植物大战僵尸:寻找阳光掉落Call
本次实验内容:本次实验将接触到Call调用这个概念,什么是Call调用\? Call相当于你在编程时所编写的函数,而高级语言中的函数最终也是会被编译器转换为汇编格式的Call调用,这些关键Call普遍都会存在各种参数,关于Call的作用,打个比方有些网游外挂可以实现自动寻路,自动吃药,自动打怪,甚至是全屏秒杀,这些功能是通过修改数值也无法做到的,Call就可做到。其实关键Call就是作者开发过程中写的一个个处理不同事件的独立的处理函数,这些函数包括了各种独立的游戏功能,而我们可以在远程进程中开辟线程,并通过汇编形式动态的调用这些关键Call,从而实现一些变态功能。
本次实验我们将通过查找阳光的掉落的定时器,并通过定时器变量顺藤摸瓜找到生成阳光的关键Call,通过给此Call传递不同参数实现掉落阳光,钻石,零秒通关等,阳光遍历技巧如下:
> 进入游戏等待阳光出现 \-> 当阳光出现后 \-> 马上搜索未知初始数值
> 返回游戏等待时钟发生变化 \-> 马上切回CE \-> 搜索减少的数值 \-> 阳光下落一点搜一点
> 经过上方步骤反复排查 \-> 最终能找到一个值范围\(0-700\) \-> 锁定1即可实现无限掉落
基址与偏移的找法,在文章开头就已经分享了查找的技巧,此处控制阳光掉落公式 `[[ + 5538]]`
> 00413B7C \- 83 86 38550000 FF \- add dword ptr \,-01 \<\<
> 004524F4 \- 8B 86 68070000 \- mov eax,\ \<\<
> 00599F75 \- A1 389F6A00 \- mov eax,\ \<\<
我们要找关键Call只需要等待阳光出现,当阳光出现后,CE会检测到一条数据 `add dword ptr ,-01` 说明此时定时器开始工作了,我们只需要记下这个内存地址`00413B7C`,然后关闭CE,并打开X64DBG附加到游戏。
打开X64DBG附加到游戏进程,然后按下`ctrl+G`定位到`00413B7C` 此时我们需要关注`add dword ptr ds:,0xFFFFFFFF`这条计时器指令下方,就是一个大跳转该跳转跳向了结束,那么我们可以猜测`jne 0x413BF1`跳过的内容很有可能就是跳过了阳光的生成过程,也就是可能跳过了阳光生成Call。
玩过此游戏的一定知道,游戏屏幕中不止可以掉落出阳光,还可以掉出其他的东西,比如钻石,金钱,奖牌等,那么我们有理由相信,该游戏中调用的Call应该有很多参数传递,比如掉落属性,掉落坐标,掉落类型等,而我们已经找到了阳光计时器每次递减的汇编代码,故猜测调用Call应该就在附近,向下查找发现有很多Call调用,但有一个比较特别的`call 0x40CB10`,之所以说它特别是因为该Call在调用之前,通过push传递了多了参数,此处很可疑,我们需要具体分析。
此时我们在`00413BE4`处下断点,然后回到游戏发现每当阳光出现的时候,此处就会断下,那么我们尝试给它传递不同的参数,例如给`eax`传递一个2,观察效果发现原本应该是出现阳光的地方,现在居然出现了金币。
经过上方的测试,发现我们猜测是合理的,那么这段代码,转换为C语言后应该是这样的:
```c
> push 0 普通掉落 push 2-3 其他掉落方式push 4 自动收集阳光 push 6 右侧滑出掉落
> eax=2 金钱 eax=3 钻石 eax=4 普通阳光eax=5 小的阳光 eax=6 大的阳光eax=8 自动通关神器
sub_00413BE4(push 0= 物品飞出状态,push eax= 掉落物品,push 0x3c,push edi= 对象状态,ecx= 游戏基地址)
{
return 0;
}
```
到此,我们还没有办法完成外部注入,因为据我观察程序中的edi寄存器与ecx寄存器中的数据是动态的,每次游戏重新运行都会发生变化,如果想要在外部调用这个Call函数,我们需要找到这两个寄存器的基址,或者说找到他们的来源。
我们先来分析第一个地址如何定位,第一个动态地址是EDI寄存器,这个寄存器每次存储一个整数,此处无法直接找基址,我采取的方式是从后向前逆推代码,观察那些指令改写了该寄存器,然后将这些改写寄存器的指令拼凑起来。
这些调用分别是上图中的,赋值1-赋值3外加一个`call 0x005AF400`,程序中正是通过这种方式计算出动态数据的,我们直接将其提取出来,提取后代码如下:
```C
mov eax,226
call 0x005AF400
mov edi,eax
add edi,64
```
再来分析第二个,第二个相对于第一个来说就好找许多了,因为它是一个动态地址,如下图我们记下 `13DCE000` 这个动态地址,然后直接在X64dbg中脱离游戏,这里不能结束游戏,如果结束了下次该地址又会发生变化。
CE直接附加游戏,然后我们来搜索十六进制数据`13DCE000`然后,你懂的,就是找基址,前面已经找过很多次了。
通过查找访问代码,就能找到一级偏移是768,继续记下`00FE4170`然后回到CE继续搜索。
到这里基地址出来了,其公式为``,从这里也可以看出,这应该是一个通用对象地址。
最后,我们整合并写出以下汇编代码,然后使用注入器注入到游戏测试。
```C
pushad
mov eax,226
call 0x005AF400
mov edi,eax
add edi,64
mov esi,dword ptr ds:[ 006a9ec0 ]
mov esi,dword ptr ds:[ esi + 768 ]
push 0
push 4
push 3c
push edi
mov ecx,esi
call 0x40cb10
popad
```
发现每当我们点击注入以后,程序中就会多出一个太阳,说明我们的汇编代码没有问题。
为了能够写出自己的外挂,我们需要实现一个简单的注入器,并能够通过远程的方式调用阳光生成Call,使用C语言编写如下代码即可实现注入效果,需要注意调用约定,此处我在Win10上测试没有问题,在Xp系统上会出现异常退出的情况。
```C
#include <stdio.h>
#include <Windows.h>
void AddSun()
{
__asm{
pushad
mov eax, 226
mov ebx, 0x005AF400
call ebx
mov edi, eax
add edi, 64
mov esi, dword ptr ds :
mov esi, dword ptr ds :
push 0h
push 0x4
push 0x3c
push edi
mov ecx, esi
mov edx, 0x40cb10
call edx
popad
}
}
void InjectCode(DWORD dwProcId, LPVOID mFunc)
{
HANDLE hProcess,hThread;
LPVOID mFuncAddr,ParamAddr;
DWORD NumberOfByte;
hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwProcId);
mFuncAddr = VirtualAllocEx(hProcess, NULL, 128, MEM_COMMIT, PAGE_EXECUTE_READWRITE);
WriteProcessMemory(hProcess, mFuncAddr, mFunc, 128, &NumberOfByte);
hThread = CreateRemoteThread(hProcess, NULL, 0, (LPTHREAD_START_ROUTINE)mFuncAddr, ParamAddr, 0, &NumberOfByte);
WaitForSingleObject(hThread, INFINITE);
VirtualFreeEx(hProcess, mFuncAddr, 128, MEM_RELEASE);
CloseHandle(hThread);
CloseHandle(hProcess);
}
int main()
{
for (int i = 0; i < 10;i++)
InjectCode(3644, AddSun);
}
```
至此我们的植物大战僵尸关于阳光的分析就到此结束了,其他的比如植物无敌,植物攻击加速等,就留一个作业,大家开动脑筋看能不能自己实现,回顾前面所讲的外挂制作技巧,你是否已经完全理解了呢?如果你能够吃透这些基础知识,那么相信你可以做出植物无敌,攻击加速等其他变态功能,其实逆向就是一个思路的问题,大家要多去思考,多去尝试,相信你会成功的!
页:
[1]