zhaopeng01zp的博客

郁金香2021年游戏辅助技术中级班（七）058-C,C++写代码HOOK分析封包数据格式A059-C,C++写代码HOOK分析封包数据格式B-detours劫持060-C,C++写代码HOOK分析封包数据格式C-过滤和格式化061-C,C++写代码HOOK分析封包数据格式D-写入配置文件062-C,C++写代码HOOK分析封包数据格式D-读取配置文件058-C,C++写代码HOOK分析封包数据格式A

如果你放弃这个任务，之后你再去接受该任务的话，那么它就是走的另一个发包了，这个我们在这类就不去分析了，我们留到下节课写分析封包的代码，通过代码来分析的话，这样比我们每次去下断点的话，要省很多很多时间，如果每次用调试器去分析的话，花的时间就比较多了，如果我们用代码把发包的数据全部收集到文件里面，再加上我们用代码来做一下条件判断和过滤，那么这样的话我们就能够更方便的收集到发包的有用信息。所以分析的时候只能在鼠标右击该NPC的时候去分析接任务的包。

/ CreateList.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。//// 操作系统 win7 64// 编译环境 Visual Stuido 2017// 定义数据类型,可根据需要进行其他类型定义//class // 链表节点的定义// 数据域，存放数据int data1;int data2;// 链表指针 指向下一个链表节点// 链表创建函数定义int len;// 用于定义链表长度int val;// 用于存放节点数值。

我们看到第5个参数是rsp+20，前4个参数占0x20大小的空间，但是在x64环境下，前4个参数分别通过rcx、rdx、r8、r9来传递，为了对齐（也是为了兼容x86汇编），第5个参数通过rsp+20来传递，第6个参数通过rsp+28来传递；在x64环境下，_cdecl、_stacall和_fastcall、_vectorcall这4种调用约定，我们发现都一样，都是用rcx、rdx、r8、r9来传递参数，超出4个的参数用堆栈（rsp+20）来传递。其实它们是有区别的，区别应该就在于参数是浮点数的情况下。

有关函数的更多信息，请参阅 TimerProc。挂接主线程这是一个比较复杂的过程，方法有很多，现在我们能够快速用到的，可以用定时器的方法把它附加到游戏窗口所在的线程，因为游戏这个窗口界面就是运行在主线程的，所以我们可以用这种方法来挂接游戏主线程（后面的课还会讲其他挂接主线程的方法）。这个宏添加到显示窗口函数的最前面，也就是说我们在DLL中用到了MFC的窗口，那就需要把这行代码放到函数中的第一行，这个宏会做一些资源的初始化工作，我们后面在显示窗口的时候，它才能够查找到相应的资源，才能够正常的显示窗口。

右键点击NPC的时候有4个组包，释放灵魂的大概有7个组包，但是哪个是真正的释放灵魂，哪个是真正的右键点击NPC，哪一个又是真正的天使复活的指令，就需要我们下节课写代码来测试（写一个结构来组包并调用相应的CALL进行测试），当然我们现在重点分析第一次的组包，因为后面的组包可能性都是很小的，一般来说第一个的概率高达90%。而我们从上图也可以看到，角色信息里面这些身上装备也是一个一个的格子，它大概率的应该也是一个数组，类似于我们背包数组，我们下节课一起来分析这个装备数组。

确定，关闭播放器再重新打开即可；

参考链接：https://blog.csdn.net/sanqiuai/article/details/124181979。安装上述勾选内容后，即可解决MSBuild 错误 MSB8041。MSB8041：此项目需要 MFC/ATL 库。

windows PE 指南（基础部分）（二）PE文件头IMAGE_OPTIONAL_HEADER.AddressOfEntryPointSectionAlignmentFileAlignmentPE文件布局和装入后内存布局节表内容你想在PE文件（PE内存映像）里面找一个数据该怎么找？PE重定位Load Config Table如何在内存或者文件里面找着数据目录元素所对应的内容loader重定位Base Relocation Table我们来看看重定位表在文件里面长啥样我们变量的位置需不需要进行修正呢？.te

常见的找不到符号的链接错误，是指链接器找不到函数名对应的可执行代码在什么地方，在源代码里面没有告诉编译器、链接器足够的信息；所以要在源代码里面，将这个函数名所在的lib文件所在位置放进去，总之这个静态库里面有这个函数的全部信息，有这个函数的可执行代码；

奇怪的是，在这个结构中返回的进程ID被类型化为ULONG_PTR，这意味着在一个64位的进程中，每一个都是64位的。如果启用了CPU速率控制，并且既没有指定JOB_OBJECT_CPU_rate_control_WEIGHT_BASED也没有指定JOB_OBJECT_CPU _rate_control_MIN_MAX_rate，则CpuRate成员指定相对于10000的CPU限制百分比。此外，由于作业访问是间接的——如果某个进程在作业下，则可以使用“作业”选项卡——显示的作业是该进程所属的直接作业。

Windows_10_System_Programming_3,ProcessesProcessesProcess BasicsProcesses in Process ExplorerProcess CreationThe main FunctionsProcess Environment VariablesCreating ProcessesHandle InheritanceProcess Drive DirectoriesProcess (and Thread) AttributesProtecte

可以通过复制句柄（duplicating the handle）来实现这些复制操作（these copy operations）（见本章后面的 “共享内核对象”），但这是一个非平凡（非常重要）的操作，最好在隐式复制场景中避免。内核对象是引用计数的。句柄复制没有固有的限制（除了安全性）-它几乎可以在任何内核对象上工作，不管是有名字的还是没有名字的，而且它在任何时间点上都可以工作（在第3章中，我们将看到句柄继承仅在进程创建子进程时可用）。如果是，那么它就不是一个新的对象，而是现有对象的另一个句柄。

我们首先要打开此电脑（或我的电脑），依次点击查看-选项，打开文件夹选项，点击查看，找到隐藏文件和文件夹，点击“显示隐藏的文件，文件夹和驱动器”，并单击确定。打开u盘后，发现u盘内多了几个没见过的文件，u盘里面的文件夹变成*.scr、*.exe格式文件或快捷方式文件，不能正常打开。4、进入恢复的文件夹，如果还是有一堆.scr扩展名的文件的话，将“显示隐藏文件.cmd”复制到该文件夹内，双击运行即可。2、点击“文件”，“另存为”，在弹出的对话框中填写“显示隐藏文件.cmd”，然后点击“保存”，注意文件格式哦。

如果提示无法编辑，没有权限的话，鼠标右键这个文件，属性，安全选项卡，高级，把所有者改成Administrators，点击应用，然后重新加载权限窗口，然后点添加，选择主体Administrators，然后选中完全控制，然后一直确定，就能够编辑hosts文件了。目录下，将红色文字复制粘贴到随便打开的一个文件夹地址栏里面，回车，删除该目录下的Macromedia文件夹，仍然是建议使用Everything软件来操作，删除前留意此目录下有无重要文件。目录下的Macromedia这个目录就可以了。

在滤镜列表中选择其他类型中的高反差保留选项，从打开打高反差保留界面中，我们将半径设置为四，点击确定按钮完成，之后我们再选择当前图层的情况下，在图层面板中选择图层混合模式为线性光即可。2、双击该图层，将背景层改为普通层3、选取橡皮擦工具，可选画笔主直径大点，先粗略地擦掉大部分不用的部分4、再选画笔主直径小点，把图片放大，进行精细处理。打开Photoshop，导入图片，点击上方菜单栏中的【图像】，选择【图像】下的【调整】，点击【去色】，最后，就能看到图片原本的各种颜色没有了，图片变成黑白的了。

stdafx.h 是微软自己搞的预编译机制中的一个默认文件，里面填写代码用到的h文件， 而vs在编译代码时，会把 stdafx.h 里面提到的h进行预先编译，缓存起来，当用户不更改stdafx.h 里面内容时,则不重新编译这些h，这样会让你更加高效地进行反反复复的run/debug操作。\stdafx.h”。7. 如果一个 .cpp 文件使用了预编译头文件，那么要在 .cpp 文件的最开头去包含 stdafx.h 文件，否则会跳过 #include “stdafx.h” 之前的 #include 代码。

这里所说的项就是键key，子项就是子键subkey，键的一条属性被称为一个value（值项），最底层的子键里面的项其实就是值项value，value由名称、类型、数据类型和数据组成，这里所说的值名对应的就是值项的名称，这里所说的值数据就是值项的数据）而DigitalProductId这类二进制数据的长度也是在函数RegQueryInfoKey中获取的（切记获取的这个长度不包括结尾的空字符0，所以我们为了读取该数据分配的空间大小，要在这个长度上加1）；（subkey)就是这个节点的子节点，子健也是键。

我不喜欢控件这个词，因为控件这个概念有点抽象，很容易让人摸不到头脑（控件到底是什么东西，它跟窗口有什么关系呢？），我更喜欢叫它预定义的窗口类。大家还记得么，我们在Windows 程序设计应用开发（上部） 第四章 windowsSDK编程。

该方法最实用，少INCLUDE文件你搜到后，就将该文件所在的目录添加到系统环境变量INCLUDE里面，少LIB文件你就将它的目录添加到系统环境变量LIB里面，少了添啥。将上述选项中的/WX修改为/WX-，/WX 是警告被视为错误，而 /WX- 是警告不被视为错误。目录中的include目录中，这样就可以在你项目.cpp中直接引用detours.h头文件。detours.lib生成成功，并会自动将detours.h、detver.h拷贝到。在vs中编译使用了Detours库的项目时，报上述错误。