第一节 -- 寻找当前地图的寻路call

最新推荐文章于 2024-07-27 19:45:00 发布
最新推荐文章于 2024-07-27 19:45:00 发布
阅读量4.5k 收藏 4
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mz4138/article/details/79127349
版权

第一部分 堆栈入门

1.封包断点

bp WS2_32.send

2.硬件写入断点:7E8C0040

堆栈数据:

0018F844 008182FB /CALL 到 send 来自 Game.008182F5
0018F848 00000898 |Socket = 898
0018F84C 7E8C0040 |Data = 7E8C0040
0018F850 00000042 |DataSize = 42 (66.)
0018F854 00000004 \Flags = MSG_DONTROUTE

2-1 为什么要对 7E8C0040 下硬件写入断点

游戏内核的处理机制:
Created with Raphaël 2.1.0 主线程 主线程 消息队列 消息队列 消息执行 消息执行 发送消息(将消息的内容写入:7E8C0040) 从消息循环弹出消息 (调用win32 提供的 WS2_32.send,将7E8C0040的内容发送给服务端 ) 查看消息队列是否有消息
名词解释:

消息队列:并不是windows里面的消息队列,而是游戏内部的消息队列,使用quene<msg> 的方式,
先进去的消息就先执行

3.获取调用堆栈

通过硬件写入断点,可以找到一个调用堆栈,如果在还没有移动的时候就已经断点了,
说明不是当前断点,一定要在进行移动之后断点下来的,才是真正执行的地方
小提示: 通过Ctrl+K 获取调用堆栈列表,可以复制到剪切板

地址堆栈函数过程 / 参数调用来自结构
0018F66C00716477包含Game.00819624Game.00716474
0018F724004569D7? Game.007163A0Game.004569D2
0018F81400457EBBGame.00456840Game.00457EB6
0018F954004598C9Game.00457D10Game.004598C40018F950
0018F9600043BAD4包含Game.004598C9Game.0043BAD10018F9AC

4.确认顶层调用点

如何确认是那一层是真正的调用点

可以从 ( 调用来自) 00716474->004569D2->00457EB6->004598C4->0043BAD1 一层一层的找

1.
在 00716474 下断点,移动后断点一次,说明是移动的断点
2.
在 004569D2下断点,移动后断点一次,说明是移动的断点
3.
在 00457EB6 下断点,移动后断点一次,说明是移动的断点,通过下一层04598C4 的死循环,判断出当前调用层是顶层调用点
4.
在 004598C4 下断点,一直断点,说明已经进入了游戏引擎的死循环,那么上一层就是顶层调用点

得到调用点 00457EB6
0018F814 00457EBB Game.00456840 Game.00457EB6 //顶层调用点

第二部分,汇编分析

注意 第一部分未完成的读者,请勿进行接下来的学习
前置思路介绍

分析游戏内部如何实现寻路

c++ 代码模拟

    //定义目标点结构体
    typedef tagPoint{
        float x;
        float y;
    }POINT,LPPOINT;
    // 游戏内部的用户对象
    Player player;
    POINT tagetPoint = {};
    targetPoint.x = 155;
    targetPoint.y = 253;
    //执行移动
    player.Move(targetPoint)

c++ 汇编为win32汇编后的代码:

    sub esp,20H
    mov eax,431b0000H  ;155 的float的值
    mov [esp],eax ; 不能直接给非通用寄存器赋值
    mov eax,437d0000 ;253 float 的值
    mov [esp+4],eax 
    mov ecx,[7EF30010] ;游戏内部的用户对象的内存地址,本章节不做用户基址的搜索
    push esp  ;结构体入栈
    call 03105121  ;游戏内部通常使用_stdcall ,不用自己进行add esp,n 堆栈平衡
    add esp,20H  ; 这个是为了恢复自己申请的栈空间

游戏执行移动的流程分析(正向猜测,非逆向分析)

Created with Raphaël 2.1.0 开始 界面点击坐标调用移动 移动函数开始 是否正在移动? 结束 移动 yes no

用c++ 代码模拟流程图

//假设游戏玩家类有这些字段,n[0xm]表示我们不知道的内容
class Player{
    char nothing[0x160];//占位0x160个字节,不知道前面放的是什么,只知道0x164是状态
    int state;  //占位4
    char nothing[0x18];// 占位 0x18
    bit isAlive ;第0x180位的状态
};
//流程图中的  `移动函数开始` 

    define MOVE_STATE  2
    if(player.state == MOVE_STATE && player.isAlive){
        ... dosomething
        player.Move(point);
    }

汇编模拟c++的代码


    cmp [ecx+164],3;汇编的数字都是16进制,164 表示 0x164(10进制356),而不是10进制的164
    je 07aa0110 ;判断用户的状态是不是移动,是移动就跳转到结束
    cmp [ecx+180],1;判断是否活着
    je 07aa0110 ;死亡就结束
    call move;判断执行完成之后,就执行移动

5.函数体内部分析:

现在就是通过第4节的 顶层call 00457EB6
在这里向上回溯,知道找到条件判断,进入一小段函数体的判断

两个判断,如果都成功才会进入走路call

00457D3B    8A86 64010000   MOV     AL,BYTE PTR DS:[ESI+164]
00457D41    84C0            TEST    AL,AL
00457D43    53              PUSH    EBX
00457D44    74 17           JE      SHORT 00457D5D
00457D46    83BF D8010000 0>CMP     DWORD PTR DS:[EDI+1D8],2
00457D4D    75 0E           JNZ     SHORT 00457D5D
00457D4F    8B87 E0010000   MOV     EAX,DWORD PTR DS:[EDI+1E0]
00457D55    85C0            TEST    EAX,EAX
00457D57    0F84 7C010000   JE      00457ED9
00457D5D    8DBE 4C010000   LEA     EDI,DWORD PTR DS:[ESI+14C]

判断内容 伪代码解析:

if(esi+0x164==1)//是否活着
{
    if(edi+0x1d8!=0x2)//可能是  人物移动状态
    {

        //具体移动代码

    }
}

6.分析esi+0x164 和 edi+0x1d8 的硬件写入断点

调用堆栈

地址堆栈函数过程 / 参数调用来自结构
0018F45C0045823F? Game.00457AA0Game.0045823A0018F458
0018F47C0045A1D1? Game.004581E0Game.0045A1CC0018F478
0018F4F80045983C包含 Game.0045A1D1Game.004598390018F4F4
0018F50C00459971Game.00459800Game.0045996C0018F508
0018F52400455D33包含 Game.00459971Game.00455D300018F520
0018F5C40056E231包含 Game.00455D33Game.0056E22E0018F5C0
0018F5E0004649D9包含 Game.0056E231Game.004649D60018F5DC
0018F960007ABB04包含 Game.004649D9Game.007ABB010018F95C
0018F9D4007AF7BFGame.007AB270Game.007AF7BA0018F9D0
1.通过第四步 确认顶层调用点 的方式 按照

Game.0045823A-> Game.0045A1CC->Game.00459839-> Game.0045996C -> Game.00455D30 -> Game.0056E22E -> Game.004649D6 ->Game.007ABB01 -> Game.007AF7BA
依次寻找,直到找到游戏引擎的循环体的前一步

2.找到顶层call:
地址堆栈函数过程 / 参数调用来自结构
0018F5C40056E231包含 Game.00455D33Game.0056E22E

第三部分,调用测试

7.顶层call 代码区

0056E200    55              PUSH    EBP
0056E201    8BEC            MOV     EBP,ESP
0056E203    8B0D C08CB300   MOV     ECX,DWORD PTR DS:[B38CC0]
0056E209    56              PUSH    ESI
0056E20A    8B75 08         MOV     ESI,DWORD PTR SS:[EBP+8]
0056E20D    56              PUSH    ESI
0056E20E    E8 BDB72300     CALL    007A99D0
0056E213    A1 D885B200     MOV     EAX,DWORD PTR DS:[B285D8]
0056E218    8B48 5C         MOV     ECX,DWORD PTR DS:[EAX+5C]
0056E21B    8B46 04         MOV     EAX,DWORD PTR DS:[ESI+4]
0056E21E    8B89 E4010000   MOV     ECX,DWORD PTR DS:[ECX+1E4]
0056E224    8B11            MOV     EDX,DWORD PTR DS:[ECX]
0056E226    6A 00           PUSH    0
0056E228    6A 01           PUSH    1
0056E22A    50              PUSH    EAX
0056E22B    8B06            MOV     EAX,DWORD PTR DS:[ESI]
0056E22D    50              PUSH    EAX
0056E22E    FF52 10         CALL    DWORD PTR DS:[EDX+10]
0056E231    FF15 84699000   CALL    DWORD PTR DS:[<&tEngine.TdGetTim>; tEngine.TdGetTimeTickCountSafe
0056E237    A3 389CB200     MOV     DWORD PTR DS:[B29C38],EAX
0056E23C    5E              POP     ESI
0056E23D    5D              POP     EBP
0056E23E    C2 0400         RETN    4

8.模拟调用

push 0
push 1
push 0x42bc0000
push 0x438a0000
mov ecx,[0B285D8]
mov ecx,[ecx+0x5c]
mov ecx,[ecx+0x1e4]
mov edx,[ecx]
mov edx,[edx+0x10]
call edx

经过测试,可以成功进行本图寻路

ecx 演算值

[[B285D8]+0x5C]+0x1E4

ecx特征码:

8B 11 6A 00 6A 01 50 8B 06 50

不在本节介绍的地方:

1.人物基址寻找(为了课程连贯性,人物基址查找和人物信息查找,单独做一节)

2.特征码寻找 ,(用来在游戏更新之后,我们可以根据特征码自动定位基址,而不是在重新找一遍)

AYA原创,转载请务必注明出处

东平王北星
关注
专栏目录
CALL是如何炼成的之理论篇
redsn0w的新家
05-06 1241
遇到一个CALL应该如何写? 这个是写一个内挂不可避免的问题.刚初学的朋友可能会不知道如何入手.想起刚学这方面的时候,绕过很多弯,现在把一些经验写出来给大家参考参考吧,不是很高深的东西,但我觉得对某些人很有帮助. CALL是什么? CALL是汇编中的一个指令,CPU执行这条指令会执行2个动作 一:压入EIP入栈 二:跳转到后面的地址.  跟RETN指令配合就实现了汇编中子程序的作用,通常我们常说
【笔记】unity逻辑类各种即使方案汇总
折戟
07-28 3466
迷雾遮罩: 1.使用war3的地图拼接 2.改变网格范围,传到shader中 寻路: 需要高精度的则不适合用Navmesh 1.https://howtorts.github.io/2014/01/04/basic-flow-fields.html 基于流场,估计类似sdf,使用Dijkstra生成径 2.rts寻路 A Start Pathfinding Project Pro + Unity NavMesh 寻路算法+精确碰撞(以及避碰) 3.多人寻路中的交互避碰 RVO2 4.定时器,当有
找走CALL并调用他
07-05
找走CALL并调用他找走CALL并调用他找走CALL并调用他
27.x86游戏实战-线程发包的找法
最新发布
计算机王的博客
07-27 1030
游戏逆向、游戏安全、游戏攻防、c++、反游戏外挂、保姆级攻略
外挂学习之(7)--- 寻路call
liujiayu2的专栏
02-17 1万+
寻路call的查找方式有很多,先来看看常见的一种,根据寻路状态回溯找到call 一般游戏会把人物分成若干种状态,比如站着不动、寻路中、战斗中等等,我们就根据状态的切换用CE工具找到这个表示的地址。 1.      用CE搜索未知的值,四字节 2.      打开游戏地图,点一个比较远的地方,让人物出于寻路中,用CE搜索改变的值 注意,一般游戏不打开地图直接点也可以寻路的,但是打开地图
004 两种方法找寻call
鬼手的博客
04-11 6076
文章目录关于寻路call通过参数找寻callCE搜索寻路目的地坐标通过参数定位寻路call寻路call参数分析寻路call代码测试寻路状态找寻call搜索寻路标志位通过寻路标志位找寻call 关于寻路call 寻路call在大部分的游戏里都是存在的,游戏的策划为了用户体验,一般都会自带寻路的功能,可以一键自动让人物到目的地。 但是也有一些游戏不包含寻路call,那样的游戏就需要我们去找一些地...
2.口袋西游寻路call
majunm的专栏
10-05 553
寻路call突破口[浮点数] 突破口[浮点数] 操作步骤: 1.以坐标200,500,140为例扫描单浮点,选中坐标500,扫描大于499的数据 2.扫描未变动的数据 扫个几次 3.在地图上选点开始寻路,点击搜索变动的数值 只能点1次,多了就错了 4.寻路过程中,重复步骤 2->3->4,适当时机扫描过滤下数据范围,值介于498小于502,看结果大概定格在20多个 5.对扫描结果一一尝试 6.OD中对地址下断点,点击K 获取堆栈调用过程,在堆栈地址下断 调用堆栈: 主线程 地址
找CALL的新思
无名剑
06-26 1194
现在的youxi已经很难用bp send断点找到call了,所以找call的最佳办法还是通过函数参数的  “蛛丝马迹” 来找。 选怪的另类找法思——基本通杀!新手不学,你就等着浪费时间吧! 通过选中和没选内存的状态下硬件写入断点。 寻路的另类找法思——基本通杀!新手不学,你就等着浪费时间吧! 本帖隐藏的内容 根据目的地坐标来找。 使用
《游戏脚本的设计与开发》-(战棋部分)2.3 战场上的寻路和移动
热门推荐
lufy小屋
07-22 1万+
上次已经让我军,友军和敌军都出现在了战场上,本章来说说如何让一个部队在战场上进行移动。在战棋游戏中,我军回合行动的时候,点击我军的某一个部队,会出现选择列表,选择【部队移动】一项后,会出现该部队可能移动的范围,然后点击范围内的某一位置,则部队就会向着这个位置移动。在这一过程中涉及到两个算法,一个是部队移动范围的搜索,另一个就是部队移动时的寻路算法。复杂指数来说,寻路算法相对复杂一些,之前研究AS3的时候,曾经写过一篇A*寻路的分析文章<a href="http://blog.csdn.net/lufy_le
星际争霸2 AI 开发探索与展望
wlkdb的博客
07-03 4054
      《星际争霸》的国服重置版正在预售中,将在暑假期间登陆战网。今年是星际争霸发行20周年,这20年间RTS即时战略游戏从兴起到没落,在游戏届的地位已经大不如前。这其中的一个原因是它的高度复杂性,从宏观的战略,到微观的操作,需要考虑并迅速做出反应的点太多太多。这样的特点使得星际看的人多玩的人少,但却恰恰适合征服围棋后的AI来一展身手。当2016年AlphaGo击败李世石后DeepMind宣布...
模拟游戏找CALL,F8CALL01-04
08-12
模拟游戏找CALL,F8CALL01-04
F8找call 教程作访模块写的04
06-17
F8找call 教程作访模块写的F8找call 教程作访模块写的04
F8找call 教程作访模块写的01
06-17
F8找call 教程作访模块写的F8找call 教程作访模块写的
小程序云开发_借助小程序云开发制作校园导览小程序丨实战
weixin_39942492的博客
12-16 560
导语 偌大校园,寻路犯难。没关系!本文教你借助云开发制作精美校园导览小程序,带你走遍校园的每个角落,发现不一样的风景。背景刚入学的新生要想不迷失在偌大的校园,除了依靠不怎么可靠的边标识外,总会收到那么一张卡通绘制的校园地图:这种静态图片可以让我们快速地了解到所需的地理位置信息,但使用和思考过后,会发现以下问题:(1)地理位置信息粒度高,而同一个地点通常具有多个服务功能和别名...
外挂辅助技术-寻路CALL测试
郁金香灬老师 的专栏
02-04 4469
学习目标:     之分析寻路CALL 测试        1、通过目的地坐标回溯逆向分析>    2、通过发包函数回溯   FLDZ FILD 地址  FSTP 地址      思:       FindWay(参数1,参数2,参数3,...)//里边肯定有一个是指向坐标 //1 006AEDFC    895D B4         MOV DWORD PT
易语言写64位魔兽世界游戏 寻路call 教程
hzw320的博客
01-11 7967
自从Game-EC 8.5.3 辅助模块 发布 开发 64位游戏内存,封包的功能后, 受到了很多写 64位游戏封包,内存辅助的爱好者喜爱 今天在新版本 Game-EC 加密狗版模块 8.5.4 里面 开发了一个 能调用64位游戏 魔兽世界的 远程调用call的 一个功能 X64进程_调用函数E() 这个功能 比 之前开发的 X64进程_调用函数 () 更强大, 它能调用一些特殊64位游戏的call(像魔兽世界就是特殊的调用call方式才能有效执行) [外链图片转存失败,源站可能有防盗链机制,建议将图片保存
android游戏寻路算法
N的专栏
07-11 6492
游戏开发区很多朋友都在谈论A*寻路算法,大家都感到高深莫测,而不敢涉足寻路算法.希望下面的分析能为大家解开这个误区. A*算法确实是最高效、最流行的寻路算法,是搜索算法最深层的延伸.A*算法是由4个要素组成:A*=估价函数+并查集+堆+广搜.想要写A*算法,我们必须门心自问对这4个方面的基本功打的怎么样?因此,A*算法不是所有开发者都能享受的,这种高深的算法必须有强大的算法功底和长年累月的实
游戏寻路 call 分析
LYSM
05-04 1549
大部分网络游戏都是有寻路功能的,只有个别的暗黑系列游戏和FPS游戏没有寻路。而在这些有寻路的游戏中,还有一些是可以跨图寻路的,下面我们来分析一下《QQ仙侠传》的跨图寻路功能。 其实跨图寻路和本图寻路的功能是相似的,唯一不同的是传入了一个目的地图的ID,所以我们想分析跨图寻路,也要从本地寻路入手进行分析,否则操作起来还是比较麻烦的。 在我们进行寻路时,这个坐标会被改写,所以我们要在这个地址上下写入...
ε-greedy寻路
09-05
ε-greedy寻路是一种基于ε-greedy策略的径搜索方法。在寻路问题中,有一个起点和一个终点,需要找到一条从起点到终点的最优径。 ε-greedy是一种常用的策略,用于在探索(explore)和利用(exploit)之间进行权衡。在ε-greedy寻路中,以概率1-ε选择当前最优的径,而以概率ε随机选择其他径进行探索。 具体来说,ε-greedy寻路算法的步骤如下: 1. 从起点开始,将当前位置设为起点。 2. 根据当前位置选择下一步的移动方向。 - 以概率1-ε选择当前最优的径,即选择能够最快到达终点的方向。 - 以概率ε随机选择其他径进行探索,即随机选择一个方向进行移动。 3. 移动到选择的方向上的下一个位置。 4. 如果到达终点,则结束搜索;否则返回第2步。 通过在探索和利用之间进行权衡,ε-greedy寻路能够在一定程度上避免陷入局部最优解,并且有机会发现更优的径。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值