D3D函数hook

最新推荐文章于 2024-08-20 10:04:48 发布
最新推荐文章于 2024-08-20 10:04:48 发布
阅读量3.4k 收藏 15
点赞数 2


目前讲的内容已经足够制作大部分游戏的修改器了,主要看你对API的熟悉程度和逆向调试的经验

再深入讲的话就是系统内核层了,比如SSDT hook什么的,而一般单机游戏不会用到内核层的保护(但是大部分网游会),而且调试和修改内核层的东西比较麻烦,很容易蓝屏,所以不打算讲内核的东西

本章介绍怎么hook D3D函数,实现在游戏画面中显示自己的文字,阅读之前最好补习下D3D编程的知识,本章以D3D9、32位程序为例,编译程序需要安装DirectX 9 SDK

虚函数表hook

要在D3D程序里绘制自己的东西一般要hook IDirect3DDevice9的EndScene函数,调用这个函数时原程序的绘制已经完成,可以轮到我们绘制了

可以用inline hook来hook这个函数,但是流行的做法是虚函数表hook

先来看看EndScene是怎么被调用的:

虚函数表hook的原理就是修改虚函数表中的函数地址,使它指向我们的函数(是不是很像IAT hook)

这里说明一下一般成员函数的调用约定默认是__thiscall,也就是从ecx寄存器传入this指针

但是也可以手动声明成其他调用约定,比如__stdcall,这时就从堆栈传入this指针,相当于this指针是函数的第一个参数

D3D所有成员函数的调用约定都是__stdcall,这就方便了我们获取this指针,直接声明成第一个参数就行了(否则要用内联汇编取ecx的值)

虚函数表hook实现

[cpp]  view plain  copy
  1. BOOL hookVTable(void* pInterface, int index, void* hookFunction, void** oldAddress)  
  2. {  
  3.     void** address = &(*(void***)pInterface)[index];  
  4.     if (address == NULL)  
  5.         return FALSE;  
  6.   
  7.     // 保存原函数地址  
  8.     if (oldAddress != NULL)  
  9.         *oldAddress = *address;  
  10.   
  11.     // 修改虚函数表中地址为hookFunction  
  12.     DWORD oldProtect, oldProtect2;  
  13.     VirtualProtect(address, sizeof(DWORD), PAGE_READWRITE, &oldProtect);  
  14.     *address = hookFunction;  
  15.     VirtualProtect(address, sizeof(DWORD), oldProtect, &oldProtect2);  
  16.   
  17.     return TRUE;  
  18. }  
  19.   
  20. BOOL unhookVTable(void* pInterface, int index, void* oldAddress)  
  21. {  
  22.     // 修改回原函数地址  
  23.     return hookVTable(pInterface, index, oldAddress, NULL);  
  24. }  

(其实就是拿IATHook改的)

hook EndScene

方法1

为了在程序初始化前hook我们要在主线程运行前远线程注入,首先hook Direct3DCreate9,然后是CreateDevice和EndScene

[cpp]  view plain  copy
  1. typedef IDirect3D9* (WINAPI* Direct3DCreate9Type)(UINT SDKVersion);  
  2. typedef HRESULT(STDMETHODCALLTYPE* CreateDeviceType)(IDirect3D9* thiz, UINT Adapter, D3DDEVTYPE DeviceType, HWND hFocusWindow, DWORD BehaviorFlags, D3DPRESENT_PARAMETERS* pPresentationParameters, IDirect3DDevice9** ppReturnedDeviceInterface);  
  3. typedef HRESULT(STDMETHODCALLTYPE* EndSceneType)(IDirect3DDevice9* thiz);  
  4. Direct3DCreate9Type RealDirect3DCreate9 = NULL;  
  5. CreateDeviceType RealCreateDevice = NULL;  
  6. EndSceneType RealEndScene = NULL;  
  7.   
  8. IDirect3D9* g_d3d9 = NULL;  
  9. IDirect3DDevice9* g_device = NULL;  
  10.   
  11.   
  12. HRESULT STDMETHODCALLTYPE MyEndScene(IDirect3DDevice9* thiz)  
  13. {  
  14.     // 这里放我们的绘制代码  
  15.     return RealEndScene(thiz);  
  16. }  
  17.   
  18. HRESULT STDMETHODCALLTYPE MyCreateDevice(IDirect3D9* thiz, UINT Adapter, D3DDEVTYPE DeviceType, HWND hFocusWindow, DWORD BehaviorFlags, D3DPRESENT_PARAMETERS* pPresentationParameters, IDirect3DDevice9** ppReturnedDeviceInterface)  
  19. {  
  20.     unhookVTable(g_d3d9, 16, RealCreateDevice);  
  21.     HRESULT res = RealCreateDevice(thiz, Adapter, DeviceType, hFocusWindow, BehaviorFlags, pPresentationParameters, ppReturnedDeviceInterface);  
  22.     g_device = *ppReturnedDeviceInterface;  
  23.     hookVTable(g_device, 42, MyEndScene, &RealEndScene); // EndScene是IDirect3DDevice9第43个函数  
  24.     return res;  
  25. }  
  26.   
  27. IDirect3D9* WINAPI MyDirect3DCreate9(UINT SDKVersion)  
  28. {  
  29.     unhookIAT(GetModuleHandle(NULL), "d3d9.dll""Direct3DCreate9");  
  30.     g_d3d9 = RealDirect3DCreate9(SDKVersion);  
  31.     hookVTable(g_d3d9, 16, MyCreateDevice, &RealCreateDevice); // CreateDevice是IDirect3D9第17个函数  
  32.     return g_d3d9;  
  33. }  
  34.   
  35.   
  36. BOOL APIENTRY DllMain( HMODULE hModule,  
  37.                        DWORD  ul_reason_for_call,  
  38.                        LPVOID lpReserved  
  39.                      )  
  40. {  
  41.     switch (ul_reason_for_call)  
  42.     {  
  43.     case DLL_PROCESS_ATTACH:  
  44.         hookIAT(GetModuleHandle(NULL), "d3d9.dll""Direct3DCreate9", MyDirect3DCreate9, &RealDirect3DCreate9);  
  45.         break;  
  46.   
  47.     case DLL_PROCESS_DETACH:  
  48.         if (g_device != NULL && RealEndScene != NULL)  
  49.             unhookVTable(g_device, 42, RealEndScene);  
  50.         break;  
  51.   
  52.     case DLL_THREAD_ATTACH:  
  53.     case DLL_THREAD_DETACH:  
  54.         break;  
  55.     }  
  56.     return TRUE;  
  57. }  


方法2

这个方法不需要在主线程运行前注入,CE和直播软件OBS也是用了这个方法,所以推荐使用

理论上同一个类的虚函数地址是一样的,所以我们可以自己创建一个IDirect3DDevice9,然后就能获取虚函数地址了

经测试不同IDirect3DDevice9的虚函数表指针不一样,所以只能用inline hook,不能用虚函数表hook

[cpp]  view plain  copy
  1. void* endSceneAddr = NULL;  
  2. BYTE endSceneOldCode[sizeof(JmpCode)];  
  3.   
  4.   
  5. HRESULT STDMETHODCALLTYPE MyEndScene(IDirect3DDevice9* thiz)  
  6. {  
  7.     // 这里放我们的绘制代码  
  8.   
  9.     unhook(endSceneAddr, endSceneOldCode);  
  10.     HRESULT hr = thiz->EndScene();  
  11.     hook(endSceneAddr, MyEndScene, endSceneOldCode);  
  12.     return hr;  
  13. }  
  14.   
  15. DWORD WINAPI initHookThread(LPVOID dllMainThread)  
  16. {  
  17.     // 等待DllMain(LoadLibrary线程)结束  
  18.     WaitForSingleObject(dllMainThread, INFINITE);  
  19.     CloseHandle(dllMainThread);  
  20.   
  21.     // 创建一个窗口用于初始化D3D  
  22.   
  23.     WNDCLASSEX wc = {};  
  24.     wc.cbSize = sizeof(wc);  
  25.     wc.style = CS_OWNDC;  
  26.     wc.hInstance = GetModuleHandle(NULL);  
  27.     wc.lpfnWndProc = DefWindowProc;  
  28.     wc.lpszClassName = _T("DummyWindow");  
  29.     if (RegisterClassEx(&wc) == 0)  
  30.     {  
  31.         MessageBox(NULL, _T("注册窗口类失败"), _T(""), MB_OK);  
  32.         return 0;  
  33.     }  
  34.   
  35.     HWND hwnd = CreateWindowEx(0, wc.lpszClassName, _T(""), WS_OVERLAPPEDWINDOW, 0, 0, 640, 480, NULL, NULL, wc.hInstance, NULL);  
  36.     if (hwnd == NULL)  
  37.     {  
  38.         MessageBox(NULL, _T("创建窗口失败"), _T(""), MB_OK);  
  39.         return 0;  
  40.     }  
  41.   
  42.     // 初始化D3D  
  43.   
  44.     IDirect3D9* d3d9 = Direct3DCreate9(D3D_SDK_VERSION);  
  45.     if (d3d9 == NULL)  
  46.     {  
  47.         MessageBox(NULL, _T("创建D3D失败"), _T(""), MB_OK);  
  48.         DestroyWindow(hwnd);  
  49.         return 0;  
  50.     }  
  51.   
  52.     D3DPRESENT_PARAMETERS pp = {};  
  53.     pp.Windowed = TRUE;  
  54.     pp.SwapEffect = D3DSWAPEFFECT_COPY;  
  55.   
  56.     IDirect3DDevice9* device;  
  57.     if (FAILED(d3d9->CreateDevice(D3DADAPTER_DEFAULT, D3DDEVTYPE_HAL, hwnd,   
  58.         D3DCREATE_SOFTWARE_VERTEXPROCESSING, &pp, &device)))  
  59.     {  
  60.         MessageBox(NULL, _T("创建设备失败"), _T(""), MB_OK);  
  61.         d3d9->Release();  
  62.         DestroyWindow(hwnd);  
  63.         return 0;  
  64.     }  
  65.   
  66.     // hook EndScene  
  67.     endSceneAddr = (*(void***)device)[42]; // EndScene是IDirect3DDevice9第43个函数  
  68.     hook(endSceneAddr, MyEndScene, endSceneOldCode);  
  69.   
  70.     // 释放  
  71.     d3d9->Release();  
  72.     device->Release();  
  73.     DestroyWindow(hwnd);  
  74.     return 0;  
  75. }  
  76.   
  77.   
  78. BOOL APIENTRY DllMain(HMODULE hModule,  
  79.     DWORD  ul_reason_for_call,  
  80.     LPVOID lpReserved  
  81.     )  
  82. {  
  83.     switch (ul_reason_for_call)  
  84.     {  
  85.     case DLL_PROCESS_ATTACH:  
  86.         // 取当前线程句柄  
  87.         HANDLE curThread;  
  88.         if (!DuplicateHandle(GetCurrentProcess(), GetCurrentThread(), GetCurrentProcess(), &curThread, SYNCHRONIZE, FALSE, 0))  
  89.             return FALSE;  
  90.         // DllMain中不能使用COM组件,所以要在另一个线程初始化  
  91.         CloseHandle(CreateThread(NULL, 0, initHookThread, curThread, 0, NULL));  
  92.         break;  
  93.   
  94.     case DLL_PROCESS_DETACH:  
  95.         if (endSceneAddr != NULL)  
  96.             unhook(endSceneAddr, endSceneOldCode);  
  97.         break;  
  98.   
  99.     case DLL_THREAD_ATTACH:  
  100.     case DLL_THREAD_DETACH:  
  101.         break;  
  102.     }  
  103.     return TRUE;  
  104. }  

绘制文字

这部分就直接用D3D的API了,不懂的去看看D3D教程...

[cpp]  view plain  copy
  1. HRESULT STDMETHODCALLTYPE MyEndScene(IDirect3DDevice9* thiz)  
  2. {  
  3.     static RECT rect = { 0, 0, 200, 200 };  
  4.     g_font->DrawText(NULL, _T("Hello World"), -1, &rect, DT_TOP | DT_LEFT, D3DCOLOR_XRGB(255, 0, 0));  
  5.   
  6.     return RealEndScene(thiz);  
  7. }  
  8.   
  9. HRESULT STDMETHODCALLTYPE MyCreateDevice(IDirect3D9* thiz, UINT Adapter, D3DDEVTYPE DeviceType, HWND hFocusWindow, DWORD BehaviorFlags, D3DPRESENT_PARAMETERS* pPresentationParameters, IDirect3DDevice9** ppReturnedDeviceInterface)  
  10. {  
  11.     unhookVTable(g_d3d9, 16, RealCreateDevice);  
  12.     HRESULT res = RealCreateDevice(thiz, Adapter, DeviceType, hFocusWindow, BehaviorFlags, pPresentationParameters, ppReturnedDeviceInterface);  
  13.     g_device = *ppReturnedDeviceInterface;  
  14.   
  15.     D3DXFONT_DESC d3dFont = {};  
  16.     d3dFont.Height = 25;  
  17.     d3dFont.Width = 12;  
  18.     d3dFont.Weight = 500;  
  19.     d3dFont.Italic = FALSE;  
  20.     d3dFont.CharSet = DEFAULT_CHARSET;  
  21.     wcscpy_s(d3dFont.FaceName, L"Times New Roman");  
  22.     D3DXCreateFontIndirect(g_device, &d3dFont, &g_font);  
  23.   
  24.     // 测试中不知道为什么第一次调用DrawText后device的虚函数表会恢复,没办法只好在hook前调用一次  
  25.     static RECT rect = { 0, 0, 200, 200 };  
  26.     g_font->DrawText(NULL, _T("Hello World"), -1, &rect, DT_TOP | DT_LEFT, D3DCOLOR_XRGB(255, 0, 0));  
  27.   
  28.     hookVTable(g_device, 42, MyEndScene, &RealEndScene); // EndScene是IDirect3DDevice9第43个函数  
  29.   
  30.     return res;  
  31. }  

效果

本章完整源码


zidan
关注
游戏修改器制作教程八:D3D函数hook
El Psy Congroo
10-06 1万+
本章介绍怎么hook D3D函数,实现在游戏画面中显示自己的文字
窗口化D3dHook
10-11
窗口化工具.窗口化工具.窗口化工具.窗口化工具.窗口化工具.窗口化工具.窗口化工具.
D3Dhook通杀通杀所有DirectX版本_D3Dhook通杀所有DirectX版本_d3dhook_
09-29
D3D hook通杀所有系统win xp -win 8.1 通杀所有DirectX版本
Direct3DHook 开源项目教程
最新发布
gitblog_01195的博客
08-20 302
Direct3DHook 开源项目教程 Direct3DHookDirectX Capture and Overlays by using Direct3D API hooks项目地址:https://gitcode.com/gh_mirrors/di/Direct3DHook 项目介绍 Direct3DHook 是一个开源项目,旨在提供一个用于拦截和修改 Direct3D 调用的框架。该项目主...
D3D Hook示例源码
12-03
以当下某款热门游戏为例,通过Hook D3D函数,实现透视等功能。
D3D9 HOOK [透视原理]
热门推荐
落叶
09-17 2万+
最近研究了下FPS游戏透视方法,市面上透视大概分为两种,一种是方框透视 就是在游戏角色模型上画一个框,另外一种就是Z缓冲区透视,这种透视原理是对指定模型(一般是人物模型)禁用Z缓冲进行深度测试,当然这两种都可以是基于D3D的,第一种方块透视也可以是不用D3D绘制方块,找到人物坐标 直接转换坐标为投影视图坐标,再用GDI绘制到屏幕上,也可以。 今天我想说的是D3D Z缓冲透视,你需要一些DX基础知
d3d hook模块
07-29
d3d hook 可以对d3d游戏进行写屏 支持dx8 dx9
HOOK graphics driver_.zip_d3d_d3d驱动hook_显卡D3D_显卡驱动_驱动源码
07-15
D3D驱动Hook是一种常见的调试和优化手段,通过替换或拦截原本的D3D函数调用,达到监控、修改或者增强其行为的目的。通常有以下几种方式: 1. IAT Hook:修改Import Address Table(导入地址表),使得函数调用时...
DxHookDll.rar_D3D HOOK_dxhook_dx开发_hook directx
07-15
D3D Hook,即Direct3Dhook,通常涉及到对Direct3D渲染管线的介入。渲染管线是Direct3D中处理图形数据的核心流程,包括顶点处理、像素处理等多个阶段。通过hook关键的Direct3D函数,比如`IDirect3DDevice9::...
DELPHI HOOK D3D画字画字源代码
02-13
DELPHI HOOK D3D画字画字源代码是一种技术,它允许开发者在基于Direct3D的游戏或应用中插入自定义文字。这种技术通常用于游戏MOD(模组)开发,以便在游戏中添加个性化元素,如玩家分数、聊天窗口或者自定义提示信息...
Universal-D3D11-Hook:通用D3D11挂钩
05-08
Detour是由Microsoft Research开发的一个轻量级的代码拦截库,它提供了一种简单的方法来hook函数,即替换函数的地址,使得在调用原始函数之前或之后可以执行额外的代码。在这个项目中,库的lib和include文件已经包含...
D3DHook.rar
04-04
D3DHook.rar
易语言D3DHook
07-15
易语言D3DHook源码,D3DHook,初始化设备,初始化顶点缓冲,渲染,转,配置矩阵,hook,NewDirect3DCreate9,NewCreateDevice,NewPresent,安装ApiHook,开始Hook,停止Hook,卸载ApiHook,取Hook信息,Jmp,取指针内容_整数,GetAdd,取_类_函数地址,API_CreateThread,API_Writ
【C++】D3D11 最新HOOK 源码支持X86_X64
05-21
【C++】D3D11 最新HOOK 源码支持X86_X64 【C++】D3D11 最新HOOK 源码支持X86_X64 【C++】D3D11 最新HOOK 源码支持X86_X64 【C++】D3D11 最新HOOK 源码支持X86_X64 【C++】D3D11 最新HOOK 源码支持X86_X64 【C++】D3D11 最新HOOK 源码支持X86_X64 【C++】D3D11 最新HOOK 源码支持X86_X64 【C++】D3D11 最新HOOK 源码支持X86_X64 【C++】D3D11 最新HOOK 源码支持X86_X64 【C++】D3D11 最新HOOK 源码支持X86_X64 【C++】D3D11 最新HOOK 源码支持X86_X64 【C++】D3D11 最新HOOK 源码支持X86_X64
d3d9_hook.zip
08-13
目前大部分游戏通过Direct3D实现3D效果,通过挂钩相应函数,可以实现3D透视,屏幕挂字效果。而透视,屏蔽特定效果,设置透明在很多游戏(特别是FPS)中发挥着巨大的作用!
易语言HOOKD3D源码
05-05
易语言HOOKD3D源码,有问题请留言。。。。。。。。。。。。
D3D HOOK实现透视讲解
qq13197107741的博客
06-06 3424
实现目的: 目前大部分游戏通过Direct3D实现3D效果,通过挂钩相应函数,可以实现3D透视,屏幕挂字效果。而透视,屏蔽特定效果,设置透明在很多游戏(特别是FPS)中发挥着巨大的作用! 实现思路: [D3D] DirectX的功能都是以COM组件的形式提供的。在Direct3D中,主要通过采取以下操作来实现编程: 调用适当的函数获取接口指针; 调用接口的方法(成员函数)来完成所需功能; 用完接口后,调用Release方法进行“释放”,注意释放顺序应该和获取它们的顺序相反。 D3D的实现流程: 大体可以分为
【游戏逆向】D3D HOOK实现透视讲解
douluo998的博客
07-02 1393
在消隐时,Direct3D先用背景色(或纹理)填充渲染表面,Z缓存则统一设置成最大深度,即投影变换中后裁剪平面的距离,然后逐像素处理渲染表面:对于任意一个像素,Direct3D逐一测试所有与该像素重叠的三角形,如果三角形中像素对应点的Z坐标小于Z缓存中的数值,也就是说,此三角形离观察者较近,则像素取该点的颜色,同时像素在Z缓存中的深度也设为该点的Z坐标,然后继续测试下一个三角形…这些图元分为点列,线列,线带,三角形列,三角形带,三角扇形。顶点缓存通常除顶点坐标之外还包括法线,颜色,纹理等数据。
易语言d3d11hook
05-12
易语言d3d11hook是一种用易语言编写的Direct3D 11钩子程序。它的作用是在Direct3D 11游戏中注入代码,从而改变游戏行为或者获取内部信息。例如,可以用d3d11hook修改游戏中的图形效果,加速或者减慢游戏速度,截取游戏画面并进行后处理等等。由于Direct3D 11是Windows平台上流行的3D图形API,因此d3d11hook可以用于大部分Direct3D 11游戏。不过,使用d3d11hook也有一定的风险,可能会导致游戏不稳定、崩溃甚至被封号。此外,d3d11hook需要有一定的编程技能才能使用,因为要理解Direct3D 11的底层原理以及如何编写钩子程序。总结来说,易语言d3d11hook是一种高级的游戏修改工具,它可以让游戏发烧友们更深入地了解自己喜爱的游戏,并有机会创造出新的游戏体验。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值