内容参考于:易道云信息技术研究院VIP课
上一个内容:物品使用的逆向分析与C++代码的封装-CSDN博客
码云地址(ui显示角色数据 分支):https://gitee.com/dye_your_fingers/sro_-ex.git
码云版本号:7563f86877c7b6033de49ed035e095a726f9d8fb
代码下载地址,在 SRO_EX 目录下,文件名为:SRO_Ex-物品丢弃的逆向分析与C++代码的封装.zip
链接:https://pan.baidu.com/s/1W-JpUcGOWbSJmMdmtMzYZg
提取码:q9n5
--来自百度网盘超级会员V4的分享
HOOK引擎,文件名为:黑兔sdk.zip
链接:https://pan.baidu.com/s/1IB-Zs6hi3yU8LC2f-8hIEw
提取码:78h8
--来自百度网盘超级会员V4的分享
以 物品使用的逆向分析与C++代码的封装-CSDN博客 它的代码为基础进行修改
首先还是通过上一个内容中写的,在WSASend函数上下断点,一路ctrl+f9,再按f8,找分界点。
最终可以发现,下图位置是最后的分界点,jmp之后会到,移动的话会进入移动的处理函数,使用物品的话进入使用物品的函数,丢弃物品就会去丢弃物品的函数,这里是一个关键点,0x914E98
然后在往上一层由于看不到入参,就又反了一层,然后就来到下图位置 0x8526A6,这里的入参都是写死的,然后又esi是变化的,通过断点可以看出,它是物品的索引,当前丢弃的是弓箭,工具正好处在数组下标2位置
然后为了找ecx的值从哪来的,一路往上反,然后查看ecx的值第一次出现在那,然后就重复ctrl+f9再按f8然后给上一行下断点测试,最终来到下图位置0x70D8B0
ecx它的值会在esi+7C4位置获取,然后通过esi+7C4的写入再跟
然后设置内存写入断点
然后断点放行会发现esi+7C4位置的值会变,所以必须要追一追了,因为找esi没有用了,因为esi+7C4是用来记录一个临时性的东西
然后来到下图位置,它肯定还有一个写入的地方
第二个写入位置,它的值来自于eax,eax又来自于参数
然后按ctrl+f9再按f8,来到它的上一层,然后看出它是来自于esp+14所以它一定是来自于上一层了,esp寄存器与栈有关,栈一般用来存放入参,或者局部变量
然后到这游戏掉线了重新登录,内存地址都变了,下方的图不要盯着与上方的内存地址不一样,只需要盯着分析方法。
重新登录之后来到0x852127,然后丢弃物品触发0x852127位置的断点,然后按ctrl+f9再按f8,来当上一层,然后这里它的参数来自于edi
通过x96dbg的高亮查看edi是来自于ecx,所以在此来到上一层
然后就来到了下图红框位置
然后ecx的值来自于esi,esi的值来自于一个函数返回值,下图红框里的函数
然后0xC7E420函数里是一个全局变量,所以找到了基址
由于之前掉线了,导致内存地址不一样,所以这里要测试 0x1256c38 的值对不对,然后在内存里显示它
然后发现 0x1256c38 它的值会根据鼠标移动而变化,应该是跟ui有关,不同的窗口由不同的值,把鼠标移动到丢弃物品窗口上,它俩的值是一样的
所以它不稳定,然后它就并不是我们要找的,然后对 0x1256c38 下写入断点
然后返回游戏就直接卡到下图位置了,然后它的数据又是从上一层得到的,所以还要继续往上
这里的参数是通过函数返回值得到的,然后这个位置它会不停的断下来
它 0xC8DE5E位置调用的函数 的入参好像是鼠标的坐标
它的返回值也是与0x1256C38的值一样
然后把它的入参改成999999
返回值就是0,也就是没找到窗口,它的返回值应该是跟ui绑定的一个东西
它的整个逻辑,首先就是它会弹出一个确认窗口,如下图,它弹这个对话框的时候,为了保证后续的操作,所以必须要,传递一个指针给窗口(ui),传的过程,我们现在所处的位置是弹出窗口不按是它也会触发,所以现在是处于弹出窗口的过程,也就是它把指针给ui的过程,真正给的过程我们是跟踪不到,因为这个东西一定在游戏整个ui初始化的时候来跟踪的,所以现在这个地方它得的时候它也没办法得到,它也没有一个固定的方法得到,它只能通过坐标和ui的一个比对来得到这个东西
然后进入0xC7C220函数分析,第一眼看到下图红框位置,它是mov esi, dword ptr ds:[esi+4] cmpesi,deword ptr ds:[edi+4] jne 0xc7c244,这三行代码的意思是,一个链表,esi是链表首地址然后偏移4位置是下一个链表位置,然后edi+4是最后一个链表的位置,所以如果 cmp不相等jne就会执行,就会往上走,很明显是一个链表操作
上图是没找到的跳出方式,下图是找到了跳出的方式,它是通过调用一个函数,通过判断这个函数的返回值是不是0来决定的,如果不是0就跳转,是0就进入下一轮循环
然后下图红框的三行代码,它循环的过程会把esi+4位置拿出来,通过eax重新赋值,赋予的值是从edi里得到的,所以edi是下一个链表位置,这里三行代码就更加确定了这里是链表操作了,到这也就没法追了,因为到这就是遍历ui获取绑定的指针了,绑定过程要去ui初始化里找,但是现在我们要找物品的丢弃,ui初始化是另外一个东西,然后我们的丢弃功能怎么办?
现在要重新思考一下这个问题,目前想用下图 0x8526A6 位置调用的函数,找了一圈分析下来以后,这个函数是使用起来最方便的函数,但是很遗憾,这个函数我们没办法提供它的 ecx,这个使用有个解决方案,就是通过Cheat Engine搜索这个数据,看看能否通过Cheat Engine来把这个问题解决了,这个就有点没有技术含量了,附有技术含量的,数据它是存在关联的,然后不只数据存在关联,函数它也是存在关联的,假设如果这个函数我们来做的话,这个函数会属于谁?要么是物品要么是物品管理的一个结构,所以可以测试它是不是有关,之前找到的物品管理的几个类里的,上一个内容里的ecx是来自于 0x1256E3C,它俩本质上是属于同一种操作,所以可以看一下它
然后就发现 0x1256E3C 的位置的值就是我们要找的ecx,这个 0x1256E3C 是一个很稳定的值,这是第一个解决办法,这个办法需要分清楚这俩函数的作用体系,如果不是0x1256E3C,那也一定是0x1036518或0x1037D3C里的(0x1037D3C是SRO_Player我们的结构,0x1036518是我们的SRO_Res结构),如果都不属于,可以使用 Cheat Engine 搜索去解决这个问题,如果都不行,那就要用封包了(封包后面写),封包解决就非常简单了,如果就是非要跟它干那就只能去ui初始化的时候,因为前面非常清晰的看到它整个逻辑,当丢一个物品的时候会把它写入到一个结构体(应该是某个ui操作的结构体里),这个数据得到的时候是依据坐标来得到的,最后很明显是遍历一遍一遍的找,链表只能去生成链表的地方去找,不管它是不是ui,这个链表的生成一定不是丢物品的过程,所以只能想办法去找到它整个链表生成或者初始化的过程,这里是通过一个比较简单方法,通过数据关联性来解决的,可以发现逆向依赖于关联的能力,不依赖于硬干的能力
效果图:通过自动化助手可以正常丢弃物品
CUIWnd_1.cpp文件的修改:修改了 OnBnClickedButton3函数(Button3按钮的点击事件处理函数)
// CUIWnd_1.cpp: 实现文件
//#include "pch.h"
#include "htdMfcDll.h"
#include "CUIWnd_1.h"
#include "afxdialogex.h"
#include "extern_all.h"// CUIWnd_1 对话框IMPLEMENT_DYNAMIC(CUIWnd_1, CDialogEx)CUIWnd_1::CUIWnd_1(CWnd* pParent /*=nullptr*/): CDialogEx(IDD_PAGE_1, pParent)
{}CUIWnd_1::~CUIWnd_1()
{
}void CUIWnd_1::DoDataExchange(CDataExchange* pDX)
{CDialogEx::DoDataExchange(pDX);DDX_Control(pDX, IDC_LIST1, lstPack);
}BEGIN_MESSAGE_MAP(CUIWnd_1, CDialogEx)ON_BN_CLICKED(IDC_BUTTON1, &CUIWnd_1::OnBnClickedButton1)ON_BN_CLICKED(IDC_BUTTON2, &CUIWnd_1::OnBnClickedButton2)ON_BN_CLICKED(IDC_BUTTON3, &CUIWnd_1::OnBnClickedButton3)
END_MESSAGE_MAP()// CUIWnd_1 消息处理程序void CUIWnd_1::OnBnClickedButton1()
{// int count = _pgamebase->SRO_Control->GetPPack()->GetPackBack()->PackCount();CString tmp;// tmp.Format(L"%d", count);// AfxMessageBox(tmp);PBackPack _PackBack = _pgamebase->SRO_Control->GetPPack()->GetPackBack();lstPack.ResetContent();for (int i = 0; i < _PackBack->PackCount(); i++){PITEM item = _PackBack->GetItem(i);if ((item != NULL) && (item->Type)) {tmp.Format(L"[%s][数量:%d][耐久:%d/%d]\n", item->GetNameByWide(), item->Count, item->Durabillty, item->MaxDurabillty);lstPack.AddString(tmp);}}}void CUIWnd_1::OnBnClickedButton2()
{// int count = _pgamebase->SRO_Control->GetPPack()->GetPackBack()->PackCount();CString tmp;// tmp.Format(L"%d", count);// AfxMessageBox(tmp);PEquipPack _PackBack = _pgamebase->SRO_Control->GetPPack()->GetEquipBack();lstPack.ResetContent();for (int i = 0; i < 13; i++){PITEM item = _PackBack->GetItem((EquipType)i);if ((item != NULL) && (item->Type > 0)) {tmp.Format(L"[%s][数量:%d][耐久:%d/%d]\n", item->GetNameByWide(), item->Count, item->Durabillty, item->MaxDurabillty);lstPack.AddString(tmp);}}
}void CUIWnd_1::OnBnClickedButton3()
{_pgamebase->SRO_Control->DropItem(3);
}
GameBase.cpp文件的修改:修改了Init函数
#include "pch.h"
#include "GameBase.h"GameBase* _pgamebase;void GameBase::Init()
{unsigned* addrRead = (unsigned*)0x1256E3C;SRO_Res = (PRes)0x1036518;SRO_Control = (PControl)addrRead[0];addrRead = (unsigned*)0x1037D3C;SRO_Player = (PAIM)addrRead[0];InitClassProc(&Res::_ReadTitle, 0x9A46C0);InitClassProc(&Res::_ReadItemTitle, 0x9A4640);InitClassProc(&Control::_NormalNotice, 0x848580);InitClassProc(&Control::_NetNotice, 0x844E40);InitClassProc(&Control::_ChatNotice, 0x844E80);InitClassProc(&Control::_GetPPack, 0x866140);InitClassProc(&Control::_UseItem, 0x85F640);InitClassProc(&Control::_DropItem, 0x864220);InitClassProc(&ITEM::_GetItemRes, 0x995800);InitClassProc(&Pack::_GetPackPack, 0x7722C0);InitClassProc(&Pack::_GetEquipPack, 0x772300);}void GameBase::InitClassProc(LPVOID proc_addr, unsigned value)
{unsigned* uWrite = (unsigned*)proc_addr;uWrite[0] = value;
}GameBase::GameBase()
{_pgamebase = this;// Init();// 初始化机制,完成游戏与我们dll的对接
}
Control.cpp文件的修改:新加 DropItem函数、_DropItem初始化
#include "pch.h"
#include "Control.h"Control::PROC Control::_GetPPack{};
Control::PROC_PSROSTR Control::_NormalNotice{};
Control::PROC_PSROSTR Control::_NetNotice{};
Control::PROC_D_PWSTR_D_D Control::_ChatNotice{};
Control::PROC_D_D_D Control::_UseItem{};
Control::PROC_D_D_D_D_D_D Control::_DropItem{};void Control::NormalNotice(PSROSTRING _txt)
{(this->*_NormalNotice)(_txt);
}void Control::NetNotice(PSROSTRING _txt)
{(this->*_NetNotice)(_txt);
}/**type1 默认0x3type2 默认0x1
*/
void Control::ChatNotice(wchar_t* _txt, int color, int type1, int type2)
{(this->*_ChatNotice)(type1, _txt, color, type2);
}void Control::UseItem(int index, int p1, int p2)
{(this->*_UseItem)(index, p1, p2);
}void Control::DropItem(int index, int p1, int p2, int p3, int p4, int p5)
{(this->*_DropItem)(p1, index, p2, p3, p4, p5);
}PPack Control::GetPPack()
{return (this->*_GetPPack)();
}
Control.h文件的修改:新加 PROC_D_D_D_D_D_D类型的函数指针、_DropItem函数指针变量、DropItem函数声明
#pragma once
#include "SRO_String.h"
#include "Pack.h"
typedef class Control
{typedef PPack (Control::* PROC)();typedef void (Control::* PROC_PSROSTR)(PSROSTRING);typedef void (Control::* PROC_D_PWSTR_D_D)(int, wchar_t*, int, int);typedef void (Control::* PROC_D_D_D)(int, int, int);typedef void (Control::* PROC_D_D_D_D_D_D)(int, int, int, int, int, int);
public:static PROC _GetPPack;static PROC_PSROSTR _NormalNotice;static PROC_PSROSTR _NetNotice;static PROC_D_PWSTR_D_D _ChatNotice;static PROC_D_D_D _UseItem;static PROC_D_D_D_D_D_D _DropItem;
public:void NormalNotice(PSROSTRING _txt);void NetNotice(PSROSTRING _txt);void ChatNotice(wchar_t* _txt, int color=0xFFFFAEC3, int type1=0x3, int type2=0x1);void UseItem(int index, int p1 = -1, int p2 = -1);void DropItem(int index, int p1 = 0x46, int p2 = 0, int p3 = 0, int p4 = 1, int p5 = 0);PPack GetPPack();
}*PControl;
