植物大战僵尸:无冷却分析方法

植物大战僵尸这款游戏可以说是很多90后的回忆了,基本上只要是90后或多或少的都接触过,而玩游戏与制作辅助是两个概念,今天我将给大家分享一些游戏辅助方面的制作技巧,之所以使用植物大战僵尸这款游戏是因为游戏简单容易分析,且不需要考虑驱动保护版权等相应的问题,这里我会把我的分析思路分享出来,来供大家参考。

植物无冷却的实现

根据上节课查找太阳花生产速度的遍历技巧,你一定会想到,此处植物的槽位有很多个,那我可不可以通过上节课的内容,找到两个相邻植物之间结构的相对偏移,然后找到第一个植物的基址并通过基址与偏移动态获取冷却数据呢?

想法虽然是不错,不过此处如果你去查找第一个植物的基址的话,或许会让你失望,你根本找不到第一个植物的基址!原因很简单,植物冷却结构是游戏运行后动态开辟的内存空间,该空间可能通过堆栈存储数据。

并且游戏作者也并没有分别给每一个植物分配一个定时器,而是使用了一个通用定时器来管理所有植物的冷却,如果去查基址无论查找哪个植物最终都会定位到时钟的计时代码上,你或许会想,尼玛一个定时器管理所有植物冷却?怎么可能,其实是可以的!经过我的分析,我写出了大体实现代码,游戏中的冷却实现可能是如下代码:

#include <stdio.h>

struct MyStruct
{
	int BotanyID;         // 植物ID号
	int BotanyTime;       // 植物当前时间
	int BotanyRecTime;    // 冷却周期
	int BotanyFlag;       // 当前植物状态
};

int main()
{
	struct MyStruct SunFlower = { 0, 0, 700, 0 };     // 太阳花动态地址
	struct MyStruct Botany = { 1, 0, 1000, 0 };       // 豌豆射手动态地址
	while (true)
	{
		SunFlower.BotanyTime++;
		Botany.BotanyTime++;

		if (SunFlower.BotanyTime == SunFlower.BotanyRecTime)
		{
			SunFlower.BotanyFlag = 1;
			SunFlower.BotanyTime = 0;
			printf("太阳花冷却完成了....\n");
		}
		else if (Botany.BotanyTime == Botany.BotanyRecTime)
		{
			Botany.BotanyFlag = 1;
			Botany.BotanyTime = 0;
			printf("豌豆射手冷却完成了....\n");
		}
		Sleep(10);   // 模拟时钟定时
	}
	return 0;
}

上方代码中,结构体MyStruct部分存储的就是单个植物的属性,其中植物的属性可能包括植物ID,植物当前冷却计时,植物冷却周期,以及植物的当前状态,而随着选择不同植物卡片,游戏会根据选择植物的多少以及植物属性来动态分配内存空间。

经过对游戏的分析,冷却时间是一个递增的定时器(此处可通过CE查找验证),作者为什么会用递增计时器呢?因为递增到一定程度变成0,0则表示冷却完成,那么也就不需要单独使用一个标志位来存储植物当前状态了。

除此之外,游戏中控制植物冷却的时钟只有一个,那么通过递增计时器,对照不同植物的冷却周期,就可用一个定时器控制所有植物冷却,而如果用递减定时器,虽然也可以,但是却不方便编程实现。

接下来我们将去验证这一个猜测,首先说一下无冷却的遍历技巧,无冷却的话有两种方式可以遍历:

无冷却的遍历技巧1
打开CE->回到游戏种植一颗向日葵 -> 扫描未知初始数值
然后切回游戏 ->马上切回CE ->搜索变动的数值 -> 一直重复 ->直到冷却结束
此时不进行任何建造 -> 回到CE -> 搜索未变动的数值 -> 依次排查

无冷却的遍历技巧2
打开CE-> 搜索类型选择字节类型-> 在植物亮的状态时搜索1
拿起植物-> 搜0 -> 放下植物搜1 ->拿起植物搜0-> 一直重复-> 地址一般在最后面

这里我经过分析知道了这个定时器是一个递增定时器,那么我就使用查找递增的方式来找了,节约时间。

首先当关卡开启时,默认樱桃炸弹是在冷却状态下的,我们直接搜索未知初始化数据,然后回到游戏搜索增加的数值不断重复,当樱桃炸弹冷却结束后直接搜索减少的数值,由于冷却结束这个数值会变为0,因此直接找数值是0的哪一个就是樱桃炸弹的冷却时钟,找到后直接查看写入,会得到0048728C - 83 47 24 01 - add dword ptr [edi+24],01

接着我们种下一个豌豆射手,然后用同样的遍历技巧找到豌豆射手的冷却周期,同样的查找写入,会发现其出现的地址与樱桃炸弹地址相同,说明游戏中所有的植物都是在共用add dword ptr [edi+24],01这条代码进行计时的。

此时我们知道了樱桃炸弹的冷却时间地址是011F33CC我们还知道豌豆射手的地址是011F332C,接下来我们通过使用CE提供给我们的插件,结构爬行器来对比两个结构之间的差异,可知偏移为0的位置就是我们植物的当前冷却时间,而紧随其后的5000/750则分别代表的是植物的冷却周期,最后的2代表的樱桃炸弹卡片的位置,而0则代表豌豆射手的卡片位置。

分析到此接下来就是修改了,此处我们有两种修改方式,第一种是修改植物的冷却时间锁定为0,即可实现植物无冷却,另一种改法是将植物的冷却周期修改的低一些,这样同样能实现快速完成冷却。

我们的冷却地址是一个动态的,下一步应该是找基址,不过这款游戏中的无冷却无法直接找到基址,不信你可以找找看!

为了能通过编程的方式修改程序,此处我们可以直接使用硬编码的方式写入内存数据,如下图所示:

上图中已经做好了备注,此处改法有很多,你可以直接将add dword ptr ds:[edi+24],1里面的1修改为64这样一来植物的冷却速度就会变快,其次你也可以直接将jle plantsvszombies.4872AC处的指令直接nop掉,由于所有植物都会共用这一处区域进行冷却的验证,所以只要此处修改,所有的植物都会无冷却。

原创作品:转载请加出处,您添加出处,是我创作的动力!

posted @ 2019-12-02 08:06  lyshark  阅读(4501)  评论(0编辑  收藏  举报

loading... | loading...
博客园 - 开发者的网上家园