游戏外挂四之利用CE和OD查找被选中怪物和怪物列表

合肥程序员群：49313181。    合肥实名程序员群：128131462 (不愿透露姓名和信息者勿加入)
Q  Q:408365330     E-Mail:egojit@qq.com

这一节我们利用CE和OD去找到被选中的怪物对象，和怪物列表。从而为后面自动遍历怪物实现自动打怪的外挂做铺垫。当然在这之前我们得了解汇编中数组和列表是怎么定位的。一般是[eax*4+0x0063fedd]，这样通过自增通用寄存器eax去实现数组下标。0x0063fedd在这里就是一个基址。因为32位系统的地址是4字节我想这个大家都非常清楚，所以乘以4.废话不多说了，现在开始打开游戏盒CE。并且将游戏进程附加到CE中去。

选中两者之间的值。输入值1和值0xFFFFFFFF。这是为了过滤掉0值。否则多查询出很多值。同时为了更快速的查询，我将内存扫描选项设置成00010000和7FFEFFFF之间的内存中进程查找。那么大家肯定会问，那如下的内存呢？如果我们要找的值在余下的内存中怎么办？？这个绝不用当心，如果对windows操作系统内存比较了解很容易知道，我设置的这个区间真好是windows的用户模式区间。我们的程序都是在这个区间中的。0x00000000至0x0000FFFF是空指针赋值区。主要是用来辅助程序员捕捉空指针赋值。0x80000000至0xFFFFFFFF是内核模式分区，这个空间是2G。在内核模式分区和用户模式分区之间的是64k禁入分区。所以大家毫无当心的在这个内存区间中去查找，肯定能查到我们想要的值。

第一次查询出的是一个庞大的数字。然后我们将扫描类型改成“未改变的”，然后查询，这样重复几次。然后我们在游戏中去选中一个怪。

然后将将扫描类型改成“改变的”，在次查询。再选中其它的怪去查询改变的值，这样不停的改变选中的怪去查询，直到查询出几个值，我这里查询出一个值。

可以看出它的值是65535。当时我没选中任何怪，说明未选中怪的时候这个内存中的值是0000FFFFh(16进制)

我们已经找出这个被选中怪id存放的地址。

然后将这个值选中到被选取，右击被选取数据"找出什么访问了这个地址"。弹出一个对话框，可以看到这样一行汇编指令：“004adb43 mov eax,[edi+00001478]”

我们将这行代码记录下来。这个时候关闭CE，我们需要打开另一个外挂人员和破解人员必备动态调试工具OD。首先来了解下OD工作区：

1区反汇编代码区，这个区是程序被反汇编器放汇编出的汇编指令。

2区是寄存器区。这里显示了CPU中的寄存器，我们可以在动态调试的时候查看下寄存器的变化。

3区是内存注释区

4区是内存区，这里显示了内存状态。

5区是栈区，这里会显示程序在调用过程中堆栈的变化。

打开OD并且附加游戏进程。

然后

右击转的表达式，然后输入我们记录的那个地址004adb43。跳到访问被选中怪物id存放的地址的汇编指令那个地方。MOV EAX,DWORD PTR DS:[EDI+1478]这样一行代码。就是将被选中怪物的ID放到EAX寄存器。CMP EAX,0FFFF紧接着这行代码。0000FFFF是没有怪物被选中时DS:[EDI+1478]中的值。

MOV ECX,DWORD PTR DS:[EAX*4+312DF20] 后面的DS:[EAX*4+312DF20]就是汇编中集合的访问方式。312DF20是基址，那么312DF20+0就是这个数组的第一个元素。我们猜测这个数组存放的就是怪物数组。

我们在OD的命令行中输入dd 0312DF20以堆栈形式转储。我们可以看到一个一个对象地址在这个数组中，这个就是怪物包括玩家的数组。当然有一个熟悉区别它是怪物还是其它对象。

我们进入这个数组中的第二个对象。右击第二个数组-》数据窗口跟随进入的第二个对象，可以看到+c这个位置就是对象数组下标是1.恭喜我们已经找到对象数组了。同时我们知道只要是放入[eax+00001478]中的id就是被选中怪物。这个就到这里，下一节分析对象属性。

版权：归博客园和Egojit所有，转载请标明出处。