（一）外掛一般都能在游戲的界面中按一個(gè)熱鍵（比如F12，HOME等），就可以呼出外掛的窗口，然后在里面進(jìn)行外掛的功能設(shè)置，這個(gè)外掛的窗口是怎么弄出來的呢？

要想在游戲里顯示出窗口，那么我們要顯示的這個(gè)窗口就要和游戲本身“混”在一起，也就是說我們的外掛窗口要“混入”游戲的內(nèi)部，讓游戲不排斥外掛窗口，把外掛窗口當(dāng)做“自己人”，這樣我們的外掛才能去“影響”游戲本身的運(yùn)行。行話把這個(gè)叫“注入”。

那怎么“注入”呢？
Windows操作系統(tǒng)有個(gè)API函數(shù)SetWindowsHookEx，該函數(shù)的可以在系統(tǒng)上安裝一個(gè)“鉤子（HOOK）”。也就是把我們自己編寫的一個(gè)回調(diào)函數(shù)設(shè)置為系統(tǒng)“鉤子”。“鉤子（HOOK）”有什么用呢？系統(tǒng)發(fā)送給各種程序窗口的消息，都要先經(jīng)過“鉤子”先處理之后再送到它本來要去的窗口。而在“鉤子”處理來的消息的時(shí)候，Windows操作系統(tǒng)就已經(jīng)自動(dòng)把“鉤子”“鉤”在了消息即將到達(dá)的目的程序窗口上了，此時(shí)“鉤子”就已經(jīng)“混入”了目的窗口的內(nèi)部了


==========================================
以下shaker注明：
這個(gè)教程存在一個(gè)漏洞，以使一些對DLL編程不是很了解的人不能順利的完成編譯。
BUG如下：原文中的S3DHOOK.DEF文件中的內(nèi)容如下
; S3DHook.def : Declares the module parameters for the DLL.

LIBRARY      "S3DHook"
DESCRIPTION  "S3DHook Windows Dynamic Link Library"

EXPORTS
    ; Explicit exports can go here
使得生成的DLL沒有任何輸出函數(shù)，在編譯EXE工程出現(xiàn)錯(cuò)誤，要解決這個(gè)問題只要改變原來的S3DHook.def文件的內(nèi)容如下：
; S3DHook.def : Declares the module parameters for the DLL.

LIBRARY      "S3DHook"
DESCRIPTION  "S3DHook Windows Dynamic Link Library"

EXPORTS
    ; Explicit exports can go here
InstallHook
UninstallHook
如此，問題便得到解決！
//////////////////////////////////////////////////////////////////////////

關(guān)于版主shaker的注明:
這個(gè)并不能說是個(gè)BUG
由于:
在S3DHook.h頭文件中加入

#ifndef S3DHOOKAPI
#define S3DHOOKAPI extern "C" __declspec(dllimport)
#endif
在S3DHook.cpp中

#include "S3DHook.h"
這一句之前加入
#define S3DHOOKAPI extern "C" __declspec(dllexport)

也就是這個(gè)樣子成了這個(gè)
#define S3DHOOKAPI extern "C" __declspec(dllexport)
#include "S3DHook.h"
這樣一來就不需要用.def文件來導(dǎo)出函數(shù)了
關(guān)于這種導(dǎo)出方法,DLL編程的初學(xué)者,最好先去去看看
windows核心編程,這本書,
這種方法就是作者所推崇的

把有關(guān)外掛功能的代碼和“鉤子”函數(shù)一起放到同一個(gè)DLL中，那么我們的外掛也就一同被注入到游戲里面去了

在“我的文檔”中建立一個(gè)文件夾名字叫“神跡外掛”然后打帶VC6，建立新工程

點(diǎn)OK，選擇
Regular DLL using shared mfc DLL

在S3DHook.h頭文件中加入

#ifndef S3DHOOKAPI
#define S3DHOOKAPI extern "C" __declspec(dllimport)
#endif

在S3DHook.cpp中

#include "S3DHook.h"
這一句之前加入
#define S3DHOOKAPI extern "C" __declspec(dllexport)

也就是這個(gè)樣子成了這個(gè)
#define S3DHOOKAPI extern "C" __declspec(dllexport)
#include "S3DHook.h"

在S3DHook.cpp中加入全局共享數(shù)據(jù)

#pragma comment(linker,"section:Shared,rws")
#pragma data_seg("Shared")
HHOOK g_hhook;
#pragma data_seg()

在S3DHook.cpp加入鉤子回調(diào)函數(shù)

LRESULT CALLBACK KeyboardProc(int nCode, WPARAM wParam, LPARAM lParam)
{
BOOL bKeyUp = lParam & (1 << 31);
if (bKeyUp && wParam == VK_F12 && nCode == HC_ACTION) {
AfxMessageBox("ok");
}
return ::CallNextHookEx(g_hhook, nCode, wParam ,lParam);
}
在文件前面加入函數(shù)的原形以便后面引用
LRESULT CALLBACK KeyboardProc(int nCode, WPARAM wParam, LPARAM lParam);

在S3DHook.H里加入“導(dǎo)出（export)”的鉤子安裝卸載函數(shù)原形

S3DHOOKAPI BOOL WINAPI InstallHook();
S3DHOOKAPI BOOL WINAPI UninstallHook();

在S3DHook.CPP里加入鉤子安裝卸載函數(shù)的實(shí)現(xiàn)

S3DHOOKAPI BOOL WINAPI InstallHook()
{
if (g_hhook == NULL) {
g_hhook = ::SetWindowsHookEx(WH_KEYBOARD, (HOOKPROC)KeyboardProc, theApp.m_hInstance, 0);
if (g_hhook != NULL)
return TRUE;
}
return FALSE;
}

S3DHOOKAPI BOOL WINAPI UninstallHook()
{
return ::UnhookWindowsHookEx(g_hhook);
}

好了，現(xiàn)在我們建立的這個(gè)DLL具有基本的鍵盤鉤子的功能，編譯生成S3DHook.dll
下面建立一個(gè)EXE來調(diào)用這個(gè)DLL
這個(gè)是對話框型的工程

在MainDlg.cpp中加入對DLL的調(diào)用

插入頭文件包含
#include "../s3dhook/s3dhook.h"

更改工程設(shè)置

Project->settings->link->Object/library modules:
輸入../s3dhook/debug/s3dhook.lib

在對話框的OnInitDialog中加入InstallHook();安裝鍵盤鉤子
在OnClose中加入U(xiǎn)ninstallHook();關(guān)閉程序時(shí)卸載鍵盤鉤子
編譯這個(gè)對話框EXE

把這兩個(gè)工程生成的S3DHook.dll和Main.exe放到同一個(gè)文件夾中，運(yùn)行

在游戲窗口中按F12，會(huì)出現(xiàn)一個(gè)消息框，游戲會(huì)暫時(shí)定住
注意消息框的標(biāo)題是游戲程序的名字
這說明這個(gè)消息框是在游戲內(nèi)部顯示出來的

我們已經(jīng)從游戲程序的內(nèi)部顯示了一個(gè)消息框出來了
但還不夠，我們要在游戲能夠呼出外掛的界面，至少要顯示一個(gè)對話框出來

下面我們在S3DHook這個(gè)DLL工程中添加一個(gè)從CDialog派生的CS3DHookDlg類

把DIALOG ID改為IDD_S3DHOOK_DIALOG

添加的對話框類的操作如下
主菜單->Insert->New Form

為了方便,把CS3DHookDlg的源程序文件名字分別改為
s3dhook.h
s3dhook.cpp

把剛才自動(dòng)生成的對話框的Caption改為"外掛呼出窗口"

下面定義一個(gè)全局窗口指針來保存我們要生成的這個(gè)窗口的指針,以便后面對"外掛呼出窗口"進(jìn)行控制,把它和全局變量
CS3DHookApp theApp;
寫在一起,也就是這個(gè)樣子
CS3DHookApp theApp;
CS3DHookDlg *pCWndWGMain;

下面對鉤子回調(diào)函數(shù)進(jìn)行改造,以便使我們的"外掛呼出窗口"能夠在按F12時(shí)呼出
如下:
LRESULT CALLBACK KeyboardProc(int nCode, WPARAM wParam, LPARAM lParam)
{
//按F12彈起時(shí)呼出外掛
BOOL bKeyUp = lParam & (1 << 31);
if (bKeyUp && wParam == VK_F12 && nCode == HC_ACTION) {
if (pCWndWGMain == NULL)
{
//更改當(dāng)前有效模塊狀態(tài)到DLL中
//以便正確的讀取對話框的資源
AFX_MANAGE_STATE(AfxGetStaticModuleState());
//找到當(dāng)前的有效激活窗口
CWnd *pCWnd = CWnd::GetForegroundWindow();
//生成CS3DHookDlg類的對象實(shí)例
//此處應(yīng)該生成一個(gè)非模態(tài)對話框
pCWndWGMain = new CS3DHookDlg();
pCWndWGMain->Create(IDD_S3DHOOK_DIALOG, pCWnd);
}
else
{
//根據(jù)當(dāng)前呼出窗口的狀態(tài)來顯示或隱藏呼出窗口
pCWndWGMain->ShowWindow(pCWndWGMain->IsWindowVisible() ? SW_HIDE : SW_SHOW);
}
}
return ::CallNextHookEx(g_hhook, nCode, wParam ,lParam);
}
有關(guān)上面的這一句
在Regular MFC DLL中使用資源時(shí)非常重要
AFX_MANAGE_STATE(AfxGetStaticModuleState());
更多說明請參看
http://www.csdn.net/develop/article/25/25358.shtm
當(dāng)關(guān)掉外掛的主程序時(shí),還要做點(diǎn)善后工作
重載CS3DHookApp類的ExitInstance函數(shù),在其中刪除對話框
int CS3DHookApp::ExitInstance()
{
// TODO: Add your specialized code here and/or call the base class
delete pCWndWGMain;
return CWinApp::ExitInstance();
}
重新編譯生成S3DHOOK.dll并和Main.exe放到一起,運(yùn)行它試試看

運(yùn)行后,隨便打開一個(gè)其他的什么窗口,按F12,看到什么了?

哈哈,我們的"外掛呼出窗口"呼出來了,真是千呼萬喚始出來啊

我在記事本中試了試:

上次的程序已經(jīng)可以在其他窗口中呼出我們的"外掛呼出窗口"了
是不是已經(jīng)有那么點(diǎn)"外掛"的樣子了
當(dāng)我做到這一步的時(shí)候,當(dāng)時(shí)非常

興奮！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！

廣大菜鳥們是不是有同感?
讓高手們見笑了：）

但是,多試幾次,發(fā)現(xiàn)還有不少問題
隨便哪個(gè)窗口中按F12鍵都能呼出,還會(huì)造成程序的崩潰
我用的是WIN2000如果是在WIN98中恐怕還會(huì)造成系統(tǒng)的崩潰吧?
這可不行啊：（
要讓他只在指定的程序窗口中呼出，每次都進(jìn)神跡的游戲客戶端試驗(yàn)很麻煩
我們就在記事本中試驗(yàn)，讓他只能在記事本中呼出，最好還要能像真正的外掛那樣
對掛入的程序做點(diǎn)手腳，
說做就做，開工！！！

繼續(xù)對鉤子回調(diào)函數(shù)進(jìn)行改造
如下：
LRESULT CALLBACK KeyboardProc(int nCode, WPARAM wParam, LPARAM lParam)
{
//按F12彈起時(shí)呼出外掛
BOOL bKeyUp = lParam & (1 << 31);
if (bKeyUp && wParam == VK_F12 && nCode == HC_ACTION) {
if (pCWndWGMain == NULL)
{
AFX_MANAGE_STATE(AfxGetStaticModuleState());
CWnd *pCWnd = CWnd::GetForegroundWindow();
//當(dāng)前窗口是否為記事本窗口
char buf[MAX_PATH];
::GetClassName(pCWnd->GetSafeHwnd(), buf, MAX_PATH);
if (lstrcmpi(buf, "notepad") == 0) {
pCWndWGMain = new CS3DHookDlg();
//創(chuàng)建"外掛呼出窗口"時(shí)把記事本窗口作為他的父窗口
pCWndWGMain->Create(IDD_S3DHOOK_DIALOG, pCWnd);
pCWndWGMain->ShowWindow(SW_SHOW);
}
}
else
{
//根據(jù)當(dāng)前呼出窗口的狀態(tài)來顯示或隱藏呼出窗口
pCWndWGMain->ShowWindow(pCWndWGMain->IsWindowVisible() ? SW_HIDE : SW_SHOW);
}
}
return ::CallNextHookEx(g_hhook, nCode, wParam ,lParam);
}

重新編譯并運(yùn)行，我們的＂外掛呼出窗口＂可以多個(gè)記事本中呼出
如圖，并還沒有發(fā)現(xiàn)會(huì)造成程序崩潰，有發(fā)現(xiàn)的，請告訴我！后面會(huì)附上

這里是重新編譯的Main.exe和s3dhook.dll
哈哈，解決了一個(gè)小問題，爽！！！！！！！！！！！！！
下面讓我們的外掛對記事本做點(diǎn)小動(dòng)作吧！
做點(diǎn)什么呢？
就讓他在記事本的窗口中畫個(gè)圓，怎么樣？
來試試看了
為CS3DHookDlg添加WM_INITDIALOG的消息處理器
并在其中添加一個(gè)定時(shí)器,同時(shí)窗口關(guān)閉時(shí)要銷毀定時(shí)器
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
設(shè)置
BOOL CS3DHookDlg::OnInitDialog()
{
CDialog::OnInitDialog();

// TODO: Add extra initialization here
SetTimer(1000,100,0);
return TRUE;  // return TRUE unless you set the focus to a control
              // EXCEPTION: OCX Property Pages should return FALSE
}
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~銷毀,先要添加WM_CLOSE消息的處理器
void CS3DHookDlg::OnClose()
{
// TODO: Add your message handler code here and/or call default
KillTimer(1000);
CDialog::OnClose();
}
響應(yīng)CS3DHookDlg的WM_TIMER消息
代碼如下:
void CS3DHookDlg::OnTimer(UINT nIDEvent)
{
// TODO: Add your message handler code here and/or call default
//得到父窗口也就是記事本的指針
CWnd *pCWnd = GetParent();
//得到記事本的窗口設(shè)備上下文指針
CDC *pDC = pCWnd->GetWindowDC();
//畫圓
pDC->Ellipse(100,100,200,200);
CDialog::OnTimer(nIDEvent);
}
在記事本中的實(shí)驗(yàn)非常成功,爽!!!!!!!!
下面讓我們的程序只在神跡中呼出
主要是需要改造鍵盤鉤子回調(diào)程序
只需要把
lstrcmpi(buf, "notepad")
改為
lstrcmpi(buf, "SG Engine")
就可以了
"SG Engine"是神跡客戶端的窗口的類名
重新編譯運(yùn)行,即可在神跡中呼出了,并且也在其中的窗口上畫了個(gè)圓,
但是畫面在閃爍,具體解決方法還沒有找到
估計(jì)是因?yàn)?游戲使用DirectX作圖,而我們這里是用GDI作圖
先不管它了,留在以后再解決了
暫時(shí)我們還不需要在游戲里作圖
,把我們程序中剛才有關(guān)作圖的部分都刪除掉,
1.OnInitDialog中的
2.OnClose中的
3.OnTimer刪掉
利用madCHook進(jìn)行API掛接：如：WSASend,WSARecv等
去這下載
http://www.madshi.net/
安裝剛才下載的madCollection.exe，安裝后注意到在
C:\Program Files\madCollection\madCodeHook\Dll
中有3個(gè)文件需要引入到我們的S3DHook.dll工程中去
如下:
madCHook - dynamic.h
madCHook - dynamic - microsoft.lib
madCHook.dll
為了便于使用,把他們的名字改一下,改為:
madCHook.h
madCHook.lib
madCHook.dll
把.h和.lib放到S3DHook工程所在的文件夾中
在S3DHook.cpp中包含madCHook.h頭文件,加入
#include "madCHook.h"
在Project->Settings->Link->Object/library modules中
加入madCHook.lib
下面就可以在我們的DLL中使用madCHook對API進(jìn)行掛接了
注意:編譯后要把Main.exe,S3DHook.dll和madCHook.dll放在一起才能運(yùn)行
下面,正式開始加入代碼對WSASend進(jìn)行掛接
首先在S3DHook.cpp中加入
#include "Winsock2.h"
然后加入對原始API函數(shù)的指針及自定義API HOOK函數(shù)的原形的聲明:
int (WINAPI *oWSASend)(
SOCKET,
LPWSABUF,
DWORD,
LPDWORD,
DWORD,
LPWSAOVERLAPPED,
LPWSAOVERLAPPED_COMPLETION_ROUTINE
);
int cWSASend(
SOCKET s,
LPWSABUF lpBuffers,
DWORD dwBufferCount,
LPDWORD lpNumberOfBytesSent,
DWORD dwFlags,
LPWSAOVERLAPPED lpOverlapped,
LPWSAOVERLAPPED_COMPLETION_ROUTINE lpCompletionRoutine
);
這個(gè)一定要和原始的API函數(shù)WSASend的形參一致才行,可以參看MSDN
為了把截獲的數(shù)據(jù)顯示出來,用資源編輯器在S3DHook中的外掛呼出窗口中加入一個(gè)ListBox,將其ID改為IDC_LIST_SEND,將其SORT屬性去掉,
然后加入自定義API鉤子的實(shí)現(xiàn)
int cWSASend(SOCKET s, LPWSABUF lpBuffers, DWORD dwBufferCount,
LPDWORD lpNumberOfBytesSent, DWORD dwFlags,
LPWSAOVERLAPPED lpOverlapped,
LPWSAOVERLAPPED_COMPLETION_ROUTINE lpCompletionRoutine)
{
char buf[1024];
lstrcpyn(buf,lpBuffers->buf,lpBuffers->len);
CListBox *pListBox = (CListBox *)pCWndWGMain->GetDlgItem(IDC_LIST_SEND);
pListBox->AddString(buf);
                //API鉤子返回之前,對原始的API進(jìn)行調(diào)用,
return oWSASend(s, lpBuffers, dwBufferCount, lpNumberOfBytesSent, dwFlags, lpOverlapped, lpCompletionRoutine);
}
非常感謝!行舟的支持,
其實(shí)在（一）中我就說過,其實(shí)我也是個(gè)菜鳥
去年的這個(gè)時(shí)候在玩?zhèn)髌?的私服時(shí),當(dāng)時(shí)那個(gè)私服用了"樂都"的客戶端,現(xiàn)成的外掛一般都用不了,于是到處找外掛,無意中看到了個(gè)WS2_32.DLL的外包的源代碼(C++寫的),還有相關(guān)的一些文章,剛好又懂點(diǎn)VC,于是就利用這個(gè)改了下,在發(fā)送數(shù)據(jù)是做了點(diǎn)手腳,實(shí)現(xiàn)了如雙倍魔法,攻擊,通買,通賣,刷錢等等通過修改封包就可以實(shí)現(xiàn)的功能自己寫的外掛,自己用,別人沒有,自己有,那怎一個(gè)爽字了得啊：）哈哈,由于菜的原因,那個(gè)外包是WIN32的DLL,里面全部都用WIN32 API編寫,麻煩,基本的對話框,控件都不知道怎么用WIN32 API去控制,弄了很久終于在里面弄了對話框可以顯示出來,但是也很是興奮了一段時(shí)間
今年玩神跡的時(shí)候,也是在找外掛的時(shí)候,無意中發(fā)現(xiàn)了無影的神跡外掛源代碼同時(shí)發(fā)現(xiàn)了我們這個(gè)GAMERES論壇,為了看看怎么弄的,半夜下載了個(gè)DELPHI 7.0裝上,發(fā)現(xiàn)原來他利用的madCHook的組件,這個(gè)組件在DELPHI里用很方便,可是我不會(huì)pascal更不會(huì)DELPHI,于是又用了幾天才弄明白怎么在VC中用這個(gè)madCHook.在近一個(gè)月的時(shí)間里經(jīng)過多次的試驗(yàn),終于大致上(有些東西還不是很清楚)知道了怎么注入在游戲進(jìn)程,怎么編MFC Regular dll(可以在里面使用MFC了,比純WIN32的DLL方便多了),怎么在里面使用對話框等資源,再加上madCHook怎么掛接API,
終于自己編的東西,也勉勉強(qiáng)強(qiáng)有那么點(diǎn)"像"個(gè)外掛了

于是心中充滿了喜悅：）!!!!!!!!!!!!!!!!

決定把從頭把所有的東西都放到一起來,重新做了一次(以前那些都是分開試驗(yàn)的),也萌生了把它貼出來讓大家一起分享我的喜悅：）,
自己一邊寫程序，一邊帖帖子，
于是就有了現(xiàn)在的這個(gè)帖子
<菜鳥的VC6神跡外掛的DIY之路>

現(xiàn)在回到我們的程序中來,
下面我們利用madCHook安裝WSASend這個(gè)API的鉤子
成功后,游戲每次調(diào)用WSASend這個(gè)API的時(shí)候,都會(huì)去先執(zhí)行我們寫的
cWSASend,在這里,我們就可以截取到游戲發(fā)往服務(wù)器的數(shù)據(jù)封包,然后用游戲調(diào)用到cWSASend時(shí)使用的參數(shù)去調(diào)用我們剛才寫的指向原始WSASend的函數(shù)指針oWSASend去調(diào)用原始的API將數(shù)據(jù)發(fā)到服務(wù)器,這樣才能保證游戲能繼續(xù)正常運(yùn)行,否則游戲很有可能會(huì)掉線

在CS3DHookDlg::OnInitDialog() 加入這一句來安裝API鉤子
HookAPI("Ws2_32.dll", "WSASend", cWSASend, (PVOID *) &oWSASend);
參數(shù)說明:
1.要掛接的API所在的DLL
2.要掛接的API
3.自定義的函數(shù),用來替換要掛接的API:cWSASend//游戲每次調(diào)用Ws2_32.dll中的WSASend,就會(huì)先進(jìn)入我們自定義的cWSASend
4.指向原始API函數(shù)WSASend的指針//自定義的cWSASend截取封包并進(jìn)行必要處理后,通過這個(gè)指針去調(diào)用原始的WSASend@Ws2_32.dll,以保證游戲的正常運(yùn)行
BOOL CS3DHookDlg::OnInitDialog()
{
CDialog::OnInitDialog();

// TODO: Add extra initialization here
HookAPI("Ws2_32.dll", "WSASend", cWSASend, (PVOID *) &oWSASend);
return TRUE;  // return TRUE unless you set the focus to a control
              // EXCEPTION: OCX Property Pages should return FALSE
}

編譯之后,把Main.exe S3DHook.dll madCHook.dll放在一起,看看效果
運(yùn)行Main.exe,啟動(dòng)進(jìn)入神跡,按F12呼出
令人激動(dòng)的時(shí)刻啊!看到?jīng)]有?截獲的數(shù)據(jù)封包已經(jīng)在ListBox控件中顯示出來了！！！

其實(shí)這才是剛剛開始，要想有強(qiáng)大的功能，后面還要做許多工作
另外，創(chuàng)建“外掛呼出窗口”時(shí)，要注意為它選好父窗口，不同的游戲不一樣，
記得傳奇2中把
游戲界面的那個(gè)窗口
作為“外掛呼出窗口”就不行，
要選他的父窗口才行，具體情況要自己用SPY++多看看