1.怪ID:
搜索十六进制FFFF(怪未选中时),切掉怪,搜变动的值(一般是小与FFFF),最后找到一个地址,查找访问
0071d59b - mov edx,[eax+00001a5c] EAX=1FDBDDB8
搜EAX的值,找到好多,选三个绿色的
03E64D50 03E7C46C 03E78920
小退一下回到选择人物窗口,再进去后用CE添加地址,看看这三个哪个是,结果发现除了中间的一个都可以,好吧,用第一个吧
[03E64D50]+1a5c就是选中怪对象ID
2.显示血条:
选中怪时肯定会去读取指向怪ID的地址内容,我们在这个地方下内存写入(下访问断点会一直断下来)断点,在游戏中选一个怪后断下
- 0047528E |> \8B17 mov edx,dword ptr ds:[edi]
- 00475290 |. 6A 00 push 0
- 00475292 |. 6A 01 push 1
- 00475294 |. 68 4D040000 push 44D
- 00475299 |. 8BCF mov ecx,edi
- 0047529B |. FF52 04 call dword ptr ds:[edx+4]
- 0047529E |. A1 FCA9DF00 mov eax,dword ptr ds:[DFA9FC]
- 004752A3 |. 85C0 test eax,eax
- 004752A5 |. 74 47 je short Client.004752EE
- 004752A7 |. 8B80 AC020000 mov eax,dword ptr ds:[eax+2AC]
- 004752AD |. 85C0 test eax,eax
- 004752AF |. 74 3D je short Client.004752EE
- 004752B1 |. 8B80 5C020000 mov eax,dword ptr ds:[eax+25C]
- 004752B7 |. 85C0 test eax,eax
- 004752B9 |. 74 33 je short Client.004752EE
- 004752BB |. 813D C0C9E000>cmp dword ptr ds:[E0C9C0],321
- 004752C5 |. 75 27 jnz short Client.004752EE
- 004752C7 |> 8B4F 14 mov ecx,dword ptr ds:[edi+14]
- 004752CA |. 51 push ecx ; /Arg1
- 004752CB |. 8BC8 mov ecx,eax ; |
- 004752CD |. E8 5E69FDFF call Client.0044BC30 ; \Client.0044BC30
- 004752D2 |. A1 FCA9DF00 mov eax,dword ptr ds:[DFA9FC]
- 004752D7 |. 8B57 14 mov edx,dword ptr ds:[edi+14]
- 004752DA |. 52 push edx ; /Arg2
- 004752DB |. 6A 05 push 5 ; |Arg1 = 00000005
- 004752DD |. 8B88 AC020000 mov ecx,dword ptr ds:[eax+2AC] ; |
- 004752E3 |. 8B89 5C020000 mov ecx,dword ptr ds:[ecx+25C] ; |
- 004752E9 |. E8 E25AFDFF call Client.0044ADD0 ; \Client.0044ADD0
- 004752EE |> A1 2089E703 mov eax,dword ptr ds:[3E78920] ; 这是我们上面找到的第三个地址
- 004752F3 |. 8B57 0C mov edx,dword ptr ds:[edi+C] ; edi应该指向怪物对象基址,+c是ID地址
- 004752F6 |. 8990 5C1A0000 mov dword ptr ds:[eax+1A5C],edx ; edx怪ID
断在004752F6这一行,向上找有好几个CALL,但是我们分析,edi的值可能是怪物对象基址,所以call的时候肯定牵扯到edi,我们可以先dd edi看一下,最终选择了这个0047529B call,(我觉得显示血条应该有个标识,这个CALL压栈的时候参数有1,0,或许就是标识是否显示血条的)。等分析出了怪物列表基址再来测试,因为要用到edi的值。
3.怪物对象基址:
dd [03E64D50]+1a5c 下写入断点,记下edi的值,CE中搜索,最后剩下一个,查找访问,记下代码
0041ca4b - mov eax,[edx*4+fcexp+35e00e0] EDX=00001253
Od中0041CA4B 8B0495 E0ECE603 MOV EAX,DWORD PTR DS:[EDX*4+3E6ECE0],这应该就是怪物对象数组了,dd [1250*4+3E6ECE0]看一下,应该没错,偏移就是各项属性。分析下偏移找出几个重要的
+8 对象分类
+c 对象ID
+31c 对象与人物间距离
+380 怪是否死亡 为1是死亡状态
4.攻击CALL:
同样攻击时会访问选中怪的ID值
分析还是用CE吧,因为发现在[03E64D50]+1a5c下访问断点,od会立马断下来,CE中先添加这个地址,查找访问
攻击时多出来的地址都记下来
0048806D 004880D3
放到OD中看下,第一个找了没找到,第二个下断,攻击时断下,执行到返回,发现这个所在的函数没有参数,这条指令所在的CALL有可能就是我们的攻击CALL,返回到这个CALL
00662D0C 8B0D 2089E703 MOV ECX,DWORD PTR DS:[3E78920]
00662D12 E8 2953E2FF CALL Client.00488040
代码注入器测试,成功。
下面可以写个简单的自动打怪了
- #define CurRoleBase 0x3E78920 //当前角色基址 或是0x3E734D0
- #define CurListBase 0x3E6ECE0 //当前对象列表基址
- #define BeatMonCall 0x00488040 //打怪CALL地址
- VOID SelMon()
- {
- int *b8,*bc,*b380;//定义偏移变量
- //对象类型 数组下标 是否死亡(为0是未死亡,1时死亡)
- float *b31c;//坐标变量,浮点型,到玩家的距离
- int* pb;//定义指针对象
- int* pSelMon;
- pSelMon=(int *)CurRoleBase;//[3E6E010]+1a5c
- pSelMon=(int *)(*pSelMon+0x1a5c);
- for (int i=CurListBase;i<(CurListBase+0xFFFF*4);i+=4)//每次增加4字节
- {
- pb=(int*)i;//遍历变量
- b8=(int*)(*pb+0x8);//偏移8,对象分类
- bc=(int*)(*pb+0xc);//偏移0C,数组下标
- b31c=(float*)(*pb+0x31c);//偏移31C,坐标距离
- b380=(int*)(*pb+0x380);//偏移380,死亡标识
- if ((*b8==0x2E)&&(*b31c<=100)&&(*b380==0))//查找符合条件的怪物
- {
- int selmonbase=*pb;
- if (*pSelMon==0xFFFF)//如果当前是未选中的状态,则显示血条
- {
- __asm
- {
- mov edi,selmonbase
- mov edx,[edi]
- push 0
- push 1
- push 0x44D
- mov ecx,edi
- mov edx,[edx+4]
- call edx
- }
- }
- //选怪
- pb=(int*)CurRoleBase;
- pb=(int*)(*pb+0x1a5c);
- *pb=*bc;
- //memcpy(pb,bc,4);
- return ;
- }
- }
- }
-
- VOID BeatMon()
- {
- __asm
- {
- mov ecx,CurRoleBase
- mov ecx,[ecx]
- mov eax,BeatMonCall
- call eax
- }
- }
然后写个定时器或是创建个线程去执行选怪打怪函数就可以了
|