三千论坛

标题: 初步了解tgs插件的写法 [打印本页]

作者: 异仟年    时间: 2022-9-5 20:27
标题: 初步了解tgs插件的写法
本帖最后由 异仟年 于 2022-9-5 20:28 编辑
: F$ _4 D' u' t& M$ k" H& ?2 c" A2 s8 L6 v
编写需求条件:3 Q! t7 b( {7 @

$ w# H/ L: Q$ _& p    od工具(看雪论坛有下), 程序编写工具比如(delphi, vc++)
* A; E* \  q' ~* y8 v- x& W# B
& ^5 N, K4 }* `1 ]( @/ K3 K/ H/ r8 z8 m, {  i- C5 y- g' f. i% w
编写过程$ z  g$ \- z2 L$ o' C# A" M
  S: f; x6 o9 m3 E: B
1:  I+ U2 r/ p" N0 q. q

# L' b( r4 f8 ?% A) u' c% k& |5 d# E    用编程工具写一个注入程序, 可以dll注入到tgs1000.exe 里面
+ i- d8 h% U$ `. r+ ~& I" _% v9 D) v6 u! ^0 W
8 y# z  e, k0 T* {: W+ F+ p
2:
* c' A% o; k+ c3 U) S5 @: x  B9 A- z  S3 E4 H
    打开od工具, 调用菜单打开功能 读入tgs1000.exe F9运行程序# J3 }/ T9 N1 @8 F7 s' D. Z

: i2 S: W2 }" _3 r* N    启动客户端进入游戏(后面要用客户端)3 P* g  O! o; t+ |  O% V
, Z" j$ H( \7 Q3 m2 U+ f) y
    调用 菜单->查看->可执行程序 看到列表里面 双击路径是tgs1000.exe3 c" I) k6 v& e

# N" y+ f+ ~! `6 E    在出现的界面上右键 菜单->查找->所有参考文本字符串  od 会扫描程序 # l- [  P& D+ b6 ~$ n7 M% J

7 o: c0 R* B: E8 s4 K& X    提取出参考字符串, 然后右键 查找文本 输入 <system> 字符, 这时可以看到
% D$ E, P8 n0 d4 {$ y# b  z& K! f3 W2 P# B
    od停在3 h! A( G1 _* K1 A0 J

% a: S. a" P* @; F" {    0052A0C7 mov     edx, 0052FDD0   ASCII "<SYSTEM>: ". @5 [3 ?7 j8 D5 ]9 _
3 O6 g" ]) H1 Z2 G
    双击这一行 再次看到od定位在汇编代码显示页面
* w% @2 l+ b5 ?8 ^# q' S! m$ N- w6 O/ e% A
' D5 D3 _$ C! V1 {
        0052A0C7   .  BA D0FD5200   mov     edx, 0052FDD0                    ;  ASCII "<SYSTEM>: " + o' |; X- r$ I. `4 m+ S& d9 s  b2 ]
        0052A0CC   .  E8 C7A5EDFF   call    00404698                                
- V3 D  G7 m1 \2 s3 m        0052A0D1   .  8B95 ACDEFFFF mov     edx, dword ptr [ebp-2154]        ;  赋值edx 为中间屏幕显示的内容
$ I, D. U, l0 L7 x: |7 w, i% y        0052A0D7   .  B9 03000000   mov     ecx, 3                             ;  这里是色彩的选项 后面会调用  M; d, x; O5 v
        0052A0DC   .  A1 70855600   mov     eax, dword ptr [568570]             ;  这个是UserList地址 参考侠中道代码可以知道        
% L4 T/ T3 E3 a5 [        0052A0E1   .  E8 D21A0100   call    0053BBB8                         ;  屏幕中间喊话的call 0053BBB83 t8 z2 o5 x+ x/ e
8 Y4 z7 w# x2 F" Y" Z  q  r/ q- d( C3 @
    定位在 0052A0C7这一行 在这里双击下断点, 在客户端用GM# ?????
* Y2 x9 K* s9 }  E% T! C3 g! N1 E    - n$ x1 x$ A/ L3 [5 ^/ i6 _
    这时od会被中断, 断在刚才下的断点处, 这时按下F8
" K9 q/ h* J# K( i0 R( b$ E
/ @; C; j" z9 ~: h/ s    call 0053BBB8 部分 按F7 进入call里面 这里是根据ecx值 取得喊话色彩6 B* `& _' O3 U7 V2 T

+ N3 D$ i8 t  d! z9 B& r4 ]; Y    同时发送数据给客户端
' ~4 t( Q  \3 b: o% \$ ^5 H! s( p. n2 V9 m' h2 I+ ]
    " h3 \% n" y. `! p* `# T, _1 j
    进入call之后 一路F8 到下面这里 这里的 eax 就是刚才ecx值 在上面部分已经交换过
3 Y$ e5 g5 h1 {% \+ u  3 z4 g- E8 B* \  Q4 M8 ~
        0053BBFC  |.  83F8 0F       cmp     eax, 0F                          ;  Switch (cases 0..F)
/ P5 L6 P8 |$ _        0053BBFF  |.  0F87 41020000 ja      0053BE466 Z; i3 G6 l8 o' J7 }. V( ?+ z  t* N

+ Z( Y) O8 n2 @& e- l    eax 这里是3 一路F8比较下去到下面这里3 `4 x' ?- h4 {) h, C1 k
6 x8 n8 w2 {. x3 C! K
        0053BCD9  |> \66:B9 1F00    mov     cx, 1F                           ;  Case 3 of switch 0053BBFC& M7 C' h. t! ^) B8 m. e; d
        0053BCDD  |.  66:BA 1F00    mov     dx, 1F
# L# H' d1 ~; V/ T7 X        0053BCE1  |.  66:B8 1F00    mov     ax, 1F. |( V6 e9 j# [( b& }+ O+ ~
        0053BCE5  |.  E8 EA54F2FF   call    004611D4/ `& ~3 v/ N/ w- }; h" [9 z
; l$ q  {  I/ A5 d' \/ ^. d
    这里的 cx, dx, ax 看到过侠中道代码的就知道是 Winrgb(r,g,b:word) 3个参数
# U- T& R& I* J' h. v* V    8 k: {! n- m' I& c9 |' u
    call    004611D4  就是调用 winrgb
( ?4 i' A# h7 k  b$ n, l
' [5 N# J0 N5 {0 j/ q4 W  j# F' k
上面部分已经初步了解色彩设定的方式, 这个时候为了增加我们自定义色彩显示, 就需要在
+ S8 j. z! g! l' ~, N7 N' v

7 {7 f9 n6 }& g( `6 P4 O' p+ ?
    dll里面进行内存地址读写
7 T, d) _* Q* K0 a6 W

8 ~( K( ^' P- e; I1 t7 [
    我是在
4 P- a5 N$ S1 b1 r$ Y! Q
   
! g9 W" h5 R0 E1 b/ e/ ?6 `
    0053BBFF  |. /0F87 41020000     ja      0053BE46- R+ C1 Y! B7 b/ n) t  i
' y6 @+ _, L, d% S2 @0 q3 g8 B
    在这个地址进行拦截 在delphi里面 可能可以dll初始化时这样写( W; m& E" _/ }: r

: m" k7 ]) @5 }, S8 i  |
    procedure InitDll();& U* W( ~. ]- l. ]  L& c
    var5 K/ q4 H! _; Z% K% W% E% d7 T  a, t
      p: Dword;1 q' u2 r+ ]+ |3 ?. m6 x
    begin9 K: l) D. R) h+ y; i5 W: c
      p := $0053BBFF + 1;
- U& z5 q2 a8 Y, l; z! F9 }: [8 D
      PDword(p)^ := Dword(@proc_0053BBFF);1 m3 q# x  {2 @
    end;
- J# x, G. v0 Z2 G1 E" z+ c, _
6 w4 U2 q+ X. e
    在自己的代码里面写一个色彩增加的函数判断比如
4 {7 Z; ~, E% P: f9 U' a5 s5 c$ \) g

% B% X, e) V4 t: P4 S
    delphi代码:
* Z! F) q  {$ D, M$ x
6 q. I# y! T6 r. J3 _# i) d6 p
    var  K+ w4 D0 L0 ]5 w! N
      EndAddr1_0053BBFF : Dword = $004F470C;
* T2 H" U" M0 o8 m! }5 ^
      EndAddr2_0053BBFF : Dword = $004F44CB;
: s9 K3 [! \. u
      EndAddr3_0053BBFF : Dword = $004F4736;    //色彩彩赋值结束跳转
0 l/ \, M% N/ K5 Q' ?8 _

/ f0 |' M: y& l) C0 N  t
   CallAddr1_0053BBFF : Dword = $004611D4;7 f  e4 u- P4 I9 D8 E0 p1 [5 N
      CallAddr2_0053BBFF : Dword = $004611D4;
9 v1 _' K& q) {* q  Q
; w) V$ z" r9 v% m% ?
    procedure proc_0053BBFF();1 e/ ~, R2 g- B! X0 V. n1 n
    asm
% u3 O$ I8 B+ T. b6 d: A
      cmp     eax, $10                        //与预先设定的 最大17比较
0 _/ u+ z" g8 O- u2 \5 d
      JLE      @OldCor                        //小于就跳转到默认16种色彩赋值3 c+ T0 _' J9 Q, l6 X

6 a# X* B; P6 U
      cmp     eax, $10                        //比较是否等于16
0 v( W' ]9 k  ]( w  J1 l+ ~8 K) {
      jnz     @Seventh                        //不等于就跳转到第17种色彩判断部分
# Z- T# ~. ?3 X

0 A; d% {( W2 C4 S/ j5 a( F
      mov     cx, $A       //字色或背景色? 没有去详细了解请自己测试3 v6 j( [: Y8 N
      mov     dx, $A                          // 可以通过修改赋值给ax, cx, dx的值 不超过$FF
( ^0 h* f7 M/ s3 V  F- J
      mov     ax, $A5 w) @% r' ?/ Y/ t, o% [
      call    CallAddr1_0053BBFF
) B4 e( b* F6 N5 t
      mov     edx, dword ptr [ebp-$14]+ D/ u) i. A* C8 P( ~# Q* n  W
      mov     word ptr [edx+1], ax$ X; B2 g5 ^: N+ ]( {: n' w7 [; y
, x) |2 M: G9 W  o, Z/ k2 o
      mov     cx, $10       //字色或背景色? 没有去详细了解请自己测试4 M2 L4 d# y! J7 `# d( T* B9 [
      mov     dx, $10       // 可以通过修改赋值给ax, cx, dx的值 不超过$FF' {) N4 R7 F- m: c
      mov     ax, $109 N6 V3 {9 C, Y7 Z  |8 R
      call    CallAddr2_0053BBFF" s( ]5 ~7 R( L" D3 O& m7 v5 G
      mov     edx, dword ptr [ebp-$14]
7 X4 q, ^# {/ E5 y* M, N
      mov     word ptr [edx+3], ax3 m2 j( `' ]. S  q% k4 G- f& N3 D5 _
      jmp     EndAddr3_0053BBFF               //色彩赋值结束跳转到tgs( f( g7 S/ `! I$ _9 q" P
/ x% q( e6 e9 G' Q- R. L
    @Seventh:8 U1 M; k  v! i- m0 W
      cmp     eax, $11                        //比较是否等于174 c9 v, @  V. O; u
      jnz     @out                            //不等于就跳转到默认部分
3 W6 Y4 E  B$ s# a
$ f$ Z; [: o" t( h# l- {
      mov     cx, $A       //字色或背景色? 没有去详细了解请自己测试
2 F' w/ C) d) b& Z0 w
      mov     dx, $A                          // 可以通过修改赋值给ax, cx, dx的值 不超过$FF
; Q" G5 }! e# i' z, L4 x% W
      mov     ax, $A/ _8 s: _, f6 S, A1 Y, Y$ E; F
      call    CallAddr1_0053BBFF
8 W; q6 G' n& W: a' r
      mov     edx, dword ptr [ebp-$14]1 k) E+ J) m5 h
      mov     word ptr [edx+1], ax. q- Z5 b0 S0 z
9 r. ~" y# y2 j" s* I! @' a
      mov     cx, $10       //字色或背景色? 没有去详细了解请自己测试7 y- M7 G) r  g
      mov     dx, $10       // 可以通过修改赋值给ax, cx, dx的值 不超过$FF0 s5 ?; T( |7 {+ S, z, T5 x  H
      mov     ax, $10
7 s, p' z2 q. i1 G& N) N& `
      call    CallAddr2_0053BBFF
% P+ m+ t* ^/ y' l
      mov     edx, dword ptr [ebp-$14]* j7 ~1 L, x5 [: S4 h% j! C+ F0 g- h2 J
      mov     word ptr [edx+3], ax
3 A+ K; w9 E% N* o
      jmp     EndAddr3_0053BBFF               //色彩赋值结束跳转到tgs
  U/ m  l& N7 o( w$ b0 _# j8 Y
                                               //. v: ^0 j9 I+ s8 m7 _4 G
    @out:
9 H% @0 J. S0 b
      jmp     EndAddr1_0053BBFF               //这个是跳转到默认的点0 u0 o( F9 {/ E: v6 w
+ N* O4 H* j! Q
    @OldCor:# b1 }2 }5 x: v1 @5 M. B  U' p
      jmp     EndAddr2_0053BBFF               // 跳转到原来16种色彩赋值
- n# V5 g1 r" t& V, y: A+ F
    end





欢迎光临 三千论坛 (http://bbs.3000y.com.cn/) Powered by Discuz! X3.4