开元棋牌,开元棋牌官网,开元棋牌下载,开元娱乐,棋牌游戏平台,棋牌真钱游戏,注册送彩金棋牌,棋牌游戏,棋牌平台

　　1、模拟式：通过调用WindowsAPI来控制鼠标键盘等，使游戏中的人物进行流动或攻击。优点是实现较为简单，周期短，涉及技术面小。缺点是功能不多，较为单一。按键精灵就是其中的代表。

　　2、内存式：通过修改游戏的关键数据和代码或者非法调用游戏内部的call，来实现一系列功能。相对第一种功能大大增加，再加上以内存数据为依托，能达到更广泛和精准的控制。这种外挂可以快速提升你对内存地址的理解和运用，是编程技术提升的好帮手。难点在于定位需要的功能call和追踪数据。

　　3、封包式：基于客户端和服务器的数据包通信，通过给服务器发送或者拦截封包，来实现游戏功能。这类外挂的缺点是涉及技术面比前两者更为广泛，开发周期长。优点是所实现的功能强大到难以想象，而且可以无视绝大部分游戏检测，足以弥补对时间上的消耗。

　　自己搭建的一个私服，无论游戏有没有更新都可以跟着步骤操作，随时复现。按照文件中的视频教程搭建即可。

　　在网络游戏中，客户端和服务器的通信基于一系列的数据包。每个数据包都类似于一条指令，客户端和服务器在这个系列指令中完成指定动作。

　　那么我们只要在这三个函数下断点，然后进行堆栈回溯分析，就能准确定位关键的函数调用链。在这条链上，快速排查出需要的功能call。

　　2、由于游戏中存在一个发包线程，所以即使断下send()函数，也无法回溯出有用的逻辑

　　对于第一个问题，是因为游戏设计者知道发包函数的重要性，重写了一份发包函数。对于这种情况有两种解决方案

　　由于线程发包是在游戏内部用一个死循环不断的发送数据包，其中包括心跳包，所以会出现发包函数断的很频繁的问题，这就导致无法在我们想要的时机断下，不利于调试。我们需要先解决频繁断下的问题。

　　幻想神域这个游戏的发包函数的WSASend()，首先来了解一下这个函数参数的含义

　　唯一有用的参数：lpBuffers:指向WSABUF结构体的指针，存储的是包长和包内容

　　查看一下第二个参数lpBuffers，数据包长度为1E，我们可以以数据包长度为限制条件在这个地方下条件断点，条件如下:

　　游戏想要单独开一个线程进行发包，必然要用一个地址作为参数传递给发包线程。

　　第一个线程将发包内容写入地址，第二个线程从这个地址中读取发包内容。这个地址会有两种形式，一种是不变的，从正向代码的角度看就是用全局变量传递，伪代码如下：

　　跳出线程发包的核心思路就是要找到是谁将发包内容写入。也就是找到上面的memcpy的位置。

　　在WSASend函数下断，查看一下pBuffers的地址。这个地方的地址是一直变化的，应该是用的堆空间的方式来传递参数。

　　如果这个地址是不变的，说明是用的全局变量来传递参数。不变的情况下直接在这个地址下写入断点就能跳出发包线程了。

　　现在这个地址是每次都动态变化的，所以我们需要往上追到这个地址的来源，然后对地址的来源下写入断点，跳出发包线程。

　　在这个地方下个断点，可以发现 edi 的地址是不变的。这个时候就没有必要往上追了。

　　接着我们在 [[edi+2888]+4] 的地址下硬件写入断点，找到往这个地址写入数据的地方

　　我们发现两个调用堆栈的地址是相同的，说明还没有跳出发包线程。需要继续追 eax 的来源然后下写入断点。

　　这个时候再查看调用堆栈，返回地址都是游戏主模块，明显这次我们跳出了线程发包函数

　　对比之前追的偏移表达式，这个地方就是将 ebp 写入到 [eax]，[eax] 其实就相当于包内容表达式的 [edx]，所以

　　那么怎么验证这个地方就是加密的封包内容呢？直接对比 WSASend 的 pBuffers 和 [ebp+8]+4] 的数据内容

　　这两个地方是一致的，那么说明 [ebp+8]+4] 就是加密的封包内容。接下来测试一下能不能通过跳出的发包线程找到游戏的喊话 call。在第二次断下的位置下断点

　　然后在游戏内喊话，断下以后在堆栈中的返回地址，我们找到了当前的喊话内容，说明这个 call 就是喊话 call

　　线、对于重写发包函数的问题，只需要在三个发包函数的底层函数下断或者搜索内层的特征码即可找到游戏重写的发包函数

　　2、对于线程发包的问题，需要找到数据包的地址来源，然后对基地址下写入断点。重复这个过程，即可跳出线程发包函数。

　　在加密的封包内容处下断点，喊话让游戏断下，并且在堆栈中找到第一个返回地址

　　我们在加密封包处下断点，第一层返回地址找到了明文发包函数，那么封包的加密 call 肯定就在中间。

　　在明文发包函数下个断点，F7 进入函数并单步跟踪，上面所有的跳转都执行了，上面 4 个 call 没有执行的机会

　　然后在单步不过这个 call 的时候，喊话的内容被加密了。这个有可能就是加密 call。

　　为了进一步确认，将断点断到加密封包内容处，查看 [[ebp+8]+4] 地址处的值，和之前的内容一致，说明这个 call 就是我们要的封包加密 call

　　首先来看 eax，eax 地址指向的值每次都是变化的，对于加密函数来说，为了让密文每次都变得不一样，一个有效的方法就是让秘钥变的随机。这个 eax 加密 call 的秘钥

　　eax 往上追可以追出一个偏移表达式，这里省略追秘钥的过程，直接给出表达式

　　我们在 WSASend 函数下断，查看一下，和上面的 edi 是一样的。那么 edi 就是包长 -2。

　　这个参数的含义其实就是要加密的内容长度，-2 是因为要减掉封包头部的长度。

　　ebp 和 ebx 可以用同样的方法论证得出是包地址 +2。也就是要加密的数据地址，+2 是为了不加密封包头。

　　到这里，只剩下最后一步，将封包加密函数整个复制到自己的 dll 代码中并修改，就能彻底脱离游戏代码了。修改后的代码如下：

　　这里是直接用的组装好的喊话分包，至于分包要如何分析，如何组装，这个我们后面再讨论。示例代码如下：

　　到此，我们已经一步步完整复现了从内存挂到封包挂的进化过程。实现效果如图：