网络编程

.Net实现游戏修改器

发布制作:admin  发布日期:2011/6/8

前不久玩植物大战僵尸,不停地玩啊玩,也通关了,准备开始享受一下IMBA的感觉。“玩玩小游戏”模式中有关“谁笑到最后”,一来就有5000的阳光,随你布置,布置完后开始攻击,过关挺容易。但是毕竟5000的阳光可布置的植物有限,总觉得不过瘾,于是找来《金山游侠》改阳光数量。好好享受了几次imba的感觉。

不用说,我当然不甘心用别人的工具,我要自己来。我选择.NET Framework 3.5作为该程序的实现平台。

整个过程总结如下:

一.获取具有窗体的进程集合

二.在所选进程的私有地址空间内查找数据

三.跟踪所选进程的数据修改情况,获得所要修改的数据的唯一地址

四.修改该地址中的数据内容

这就好办了,思路有了,我们就根据思路来搜集和整理相关知识:

进程

进程只是个被动容器,其中包含了很多资源。

ystem.Diagnostics命名空间中的 Process类表示进程。Process类中的 GetProcesses() 方法可以获取系统中所有进程。判断MainWindowHandle 是否为空可以确定进程是否包含主窗体。

我当前的宿主OS是XP,在32位的 Windwos NT/2000/XP 中,进程地址空间有4GB,但却只能访问其地址空间底部的2GB,另外2GB留给内核模式相关的一些东西用。在这部分可访问的2GB空间中,最低和最高的64KB不能访问,于是可访问的地址范围是:0x00010000 到 0x7ffeffff。

我们还需要读和写进程的内存,System.Diagnostics.Process 提供的方法不能做到。还好,Windows的kernel32库中的进程相关API可以帮到:ReadProcessMemory和 WriteProcessMemory,可以将他们表达为如下C#语句:

以下为引用的内容:

[DllImport("kernel32.dll", SetLastError = true)]

tatic extern bool ReadProcessMemory(

IntPtr hProcess,

IntPtr lpBaseAddress,

[Out] byte[] lpBuffer,

int dwSize,

out int lpNumberOfBytesRead

);

[DllImport("kernel32.dll", SetLastError = true)]

tatic extern bool WriteProcessMemory(

IntPtr hProcess,

IntPtr lpBaseAddress,

yte[] lpBuffer,

uint nSize,

out int lpNumberOfBytesWritten);

名字很直观:读/写进程内存。

两个方法签名基本相同,我这里简单解释一下:

hProcess :进程句柄

lpBaseAddress:基地址,也就是起始地址(起始位置)

lpBuffer:从基地址起读取或要写入的内存值

ize:读取或写入的数量,单位是字节

lpNumberOfBytesRead、 lpNumberOfBytesWritten:用作传出,表示实际读取或写入的数量

好了!开始实战吧!

创建一个C#的Windows forms项目

在窗体上我这样布局:

为类添加如下几个成员:

以下为引用的内容:

List<Process> _windowedProcesses = new List<Process>();//存放有窗体的进程集合

rivate List<IntPtr> _addrList = new List<IntPtr>();//存放作为结果的地址列表

ool isFirstSearch = true;//是否是第一次搜索

rocess _selectedProcess;//所选进程

还要获取有窗体的进程并列出来,让使用者选择需要的进程

rivate void RefreshProcessList()

{

listBox1.Items.Clear();

_windowedProcesses.Clear();

textBox2.Enabled = false;//在没得到唯一的地址前不能写入

foreach (var p in System.Diagnostics.Process.GetProcesses())

{

if (p.MainWindowHandle != IntPtr.Zero)//进程有窗口

{

if (!string.IsNullOrEmpty(p.MainWindowTitle))//窗体名不为空。因为有些时候会有一些进程如iexplorer.exe ,它有窗口,但窗口没名称且没显示。所以应该排除一下

{

listBox1.Items.Add(p.MainWindowTitle);

_windowedProcesses.Add(p);

}

}

}

}

于是可以在我们的窗体装载和单击刷新按钮时调用该方法

rivate void Form1_Load(object sender, EventArgs e)

{

RefreshProcessList();

}

rivate void btnRefreshPList_Click(object sender, EventArgs e)

{

RefreshProcessList();

}

为什么要区别是否是第一次搜索?因为第一次搜索是在整个进程可访问内存范围内查找,而之后的查找是基于第一次找到的地址。这样做不是唯一的,但是最好的方法。


下面是搜索按钮单击的事件处理代码:

rivate void button1_Click(object sender, EventArgs e)

{

if (_selectedProcess == null) return;

if (isFirstSearch)

{

uint baseAddr = 0x00010000;

uint endAddr = 0x7ffeffff;

for (uint i = baseAddr; i < endAddr; i += (4 * 1024))

{

var addrs = CreateAddrList(new IntPtr(i), int.Parse(textBox1.Text));

if (addrs !=null )

_addrList.AddRange( addrs);

}

isFirstSearch = false;

}

else

{

RefreshAddrList(int.Parse(textBox1.Text));

}

label2.Text = "找到结果”+ _addrList.Count.ToString() + "个";

if (_addrList.Count == 1)

textBox2.Enabled = true;

}

很明显CreateAddrList是第一次查找掉用的方法,RefreshAddrList是之后查找调用的方法。在第一次查找中,我们以4KB作一次跳跃。为什么查找的地址范围如此本文开始已作说明,这里就不再赘述。