本教程面向有一定C/C++和Windows编程基础的读者,讲解如何hook游戏的D3D渲染过程,以实现特定效果,如将自机替换为播放Bad Apple视频。教程中使用东方绀珠传来演示,涉及FFmpeg解码视频、查找物体特征、避免DllMain死锁等问题。通过hook DrawPrimitiveUP并分析调用栈,找出关键特征进行修改。
教程面向有C\C++基础的人,最好还要懂一些Windows编程知识
代码一律用Visual Studio 2013编译,如果你还在用VC6请趁早丢掉它...
写这个教程只是为了让玩家更好地体验所爱的单机游戏,顺便学到些逆向知识,我不会用网络游戏做示范,请自重
本章我们要实现hook游戏的渲染过程,把渲染自机换成播放bad apple(只是我看了别人的视频想自己做一个,没什么实际意义,但是可以说明怎么修改指定物体的渲染)
效果如图,压缩GIF后出现了色差请见谅...实际效果没有色差的
本章源码使用了FFmpeg 3.1.5解码视频,具体看我上一篇文章:使用FFmpeg+GDI解码和播放视频,在本文使用时记得把FFmpeg的DLL放到游戏目录下(为什么不用DirectShow呢,因为用COM组件在dllmain里会各种死锁崩溃...)
本章使用东方绀珠传 1.00b 日文版演示,不保证在其他版本有效...
寻找物体特征
有了上一章虚函数表hook的基础我们已经可以hook DrawPrimitive等渲染函数了,但是还无法分辨当前正在渲染什么物体
CE已经提供了解决方案,看到菜单里的D3D了吧,打开游戏进程后把Hook Direct3D勾上,然后打开Snapshot handler
先改一下设置,我建议把Progressive snapshots勾上,这样更容易看清整个画面渲染过程
回到游戏后按一下F6,CE会把这帧所有的渲染结果记录下来
找到渲染目标物体的那张快照,选中它,点Done
可以看出这是通过DrawPrimitiveUP渲染的,还可以浏览渲染时的堆栈,我不是很推荐在这里比较堆栈,因为每次调用渲染函数调用栈都有可能不同,CE的类型识别会错误
来看看堆栈:
偏移量为0到40都是CE的D3DHOOK模块的栈,从44开始是游戏程序的部分,偏移量为44的是游戏调用DrawPrimitiveUP返回的地址(因为是004开头的,很容易猜出)
用IDA跳转到那个地址验证一下:
同理继续往上翻调用栈,然后通过逆向分析寻找有什么可利用的特征
我还是技术不够只能整理出这些,这是角色为灵梦时的调用栈,其他角色还会不同...
471A8D
主循环,调用渲染
4724CD
BeginScene、EndScene
401690
传入this,后面this都是这个,第一个this = [[[0x4E9A54] + 0x40]+0x24]
对其中一个edi,[edi+8]指向下层函数
4872F2
push 14,貌似自机特有
487B9C
esi = [this + 0x1CA01D4 + 14 * 0x608],不为NULL则push到下一层
4818AE
switch ([[this + 0x1CA01D4 + 14 * 0x608] + 0x18] >> 25) & 0x1F
case 1
47E36E
设置顶点坐标、SetTexture
47DA73
SetRenderState
47E499
SetTextureStageState、SetFVF、DrawPrimitiveUP
经过分析,那个push 14可以利用,看看它在栈里的位置:
最低0.47元/天 解锁文章
扫一扫
7954
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
