇﹝from the beginning of the packet﹞瞭解一點TCP/IP協議常識的人都知道,網際網路是將資訊資料打包之後再傳送出去的。每個資料包分為頭部資訊和資料資訊兩部分。頭部資訊包括資料包的傳送地址和到達地址等。資料資訊包括我們在遊戲中相關操作的各項資訊。那麼在做截獲封包的過程之前我們先要知道遊戲伺服器的IP地址和埠號等各種資訊,實際上最簡單的是看看我們遊戲目錄下,是否有一個SERVER.INI的配置檔案,這個檔案裡你可以檢視到個遊戲伺服器的IP地址,比如金庸群俠傳就是如此,那麼除了這個我們還可以在DOS下使用NETSTAT這個命令,NETSTAT命令的功能是顯示網路連線、路由表和網路介面資訊,可以讓使用者得知目前都有哪些網路連線正在運作。或者你可以使用木馬客星等工具來檢視網路連線。工具是很多的,看你喜歡用哪一種了。
NETSTAT命令的一般格式為: NETSTAT [選項]
命令中各選項的含義如下: -a 顯示所有socket,包括正在監聽的。 -c 每隔1秒就重新顯示一遍,直到使用者中斷它。 -i
顯示所有網路介面的資訊。 -n 以網路IP地址代替名稱,顯示出網路連線情形。 -r 顯示核心路由表,格式同"route -e"。 -t
顯示TCP協議的連線情況。 -u 顯示UDP協議的連線情況。 -v 顯示正在進行的工作。
三:怎麼來分析我們截獲的封包?
首先我們將WPE截獲的封包儲存為文字檔案,然後開啟它,這時會看到如下的資料(這裡我們以金庸群俠傳裡PK店小二客戶端傳送的資料為例來講解):
第一個檔案:
SEND-> 0000 E6 56 0D 22 7E 6B E4 17 13 13 12 13 12 13 67 1B
SEND-> 0010 17 12 DD 34 12 12 12 12 17 12 0E 12 12 12 9B
SEND-> 0000 E6 56 1E F1 29 06 17 12 3B 0E 17 1A
SEND-> 0000 E6 56 1B C0 68 12 12 12 5A
SEND-> 0000 E6 56 02 C8 13 C9 7E 6B E4 17 10 35 27 13 12 12
SEND-> 0000 E6 56 17 C9 12
第二個檔案:
SEND-> 0000 83 33 68 47 1B 0E 81 72 76 76 77 76 77 76 02 7E
SEND-> 0010 72 77 07 1C 77 77 77 77 72 77 72 77 77 77 6D
SEND-> 0000 83 33 7B 94 4C 63 72 77 5E 6B 72 F3
SEND-> 0000 83 33 7E A5 21 77 77 77 3F
SEND-> 0000 83 33 67 AD 76 CF 1B 0E 81 72 75 50 42 76 77 77
SEND-> 0000 83 33 72 AC 77
我們發現兩次PK店小二的資料格式一樣,但是內容卻不相同,我們是PK的同一個NPC,為什麼會不同呢?
原來金庸群俠傳的封包是經過了加密運算才在網路上傳輸的,那麼我們面臨的問題就是如何將密文解密成明文再分析了。因為一般的資料包加密都是異或運算,所以這裡先講一下什麼是異或。 簡單的說,異或就是"相同為0,不同為1"(這是針對二進位制按位來講的),舉個例子,0001和0010異或,我們按位對比,得到異或結果是0011,計算的方法是:0001的第4位為0,0010的第4位為0,它們相同,則異或結果的第4位按照"相同為0,不同為1"的原則得到0,0001的第3位為0,0010的第3位為0,則異或結果的第3位得到0,0001的第2位為0,0010的第2位為1,則異或結果的第2位得到1,0001的第1位為1,0010的第1位為0,則異或結果的第1位得到1,組合起來就是0011。異或運算今後會遇到很多,大家可以先熟悉熟悉,熟練了對分析很有幫助的。下面我們繼續看看上面的兩個檔案,按照常理,資料包的資料不會全部都有值的,遊戲開發時會預留一些位元組空間來便於日後的擴充,也就是說資料包裡會存在一些"00"的位元組,觀察上面的檔案,我們會發現檔案一里很多"12",檔案二里很多"77",那麼這是不是代表我們說的"00"呢?推理到這裡,我們就開始行動吧!我們把檔案一與"12"異或,檔案二與"77"異或,當然用手算很費事,我們使用"M2M 1.0 加密封包分析工具"來計算就方便多了。得到下面的結果:第一個檔案:
SEND-> 0000 F4 44 1F 30 6C 79 F6 05 01 01 00 01 00 01 75 09
SEND-> 0010 05 00 CF 26 00 00 00 00 05 00 1C 00 00 00 89
SEND-> 0000 F4 44 0C E3 3B 13 05 00 29 1C 05 08
SEND-> 0000 F4 44 09 D2 7A 00 00 00 48
SEND-> 0000 F4 44 10 DA 01 DB 6C 79 F6 05 02 27 35 01 00 00
SEND-> 0000 F4 44 05 DB 00
第二個檔案:
SEND-> 0000 F4 44 1F 30 6C 79 F6 05 01 01 00 01 00 01 75 09
SEND-> 0010 05 00 70 6B 00 00 00 00 05 00 05 00 00 00 1A
SEND-> 0000 F4 44 0C E3 3B 13 05 00 29 1C 05 84
SEND-> 0000 F4 44 09 D2 56 00 00 00 48
SEND-> 0000 F4 44 10 DA 01 B8 6C 79 F6 05 02 27 35 01 00 00
SEND-> 0000 F4 44 05 DB 00
哈,這一下兩個檔案大部分都一樣啦,說明我們的推理是正確的,上面就是我們需要的明文!接下來就是搞清楚一些關鍵的位元組所代表的含義,這就需要截獲大量的資料來分析。首先我們會發現每個資料包都是"F4 44"開頭,第3個位元組是變化的,但是變化很有規律。我們來看看各個包的長度,發現什麼沒有?對了,第3個位元組就是包的長度!通過截獲大量的資料包,我們判斷第4個位元組代表指令,也就是說客戶端告訴伺服器進行的是什麼操作。例如向伺服器請求戰鬥指令為"30",戰鬥中移動指令為"D4"等。 接下來,我們就需要分析一下上面第一個包"F4 44 1F 30 6C 79 F6 05 01 01 00 01 00 01 75 09 05 00 CF 26 00 00 00 00 05 00 1C 00 00 00 89",在這個包裡包含什麼資訊呢?應該有通知伺服器你PK的哪個NPC吧,我們就先來找找這個店小二的程式碼在什麼地方。我們再PK一個小嘍羅(就是大理客棧外的那個咯): SEND-> 0000 F4 44 1F 30 D4 75 F6 05 01 01 00 01 00 01 75 09 SEND-> 0010 05 00 8A 19 00 00 00 00 11 00 02 00 00 00 C0 我們根據常理分析,遊戲裡的NPC種類雖然不會超過65535(FFFF),但開發時不會把自己限制在字的範圍,那樣不利於遊戲的擴充,所以我們在雙字裡看看。通過"店小二"和"小嘍羅"兩個包的對比,我們把目標放在"6C 79 F6 05"和"CF 26 00 00"上。(對比一下很容易的,但你不能太遲鈍咯,呵呵)我們再看看後面的包,在後面的包裡應該還會出現NPC的程式碼,比如移動的包,遊戲允許觀戰,伺服器必然需要知道NPC的移動座標,再廣播給觀戰的其他玩家。在後面第4個包"SEND-> 0000 F4 44 10 DA 01 DB 6C 79 F6 05 02 27 35 01 00 00"裡我們又看到了"6C 79 F6 05",初步斷定店小二的程式碼就是它了! (
這分析裡邊包含了很多工作的,大家可以用WPE截下資料來自己分析分析)第一個包的分析暫時就到這裡(裡面還有的資訊我們暫時不需要完全清楚了)我們看看第4個包"SEND-> 0000 F4 44 10 DA 01 DB 6C 79 F6 05 02 27 35 01 00 00",再截獲PK黃狗的包,(狗會出來2只哦)看看包的格式: SEND-> 0000 F4 44 1A DA 02 0B 4B 7D F6 05 02 27 35 01 00 00 SEND-> 0010 EB 03 F8 05 02 27 36 01 00 00根據上面的分析,黃狗的程式碼為"4B 7D F6 00040011),不過兩隻黃狗伺服器怎樣分辨呢?看看"EB 03 F8 05"(100140011),是上一個程式碼加上100000,呵呵,這樣伺服器就可以認出兩隻黃狗了。我們再通過野外遇敵截獲的資料包來證實,果然如此。 那麼,這個包的格式應該比較清楚了:第3個位元組為包的長度,"DA"為指令,第5個位元組為NPC個數,從第7個位元組開始的10個位元組代表一個NPC的資訊,多一個NPC就多10個位元組來表示。大家如果玩過網金,必然知道隨機遇敵有時會出現增援,我們就利用遊戲這個增援來讓每次戰鬥都會出現增援的NPC吧。通過在戰鬥中出現增援截獲的資料包,我們會發現伺服器端傳送了這樣一個包: F4 44 12 E9 EB 03 F8 05 02 00 00 03 00 00 00 00 00 00 第5-第8個位元組為增援NPC的程式碼(這裡我們就簡單的以黃狗的程式碼來舉例)。 那麼,我們就利用單機代理技術來同時欺騙客戶端和伺服器吧!好了,呼叫NPC的工作到這裡算是完成了一小半,接下來的事情,怎樣修改封包和傳送封包,我們下節繼續講解吧。
四:怎麼冒充"客戶端"向"伺服器"發我們需要的封包?
這裡我們需要使用一個工具,它位於客戶端和伺服器端之間,它的工作就是進行資料包的接收和轉發,這個工具我們稱為代理。如果代理的工作單純就是接收和轉發的話,這就毫無意義了,但是請注意:所有的資料包都要通過它來傳輸,這裡的意義就重大了。我們可以分析接收到的資料包,或者直接轉發,或者修改後轉發,或者壓住不轉發,甚至偽造我們需要的封包來發送。下面我們繼續講怎樣來同時欺騙伺服器和客戶端,也就是修改封包和偽造封包。 通過我們上節的分析,我們已經知道了打多個NPC的封包格式,那麼我們就動手吧!首先我們要查詢客戶端傳送的包,找到戰鬥的特徵,就是請求戰鬥的第1個包,我們找"F4 44 1F 30"這個特徵,這是不會改變的,當然是要解密後來查詢哦。 找到後,表示客戶端在向伺服器請求戰鬥,我們不動這個包,轉發。 繼續向下查詢,這時需要查詢的特徵碼不太好辦,我們先查詢"DA",這是客戶端傳送NPC資訊的資料包的指令,那麼可能其他包也有"DA",沒關係,我們看前3個位元組有沒有"F4 44"就行了。找到後,我們的工作就開始了!我們確定要打的NPC數量。這個數量不能很大,原因在於網金的封包長度用一個位元組表示,那麼一個包可以有255個位元組,我們上面分析過,增加一個NPC要增加10個位元組,所以大家算算就知道,打20個NPC比較合適。然後我們要把客戶端原來的NPC程式碼分析計算出來,因為增加的NPC程式碼要加上100000哦。再把我們增加的NPC程式碼計算出來,並且組合成新的封包,注意代表包長度的位元組要修改啊,然後轉發到伺服器,這一步在編寫程式的時候要注意演算法,不要造成較大延遲。 上面我們欺騙伺服器端完成了,欺騙客戶端就簡單了,^-^傳送了上面的封包後,我們根據新增NPC程式碼構造封包馬上發給客戶端,格式就是"F4 44 12 E9 NPC程式碼 02 00 00 03 00 00 00 00 00 00",把每個新增的NPC都構造這樣一個包,按順序連在一起傳送給客戶端,客戶端也就被我們騙過了,很簡單吧。以後戰鬥中其他的事我們就不
管了,盡情地開打吧,呵呵。
上面講的需要一定的程式設計基礎,但是不難,即使你不會程式設計,相信你繼續看下去就會有收穫了。
五:怎麼用計算機語言去寫一個單機代理?
在上一章,我們已經對於代理的原理進行了講解,大家對於代理已經有了一個初步的認識,現在我教大家如何用計算機語言編寫一個自己的代理,我們考慮到簡單明瞭,我們選用VB,因為用VB編寫代理只需要很少的程式碼
。
程式碼如下:
Private Sub
Form_Load()
DaiLi.LocalPort = "1234"
Server.RemotePort = "1234"
Server.RemoteHost = "211.100.20.26"
DaiLi.Listen
End Sub
Private Sub
DaiLi_ConnectionRequest(ByVal requestID As Long)
Server.Connect
Client.Accept
requestID
End Sub
Private Sub
Client_DataArrival(ByVal bytesTotal As Long)
Dim ClientToServer() As Byte Client.GetData
ClientToServer Server.SendData
ClientToServer
End Sub
Private Sub Server_DataArrival(ByVal bytesTotal As Long) Dim
ServerToClient() As Byte Server.GetData ServerToClient Client.SendData
ServerToClient
End Sub
Form_Load()這個過程表示在程式啟動的時候要做的一些初始化操作。 DaiLi.LocalPort = "1234" 設定監聽埠Server.RemotePort = "1234" 設定象遊戲伺服器連線的埠(和監聽埠是相同的)Server.RemoteHost = "211.100.20.26" 設定遊戲伺服器的IP地址 DaiLi.Listen 監聽本地的連線請求這時你只要將遊戲的伺服器列表的IP改成127.0.0.1,那麼遊戲的客戶端程式就會來連線我們的代理,我們的代理會呼叫如下的過程: Private Sub DaiLi_ConnectionRequest(ByVal requestID As Long) Server.Connect 代理客戶端向伺服器連線 Client.Accept requestID 接受客戶端的連線請求 End Sub當客戶端向伺服器傳送資料時,就會呼叫下邊的過程 Private Sub Client_DataArrival(ByVal bytesTotal As Long) Dim ClientToServer() As Byte 變數定義,請求了一個用於存放資料的空間 Client.GetData ClientToServer 客戶端的連線接收這些資料 在這裡我們可以新增自己的程式碼,對封包進行修改,然後再發向伺服器。Server.SendData ClientToServer 伺服器的連線把這些資料發向伺服器 End Sub當伺服器傳送資料給客戶端時,會呼叫下邊的過程 Private Sub Server_DataArrival(ByVal bytesTotal As Long) Dim ServerToClient() As Byte 變數定義,請求了一個用於存放資料的空間 Server.GetData ServerToClient 伺服器連線接收資料 在這裡我們可以新增自己的程式碼,對封包進行修改,然後再發給客戶端。Client.SendData ServerToClient End Sub用其他語言編寫基本的原理也是差不多的,不過可能稍微要麻煩一些,因為VB本身有一個MSWINSCK.OCX控制元件,這個控制元件封裝了WINDOWS的網路操作,而且介面很簡單,推薦大家使用。
六:如果單機代理被封,我們怎麼利用底層的技術來接管遊戲的發包?
在WINDOWS系統中,網路通訊的任務是由一個叫WSOCK32.DLL(在SYSTEM目錄下)來完成的,每當遊戲被執行時,他都會自動的去呼叫這個動態連線庫,因為在WINDOWS系統中對於檔案的搜尋順序是程式目錄>系統目錄>路徑中設定的目錄,所以我們就有機會替換掉系統的WSOCK32.DLL使的遊戲呼叫我們的WSOCK32.DLL,這樣我們就有了對於遊戲封包絕對的控制權,有人問:"我們應該怎麼做呢?",我們只要自己編寫一個WSOCK32.DLL放到遊戲的目錄下,就OK了,當然讓我們完全自己去編寫一個WSOCK32.DLL是不太現實的,因為本身網路通訊要處理很多更底層的東西,比如說從網絡卡讀取BIT流,所以我們選擇由我們的WSOCK32.DLL去呼叫系統的WSOCK32.DLL來完成這個功能。
WSOCK32.DLL有很多的輸出函式,函式如下:
__WSAFDIsSet accept AcceptEx Arecv Asend bind
closesocket closesockinfo connect dn_expand EnumProtocolsA EnumProtocolsW
GetAcceptExSockaddrs GetAddressByNameA GetAddressByNameW gethostbyaddr
gethostbyname gethostname GetNameByTypeA GetNameByTypeW getnetbyname
getpeername getprotobyname getprotobynumber getservbyname getservbyport
GetServiceA GetServiceW getsockname getsockopt GetTypeByNameA
GetTypeByNameW htonl htons inet_addr inet_network inet_ntoa ioctlsocket
listen MigrateWinsockConfiguration NPLoadNameSpaces NSPStartup ntohl ntohs
rcmd recv recvfrom rexec rresvport s_perror select send sendto sethostname
SetServiceA SetServiceW setsockopt shutdown socket TransmitFile WEP
WSAAsyncGetHostByAddr WSAAsyncGetHostByName WSAAsyncGetProtoByName
WSAAsyncGetProtoByNumber WSAAsyncGetServByName WSAAsyncGetServByPort
WSAAsyncSelect WSACancelAsyncRequest WSACancelBlockingCall WSACleanup
WSAGetLastError WSAIsBlocking WSApSetPostRoutine WSARecvEx
WSASetBlockingHook WSASetLastError WSAStartup WSAUnhookBlockingHook
WsControl WSHEnumProtocols
在這裡,不是所有的函式都要修改,因為我們只關心傳送和接收的封包,所以我們只要修改send 和recv兩個函式,前者是傳送封包的後者是接收封包的,我們在這兩個函式的處理中加入我們自己的程式碼,來完成封包的辨認,修改以
及轉發等功能。
七:怎麼來分析客戶端的有關資料?
自己作外掛,大多時候要分析封包,不過因為有的功能是由客戶端來辨別的,所以分析客戶端的程式同樣也很重要,分析客戶端首先要求你能看懂彙編指令(只要"看懂",要求很低的),其次是要能夠熟練的運用一些工
具,然後能剩下的也就是運氣和遊戲公司的漏洞了。(哈,不是每次都能成功的啊)下邊我分步教給大家。
第一章 8086彙編指令
注:AX,BX,CX...,EAX,EBX,ECX...這些都是CPU用來儲存資料的地方。
一、資料傳輸指令 作用:它們在存貯器和暫存器、暫存器和輸入輸出埠之間傳送資料.
1. 通用資料傳送指令. MOV 傳送字或位元組. MOVSX先符號擴充套件,再傳送. MOVZX 先零擴充套件,再傳送. PUSH 把字壓入堆疊. POP 把字彈出堆疊. PUSHA 把AX,CX,DX,BX,SP,BP,SI,DI依次壓入堆疊. POPA 把DI,SI,BP,SP,BX,DX,CX,AX依次彈出堆疊. PUSHAD 把EAX,ECX,EDX,EBX,ESP,EBP,ESI,EDI依次壓入堆疊. POP把EDI,ESI,EBP,ESP,EBX,EDX,ECX,EAX依次彈出堆疊. BSWAP 交換32位暫存器裡位元組的順序 XCHG 交換字或位元組.(至少有一個運算元為暫存器,段暫存器不可作為運算元) CMPXCHG 比較並交換運算元.( 第二個運算元必須為累加器AL/AX/EAX ) XADD先交換再累加.( 結果在第一個運算元裡 ) XLAT 位元組查錶轉換. BX 指向一張 256 位元組的表的起點, AL 為表的索引值 (0-255,即0-FFH); 返回 AL 為查表結果. ( [BX+AL]->AL )
2. 輸入輸出埠傳送指令. IN I/O埠輸入. ( 語法: IN 累加器, {埠號│DX} ) OUT I/O埠輸出. ( 語法: OUT 埠號│DX},累加器 ) 輸入輸出埠由立即方式指定時, 其範圍是 0-255; 由暫存器 DX 指定時,其範圍是
0-65535.
3. 目的地址傳送指令. LEA 裝入有效地址. 例: LEA DX,string ;把偏移地址存到DX. LDS
傳送目標指標,把指標內容裝入DS. 例: LDS SI,string ;把段地址:偏移地址存到DS:SI. LES
傳送目標指標,把指標內容裝入ES. 例: LES DI,string ;把段地址:偏移地址存到ES:DI. LFS
傳送目標指標,把指標內容裝入FS. 例: LFS DI,string ;把段地址:偏移地址存到FS:DI. LGS
傳送目標指標,把指標內容裝入GS. 例: LGS DI,string ;把段地址:偏移地址存到GS:DI. LSS
傳送目標指標,把指標內容裝入SS. 例: LSS DI,string ;把段地址:偏移地址存到SS:DI.
4. 標誌傳送指令. LAHF 標誌暫存器傳送,把標誌裝入AH. SAHF 標誌暫存器傳送,把AH內容裝入標誌暫存器. PUSHF 標誌入棧. POPF 標誌出棧. PUSHD 32位標誌入棧. POPD 32位標誌出棧.
二、算術運算指令 ADD 加法. ADC 帶進位加法. INC 加 1. AAA 加法的ASCII碼調整. DAA 加法的十進位制調整. SUB減法. SBB 帶借位減法. DEC 減 1. NEC 求反(以 0 減之). CMP 比較.(兩運算元作減法,僅修改標誌位,不回送結果). AAS減法的ASCII碼調整. DAS 減法的十進位制調整. MUL 無符號乘法. IMUL 整數乘法. 以上兩條,結果回送AH和AL(位元組運算),或DX和AX(字運算), AAM 乘法的ASCII碼調整. DIV 無符號除法. IDIV 整數除法. 以上兩條,結果回送: 商回送AL,餘數回送AH, (位元組運算); 或 商回送AX,餘數回送DX, (字運算). AAD 除法的ASCII碼調整. CBW 位元組轉換為字. (把AL中位元組的符號擴充套件到AH中去) CWD 字轉換為雙字. (把AX中的字的符號擴充套件到DX中去)CWDE 字轉換為雙字. (把AX中的字元號擴充套件到EAX中去) CDQ 雙字擴充套件. (把EAX中的字的符號擴充套件到EDX中去)三、邏輯運算指令 AND 與運算. OR 或運算. XOR 異或運算. NOT 取反. TEST 測試.(兩運算元作與運算,僅修改標誌位,不回送結果). SHL 邏輯左移. SAL 算術左移.(=SHL) SHR 邏輯右移. SAR 算術右移.(=SHR) ROL 迴圈左移. ROR 迴圈右移. RCL 通過進位的迴圈左移. RCR 通過進位的迴圈右移. 以上八種移位指令,其移位次數可達255次. 移位一次時, 可直接用操作碼. 如 SHL AX,1. 移位>1次時, 則由暫存器CL給出移位次數. 如 MOV CL,04 SHL
AX,CL
四、串指令 DS:SI 源串段暫存器 :源串變址. ES:DI 目標串段暫存器:目標串變址. CX 重複次數計數器. AL/AX 掃描值. D標誌 0表示重複操作中SI和DI應自動增量; 1表示應自動減量. Z標誌 用來控制掃描或比較操作的結束. MOVS 串傳送. ( MOVSB 傳送字元. MOVSW 傳送字. MOVSD 傳送雙字. ) CMPS 串比較. ( CMPSB 比較字元. CMPSW 比較字. ) SCAS 串掃描. 把AL或AX的內容與目標串作比較,比較結果反映在標誌位. LODS 裝入串. 把源串中的元素(字或位元組)逐一裝入AL或AX中. ( LODSB 傳送字元. LODSW 傳送字. LODSD 傳送雙字. ) STOS 儲存串. 是LODS的逆過程. REP 當CX/ECX<>0時重複. REPE/REPZ 當ZF=1或比較結果相等,且CX/ECX<>0時重複. REPNE/REPNZ 當ZF=0或比較結果不相等,且CX/ECX<>0時重複. REPC 當CF=1且CX/ECX<>0時重複. REPNC 當CF=0且CX/ECX<>0時重複.
五、程式轉移指令
1>無條件轉移指令 (長轉移) JMP 無條件轉移指令 CALL 過程呼叫 RET/RETF過程返回.
2>條件轉移指令 (短轉移,-128到+127的距離內) ( 當且僅當(SF XOR OF)=1時,OP1迴圈控制指令(短轉移) LOOP CX不為零時迴圈. LOOPE/LOOPZ CX不為零且標誌Z=1時迴圈. LOOPNE/LOOPNZ CX不為零且標誌Z=0時迴圈. JCXZ CX為
零時轉移. JECXZ ECX為零時轉移.
4>中斷指令 INT 中斷指令 INTO 溢位中斷 IRET 中斷返回
5>處理器控制指令 HLT 處理器暫停, 直到出現中斷或復位訊號才繼續. WAIT 當晶片引線TEST為高電平時使CPU進入等待狀態. ESC 轉換到外處理器. LOCK 封鎖匯流排. NOP 空操作. STC 置進位標誌位. CLC 清進位標誌位. CMC
進位標誌取反. STD 置方向標誌位. CLD 清方向標誌位. STI 置中斷允許位. CLI 清中斷允許位.
六、偽指令 DW 定義字(2位元組). PROC 定義過程. ENDP 過程結束. SEGMENT 定義段. ASSUME 建立段暫存器定址. ENDS 段結束. END 程式結束. 當然不是所有的指令都能用的上的,我在這裡全部寫出來是為了讓大家認識一下,
方便大家以後的學習,我歸納了一下常用的指令,這些指令大家一定要熟練掌握才可以啊。MOV 資料傳送指令 PUSH,POP 堆疊指令 CMP 比較指令 LEA 取地址指令 XOR 異或指令 JE,JZ,JMP...(所有的轉移指令)
一些工具的使用
用到的工具包括Fi2.9,Wasm8.9 ,UltraEdit
一、 Fi2.9
因為現在軟體為了保護,另外也為了減少程式的大小,都採用了加殼技術。有人問了"殼是什麼呢",在自然界中,我想大家對"殼"這東西應該都不會陌生了,植物用它來保護種子,動物用它來保護身體等等。同樣,在一些計算機軟體裡也有一段專門負責保護軟體不被非法修改或反編譯的程式。它們一般都是先於程式執行,拿到控制權,然後完成它們保護軟體的任務。就像動植物的殼一般都是在身體外面一樣理所當然。由於這段程式和自然界的殼在功能上有很多相同的地方,基於命名的規則,大家就把這樣的程式稱為"殼"了。 現在我們已經知道"殼"是用來保護程式的,那我們要分析遊戲程式,必須先把他的這層殼退掉,我們稱之為"脫殼",這個很容易的,因為現在網上有很多的脫殼軟體可以脫殼,不過在脫殼前我們必須先知道程式用什麼加的"殼",Fi就是這樣一個軟體,操作很簡單,將要分析的軟體和Fi放在同一個目錄,然後直接執行Fi,在按回車就OK了。
二、Wasm8.9 這是一個用來反彙編程式的軟體(反彙編,就是把機器程式碼轉變為彙編程式碼)。操作很簡單, 圖一(開啟檔案) 圖二(簡單介紹)首先開啟檔案,進行反彙編操作,然後選擇"串式參考"找到在程式中出現
的內容,定位到該地址,進行分析,分析完成,進行修改,加亮當前要修改的指令,然後看"當前指令在檔案中的地址偏移",記下這個值。
三、UltraEdit 是一個功能強大的編輯軟體,能直接修改程式的16進位制指令程式碼。
例項解析
下邊以金庸的隨地逃為例進行解析。
首先將金庸的Loginp.exe檔案和Fi放在同一個目錄,然後執行Fi,可以看到螢幕如圖
可以看到程式用UPX加過殼了,所以首先進行脫殼(由於該檔案用UPX加殼後進行了修改,用現成的工具無法脫殼,鑑於會員當前水平的考慮,這個檔案的脫殼方法以後講給大家聽,我們直接提供一個脫過殼的檔案給會員
用於會員的學習),脫過殼之後,執行Wasm進行反彙編,然後點"串式參考",找到"次處非逃離點"如圖
程式如下(請開啟MagicWin)
:00616376 6681B8EC470000AD65 cmp word ptr [eax+000047EC],
65AD<---此處比較是否為逃離點 :0061637F 7577 jne 006163F8 <---不是就跳走
* Referenced by a (U)nconditional or (C)onditional Jump at
Address:|:0061636D(C)|:00616381 8BC3 mov eax, ebx:00616383 E8D4D1FFFF call
0061355<----一個隨機處理判斷是否逃跑成功:00616388 84C0 test al, al:0061638A 7440 je
006163CC <----不成功就跳走:0061638C 66C743530600 mov [ebx+53], 0006:00616392
B81E000000 mov eax, 0000001E:00616397 E80CC9DEFF call 00402CA8:0061639C
890424 mov dword ptr [esp], eax:0061639F DB0424 fild dword ptr
[esp]:006163A2 DB2DDC656100 fld tbyte ptr [006165DC]:006163A8 DEC9 fmulp
st(1), st(0):006163AA D80550666100 fadd dword ptr [00616650]:006163B0
DB2DDC656100 fld tbyte ptr [006165DC]:006163B6 DEC1 faddp st(1),
st(0):006163B8 DD9BF8D06500 fstp qword ptr [ebx+0065D0F8]:006163BE 9B
wait:006163BF C6435201 mov [ebx+52], 01:006163C3 8BC3 mov eax,
ebx:006163C5 E8924E0000 call 0061B25C:006163CA EB3F jmp 0061640B
* Referenced by a (U)nconditional or (C)onditional Jump at
Address:|:0061638A(C)|:006163CC A11CA36700 mov eax, dword ptr
[0067A31C]:006163D1 8B00 mov eax, dword ptr [eax]:006163D3 33C9 xor ecx,
ecx
* Possible StringData Ref from Data Obj ->"発瞞ア毖"|:006163D5 BA5C666100 mov
edx, 0061665C:006163DA E83D9BF7FF call 0058FF1C:006163DF 8A8368010000 mov
al, byte ptr [ebx+00000168]:006163E5 04F9 add al, F9:006163E7 2C02 sub al,
02:006163E9 7320 jnb 0061640B:006163EB 33C9 xor ecx, ecx:006163ED 33D2 xor
edx, edx:006163EF B0DE mov al, DE:006163F1 E8C6AE0100 call
006312BC:006163F6 EB13 jmp 0061640B
* Referenced by a (U)nconditional or (C)onditional Jump at
Address:|:0061637F(C)|:006163F8 A11CA36700 mov eax, dword ptr
[0067A31C]:006163FD 8B00 mov eax, dword ptr [eax]:006163FF 33C9 xor ecx,
ecx
* Possible StringData Ref from Data Obj ->"矪獶発瞞翴"|:00616401 BA70666100
mov edx, 00616670:00616406 E8119BF7FF call 0058FF1C
* Referenced by a (U)nconditional or (C)onditional Jump at
Addresses:|:006163CA(U), :006163E9(C), :006163F6(U)|:0061640B B201 mov dl,
01:0061640D 8BC3 mov eax, ebx:0061640F E8BCC10000 call 006225D0:00616414
C6836801000000 mov byte ptr [ebx+00000168], 00:0061641B E977010000 jmp
00616597:00616420 888368010000 mov byte ptr [ebx+00000168], al:00616426
C68300D1650000 mov byte ptr [ebx+0065D100], 00:0061642D 33C9 xor ecx,
ecx:0061642F 33D2 xor edx, edx:00616431 B0DE mov al, DE:00616433
E884AE0100 call 006312BC:00616438 B201 mov dl, 01
所以我們只要讓上邊兩個註釋的地方都不要跳走,就可以實現隨時隨地逃的功能了,修改很簡單,我們把上邊的兩個跳轉語句全部登出掉就OK了,組合語言裡登出語句為NOP
轉為機器指令也就是90,所以修改如下
原文:00616376 6681B8EC470000AD65 cmp word ptr [eax+000047EC],
65AD<---此處比較是否為逃離點:0061637F 7577 jne 006163F8 <---不是就跳走
* Referenced by a (U)nconditional or (C)onditional Jump at
Address:|:0061636D(C)|:00616381 8BC3 mov eax, ebx:00616383 E8D4D1FFFF call
0061355<----一個隨機處理判斷是否逃跑成功:00616388 84C0 test al, al:0061638A 7440 je
006163CC <----不成功就跳走
修改之後
:00616376 6681B8EC470000AD65 cmp word ptr [eax+000047EC],
65AD<---此處比較是否為逃離點:0061637F 90 nop:00616380 90 nop <---不是就跳走
* Referenced by a (U)nconditional or (C)onditional Jump at
Address:|:0061636D(C)|:00616381 8BC3 mov eax, ebx:00616383 E8D4D1FFFF call
0061355<----一個隨機處理判斷是否逃跑成功:00616388 84C0 test al, al:0061638A 90 nop
:0061638B 90 nop
當然我們要把修改落實到檔案上的,用UltraEdit開啟脫殼後的Loginp.exe 選擇Search->Goto
Line/Page來到地址0x21637f 可以看到這裡的兩個位元組內容為7577(jne
006163f8)把兩個位元組內容改為9090,來到地址0x21638a 可以看到這裡的兩個位元組內容為7440(je
006163cc)把兩個位元組內容改為9090,然後儲存進入金庸遊戲看看,是不是可以隨地逃了啊,:)
注:教程中提供的地址會隨著loginp.exe的版本的不同有所改變,教程中採用的檔案為1月7號的版本,會員可以到下載去下載到,如果會員需要最新的脫殼版本我們可以提供。
做自己喜歡的!------ 明天你來自己做外掛
隨著網路遊戲的日益火爆,很多玩家都投身到遊戲中。目前很多玩家都依賴於一些遊戲的外掛程式來進行遊戲。那麼做一個遊戲的外掛程式是否是一件很困難的事呢?回答是"否",誠然編寫一些程式是需要一些基本知識的,所以我們想以最簡單的語言來給你講授編寫外掛程式的一些技巧,一些方法,並提供給你一些基本的輔助工具,即使你是一個菜鳥,看了我們的教程,並技巧地使用我們提供給你的工具,你完全能夠編寫出一個完全屬於你自己的外掛。在本教程內,我們提供了金庸群俠傳,以及網路三國這兩個遊戲的修改實際例子,因為這兩款遊戲都是對封包進行過加密運算的,如果你對這兩個遊戲的修改有了一定的瞭解後,相信你在其他遊戲中也能非常好地做出屬於自己的外掛。我們提供了金庸打增援20個NPC和網路三國在PK中自動吃藥,自動發鏢這兩個實際的例子,讓你上手更容易。我們也會本教程內附上這兩個軟體以提供給你使用和學習。我們會在教程內講授給你怎麼去破解封包的加密演算法,怎麼利用我們提供給你工具來偽造和傳送封包。本教程除了文字教程外,我們還會提供金庸群俠和三國的外掛程式,另外還提供6個外掛製作工具,以供你使用。希望在以後的遊戲中,每一個玩家都能夠在遊戲中成長起來,不但遊戲玩的出色,修改遊戲也同樣出色,做一個真正的遊戲DIY。 要想在修改遊戲中做到百戰百勝,是需要相當豐富的計算機知識的。有很多計算機高手就是從玩遊戲,修改遊戲中,逐步對計算機產生濃厚的興趣,逐步成長起來的。不要在羨慕別人能夠做到的,因為別人能夠做的你也能夠!我相信你們看了本教程後,會對遊戲有一個全新的認識,呵呵,因為我是個好老師!(別拿雞蛋砸我呀,救命啊!#¥%……*)
不過要想從修改遊戲中學到知識,增加自己的計算機水平,可不能只是靠修改遊戲呀!
要知道,修改遊戲只是一個驗證你對你所瞭解的某些計算機知識的理解程度的場所,只能給你一些發現問題、解決問題的機會,只能起到幫助你提高學習計算機的興趣的作用,而決不是學習計算機的捷徑。
一:什麼叫外掛?
現在的網路遊戲多是基於Internet上客戶/伺服器模式,服務端程式執行在遊戲伺服器上,遊戲的設計者在其中創造一個龐大的遊戲空間,各地的玩家可以通過執行客戶端程式同時登入到遊戲中。簡單地說,網路遊戲實際上就是由遊戲開發商提供一個遊戲環境,而玩家們就是在這個環境中相對自由和開放地進行遊戲操作。那麼既然在網路遊戲中有了伺服器這個概念,我們以前傳統的修改遊戲方法就顯得無能為力了。記得我們在單機版的遊戲中,隨心所欲地通過記憶體搜尋來修改角色的各種屬性,這在網路遊戲中就沒有任何用處了。因為我們在網路遊戲中所扮演角色的各種屬性及各種重要資料都存放在伺服器上,在我們自己機器上(客戶端)只是顯示角色的狀態,所以通過修改客戶端記憶體裡有關角色的各種屬性是不切實際的。那麼是否我們就沒有辦法在網路遊戲中達到我們修改的目的?回答是"否"。我們知道Internet客戶/伺服器模式的通訊一般採用TCP/IP通訊協議,資料交換是通過IP資料包的傳輸來實現的,一般來說我們客戶端向伺服器發出某些請求,比如移動、戰鬥等指令都是通過封包的形式和伺服器交換資料。那麼我們把本地發出訊息稱為SEND,意思就是傳送資料,伺服器收到我們SEND的訊息後,會按照既定的程式把有關的資訊反饋給客戶端,比如,移動的座標,戰鬥的型別。那麼我們把客戶端收到伺服器發來的有關訊息稱為RECV。知道了這個道理,接下來我們要做的工作就是分析客戶端和伺服器之間往來的資料(也就是封包),這樣我們就可以提取到對我們有用的資料進行修改,然後模擬伺服器發給客戶端,或者模擬客戶端傳送給伺服器,這樣就可以實現我們修改遊戲的目的了。 目前除了修改遊戲封包來實現修改遊戲的目的,我們也可以修改客戶端的有關程式來達到我們的要求。我們知道目前各個伺服器的運算能力是有限的,特別在遊戲中,遊戲伺服器要計算遊戲中所有玩家的狀況幾乎是不可能的,所以有一些運算還是要依靠我們客戶端來完成,這樣又給了我們修改遊戲提供了一些便利。比如我們可以通過將客戶端程式脫殼來發現一些程式的判斷分支,通過跟蹤除錯我們可以把一些對我們不利的判斷去掉,以此來滿足我們修改遊戲的需求。
在下幾個章節中,我們將給大家講述封包的概念,和修改跟蹤客戶端的有關知識。大家準備好了嗎?
遊戲資料格式和儲存:
在進行我們的工作之前,我們需要掌握一些關於計算機中儲存資料方式的知識和遊戲中儲存資料的特點。本章節是提供給菜鳥級的玩家看的,如果你是高手就可以跳過了,呵呵! 如果,你想成為無堅不摧的劍客,那麼,這些東西就會花掉你一些時間;如果,你只想作個江湖的遊客的話,那麼這些東西,瞭解與否無關緊要。是作劍客,還是作遊客,你選擇吧!
現在我們開始!首先,你要知道遊戲中儲存資料的幾種格式,這幾種格式是:位元組(BYTE)、字(WORD)和雙字(DOUBLE WORD),或者說是8位、16位和32位儲存方式。位元組也就是8位方式能儲存0~255的數字;字或說是16位儲存方式能儲存0~65535的數;雙字即32位方式能儲存0~4294967295的數。為何要了解這些知識呢?在遊戲中各種引數的最大值是不同的,有些可能100左右就夠了,比如,金庸群俠傳中的角色的等級、隨機遇敵個數等等。而有些卻需要大於255甚至大於65535,象金庸群俠傳中角色的金錢值可達到數百萬。所以,在遊戲中各種不同的資料的型別是不一樣的。在我們修改遊戲時需要尋找準備修改的資料的封包,在這種時候,正確判斷資料的型別是迅速找到正確地址的重要條件。在計算機中資料以位元組為基本的儲存單位,每個位元組被賦予一個編號,以確定各自的位置。這個編號我們就稱為地址。在需要用到字或雙字時,計算機用連續的兩個位元組來組成一個字,連續的兩個字組成一個雙字。而一個字或雙字的地址就是它們的低位位元組的地址。現在我們常用的Windows 9x作業系統中,地址是用一個32位的二進位制數表示的。而在平時我們用到記憶體地址時,總是用一個8位的16進位制數來表示它。
二進位制和十六進位制又是怎樣一回事呢?
簡單說來,二進位制數就是一種只有0和1兩個數碼,每滿2則進一位的計數進位法。同樣,16進位制就是每滿十六就進一位的計數進位法。16進位制有0--F十六個數字,它為表示十到十五的數字採用了A、B、C、D、E、F六個數字,它們和十進位制的對應關係是:A對應於10,B對應於11,C對應於12,D對應於13,E對應於14,F對應於15。而且,16進位制數和二進位制數間有一個簡單的對應關係,那就是;四位二進位制數相當於一位16進位制數。比如,一個四位的二進位制數1111就相當於16進位制的F,1010就相當於A。瞭解這些基礎知識對修改遊戲有著很大的幫助,下面我就要談到這個問題。由於在計算機中資料是以二進位制的方式儲存的,同時16進位制數和二進位制間的轉換關係十分簡單,所以大部分的修改工具在顯示計算機中的資料時會顯示16進位制的程式碼,而且在你修改時也需要輸入16進位制的數字。你清楚了吧?在遊戲中看到的資料可都是十進位制的,在要尋找並修改引數的值時,可以使用Windows提供的計算器來進行十進位制和16進位制的換算,我們可以在開始選單裡的程式組中的附件中找到它。現在要了解的知識也差不多了!不過,有個問題在遊戲修改中是需要注意的。在計算機中資料的儲存方式一般是低位數儲存在低位位元組,高位數儲存在高位位元組。比如,十進位制數41715轉換為16進位制的數為A2F3,但在計算機中這個數被存為F3A2。 看了以上內容大家對資料的存貯和資料的對應關係都瞭解了嗎?
好了,接下來我們要告訴大家在遊戲中,封包到底是怎麼一回事了,來!大家把袖口捲起來,讓我們來幹活吧!
二:什麼是封包?
怎麼截獲一個遊戲的封包? 怎麼去檢查遊戲伺服器的ip地址和埠號?Internet使用者使用的各種資訊服務,其通訊的資訊最終均可以歸結為以IP包為單位的資訊傳送,IP包除了包括要傳送的資料資訊外,還包含有資訊要傳送到的目的IP地址、資訊傳送的源IP地址、以及一些相關的控制資訊。當一臺路由器收到一個IP資料包時,它將根據資料包中的目的IP地址項查詢路由表,根據查詢的結果將此IP資料包送往對應埠。下一臺IP路由器收到此資料包後繼續轉發,直至發到目的地。路由器之間可以通過路由協議來進行路由資訊的交換,從而更新路由表。但是您仔細看,您的名字在每個封包中並不是出現在相同的位置上- 在第2個封包裡,名字是出現在第4個位置上 - 在第4個封包裡,名字是出現在第6個位置上在這種情況下,您就需要使用ADVANCED MODE - 您在搜尋列﹝SEARCH﹞填上:53 68 61 64 6F 77 請務必從位置1開始填﹞ - 您想要從原來名字Shadow的第一個字母開始置換新名字,因此您要選擇從數值被發現的位置開始替代連續數值﹝from the position of the chain found﹞。 - 現在,在修改列﹝MODIFY﹞000的位置填上:6D 6F 6F 6E 20 20 ﹝此為相對應位置,也就是從原來搜尋欄的+001位置開始遞換﹞ - 如果您想從封包的第一個位置就修改數值,請選擇﹝from the beginning of the packet﹞瞭解一點TCP/IP協議常識的人都知道,網際網路是將資訊資料打包之後再傳送出去的。每個資料包分為頭部資訊和資料資訊兩部分。頭部資訊包括資料包的傳送地址和到達地址等。資料資訊包括我們在遊戲中相關操作的各項資訊。那麼在做截獲封包的過程之前我們先要知道遊戲伺服器的IP地址和埠號等各種資訊,實際上最簡單的是看看我們遊戲目錄下,是否有一個SERVER.INI的配置檔案,這個檔案裡你可以檢視到個遊戲伺服器的IP地址,比如金庸群俠傳就是如此,那麼除了這個我們還可以在DOS下使用NETSTAT這個命令,NETSTAT命令的功能是顯示網路連線、路由表和網路介面資訊,可以讓使用者得知目前都有哪些網路連線正在運作。或者你可以使用木馬客星等工具來檢視網路連線。工具是很多的,看你喜歡用哪一種了。
NETSTAT命令的一般格式為: NETSTAT [選項]
命令中各選項的含義如下: -a 顯示所有socket,包括正在監聽的。 -c 每隔1秒就重新顯示一遍,直到使用者中斷它。 -i
顯示所有網路介面的資訊。 -n 以網路IP地址代替名稱,顯示出網路連線情形。 -r 顯示核心路由表,格式同"route -e"。 -t
顯示TCP協議的連線情況。 -u 顯示UDP協議的連線情況。 -v 顯示正在進行的工作。
三:怎麼來分析我們截獲的封包?
首先我們將WPE截獲的封包儲存為文字檔案,然後開啟它,這時會看到如下的資料(這裡我們以金庸群俠傳裡PK店小二客戶端傳送的資料為例來講解):
第一個檔案:
SEND-> 0000 E6 56 0D 22 7E 6B E4 17 13 13 12 13 12 13 67 1B
SEND-> 0010 17 12 DD 34 12 12 12 12 17 12 0E 12 12 12 9B
SEND-> 0000 E6 56 1E F1 29 06 17 12 3B 0E 17 1A
SEND-> 0000 E6 56 1B C0 68 12 12 12 5A
SEND-> 0000 E6 56 02 C8 13 C9 7E 6B E4 17 10 35 27 13 12 12
SEND-> 0000 E6 56 17 C9 12
第二個檔案:
SEND-> 0000 83 33 68 47 1B 0E 81 72 76 76 77 76 77 76 02 7E
SEND-> 0010 72 77 07 1C 77 77 77 77 72 77 72 77 77 77 6D
SEND-> 0000 83 33 7B 94 4C 63 72 77 5E 6B 72 F3
SEND-> 0000 83 33 7E A5 21 77 77 77 3F
SEND-> 0000 83 33 67 AD 76 CF 1B 0E 81 72 75 50 42 76 77 77
SEND-> 0000 83 33 72 AC 77
我們發現兩次PK店小二的資料格式一樣,但是內容卻不相同,我們是PK的同一個NPC,為什麼會不同呢?
原來金庸群俠傳的封包是經過了加密運算才在網路上傳輸的,那麼我們面臨的問題就是如何將密文解密成明文再分析了。因為一般的資料包加密都是異或運算,所以這裡先講一下什麼是異或。 簡單的說,異或就是"相同為0,不同為1"(這是針對二進位制按位來講的),舉個例子,0001和0010異或,我們按位對比,得到異或結果是0011,計算的方法是:0001的第4位為0,0010的第4位為0,它們相同,則異或結果的第4位按照"相同為0,不同為1"的原則得到0,0001的第3位為0,0010的第3位為0,則異或結果的第3位得到0,0001的第2位為0,0010的第2位為1,則異或結果的第2位得到1,0001的第1位為1,0010的第1位為0,則異或結果的第1位得到1,組合起來就是0011。異或運算今後會遇到很多,大家可以先熟悉熟悉,熟練了對分析很有幫助的。下面我們繼續看看上面的兩個檔案,按照常理,資料包的資料不會全部都有值的,遊戲開發時會預留一些位元組空間來便於日後的擴充,也就是說資料包裡會存在一些"00"的位元組,觀察上面的檔案,我們會發現檔案一里很多"12",檔案二里很多"77",那麼這是不是代表我們說的"00"呢?推理到這裡,我們就開始行動吧!我們把檔案一與"12"異或,檔案二與"77"異或,當然用手算很費事,我們使用"M2M 1.0 加密封包分析工具"來計算就方便多了。得到下面的結果:第一個檔案:
SEND-> 0000 F4 44 1F 30 6C 79 F6 05 01 01 00 01 00 01 75 09
SEND-> 0010 05 00 CF 26 00 00 00 00 05 00 1C 00 00 00 89
SEND-> 0000 F4 44 0C E3 3B 13 05 00 29 1C 05 08
SEND-> 0000 F4 44 09 D2 7A 00 00 00 48
SEND-> 0000 F4 44 10 DA 01 DB 6C 79 F6 05 02 27 35 01 00 00
SEND-> 0000 F4 44 05 DB 00
第二個檔案:
SEND-> 0000 F4 44 1F 30 6C 79 F6 05 01 01 00 01 00 01 75 09
SEND-> 0010 05 00 70 6B 00 00 00 00 05 00 05 00 00 00 1A
SEND-> 0000 F4 44 0C E3 3B 13 05 00 29 1C 05 84
SEND-> 0000 F4 44 09 D2 56 00 00 00 48
SEND-> 0000 F4 44 10 DA 01 B8 6C 79 F6 05 02 27 35 01 00 00
SEND-> 0000 F4 44 05 DB 00
哈,這一下兩個檔案大部分都一樣啦,說明我們的推理是正確的,上面就是我們需要的明文!接下來就是搞清楚一些關鍵的位元組所代表的含義,這就需要截獲大量的資料來分析。首先我們會發現每個資料包都是"F4 44"開頭,第3個位元組是變化的,但是變化很有規律。我們來看看各個包的長度,發現什麼沒有?對了,第3個位元組就是包的長度!通過截獲大量的資料包,我們判斷第4個位元組代表指令,也就是說客戶端告訴伺服器進行的是什麼操作。例如向伺服器請求戰鬥指令為"30",戰鬥中移動指令為"D4"等。 接下來,我們就需要分析一下上面第一個包"F4 44 1F 30 6C 79 F6 05 01 01 00 01 00 01 75 09 05 00 CF 26 00 00 00 00 05 00 1C 00 00 00 89",在這個包裡包含什麼資訊呢?應該有通知伺服器你PK的哪個NPC吧,我們就先來找找這個店小二的程式碼在什麼地方。我們再PK一個小嘍羅(就是大理客棧外的那個咯): SEND-> 0000 F4 44 1F 30 D4 75 F6 05 01 01 00 01 00 01 75 09 SEND-> 0010 05 00 8A 19 00 00 00 00 11 00 02 00 00 00 C0 我們根據常理分析,遊戲裡的NPC種類雖然不會超過65535(FFFF),但開發時不會把自己限制在字的範圍,那樣不利於遊戲的擴充,所以我們在雙字裡看看。通過"店小二"和"小嘍羅"兩個包的對比,我們把目標放在"6C 79 F6 05"和"CF 26 00 00"上。(對比一下很容易的,但你不能太遲鈍咯,呵呵)我們再看看後面的包,在後面的包裡應該還會出現NPC的程式碼,比如移動的包,遊戲允許觀戰,伺服器必然需要知道NPC的移動座標,再廣播給觀戰的其他玩家。在後面第4個包"SEND-> 0000 F4 44 10 DA 01 DB 6C 79 F6 05 02 27 35 01 00 00"裡我們又看到了"6C 79 F6 05",初步斷定店小二的程式碼就是它了! (
這分析裡邊包含了很多工作的,大家可以用WPE截下資料來自己分析分析)第一個包的分析暫時就到這裡(裡面還有的資訊我們暫時不需要完全清楚了)我們看看第4個包"SEND-> 0000 F4 44 10 DA 01 DB 6C 79 F6 05 02 27 35 01 00 00",再截獲PK黃狗的包,(狗會出來2只哦)看看包的格式: SEND-> 0000 F4 44 1A DA 02 0B 4B 7D F6 05 02 27 35 01 00 00 SEND-> 0010 EB 03 F8 05 02 27 36 01 00 00根據上面的分析,黃狗的程式碼為"4B 7D F6 00040011),不過兩隻黃狗伺服器怎樣分辨呢?看看"EB 03 F8 05"(100140011),是上一個程式碼加上100000,呵呵,這樣伺服器就可以認出兩隻黃狗了。我們再通過野外遇敵截獲的資料包來證實,果然如此。 那麼,這個包的格式應該比較清楚了:第3個位元組為包的長度,"DA"為指令,第5個位元組為NPC個數,從第7個位元組開始的10個位元組代表一個NPC的資訊,多一個NPC就多10個位元組來表示。大家如果玩過網金,必然知道隨機遇敵有時會出現增援,我們就利用遊戲這個增援來讓每次戰鬥都會出現增援的NPC吧。通過在戰鬥中出現增援截獲的資料包,我們會發現伺服器端傳送了這樣一個包: F4 44 12 E9 EB 03 F8 05 02 00 00 03 00 00 00 00 00 00 第5-第8個位元組為增援NPC的程式碼(這裡我們就簡單的以黃狗的程式碼來舉例)。 那麼,我們就利用單機代理技術來同時欺騙客戶端和伺服器吧!好了,呼叫NPC的工作到這裡算是完成了一小半,接下來的事情,怎樣修改封包和傳送封包,我們下節繼續講解吧。
四:怎麼冒充"客戶端"向"伺服器"發我們需要的封包?
這裡我們需要使用一個工具,它位於客戶端和伺服器端之間,它的工作就是進行資料包的接收和轉發,這個工具我們稱為代理。如果代理的工作單純就是接收和轉發的話,這就毫無意義了,但是請注意:所有的資料包都要通過它來傳輸,這裡的意義就重大了。我們可以分析接收到的資料包,或者直接轉發,或者修改後轉發,或者壓住不轉發,甚至偽造我們需要的封包來發送。下面我們繼續講怎樣來同時欺騙伺服器和客戶端,也就是修改封包和偽造封包。 通過我們上節的分析,我們已經知道了打多個NPC的封包格式,那麼我們就動手吧!首先我們要查詢客戶端傳送的包,找到戰鬥的特徵,就是請求戰鬥的第1個包,我們找"F4 44 1F 30"這個特徵,這是不會改變的,當然是要解密後來查詢哦。 找到後,表示客戶端在向伺服器請求戰鬥,我們不動這個包,轉發。 繼續向下查詢,這時需要查詢的特徵碼不太好辦,我們先查詢"DA",這是客戶端傳送NPC資訊的資料包的指令,那麼可能其他包也有"DA",沒關係,我們看前3個位元組有沒有"F4 44"就行了。找到後,我們的工作就開始了!我們確定要打的NPC數量。這個數量不能很大,原因在於網金的封包長度用一個位元組表示,那麼一個包可以有255個位元組,我們上面分析過,增加一個NPC要增加10個位元組,所以大家算算就知道,打20個NPC比較合適。然後我們要把客戶端原來的NPC程式碼分析計算出來,因為增加的NPC程式碼要加上100000哦。再把我們增加的NPC程式碼計算出來,並且組合成新的封包,注意代表包長度的位元組要修改啊,然後轉發到伺服器,這一步在編寫程式的時候要注意演算法,不要造成較大延遲。 上面我們欺騙伺服器端完成了,欺騙客戶端就簡單了,^-^傳送了上面的封包後,我們根據新增NPC程式碼構造封包馬上發給客戶端,格式就是"F4 44 12 E9 NPC程式碼 02 00 00 03 00 00 00 00 00 00",把每個新增的NPC都構造這樣一個包,按順序連在一起傳送給客戶端,客戶端也就被我們騙過了,很簡單吧。以後戰鬥中其他的事我們就不
管了,盡情地開打吧,呵呵。
上面講的需要一定的程式設計基礎,但是不難,即使你不會程式設計,相信你繼續看下去就會有收穫了。
五:怎麼用計算機語言去寫一個單機代理?
在上一章,我們已經對於代理的原理進行了講解,大家對於代理已經有了一個初步的認識,現在我教大家如何用計算機語言編寫一個自己的代理,我們考慮到簡單明瞭,我們選用VB,因為用VB編寫代理只需要很少的程式碼
。
程式碼如下:
Private Sub
Form_Load()
DaiLi.LocalPort = "1234"
Server.RemotePort = "1234"
Server.RemoteHost = "211.100.20.26"
DaiLi.Listen
End Sub
Private Sub
DaiLi_ConnectionRequest(ByVal requestID As Long)
Server.Connect
Client.Accept
requestID
End Sub
Private Sub
Client_DataArrival(ByVal bytesTotal As Long)
Dim ClientToServer() As Byte Client.GetData
ClientToServer Server.SendData
ClientToServer
End Sub
Private Sub Server_DataArrival(ByVal bytesTotal As Long) Dim
ServerToClient() As Byte Server.GetData ServerToClient Client.SendData
ServerToClient
End Sub
Form_Load()這個過程表示在程式啟動的時候要做的一些初始化操作。 DaiLi.LocalPort = "1234" 設定監聽埠Server.RemotePort = "1234" 設定象遊戲伺服器連線的埠(和監聽埠是相同的)Server.RemoteHost = "211.100.20.26" 設定遊戲伺服器的IP地址 DaiLi.Listen 監聽本地的連線請求這時你只要將遊戲的伺服器列表的IP改成127.0.0.1,那麼遊戲的客戶端程式就會來連線我們的代理,我們的代理會呼叫如下的過程: Private Sub DaiLi_ConnectionRequest(ByVal requestID As Long) Server.Connect 代理客戶端向伺服器連線 Client.Accept requestID 接受客戶端的連線請求 End Sub當客戶端向伺服器傳送資料時,就會呼叫下邊的過程 Private Sub Client_DataArrival(ByVal bytesTotal As Long) Dim ClientToServer() As Byte 變數定義,請求了一個用於存放資料的空間 Client.GetData ClientToServer 客戶端的連線接收這些資料 在這裡我們可以新增自己的程式碼,對封包進行修改,然後再發向伺服器。Server.SendData ClientToServer 伺服器的連線把這些資料發向伺服器 End Sub當伺服器傳送資料給客戶端時,會呼叫下邊的過程 Private Sub Server_DataArrival(ByVal bytesTotal As Long) Dim ServerToClient() As Byte 變數定義,請求了一個用於存放資料的空間 Server.GetData ServerToClient 伺服器連線接收資料 在這裡我們可以新增自己的程式碼,對封包進行修改,然後再發給客戶端。Client.SendData ServerToClient End Sub用其他語言編寫基本的原理也是差不多的,不過可能稍微要麻煩一些,因為VB本身有一個MSWINSCK.OCX控制元件,這個控制元件封裝了WINDOWS的網路操作,而且介面很簡單,推薦大家使用。
六:如果單機代理被封,我們怎麼利用底層的技術來接管遊戲的發包?
在WINDOWS系統中,網路通訊的任務是由一個叫WSOCK32.DLL(在SYSTEM目錄下)來完成的,每當遊戲被執行時,他都會自動的去呼叫這個動態連線庫,因為在WINDOWS系統中對於檔案的搜尋順序是程式目錄>系統目錄>路徑中設定的目錄,所以我們就有機會替換掉系統的WSOCK32.DLL使的遊戲呼叫我們的WSOCK32.DLL,這樣我們就有了對於遊戲封包絕對的控制權,有人問:"我們應該怎麼做呢?",我們只要自己編寫一個WSOCK32.DLL放到遊戲的目錄下,就OK了,當然讓我們完全自己去編寫一個WSOCK32.DLL是不太現實的,因為本身網路通訊要處理很多更底層的東西,比如說從網絡卡讀取BIT流,所以我們選擇由我們的WSOCK32.DLL去呼叫系統的WSOCK32.DLL來完成這個功能。
WSOCK32.DLL有很多的輸出函式,函式如下:
__WSAFDIsSet accept AcceptEx Arecv Asend bind
closesocket closesockinfo connect dn_expand EnumProtocolsA EnumProtocolsW
GetAcceptExSockaddrs GetAddressByNameA GetAddressByNameW gethostbyaddr
gethostbyname gethostname GetNameByTypeA GetNameByTypeW getnetbyname
getpeername getprotobyname getprotobynumber getservbyname getservbyport
GetServiceA GetServiceW getsockname getsockopt GetTypeByNameA
GetTypeByNameW htonl htons inet_addr inet_network inet_ntoa ioctlsocket
listen MigrateWinsockConfiguration NPLoadNameSpaces NSPStartup ntohl ntohs
rcmd recv recvfrom rexec rresvport s_perror select send sendto sethostname
SetServiceA SetServiceW setsockopt shutdown socket TransmitFile WEP
WSAAsyncGetHostByAddr WSAAsyncGetHostByName WSAAsyncGetProtoByName
WSAAsyncGetProtoByNumber WSAAsyncGetServByName WSAAsyncGetServByPort
WSAAsyncSelect WSACancelAsyncRequest WSACancelBlockingCall WSACleanup
WSAGetLastError WSAIsBlocking WSApSetPostRoutine WSARecvEx
WSASetBlockingHook WSASetLastError WSAStartup WSAUnhookBlockingHook
WsControl WSHEnumProtocols
在這裡,不是所有的函式都要修改,因為我們只關心傳送和接收的封包,所以我們只要修改send 和recv兩個函式,前者是傳送封包的後者是接收封包的,我們在這兩個函式的處理中加入我們自己的程式碼,來完成封包的辨認,修改以
及轉發等功能。
七:怎麼來分析客戶端的有關資料?
自己作外掛,大多時候要分析封包,不過因為有的功能是由客戶端來辨別的,所以分析客戶端的程式同樣也很重要,分析客戶端首先要求你能看懂彙編指令(只要"看懂",要求很低的),其次是要能夠熟練的運用一些工
具,然後能剩下的也就是運氣和遊戲公司的漏洞了。(哈,不是每次都能成功的啊)下邊我分步教給大家。
第一章 8086彙編指令
注:AX,BX,CX...,EAX,EBX,ECX...這些都是CPU用來儲存資料的地方。
一、資料傳輸指令 作用:它們在存貯器和暫存器、暫存器和輸入輸出埠之間傳送資料.
1. 通用資料傳送指令. MOV 傳送字或位元組. MOVSX先符號擴充套件,再傳送. MOVZX 先零擴充套件,再傳送. PUSH 把字壓入堆疊. POP 把字彈出堆疊. PUSHA 把AX,CX,DX,BX,SP,BP,SI,DI依次壓入堆疊. POPA 把DI,SI,BP,SP,BX,DX,CX,AX依次彈出堆疊. PUSHAD 把EAX,ECX,EDX,EBX,ESP,EBP,ESI,EDI依次壓入堆疊. POP把EDI,ESI,EBP,ESP,EBX,EDX,ECX,EAX依次彈出堆疊. BSWAP 交換32位暫存器裡位元組的順序 XCHG 交換字或位元組.(至少有一個運算元為暫存器,段暫存器不可作為運算元) CMPXCHG 比較並交換運算元.( 第二個運算元必須為累加器AL/AX/EAX ) XADD先交換再累加.( 結果在第一個運算元裡 ) XLAT 位元組查錶轉換. BX 指向一張 256 位元組的表的起點, AL 為表的索引值 (0-255,即0-FFH); 返回 AL 為查表結果. ( [BX+AL]->AL )
2. 輸入輸出埠傳送指令. IN I/O埠輸入. ( 語法: IN 累加器, {埠號│DX} ) OUT I/O埠輸出. ( 語法: OUT 埠號│DX},累加器 ) 輸入輸出埠由立即方式指定時, 其範圍是 0-255; 由暫存器 DX 指定時,其範圍是
0-65535.
3. 目的地址傳送指令. LEA 裝入有效地址. 例: LEA DX,string ;把偏移地址存到DX. LDS
傳送目標指標,把指標內容裝入DS. 例: LDS SI,string ;把段地址:偏移地址存到DS:SI. LES
傳送目標指標,把指標內容裝入ES. 例: LES DI,string ;把段地址:偏移地址存到ES:DI. LFS
傳送目標指標,把指標內容裝入FS. 例: LFS DI,string ;把段地址:偏移地址存到FS:DI. LGS
傳送目標指標,把指標內容裝入GS. 例: LGS DI,string ;把段地址:偏移地址存到GS:DI. LSS
傳送目標指標,把指標內容裝入SS. 例: LSS DI,string ;把段地址:偏移地址存到SS:DI.
4. 標誌傳送指令. LAHF 標誌暫存器傳送,把標誌裝入AH. SAHF 標誌暫存器傳送,把AH內容裝入標誌暫存器. PUSHF 標誌入棧. POPF 標誌出棧. PUSHD 32位標誌入棧. POPD 32位標誌出棧.
二、算術運算指令 ADD 加法. ADC 帶進位加法. INC 加 1. AAA 加法的ASCII碼調整. DAA 加法的十進位制調整. SUB減法. SBB 帶借位減法. DEC 減 1. NEC 求反(以 0 減之). CMP 比較.(兩運算元作減法,僅修改標誌位,不回送結果). AAS減法的ASCII碼調整. DAS 減法的十進位制調整. MUL 無符號乘法. IMUL 整數乘法. 以上兩條,結果回送AH和AL(位元組運算),或DX和AX(字運算), AAM 乘法的ASCII碼調整. DIV 無符號除法. IDIV 整數除法. 以上兩條,結果回送: 商回送AL,餘數回送AH, (位元組運算); 或 商回送AX,餘數回送DX, (字運算). AAD 除法的ASCII碼調整. CBW 位元組轉換為字. (把AL中位元組的符號擴充套件到AH中去) CWD 字轉換為雙字. (把AX中的字的符號擴充套件到DX中去)CWDE 字轉換為雙字. (把AX中的字元號擴充套件到EAX中去) CDQ 雙字擴充套件. (把EAX中的字的符號擴充套件到EDX中去)三、邏輯運算指令 AND 與運算. OR 或運算. XOR 異或運算. NOT 取反. TEST 測試.(兩運算元作與運算,僅修改標誌位,不回送結果). SHL 邏輯左移. SAL 算術左移.(=SHL) SHR 邏輯右移. SAR 算術右移.(=SHR) ROL 迴圈左移. ROR 迴圈右移. RCL 通過進位的迴圈左移. RCR 通過進位的迴圈右移. 以上八種移位指令,其移位次數可達255次. 移位一次時, 可直接用操作碼. 如 SHL AX,1. 移位>1次時, 則由暫存器CL給出移位次數. 如 MOV CL,04 SHL
AX,CL
四、串指令 DS:SI 源串段暫存器 :源串變址. ES:DI 目標串段暫存器:目標串變址. CX 重複次數計數器. AL/AX 掃描值. D標誌 0表示重複操作中SI和DI應自動增量; 1表示應自動減量. Z標誌 用來控制掃描或比較操作的結束. MOVS 串傳送. ( MOVSB 傳送字元. MOVSW 傳送字. MOVSD 傳送雙字. ) CMPS 串比較. ( CMPSB 比較字元. CMPSW 比較字. ) SCAS 串掃描. 把AL或AX的內容與目標串作比較,比較結果反映在標誌位. LODS 裝入串. 把源串中的元素(字或位元組)逐一裝入AL或AX中. ( LODSB 傳送字元. LODSW 傳送字. LODSD 傳送雙字. ) STOS 儲存串. 是LODS的逆過程. REP 當CX/ECX<>0時重複. REPE/REPZ 當ZF=1或比較結果相等,且CX/ECX<>0時重複. REPNE/REPNZ 當ZF=0或比較結果不相等,且CX/ECX<>0時重複. REPC 當CF=1且CX/ECX<>0時重複. REPNC 當CF=0且CX/ECX<>0時重複.
五、程式轉移指令
1>無條件轉移指令 (長轉移) JMP 無條件轉移指令 CALL 過程呼叫 RET/RETF過程返回.
2>條件轉移指令 (短轉移,-128到+127的距離內) ( 當且僅當(SF XOR OF)=1時,OP1迴圈控制指令(短轉移) LOOP CX不為零時迴圈. LOOPE/LOOPZ CX不為零且標誌Z=1時迴圈. LOOPNE/LOOPNZ CX不為零且標誌Z=0時迴圈. JCXZ CX為
零時轉移. JECXZ ECX為零時轉移.
4>中斷指令 INT 中斷指令 INTO 溢位中斷 IRET 中斷返回
5>處理器控制指令 HLT 處理器暫停, 直到出現中斷或復位訊號才繼續. WAIT 當晶片引線TEST為高電平時使CPU進入等待狀態. ESC 轉換到外處理器. LOCK 封鎖匯流排. NOP 空操作. STC 置進位標誌位. CLC 清進位標誌位. CMC
進位標誌取反. STD 置方向標誌位. CLD 清方向標誌位. STI 置中斷允許位. CLI 清中斷允許位.
六、偽指令 DW 定義字(2位元組). PROC 定義過程. ENDP 過程結束. SEGMENT 定義段. ASSUME 建立段暫存器定址. ENDS 段結束. END 程式結束. 當然不是所有的指令都能用的上的,我在這裡全部寫出來是為了讓大家認識一下,
方便大家以後的學習,我歸納了一下常用的指令,這些指令大家一定要熟練掌握才可以啊。MOV 資料傳送指令 PUSH,POP 堆疊指令 CMP 比較指令 LEA 取地址指令 XOR 異或指令 JE,JZ,JMP...(所有的轉移指令)
一些工具的使用
用到的工具包括Fi2.9,Wasm8.9 ,UltraEdit
一、 Fi2.9
因為現在軟體為了保護,另外也為了減少程式的大小,都採用了加殼技術。有人問了"殼是什麼呢",在自然界中,我想大家對"殼"這東西應該都不會陌生了,植物用它來保護種子,動物用它來保護身體等等。同樣,在一些計算機軟體裡也有一段專門負責保護軟體不被非法修改或反編譯的程式。它們一般都是先於程式執行,拿到控制權,然後完成它們保護軟體的任務。就像動植物的殼一般都是在身體外面一樣理所當然。由於這段程式和自然界的殼在功能上有很多相同的地方,基於命名的規則,大家就把這樣的程式稱為"殼"了。 現在我們已經知道"殼"是用來保護程式的,那我們要分析遊戲程式,必須先把他的這層殼退掉,我們稱之為"脫殼",這個很容易的,因為現在網上有很多的脫殼軟體可以脫殼,不過在脫殼前我們必須先知道程式用什麼加的"殼",Fi就是這樣一個軟體,操作很簡單,將要分析的軟體和Fi放在同一個目錄,然後直接執行Fi,在按回車就OK了。
二、Wasm8.9 這是一個用來反彙編程式的軟體(反彙編,就是把機器程式碼轉變為彙編程式碼)。操作很簡單, 圖一(開啟檔案) 圖二(簡單介紹)首先開啟檔案,進行反彙編操作,然後選擇"串式參考"找到在程式中出現
的內容,定位到該地址,進行分析,分析完成,進行修改,加亮當前要修改的指令,然後看"當前指令在檔案中的地址偏移",記下這個值。
三、UltraEdit 是一個功能強大的編輯軟體,能直接修改程式的16進位制指令程式碼。
例項解析
下邊以金庸的隨地逃為例進行解析。
首先將金庸的Loginp.exe檔案和Fi放在同一個目錄,然後執行Fi,可以看到螢幕如圖
可以看到程式用UPX加過殼了,所以首先進行脫殼(由於該檔案用UPX加殼後進行了修改,用現成的工具無法脫殼,鑑於會員當前水平的考慮,這個檔案的脫殼方法以後講給大家聽,我們直接提供一個脫過殼的檔案給會員
用於會員的學習),脫過殼之後,執行Wasm進行反彙編,然後點"串式參考",找到"次處非逃離點"如圖
程式如下(請開啟MagicWin)
:00616376 6681B8EC470000AD65 cmp word ptr [eax+000047EC],
65AD<---此處比較是否為逃離點 :0061637F 7577 jne 006163F8 <---不是就跳走
* Referenced by a (U)nconditional or (C)onditional Jump at
Address:|:0061636D(C)|:00616381 8BC3 mov eax, ebx:00616383 E8D4D1FFFF call
0061355<----一個隨機處理判斷是否逃跑成功:00616388 84C0 test al, al:0061638A 7440 je
006163CC <----不成功就跳走:0061638C 66C743530600 mov [ebx+53], 0006:00616392
B81E000000 mov eax, 0000001E:00616397 E80CC9DEFF call 00402CA8:0061639C
890424 mov dword ptr [esp], eax:0061639F DB0424 fild dword ptr
[esp]:006163A2 DB2DDC656100 fld tbyte ptr [006165DC]:006163A8 DEC9 fmulp
st(1), st(0):006163AA D80550666100 fadd dword ptr [00616650]:006163B0
DB2DDC656100 fld tbyte ptr [006165DC]:006163B6 DEC1 faddp st(1),
st(0):006163B8 DD9BF8D06500 fstp qword ptr [ebx+0065D0F8]:006163BE 9B
wait:006163BF C6435201 mov [ebx+52], 01:006163C3 8BC3 mov eax,
ebx:006163C5 E8924E0000 call 0061B25C:006163CA EB3F jmp 0061640B
* Referenced by a (U)nconditional or (C)onditional Jump at
Address:|:0061638A(C)|:006163CC A11CA36700 mov eax, dword ptr
[0067A31C]:006163D1 8B00 mov eax, dword ptr [eax]:006163D3 33C9 xor ecx,
ecx
* Possible StringData Ref from Data Obj ->"発瞞ア毖"|:006163D5 BA5C666100 mov
edx, 0061665C:006163DA E83D9BF7FF call 0058FF1C:006163DF 8A8368010000 mov
al, byte ptr [ebx+00000168]:006163E5 04F9 add al, F9:006163E7 2C02 sub al,
02:006163E9 7320 jnb 0061640B:006163EB 33C9 xor ecx, ecx:006163ED 33D2 xor
edx, edx:006163EF B0DE mov al, DE:006163F1 E8C6AE0100 call
006312BC:006163F6 EB13 jmp 0061640B
* Referenced by a (U)nconditional or (C)onditional Jump at
Address:|:0061637F(C)|:006163F8 A11CA36700 mov eax, dword ptr
[0067A31C]:006163FD 8B00 mov eax, dword ptr [eax]:006163FF 33C9 xor ecx,
ecx
* Possible StringData Ref from Data Obj ->"矪獶発瞞翴"|:00616401 BA70666100
mov edx, 00616670:00616406 E8119BF7FF call 0058FF1C
* Referenced by a (U)nconditional or (C)onditional Jump at
Addresses:|:006163CA(U), :006163E9(C), :006163F6(U)|:0061640B B201 mov dl,
01:0061640D 8BC3 mov eax, ebx:0061640F E8BCC10000 call 006225D0:00616414
C6836801000000 mov byte ptr [ebx+00000168], 00:0061641B E977010000 jmp
00616597:00616420 888368010000 mov byte ptr [ebx+00000168], al:00616426
C68300D1650000 mov byte ptr [ebx+0065D100], 00:0061642D 33C9 xor ecx,
ecx:0061642F 33D2 xor edx, edx:00616431 B0DE mov al, DE:00616433
E884AE0100 call 006312BC:00616438 B201 mov dl, 01
所以我們只要讓上邊兩個註釋的地方都不要跳走,就可以實現隨時隨地逃的功能了,修改很簡單,我們把上邊的兩個跳轉語句全部登出掉就OK了,組合語言裡登出語句為NOP
轉為機器指令也就是90,所以修改如下
原文:00616376 6681B8EC470000AD65 cmp word ptr [eax+000047EC],
65AD<---此處比較是否為逃離點:0061637F 7577 jne 006163F8 <---不是就跳走
* Referenced by a (U)nconditional or (C)onditional Jump at
Address:|:0061636D(C)|:00616381 8BC3 mov eax, ebx:00616383 E8D4D1FFFF call
0061355<----一個隨機處理判斷是否逃跑成功:00616388 84C0 test al, al:0061638A 7440 je
006163CC <----不成功就跳走
修改之後
:00616376 6681B8EC470000AD65 cmp word ptr [eax+000047EC],
65AD<---此處比較是否為逃離點:0061637F 90 nop:00616380 90 nop <---不是就跳走
* Referenced by a (U)nconditional or (C)onditional Jump at
Address:|:0061636D(C)|:00616381 8BC3 mov eax, ebx:00616383 E8D4D1FFFF call
0061355<----一個隨機處理判斷是否逃跑成功:00616388 84C0 test al, al:0061638A 90 nop
:0061638B 90 nop
當然我們要把修改落實到檔案上的,用UltraEdit開啟脫殼後的Loginp.exe 選擇Search->Goto
Line/Page來到地址0x21637f 可以看到這裡的兩個位元組內容為7577(jne
006163f8)把兩個位元組內容改為9090,來到地址0x21638a 可以看到這裡的兩個位元組內容為7440(je
006163cc)把兩個位元組內容改為9090,然後儲存進入金庸遊戲看看,是不是可以隨地逃了啊,:)
注:教程中提供的地址會隨著loginp.exe的版本的不同有所改變,教程中採用的檔案為1月7號的版本,會員可以到下載去下載到,如果會員需要最新的脫殼版本我們可以提供。