1、首先我們要知道現在鼠標的位置(爲了好還原現在鼠標的位置)所以我們就要用到API函數GetCursorPos,它的使用方法如下:
BOOL GetCursorPos(
LPPOINT lpPoint // address of structure for cursor position
);
2、我們把鼠標的位置移到要到人物走到的地方,我們就要用到SetCursorPos函數來移動鼠標位置,它的使用方法如下:
BOOL SetCursorPos(
int X, // horizontal position
int Y // vertical position
);
3、模擬鼠標發出按下和放開的動作,我們要用到mouse_event函數來實現,具休使用方法用下:
VOID mouse_event(
DWORD dwFlags, // flags specifying various motion/click variants
DWORD dx, // horizontal mouse position or position change
DWORD dy, // vertical mouse position or position change
DWORD dwData, // amount of wheel movement
DWORD dwExtraInfo // 32 bits of application-defined information
);
在它的dwFlags處,可用的事件很多如移動MOUSEEVENTF_MOVE,左鍵按下MOUSEEVENTF_LEFTDOWN,左鍵放開MOUSEEVENTF_LEFTUP,具體的東東還是查一下MSDN吧~~~~~
好了,有了以前的知識,我們就可以來看看人物移走是怎麼實現的了:
getcursorpos(point);
setcursorpos(ranpoint(80,windowX),ranpoint(80,windowY));//ranpoint是個自制的隨機座標函數
mouse_event(MOUSEEVENTF_LEFTDOWN,0,0,0,0);
mouse_event(MOUSEEVENTF_LEFTUP,0,0,0,0);
setcursorpos(point.x,point.y);
看了以上的代碼,是不是覺得人物的遊走很簡單啦~~,舉一仿三,還有好多好東東可以用這個技巧實現(我早就說過,TMD,這是垃圾外掛的做法,相信了吧~~~),接下來,再看看遊戲裏面自動攻擊的做法吧(必需遊戲中攻擊支持快捷鍵的),道理還是一樣的,只是用的API不同罷了~~~,這回我們要用到的是keybd_event函數,其用法如下:
VOID keybd_event(
BYTE bVk, // virtual-key code
BYTE bScan, // hardware scan code
DWORD dwFlags, // flags specifying various function options
DWORD dwExtraInfo // additional data associated with keystroke
);
我們還要知道掃描碼不可以直接使用,要用函數MapVirtualKey把鍵值轉成掃描碼,MapVirtualKey的具體使用方法如下:
UINT MapVirtualKey(
UINT uCode, // virtual-key code or scan code
UINT uMapType // translation to perform
);
好了,比說此快接鍵是CTRL+A,接下來讓我們看看實際代碼是怎麼寫的:
keybd_event(VK_CONTROL,mapvirtualkey(VK_CONTROL,0),0,0);
keybd_event(65,mapvirtualkey(65,0),0,0);
keybd_event(65,mapvirtualkey(65,0),keyeventf_keyup,0);
keybd_event(VK_CONTROL,mapvirtualkey(VK_CONTROL,0),keyeventf_keyup,0);
首先模擬按下了CTRL鍵,再模擬按下A鍵,再模擬放開A鍵,最後放開CTRL鍵,這就是一個模擬按快捷鍵的週期。
(看到這裏,差不多對簡易外掛有了一定的瞭解了吧~~~~做一個試試?如果你舉一仿三還能有更好的東東出來,這就要看你的領悟能力了~~,不過不要高興太早這只是纔開始,以後還有更復雜的東東等着你呢~~)
上回我們對動作式外掛做了一個解析,動作式是最簡單的外掛,現在我們帶來看看,比動作式外掛更進一步的外掛——本地修改式外掛的整個製作過程進行一個詳細的分解。
具我所知,本地修改式外掛最典型的應用就是在“精靈”遊戲上面,因爲我在近一年前(“精靈”還在測試階段),我所在的公司裏有很多同事玩“精靈”,於是我看了一下游戲的數據處理方式,發現它所發送到服務器上的信息是存在於內存當中(我看後第一個感受是:修改這種遊戲和修改單機版的遊戲沒有多大分別,換句話說就是在他向服務器提交信息之前修改了內存地址就可以了),當時我找到了地址於是修改了內存地址,果然,按我的想法修改了地址,讓系統自動提交後,果然成功了~~~~~,後來“精靈”又改成了雙地址校檢,內存校檢等等,在這裏我就不廢話了~~~~,OK,我們就來看看這類外掛是如何製作的:
在做外掛之前我們要對Windows的內存有個具體的認識,而在這裏我們所指的內存是指系統的內存偏移量,也就是相對內存,而我們所要對其進行修改,那麼我們要對幾個Windows API進行了解,OK,跟着例子讓我們看清楚這種外掛的製作和API的應用(爲了保證網絡遊戲的正常運行,我就不把找內存地址的方法詳細解說了):
1、首先我們要用FindWindow,知道遊戲窗口的句柄,因爲我們要通過它來得知遊戲的運行後所在進程的ID,下面就是FindWindow的用法:
HWND FindWindow(
LPCTSTR lpClassName, // pointer to class name
LPCTSTR lpWindowName // pointer to window name
);
2、我們GetWindowThreadProcessId來得到遊戲窗口相對應進程的進程ID,函數用法如下:
DWORD GetWindowThreadProcessId(
HWND hWnd, // handle of window
LPDWORD lpdwProcessId // address of variable for process identifier
);
3、得到遊戲進程ID後,接下來的事是要以最高權限打開進程,所用到的函數OpenProcess的具體使用方法如下:
HANDLE OpenProcess(
DWORD dwDesiredAccess, // access flag
BOOL bInheritHandle, // handle inheritance flag
DWORD dwProcessId // process identifier
);
在dwDesiredAccess之處就是設存取方式的地方,它可設的權限很多,我們在這裏使用只要使用PROCESS_ALL_ACCESS 來打開進程就可以,其他的方式我們可以查一下MSDN。
4、打開進程後,我們就可以用函數對存內進行操作,在這裏我們只要用到WriteProcessMemory來對內存地址寫入數據即可(其他的操作方式比如說:ReadProcessMemory等,我在這裏就不一一介紹了),我們看一下WriteProcessMemory的用法:
BOOL WriteProcessMemory(
HANDLE hProcess, // handle to process whose memory is written to
LPVOID lpBaseAddress, // address to start writing to
LPVOID lpBuffer, // pointer to buffer to write data to
DWORD nSize, // number of bytes to write
LPDWORD lpNumberOfBytesWritten // actual number of bytes written
);
5、下面用CloseHandle關閉進程句柄就完成了。
這就是這類遊戲外掛的程序實現部份的方法,好了,有了此方法,我們就有了理性的認識,我們看看實際例子,提升一下我們的感性認識吧,下面就是XX遊戲的外掛代碼,我們照上面的方法對應去研究一下吧:
const
ResourceOffset: dword = $004219F4;
resource: dword = 3113226621;
ResourceOffset1: dword = $004219F8;
resource1: dword = 1940000000;
ResourceOffset2: dword = $0043FA50;
resource2: dword = 1280185;
ResourceOffset3: dword = $0043FA54;
resource3: dword = 3163064576;
ResourceOffset4: dword = $0043FA58;
resource4: dword = 2298478592;
var
hw: HWND;
pid: dword;
h: THandle;
tt: Cardinal;
begin
hw := FindWindow('XX', nil);
if hw = 0 then
Exit;
GetWindowThreadProcessId(hw, @pid);
h := OpenProcess(PROCESS_ALL_ACCESS, false, pid);
if h = 0 then
Exit;
if flatcheckbox1.Checked=true then
begin
WriteProcessMemory(h, Pointer(ResourceOffset), @Resource, sizeof(Resource), tt);
WriteProcessMemory(h, Pointer(ResourceOffset1), @Resource1, sizeof(Resource1), tt);
end;
if flatcheckbox2.Checked=true then
begin
WriteProcessMemory(h, Pointer(ResourceOffset2), @Resource2, sizeof(Resource2), tt);
WriteProcessMemory(h, Pointer(ResourceOffset3), @Resource3, sizeof(Resource3), tt);
WriteProcessMemory(h, Pointer(ResourceOffset4), @Resource4, sizeof(Resource4), tt);
end;
MessageBeep(0);
CloseHandle(h);
close;
這個遊戲是用了多地址對所要提交的數據進行了校驗,所以說這類遊戲外掛製作並不是很難,最難的是要找到這些地址。
--------------------------------------------------------------------------------
我一直沒有搞懂製作加速外掛是怎麼一回事,直到前不久又翻出來了2001年下半期的《程序員合訂本》中《“變速齒輪”研究手記》重新回味了一遍,纔有了一點點開悟,隨後用Delphi重寫了一遍,下面我就把我的心得說給大家聽聽,並且在此感謝《“變速齒輪”研究手記》作者褚瑞大虲給了提示。廢話我就不多說了,那就開始神奇的加速型外掛體驗之旅吧!
原本我一直以爲加速外掛是針對某個遊戲而寫的,後來發現我這種概念是不對的,所謂加速外掛其實是修改時鐘頻率達到加速的目的。
以前DOS時代玩過編程的人就會馬上想到,這很簡單嘛不就是直接修改一下8253寄存器嘛,這在以前DOS時代可能可以行得通,但是windows則不然。windows是一個32位的操作系統,並不是你想改哪就改哪的(微軟的東東就是如此霸氣,說不給你改就不給你改^_^),但要改也不是不可能,我們可以通過兩種方法來實現:第一是寫一個硬件驅動來完成,第二是用Ring0來實現(這種方法是CIH的作者陳盈豪首用的,它的原理是修改一下IDT表->創建一箇中斷門->進入Ring0->調用中斷修改向量,但是沒有辦法只能用ASM彙編來實現這一切*_*,做爲高級語言使用者慘啦!),用第一種方法用點麻煩,所以我們在這裏就用第二種方法實現吧~~~
在實現之前我們來理一下思路吧:
1、我們首先要寫一個過程在這個過程裏嵌入彙編語言來實現修改IDE表、創建中斷門,修改向量等工作
2、調用這個過程來實現加速功能
好了,現在思路有了,我們就邊看代碼邊講解吧:
首先我們建立一個過程,這個過程就是本程序的核心部份:
procedure SetRing(value:word); stdcall;
const ZDH = $03; // 設一箇中斷號
var
IDT : array [0..5] of byte; // 保存IDT表
OG : dword; //存放舊向量
begin
asm
push ebx
sidt IDT //讀入中斷描述符表
mov ebx, dword ptr [IDT+2] //IDT表基地址
add ebx, 8*ZDH //計算中斷在中斷描述符表中的位置
cli //關中斷
mov dx, word ptr [ebx+6]
shl edx, 16d
mov dx, word ptr [ebx]
mov [OG], edx
mov eax, offset @@Ring0 //指向Ring0級代碼段
mov word ptr [ebx], ax //低16位,保存在1,2位
shr eax, 16d
mov word ptr [ebx+6], ax //高16位,保存在6,7位
int ZDH //中斷
mov ebx, dword ptr [IDT+2] //重新定位
add ebx, 8*ZDH
mov edx, [OG]
mov word ptr [ebx], dx
shr edx, 16d
mov word ptr [ebx+6], dx //恢復被改了的向量
pop ebx
jmp @@exitasm //到exitasm處
@@Ring0: //Ring0,這個也是最最最核心的東東
mov al,$34 //寫入8253控制寄存器
out $43,al
mov ax,value //寫入定時值
out $40,al //寫定時值低位
mov al,ah
out $40,al //寫定時值高位
iretd //返回
@@exitasm:
end;
end;
最核心的東西已經寫完了,大部份讀者是知其然不知其所以然吧,呵呵,不過不知其所以然也然。下面我們就試着用一下這個過程來做一個類似於“變速齒輪”的一個東東吧!
先加一個窗口,在窗口上放上一個trackbar控件把其Max設爲20,Min設爲1,把Position設爲10,在這個控件的Change事件裏寫上:
SetRing(strtoint('$'+inttostr(1742+(10-trackbar1.Position)*160)));
因爲windows默認的值爲$1742,所以我們把1742做爲基數,又因爲值越小越快,反之越慢的原理,所以寫了這樣一個公式,好了,這就是“變速齒輪”的一個Delphi+ASM版了(只適用於win9X),呵呵,試一下吧,這對你幫助會很大的,呵呵。
在win2000裏,我們不可能實現在直接對端口進行操作,Ring0也失了效,有的人就會想到,我們可以寫驅動程序來完成呀,但在這裏我告訴你,windows2000的驅動不是一個VxD就能實現的,像我這樣的低手是寫不出windows所用的驅動WDM的,沒辦法,我只有藉助外力實現了,ProtTalk就是一個很好的設備驅動,他很方便的來實現對低層端口的操作,從而實現加速外掛。
1、我們首先要下一個PortTalk驅動,他的官方網站是http://www.beyondlogic.org
2、我們要把裏面的prottalk.sys拷貝出來。
3、建立一個Protalk.sys的接口(我想省略了,大家可以上http://www.freewebs.com/liuyue/porttalk.pas下個pas文件自己看吧)
4、實現加速外掛。
本來就篇就是補充篇原理我也不想講太多了,下面就講一下這程序的實現方法吧,如果說用ProtTalk來操作端口就容易多了,比win98下用ring權限操作方便。
1、新建一個工程,把剛剛下的接口文件和Protalk.sys一起拷到工程文件保存的文件夾下。
2、我們在我們新建的工程加入我們的接口文件
uses
windows,ProtTalk……
3、我們建立一個過程
procedure SetRing(value:word);
begin
if not OpenPortTalk then exit;
outportb($43,$34);
outportb($40,lo(Value));
outprotb($40,hi(value));
ClosePortTalk;
end;
4、先加一個窗口,在窗口上放上一個trackbar控件把其Max設爲20,Min設爲1,把Position設爲10,在這個控件的Change事件裏寫上:
SetRing(strtoint('$'+inttostr(1742+(10-trackbar1.Position)*160)));
--------------------------------------------------------------------------------
網絡遊戲的封包技術是大多數編程愛好者都比較關注的關注的問題之一,在這一篇裏就讓我們一起研究一下這一個問題吧。
別看這是封包這一問題,但是涉及的技術範圍很廣範,實現的方式也很多(比如說APIHOOK,VXD,Winsock2都可以實現),在這裏我們不可能每種技術和方法都涉及,所以我在這裏以Winsock2技術作詳細講解,就算作拋磚引玉。
由於大多數讀者對封包類編程不是很瞭解,我在這裏就簡單介紹一下相關知識:
APIHooK:
由於Windows的把內核提供的功能都封裝到API裏面,所以大家要實現功能就必須通過API,換句話說就是我們要想捕獲數據封包,就必須先要得知道並且捕獲這個API,從API裏面得到封包信息。
VXD:
直接通過控制VXD驅動程序來實現封包信息的捕獲,不過VXD只能用於win9X。
winsock2:
winsock是Windows網絡編程接口,winsock工作在應用層,它提供與底層傳輸協議無關的高層數據傳輸編程接口,winsock2是winsock2.0提供的服務提供者接口,但只能在win2000下用。
好了,我們開始進入winsock2封包式編程吧。
在封包編程裏面我準備分兩個步驟對大家進行講解:1、封包的捕獲,2、封包的發送。
首先我們要實現的是封包的捕獲:
Delphi的封裝的winsock是1.0版的,很自然winsock2就用不成。如果要使用winsock2我們要對winsock2在Delphi裏面做一個接口,纔可以使用winsock2。
1、如何做winsock2的接口?
1)我們要先定義winsock2.0所用得到的類型,在這裏我們以WSA_DATA類型做示範,大家可以舉一仿三的來實現winsock2其他類型的封裝。
我們要知道WSA_DATA類型會被用於WSAStartup(wVersionRequired: word; var WSData: TWSAData): Integer;,大家會發現WSData是引用參數,在傳入參數時傳的是變量的地址,所以我們對WSA_DATA做以下封裝:
const
WSADESCRIPTION_LEN = 256;
WSASYS_STATUS_LEN = 128;
type
PWSA_DATA = ^TWSA_DATA;
WSA_DATA = record
wVersion: Word;
wHighVersion: Word;
szDescription: array[0..WSADESCRIPTION_LEN] of Char;
szSystemStatus: array[0..WSASYS_STATUS_LEN] of Char;
iMaxSockets: Word;
iMaxUdpDg: Word;
lpVendorInfo: PChar;
end;
TWSA_DATA = WSA_DATA;
2)我們要從WS2_32.DLL引入winsock2的函數,在此我們也是以WSAStartup爲例做函數引入:
function WSAStartup(wVersionRequired: word; var WSData: TWSAData): Integer; stdcall;
implementation
const WinSocket2 = 'WS2_32.DLL';
function WSAStartup; external winsocket name 'WSAStartup';
通過以上方法,我們便可以對winsock2做接口,下面我們就可以用winsock2做封包捕獲了,不過首先要有一塊網卡。因爲涉及到正在運作的網絡遊戲安全問題,所以我們在這裏以IP數據包爲例做封包捕獲,如果下面的某些數據類型您不是很清楚,請您查閱MSDN:
1)我們要起動WSA,這時個要用到的WSAStartup函數,用法如下:
INTEGER WSAStartup(
wVersionRequired: word,
WSData: TWSA_DATA
);
2)使用socket函數得到socket句柄,m_hSocket:=Socket(AF_INET, SOCK_RAW, IPPROTO_IP); 用法如下:
INTEGER socket(af: Integer,
Struct: Integer,
protocol: Integer
);
m_hSocket:=Socket(AF_INET, SOCK_RAW, IPPROTO_IP);在程序裏m_hSocket爲socket句柄,AF_INET,SOCK_RAW,IPPROTO_IP均爲常量。
3)定義SOCK_ADDR類型,跟據我們的網卡IP給Sock_ADDR類型附值,然後我們使用bind函數來綁定我們的網卡,Bind函數用法如下:
Type
IN_ADDR = record
S_addr : PChar;
End;
Type
TSOCK_ADDR = record
sin_family: Word;
sin_port: Word;
sin_addr : IN_ADDR
sin_zero: array[0..7] of Char;
End;
var
LocalAddr:TSOCK_ADDR;
LocalAddr.sin_family: = AF_INET;
LocalAddr.sin_port: = 0;
LocalAddr.sin_addr.S_addr: = inet_addr('192.168.1.1'); //這裏你自己的網卡的IP地址,而inet_addr這個函數是winsock2的函數。
bind(m_hSocket, LocalAddr, sizeof(LocalAddr));
4)用WSAIoctl來註冊WSA的輸入輸出組件,其用法如下:
INTEGER WSAIoctl(s:INTEGER,
dwIoControlCode : INTEGER,
lpvInBuffer :INTEGER,
cbInBuffer : INTEGER,
lpvOutBuffer : INTEGER,
cbOutBuffer: INTEGER,
lpcbBytesReturned : INTEGER,
lpOverlapped : INTEGER,
lpCompletionRoutine : INTEGER
);
5)下面做死循環,在死循環塊裏,來實現數據的接收。但是徇環中間要用Sleep()做延時,不然程序會出錯。
6)在循環塊裏,用recv函數來接收數據,recv函數用法如下:
INTEGER recv (s : INTEGER,
buffer:Array[0..4095] of byte,
length : INTEGER,
flags : INTEGER,
);
7)在buffer裏就是我們接收回來的數據了,如果我們想要知道數據是什麼地方發來的,那麼,我們要定義一定IP包結構,用CopyMemory()把IP信息從buffer裏面讀出來就可以了,不過讀出來的是十六進制的數據需要轉換一下。
看了封包捕獲的全過程序,對你是不是有點起發,然而在這裏要告訴大家的是封包的獲得是很容易的,但是許多遊戲的封包都是加密的,如果你想搞清楚所得到的是什麼內容還需要自己進行封包解密。
--------------------------------------------------------------------------------
在本章中,我們主要來研究一下封包的製作和發送,同樣,我們所採用的方法是Delphi+winsock2來製作。在以前說過在Delphi中只封裝了winsock1,winsock2需要自已封裝一下,我在此就不多介紹如何封裝了。
下面就一步步實現我們的封包封裝與發送吧:
首先,我們應該知道,封包是分兩段的,一段是IP,一段是協議(TCP,UDP,其他協議),IP就像郵政編碼一樣,標識着你的這個封包是從哪裏到哪裏,而協議裏記錄着目標所要用到的包的格式及校驗等,在網絡遊戲中的協議一般都是自已定義的,要破解網絡遊戲最重要的是學會破解網絡遊戲的協議網絡遊戲協議破解,爲了不影響現運行的網絡遊戲的安全,我在此會以UDP協議爲例,介紹一下網絡協議的封包與發送的全過程。
接下來,我們就可以開始看看整個封包全過程了:
1)我們要起動sock2,這時個要用到的WSAStartup函數,用法如下:
INTEGER WSAStartup(
wVersionRequired: word,
WSData: TWSA_DATA
);
在程序中wVersionRequired我們傳入的值爲$0002,WSData爲TWSA_DATA的結構。
2)使用socket函數創建並得到socket句柄; 用法如下:
INTEGER socket(af: Integer,
Struct: Integer,
protocol: Integer
);
注意的是在我們的程序封包中飽含了IP包頭,所以我們的Struct參數這裏要傳入的參數值爲2,表示包含了包頭。該函數返回值爲剛剛創建的winsocket的句柄。
3)使用setsockopt函數設置sock的選項; 用法如下:
INTEGER setsockopt(s: Integer,
level: Integer,
optname: Integer,
optval: PChar,
optlen: Integer
);
在S處傳入的是Socket句柄,在本程序裏level輸入的值爲0表示IP(如果是6表示TCP,17表示UDP等~),OptName裏寫入2,而optval的初始值填入1,optlen爲optval的大小。
4)接下來我們要分幾個步驟來實現構建封包:
1、把IP轉換成sock地址,用inet_addr來轉換。
Longint inet_addr(
cp: PChar
);
2、定義包的總大小、IP的版本信息爲IP結構:
總包大小=IP頭的大小+UDP頭的大小+UDP消息的大小,
IP的版本,在此程序裏定義爲4,
3、填寫IP包頭的結構:
ip.ipverlen := IP的版本 shl 4;
ip.iptos := 0; // IP服務類型
ip.iptotallength := ; // 總包大小
ip.ipid := 0; // 唯一標識,一般設置爲0
ip.ipoffset := 0; // 偏移字段
ip.ipttl := 128; // 超時時間
ip.ipprotocol := $11; // 定義協議
ip.ipchecksum := 0 ; // 檢驗總數
ip.ipsrcaddr := ; // 源地址
ip.ipdestaddr := ; // 目標地址
4、填寫UDP包頭的結構:
udp.srcportno := ; //源端口號
udp.dstportno := ; //目標端口號
udp.udplength := ; //UDP包的大小
udp.udpchecksum := ; //檢驗總數
5、把IP包頭,UDP包頭及消息,放入緩存。
6、定義遠程信息:
remote.family := 2;
remote.port :=; //遠程端口
remote.addr.addr :=; //遠程地址
5)我們用SendTo發送封包,用法如下:
INTEGER sendto(s: Integer,
var Buf: Integer,
var len: Integer,
var flags: Integer,
var addrto: TSock_Addr;
tolen: Integer
);
在S處傳入的是Socket句柄,Buf是剛剛建好的封包,len傳入封包的總長度剛剛計算過了,flag是傳入標記在這裏我們設爲0,addto發送到的目標地址,在這裏我們就傳入remote就可以了,tolen寫入的是remote的大小。
6)到了最後別忘記了用CloseSocket(sh)關了socket和用WSACleanup關了winsock。
最後要說的是這種發送方式,只能發送完全被破解的網絡協議,如果要在別人的程序中間發送數據就只有用APIHOOK或在winsock2做中間層了。