项目实战——外挂开发(30小时精通C++和外挂实战)

news2024/11/24 13:39:08

项目实战——外挂开发(30小时精通C++和外挂实战)

  • 外挂开发1-监控游戏
  • 外挂开发2-秒杀僵尸
  • 外挂开发3-阳光地址分析
  • 外挂开发4-模拟阳光
  • 外挂开发5-无限阳光

外挂开发1-监控游戏

外挂的本质
有两种方式
1,修改内存中的数据
2,更改内存中的代码
找到内存地址,从此地址开始写入4个字节90909090

改代码和改数据是一样的,改阳光找到一个内存地址,将想改的数值填充到内存空间去
改代码,找到内存地址,将想要填充的数据填到内存空间

数据和代码没有本质区别

在这里插入图片描述

该内存改代码都是找到内存地址,像内存地址填充数据

明白这些后开始写代码
有个细节监控植物大战僵尸是否打开

创建一个新的线程

While(1){
If(植物大战僵尸打开){
可以点击按钮
}else{
不可以点击按钮
}
Sleep(1000);//为了不让其太过于频繁,此处隔着1秒检测一次
}

此循环是死循环,跳不出,会堵塞进程,导致其他事情干不了

所有这个代码要放到子线程去执行

打开上次写的程序创建线程
线程只需创建一次,我们在外挂程序一打开就创建线程,在初始化的地方创建

BOOL CPVZCheaterDlg::OnInitDialog()此为初始化对话框
// TODO:  在此添加额外的初始化代码
CreateThread();创建线程,返回handle句柄,通过线程句柄可以操控线程
CreateThread(
    _In_opt_ LPSECURITY_ATTRIBUTES lpThreadAttributes,
    _In_ SIZE_T dwStackSize,
    _In_ LPTHREAD_START_ROUTINE lpStartAddress,		函数地址,我们可以右击转到定义看此参数含义
    _In_opt_ __drv_aliasesMem LPVOID lpParameter,
    _In_ DWORD dwCreationFlags,
    _Out_opt_ LPDWORD lpThreadId
);
HANDLE WINAPI CreateThread
( 
  __in_opt   LPSECURITY_ATTRIBUTES lpThreadAttributes, // 指向SECURITY_ATTRIBUTES 的指针,为新线程指定安全描述 
  __in       SIZE_T dwStackSize, // 初始化线程堆栈尺寸 
  __in       LPTHREAD_START_ROUTINE lpStartAddress, //线程函数所指向的地址起始函数   
__in_opt   LPVOID lpParameter, // 给线程函数传递的参数   
__in       DWORD dwCreationFlags, // 有关线程的标志  
 __out_opt  LPDWORD lpThreadId //系统分配给线程的ID
 );  

要在dlg.h中创建句柄对象

	//子线程句柄
	HANDLE m_monitorThread;

m_monitorThread = CreateThread(NULL, NULL, func, NULL, NULL, NULL);
Func返回的应该是下面的类型值需要在全局区声明
 DWORD (WINAPI *PTHREAD_START_ROUTINE)(
    LPVOID lpThreadParameter
);

//用来监控游戏的线程
DWORD WINAPI monitorThreadFunc(LPVOID lpThreadParameter){
return NULL;
}

FindWindow();//查看窗口是否打开,两个参数窗口类名,窗口名称
FindWindowW(
    _In_opt_ LPCWSTR lpClassName,
_In_opt_ LPCWSTR lpWindowName);

都是字符串类型故使用
使用工具spy++,查找窗口的望远镜,拖到游戏窗口上去,
类型MainWindow
窗口名称Plants vs. Zombies GOTY

外挂开发2-秒杀僵尸

	//当游戏窗口关闭后,不仅禁止点击还要将之前打钩的去掉
	g_dlg->m_bnKill.SetCheck(FALSE);
	g_dlg->m_bnSun.SetCheck(FALSE);

接下来就是真正的秒杀僵尸了。

真的要秒杀僵尸该如何实现此功能
打开OD,将exe载入

CTR+G	找到修改内存的地址
00566D10  |.  89B5 C8000000 mov dword ptr ss:[ebp+0xC8],esi       

;

向上找到其生命值减少的代码

00566D06      2B7424 20     sub esi,dword ptr ss:[esp+0x20]

要想将其变成下方

00566D06      2BF6          sub esi,esi   
00566D08      90            nop
00566D09      90            nop

我们看的是其机器码就是将此内存地址00566D06开始的4个字节变成后面四个字节

00566D06      2B742420    

要想将其变成下方

00566D06      2BF69090      

这样就达到了秒杀僵尸的功能了,我们发现第一个字节都是一样的,我们改后面三个字节就可以了

00566D07     742420 	//原版不需要秒杀僵尸
00566D07     F69090   //需要秒杀僵尸

不需要秒杀僵尸就将742420 覆盖地址00566D07 的内存空间
需要秒杀僵尸就将F69090 覆盖地址00566D07 的内存空间,这两者来回切换,将内存的代码换来换去

这就牵扯到一个跨进程的问题,当勾选了秒杀僵尸后,就要将这3个字节写在植物大战僵尸的内存中。
这里有个函数

static HANDLE g_processHandle;//定义一个全局句柄,可以右击OpenProcess转到定义,发现返回是HANDLEWINAPI,OpenProcess,不需要指针

//这里封装的是全局函数
// 将某个值写入植物大战僵尸内存(后面的可变参数是地址链,要以-1结尾)
void WriteMemory(void *value, DWORD valueSize, ...)				//第一个参数传数据,第二个是数据有多大,如数据只有3个字节,...是个地址链
{
	if (value == NULL || valueSize == 0 || g_processHandle == NULL) return;

	DWORD tempValue = 0;

	va_list addresses;
	va_start(addresses, valueSize);
	DWORD offset = 0;
	DWORD lastAddress = 0;
	while ((offset = va_arg(addresses, DWORD)) != -1)
	{
		lastAddress = tempValue + offset;
		::ReadProcessMemory(g_processHandle, (LPCVOID)lastAddress, &tempValue, sizeof(DWORD), NULL);
	}
	va_end(addresses);

	::WriteProcessMemory(g_processHandle, (LPVOID)lastAddress, value, valueSize, NULL);
}
//下面是重载的函数比较简单,告诉写数据,数据占的字节,数据所在地址
void WriteMemory(void *value, DWORD valueSize, DWORD address) {
	WriteMemory(value, valueSize, address, -1);
}

	//下面三句代码放在此处是,肯定发现了游戏的窗口,句柄不为空,则进程句柄也不为空
			//获得植物大战僵尸的进程id
			DWORD processPid;
			GetWindowThreadProcessId(windowHandle, &processPid);//此处通过植物大战僵尸的窗口句柄拿到进程id
			//获得植物大战僵尸的进程句柄
			g_processHandle = OpenProcess(PROCESS_ALL_ACCESS, FALSE, processPid);//PROCESS_ALL_ACCESS访问内存,传权限访问内存数据,
			//此时进程句柄拿到了,我们就可以秒杀僵尸了等操作


void CPVZCheaterDlg::OnBnClickedKill()
{
	if (m_bnKill.GetCheck()){//需要秒杀僵尸
		BYTE data[] = {0xF6,0x90,0x90};//F69090 ,此处详情看Word,这是我们要写进内存的数据
		WriteMemory(data,sizeof(data),0x00566D07);//写入内存,需要进程句柄,具体内容如上所示,参数比较多相对复杂,这里直接封装了一些写内存的在上面
		//注意上面的写内存函数是我们自定义封装好的WriteMemory,而不是系统的WriteProcessMemory,在程序开头有,这里只需传三个参数,地址
	}
	else{//不需要秒杀僵尸
		BYTE data[] = { 0x74, 0x24, 0x20 };//742420 ,此处详情看Word,这是我们要写进内存的数据
		WriteMemory(data, sizeof(data), 0x00566D07);
	}
}

外挂开发就这么简单,步骤
先分析对应汇编在哪里,再搞清楚将汇编改成什么,搞清楚将汇编改成什么就能搞清楚将机器码换成什么,已经搞清楚将机器码换成什么到时候将内存地址写入对应机器码就可以了

外挂就是将内存中的数据或者机器码给换掉,这里其他僵尸如安全帽的秒杀就得靠自己找了,都是一样的

外挂开发3-阳光地址分析

#include <iostream>
using namespace std;

int g_age;

int main(){
	int a = 10;

	g_age = 20;

	//局部变量地址变来变去
	//cout << &a << endl;//00AFFA1C	00A3FBE0

	/*cout << &g_age << endl;*/

	getchar();
	return 0;
}

使用CE找到阳光内存地址
发现每次打开游戏阳光内存地址是不一样的

阳光是个类的成员变量,局部变量调用是在栈空间的,所以每次打开游戏内存地址不同
而全局变量只要编译之后,内存地址都是固定的

    7: 	int a = 10;
0076530E  mov         dword ptr [ebp-8],0Ah  
     8: 
     9: 	g_age = 20;
00765315  mov         dword ptr ds:[0076F354h],14h  

局部变量a的地址是ebp-8

全局变量g_age的值是0076F354h,它的地址是写死的,只要编译完了,最终机器码里就是这个
只要编译完了,那么之后无论打开多少次程序,执行的机器码都是那个机器码,那个机器码中的地址固定死的不会变

局部变量是会变的,a的地址是ebp-8,ebp寄存器中的值是会变的
但全局变量的地址0076F354h是固定死的。

大家都有的误区

内存是什么是虚拟内存,不是内存条上的地址,真正内存条上的东西是不允许你访问的,只允许操作系统访问,操作系统会将物理内存(真正内存条的内存)和虚拟内存挂钩

举例,32位系统没打开一个exe,都会为这个exe(也可以认为是进程)分配4GB的虚拟内存,如果再打开一个exe它也有4GB的虚拟内存。设这两个虚拟内存都有相同的内存地址0X110,但此内存地址对应的真正的物理内存地址是不同的,这个由操作系统管理。

我们程序员面对的都是虚拟内存,不管是什么开发,操作系统都是这样管理内存的。
我们讲的内存地址都是虚拟内存地址,不是内存条的物理内存地址,这就是操作系统内存管理的环节了。

向内存地址里面写代码,这个游戏无论打开还是关掉,这个外挂都是好使的,还有这个游戏和外挂放到被的电脑上打开,游戏和外挂都是好使的。这说明植物大战僵尸这个游戏它不管在谁的电脑上打开多少次,它的每句代码内存地址都是固定死的。

外挂开发4-模拟阳光

我们观察到阳光的地址值是发生变化的,证明阳光不是直接一个简单的全局变量,也不是局部变量内存,局部变量调用完就没了,我们发现游戏玩了很久阳光一直都在,不能说一个函数调用完这个阳光就没了。
阳光不是局部变量,那它可能是这样
有很多类,阳光是个类

#include <iostream>
using namespace std;

//int g_age;
struct Sun{
	int temp1;
	int value;//阳光值
};

//游戏数据可能会弄成全局
struct GameData{
	int temp;
	Sun *sun;
};

GameData *g_data;

int main(){

	g_data = new GameData();
	g_data->sun = new Sun();//首先创建一个阳光对象
	//程序每次打开都要new阳光,地址值变换

	g_data->sun->value = 20;
	cout << &g_data->sun->value << endl;

	getchar();
	return 0;
}

既然阳光地址值每次都不一样,那我们怎么去写外挂呢?
我们可以从GameData *g_data;入手,这个指针变量地址值是不变的,这是个全局变量,意味着内存地址不会变。

g_data指针指向GameData()对象,GameData()对象里的sun指针会指向Sun()对象,这个就是模拟的结构。

全局变量的地址值是不变的。
在这里插入图片描述

全局指针变量g_data的地址值是固定死的,它存储的是gamedata的地址,我们可以通过这个找到g_data的存储空间里存储的地址(new出来的是变化的),就能找到gamedata的存储空间,找到了gamedata的存储空间就能找到成员变量sun指针(跳过前面4个字节地址)变量的存储空间,知道它里面存储的值(阳光存储空间的地址值)就能找到阳光存储空间,就能找到阳光存储空间中的阳光值value(跳过前面8个字节地址)。

只要顺着这固定死的g_data的地址值就能一直找到最后。

无论new多少次都有办法找到value在哪里,虽然每次new的对象地址发生变化了。
只要结构是这样的,我们只要找到固定死的就能找到最后的value。

New出来的地址每次是不一样的。

使用汇编来表示

0x100	是全局变量g_data的地址值
[0x100]	这是gamedata对象的地址值(中括号是取出0x100地址所存储的值)
[0x100]  是变量temp的地址值
[0x100]+0x4	这是sun指针变量的地址值
[[0x100]+0x4]	这是sun对象的地址值(sun指针变量的地址所存的东西)
[[0x100]+0x4]	+ 0X8	这就是value阳光之的内存地址

尽管阳光之value是放到堆空间的,内存地址不断的变,但我仍然可以通过一些固定的数值找到value的存储空间。

我们在使用CE时,右下角有个手动添加地址(add address manual),这里可以添加地址(此处地址为 固定地址)

先添加地址为0080F354先勾选指针,有个偏移先偏移4,后偏移8.点击确定

外挂开发5-无限阳光

关键是找阳光的上级的固定地址值全局变量

不太好找,结构非常复杂

需要不断调试,找到

到此就讲完了
无CD是可以自己找的

每个游戏不一样,代码不同,主要难点在于分析代码,这个外挂就是改内存改代码仅此而已。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1951230.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

跟李沐学AI:池化层

目录 二维最大池化 填充、步幅和多个通道 平均池化层 池化层总结 二维最大池化 返回滑动窗口中的最大值。 图为池化窗口形状为 22 的最大池化层。着色部分是第一个输出元素&#xff0c;以及用于计算这个输出的输入元素: max(0,1,3,4)4。池化层与卷积层类似&#xff0c;不断…

数据库中的事务

一、理解事务 1、本质 事务由一组DML语句组成&#xff0c;这一组语句要么全部成功&#xff0c;要么全部失败。在逻辑上&#xff0c;事务就是一组sql语句&#xff0c;但在实际中&#xff0c;公共的数据库一定会高并发地接受各种事务的请求&#xff0c;所以一个事务要有4个属性…

centos7 xtrabackup mysql(8)增量备份(1)

centos7 xtrabackup mysql&#xff08;8&#xff09;增量备份&#xff08;1&#xff09; 参考 xtrabackup-8.0的安装、备份以及恢复&#xff08;innoxtrabackup有待测试&#xff09; https://blog.csdn.net/DWJRIVER/article/details/117792271 https://blog.csdn.net/qq_28…

力扣高频SQL 50 题(基础版)第四题

文章目录 力扣高频SQL 50 题&#xff08;基础版&#xff09;第四题584.寻找用户推荐人题目说明思路分析实现过程准备数据实现方式结果截图 力扣高频SQL 50 题&#xff08;基础版&#xff09;第四题 584.寻找用户推荐人 题目说明 表: Customer -------------------- | Colu…

Weakly Supervised Contrastive Learning 论文阅读

Abstract 无监督视觉表示学习因对比学习的最新成就而受到计算机视觉领域的广泛关注。现有的大多数对比学习框架采用实例区分作为预设任务&#xff0c;将每个实例视为一个不同的类。然而&#xff0c;这种方法不可避免地会导致类别冲突问题&#xff0c;从而损害所学习表示的质量…

智能算法驱动的爬虫平台:解锁网络数据的无限潜力

摘要 在信息爆炸的时代&#xff0c;网络数据如同深海宝藏&#xff0c;等待着有识之士发掘其无尽价值。本文将探索智能算法驱动的爬虫平台如何成为解锁这一宝库的关键&#xff0c;不仅剖析其技术优势&#xff0c;还通过实例展示它如何助力企业与开发者高效、稳定地采集数据&…

Codeforces Round 654 (Div. 2) C. A Cookie for You (模拟)

我认为这道题就是个脑筋急转弯。 首先我们知道当a b < n m的时候&#xff0c;饼干总数都不够人的总数&#xff0c;那肯定是NO。 并且注意题干&#xff0c;我们可以得知当a b的时候&#xff0c;第一类和第二类人可以任意选两种饼干中的一种。 之后我们可以分类讨论一下。 …

【SpringBoot】 4 Thymeleaf

官网 https://www.thymeleaf.org/ 介绍 Thymeleaf 是一个适用于 Web 和独立环境的现代服务器端 Java 模板引擎。 模板引擎&#xff1a;为了使用户界面和业务数据分离而产生的&#xff0c;它可以生成特定格式的文档&#xff0c;用于网站的模板引擎会生成一个标准的 html 文档…

【vue前端项目实战案例】Vue3仿今日头条App

本文将开发一款仿“今日头条”的新闻App。该案例是基于 Vue3.0 Vue Router webpack TypeScript 等技术栈实现的一款新闻资讯类App&#xff0c;适合有一定Vue框架使用经验的开发者进行学习。 项目源码在文章末尾 1 项目概述 该项目是一款“今日头条”的新闻资讯App&#xf…

防爆开关的类型及工作原理,你了解多少?

在工业生产中&#xff0c;安全始终是首要考量。特别是在易燃、易爆环境下的作业&#xff0c;如化工厂、油库、矿井等场所&#xff0c;任何微小的火花都可能引发灾难性的后果。防爆开关作为一种关键的安全设备&#xff0c;其重要性不言而喻。 【一、防爆开关的定义与重要性】 …

高翔【自动驾驶与机器人中的SLAM技术】学习笔记(四)高斯牛顿法详解

一、高斯牛顿法详解 拓展阅读&#xff1a;高斯牛顿法详解_gauss-newton算法步骤-CSDN博客 1、梯度下降法 ​ ​ ​ 无论一阶泰勒展开&#xff0c;还是二阶泰勒展开都是关于增量​的方程。 2、牛顿法 ​ 这个自变量增量都是可求的。但是二阶求解复杂。因此为了简化有了下…

2023IMO预选题几何第6题

锐角 △ A B C \triangle ABC △ABC 的外接圆为 ω \omega ω, 圆 I I I 与 ω \omega ω 内切于 A A A, 且与 B C BC BC 切于点 D D D. 设直线 A B AB AB, A C AC AC 分别与 I I I 交于点 P P P, Q Q Q, 点 M M M, N N N 在直线 B C BC BC 上, 满足 B B B 是 …

【Golang 面试基础题】每日 5 题(九)

✍个人博客&#xff1a;Pandaconda-CSDN博客 &#x1f4e3;专栏地址&#xff1a;http://t.csdnimg.cn/UWz06 &#x1f4da;专栏简介&#xff1a;在这个专栏中&#xff0c;我将会分享 Golang 面试中常见的面试题给大家~ ❤️如果有收获的话&#xff0c;欢迎点赞&#x1f44d;收藏…

探索Linux-1-虚拟机远程登陆XShell6远程传输文件Xftp6

Linux是什么&#xff1f; Linux是一个开源的操作系统内核&#xff0c;由林纳斯托瓦兹&#xff08;Linus Torvalds&#xff09;于1991年首次发布。它基于Unix操作系统&#xff0c;但提供了更多的自由和灵活性。Linux内核是操作系统的核心部分&#xff0c;负责管理系统资源、处理…

【HarmonyOS】应用推送使用个推SDK如何实现?

【HarmonyOS】应用推送使用个推SDK如何实现&#xff1f; 前言 个推和极光都是市面上很成熟的推送第三方SDK了。今天讲讲个推SDK在鸿蒙中如何集成使用。 存在即合理&#xff0c;三方SDK推送给我们带来了极大的好处&#xff0c;首先在服务器后台处理一套API就可搞定&#xff0…

lambda 28

package Api;public class local7 {public static void main(String[] args) {Swimmimg w()->{System.out.println("方式");};} } interface Swimmimg{void run(); }/* public static void main(String[] args) {Animal a new Animal(){Overridepublic void…

基于高光谱图像的压缩感知网络

压缩感知算法原理 压缩感知&#xff08;Compressed Sensing, CS&#xff09;是一种信号处理技术&#xff0c;它允许在远低于Nyquist采样率的情况下对信号进行有效采样和重建。压缩感知理论的核心思想是利用信号的稀疏性&#xff0c;通过少量的线性测量重建出原始信号。以下是压…

指令重排:

目录 指令重排&#xff1a; 代码&#xff1a; 执行结果&#xff1a; 分析原因&#xff1a; 解决办法&#xff1a; 加入语句&#xff1a; 完整代码&#xff1a; 补充&#xff1a; 1.printStackTrace(); 2.yield() 指令重排&#xff1a; 在class文件执行的时候&#…

OAK-FFC 分体式相机使用入门介绍

概述 OAK FFC 主控板和多种可选配镜头模组非常适合灵活的搭建您的3D人工智能产品原型。由于镜头是分体式的&#xff0c;因此你可以根据需要测量的距离&#xff0c;自定义深度相机安装基线&#xff0c;并根据你的项目要求&#xff08;分辨率、快门类型、FPS、光学元件&#xff…