網上看了N多的文章,對內存中找怪極少有詳細介紹,大多數人搞定人物內存中的有關參數后,止步于內存中的找怪。人物只有一個,而怪有各種各樣的,數量又同時出現多個,比在內存中找人物坐標難度要大得多。
下面我將盡可能詳細的講講內存中找怪之代碼注入篇,拋磚引玉,望高人指點。這里的代碼注入是直接把代碼注入到游戲文件中,學個破解的人都知道,哪怕游戲原文件加了殼,在游戲原文件中加入自己的代碼也是完全可以的。
由于本人水平有限,有的地方可能表達不清,請耐心慢慢看。有的地方采取的方法也許對高手來說好低劣,見笑了。
一、把周圍的怪物名稱起始地址集中寫到內存中一固定區域。游戲中,玩家周圍有許多怪物,所有怪物的名稱、坐標、血量等參數不可能會固定在某一內存位置,但對于每一個怪物而言,它的名稱、坐標、血量等在內存中的地址之間有著相對固定的差值,只要知道怪物的名稱地址就能知道這個怪物的坐標、血量等地址。因此,只要把周圍每個怪物的名稱地址固定在內存中一定區域,就可知道這些怪物的其他參數。 1、先把游戲中我們需要打的怪物名稱(不是所有怪物,因為有的怪物不爆東西等不值得打)固定放到內存地址為004d2a60起的一塊區域,制做一張需要打的怪物名稱列表。每個怪名稱占12字節,不夠12字節的后面用00填充。
內存地址:004d2a60是怎樣來的呢?
我們用PEditor打開游戲原文件,可以看到PE文件分了好多塊,有的塊是可以改寫的(屬性為E0000020或C0000040的可以改寫),塊里并不全部寫滿了數據,還有大塊連續為00的空閑區域。用UltraEdit等軟件打開游戲文件,看到文件物理地址為000d2a60起有一大塊為00的空閑區域。映射到內存中就是地址為004d2a60起一塊為00的空閑區域,我們先把怪物名稱寫到這塊地方。 具體操做是用UltraEdit打開游戲文件,修改文件物理地址為000d2a60起的數據。原文件中這里全部為00,我們把下面數據填進去(部分怪物名稱列表)。000D2A60 B0 EB CA DE D5 BD CA BF 00 00 00 00 B0 EB CA DE 半獸戰士....半獸
000D2A70 D3 C2 CA BF 00 00 00 00 BB A2 C9 DF 00 00 00 00 勇士....虎蛇....
000D2A80 00 00 00 00 B6 BE D6 A9 D6 EB 00 00 00 00 00 00 ....毒蜘蛛......
000D2A90 C9 AD C1 D6 D1 A9 C8 CB 00 00 00 00 CD FE CB BC 森林雪人....威思
000D2AA0 B6 F8 D0 A1 B3 E6 00 00 B6 E0 BD C7 B3 E6 00 00 而小蟲..多角蟲..
000D2AB0 00 00 00 00 BF F8 BC D7 B3 E6 00 00 00 00 00 00 ....盔甲蟲......
000D2AC0 B8 AF CA B4 C8 CB B9 ED 00 00 00 00 C0 CB D7 D3 腐蝕人鬼....浪子
000D2AD0 C8 CB B9 ED 00 00 00 00 C0 D7 B5 E7 BD A9 CA AC 人鬼....雷電僵尸
000D2AE0 00 00 00 00 BD A9 CA AC 00 00 00 00 00 00 00 00 ....僵尸........
000D2AF0 C9 AE C2 C2 BD A9 CA AC 00 00 00 00 B6 B4 C7 F9 僧侶僵尸....洞蛆
000D2B00 00 00 00 00 00 00 00 00 F7 BC F7 C3 BE AB C1 E9 ........骷髏精靈
000D2B10 00 00 00 00 CA AC CD F5 00 00 00 00 00 00 00 00 ....尸王........這樣,當游戲運行時,從內存地址004d2a60起的一段區域有了我們需要打的怪物列表。 2、再把玩家周圍實際刷的怪物名稱的起始地址(注意是名稱的起始地址)固定在內存為004D3000起的長為100(16進制)的地方。
內存地址:004D3000是游戲運行時我們查到的空閑內存地址,我們利用它們來放周圍怪物名稱的起始地址,每個怪物名稱的起始地址占4個字節,長為100(16進制)可以放64個怪物,玩家周圍不會超過64個怪物吧,長為100應足夠了。 3、怎么寫入這些怪物名稱的起始地址呢?
首先應知道,游戲從哪里把怪物名稱寫入內存中。
Cheat Engine會用吧?具體怎么找,簡單的說一下:
先運行游戲再運行Cheat Engine,CE中選擇游戲程序,查看內存,搜索內存玩家周圍的一個怪物名稱。找到后記下怪物名稱的起始內存地址,手動添加地址,把找到的地址添加到列表,類型為文本。從列表中選剛才添加的地址,右鍵選“尋找什么寫入這個地址”。回到游戲中移動玩家,觀察剛添加的內存地址的數值變化。變為00時為該怪物從玩家視眼中消失。再移動玩家到看見這怪物,如果運氣好,怪物名會再次寫入這個內存地址。這樣在“以下處理將改變運算碼”的窗口中會有匯編代碼出現。 如我的游戲:
能看到00409872 mov byte ptr [edi+ecx], dl 這句。
游戲是從這句把怪物名寫入內存中的。用OllyICE打開游戲。跳到以下這段代碼可以看到:
00409870 > /8A11 mov dl, byte ptr [ecx] //從這里開始寫怪物名稱
00409872 . |88140F mov byte ptr [edi+ecx], dl //名稱從[edi+ecx]開始
00409875 . |41 inc ecx
00409876 . |84D2 test dl, dl
00409878 .^\75 F6 jnz short 00409870
0040987A . 50 push eax //寫完了運行到這里。
0040987B ? 68 4C774C00 push 004C774C
00409880 . 56 push esi
00409881 . E8 02F10A00 call 004B8988 游戲每出現一個怪都會把怪物名稱寫入[edi+ecx]開始的內存中,顯然內存地址[edi+ecx]不是一個固定的值。我們要把這個值復制一份固定到內存中地址為004D3000開始的一塊區域。
這樣,周圍的怪物名稱的起始地址就固定在004D3000、004d3004、004D3008等等內存中.知道怪物名稱的起始地址就能算出怪物的坐標、血量等地址。 具體怎么做呢?
我們看到游戲運行到0040987A . 50 push eax 這行時,怪物名稱已經寫到內存中,我們從這行開始寫入我們的代碼,原文件中緊接這行的下面肯定沒有多余的空間來寫我們的代碼,這就要求改寫這行代碼,跳到空閑的地方把我們的代碼加進去,運行完我們的代碼后再跳回來。 因此把原文件改為如下(對照上面):
00409870 > /8A11 mov dl, byte ptr [ecx]
00409872 . |88140F mov byte ptr [edi+ecx], dl
00409875 . |41 inc ecx
00409876 . |84D2 test dl, dl
00409878 .^\75 F6 jnz short 00409870
0040987A .- E9 FB690C00 jmp 004D027A //這里改為跳到004d027a
0040987F 90 nop
00409880 . 56 push esi
00409881 . E8 02F10A00 call 004B8988就是把這行0040987A . 50 push eax改為:
0040987A .- E9 FB690C00 jmp 004D027A
從004d027A開始寫我們的代碼,原文件中004D027A也是一塊為00的空閑區域。下面是我們添加進去的代碼,原文件中是為00的空閑區域。004D027A 50 push eax //先把一些用到的寄存器數據入棧,保護現場。
004D027B 53 push ebx
004D027C 51 push ecx
004D027D 52 push edx
004D027E 31D2 xor edx, edx
004D0280 81C7 A4F61200 add edi, 12F6A4 //此處就是edi+ecx,ecx為常數12F6A4
004D0286 833F 00 cmp dword ptr [edi], 0 //怪名是否為空
004D0289 74 63 je short 004D02EE //為空不是怪名,直接跳回去不寫入
004D028B 33C9 xor ecx, ecx
004D028D 8B0439 mov eax, dword ptr [ecx+edi] //怪名前4個字節放入eax中
004D0290 8B9C11 602A4D00 mov ebx, dword ptr [ecx+edx+4D2A60] //需要打的怪名前4個字節004D0297 83C1 04 add ecx, 4
004D029A 3BC3 cmp eax, ebx //比較刷的怪名與需要打的怪名前4個字節
004D029C 75 07 jnz short 004D02A5 //不相等,跳到與下一個需要打的怪名
004D029E 83F9 0C cmp ecx, 0C //因為怪名長占12個字節,所以要比較三次
004D02A1 ^ 7C EA jl short 004D028D //沒比較完返回繼續比較
004D02A3 EB 0D jmp short 004D02B2 //刷的怪名從需要打的怪名列表中找到了,跳到開始寫入. 004D02A5 83C2 0C add edx, 0C //下一個需要打的怪名
004D02A8 81FA 08010000 cmp edx, 108 //是否到了需要打的怪名列表盡頭
004D02AE ^ 7C DB jl short 004D028B //沒到繼續比較
004D02B0 EB 3C jmp short 004D02EE //到了盡頭刷的這個怪不是需要打的,跳回不寫入
004D02B2 33C9 xor ecx, ecx //從這開始寫入
004D02B4 8B81 00304D00 mov eax, dword ptr [ecx+4D3000] //把想寫入的內存地址放入eax
004D02BA 83C1 04 add ecx, 4
004D02BD 81F9 00010000 cmp ecx, 100 //是否寫滿,能寫64個怪,周圍一般同時沒有這么多
004D02C3 7F 12 jg short 004D02D7 //寫滿了清空這塊區域.
004D02C5 83F8 00 cmp eax, 0 //比較內存地址[ecx+4D3000],是否寫了其他怪
004D02C8 ^ 75 EA jnz short 004D02B4 //寫了,找下一個內存地址
004D02CA 89B9 FC2F4D00 mov dword ptr [ecx+4D2FFC], edi //把怪名的起始內存地址寫入
004D02D0 E8 BB000000 call 004D0390 //寫入一怪后,重新找最近怪,后面詳細講這個call
004D02D5 EB 17 jmp short 004D02EE //整理后返回
004D02D7 33C9 xor ecx, ecx
004D02D9 33C0 xor eax, eax
004D02DB 8981 00304D00 mov dword ptr [ecx+4D3000], eax
004D02E1 83C1 04 add ecx, 4
004D02E4 81F9 00010000 cmp ecx, 100
004D02EA ^ 7C EF jl short 004D02DB
004D02EC ^ EB C4 jmp short 004D02B2
004D02EE 5A pop edx //各寄存器出棧,恢復現場
004D02EF 59 pop ecx
004D02F0 5B pop ebx
004D02F1 58 pop eax
004D02F2 50 push eax //把原文件的代碼補上
004D02F3 68 4C774C00 push 004C774C //這也是原文件的代碼補上
004D02F8 - E9 8395F3FF jmp 00409880 //跳回到原文件插入跳轉指令的下一行
通過以上代碼,我們把玩家周圍出現的怪,而且是我們需要打的怪名的起始內存地址放到了以內存地址004D3000開始的一段區域內。4、修改游戲原始文件,下次啟動游戲時能運行我們的代碼:
用UltraEdit打開原文件,把原文件地址為0000987A起數據:
50684C774C00 改為:E9FB690C0090
把下面數據復制到000d027A起的文件里.
50 53 51 52 31 D2 81 C7 A4 F6 12 00 83 3F 00 74
63 33 C9 8B 04 39 8B 9C 11 60 2A 4D 00 83 C1 04
3B C3 75 07 83 F9 0C 7C EA EB 0D 83 C2 0C 81 FA
08 01 00 00 7C DB EB 3C 33 C9 8B 81 00 30 4D 00
83 C1 04 81 F9 00 01 00 00 7F 12 83 F8 00 75 EA
89 B9 FC 2F 4D 00 E8 BB 00 00 00 EB 17 33 C9 33
C0 89 81 00 30 4D 00 83 C1 04 81 F9 00 01 00 00
7C EF EB C4 5A 59 5B 58 50 68 4C 77 4C 00 E9 83
95 F3 FF
上面的這些16進制數據就是我們上面加入的代碼,修改好后存盤。
至此,游戲運行時,不需要其他工具,游戲本身就會把怪名的起始內存地址固定到了以內存地址004D3000開始的一段區域內。
二、怪物消失時,怪名的起始內存地址從004D3000開始的一段區域內清除
上面只是把怪名的起始地址寫到以內存地址004D3000開始的一段區域內。當怪物從玩家視眼中消失時,我們必需把怪名的起始內存地址從004D3000開始的一段區域內清除掉。
1、怎么把我們先前寫入的怪名起始地址清除掉呢?
先看看游戲本身當怪物消失時從哪里把怪物名稱從內存中清除掉。
同樣使用Cheat Engine,當怪物消失時會有這么一句:
0040F5A8 mov ecx, 30
游戲運行到這句時,怪名的內存地址清空為00,寄存器edi正好是怪名的起始內存地址。
用OllyICE打開游戲。跳到以下這段代碼可以看到:
0040F5A2 . 8DBD 48270600 lea edi, dword ptr [ebp+62748] //這里開始清空
0040F5A8 B9 30000000 mov ecx, 30
0040F5AD . F3:AB rep stos dword ptr es:[edi]
因此把原文件改為如下(對照上面):
0040F5A2 . 8DBD 48270600 lea edi, dword ptr [ebp+62748]
0040F5A8 - E9 540D0C00 jmp 004D0301 //修改這里,跳到004d0301
0040F5AD . F3:AB rep stos dword ptr es:[edi]
從004d0301開始寫我們的代碼,原文件中004d0301也是一塊為00的空閑區域。
004D0301 50 push eax //先把一些用到的寄存器數據入棧,保護現場。
004D0302 53 push ebx
004D0303 51 push ecx
004D0304 52 push edx
004D0305 33C9 xor ecx, ecx
004D0307 8B07 mov eax, dword ptr [edi] //把[edi]內數據放入eax中
004D0309 83F8 00 cmp eax, 0 //比較是否為怪名
004D030C 74 22 je short 004D0330 //為零,不是怪名,不清除跳到返回
004D030E 8B99 00304D00 mov ebx, dword ptr [ecx+4D3000] //把已寫入的怪名起始地址放入ebx004D0314 83C1 04 add ecx, 4
004D0317 81F9 00010000 cmp ecx, 100 //比較是否全部比較完
004D031D 7F 11 jg short 004D0330 //沒找到,說明以前沒把這怪寫入,也就不用清除
004D031F 3BDF cmp ebx, edi //比較游戲剛消失的怪名地址,是否以前寫入過這個地址
004D0321 ^ 75 EB jnz short 004D030E //不是這個再比較下一個
004D0323 33D2 xor edx, edx //剛消失的怪名地址在以前寫入的區域內找到了,開始清除
004D0325 8991 FC2F4D00 mov dword ptr [ecx+4D2FFC], edx //以前寫入的起始怪名地址清零
004D032B E8 60000000 call 004D0390 //清除掉一怪后,重新找最近怪,后面詳細講這個call
004D0330 5A pop edx //各寄存器出棧,恢復現場
004D0331 59 pop ecx
004D0332 5B pop ebx
004D0333 58 pop eax
004D0334 B9 30000000 mov ecx, 30 //把原文件的代碼補上
004D0339 - E9 6FF2F3FF jmp 0040F5AD //跳回到原文件插入跳轉指令的下一行
通過以上代碼,我們把玩家周圍消失的怪,從內存地址004D3000開始的一段區域內清除掉。
2、修改游戲原始文件,下次啟動游戲時能運行我們的代碼:
用UltraEdit打開原文件,把原文件地址為0000F5A8起數據:
B930000000 改為:E9540D0C00
把下面數據復制到000d0301起的文件里.
50 53 51 52 33 C9 8B 07 83 F8 00 74 22 8B 99 00
30 4D 00 83 C1 04 81 F9 00 01 00 00 7F 11 3B DF
75 EB 33 D2 89 91 FC 2F 4D 00 E8 60 00 00 00 5A
59 5B 58 B9 30 00 00 00 E9 6F F2 F3 FF 90
數據怎么來的,上面已經說了。改后存盤。
至此,把玩家周圍消失的怪,從內存地址004D3000開始的一段區域內清除掉了。
三、當怪物死亡時,怪名的起始內存地址從004D3000開始的一段區域內清除
當怪物死亡時,游戲并不會立即把怪名內存地址清零,要等怪物尸體消失時才清零。我們必需立即把怪名的起始內存地址從004D3000開始的一段區域內清除掉。
1、同樣,我們用Cheat Engine找到怪物血量減少時的匯編代碼:
00419BBA word ptr [esi+626F4], ax
ax中存的就是怪物的血量。
用OllyICE打開游戲。跳到以下這段代碼可以看到:
00419BBA . 66:8986 F4260>mov word ptr [esi+626F4], ax //esi+626f4為血量地址
00419BC1 . 66:8B4F 08 mov cx, word ptr [edi+8]
00419BC5 . 66:898E C2010>mov word ptr [esi+1C2], cx
00419BCC . E8 CFF10900 call 004B8DA0
因此把原文件改為如下(對照上面):
00419BBA . 66:8986 F4260>mov word ptr [esi+626F4], ax
00419BC1 - E9 CB680B00 jmp 004D0491 //修改這里,跳到004d0491
00419BC6 90 nop
00419BC7 90 nop
00419BC8 90 nop
00419BC9 90 nop
00419BCA 90 nop
00419BCB 90 nop
00419BCC . E8 CFF10900 call 004B8DA0
從004d0491開始寫我們的代碼,原文件中004d0491也是一塊為00的空閑區域。
下面是我們添加進去的代碼,原文件中是為00的空閑區域。
004D0491 50 push eax //先把一些用到的寄存器數據入棧,保護現場。
004D0492 53 push ebx
004D0493 51 push ecx
004D0494 52 push edx
004D0495 56 push esi
004D0496 33C9 xor ecx, ecx
004D0498 90 nop
004D0499 90 nop
004D049A 66:83F8 00 cmp ax, 0 //比較血量是否為0
004D049E 7F 28 jg short 004D04C8 //大于0,不用清除,直接到返回
004D04A0 81C6 48270600 add esi, 62748 //esi+62748為怪名的起始內存地址
004D04A6 8B99 00304D00 mov ebx, dword ptr [ecx+4D3000] //把以前寫入的怪名起始地址放入ebx
004D04AC 83C1 04 add ecx, 4
004D04AF 81F9 00010000 cmp ecx, 100
004D04B5 7F 11 jg short 004D04C8
004D04B7 3BDE cmp ebx, esi //比較游戲剛死亡的怪名地址,是否以前寫入過這個地址
004D04B9 ^ 75 EB jnz short 004D04A6 //不是這個再比較下一個
004D04BB 33D2 xor edx, edx //剛死亡的怪名地址在以前寫入的區域內找到了,開始清除
004D04BD 8991 FC2F4D00 mov dword ptr [ecx+4D2FFC], edx //清零
004D04C3 E8 C8FEFFFF call 004D0390 //清除掉一怪后,重新找最近怪,后面詳細講這個call
004D04C8 5E pop esi //各寄存器出棧,恢復現場
004D04C9 5A pop edx
004D04CA 59 pop ecx
004D04CB 5B pop ebx
004D04CC 58 pop eax
004D04CD 66:8B4F 08 mov cx, word ptr [edi+8] //把原文件的代碼補上
004D04D1 66:898E C201000>mov word ptr [esi+1C2], cx //這也是原文件的代碼補上
004D04D8 - E9 EF96F4FF jmp 00419BCC //跳回到原文件插入跳轉指令的下一行
通過以上代碼,把玩家周圍死亡的怪,立即從內存地址004D3000開始的一段區域內清除掉。
2、修改游戲原始文件,下次啟動游戲時能運行我們的代碼:
用UltraEdit打開原文件,把原文件地址為00019BC1起數據:
668B4F0866898EC2010改為:E9CB680B00909090909090
把下面數據復制到000d0491起的文件里.
50 53 51 52 56 33 C9 90 90 66 83 F8 00 7F 28 81
C6 48 27 06 00 8B 99 00 30 4D 00 83 C1 04 81 F9
00 01 00 00 7F 11 3B DE 75 EB 33 D2 89 91 FC 2F
4D 00 E8 C8 FE FF FF 5E 5A 59 5B 58 66 8B 4F 08
66 89 8E C2 01 00 00 E9 EF 96 F4 FF
同樣,數據由上面代碼段而來,改好后存盤。
至些,把玩家周圍死亡的怪,立即從內存地址004D3000開始的一段區域內清除掉。
四、把離玩家最近的怪物參數固定在內存中的某處
通過以上三大步驟,我們已經實現了把玩家周圍的,而且是需要打的活的怪物名稱起始內存地址集中寫入到了從004D3000到004D3100這小段區域內,在這小段區域內每組不為零的四個字節就代表了一個怪物名的起始內存地址,沒有其他不相關的數據在這一小段。如果用按鍵精靈,已經可以通過讀這一小段內存數據可以實現讀內存打怪了。為了減少按鍵精靈讀內存次數,和過多的轉換運算,我們直接把最近怪的有關參數固定下來。
這就到了前面多次提到的call 004D0390 這句。
1、先分析游戲,用Cheat Engine容易找到:
內存中怪名起始內存地址與其他地址之間的關系:
以下為16進制數:
怪名起始內存地址-54=怪血量地址(占兩個字節)
怪名起始內存地址-62570=怪X坐標地址(占四個字節)
怪名起始內存地址-625C0=怪y坐標地址(占四個字節)
人物參數內存地址(此游戲竟然是固定的):
人名稱內存地址=008AFAF8
人血量內存地址=008AFAA4
人氣量內存地址=008AFBD8
人X坐標內存地址=008AFEAC
人y坐標內存地址=008AFEB0
2、人物坐標,怪物坐標與屏幕坐標的關系
游戲中人物在屏幕正中心,離上下左右各8步,超過8步在屏幕外,鼠標不能點擊。游戲坐標差不能超過8。
窗口模式下鼠標能點到這個怪的極限區域(坐標為窗口坐標)。
正上頂點:(393,0)與(408,21)組成的區域。
正下頂點:(393,512)與(408,533)組成的區域。
正左頂點:(10,256)與(24,276)組成的區域。
正右頂點:(778,256)與(792,276)組成的區域。
假設人物坐標(Rx,Ry),怪坐標(Gx,Gy),鼠標點擊坐標(X,Y)
其中人物坐標,怪坐標為游戲里的坐標,鼠標點擊坐標為窗口坐標。
通過以上分析則有鼠標點擊能點到怪的窗口坐標X,Y為:
X=(Gx-(Rx-8))*48+17 (后面加值范圍10~24,最好取中間值+17)
y=(Gy-(Ry-8))*32+2 (后面加值范圍0~21,因可能點到左下角頭像選+2)
3、有了以上理論就可以寫call 004D0390的代碼了
同樣從004D0390開始寫我們的代碼,原文件中004D0390也是一塊為00的空閑區域。
把最近怪物名的起始內存地址固定在[004D2FE0]中,X坐標固定在[004D2FF0]中,Y坐標固定在[004D2FF4]中,怪血量固定在[004D2FF8]中。
004D0390 50 push eax //先把一些用到的寄存器數據入棧,保護現場。
004D0391 53 push ebx
004D0392 51 push ecx
004D0393 52 push edx
004D0394 56 push esi
004D0395 57 push edi
004D0396 33C0 xor eax, eax
004D0398 A3 E02F4D00 mov dword ptr [4D2FE0], eax //初始化內存
004D039D A3 F02F4D00 mov dword ptr [4D2FF0], eax
004D03A2 A3 F42F4D00 mov dword ptr [4D2FF4], eax
004D03A7 05 FFFF0000 add eax, 0FFFF
004D03AC A3 E42F4D00 mov dword ptr [4D2FE4], eax
004D03B1 33C9 xor ecx, ecx
004D03B3 8BB9 00304D00 mov edi, dword ptr [ecx+4D3000] //把怪物起始內存地址放入edi
004D03B9 83C1 04 add ecx, 4
004D03BC 81F9 00010000 cmp ecx, 100
004D03C2 0F8F AA000000 jg 004D0472 //全部比較完后返回
004D03C8 83FF 00 cmp edi, 0
004D03CB ^ 74 E6 je short 004D03B3 //為零找下一個
004D03CD 8B87 90DAF9FF mov eax, dword ptr [edi+FFF9DA90] //怪Gx坐標放入eax
004D03D3 8B1D ACFE8A00 mov ebx, dword ptr [8AFEAC] //人Rx坐標放入ebx
004D03D9 3BC3 cmp eax, ebx
004D03DB 7F 01 jg short 004D03DE
004D03DD 93 xchg eax, ebx
004D03DE 2BC3 sub eax, ebx //Gx與Rx之差放入eax
004D03E0 83F8 08 cmp eax, 8 //兩者差是否大于8
004D03E3 ^ 7F CE jg short 004D03B3 //大于8在屏幕外,直接找下一個怪
004D03E5 F7E0 mul eax //橫坐標差平方運算
004D03E7 8BF0 mov esi, eax //橫坐標差的平方放入esi中
004D03E9 8B87 40DAF9FF mov eax, dword ptr [edi+FFF9DA40] //怪Gy坐標放入eax
004D03EF 8B1D B0FE8A00 mov ebx, dword ptr [8AFEB0] //人Ry坐標放入ebx
004D03F5 3BC3 cmp eax, ebx
004D03F7 7F 01 jg short 004D03FA
004D03F9 93 xchg eax, ebx
004D03FA 2BC3 sub eax, ebx //Gy與Ry之差放入eax
004D03FC 83F8 08 cmp eax, 8 //兩者差是否大于8
004D03FF ^ 7F B2 jg short 004D03B3 //大于8在屏幕外,直接找下一個怪
004D0401 F7E0 mul eax //樅坐標差平方運算
004D0403 03F0 add esi, eax //橫、樅坐標之差的平方的和放入esi中
004D0405 3B35 E42F4D00 cmp esi, dword ptr [4D2FE4] //這個距離的平方與前次保存的距離的平方
004D040B ^ 7D A6 jge short 004D03B3 //大于或等于說明這個怪離玩家距離更遠,找下一個怪
004D040D 893D E02F4D00 mov dword ptr [4D2FE0], edi //更近怪名的起始地址固定在[4D2FE0]中
004D0413 8B47 AC mov eax, dword ptr [edi-54]
004D0416 66:A3 F82F4D00 mov word ptr [4D2FF8], ax //血量固定在[4D2FF8]中
004D041C 8935 E42F4D00 mov dword ptr [4D2FE4], esi //距離平方放在[4D2FE4]中
004D0422 8B87 90DAF9FF mov eax, dword ptr [edi+FFF9DA90] //更近怪Gx坐標放入eax
004D0428 8B1D ACFE8A00 mov ebx, dword ptr [8AFEAC] //人Rx坐標放入ebx
004D0431 2BC3 sub eax, ebx
004D0433 BB 30000000 mov ebx, 30
004D0438 F7E3 mul ebx
004D043A 83C0 17 add eax, 17
004D043D A3 F02F4D00 mov dword ptr [4D2FF0], eax //換算后,鼠標點擊X坐標放入[4D2FF0]中
004D0442 8B87 40DAF9FF mov eax, dword ptr [edi+FFF9DA40]
004D0448 8B1D B0FE8A00 mov ebx, dword ptr [8AFEB0]
004D044E 83C0 08 add eax, 8
004D0451 2BC3 sub eax, ebx
004D0453 BB 20000000 mov ebx, 20
004D0458 F7E3 mul ebx
004D045A 83C0 02 add eax, 2
004D045D A3 F42F4D00 mov dword ptr [4D2FF4], eax //換算后,鼠標點擊Y坐標放入[4D2FF4]中
004D0462 83FE 02 cmp esi, 2 //距離平方是否小于或等于2
004D0465 7E 0B jle short 004D0472 //怪已經緊挨著玩家了,不用再找下一個怪了
004D0467 ^ E9 47FFFFFF jmp 004D03B3 //這個怪離玩家還有距離,可能還有更近的
004D046C 90 nop
004D046D 90 nop
004D046E 90 nop
004D046F 90 nop
004D0470 90 nop
004D0471 90 nop
004D0472 5F pop edi //各寄存器出棧,恢復現場
004D0473 5E pop esi
004D0474 5A pop edx
004D0475 59 pop ecx
004D0476 5B pop ebx
004D0477 58 pop eax
004D0478 C3 retn //返回調用call的下一行
游戲運行過程中,只要運行以上這段代碼,就會把最近怪的窗口X坐標固定在[004D2FF0]中,窗口Y坐標固定在[004D2FF4]中,血量固定在[004D2FF8]中。
4、用UltraEdit打開原文件,把下面數據復制到000d0390起的文件里.
50 53 51 52 56 57 33 C0 A3 E0 2F 4D 00 A3 F0 2F
4D 00 A3 F4 2F 4D 00 05 FF FF 00 00 A3 E4 2F 4D
00 33 C9 8B B9 00 30 4D 00 83 C1 04 81 F9 00 01
00 00 0F 8F AA 00 00 00 83 FF 00 74 E6 8B 87 90
DA F9 FF 8B 1D AC FE 8A 00 3B C3 7F 01 93 2B C3
83 F8 08 7F CE F7 E0 8B F0 8B 87 40 DA F9 FF 8B
1D B0 FE 8A 00 3B C3 7F 01 93 2B C3 83 F8 08 7F
B2 F7 E0 03 F0 3B 35 E4 2F 4D 00 7D A6 89 3D E0
2F 4D 00 8B 47 AC 66 A3 F8 2F 4D 00 89 35 E4 2F
4D 00 8B 87 90 DA F9 FF 8B 1D AC FE 8A 00 83 C0
08 2B C3 BB 30 00 00 00 F7 E3 83 C0 17 A3 F0 2F
4D 00 8B 87 40 DA F9 FF 8B 1D B0 FE 8A 00 83 C0
08 2B C3 BB 20 00 00 00 F7 E3 83 C0 02 A3 F4 2F
4D 00 83 FE 02 7E 0B E9 47 FF FF FF 90 90 90 90
90 90 5F 5E 5A 59 5B 58 C3
改好后存盤,這樣運行游戲時,游戲本身會把最近怪的窗口X坐標固定在[004D2FF0]中,窗口Y坐標固定在[004D2FF4]中,血量固定在[004D2FF8]中。
五、人物移動時,及時更新最近怪物參數
上面三個大步驟,刷出一個怪,消失一個怪,死亡一個怪時,都會運行call 004D0390,也就是都會馬上更新一下內存地址004D2FE0、004D2FF0、04D2FF4、004D2FF8的數據。人物移動時也必需及時更新最近怪物參數。
1、同樣,我們用Cheat Engine找到人物移動時的匯編代碼:
人物每移動一步都會經過以下代碼:
00432A78 pop edi
用OllyICE打開游戲。跳到以下這段代碼可以看到:
00432A78 |. 5F pop edi
00432A79 |. 5E pop esi
00432A7A |. 5B pop ebx
00432A7B |. 8BE5 mov esp, ebp
00432A7D |. 5D pop ebp
00432A7E |. C2 0400 retn 4
因此把原文件改為如下(對照上面):
00432A78 - E9 D4D80900 jmp 004D0351 //這里改為跳到004d0351
00432A7D |. 5D pop ebp
00432A7E |. C2 0400 retn 4
從004D0351開始寫我們的代碼,原文件中004D0351也是一塊為00的空閑區域。
下面是我們添加進去的代碼,原文件中是為00的空閑區域。
004D0351 E8 3A000000 call 004D0390 //就是為了補進這句
004D0356 5F pop edi //把原文件的代碼補上
004D0357 5E pop esi
004D0358 5B pop ebx
004D0359 8BE5 mov esp, ebp
004D035B - E9 1D27F6FF jmp 00432A7D //跳回到原文件插入跳轉指令的下一行
2、修改游戲原始文件,下次啟動游戲時能運行我們的代碼:
用UltraEdit打開原文件,把原文件地址為00032a78起數據:
5F5E5B8BE5 改為:E9D4D80900
把下面數據復制到000d0351起的文件里.
E8 3A 00 00 00 5F 5E 5B 8B E5 E9 1D 27 F6 FF
到此為止,我們終于把最近怪物的有用參數固定在004D2FE0、004D2FF0、04D2FF4、004D2FF8四個內存地址中,當然如果還想加入最近怪物的其他參數,如怪物是否被其他玩家攻擊,是否為小BOSS等等只要修改CALL 004D0390這段代碼就行。
把以上所有要改的數據改好存盤后,游戲原文件大小沒有改變,但已經成功的把我們的代碼注入進去了,啟動游戲。查看游戲內存數據,可以看到內存004D2FE0、004D2FF0、04D2FF4、004D2FF8,正是我們需要的離玩家最近怪物的名稱起址、窗口X坐標、窗口Y坐標、血量。隨著游戲的進行,這幾個內存地址都會及時正確的更新著。
六、寫個簡單的內存找怪打怪腳本
前期工作做好后,編寫內存找怪打怪按鍵精靈腳本就簡單多了。
下面是簡單的腳本:
Dim handle,Rx,Ry,Gx,Gy,G1,G2,X,Y //其中G1,G2為怪名的起始內存地址
Plugin handle=Window.MousePoint()
Rem 找怪
Plugin G1=Memory.Read32Bit(handle,&h004d2fe0)
Plugin X=Memory.Read32Bit(handle,&h004d2ff0)
Plugin Y=Memory.Read32Bit(handle,&h004d2ff4)
Plugin BGKM4.MMove(handle,X,Y)
Delay 100
Plugin BGKM4.LClick(handle,X,Y)
Rem 判斷
Plugin G2=Memory.Read32Bit(handle,&h004d2fe0)
If G2=G1
Delay 100
Goto 判斷
EndIf
Delay 100
Goto 找怪
連怪血量的內存地址都不需要用上,因為怪名的起始地址也是及時更新的。
七、其他
以上腳本只是簡單的砍怪,沒有加入使用技能,沒有加入補血補氣,也沒有加入撿取物品。游戲中遇到特殊情況也沒做相應處理。
關于使用技能,如可以通過統計緊挨玩家怪物的數量使用群攻技能。
知道人物的血、氣內存地址,補血補氣那是很容易實現的了。
關于游戲地面物品內存中的查找,原理其實同找怪一樣,也可預先做一個需要撿取的物品清單,然后,把地面出現的物品與清單相比較,如果是要撿的,可以臨時把坐標放入一固定內存區域內,跟據判定物品離玩家距離的遠近和周圍怪物的多少,決定恰當的時候去撿起。
游戲中還有些關鍵的元素,如打怪路線,撿到極品自動存倉庫,自動買藥買藍都可以通過讀內存實現。
不說了,再說又是長篇大論。
posted on 2007-07-21 01:39
聶文龍 閱讀(8120)
評論(5) 編輯 收藏 引用 所屬分類:
c++