注意:以下是在WinXP SP2+VC 6.0下调试通过的,别的版本的Windows没有经过验证.
最近闲暇时间迷上了扫雷,有的时候经常遇到模棱两可的地方,很容易死到.于是就在想,要是我一开始就知道哪个地方有雷就好了.遂打开OllyDBG,对扫雷程序(WinMine.exe),进行了一番跟踪.好在WinMine.exe没有加壳,直接看它的IMPORT TABLE,在两个可疑的API上下断点,一个就是GDI.BitBlt,这个是程序来画地图的,另一个就是User32.GetDlgItemInt,这个用来获得扫雷地图大小,和雷的个数的.
下完断点,运行.随便点一下地图,调到断点处. 分析如下
01002657 |. push 0CC0020 ;//BitBlt第九个参数,是SRCCOPY
0100265C |. mov esi,eax ;
0100265E |. mov eax,dword ptr ss:[esp+C] ;//eax存放点击的方块的横坐标
01002662 |. mov edx,ecx ;//ecx存放点击方块的纵坐标
01002664 |. push 0 ;//nYSrc=0,BitBlt第八个参数
01002666 |. shl edx,5 ; //纵坐标左移5位
01002669 |. movsx edx,byte ptr ds:[edx+eax+1005340] ; //获得地图上的值
01002671 |. push 0 ; //nXSrc = 0,BitBlt第七个参数
01002673 |. and edx,1F ;
01002676 |. push dword ptr ds:[edx*4+1005A20] ; //nXSrc = 0,BitBlt第六个参数
0100267D |. shl ecx,4 ;
01002680 |. push 10 ; //nHeight = 10 (16.),BitBlt第五个参数
01002682 |. push 10 ; //nWidth = 10 (16.),BitBlt第四个参数
01002684 |. add ecx,27 ;
01002687 |. shl eax,4 ;
0100268A |. push ecx ; //nYDest,BitBlt第三个参数
0100268B |. sub eax,4 ;
0100268E |. push eax ; //nXDest,BitBlt第二个参数
0100268F |. push esi ; //hDestDC,BitBlt第一个参数
01002690 |. call dword ptr ds:[<&GDI32.BitBlt>] ;
关键部分就在byte ptr ds:[edx+eax+1005340] ,由于Winmine的方块是从左上角坐标位(1,1)算起的,所以这个地址的初始位置在0x1<<5+0x1+0x1005340=0x1005361处,显示内存内容,经过几次分析,发现0f代表没雷,8f代表有雷,10代表边界,通过验证,结果得到证实.
下面说获得地图的大小,和雷的个数.
下断点User32.GetDlgItemInt,点菜单中的自定义,然后确定,中断后,往下走几步,来到:
010015ED |. push 18 ; /Arg4= 00000018
010015EF |. push 9 ; |Arg3 = 00000009
010015F1 |. push 8D ; |Arg2 = 0000008D
010015F6 |. push esi ; |Arg1
010015F7 |. call winmine.01003DF6 ; \winmine.01003DF6
010015FC |. push 1E ; /Arg4 = 0000001E
010015FE |. push 9 ; |Arg3 = 00000009
01001600 |. push 8E ; |Arg2 = 0000008E
01001605 |. push esi ; |Arg1
01001606 |. mov dword ptr ds:[10056A8],eax ; |地图的高度的地址
0100160B |. call winmine.01003DF6 ; \winmine.01003DF6
01001610 |. mov ecx,dword ptr ds:[10056A8]
01001616 |. mov dword ptr ds:[10056AC],eax; //地图的宽度的地址
0100161B |. dec eax
0100161C |. dec ecx
0100161D |. imul eax,ecx
01001620 |. mov ecx,3E7
01001625 |. cmp eax,ecx
01001627 |. jle short winmine.0100162B
01001629 |. mov eax,ecx
0100162B |. push eax ; /Arg4
0100162C |. push 0A ; |Arg3 = 0000000A
0100162E |. push 8F ; |Arg2 = 0000008F
01001633 |. push esi ; |Arg1
01001634 |. call winmine.01003DF6 ; \winmine.01003DF6
01001639 |. mov dword ptr ds:[10056A4],eax //存放雷的个数的地址
这个通过几次试验,分析岀:
0x10056a8是存放地图的高度的地址
0x10056ac是存放地图的宽度的地址
0x10056a4是存放雷的个数的地址
有了以上的分析,很容易写出一个Loader,来进行作弊,其实这个Loader就是CreateProcess一个扫雷进程,获得它的Process句柄而已,而不是用枚举进程来获得句柄,觉得后者有点麻烦.打开后,单击Crack,就会显示地图的情况,''0''代表没雷,''x''代表有雷,可以对初级,中级,高级按地图大小进行处理,自定义的就没有做了,哪位有时间的话,可以继续下去.代码用到的思想很简单,就是用ReadProcessMemory来读取扫雷进程指定位置的内存内容,具体不多说了,还是见代码吧!
结束语
还有就是注册表HKEY_CURRENT_USER\Software\Microsoft\winmine下面的几个选项,哈哈,改一改你就是扫雷达人了.
|
|
