遊戲修改器製作教程四:用API讀寫內存

原創 炒鸡嗨客协管徐 2020-02-22 23:06

本教程面向有C\C++基礎的人,最好還要懂一些Windows編程知識
代碼一律用Visual Studio 2013編譯,如果你還在用VC6請趁早丟掉它...
寫這個教程只是爲了讓玩家更好地體驗所愛的單機遊戲,順便學到些逆向知識,我不會用網絡遊戲做示範,請自重

上一章講了用CE讀寫內存,本章講如何自己編程實現

用到的API:

// 讀內存
BOOL WINAPI ReadProcessMemory(
  _In_  HANDLE  hProcess,
  _In_  LPCVOID lpBaseAddress,
  _Out_ LPVOID  lpBuffer,
  _In_  SIZE_T  nSize,
  _Out_ SIZE_T  *lpNumberOfBytesRead
);
// 寫內存
BOOL WINAPI WriteProcessMemory(
  _In_  HANDLE  hProcess,
  _In_  LPVOID  lpBaseAddress,
  _In_  LPCVOID lpBuffer,
  _In_  SIZE_T  nSize,
  _Out_ SIZE_T  *lpNumberOfBytesWritten
);
// 打開進程
HANDLE WINAPI OpenProcess(
  _In_ DWORD dwDesiredAccess,
  _In_ BOOL  bInheritHandle,
  _In_ DWORD dwProcessId
);

本章開始最好學習彙編知識了,也不用太深,能做逆向工程就行了
逆向工程(一):彙編、逆向工程基礎篇 這篇文章講得不錯

另外VS2013(我就不告訴你VC6也有)調試時在菜單-調試-窗口-反彙編可以看到C/C++代碼的對應彙編代碼,多看看就熟悉了

本章以製作東方輝針城修改器的實戰講解讀寫內存

東方輝針城下載地址

分析

首先分析一下目標進程的內存

用CE搜索一下HP地址,找到0x004F5864,然後用分析數據/結構分析一下它附近的內存(其實這些變量並不在一個struct或class內,但看看附近的內存總會有驚喜)

這是一個指向資源信息的指針

然後是關於遊戲數據的

然後提取出有用的數據

取進程ID

要讀寫一個進程的內存首先要打開進程,打開進程需要進程ID(PID)

一般有兩種方式獲取PID,第一種通過窗口句柄:

HWND hwnd = FindWindow(_T("BASE"), NULL);
DWORD pid;
GetWindowThreadProcessId(hwnd, &pid);

第二種通過進程名:

#include <tlhelp32.h>
DWORD GetPid(LPCTSTR name)
{
	DWORD pid = 0;
	HANDLE snapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);

	PROCESSENTRY32 processEntry;
	processEntry.dwSize = sizeof(PROCESSENTRY32);
	// 枚舉進程
	BOOL hasNext = Process32First(snapshot, &processEntry);
	while (hasNext)
	{
		// 比較進程名
		if (_tcsicmp(processEntry.szExeFile, name) == 0)
		{
			pid = processEntry.th32ProcessID;
			break;
		}
		hasNext = Process32Next(snapshot, &processEntry);
	}

	CloseHandle(snapshot);
	return pid;
}

DWORD pid = GetPid(_T("th14.exe"));

打開進程

沒什麼好講的,讀內存需要PROCESS_VM_READ權限,寫內存需要PROCESS_VM_WRITE和PROCESS_VM_OPERATION權限

HANDLE process = OpenProcess(/*PROCESS_ALL_ACCESS*/ PROCESS_VM_WRITE | PROCESS_VM_OPERATION, FALSE, pid);

寫內存

需要注意的是靜態地址也不是不變的,準確來說應該用模塊基址+偏移量來表示,因爲模塊基址可能會變,如果模塊基址會變的話還要取模塊基址(其實就是模塊句柄)
不過大部分exe模塊的基址是不變的(32位默認0x00400000,64位默認0x100000000)

DWORD buffer;
WriteProcessMemory(m_process, (LPVOID)0x004F5864, &(buffer = 8), sizeof(DWORD), NULL);

東方輝針城修改器

然後我們就可以實現這個修改器了,依然用到了MFC(爲了少寫UI代碼)

完整源碼見GitHub

// 處理定時器
void CTH14CheatDlg::OnTimer(UINT_PTR nIDEvent)
{
	HWND hwnd = ::FindWindow(_T("BASE"), NULL);
	if (hwnd == NULL) // 進程已關閉
	{
		if (m_process != NULL)
		{
			// 釋放句柄
			CloseHandle(m_process);
			m_process = NULL;
		}
	}
	else
	{
		// 打開進程
		if (m_process == NULL)
		{
			DWORD pid;
			GetWindowThreadProcessId(hwnd, &pid);
			m_process = OpenProcess(/*PROCESS_ALL_ACCESS*/ PROCESS_VM_WRITE | PROCESS_VM_OPERATION, FALSE, pid);
			if (m_process == NULL)
			{
				CString msg;
				msg.Format(_T("打開進程失敗,錯誤代碼:%u"), GetLastError());
				MessageBox(msg, NULL, MB_ICONERROR);
				CDialogEx::OnTimer(nIDEvent);
				return;
			}
		}

		// 寫內存
		DWORD buffer;
		if (m_lockHp)
		{
			WriteProcessMemory(m_process, (LPVOID)0x004F5864, &(buffer = 8), sizeof(DWORD), NULL);
		}
		if (m_lockBomb)
		{
			WriteProcessMemory(m_process, (LPVOID)0x004F5870, &(buffer = 8), sizeof(DWORD), NULL);
		}
		if (m_lockPower)
		{
			WriteProcessMemory(m_process, (LPVOID)0x004F5858, &(buffer = 400), sizeof(DWORD), NULL);
		}
	}

	CDialogEx::OnTimer(nIDEvent);
}

東方輝針城修改器V2

每秒鐘寫內存的方法看上去太蠢了,而且會影響性能,一勞永逸的方法就是修改代碼

首先找出減少殘機數的指令

地址是0x0044F618,機器碼A3 64 58 4F 00,把它全部改成90(nop指令)

減少bomb的指令

地址0x0041218A,機器碼A3 70 58 4F 00,改成nop

然後是判斷bomb夠不夠用的指令

要修改的是下面的jle指令(小於或等於時跳轉),把它改成nop
地址0x0044DD68,機器碼7E 0E

然後是遊戲剛開始時賦值靈力的

直接改這條指令長度會變長,改上面的mov eax吧,改成賦值400

地址0x00435DAF,原機器碼A3 58 58 4F 00,修改成B8 90 01 00 00

死亡後賦值靈力的

這堆代碼的意思是把靈力讀到ecx寄存器,減少後寫回內存,改成賦值400吧

地址0x0044DDB8,原機器碼03 C8 3B CE 0F 4C CE,修改成B9 90 01 00 00 90 90

實現代碼(完整源碼地址同上):

// 修改關於殘機的代碼
void CTH14CheatDlg::modifyHpCode()
{
	static const BYTE originalCode[] = { 0xA3, 0x64, 0x58, 0x4F, 0x00 };
	static const BYTE modifiedCode[] = { 0x90, 0x90, 0x90, 0x90, 0x90 };
	if (m_process != NULL)
	{
		WriteProcessMemory(m_process, (LPVOID)0x0044F618, m_lockHp ? modifiedCode : originalCode, sizeof(originalCode), NULL);
	}
}

// 修改關於炸彈的代碼
void CTH14CheatDlg::modifyBombCode()
{
	static const BYTE originalCode1[] = { 0xA3, 0x70, 0x58, 0x4F, 0x00 };
	static const BYTE modifiedCode1[] = { 0x90, 0x90, 0x90, 0x90, 0x90 };
	static const BYTE originalCode2[] = { 0x7E, 0x0E };
	static const BYTE modifiedCode2[] = { 0x90, 0x90 };
	if (m_process != NULL)
	{
		WriteProcessMemory(m_process, (LPVOID)0x0041218A, m_lockBomb ? modifiedCode1 : originalCode1, sizeof(originalCode1), NULL);
		WriteProcessMemory(m_process, (LPVOID)0x0044DD68, m_lockBomb ? modifiedCode2 : originalCode2, sizeof(originalCode2), NULL);
	}
}

// 修改關於靈力的代碼
void CTH14CheatDlg::modifyPowerCode()
{
	static const BYTE originalCode1[] = { 0xA3, 0x58, 0x58, 0x4F, 0x00 };
	static const BYTE modifiedCode1[] = { 0xB8, 0x90, 0x01, 0x00, 0x00 };
	static const BYTE originalCode2[] = { 0x03, 0xC8, 0x3B, 0xCE, 0x0F, 0x4C, 0xCE };
	static const BYTE modifiedCode2[] = { 0xB9, 0x90, 0x01, 0x00, 0x00, 0x90, 0x90 };
	if (m_process != NULL)
	{
		WriteProcessMemory(m_process, (LPVOID)0x00435DAF, m_lockPower ? modifiedCode1 : originalCode1, sizeof(originalCode1), NULL);
		WriteProcessMemory(m_process, (LPVOID)0x0044DDB8, m_lockPower ? modifiedCode2 : originalCode2, sizeof(originalCode2), NULL);
		if (m_lockPower)
		{
			DWORD buffer;
			WriteProcessMemory(m_process, (LPVOID)0x004F5858, &(buffer = 400), sizeof(DWORD), NULL);
		}
	}
}
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

HTML頁面關於高分屏的設置

記錄一個HTML頁面關於高分屏的踩到的坑。 所謂高分屏,就是在同樣大小的屏幕面積上顯示更多的像素點,這樣可以呈現更好的可視效果的屏幕。例如,我的筆記本是15.6寸,理論上它的屏幕分辨率應該是1920 x 1080像素,但實際上我的筆記本屏幕

harlee44 2024-05-04 14:31:10

DAPPER 事務 TRANSACTION

https://www.cnblogs.com/friend/p/16754184.html\   public async Task<int> Save(long moldProducedProductId, List<MoldStan

老飛飛 2024-05-04 14:29:20

[MDP.AspNetCore] 實作OAuth協定SSO Server/Client專案範例

團隊負責的系統變多的時候,使用SSO Server提供統一身分驗證,讓團隊只需要維護一份用戶資料及一個身分驗證服務。除了減少團隊維護成本之外,也讓使用者不用記憶多個站臺的帳號密碼,提供更好的使用者體驗。 本篇文章,介紹使用MDP.AspNe

Clark159 2024-05-04 14:23:49

Redis官方開源的可視化管理工具 - RedisInsight

前言 今天大姚給大家推薦一款Redis官方開源的可視化管理工具:RedisInsight。 Redis介紹 Redis (Remote Dictionary Server) 是一個使用 C 語言編寫的,開源的 (遵守 BSD 協議) 高性

追逐時光 2024-05-04 14:21:49

Python 潮流週刊#49:谷歌裁員 Python 團隊,微軟開源 MS-DOS 4.0

本週刊由 Python貓 出品,精心篩選國內外的 250+ 信息源,爲你挑選最值得分享的文章、教程、開源項目、軟件工具、播客和視頻、熱門話題等內容。願景:幫助所有讀者精進 Python 技術,並增長職業和副業的收入。 本期週刊分享了 12

豌豆花下貓 2024-05-04 14:19:09

HarmonyOS 垂直方向內容滾動條實現

概述 Swiper組件是一個用戶界面元素,用於在垂直方向上滾動內容。它通過遍歷一個數據集合,爲每一項創建一個可滾動的文本項。 代碼實現 以下是Swiper組件的實現代碼: Swiper(){ ForEach(searchSwiper,

西北野狼 2024-05-04 14:05:08

基於SSM的倉庫進銷存系統畢業設計論文【範文】

摘要 隨着信息技術的不斷髮展,企業對於倉儲管理的要求日益提高。爲了提升倉庫管理的自動化和智能化水平,本研究設計並實現了一個基於Spring、Spring MVC和MyBatis (SSM) 框架的在倉庫進銷存系統。該系統旨在爲企業提供一個高

Lucky帥小武 2024-05-04 14:03:17

基於SSM的在線考試系統畢業設計論文【範文】

摘要 隨着信息技術的飛速發展,網絡教學逐漸成爲教育行業的重要組成部分。在線考試系統作爲網絡教學平臺的關鍵模塊之一,其便捷性、高效性和公正性受到廣泛關注,基於SSM框架的在線考試系統旨在提供一個穩定、可靠並且易於維護的在線考試環境,以滿足現代

Lucky帥小武 2024-05-04 14:03:17

CSS & JS Effect – 用 wheel 模擬 scroll

前言 在 用 JavaScript 實現 position sticky 文章中,我提到了用 wheel 來模擬 scroll 效果。 這篇來說說具體怎麼實現,挺簡單的哦。   Preparation table.html <div c

興傑 2024-05-04 13:59:16

python包:torchsummary

利用torchsummary觀察每一層的情況   1)按照方式    pip install torchsummary     2)

wenluderen 2024-05-04 13:56:56

Windows使用WSL2及docker(Ubuntu22.04 LTS)

WSL2初始化 1.換源 #1 cp /etc/apt/sources.list /etc/apt/sources.list.bak #2 vim /etc/apt/sources.list # 清空原源並替換成以下源 # deb-src

臨冬城城主 2024-05-04 13:52:56

學習Mysql 你應該懂得

  1、日誌系統:平時在設計系統時可以借鑑一下 參考下面文章 https://www.cnblogs.com/ScarecrowAnBird/p/18163444 2、索引:提高性能利器   3、鎖:提高併發能力小絕招 https://ww

落葉已歸根 2024-05-04 13:45:25

mysql 鎖,和加鎖機制

背景間隙鎖是MySQL在RR可重複讀隔離級別下用來修復幻讀才引入的一種鎖,間隙鎖也只有在RR可重複讀隔離級別下才會存在,如果是在RC讀已提交隔離級別下,是沒有間隙鎖的存在的。另外,我們也知道,幻讀這種現象也只有在當前讀的時候纔會發生,在一致

落葉已歸根 2024-05-04 13:45:25

深入 Django 模型層:數據庫設計與 ORM 實踐指南

title: 深入 Django 模型層:數據庫設計與 ORM 實踐指南 date: 2024/5/3 18:25:33 updated: 2024/5/3 18:25:33 categories: 後端開發 tags: Djang

Mifen 2024-05-04 13:38:24

[轉帖]Introducing Exadata Cloud@Customer X10M

https://blogs.oracle.com/database/post/introducing-exadata-cloudcustomer-x10m     Extreme Scale with Dramatically

濟南小老虎 2024-05-04 13:29:33