博客园_专注于.net技术

真是郁闷，团队中居然出了这样的骗子！！

2011-07-05T17:26:00Z

郑重声明：本人传世从没真正收过徒弟，如果发现：有人以收徒弟为名，收取2000元徒弟费用，教分析传世系列以下主要数据者。其实是主要拿我分析的数据在收徒，此时

请仔细确认以下几点，以免上当受骗，如下：

1。传世中背包信息，是否准确无误。

2。传世中丢物的信息是否准确无误。

3。传世中买，卖，修，存是否实现。

4。传世中任务的ID，名称及基址是否分析出。

5。地图信息是否准确无误。

6。二级NPC窗口信息的详细分析方法（此信息结果已告之对方）

为什么要确认以上几点，很简单，以上几点的详细分析及结果还没来得及提供给对方。万幸！！！

有图为证：

以图为证：

有图为证：

实在伤心，特此郑重声明：1。外挂开发阶段，由于骗子多，传奇或传世主体数据均已分析完毕，正处于外挂开发阶段，传奇或传世系列数据不再对外交换或交流。

2。已录制的视频仅供有限的几个好朋友或已收的四个传奇内部徒弟之间交流。

3。传世系列计划全部数据分析完毕后每个游戏限收一个徒弟，2011年7-8月28号属于研究游戏阶段，这段时间不收任何徒弟。

本文链接

C++反汇编揭秘1 – 一个简单C++程序反汇编解析

2010-10-26T02:06:00Z

http://blog.csdn.net/atfield/archive/2006/11/14/1382694.aspx

本文链接

函数调用堆栈变化分析

2010-10-17T03:06:00Z

比如我们有这样一个C函数
#include<stdio.h>
long test(int a,int b)
{
    a = a + 1;
    b = b + 100;
    return a + b;
}
void main()
{
  printf("%d",test(1000,2000));
}

写成32位汇编就是这样
;//////////////////////////////////////////////////////////////////////////////////////////////////////
.386
.model flat,stdcall           ;这里我们用stdcall 就是函数参数压栈的时候从最后一个开始压，和被调用函数负责清栈
option casemap:none            ;区分大小写

includelib msvcrt.lib          ;这里是引入类库相当于 #include<stdio.h>了
printf  PROTO C:DWORD,:VARARG  ;这个就是声明一下我们要用的函数头，到时候汇编程序会自动到msvcrt.lib里面找的了
                                ;:VARARG 表后面的参数不确定因为C就是这样的printf(const char *, ...);
                               ;这样的函数要注意不是被调用函数负责清栈因为它本身不知道有多少个参数
                               ;而是有调用者负责清栈  下面会详细说明
.data
szTextFmt  BYTE '%d',0        ;这个是用来类型转换的，跟C的一样,字符用字节类型
a          dword 1000         ;假设
b          dword 2000         ;处理数值都用双字没有int 跟long 的区别

;/////////////////////////////////////////////////////////////////////////////////////////
.code

_test proc ;A:DWORD,B:DWORD
      push ebp
      mov  ebp,esp
      mov  eax,dword ptr ss:[ebp+8]
      add  eax,1
      mov  edx,dword ptr ss:[ebp+0Ch]
      add  edx,100
      add  eax,edx
      pop  ebp
      retn 8
_test endp

_main proc
      push dword ptr ds:b       ;反汇编我们看到的b就不是b了而是一个[*****]数字 dword ptr 就是我们在ds(数据段)把[*****]
                                ;开始的一个双字长数值取出来
      push dword ptr ds:a       ;跟她对应的还有 byte ptr ****就是取一个字节出来比如这样 mov  al,byte ptr ds:szTextFmt
                                ;就把 % 取出来而不包括 d
      call _test
      push eax                  ;假设push eax的地址是×××××
      push offset szTextFmt
      call printf
      add  esp,8
      ret
_main endp
end  _main

;////////////////////////////////////////////////////////////// 下面介绍堆栈的变化
首先要明白的是操作堆栈段 ss 只能用 esp或ebp寄存器其他的寄存器eax ebx edx等都不能够用而 esp永远指向堆栈栈顶 ebp用来在堆栈段

里面寻址
push 指令是压栈 ESP=ESP-4
pop  指令是出栈 ESP=ESP+4
我们假设main函数一开始堆栈定是 ESP=400
push dword ptr ds:b                 ;ESP-4=396 ->里面的值就是 2000 就是b的数值
push dword ptr ds:a                 ;ESP-4=392 ->里面的值就是 1000 就是a的数值
call test                           ;ESP-4=388－>里面的数值是什么？这个太重要了就是我们用来找游戏函数的原理所在。
                                                 里面的数值就是call test 指令下一条指令的地址－>即push eax的地址×××××

到了test函数里面

push ebp                           ;ESP-4=384->里面保存了当前ebp的值而不是把ebp清零
mov  ebp,esp                       ;这里ESP＝384就没变化了，但是 ebp=esp=384,为什么要这样做呢因为我们要用ebp到堆栈里面找参数
mov  eax,dword ptr ss:[ebp+8]      ;反汇编是这样的想想为什么a就是[ebp+8]呢
                                   ;我们往上看看堆栈里地址392处就保存着a的值这里ebp=384 加上8正好就是392了
                                   ;这样就把传递过来的1000拿了出来eax=1000
add  eax,1                         ;相当于 a+1了 eax=1001
mov  edx,dword ptr ss:[ebp+0Ch]    ; 0Ch=12 一样道理这里指向堆栈的地址是384+12=396 就是2000了 edx=2000
add  edx,100                       ;相当于 b+100 edx=2100
add  eax,edx                       ;eax=eax+edx＝1001＋2100＝3101 这里eax已经保存了最终的结果了
                                   ;因为win32汇编一般用eax返回结果所以如果最终结果不是在eax里面的话还要把它放到eax
                                   ;比如假设我的结果保存在变量nRet里面最后还是要这样 mov eax,dword ptr nRet
pop  ebp                           ;ESP=384+4=388 而保存在栈顶384的值保存到 ebp中即恢复ebp原来的值
                                   ;因为一开始我们就把ebp的值压栈了，mov ebp,esp已经改变了ebp的值，这里恢复就是保证了堆栈平衡
retn  8                            ;ESP+8->396 这里retn是由系统调用的我们不用管系统会自动把EIP指针指向原来的call的下一条指令
                                   ;由于是系统自动恢复了call那里的压栈所以真正返回到的时候ESP+4就是恢复了call压栈的堆栈
                                   ;到了这个时候 ESP=400 就是函数调用开始的堆栈，就是说函数调用前跟函数调用后的堆栈是一样的
                                   ;这就是堆栈平衡
由于我们用stdcall上面retn 8就是被调用者负责恢复堆栈的意思了，函数test是被调用者，所以负责把堆栈加8,call 那里是系统自动恢复的

push eax                ;ESP-4=396->里面保存了eax的值3101
                        ;上面已经看到了eax保存着返回值，我们要把它传给printf也是通过堆栈传递
push offset szTextFmt   ;ESP-4=392->里面保存了szTextFmt的地址也就是C里面的指针实际上没有什么把字符串传递的，我们传的都是地址
                        ;无论是在汇编或C 所以在汇编里没有什么字符串类型用最多的就是DWORD。嘿嘿游戏里面传递参数简单多了
call printf             ;ESP-4=388->里面保存了下一条指令的地址
add  esp,8              ;ESP+8=400 恢复了调用printf前的堆栈状态
                        ;上面说了由于printf后面参数是:VARARG 这样的类型是有调用者恢复堆栈的所以printf里面没有retn 8之类的指令
                        ;这是由调用者负责清栈 main是调用者所以下面一句就是 add esp,8 把堆栈恢复到调用printf之前
                        ;而call printf那里的压栈是由系统做的恢复的工作也是系统完成我们不用理只是知道里面保存是返回地址就够

                      ;了
ret                     ;main 函数返回其他的事情是系统自动搞定我们不用理任务完成

本文链接

为什么要下断bpSend，原理分析。

2010-10-08T07:03:00Z

     看过这里有的大大是断下send后，去找调用send的CALL，找到这个CALL再找上一次的CALL，这样去找关键CALL，但是，有的游戏这样是找不来的，所以，如果有的游戏不能这样找回去，那怎么办呢，这就要先说说原理了。
要说找CALL的原理，我们应该想想游戏的运行机制。也就是说游戏的控制方式是怎么样的。
不说费话，其实大多数的游戏都是这样的，来个买药的例子吧：
点击买药后：
1、客户端产生一个买药行为并调用买物品的过程，如：BuyGoods(s:string,n:integer);　//参数s为物品种类 n为数量
      2、这个行为会产生一个发送给服务器的数据信息　MakeInfoString;
　比如：36 00 01 .........
3、数据出来要进行一次或N次的加密。
4、加密后通过send或WSASend函数将这个信息发给服务器处理。
5、等待服务器处理返回。
6、服务器返回购买成功的信息。
7、客户端响应这个信息，并调用本地动作行为。
这样，基本上就构成了游戏的一般的控制方式。
写出程序大概可能为：
主程序
....
....
BuyGoods(LifeMedicine,10);  //行为产生后调用买物品过程
....
....
主程序

procedure BuyGoods(s:string,n:integer);  //买物品的过程
begin
  send(Encrypt(MakeInfoString(s,n)));
end;
当然写法也可以是：
MakeInfoString;
Encrypt;
send;

不管怎么样方法都是差不多的。
了解了程序的大至写法，那么我们逆向起来就有个思路了：
bp send
      返回向回找，先找到Encrypt，再向回找，能找到MakeInfoString（也就是找到明码部分），再向上找，就是调用这些东西的BuyGoods(s:string,n:integer)了。

我来找一个游戏说明一下吧，比如说有个什么名状的游戏。
这个游戏有个出征和休息待卫的功能，也就是放出和休息宝宝了。就拿这个CALL来讲吧。
这个游戏我用一般的思路往回找无法找出来这个出征的CALL，别的CALL没试，主要用是讲个例子。那么我就用另一个方法：
1，我先下bp send，返回看到这里，不用说就是send函数了。
　0069FFBF  |.  E8 82A11000  call <jmp.&WS2_32.#19>
,2，给send的BUF区下硬键访问断点，来到这里，看出是这里向Send函数的BUF区放数据的。
　0069FB43  |.  F3:A5       rep movs dword ptr es:[edi], dword ptr [e>; |
3，给esi下断分析，发现加密函数。
　0069FB64  |.  E8 67060000  call 006A01D0             ; \封包加密函数
4，好，我们在这个加密函数下个断。然后点击“出征”，断下来后执行到返回。可以看到调用它的CALL。
　0069DD14  .  E8 471D0000  call 0069FA60
5，下断，再往回找，看到上一级的调用CALL。
　0069DEFC  |.  E8 BFFDFFFF  call 0069DCC0
6，下断，再往回找。
　006DBDFB  |.  FF50 0C    call [eax+C]
7，下断，再找。
　0065CB89  |.  8B4D 08    mov ecx, [ebp+8]
　0065CB8C  |.  33C0       xor eax, eax
　0065CB8E  |.  66:8B46 21 mov ax, [esi+21]
　0065CB92  |.  6A 32       push 32                         ; /Arg3 = 00000032
　0065CB94  |.  50          push eax                         ; |Arg2
　0065CB95  |.  51          push ecx                         ; |Arg1
　0065CB96  |.  8D8D E4FBFFFF lea ecx, [ebp-41C]             ; |
　0065CB9C  |.  C745 FC 00000>mov dword ptr [ebp-4], 0       ; |
　0065CBA3  |.  E8 88F10700  call 006DBD30                   ; \TheWarlo.006DBD30
　8，再放上，是这里，看到红色这个CALL了吗，它就是“出征”的CALL了。

004101B2 |. 83F8 14 cmp eax, 14
004101B5 |. 8B45 08 mov eax, [ebp+8]
004101B8 |. 73 06 jnb short 004101C0
004101BA |. 83F8 01 cmp eax, 1
004101BD |. 7E 01 jle short 004101C0
004101BF |. 48 dec eax
004101C0 |> 8B4486 04 mov eax, [esi+eax*4+4]
004101C4 |. B9 58E88000 mov ecx, 0080E858
004101C9 |. 50 push eax ; /Arg1
004101CA |. E8 81C82400 call 0065CA50 ; \TheWarlo.0065CA50
004101CF |. 5E pop esi
004101D0 |. 5D pop ebp
004101D1 \. C2 0400 retn 4
　9，再上就是GuiDll的领空了。
　这两个都可以，
给大家这个例子，是想告诉大家，什么是BPSEND的原理，我的意思是如果你都分析不清楚一个游戏或程序的运行方法，那你无论如何是不可能找到这些的。当然，如果有别人给的一些实际操作的例子除外。
好了，也差不了多少。也不知道我说的这些对大家有没有用，欢迎大家批评指正。

本文链接

做挂第一步:如何找基址(以热血传奇为例)

2010-01-16T08:43:00Z

如何找热血传奇基址？一．首先打开游戏并使用CE加载游戏进度。二．在数值中输入血量值207,点击新的扫描，扫描类型选择精确数值，如图所示：为什么要输入207呢？这是指游戏中人物的当前血量，游戏中的任何数据都对应一个内存地址，所以此处我们可以找到血量207的内存地址。可以发现搜索出了一大堆，但是到底哪一个是我们需要的血值呢？所以我们还得构造一个条件，以方便准备的搜出血值。请看第三步3.进入游戏，打打怪...

一步步学外挂(二).CALL的原理。

2009-12-31T07:45:00Z

先谈下游戏，游戏每个动作都会调用函数。比方游戏设计人员是这样设计游戏的：void zhixing() //执行函数{dazuo();.......//@1}void dazuo() //打坐函数{jimi("...."); //加密函数return;}void jimi(char *s){//对s加密处理，赋值给str变量fashong(str); //发送函数 return;}void fash...

开发企业直销软件需求分析

2009-08-16T09:26:00Z

待续......

开发旺旺群发软件，难点及重要技术点分析（一）

2009-06-30T15:10:00Z

开发旺旺群发软件，难点及重要技术点分析（一）一．在C#中调用Win32函数EnumWindows枚举所有窗口。EnumWindows 函数通过借助于应用程序定义的回调函数传递每个窗口句柄枚举所有顶层的屏幕窗口。直到最后一个顶层窗口被枚举或者回调函数返回false ，EnumWindows 函数才会退出停止枚举过程。下面例子说明如何在 C# 中调用 Win32 API - EnumWindows ...

正则表达式系列文章整理

2009-06-28T06:01:00Z

http://dragon.cnblogs.com/archive/2006/05/08/394078.html深入浅出之正则表达式（一）http://www.cnblogs.com/dragon/archive/2006/05/09/394923.html深入浅出之正则表达式（二）http://unibetter.com/deerchao/zhengzhe-biaodashi-jiaoche...

群发软件开发原理分析

2009-06-27T15:38:00Z

http://www.kuqin.com/windows/20081226/32101.html 前言不可否认，目前阿里旺旺垃圾消息还是比较多的。这个现状并不可怕，只要我们真正花时间和精力去解决，一定能大为改善。知己知彼方能百战百胜，要解决垃圾消息的问题，必须要从以下方面入手分析： ◆垃圾消息发送的必要条件 ◆目前市面上的群发软件的工作原理 ◆我们的漏洞 &...