自制 war3 map hack

http://blog.csdn.net/aj3423/article/details/6670529

 

0. 工具

  OD(ollydbg), CE (cheat engine),war3 1.24, win7

1. 目标功能

  去除战争迷雾,只是走过的地方永久可见。

3. 猜测

  如果你来写 war3,你是否会用一个 bool 变量比如 hasFog, 界面每次重画时候都判断该变量,是 true 就加迷雾,false 就去迷雾。至于你会不会这样写,我反正会这样写。

4. 用 CE 找当前游戏 hasFog 内存地址

  用 OD 加载 war3.exe(加参数-window),建一单机游戏,此时是有迷雾的(hasFog == true)。

  操作:用CE打开war3.exe,搜索内存为1的值(true==1),列出无数个地址。然后输入全图指令 iseedeadpeople,此时 hasFog == false,到CE中,在上次搜索结果里继续搜索0的值。

  重复上述操作步骤,直到剩下少数几个地址

  范围被缩小到了7个地址,一个个试。先双击第一个,CE下方会出现该地址,双击value那一列,修改为0,war3迷雾还在,说明不是这个地址。

  重复上述步骤, 直到 这个地址

  0A8D009C 就是 hasFog,到此 CE 的工作结束

  写段代码直接改这个地址为 0 就ok了?no

  上面找到的 hasFog 地址,在每次建游戏时候都会变(从CE中也可以看出,静态地址是绿色,黑色的是动态地址)

5. OD 分析

  如何动态找这个 hasFog 地址?war3 是怎么找的我们也怎么找,如果在 hasFog 处加写断点,然后打全屏指令,war3 就会找到该地址,并且写入值。

  ok,换到 OD,在 0A8D009C 处加内存写入断点,然后到 war3 输入 iseedeadpeople, 断在 6F408906

(ctrl+A 分析该函数可以看到整个函数范围)

分析: esi 可能是指向这样一个struct

[cpp] view plaincopy

  1. struct MapInfo { 
  2. BYTE unknown[0x14]; 
  3. bool hasFog; 
  4.   .... 

看这个esi是怎么来的,往上几行可以看到

注释1:war3是vc编译的,vc处理类成员函数时候就是把 this 指针放到 ecx 中,然后 call 函数,比如

[cpp] view plaincopy

  1. class A { 
  2. void hello() {} 
  3. }; 
  4. A a; 
  5. a.hello(); // 这句的汇编代码为

[cpp] view plaincopy

  1. mov ecx, a 
  2. call hello 

猜测: 全局变量 [6FACD44C] 里放的是 GAME 指针,包含各种游戏信息,
GAME + 0x34 处,放的是 MapInfo 指针,里面放的map信息,包括 hasFog, 大致是

[cpp] view plaincopy

  1. struct GAME { 
  2. BYTE unknown[0x34]; 
  3.   MapInfo* map_info; 
  4.   ... 

在 od 中,按工具条的 M 按钮,查看内存镜像

因为 dll 每次加载到内存的位置可能不同,所以 dll 的内存地址采用 基址+偏移 组成,基址可能会变,但偏移不变。
对于全局变量 6FACD44C,是由基址 6F000000 + ACD44C组成,
整个过程就是
1. 找 game.dll 基址
2. 用 基址+ACD44C 找全局变量 GAME 指针
3. 从GAME 的 0x34 偏移处找到 MapInfo
4. 修改 MapInfo 0x14 偏移处的 hasFog
以下是代码:

[cpp] view plaincopy

  1. // main.cpp
  2. #include <windows.h>
  4. #include <iostream>
  5. using namespace std; 
  7. #define W3_CLASS "Warcraft III"
  9. #include "mem_manip.h"
  11. typedef struct process_info_ { 
  12. HWND    hwnd; 
  13. DWORD   pid; 
  14. HANDLE  hProcess; 
  15. } process_info; 
  18. int WINAPI WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpCmdLine, int nCmdShow) { 
  20.     process_info ps; 
  22.     ps.hwnd = ::FindWindow(W3_CLASS, NULL); 
  23. if(!ps.hwnd) { 
  24. throw("no war3 found"); 
  25.     } 
  27.     ::GetWindowThreadProcessId(ps.hwnd, &ps.pid); 
  29.     EnableDebugPrivilege(); 
  31.     ps.hProcess = ::OpenProcess(0x1FFFFF, FALSE, ps.pid); //0x1FFFFF from dll_injector
  33. if (ps.hProcess == NULL) { 
  34. throw("OpenProcess error"); 
  35.     } 
  37. DWORD GAME_DLL_BASE = GetBaseAddress(ps.pid, "game.dll"); 
  38.     cout << "base of game.dll: " << hex << GAME_DLL_BASE << dec << endl; 
  41. DWORD GAME = GAME_DLL_BASE + 0x00ACD44C; 
  42. DWORD addr; 
  44.     cout << "try to read: " << hex << GAME << dec << endl; 
  45.     ReadProcessBYTES(ps.hProcess, GAME, &addr, 4); 
  46.     cout << "1. addr = " << hex << addr << dec << endl; 
  48.     addr += 0x34; 
  49.     ReadProcessBYTES(ps.hProcess, addr, &addr, 4); 
  51.     cout << "2. addr = " << hex << addr << dec << endl; 
  53.     addr += 0x14; 
  55. DWORD zero = 0; 
  56.     WriteProcessBYTES(ps.hProcess, addr, &zero, 4); 
  58.     cout << "done!" << endl; 
  60. return 0; 

[cpp] view plaincopy

  1. // mem_manip.h
  2. #include <windows.h>
  3. #include <stdio.h>
  4. #include <tlhelp32.h>
  6. void  EnableDebugPrivilege() { 
  7. HANDLE hToken; 
  8.   LUID seDebugNameValue; 
  9.   TOKEN_PRIVILEGES tkp; 
  11. if ( !OpenProcessToken( GetCurrentProcess(), 
  12.       TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &hToken)) return; 
  14. if ( !LookupPrivilegeValue( NULL, SE_DEBUG_NAME, &seDebugNameValue) ) 
  15.      { CloseHandle( hToken ); return; } 
  17.   tkp.PrivilegeCount = 1; 
  18.   tkp.Privileges[0].Luid = seDebugNameValue; 
  19.   tkp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED; 
  21. if ( !AdjustTokenPrivileges( hToken, false, &tkp, sizeof(tkp), NULL, NULL)) 
  22.      { CloseHandle( hToken ); return; } 
  26. void WriteProcessBYTES(HANDLE hProcess, DWORD lpAddress, void* buf, int len) { 
  27. DWORD oldprot,dummy = 0; 
  28.     VirtualProtectEx(hProcess, (void*) lpAddress, len, PAGE_READWRITE, &oldprot); 
  29.     WriteProcessMemory(hProcess, (void*) lpAddress, buf, len, 0); 
  30.     ::FlushInstructionCache(hProcess, (void*)lpAddress, len); 
  31.     VirtualProtectEx(hProcess, (void*) lpAddress, len, oldprot, &dummy); 
  34. void ReadProcessBYTES(HANDLE hProcess, DWORD lpAddress, void* buf, int len) { 
  35. DWORD oldprot, dummy = 0; 
  36.     VirtualProtectEx(hProcess, (void*) lpAddress, len, PAGE_READWRITE, &oldprot); 
  37.     ReadProcessMemory(hProcess, (void*) lpAddress, buf, len, 0); 
  38.     VirtualProtectEx(hProcess, (void*) lpAddress, len, oldprot, &dummy); 
  44. DWORD GetBaseAddress(DWORD pid, const char* ModuleName) { 
  45. // Typedefs for toolhelp32
  46. typedef BOOL (WINAPI *fnModule32First)(HANDLE hSnapshot, LPMODULEENTRY32 lpme); 
  47. typedef BOOL (WINAPI *fnModule32Next)(HANDLE hSnapshot, LPMODULEENTRY32 lpme); 
  48. typedef HANDLE (WINAPI *fnCreateToolhelp32Snapshot)(DWORD dwFlags, DWORD th32ProcessID); 
  50. // Find out if the toolhelp API exists in kernel32
  51. HMODULE k32=GetModuleHandle("kernel32.dll"); 
  53. if (!k32) { 
  54. throw("Unable to get handle of KERNEL32.DLL."); 
  55.     } 
  57.     fnModule32First Module32First = (fnModule32First)GetProcAddress(k32, "Module32First"); 
  58.     fnModule32Next Module32Next = (fnModule32Next)GetProcAddress(k32, "Module32Next"); 
  59.     fnCreateToolhelp32Snapshot CreateToolhelp32Snapshot=(fnCreateToolhelp32Snapshot)GetProcAddress(k32,"CreateToolhelp32Snapshot"); 
  62. // Verify that the ToolHelp32 API is available
  63. if (!(Module32First) || !(Module32Next) || !(CreateToolhelp32Snapshot)) { 
  64. throw("Your operating system does not support the TOOLHELP32 API.\nCheck back for updates that use PSAPI instead."); 
  65.     } else { 
  66. // toolhelp code
  68. HANDLE hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPMODULE, pid); 
  70. if ((int)hSnapshot == -1) { 
  71. throw("Can't create toolhelp32 snapshot of game."); 
  72.         } 
  74.         MODULEENTRY32 lpme; 
  75.         lpme.dwSize=sizeof(MODULEENTRY32); 
  77. // Get first module, this is needed for win9x/ME
  78. if (!Module32First(hSnapshot, &lpme)) { 
  79.             CloseHandle(hSnapshot); 
  80. throw("Can't get first module of game."); 
  81.         }; 
  83. // Loop through all other modules
  84. while (TRUE) { 
  85. if (!stricmp(lpme.szModule, ModuleName)) { 
  86.                 CloseHandle(hSnapshot); 
  87. return (DWORD)lpme.modBaseAddr; 
  88.             } 
  90. if (!Module32Next(hSnapshot, &lpme)) { 
  91.                 CloseHandle(hSnapshot); 
  92. return 0; 
  93.             }; 
  94.         } 
  96. return 0; 
  97.     } 

[javascript] view plaincopy

  1. <pre name="code" class="cpp"><pre name="code" class="javascript"><pre name="code" class="php"></pre> 
  2. <pre></pre> 
  3. <pre></pre> 
  4. <pre></pre> 
  5. <pre></pre> 
  6. <pre></pre> 
  7. <pre></pre> 
  8. <pre></pre> 
  10. </pre></pre> 
posted @ 2013-01-13 14:59  adodo1  Views(934)  Comments(0Edit  收藏  举报