標 題: 【原創】如何在NP下讀寫遊戲內存及如何進入NP進程
作 者: 墮落天才
時 間: 2007-01-04,13:28
鏈 接: http://bbs.pediy.com/showthread.php?threadid=37417
******************************************************
*標題:【原創】如何在NP下讀寫遊戲內存及如何進入NP進程 *
*作者:墮落天才 *
*日期:2007年1月4號 *
*版權聲明:請保持文章的完整,轉載請註明出處 *
******************************************************
在上一篇文章《反NP監視原理》中說到要去掉NP的注入是很容易的事,但是去掉npggNT.des並不是說我們想對遊戲怎麼樣都可以了,NP還掛鉤了很多內核函數,所以很多關鍵系
統函數就算我們在用戶層能用也對遊戲沒有什麼效果。
如果我們想在不破解NP前提下讀寫遊戲內存該怎麼辦呢,我想辦法至少有兩個
一、用驅動
在驅動下讀寫遊戲內存是沒問題,但是由於我不懂驅動,所以也沒什麼可說。
二、進入遊戲進程
在用戶層,如果我們想在不破解NP的前提下讀寫遊戲內存的話,大概就只能進入遊戲進程了。因爲很簡單,我們的程序無法對遊戲使用OpenProcess、ReadProcessMemoery及
WriteProcessMemory這些函數(就算是去掉了NP監視模塊npggNT.des),而NP又不可能限制遊戲自身使用這些函數,所以只要我們能夠進入遊戲進程就能夠讀寫遊戲的內存。怎麼
進入遊戲呢?下面介紹兩種方法:
1,最簡單的辦法 ―全局消息鉤子(WH_GETMESSAGE)
看似很複雜的東西原來很簡單就可以實現,大道至易啊。使用消息鉤子進入遊戲進程無疑是最簡單的一種方法,具體編程大概象這樣:一個消息鉤子的DLL,裏面包含一個消
息回調函數(什麼都不用做),讀寫內存過程,跟主程序通訊過程或操作界面過程,當然在DLL_PROCESS_ATTACH要判斷當前的進程是不是遊戲的,是的話就做相應的處理;一個安
裝全局消息鉤子的主程序。大概這樣就可以了。使用全局消息鉤子的好處是簡單易用,但是不足之處是要在遊戲完全啓動(NP當然也啓動啦)後才能進入,如果想在NP啓動前做一
些什麼事的話是不可能的。
另外也簡單介紹一下防全局鉤子的辦法,Windows是通過調用LoadLibraryExW來向目標進程注入鉤子DLL的,所以只要我們在鉤子安裝前掛鉤了這個函數,全局鉤子就干擾不了
了。
2,更麻煩的辦法 ― 遠程注入
知道遠程注入方法和原理的人可能會說“有沒有搞錯,OpenProcess、WriteProcessMemory這些必備函數都不能用,怎麼注入?”,當然啦,NP啓動後是不能幹這些事情,所
以我們要在NP啓動前完成。這樣一來,時機就很重要了。
遊戲啓動的流程大概是這樣:遊戲Main->GameGuard.des->GameMon.des(NP進程)。這裏的做法是這樣:遊戲Main->GameGuard.des(暫停)->注入DLL->GameGuard.des(繼
續)->GameMon.des。關鍵點就是讓GameGuard.des暫停,有什麼辦法?我想到一個是全局消息鉤子(還是少不了它啊)。要實現大概需要做下面的工作:一個全局消息鉤子DLL,裏面只
要一個消息回調函數(什麼都不用做),DLL_PROCESS_ATTACH下進行當前進程判斷找GameGuard.des,找到的話就向主程序SendMessage;主程序,負責安裝鉤子,接收鉤子DLL發來的
消息,接收到消息就開始查找遊戲進程,向遊戲進程注入內存操作DLL,返回給SendMessage讓GameGuard.des繼續,卸載鉤子(免得它繼續鉤來鉤去);內存操作DLL,負責對遊戲
內存進行操作。
具體編寫如下(有省略):
////////////////////////////////////////////////GameHook.cpp//////////////////////////////////////////////////////////////////
BOOL IsGameGuard();
//////////////////////////////////
LRESULT CALLBACK GetMsgProc(int nCode,WPARAM wParam,LPARAM lParam)
{
return (CallNextHookEx(m_hHook,nCode,wParam,lParam));//什麼都不需要做
}
///////////////////////////////////////
BOOL WINAPI DllMain(HINSTANCE hInst,DWORD dwReason,LPVOID lp)
{
switch(dwReason){
case DLL_PROCESS_ATTACH:
if(IsGameGuard())//判斷當前進程是不是GameGuard.des
SendMessage(m_hwndRecv,WM_HOOK_IN_GAMEGUARD,NULL,NULL);//向主窗體發送消息,SendMessage是等待接受窗體處理完畢才返回的,
break; //所以進程就暫停在這裏,我們有足夠的時間去做事情
case DLL_PROCESS_DETACH:
break;
}
return TRUE;
}
///////////////////////////////////
GAMEHOOKAPI BOOL SetGameHook(BOOL fInstall,HWND hwnd)
{
...
}
////////////////////////////////////////
BOOL IsGameGuard()
{
TCHAR szFileName[256];
GetModuleFileName(NULL,szFileName,256);
if(strstr(szFileName,"GameGuard.des")!=NULL){//這樣的判斷嚴格來說是有問題的,但實際操作也夠用了。當然也可以進行更嚴格的判斷,不過麻煩點
return TRUE;
}
return FALSE;
}
//////////////////////////////////////////////////////Main////////////////////////////////////////////////////////////////////////
void OnGameGuard(WPARAM wParam,LPARAM lParam)//處理消息鉤子DLL發來的消息就是上面SendMessage的那個
{
DWORD dwProcessId=FindGameProcess(m_strGameName);//開始查找遊戲進程
if(dwProcessId==0){
MessageBox(m_hWnd,"沒有找到遊戲進程","查找遊戲進程",MB_OK);
return;
}
if(!InjectDll(dwProcessId)){//查找到就開始注入
MessageBox(m_hWnd,"向遊戲進程注入失敗",注入",MB_OK);
return;
}
}
/////////////////////////////////////////////////
DWORD FindGameProcess(LPCSTR szGameName)//負責查找遊戲進程
{
HANDLE hSnapshot=CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0);
if(hSnapshot==INVALID_HANDLE_VALUE)
return 0;
PROCESSENTRY32 pe={sizeof(pe)};
DWORD dwProcessID=0;
for(BOOL fOK=Process32First(hSnapshot,&pe);fOK;fOK=Process32Next(hSnapshot,&pe)){
if(lstrcmpi(szGameName,pe.szExeFile)==0){
dwProcessID=pe.th32ProcessID;
break;
}
}
CloseHandle(hSnapshot);
return dwProcessID;
}
/////////////////////////////////////////////////
BOOL InjectDll(DWORD dwProcessId)//負責注入,參考自Jeffrey Richter《windows核心編程》
{
CString strText;
char* szLibFileRemote=NULL;
HANDLE hProcess=OpenProcess(PROCESS_CREATE_THREAD|PROCESS_VM_OPERATION|PROCESS_VM_WRITE,FALSE,dwProcessId);
if(hProcess==NULL){
// SetRecord("Open game process failed!");
return FALSE;
}
int cch=lstrlen(szDll)+1;
int cb=cch*sizeof(char);
szLibFileRemote=(char*)VirtualAllocEx(hProcess,NULL,cb,MEM_COMMIT,PAGE_READWRITE);
if(szLibFileRemote==NULL){
// SetRecord("Alloc memory to game process failed!");
CloseHandle(hProcess);
return FALSE;
}
if(!WriteProcessMemory(hProcess,(LPVOID)szLibFileRemote,(LPVOID)szDll,cb,NULL)){
// SetRecord("Write game process memory failed!");
CloseHandle(hProcess);
return FALSE;
}
PTHREAD_START_ROUTINE pfnThreadRtn=(PTHREAD_START_ROUTINE)
GetProcAddress(GetModuleHandle(TEXT("kernel32")),"LoadLibraryA");
if(pfnThreadRtn==NULL){
// SetRecord("Alloc memory to game process failed!");
CloseHandle(hProcess);
return FALSE;
}
HANDLE hThread=CreateRemoteThread(hProcess,NULL,0,pfnThreadRtn, szLibFileRemote,0,NULL);
if(!hThread)
{
// SetRecord("Create remote thread failed!");
CloseHandle(hProcess);
return FALSE;
}
if(hThread!=NULL)
CloseHandle(hThread);
CloseHandle(hProcess);
return TRUE;
}
///////////////////////////操作遊戲內存的DLL就不貼了,大家根據不同的需要各顯神通吧///////////////////////////////////////////////////
這種方法比一個全局消息鉤子麻煩一點,但是優點是顯然易見的:可以在NP啓動前做事情,比如HOOK遊戲函數或做遊戲內存補丁。下面進入NP進程還要用到這種方法。
三、進入NP進程
如果我們對NP有足夠的瞭解,想對它內存補丁一下,來做一些事情,哪又怎樣纔可以進入NP的進程呢?嗯,我們知道遊戲啓動流程是這樣的遊戲Main->GameGuard.des-
>GameMon.des(NP進程),其中GameGuard.des跟GameMon.des進程是遊戲Main通過調用函數CreateProcessA來創建的,上面我們說到有辦法在NP進程(GameMon.des)啓動前將我們的
DLL注入到遊戲進程裏,因此我們可以在GameMon.des啓動前掛鉤(HOOK)CreateProcessA,遊戲創建NP進程時讓NP暫停,但是遊戲本來創建NP進程時就是讓它先暫停的,這步我們
可以省了。下面是遊戲啓動NP(版本900)時傳遞的參數
ApplicationName:C:/驚天動地Cabal Online/GameGuard/GameMon.des
CommandLine:/x01/x58/x6d/xae/x99/x55/x57/x5d/x49/xbe/xe4/xe1/x9b/x14/xe6/x88/x57/x68/x6d/x11/xb9/x36/x73/x38/x71/x1e/x88/x46/xa9/x97/xd4/x3a/x20/x90
/x62/xae/x15/xcd/x4b/xcd/x72/x82/xbd/x75/x0a/x54/xf0/xcc/x01/xad
CreationFlags:4
Directory:
其中的CommandLine好長啊,它要傳遞的參數是:一個被保護進程的pid,兩個Event的Handle,以及當前timeGetTime的毫秒數 (感謝JTR分享)。
CreationFlags:4 查查winbase.h頭文件,發現#define CREATE_SUSPENDED 0x00000004,所以NP進程創建時就是暫停的
在我們替換的CreateProcessA中,先讓遊戲創建NP進程(由於遊戲創建時NP進程本來就是暫停的,所以不用擔心NP的問題),讓遊戲進程暫停(SendMessage就可以了),然後再
向NP進程注入DLL,最後讓遊戲進程繼續。這樣我們的DLL就進入NP進程了。實現起來大概是這樣子
BOOL
WINAPI
MyCreateProcessA(//替換原來的CreateProcessA
LPCSTR lpApplicationName,
LPSTR lpCommandLine,
LPSECURITY_ATTRIBUTES lpProcessAttributes,
LPSECURITY_ATTRIBUTES lpThreadAttributes,
BOOL bInheritHandles,
DWORD dwCreationFlags,
LPVOID lpEnvironment,
LPCSTR lpCurrentDirectory,
LPSTARTUPINFOA lpStartupInfo,
LPPROCESS_INFORMATION lpProcessInformation
)
{
UnhookCreateProcessA();
BOOL fRet=CreateProcessA(lpApplicationName,lpCommandLine,lpProcessAttributes,lpThreadAttributes,bInheritHandles,dwCreationFlags,
lpEnvironment,lpCurrentDirectory,lpStartupInfo,lpProcessInformation);
RehookCreateProcessA();
SendMessage(hwndRecv,//負責注入的窗體句柄
WM_HOOK_NP_CREATE,//自定義消息
(WPARAM)lpProcessInformation->dwProcessId,//把NP進程ID傳給負責注入的主窗體
NULL);
return fRet;
}
四、注意問題
由於我們是在不破解NP的前提下對遊戲內存進行操作,所以一不小心的話,很容易就死遊戲。NP保護了遊戲進程的代碼段,所以在NP啓動後就不要再對其代碼段進行修改,要
補丁或HOOK系統函數這些都要在NP啓動前完成。當然讀寫遊戲的數據段是沒問題的,因爲遊戲本身也不斷進行這樣的操作。
由於Windows對系統底層操作採取了屏蔽的策略,因而對用戶而言,系統變得更爲安全,但這卻給衆多的硬件或者系統軟件開發人員帶來了不小的困難,因爲只要應用中涉及到底層的操作,開發人員就不得不深入到Windows的內核去編寫屬於系統級的設備驅動程序。對並行口的讀寫操作就是如此,由於Windows對系統的保護,絕對不允許任何的直接I/O動作發生,所以必須帶上*.dll、*.sys或*.vxd文件,這些文件用來讓操作系統知道有一個特定的I/O可能會被調用。系統開機後,這些文件中的內容就會加載到內存中,一旦有對應的動作發生,就會引發I/O的實際動作。
本文只是介紹並行口作爲數字I/O口的使用,不在於介紹並行I/O口驅動的編寫。故本文中直接使用由 Yariv Kaplan 編寫的 WinIo 庫,它有如下特點:WinIo 庫通過使用內核模式下設備驅動程序和 其它一些底層編程技巧繞過 Windows 安全保護機制,允許32位 Windows 程序直接對 I/O 口進行操作。
支持Windows 9x、Windows NT、Windows2000、WindowsXP環境;在Windows NT/2000/XP下,允許非 Administrator 用戶應用 WinIo 應用程序;不支持中斷。
注意事項:使用這個類代碼時請確保不要與其它使用常規 Win32 調用操作並行端口的程序發生衝突。
WinIo庫在VC應用程序中的使用
爲了在VC中能正常使用WinIo庫,必須按以下步驟進行配置:
(1):將WinIo.dll、WinIo.sys、WINIO.VXD三個文件放在程序可執行文件所在目錄下;
(2):將WinIo.lib添加到工程中,WinIo.lib及winio.h文件必須放在工程目錄下;
(3):在StdAfx.h頭文件中加入#include "winio.h"語句;
(4):調用InitializeWinIo函數初始化WinIo驅動庫;
(5):調用讀寫IO口的GetPortVal或SetPortVal函數;
(6):調用ShutdownWinIo函數;
在非管理員權限下運行,必須首先完成以下步驟:
(1):將WinIo.dll、WinIo.sys、WINIO.VXD三個文件放在任一WinIo應用程序可執行文件所在目錄下;
(2):以管理員或其它具有管理員權限的用戶身份登陸;
(3):調用InstallWinIoDriver函數,第一個參數設置爲WinIo.sys文件所在目錄路徑,第二個參數設置爲false;
(4):重新啓動系統;
(5):以普通用戶身份登錄,現在可以調用WinIo庫函數;
(6):當不再需要WinIo庫時,可以再次以管理員身份或其它具有管理員權限的用戶身份登陸系統,調用RemoveWinIoDriver卸載該庫;
WinIo庫中幾個函數說明:
(1):初始化與終止
bool _stdcall InitializeWinIo();
void _stdcall ShutdownWinIo();
(2):安裝與卸載
bool _stdcall InstallWinIoDriver(PSTR pszWinIoDriverPath, bool IsDemandLoaded = false);
bool _stdcall RemoveWinIoDriver();
(3):讀寫I/O口
bool _stdcall GetPortVal(WORD wPortAddr, PDWORD pdwPortVal, BYTE bSize);
bool _stdcall SetPortVal(WORD wPortAddr, DWORD dwPortVal, BYTE bSize);
GetPortVal函數從指定端口讀取一個BYTE/WORD/DWORD類型的值;
wPortAddr是指定一個端口地址值;
pdwPortVal爲指向一雙字節型變量的指針,該變量存儲從wPortAddr端口讀取的值;
bSize指定讀取字節數,值可以爲1,2或4。
SetPortVal函數向指定端口寫入一個BYTE/WORD/DWORD類型的值;
除dwPortVal爲輸入參數,表示待寫入外,其餘個變量含義與GetPortVal相似。