外挂制作之------游戏DLL注入

 

先谈下游戏，游戏每个动作都会调用函数。比方游戏设计人员是这样设计游戏的：
void zhixing() //执行函数
{
        dazuo();
        .......  //@1
}

void dazuo() //打坐函数
{
      jimi("...."); //加密函数
  return;                
}

void jimi(char *s)
{
      //对s加密处理，赋值给str变量
  fashong(str); //发送函数
  return;      
}

void fashong(char *s)
{
      send(s);
      return;        
}

你要打坐，你就必须要调用相对应的函数。上面的游戏只要你调用dazuo()就会在游戏中执行打坐这个动作。 而通过OD可以把游戏执行在内存中的代码反汇编出来。比如说你下断点bp send，意思就是当调用函数send时就断下来。你断下来后，当你按1次ctrl+f9，就返回到jimi函数中，按第2次ctrl+f9，就返回到dazuo函数中，再按一次ctrl+f9，就返回到zhixing函数中的@1位置，这样，上一行就是dazuo的函数。 你就可以通过调用call 地址执行这个动作了。

而为什么要DLL注入呢？
因为win NT系统是每个进程独立的，只有自己进程才能执行（调用自己进程的函数）
你把dll注入到游戏进程空间，dll就可以调用游戏进程空间中的函数了。
再打个比方：你call 0072e7a8，就是执行本进程空间的0072e7a8位置的函数。
你如果不注入，而在自己程序中执行call 0072e7a8，也就是调用自己进程0072e7a8地址的函数，那当然有问题啦，游戏的函数全在游戏进程中。你外挂进程0072e7a8是什么，与游戏执行无关。

再谈基址问题吧。
游戏中任何数据都在内存中存在，不管是血，蓝，等级，怪物名字，地图名字，只要是数据。全在内存中。 只要你读取那个内存地址就能显示出血来。 其实说白了，游戏客户端显示的数据也是读取的内存中的数据而显示出来的。
struct renwu //人物结构
{
      DWORD xue;  //血
  DWORD lan;    //蓝
  DWORD dengji;  //等级
  ........
};

void init() //游戏初始化函数
{
      struct renwu *dwRW;
      dwRW = new struct renwu;
}

游戏初始化了，dwRW在内存中的地址是固定的，这就是基地址
而new是动态分配的，谁也不知道系统会分配哪个地址给你。
比如说dwRW在内存中的地址是0026762e， 这样，你只需要
[0026762e]就可以得到dwRW结构的地址，偏移0就是血的地址，
偏移4就是蓝的地址，偏移8就是等级的地址了。

再谈谈f12呼出外挂吧。
想在游戏中按f12键呼出外挂，当然就是截取在游戏中按f12键的消息了。想到要截取某进程的某消息，
第一想法就应该是想到挂钩子。钩子就是hook，就是把游戏钩住的意思，比如你给游戏安装一个键盘钩子，这样，只要在游戏进程中的程序，有键盘消息，都会先执行你的钩子函数，所以，你只需要挂个钩子，在钩子函数中，判断按钮是否为F12，如果是，就显示外挂窗口，不是，就放弃这个消息，让游戏自己去处理。
如果只想在游戏执行后，在游戏中按F12，就呼出外挂，就必须把安装钩子和钩子函数写到dll，因为只有dll才能映射到别的进程空间去，exe程序是不行的，dll中的钩子函数映射到游戏进程空间去了，就可以只钩住这个进程的键盘消息了，（所以如果你不把安装钩子和钩子函数写到dll的话，就成了全局钩子了，全局钩子是钩住windows平台中所有的进程的，在任何时候你按f12，都会呼出外挂的