# 吞食魚2(FeedingFrenzyTwo) 修改器 童年回憶系列。小時候特別喜歡玩這類遊戲，軟體不大，很慢的網速也不會下載太久，然後對配置要求不高，很破的電腦也可以玩得很開心。不過也有糟心的時候啊，大魚太多，無數次死於挑戰咬梭子魚的尾巴……今年最後一天，就休閒一小會吧。   小時候看不懂是啥意思，現在知道了，我來翻譯下第一段。 > **警告！** > > 發現梭子魚在珊瑚礁附近遊蕩。留意警告標誌，遠離它張開的大嘴！要是你有迷之自信，可以試著咬它的尾巴。咬 4 次就會有驚喜……如果到那時候你還活著…… 現在再玩已經沒有當年的感覺了——滑鼠換了……其實我老早就想，為什麼到了下一關，我的魚就變小了？？太不爽了。遊戲裡各種對玩家不利的設定：小魚不能吃大魚、被大魚追、被貝殼吃掉、被烏賊噴、被水母電、被大嘴鳥吞、被水雷炸、被河豚刺、吸水還要 CD、跳出水面翻滾的話進水眩暈……所以只有修改記憶體資料才是稱霸海洋的祕訣！ 工具：Cheat Engine 6.4 (以前搞的漢化版，其實翻譯不完全，建議用英文版) ## 大，大，大 這個遊戲的規則是吃小魚，躲大魚，等長大了以後就可以吃遍全圖。成長值進度條在左上角，前面的關卡都是 3 個成長階段，到了後面還有更多的級別。  好的，按照程式設計師的思路，姑且猜測 growth 資料用整型儲存，每種魚的加成不一樣，小魚少些，大魚多些，初始值為 0，開啟 CE ，開始搜尋，每吃一條魚就搜一次“增加的數值”。  好的，沒搜幾次，輕鬆搜到 2 個值。嘗試修改第一個，發現魚沒反應；再嘗試第二個，魚長大了！然後自然是一頓操作：找出改寫 -> 顯示反彙編，然後看到了如下程式碼：  這也太舒服了，直接找到靜態地址`005AC624`，省的找基址了，直接手動新增地址，growth 就有了。基址`005AC624`偏移`+3C, +40`(跟基址寫成 `"FeedingFrenzyTwo.exe"+001AC624` 是一樣的)  ## 四兩吃千斤 修改 growth 的數值，就可以瞬間變大，通關，但是這一點也不爽啊，我一定要把被吃的仇報了才行！  還是剛才的進度條，用通常思路來猜，成長階段數值分別是 0, 1, 2 ，姑且先試一下。藉助修改 growth 值快速長大，搜尋這幾個值就很快了。  先嚐試修改第一個，圖中我修改 `0245AE24` 的值為 0 以後，我 2 階的大魚被比我小的魚吃掉了，那應該就是它了。觀察了一會發現，這個值就是用來確定會不會被吃的，但是查詢訪問它的程式碼並沒找到什麼關鍵判定，程式碼太多了，我也懶得看，反正只要不被吃復位，這個值就不會變，直接把它改大點就行了。 在魚變大的時候查詢改寫它的地址，可以找到偏移量 `EC` `00496B47 - 89 99 EC000000 - mov [ecx+000000EC],ebx` 再稍微除錯跟蹤下，找到基址。基址`005AC624`偏移`+40, +344, +0, +EC`，型別我選了 byte ，不過應該沒啥影響。   然而事實是，我不會被大魚吃掉了，但是在大魚旁邊的時候也不會觸發吃魚的動作了……是太難吃了嗎？哈哈……不過，離成功不遠了。經過一番探索，我用“增大的數值”搜尋前邊的成長階段，找到了另一個數值。簡單點來說，這兩個值一個是玩家魚在電腦魚面前的大小，一個是電腦魚在玩家魚面前的小大。<- 我說小大，因為第二個值數值越大判定電腦魚越小。 基址`005AC624`偏移`+40, +344, +0, +F8`，就在上一個值旁邊，很狡猾啊，這個值是從 1 到 3 的，之前搜精確數值的時候沒找到，早知道就先去看看資料結構了。  把這兩個值同時改成 5 ，終於報了當年的血海深仇，啊哈哈哈哈哈哈哈……  ## 速度和位置 吸取剛才的教訓，現在來看看資料結構。  嘿嘿，果然有了意外收穫。仔細觀察魚的狀態和數值，可以發現上面的 4 組浮點數分別代表魚的位置和速度，修改這些值可以讓魚瞬移到地圖任何地方。 然後我就有了一個大膽的想法——能不能把地圖裡的其他魚瞬移到我嘴邊呢？省的亂跑了。事實是——YES! 首先要找到存放地圖上所有魚的地方。 拿玩家魚的位置來說，地址是 基址`005AC624`偏移`+40, +344, +0, +98`，按照程式的物件模型來想，`+344`指標應該是玩家指標，裡面存放了很多和玩家相關的資料，剛才做四兩吃千斤的時候，資料也在這個物件下，那麼看下`+0`指標應該就是玩家的魚的指標了，我這次遊戲的指標是 `09397280` 。好的現在假設有這麼個全域性魚陣列，那麼這個 `09397280` 也一定在裡面，直接搜尋這個指標：  嘿嘿，我為什麼單獨標出來這個 `07EDC488` 呢？因為看資料結構，在之前的 `+344` 指標前面，在 `+324` 指標的地方，指向的資料不就是 `07EDC488` 嘛，這應該是個陣列首地址，展開一看，果然全都是魚！   魚是有了，可是數量不知道……這個陣列沒有結束標識，貌似是像`vector`那樣管理的，有固定大小，靠整數標記結束的位置，而遊戲本身可能不記錄實時的魚數量，所以我找了一遍，一直沒找到資料，也可能是我找的方法不對。魚在不同狀態的時候地圖上的魚數量會變，但是因為不知道具體值，非常難找，我猜測是一些常數，規定了不同關卡魚的數量上限。 我還強行試了下移動所有魚直到空指標，會訪問銷燬過的魚物件而導致訪問越界崩潰，問題應該出在這裡 `mov ebx,[eax+edi]//4*n` ，`edi` 的值增大以後，`eax+edi` 就不一定是有效地址了。然而令人驚奇的是，只要不點錯誤視窗上的確定鍵，就還可以繼續遊戲！真神奇……指令碼如下： ```x86asm [ENABLE] //code from here to '[DISABLE]' will be used to enable the cheat //0051A002 alloc(newm,512) label(nextfish) label(exit) newm: pushad mov eax,["FeedingFrenzyTwo.exe"+001AC624] mov eax,[eax+40] //GetPlayersFish mov esi,[eax+344] mov esi,[esi]//ThisIsThePlayersFishClass //PlayerPosition mov ecx,[esi+98] mov edx,[esi+9C] //GetYou(heiheihei) mov eax,[eax+324] mov edi,0 nextfish: mov ebx,[eax+edi]//4*n cmp ebx,0//NoNextFish je exit add edi,4 cmp ebx,esi//IsPlayer? je nextfish mov [ebx+98],ecx mov [ebx+9C],edx jmp nextfish exit: popad ret createthread(newm) LdrInitializeThunk: DB 8B FF 55 8B EC [DISABLE] //code from here till the end of the code will be used to disable the cheat dealloc(newm) ```  可以不理它，別點確定，直接返回遊戲：  如果想穩妥一點，就去掉 `jmp nextfish` 這句，這樣就每次只移動 1 只魚，因為地圖上一直會有一堆魚，所以低頻呼叫移動 1 只魚的指令碼是沒事的，也可以輕鬆疊滿 FRENZY 因為已經可以四兩吃千斤了，所以繼續搞這個功能也沒啥必要了，就到此一遊吧，不找魚總數了。 ## 變小魔法  遊戲裡有很多有意思的道具，比如蘑菇，可以讓周圍的大魚變小；還有個紅色的瘋狂魚，可以時間停止然後自動吃掉螢幕裡的魚，如果能找到對應的 call 就爽了。下面就來試一試。 首先我大概想了個思路，因為之前得到了儲存魚 growth 數值的地方，電腦魚與玩家魚用的是同一個類，所以儲存的偏移應該也是一樣的，所以檢視資料結構裡全域性魚陣列，隨便找條大魚，查詢改寫 growth 數值的地方，然後去吃個蘑菇。之後程式碼斷在了 `0041D744` ，這裡沒什麼有用資訊，返回到上層函式，發現了有意思的東西。 `0042863F - 68 08B35500 - push 0055B308 : ["shrinkBurstFx"]` 這個單詞 "shrink" 就是縮小的意思，再繼續向上返回查詢，又發現了一個位置： `0049AA93 - 68 B8E65400 - push 0054E6B8 : ["fishShrink"]` 然後我再繼續返回，發現到了外層大迴圈，而函式內部的斷點是在魔法光球打在魚身上的時候才會中斷，我們需要的函式卻是吃蘑菇的事件函式。好的，現在先暫停一下，縷縷思路： 1. 玩家吃蘑菇 2. 觸發吃蘑菇事件函式，發出光球，目標是電腦大魚 3. 電腦大魚被光球打中，觸發縮小事件，縮小 我們剛才找的 "shrink" 相關的函式應該是步驟 3 ，需要找的是步驟 2 ，而步驟 2 到步驟 3 應該不在同一個函式中，它們之間應該只是訊息傳遞的過程，所以這個線索就斷了。 不過，嘿嘿，程式碼註釋裡已經給我們提供了新的線索——"shrink" 字串。每次觸發事件的時候，就會引用和 "shrink" 相關的字串，所以新的思路有了——搜尋 "shrink" 字串，然後查詢什麼訪問了字串，看看吃蘑菇的時候會斷在哪裡。首先找到 `078BBCF8` 的位置是我們剛才找到的 "fishShrink" ，而就在它下面不遠的位置，發現了 "shrinkPickup" ，地址是 `078BBE10`！！！哇，運氣好到爆炸！  查詢什麼訪問了 `078BBE10` ，然後檢視堆疊，在這個字串附近的函式一個一個進去看，終於在 `004747CD` 的地方找到了線索。  在`004747CD` 下斷點，然後吃東西就會中斷，再向上返回，發現返回的位置和吃的東西有關。 吃蘑菇返回到這裡  吃魚返回到這裡  試了幾次，吃什麼就會返回到什麼地方，所以附近應該就有吃的函數了，傳入的指標就是吃的東西，用多型的思想，吃什麼就執行什麼的事件函式，所以離勝利不遠了…… 經過一番除錯，終於找到了吃東西的函式——`call [eax+90]` ，就在 `0042A98C` 的地方，`esi` 是被吃的物件，`+90` 大概是虛擬函式表裡執行被吃事件的函式指標，引數是 `edi` ，儲存發起吃東西事件物件的指標，還有個暫存器引數 `ecx` ，儲存的是被吃物件指標。一個以吃東西為遊戲內容的遊戲，把吃東西的函式找到了，**遊戲結束！**  後面的工作就輕而易舉了，下斷點在每次吃掉蘑菇的時候步入，就到了 `004A249D` ，這個 `call 00493BD0` 就是我們苦苦尋找的吃蘑菇的事件函數了，這個函式只有一個暫存器引數，就是 `esi` 儲存發起事件的物件指標，這裡我們把玩家填進去就好。還記得玩家指標在哪嗎？沒錯，就是之前找四兩吃千斤的時候找到的物件：基址`005AC624`偏移`+40, +344, +0`  然後寫出指令碼，只要執行這個指令碼，就相當於吃了蘑菇，變小魔法就會觸發了，大功告成。 ```x86asm [ENABLE] //code from here to '[DISABLE]' will be used to enable the cheat //004A249D alloc(newm,512) label(exit) newm: pushad mov eax,["FeedingFrenzyTwo.exe"+001AC624] mov eax,[eax+40] //GetPlayersFish mov esi,[eax+344] mov esi,[esi]//ThisIsThePlayersFishClass call 00493BD0 exit: popad ret createthread(newm) LdrInitializeThunk: DB 8B FF 55 8B EC [DISABLE] //code from here till the end of the code will be used to disable the cheat dealloc(newm) ``` ## 狂吃  還是按照上面的思路，在`0042A98C` 的吃東西函式 `call [eax+90]` 下斷點，然後吃個 "FEEDING FURY" 道具，找到對應的程式碼。很輕鬆就找到了，然後寫出下面的指令碼。 ```x86asm [ENABLE] //code from here to '[DISABLE]' will be used to enable the cheat //0053D05D alloc(newm,512) label(exit) newm: pushad mov eax,["FeedingFrenzyTwo.exe"+001AC624] mov eax,[eax+40] //GetPlayersFish mov esi,[eax+344] mov esi,[esi]//ThisIsThePlayersFishClass //feeding fury 00502399 add esi,00000154 mov eax,[esi] mov ecx,esi call [eax+20] test eax,eax je exit mov eax,[esi] mov ecx,esi call [eax+20] mov edx,[eax] mov ecx,eax call [edx+70] exit: popad ret createthread(newm) LdrInitializeThunk: DB 8B FF 55 8B EC [DISABLE] //code from here till the end of the code will be used to disable the cheat dealloc(newm) ``` ## 防雷 直接找出是什麼訪問了玩家魚指標，然後去撞水雷。查詢過程非常卡，所以到了水雷旁邊再開始查詢。撞到水雷時，會出現一些新的程式碼，一個一個找。運氣很不錯，找第一個就發現了關鍵跳轉。 `0050B773 - 75 30 - jne 0050B7A5` 有魚死掉時的關鍵跳轉 再向下找，就在下面找到了魚撞雷死亡呼叫的函式 `0050B798 - FF 90 DC000000 - call dword ptr [eax+000000DC]` 當玩家單位觸發時步入，裡面只有 3 行彙編。  只要在玩家觸發水雷的時候跳過這個函式就可以了 ```x86asm [ENABLE] //code from here to '[DISABLE]' will be used to enable the cheat alloc(newmem,2048) label(returnhere) label(originalcode) label(exit) newmem: //this is allocated memory, you have read,write,execute access //place your code here push eax mov eax,["FeedingFrenzyTwo.exe"+001AC624] mov eax,[eax+40] //GetPlayersFish mov eax,[eax+344] mov eax,[eax]//ThisIsThePlayersFishClass //if player hit a mine //then jump cmp eax,ecx pop eax je exit originalcode: mov eax,[ecx] call dword ptr [eax+000000EC] exit: jmp returnhere "FeedingFrenzyTwo.exe"+102BE3: jmp newmem nop nop nop returnhere: [DISABLE] //code from here till the end of the code will be used to disable the cheat dealloc(newmem) "FeedingFrenzyTwo.exe"+102BE3: mov eax,[ecx] call dword ptr [eax+000000EC] //Alt: db 8B 01 FF 90 EC 00 00 00 ``` 因為這裡的函式在其他事件觸發時也有被呼叫到，所以不知道這麼改有什麼副作用，暫且先這樣，等以後出了問題再回來看……(懶) 另外還發現了銷燬玩家物件的函式，不知道以後用不用得上。 `00438EBD - FF 50 1C - call dword ptr [eax+1C]` 玩家魚物件銷燬 ## 其他 * 吸水能量條 基址`"FeedingFrenzyTwo.exe"+001AC624` 偏移 `+40, +344, +0, +20C` 型別是 `float` 從 0 到 1 * 吸水持久度 基址 `005A7314` 浮點數 `float`，數值越小持續時間越長 * 吸水恢復速度 基址 `005A7318` 浮點數 `float`，數值越大恢復速度越快 * 直接過關 基址 `005AC624` 偏移 `+40, +8C` 位元組 `byte` ，改成 1 即可。大部分時候好用，個別關不行，不知道為啥 從空中翻滾後落到水裡會暈一會，這個指令碼可以防止眩暈。其實功能非常簡單，就是跳過 `mov byte ptr [ebx+0000019D],01` 這一句。 ```x86asm [ENABLE] //code from here to '[DISABLE]' will be used to enable the cheat alloc(newmem,2048) label(returnhere) label(originalcode) label(exit) newmem: //this is allocated memory, you have read,write,execute access //place your code here jmp exit originalcode: mov byte ptr [ebx+0000019D],01 exit: jmp returnhere "FeedingFrenzyTwo.exe"+13FC74: jmp newmem nop nop returnhere: [DISABLE] //code from here till the end of the code will be used to disable the cheat dealloc(newmem) "FeedingFrenzyTwo.exe"+13FC74: mov byte ptr [ebx+0000019D],01 //Alt: db C6 83 9D 01 00 00 01 ``` ## 結語 權當是休閒娛樂，沒做太多複雜的東西，想做成品修改器的小夥伴也可以寫一個。 [CT檔案](https://files.cnblogs.com/files/adjwang/FeedingFrenzyTwo.zip) 今年最後一天了，祝大家玩得