本教程面向有C\C++基础的人,最好还要懂一些Windows编程知识
代码一律用Visual Studio 2013编译,如果你还在用VC6请趁早丢掉它...
写这个教程只是为了让玩家更好地体验所爱的单机游戏,顺便学到些逆向知识,我不会用网络游戏做示范,请自重
CE也不是专门用来调试的,本章将介绍几款调试工具,并且完善上一章的东方辉针城修改器
OllyDbg
OllyDbg简称OD,现在一般用它的修改版OllyICE,其实是一样的
OD是最常用的Windows程序反汇编调试器,可惜不能调试64位程序(目前64位版开发中),不能调试Ring0层(内核态)
OD官方网站
我更习惯1.x版本,但是64位系统只能用2.x版本...
不知道高到哪里去了
需要记住几个常用快捷键:
F2下断点,F7单步步入,F8单步步过,F9运行,Alt+C查看反汇编,Alt+K查看堆栈,Alt+B查看断点
写个小程序CrackMe示范一下如何用OD破解
int _tmain(int argc, _TCHAR* argv[])
{
printf("请输入密码或注册码或序列号什么的:");
TCHAR password[100];
_getts_s(password);
// 只是为了做个例子,现在不会有这么简单验证密码的程序了吧
if (_tcscmp(password, _T("PASSWORD")) == 0)
MessageBox(NULL, _T("注册成功!"), _T("CrackMe"), MB_OK);
else
MessageBox(NULL, _T("注册失败!YOU LOSER!"), _T("CrackMe"), MB_OK);
return 0;
}运行CrackMe,用OD附加(在菜单-文件-附加),按F9运行
因为输入错误密码会弹出对话框提示,我们就在MessageBoxW下个断点(注意MessageBox是个宏,根据程序是ANSI还是UNICODE字符集决定是MessageBoxA还是MessageBoxW,要是不知道到底调用了哪个那就两个都下断吧,不过它们最后都会调用MessageBoxTimeoutW)
在下面的命令栏里输入bp MessageBoxW,回车
按F9运行,随便输入个密码后断下,按Alt+K查看堆栈
看到那个调用从CrackMe.011F1084了吧,双击它来到调用MessageBoxW的地方
看011F1074 /75 07 jne short 011F107D
这条跳转指令实现了就是注册失败,没实现就是注册成功,双击把它改成nop就永远不实现了
点右键,在菜单里选编辑-复制所有修改到可执行文件
在弹出的窗口里再点右键选保存文件
然后运行保存好的程序,随便输入个密码都能注册成功了
IDA Pro
IDA是一个世界顶级的交互式反汇编工具,它的使用者囊括了软件安全专家,军事工业,国家安全信息部门,逆向工程学者,黑客
IDA专门用来静态调试,就是不运行程序只看代码,缺点是程序加了壳就看不出什么了
它还有一个强大的插件,按F5把当前函数翻译成C语言(不过只在32位版有)
如果用OD看不出什么就用IDA看吧
WinDbg
WinDbg是微软发布的调试工具,支持32位和64位程序,可以调试Ring0层(内核态)
要记很多命令,用着很不爽,除了调试内核我都不用
东方辉针城修改器V3
这次我要给这个修改器加上更强大的功能:无敌和秒杀
无敌功能
用OD附加游戏,在下面的内存窗口按Ctrl+G转到上一章搜索到的残机地址
然后下个硬件断点或内存断点(内存断点会比较卡,硬件断点会断在操作这个内存的指令的下一条指令,内存断点会断在操作这个内存的指令,我优先使用硬件断点)
然后在游戏中故意撞个敌机或弹幕,断在44F61D,上面那条就是给残机赋值的指令
(这时可以把硬件断点删除了,在查看-硬件断点里)
看堆栈是哪里调用了这个函数,来到上一层
上面有个跳转跳过了这个函数,把它改成jmp试试,按F9运行,回到游戏再撞弹幕
发出了"biu"的声音,然后就动不了了...
回到OD把刚才的修改撤销(选中修改后的jmp指令,按Alt+backspace),又复活了
看看这条跳转的条件,我怀疑[edi+0x690]是玩家状态的flag(死亡flag(笑))
在44DD8B这里按F2下断,再撞弹幕断下
在下面的内存窗口按Ctrl+G转到edi+0x690
刚撞弹幕就断下,这里的值是0,说明0就是死亡flag了
现在要找是哪个代码给状态flag赋值了0,不过OD要做这件事很难(因为总是有写入这个地址的指令!),还是交给CE做吧
(因为重启了游戏,地址变了)
第一条就是一直在写入的那条,我猜这个flag其实是玩家在当前状态经过的帧数?
第二条是撞弹幕时出现的,赋值为0,就是它了
后面的是复活后出现的,不用管
在OD代码窗口按Ctrl+G跳转到0x44F853
我看了一下这个函数没有能跳过赋值[edi+0x690]=0的代码,大概这个函数是死亡函数
下个断点,撞弹幕,看堆栈,往上一层看看有没有跳过调用这个函数的
这条指令刚好跳过了这个调用,把它改成jmp再撞弹幕试试
成功了,怎么撞弹幕和敌机都没事
赶紧记下地址0x0044F094,原机器码7F,修改后EB
(⑨又被骑脸了)
然后我发现死亡函数的上一层是碰撞检测函数,普通弹幕和激光用的是不同的碰撞检测,所以只改这一处对激光没用
可以像上面那样在死亡函数下断点然后撞激光,不过既然知道了44F7A0是死亡函数可以用神器IDA查看哪里调用了这个函数
总共有4个引用,全部修改岂不是很麻烦,所以我打算把死亡函数修改成什么也不做直接返回
地址0x0044F7A0,原机器码55,修改后C3
测试一下,完美
秒杀功能
首先随便找个BOSS(⑨)虐一虐,用CE搜减少的数值搜出三个HP地址
那就修改试试吧,修改第一个和第三个都没用,被同步成第二个,那么第二个就是真HP(我猜是敌机数组中的HP,而第一个是BOSS HP,每帧会和第二个同步)
找出修改HP的代码(不装逼用OD了,还是用CE干这个好)
这是赋值HP的指令,赋值0就可以实现秒杀了
给寄存器赋值0最好的办法是用异或(xor)指令,只占2字节而且速度比mov快
地址0x004214C6,原机器码2B C1,修改成31 C0
玩一会,连小怪都可以秒杀了,看来这个函数是敌机类的减HP函数,对敌机通用的
等等,怎么下一个BOSS开符卡后没有秒杀,再找找哪个代码修改了HP
原来上面还有一个修改HP的代码,用于开了符卡的BOSS
为了不破坏栈我们不能修改pop指令,修改上面那个add吧
地址0x004214BA,原机器码03 C6,修改成31 C0
好了,这下对所有的敌机都能秒杀了
实现代码(完整源码见GitHub):
// 修改关于无敌的代码
void CTH14CheatDlg::modifyInvincibleCode()
{
static const BYTE originalCode[] = { 0x55 };
static const BYTE modifiedCode[] = { 0xC3 };
if (m_process != NULL)
{
WriteProcessMemory(m_process, (LPVOID)0x0044F7A0, m_invincible ? modifiedCode : originalCode, sizeof(originalCode), NULL);
}
}
// 修改关于秒杀的代码
void CTH14CheatDlg::modifyMortalBlowCode()
{
static const BYTE originalCode1[] = { 0x2B, 0xC1 };
static const BYTE modifiedCode1[] = { 0x31, 0xC0 };
static const BYTE originalCode2[] = { 0x03, 0xC6 };
static const BYTE modifiedCode2[] = { 0x31, 0xC0 };
if (m_process != NULL)
{
WriteProcessMemory(m_process, (LPVOID)0x004214C6, m_mortalBlow ? modifiedCode1 : originalCode1, sizeof(originalCode1), NULL);
WriteProcessMemory(m_process, (LPVOID)0x004214BA, m_mortalBlow ? modifiedCode2 : originalCode2, sizeof(originalCode2), NULL);
}
}
不过做到这种程度了还能好好玩游戏吗,所以作弊还是适可而止吧
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
