游戏修改器制作教程五：OllyDBG和其他调试工具

本教程面向有C\C++基础的人，最好还要懂一些Windows编程知识
代码一律用Visual Studio 2013编译，如果你还在用VC6请趁早丢掉它...
写这个教程只是为了让玩家更好地体验所爱的单机游戏，顺便学到些逆向知识，我不会用网络游戏做示范，请自重

CE也不是专门用来调试的，本章将介绍几款调试工具，并且完善上一章的东方辉针城修改器

本章提到的工具都可以在看雪学院或我的网盘下载

OllyDbg

OllyDbg简称OD，现在一般用它的修改版OllyICE，其实是一样的
OD是最常用的Windows程序反汇编调试器，可惜不能调试64位程序（目前64位版开发中），不能调试Ring0层（内核态）
OD官方网站
我更习惯1.x版本，但是64位系统只能用2.x版本...

看看这界面，这语法高亮，比WinDbg不知道高到哪里去了

需要记住几个常用快捷键：
F2下断点，F7单步步入，F8单步步过，F9运行，Alt+C查看反汇编，Alt+K查看堆栈，Alt+B查看断点

写个小程序CrackMe示范一下如何用OD破解

int _tmain(int argc, _TCHAR* argv[])
{
	printf("请输入密码或注册码或序列号什么的：");
	TCHAR password[100];
	_getts_s(password);
	
	// 只是为了做个例子，现在不会有这么简单验证密码的程序了吧
	if (_tcscmp(password, _T("PASSWORD")) == 0)
		MessageBox(NULL, _T("注册成功！"), _T("CrackMe"), MB_OK);
	else
		MessageBox(NULL, _T("注册失败！YOU LOSER!"), _T("CrackMe"), MB_OK);

	return 0;
}

运行CrackMe，用OD附加（在菜单-文件-附加），按F9运行

因为输入错误密码会弹出对话框提示，我们就在MessageBoxW下个断点（注意MessageBox是个宏，根据程序是ANSI还是UNICODE字符集决定是MessageBoxA还是MessageBoxW，要是不知道到底调用了哪个那就两个都下断吧，不过它们最后都会调用MessageBoxTimeoutW）
在下面的命令栏里输入bp MessageBoxW，回车

按F9运行，随便输入个密码后断下，按Alt+K查看堆栈

看到那个调用从CrackMe.011F1084了吧，双击它来到调用MessageBoxW的地方

看011F1074   /75 07           jne     short 011F107D
这条跳转指令实现了就是注册失败，没实现就是注册成功，双击把它改成nop就永远不实现了

点右键，在菜单里选编辑-复制所有修改到可执行文件

在弹出的窗口里再点右键选保存文件

然后运行保存好的程序，随便输入个密码都能注册成功了

IDA Pro

IDA是一个世界顶级的交互式反汇编工具，它的使用者囊括了软件安全专家，军事工业，国家安全信息部门，逆向工程学者，黑客
IDA专门用来静态调试，就是不运行程序只看代码，缺点是程序加了壳就看不出什么了

它还有一个强大的插件，按F5把当前函数翻译成C语言（不过只在32位版有）

如果用OD看不出什么就用IDA看吧

WinDbg

WinDbg是微软发布的调试工具，支持32位和64位程序，可以调试Ring0层（内核态）
要记很多命令，用着很不爽，除了调试内核我都不用

东方辉针城修改器V3

这次我要给这个修改器加上更强大的功能：无敌和秒杀

无敌功能

用OD附加游戏，在下面的内存窗口按Ctrl+G转到上一章搜索到的残机地址

然后下个硬件断点或内存断点（内存断点会比较卡，硬件断点会断在操作这个内存的指令的下一条指令，内存断点会断在操作这个内存的指令，我优先使用硬件断点）

然后在游戏中故意撞个敌机或弹幕，断在44F61D，上面那条就是给残机赋值的指令
（这时可以把硬件断点删除了，在查看-硬件断点里）

看堆栈是哪里调用了这个函数，来到上一层

上面有个跳转跳过了这个函数，把它改成jmp试试，按F9运行，回到游戏再撞弹幕
发出了"biu"的声音，然后就动不了了...
回到OD把刚才的修改撤销（选中修改后的jmp指令，按Alt+backspace），又复活了
看看这条跳转的条件，我怀疑[edi+0x690]是玩家状态的flag（死亡flag（笑））

在44DD8B这里按F2下断，再撞弹幕断下
在下面的内存窗口按Ctrl+G转到edi+0x690

刚撞弹幕就断下，这里的值是0，说明0就是死亡flag了

现在要找是哪个代码给状态flag赋值了0，不过OD要做这件事很难（因为总是有写入这个地址的指令！），还是交给CE做吧

（因为重启了游戏，地址变了）

第一条就是一直在写入的那条，我猜这个flag其实是玩家在当前状态经过的帧数？
第二条是撞弹幕时出现的，赋值为0，就是它了
后面的是复活后出现的，不用管

在OD代码窗口按Ctrl+G跳转到0x44F853

我看了一下这个函数没有能跳过赋值[edi+0x690]=0的代码，大概这个函数是死亡函数

下个断点，撞弹幕，看堆栈，往上一层看看有没有跳过调用这个函数的

这条指令刚好跳过了这个调用，把它改成jmp再撞弹幕试试

成功了，怎么撞弹幕和敌机都没事
赶紧记下地址0x0044F094，原机器码7F，修改后EB

（⑨又被骑脸了）

然后我发现死亡函数的上一层是碰撞检测函数，普通弹幕和激光用的是不同的碰撞检测，所以只改这一处对激光没用
可以像上面那样在死亡函数下断点然后撞激光，不过既然知道了44F7A0是死亡函数可以用神器IDA查看哪里调用了这个函数

总共有4个引用，全部修改岂不是很麻烦，所以我打算把死亡函数修改成什么也不做直接返回

地址0x0044F7A0，原机器码55，修改后C3

测试一下，完美

秒杀功能

首先随便找个BOSS（⑨）虐一虐，用CE搜减少的数值搜出三个HP地址

那就修改试试吧，修改第一个和第三个都没用，被同步成第二个，那么第二个就是真HP（我猜是敌机数组中的HP，而第一个是BOSS HP，每帧会和第二个同步）

找出修改HP的代码（不装逼用OD了，还是用CE干这个好）

这是赋值HP的指令，赋值0就可以实现秒杀了
给寄存器赋值0最好的办法是用异或(xor)指令，只占2字节而且速度比mov快

地址0x004214C6，原机器码2B C1，修改成31 C0

玩一会，连小怪都可以秒杀了，看来这个函数是敌机类的减HP函数，对敌机通用的

等等，怎么下一个BOSS开符卡后没有秒杀，再找找哪个代码修改了HP

原来上面还有一个修改HP的代码，用于开了符卡的BOSS
为了不破坏栈我们不能修改pop指令，修改上面那个add吧
地址0x004214BA，原机器码03 C6，修改成31 C0

好了，这下对所有的敌机都能秒杀了

实现代码（完整源码见GitHub）：

// 修改关于无敌的代码
void CTH14CheatDlg::modifyInvincibleCode()
{
	static const BYTE originalCode[] = { 0x55 };
	static const BYTE modifiedCode[] = { 0xC3 };
	if (m_process != NULL)
	{
		WriteProcessMemory(m_process, (LPVOID)0x0044F7A0, m_invincible ? modifiedCode : originalCode, sizeof(originalCode), NULL);
	}
}

// 修改关于秒杀的代码
void CTH14CheatDlg::modifyMortalBlowCode()
{
	static const BYTE originalCode1[] = { 0x2B, 0xC1 };
	static const BYTE modifiedCode1[] = { 0x31, 0xC0 };
	static const BYTE originalCode2[] = { 0x03, 0xC6 };
	static const BYTE modifiedCode2[] = { 0x31, 0xC0 };
	if (m_process != NULL)
	{
		WriteProcessMemory(m_process, (LPVOID)0x004214C6, m_mortalBlow ? modifiedCode1 : originalCode1, sizeof(originalCode1), NULL);
		WriteProcessMemory(m_process, (LPVOID)0x004214BA, m_mortalBlow ? modifiedCode2 : originalCode2, sizeof(originalCode2), NULL);
	}
}

不过做到这种程度了还能好好玩游戏吗，所以作弊还是适可而止吧