晨笛的博客

工具:SoftICE、金山游侠2002、VC++7.0、PE查看器、SPY++
测试平台：Window2000 Professional SP2

大家好！我先给大家拜个晚年，时间过真快工，一年又过去了，我也和大家分开一年了，真是感慨万分呀，不知道大还记得不记得YY了，不过我是不会忘记大家的。这一年真是太忙了，根本就没有时间再像从前那样在深夜里一边听着音乐一边写文章了，今天就着假期，再给大家充充电：D

今天YY给大家带来些什么呢？呵呵，看题目就知道了，看起来很酷吧，“高级游戏黑客”,什么？你说你就游戏黑客？看好了，是“高级”的！什么是高级的？等你看完这篇文章就知道了：D

首先我介绍一下将会用到的工具：
1、SoftICE（不用多说了吧，我想你应该会用）
2、金山游侠2002（这个你也应该会用）
3、VC++7.0(不要求你一定会用，但至少应该会一种编程工具)
4、PE查看器(你可以随意找一个，没有也没关系，我会教你用SoftICE查看)
5、SPY++(VC里的一个查看程序信息的工具，你可以和别的，比如Delphi和C++Builder的WinSight32)

然后就是你应该会的知识:
1、汇编基础
2、一些编程基础，至少应该看懂我介绍的几个API函数
3、PE文件结构的基础，不会也没关系，我会解释给你

以上几点你都具备了的话我们就可以开始了。

我来介绍一下我要教给你的东西。想必大家都玩过PC游吧，那么也一定用过一些专用的游戏修改器吧，比如暗黑，红警，大富翁这些经典的游戏都有它们专用的修改器，注意，我说的不是FPE之类的通用修改工具。

你试没试过用金山游侠修改红警二的金钱？如果有的话你应该知道每玩一次就要改一次，因为这个游戏是动态分配内存的，每次重新开始都会改变。所以你会选择到网上去下载一个专用的修改器，那么你有没有想过自己做一上呢？想过？那你为什么不做？什么不会？那就好办了，看了这篇教程你就会了：D费话少说，我来讲一下原理。

有一些经常修改游的朋友一定会知道，不论游戏中“物品”的内存地址是否是动态的，物品与物品之间相隔的距离都是不变的，我拿“楚留香新传”为例，我先用金山游侠查找内力值的内存地址，找到的结果是:79F695C，再查找物品“金创药”的地址是：328D1DC，现在我用79F695C减去328D1DC，得到：4769780，这个数就是内力值与金创药的偏移值，没看懂？接着看呀，我还没说完呢，现在重新再运行游戏，查找内力值的地址，得到：798695C再查找金创药得到的地址是：321D1DC，两个值的内存地址都改变了，但是用你内力值的地址减去金创药的地址得到的结果是什么？没错，还是4769780，也就是说，无论这两个值的内存地址变成多少，它们之间的距离是永远不变的，不光是这个游戏，一般的游戏都是，至少我没见过不是的：D

上面讲的东西总结出一个结论，那就是我们只要得到这两个地址中的任何一个，就可以得到另外一个，只要你知道它们之间的偏移量是多少。

我们第一步要做的就是得到这个地址，但是内存中的地址是动态改变的，得到也没有用，这里我就教你把它变成静态的，叫它永远都不变！我继续拿“楚留香新传”为例，如果你有这个游的话就跟我一起做，没有的也没关系，只要看懂这几个步骤就行了。开工！

首先进入游戏，查找内值的地址，得到的是：798695C（不知道为什么这上游并不是每次重起都改变内存地址），按Ctrl+D打开SoftICE，下命令：BPM 798695C W（写这个地址时则中断），回到游戏中，打开人物属性面板，游戏中断了，在SofitICE中你会看到这条指令：

0047EB17 MOV EAX [EDX+000003F4] 下命令：D EDX+3F4将看到内力值
0047EB1D PUSH EAX
………………………………
………………………………

从上面可看出0047EB17处的指令是将内力值的指针送到EAX寄存器中，这是一个典型的寻址方式，设想一下，我们是到了EDX中的基址，那么无论什么时候只要用EDX+3F4就可以轻松的得到内力值的地址，因为000003F4是一个常量，它是不会改变的，改变的只是EDX中的地址，所以只要有办法得到EDX中的值就什么都好办了，你明白了没有？如果还是不懂，那么请再看一遍。现在要做的就是如何得到这个值，下面我教给你如何做:

我的办法就是设计一段代码，把EDX中的值存放到一个地址中，然后运行这段代码，再返回游戏的原有指令继续执行，什么？补丁技术？SMC？随你怎么说啦，只要运行正常就一切OK啦：D

实际操作：
首先在程序中找一段空白处来存放我们设计的代码，很简单，只要懂得一些PE文件结构的朋友都会知道，一般在EXE文件的数据段（.data段）的结尾都会有一段缓冲区，我们可以在这段区域中写任何东西，当然你也可以用“90大法”找一段空白区，但我还是推荐你用我教给你的方法。上同我提到，如果你没有PE文件查看工具我可以教你用SoftICE查看，而且很简单，只要一个命令：MAP32 “模块名”，看一下我是怎么做的你就知道了。

Ctrl+D呼收出SoftICE，然后下命令：MAP32 CrhChs,这时你应该看到EXE各个段的信息，我们要注意的只是.data段，既然要找的是数据段的结尾，那么我们就从下一个段开始向上找，如下：

.data 004FB000
.rsrc 00507000

.data的下一个段是.rsrc段，它是从00507000开始的，也就是说以00507000为基础向上一个字节就是数据段的结尾，我所择从00506950处开始写代码，说了这么半天那么我们的代码到底是什么样子呢？修改后的指令又是什么样的呢？别急，请看下面:

修改0047EB17后代码：
0047EB17 JMP 00506950 //跳到我们的代码中去执行
0047EB1C NOP //由于这条指令原来的长度是6字节，而修改后的长度是5个字节，所以用一个空指令补上
0047EB1D PUSH EAX

//我们的代码：
00506950 MOV DWORD PTR EAX，[EDX+00003F4] //恢复我们破坏的指令
00506956 MOV DWORD PTR [00506961],EDX //把EDX保存以00506961中去
0050695C JMP 0047EB1D //返回原来的指令去执行

把上面的代码用SoftICE的A命令写入，OK！

现在我们试一下运行的效果，你现在用金山游侠搜索一下内力址的地址，什么又变了？那就地啦，它要是不变我们还用费这么大劲儿吗？记下这个地址返回到游戏中去，Ctrl+D呼出SoftICE，下命令 D *[00506961]+000003F4，在数据窗口看到什么了？呵呵，没错，看到了你刚才记住的那个地址，里面的数值正是内力的值，试着改一下，回到游戏中，呵呵，内力值变了吧：D

讲到这里，我们的工作已经完成了%90，但别高兴的太早，后面的%10要远比前的%90花的时间长，因为我们要用编程实现这一切，因为你不能每次都像刚才那样做一次吧！

现在我来说一下编程的步骤：
首先用FindWindow函数得到窗口句柄，然后用GetWindowThreadID函数从窗口句柄得到这个进程的ID，接着用OpenProcess得到进程的读写权限，最后用WriteProcessMemory和ReadProcessMemory读写内存，然后。。。。呵呵，你的修改器就做成啦:D

下面是我抄写以前写的修改器源程序片断，第一部分是动态写入刚才的代码，第二部分是读取并修改内力值，由于我没有时间整理和测试，所以不能保证没有错误，如果大家发现有遗漏的话，可以在QQ上给我留言或写信给我，代码如下:
有几点请大家注意：
1、写机器码时要一个字节一个字节的写
2、注意要先写入自己的代码，然后再修改游中的指令(下面的代码没有这样做，因为不影响，但是你应该注意这个问题)

[cpp]
//动态写入代码
//这部分是要写入的机器码的常量定义
//0047EB17
#define MY_CODE1 0xE9
#define MY_CODE2 0×34
#define MY_CODE3 0×7E
#define MY_CODE4 0×08
#define MY_CODE5 0×00
#define MY_CODE6 0×90
//00506950
#define MY2_CODE1 0×8B
#define MY2_CODE2 0×82
#define MY2_CODE3 0xF4
#define MY2_CODE4 0×03
#define MY2_CODE5 0×00
#define MY2_CODE6 0×00

#define MY3_CODE1 0×89
#define MY3_CODE2 0×15
#define MY3_CODE3 0×61
#define MY3_CODE4 0×69
#define MY3_CODE5 0×50
#define MY3_CODE6 0×00

#define MY4_CODE1 0xE9
#define MY4_CODE2 0xBC
#define MY4_CODE3 0×81
#define MY4_CODE4 0xF7
#define MY4_CODE5 0xFF

//这部分是变量的定义
DWORD A1 =MY_CODE1;
DWORD A2 =MY_CODE2;
DWORD A3 =MY_CODE3;
DWORD A4 =MY_CODE4;
DWORD A5 =MY_CODE5;
DWORD A6 =MY_CODE6;

DWORD B1 =MY2_CODE1;
DWORD B2 =MY2_CODE2;
DWORD B3 =MY2_CODE3;
DWORD B4 =MY2_CODE4;
DWORD B5 =MY2_CODE5;
DWORD B6 =MY2_CODE6;

DWORD C1 =MY3_CODE1;
DWORD C2 =MY3_CODE2;
DWORD C3 =MY3_CODE3;
DWORD C4 =MY3_CODE4;
DWORD C5 =MY3_CODE5;
DWORD C6 =MY3_CODE6;

DWORD D1 =MY4_CODE1;
DWORD D2 =MY4_CODE2;
DWORD D3 =MY4_CODE3;
DWORD D4 =MY4_CODE4;
DWORD D5 =MY4_CODE5;

HWND hWnd =::FindWindow(“CRHClass”,NULL); //得到窗口句柄
if(hWnd ==FALSE)
MessageBox(“游戏没有运行！”);
else
{
GetWindowThreadProcessId(hWnd,&hProcId); // 从窗口句柄得到进程ID
HANDLE nOK = OpenProcess(PROCESS_ALL_ACCESS|PROCESS_TERMINATE|PROCESS_VM_OPERATION|PROCESS_VM_READ|
PROCESS_VM_WRITE,FALSE,hProcId); //打开进程并得到读与权限
if(nOK ==NULL)
MessageBox(“打开进程时出错”);
else
{
//0047EB17
WriteProcessMemory(nOK,(LPVOID)0×0047EB17,&A1,1,NULL);
WriteProcessMemory(nOK,(LPVOID)0×0047EB18,&A2,1,NULL);
WriteProcessMemory(nOK,(LPVOID)0×0047EB19,&A3,1,NULL);
WriteProcessMemory(nOK,(LPVOID)0×0047EB1A,&A4,1,NULL);
WriteProcessMemory(nOK,(LPVOID)0×0047EB1B,&A5,1,NULL);
WriteProcessMemory(nOK,(LPVOID)0×0047EB1C,&A6,1,NULL);
//00506950
WriteProcessMemory(nOK,(LPVOID)0×00506950,&B1,1,NULL);
WriteProcessMemory(nOK,(LPVOID)0×00506951,&B2,1,NULL);
WriteProcessMemory(nOK,(LPVOID)0×00506952,&B3,1,NULL);
WriteProcessMemory(nOK,(LPVOID)0×00506953,&B4,1,NULL);
WriteProcessMemory(nOK,(LPVOID)0×00506954,&B5,1,NULL);
WriteProcessMemory(nOK,(LPVOID)0×00506955,&B6,1,NULL);
//第二句
WriteProcessMemory(nOK,(LPVOID)0×00506956,&C1,1,NULL);
WriteProcessMemory(nOK,(LPVOID)0×00506957,&C2,1,NULL);
WriteProcessMemory(nOK,(LPVOID)0×00506958,&C3,1,NULL);
WriteProcessMemory(nOK,(LPVOID)0×00506959,&C4,1,NULL);
WriteProcessMemory(nOK,(LPVOID)0×0050695A,&C5,1,NULL);
WriteProcessMemory(nOK,(LPVOID)0×0050695B,&C6,1,NULL);
//最后一句
WriteProcessMemory(nOK,(LPVOID)0×0050695C,&D1,1,NULL);
WriteProcessMemory(nOK,(LPVOID)0×0050695D,&D2,1,NULL);
WriteProcessMemory(nOK,(LPVOID)0×0050695E,&D3,1,NULL);
WriteProcessMemory(nOK,(LPVOID)0×0050695F,&D4,1,NULL);
WriteProcessMemory(nOK,(LPVOID)0×00506960,&D5,1,NULL);

CloseHandle(nOK); //关闭进程句柄
}
}
}

//读取并修改内力值
DWORD hProcId;
HWND hWnd =::FindWindow(“CRHClass”,NULL);
if(hWnd ==FALSE)
MessageBox(“No”);
else
{
GetWindowThreadProcessId(hWnd,&hProcId);
HANDLE nOK = OpenProcess(PROCESS_ALL_ACCESS|PROCESS_TERMINATE|PROCESS_VM_OPERATION|PROCESS_VM_READ|
PROCESS_VM_WRITE,FALSE,hProcId);
if(nOK == NULL)
MessageBox(“ProcNo!”);
else
{
DWORD buf1;
DWORD write;
BOOL OK=ReadProcessMemory(nOK,(LPCVOID)0×00506961,(LPVOID)&buf1,4,NULL); //读取我们保存EDX中的基础
if(OK ==TRUE)
{
write =buf1+0×000003F4; //得到内力值的地址
DWORD Writeed =0×00; //要修改的数值
BOOL B =WriteProcessMemory(nOK,(LPVOID)write,&Writeed,1,NULL);
if(B==FALSE)
MessageBox(“WriteNo”);
}
}
CloseHandle(nOK);
}
[/cpp]

啊，写的我手都麻啦，今天就到这里了，才疏学浅难免会有遗漏，请大家指教。

工具：SoftICE动态调试程序，游戏修改工具（金山游侠），反汇编（W32Dasm），Hex Workshop

一、找到内存中坦克X坐标

1、用金山游侠搜索，方法如下（金山游侠的使用我就不说了）
把坦克往左移动一些，就搜索“减少”；坦克往右移动，就搜索“增大”
反复搜索将会找到一个地址（当然其他游戏可能不止一个），这里是08BFAACC
注：动态的内存分配就是下次你如果再次搜索，地址将不再是08BFAACC

2、找到那条代码修改了这个数据（X坐标）
加载SoftIce
在游戏状态Ctrl+D调出SoftIce，输入BPM 08BFAACC W，这里的W表示如果这个地址被写将中断
回到游戏，移动坦克，左移一下，程序中断，SoftIce指向的上面一句是
004640B3 MOV DWORD PTR [ESI+000001A4],EAX
这句就是修改坦克坐标的代码，当然右移也能找到一句，这里就不重复了

3、修改程序使动态的数据变成静态
这里说点题外话，修改程序包括两种，一种是直接修改程序，一种是修改内存中的程序（内存补丁），这里由于我懒，所以用了第一种修改程序：疯狂坦克程序存在Fortress2.dat当中，如果你把这个文件改名为EXE文件一样可以运行，这里我们就把他修改成Fortress2.exe打开W32Dasm反汇编，SHIFT+F12跳到004046B3，你看到这几行

004046B3 8986A4010000 MOV DWORD PTR [ESI+000001A4],EAX
004046B9 8B8644020000 MOV EAX,DWORD PTR [ESI+00000244]
004046BF C744241001000000 MOV [ESP+10],00000001

刚才我们说了004046B3是修改X坐标的那条语句，现在我们要让他每次修改完程序就能够把X坐标存储到一个固定的地址现在要让它运行到这里就JMP到一个我们自己的代码的地方，于是在程序的尾部我们找到一段空白的区域00465A52，于是我修改004046BF为代码 JMP 00465A52，机器码为E98E130600，因为这句的长度不够以前的那句长，所以要加入几个NOP，机器码为90，所以我们打开HEX Workshop修改程序，CTRL+G跳到位移为000046BF的地方，看到了C744241001000000，我们把它修改为E98E130600909090，现在程序将一运行到这里就跳到00465A52运行我们的代码。

4、实现我们自己的代码，然后跳回
我们的代码要做的是把动态变成静态，
PUSH EAX
MOV EAX,[ESI+000001A4]
MOV [00470000],EAX
POP EAX
JMP 004046C7
这样这个数值无论运行多少次，只要你移动（当然右移也要修改）就能在00470000中找到X坐标，这段机器码为50 8B86A4010000 A300004700 58 E95BECF9FF
忘了说刚才我们把004046BF替换掉的那句MOV [ESP+10],00000001也必须加上，所以打开HEX Workshop,CTRL+G跳到00465A52，修改加入C744241001000000 50 8B86A4010000 A300004700 58 E95BECF9FF这样动态数据就变成了静态

现在回顾一下
.首先搜索坐标地址
.找到改变这个地址的代码
.修改代码让他跳到自己的代码中运行
.在程序的空白段加入自己的代码，当然要补上被替换了的那句，还有修改了寄存器，必须先PUSH,再POP

下面的工作就是写一个程序读取这个地址了，我用VC写了一个，顺便贴一下关键代码
[cpp]
CProcess m_process;
bool m_ret = m_process.FindProcess(“FortressII”);
if (m_ret)
{
BYTE tank1xL = m_process.ReadByte(0×00470000);
BYTE tank1xR = m_process.ReadByte(0×00470001);
WORD tank1x = tank1xL+tank1xR*256;
temp = tank1x;
str.Format(“%d”,temp);
m_tank1x=str;
UpdateData(FALSE);
return TRUE;
}
else return FALSE;
[/cpp]

CProcess是一个我编写的修改类，这里用到的函数代码如下
[cpp]
HANDLE CProcess::OpenProcess(char *p_ClassName, char *p_WindowTitle)
{
HWND hWindow;
DWORD pid;

hWindow = FindWindow(p_ClassName, p_WindowTitle);
if (hWindow) {
GetWindowThreadProcessId(hWindow, &pid);
return ::OpenProcess(PROCESS_ALL_ACCESS, false, pid);
}
return NULL;
}

bool CProcess::FindProcess(char *p_WindowTitle)
{
if (m_hProcess == NULL) {
m_hProcess = this->OpenProcess(NULL, p_WindowTitle);
if (m_hProcess)
m_bGameRunning = true;
return m_bGameRunning;
}
else
return false;
}

BYTE CProcess::ReadByte(DWORD p_Address)
{
DWORD bytes;
BYTE tmpValue;

if (m_bGameRunning) {
if (ReadProcessMemory(m_hProcess, (void*)p_Address,
(void *)&tmpValue, 1, &bytes) == 0)
return 0;
else
return tmpValue;
}
return 0;
}
[/cpp]

在IE浏览器地址栏中输入：
[javascript]javascript:s=document.documentElement.outerHTML;document.write(s);document.body.innerText=s;[/javascript]