内容来源于:易道云信息技术研究院VIP课
上一个内容:文字资源读取类的C++还原-CSDN博客
码云地址(master分支):https://gitee.com/dye_your_fingers/sro_-ex.git
码云版本号:878db7708de09b448010ef54526fe615bdc4a994
代码下载地址,在 SRO_EX 目录下,文件名为:SRO_Ex-游戏公告功能的逆向分析与测试.zip
链接:https://pan.baidu.com/s/1W-JpUcGOWbSJmMdmtMzYZg
提取码:q9n5
--来自百度网盘超级会员V4的分享
HOOK引擎,文件名为:黑兔sdk.zip
链接:https://pan.baidu.com/s/1IB-Zs6hi3yU8LC2f-8hIEw
提取码:78h8
--来自百度网盘超级会员V4的分享
以 文字资源读取类的C++还原-CSDN博客它的代码为基础进行修改
游戏中的公告弹框:接下来就去找它,然后封装到c++类里面
首先它弹框的时候肯定会读取字符串,所以通过 Cheat Engine 搜索 中间有障碍物 这个关键字,然后就找到了四个地址:
为了确定哪一个是,对它们的值进行修改,它显示的内容对应第四个地址
然后找出是什么访问了它
然后有这么些
然后记入详细信息
然后打开x96dbg,然后在71DE07位置下一个条件断点,如下图条件
然后回到游戏,再次触发
然后ctrl + f9 再按f8,来到上一层
然后再来到上一层
这里游戏掉线了,导致eax的值变了,下图是重新登陆之后的值
继续来到上层,在882CB8位置打断点,研究一下
它停下来的,并且没有其它位置调用,然后下图红框位置的值改成14B2F088
然后就变成了 有障碍物。。。
游戏中也正常显示,现在这里有两种可能性,一种是eax这个函数是用来读取数据或者组装数据的,一种是显示数据
这里游戏又断开连接了,下方是从新连接之后的
把eax这个函数开头写成ret 4,看看是否还会正常显示
它可以正常显示,但显示的内容,好像不一样
把eax改的开头恢复,就会显示通过Cheat Engine改的数据,所以eax这个函数是用来处理字符串的,所以eax函数只是显示功能中的一环
然后调用eax函数的函数很大,这时就很麻烦,然后理一下思路,首先eax函数是处理数据,然后它下面就肯定有显示 或者 管理 或其它的,正常来讲这么复杂的东西,一定会封装成一个函数,就是在游戏里要显示公告,每次都要写处理数据显示公告的代码,很显然不可能,所以它一定会封装成函数,通过给函数传参数来显示公告,
所以接下来要看eax在什么地方来的:
熟悉的代码,上一个内容里,对它进行了还原(sro_string结构体)
通过下方也可以看出是,上一个内容中还原的sro_string结构体,并且它是传递进来的
然后也就是说 882C80函数,完整了,字符串的处理与显示弹框功能,也就是上面说的那个封装
然后看一下它的上一层是怎样调用的
下图红框的返回,是ret 8,所以它有两个参数,也就是push 1,push 23,是它的参数,然后push eax是882C80函数的参数,也就是我们的sro_string结构体,98F3A0函数的返回值是一个类对象,因为调用完它紧接着是mov ecx, eax,在调用函数之前给ecx复制是thiscall,也就是调用一个类函数的写法,add ecx, 370这种操作一般是继承的操作
然后再来到它的上一层,它通过1256E3C位置得到了一个类对象,然后push eax然后调用848580函数显示弹框,
然后再把848580函数开头,改成 ret 4看看游戏中是否还会显示弹框,效果就是显示不出弹框了,所以就找到了游戏中显示弹框的函数
通过模仿调用 0x848580 函数成功显示出公告弹框,使用通过获取游戏中的sro_string结构
使用自己创建的sro_string结构
GameEx.cpp文件的修改,修改了AutoHelper函数,AutoHelper函数是用来拦截自动药水设定按钮的
#include "pch.h"
#include "GameEx.h"
#include "htdHook2.h"
#include "GameProtect.h"
#include "extern_all.h"
extern int client;
extern GameProtect* _protect;
extern unsigned _stdcall GetFunctionAddress(int index);
htd::hook::htdHook2 hooker;
#include <windows.h>
#include<stdio.h>
#include<TlHelp32.h>
/**
声明要拦截的函数地址
*/
auto h = GetModuleHandle(NULL);
DWORD address = (DWORD)h;
DWORD addRExit = address + 0x88C77E;
size_t 被拦截修改的函数的地址 = (size_t)addRExit;
LONG NTAPI 异常回调(struct _EXCEPTION_POINTERS* Excep)
{
printf("异常回调1\n");
/**
判断出异常的地方是否为 我们修改的地方
*/
if ((size_t)Excep->ExceptionRecord->ExceptionAddress == 被拦截修改的函数的地址) {
//const char* szStr = "nei Rong Bei Xiu Gai";
//*(DWORD*)(Excep->ContextRecord->Esp + 0x8) = (DWORD)szStr;
//szStr = "biao Ti Bei Xiu Gai";
//*(DWORD*)(Excep->ContextRecord->Esp + 0xC) = (DWORD)szStr;
AfxMessageBox(L"游戏退出!");
DWORD* _esp = (DWORD*)Excep->ContextRecord->Esp;
DWORD _val = _esp[1];
if (_val == 0x1035D0C) {
AfxMessageBox(L"游戏退出2!");
auto hMuls = OpenSemaphore(SEMAPHORE_ALL_ACCESS, FALSE, L"system_seamp");
if (hMuls) ReleaseSemaphore(hMuls, 1, 0);
ExitProcess(0);
}
Excep->ContextRecord->Eip = *(DWORD *) Excep->ContextRecord->Esp;
Excep->ContextRecord->Esp += 8;
return EXCEPTION_CONTINUE_EXECUTION;
}
else {
/**
防止被其它地方修改了函数地址
*/
Excep->ContextRecord->Dr0 = 被拦截修改的函数的地址;
Excep->ContextRecord->Dr7 = 0x405;
return EXCEPTION_CONTINUE_SEARCH;
}
}
VOID 设置线程的dr寄存器(HANDLE 线程句柄) {
printf("设置线程的dr寄存器1\n");
CONTEXT ctx;
ctx.ContextFlags = CONTEXT_ALL;
GetThreadContext(线程句柄, &ctx);
ctx.Dr0 = 被拦截修改的函数的地址;
ctx.Dr7 = 0x1;
SetThreadContext(线程句柄, &ctx);
printf("设置线程的dr寄存器2\n");
}
VOID 使用dr寄存器拦截修改函数() {
printf("使用dr寄存器拦截修改函数1\n");
HANDLE 线程快照句柄 = CreateToolhelp32Snapshot(TH32CS_SNAPTHREAD, GetCurrentProcessId());
if (线程快照句柄 == INVALID_HANDLE_VALUE) {
printf("线程快照创建失败");
return;
}
THREADENTRY32* 线程结构体 = new THREADENTRY32;
线程结构体->dwSize = sizeof(THREADENTRY32);
/**
Thread32First获取快照中第一个线程
返回值bool类型
*/
// Thread32First(线程快照句柄, &线程结构体);
HANDLE 线程句柄 = NULL;
printf("使用dr寄存器拦截修改函数2\n");
/**
Thread32Next获取线程快照中下一个线程
*/
while (Thread32Next(线程快照句柄, 线程结构体))
{
if (线程结构体->th32OwnerProcessID == GetCurrentProcessId()) {
printf("使用dr寄存器拦截修改函数3\n");
线程句柄 = OpenThread(THREAD_ALL_ACCESS, FALSE, 线程结构体->th32ThreadID);
printf("使用dr寄存器拦截修改函数4\n");
设置线程的dr寄存器(线程句柄);
printf("使用dr寄存器拦截修改函数5\n");
CloseHandle(线程句柄);
}
}
}
bool AutoHelper(HOOKREFS2) {
// 使用通过获取游戏中的sro_string结构
//auto read = _pgamebase->SRO_Res->ReadTitle((wchar_t*)0xEBC968);
// 使用自己创建的sro_string结构
sro_string str;
str.Ptitle = L"您还没有开通VIP服务,只能使用普通药水辅助功能,开通VIP可以使用更高级的自动化助手功能!";
str.lenth = 47;
str.size = 48 * 2 + 1;
auto read = &str;
unsigned* _ecx = (unsigned*)0x1256E3C;
unsigned readEcx = _ecx[0];
unsigned _call = 0x848580;
_asm {
mov ecx, readEcx
push read
call _call
}
bool vip = false;
if (vip)return false;
else return true;
}
bool ExitGame(HOOKREFS2) {
auto read = _pgamebase->SRO_Res->ReadTitle((wchar_t*)0xEBC968);
CString txt;
txt.Format(L"------ %s", read->wcstr());
read->Ptitle = L"自动助手 [VIP] (%s)";
// AfxMessageBox(txt);
// if (_protect->CheckDebugByNT())AfxMessageBox(L"检测到了DEBUG程序的存在");
// AfxMessageBox(L"游戏退出2222!");
DWORD* _esp = (DWORD*)_ESP;
DWORD _val = _esp[1];
if (_val == 0x1035D0C) {
// AfxMessageBox(L"游戏退出!");
auto hMuls = OpenSemaphore(SEMAPHORE_ALL_ACCESS, FALSE, L"system_seamp");
if (hMuls) ReleaseSemaphore(hMuls, 1, 0);
client--;
ExitProcess(0);
}
return true;
}
GameEx::GameEx()
{
// AfxMessageBox(L"注册hook!");
// auto h = GetModuleHandle(NULL);
// DWORD address = (DWORD)h;
// DWORD* addRExit = (DWORD*)(address + 0x88C77E);
/**addRExit = 0;*/
// CString txt;
// txt.Format(L"addRExit[0]D:%d,addRExit[0]X:%X,addRExit:%X", addRExit[0], addRExit[0], addRExit);
// AfxMessageBox(txt);
// hooker.SetHook((LPVOID)addRExit, 3, ExitGame);
//AddVectoredExceptionHandler(1, 异常回调);
//设置线程的dr寄存器(GetCurrentThread());
}
void GameEx::InitInterface()
{
unsigned addr_cps = GetFunctionAddress(0);
hooker.SetHook((LPVOID)(addr_cps + 0x30 - 2), 0x3, ExitGame);
hooker.SetHook((LPVOID)(addr_cps + 0x51 - 2), 0x3, ExitGame);
unsigned addr_autohelper = GetFunctionAddress(1);
hooker.SetHook((LPVOID)(addr_autohelper), 0x03, AutoHelper, (LPVOID)(addr_autohelper + 0x90));
}
