第1部分,共3部分
如果您热衷于逆向工程-那就不用培训师和作弊引擎了。
好的逆向工程师应该首先了解OS,核心API函数,程序的一般结构(什么是运行循环,Windows结构,事件处理例程),文件格式(PE)。Petzold的经典著作“ Programming Windows”(编程Windows)以及在线MSDN都可以提供帮助(www.amazon.com/exec/obidos/ISBN=157231995X)。
首先,您应该考虑可以在哪里调用雷区初始化例程。我想到了以下几点:
- 当您启动游戏时
- 当您单击笑脸时
- 当您单击游戏->新建或按F 2时
- 当您更改级别难度时
我决定检查F2加速器命令。
要查找加速器处理代码,您将找到窗口消息处理过程(WndProc)。可以通过CreateWindowEx和RegisterClass调用进行跟踪。
阅读:
打开IDA,“导入”窗口,找到“ CreateWindow *”,跳至该窗口并使用“将外部参照跳转到操作数(X)”命令来查看它的调用位置。应该只有一个电话。
现在,在上方查找RegisterClass函数及其参数WndClass.lpfnWndProc。在我的情况下,我已经命名了函数mainWndProc。
.text:0100225D mov [ebp+WndClass.lpfnWndProc], offset mainWndProc
.text:01002264 mov [ebp+WndClass.cbClsExtra], edi
.text:01002267 mov [ebp+WndClass.cbWndExtra], edi
.text:0100226A mov [ebp+WndClass.hInstance], ecx
.text:0100226D mov [ebp+WndClass.hIcon], eax
.text:01002292 call ds:RegisterClassW
在函数名称上按Enter键(使用“ N”将其重命名为更好的名称)
现在看看
.text:01001BCF mov edx, [ebp+Msg]
这是消息ID,如果按下F2按钮,则应包含WM_COMMAND值。您将发现与111h相比。可以通过在IDA中查找edx或在WinDbg中设置条件断点并在游戏中按F2来完成。
两种方式都会导致类似
.text:01001D5B sub eax, 111h
.text:01001D60 jz short loc_1001DBC
右键单击111h并使用“符号常量”->“使用标准符号常量”,键入WM_并按Enter。您现在应该拥有
.text:01001D5B sub eax, WM_COMMAND
.text:01001D60 jz short loc_1001DBC
这是找出消息ID值的简便方法。
要了解加速器处理,请检出:
一个答案的文字很多。如果您有兴趣,我可以再写几篇文章。长话短雷区存储为字节数组[24x36],0x0F显示未使用字节(播放较小的字段),0x10-空字段,0x80-我的。
第2部分,共3部分
好的,让我们继续按F2按钮。
根据按F2按钮时使用键盘加速器 wndProc函数
...收到WM_COMMAND或WM_SYSCOMMAND消息。wParam参数的低位字包含加速器的标识符。
好的,我们已经找到WM_COMMAND的处理位置,但是如何确定相应的wParam参数值呢?这就是Resource hacker发挥作用的地方。用二进制文件喂它,它显示了一切。对我来说像加速器表。
替代文字http://files.getdropbox.com/u/1478671/2009-07-29_161532.jpg
您可以在此处看到,F2按钮对应于wParam中的510。
现在让我们回到处理WM_COMMAND的代码。它将wParam与不同的常量进行比较。
.text:01001DBC HandleWM_COMMAND: ; CODE XREF: mainWndProc+197j
.text:01001DBC movzx eax, word ptr [ebp+wParam]
.text:01001DC0 mov ecx, 210h
.text:01001DC5 cmp eax, ecx
.text:01001DC7 jg loc_1001EDC
.text:01001DC7
.text:01001DCD jz loc_1001ED2
.text:01001DCD
.text:01001DD3 cmp eax, 1FEh
.text:01001DD8 jz loc_1001EC8
使用上下文菜单或“ H”键盘快捷键显示十进制值,即可看到我们的跳转
.text:01001DBC HandleWM_COMMAND: ; CODE XREF: mainWndProc+197j
.text:01001DBC movzx eax, word ptr [ebp+wParam]
.text:01001DC0 mov ecx, 528
.text:01001DC5 cmp eax, ecx
.text:01001DC7 jg loc_1001EDC
.text:01001DC7
.text:01001DCD jz loc_1001ED2
.text:01001DCD
.text:01001DD3 cmp eax, 510
.text:01001DD8 jz loc_1001EC8 ; here is our jump
它导致代码块调用某些proc并退出wndProc。
.text:01001EC8 loc_1001EC8: ; CODE XREF: mainWndProc+20Fj
.text:01001EC8 call sub_100367A ; startNewGame ?
.text:01001EC8
.text:01001ECD jmp callDefAndExit ; default
那是启动新游戏的功能吗?在最后一部分中找到答案!敬请关注。
3之3
让我们看一下该函数的第一部分
.text:0100367A sub_100367A proc near ; CODE XREF: sub_100140C+CAp
.text:0100367A ; sub_1001B49+33j ...
.text:0100367A mov eax, dword_10056AC
.text:0100367F mov ecx, uValue
.text:01003685 push ebx
.text:01003686 push esi
.text:01003687 push edi
.text:01003688 xor edi, edi
.text:0100368A cmp eax, dword_1005334
.text:01003690 mov dword_1005164, edi
.text:01003696 jnz short loc_10036A4
.text:01003696
.text:01003698 cmp ecx, dword_1005338
.text:0100369E jnz short loc_10036A4
有两个值(dword_10056AC,uValue)读入寄存器eax和ecx,并与另外两个值(dword_1005164,dword_1005338)进行比较。
看一下使用WinDBG的实际值(“ bp 01003696”;断点“ p eax; p ecx”)-对我来说,它们似乎是雷区尺寸。使用自定义雷区尺寸显示,第一对是新尺寸,第二对是当前尺寸。让我们设置新名称。
.text:0100367A startNewGame proc near ; CODE XREF: handleButtonPress+CAp
.text:0100367A ; sub_1001B49+33j ...
.text:0100367A mov eax, newMineFieldWidth
.text:0100367F mov ecx, newMineFieldHeight
.text:01003685 push ebx
.text:01003686 push esi
.text:01003687 push edi
.text:01003688 xor edi, edi
.text:0100368A cmp eax, currentMineFieldWidth
.text:01003690 mov dword_1005164, edi
.text:01003696 jnz short loc_10036A4
.text:01003696
.text:01003698 cmp ecx, currentMineFieldHeight
.text:0100369E jnz short loc_10036A4
稍后,新值将覆盖当前值,并调用子例程
.text:010036A7 mov currentMineFieldWidth, eax
.text:010036AC mov currentMineFieldHeight, ecx
.text:010036B2 call sub_1002ED5
当我看到它
.text:01002ED5 sub_1002ED5 proc near ; CODE XREF: sub_1002B14:loc_1002B1Ep
.text:01002ED5 ; sub_100367A+38p
.text:01002ED5 mov eax, 360h
.text:01002ED5
.text:01002EDA
.text:01002EDA loc_1002EDA: ; CODE XREF: sub_1002ED5+Dj
.text:01002EDA dec eax
.text:01002EDB mov byte ptr dword_1005340[eax], 0Fh
.text:01002EE2 jnz short loc_1002EDA
我完全确定我找到了雷场阵列。以0xF初始化360h字节长度数组(dword_1005340)的循环原因。
为什么360h = 864?下面有一些提示,该行占用32个字节,并且864可以除以32,因此数组可以容纳27 * 32个单元格(尽管UI允许最大24 * 30字段,但数组周围有一个字节填充边界)。
以下代码生成雷区顶部和底部边界(0x10字节)。我希望您能看到混乱中的循环迭代;)我不得不用纸和笔
.text:01002EE4 mov ecx, currentMineFieldWidth
.text:01002EEA mov edx, currentMineFieldHeight
.text:01002EF0 lea eax, [ecx+2]
.text:01002EF3 test eax, eax
.text:01002EF5 push esi
.text:01002EF6 jz short loc_1002F11 ;
.text:01002EF6
.text:01002EF8 mov esi, edx
.text:01002EFA shl esi, 5
.text:01002EFD lea esi, dword_1005360[esi]
.text:01002EFD
.text:01002F03 draws top and bottom borders
.text:01002F03
.text:01002F03 loc_1002F03: ; CODE XREF: sub_1002ED5+3Aj
.text:01002F03 dec eax
.text:01002F04 mov byte ptr MineField?[eax], 10h ; top border
.text:01002F0B mov byte ptr [esi+eax], 10h ; bottom border
.text:01002F0F jnz short loc_1002F03
.text:01002F0F
.text:01002F11
.text:01002F11 loc_1002F11: ; CODE XREF: sub_1002ED5+21j
.text:01002F11 lea esi, [edx+2]
.text:01002F14 test esi, esi
.text:01002F16 jz short loc_1002F39
子例程的其余部分绘制左右边界
.text:01002F18 mov eax, esi
.text:01002F1A shl eax, 5
.text:01002F1D lea edx, MineField?[eax]
.text:01002F23 lea eax, (MineField?+1)[eax+ecx]
.text:01002F23
.text:01002F2A
.text:01002F2A loc_1002F2A: ; CODE XREF: sub_1002ED5+62j
.text:01002F2A sub edx, 20h
.text:01002F2D sub eax, 20h
.text:01002F30 dec esi
.text:01002F31 mov byte ptr [edx], 10h
.text:01002F34 mov byte ptr [eax], 10h
.text:01002F37 jnz short loc_1002F2A
.text:01002F37
.text:01002F39
.text:01002F39 loc_1002F39: ; CODE XREF: sub_1002ED5+41j
.text:01002F39 pop esi
.text:01002F3A retn
聪明地使用WinDBG命令可以为您提供很酷的雷区转储(自定义大小9x9)。检查边界!
0:000> db /c 20 01005340 L360
01005340 10 10 10 10 10 10 10 10-10 10 10 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f ................................
01005360 10 0f 0f 0f 0f 0f 0f 0f-0f 0f 10 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f ................................
01005380 10 0f 0f 0f 0f 0f 0f 0f-0f 0f 10 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f ................................
010053a0 10 0f 0f 0f 0f 0f 0f 0f-0f 0f 10 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f ................................
010053c0 10 0f 0f 0f 0f 0f 0f 0f-0f 0f 10 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f ................................
010053e0 10 0f 0f 0f 0f 0f 0f 0f-0f 0f 10 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f ................................
01005400 10 0f 0f 0f 0f 0f 0f 0f-0f 0f 10 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f ................................
01005420 10 0f 0f 0f 0f 0f 0f 0f-0f 0f 10 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f ................................
01005440 10 0f 0f 0f 0f 0f 0f 0f-0f 0f 10 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f ................................
01005460 10 0f 0f 0f 0f 0f 0f 0f-0f 0f 10 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f ................................
01005480 10 10 10 10 10 10 10 10-10 10 10 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f ................................
010054a0 0f 0f 0f 0f 0f 0f 0f 0f-0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f ................................
010054c0 0f 0f 0f 0f 0f 0f 0f 0f-0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f ................................
010054e0 0f 0f 0f 0f 0f 0f 0f 0f-0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f ................................
嗯,看来我还需要另一篇帖子以结束话题