-
-
[原创]对红色警戒2尤里的复仇的逆向总结
-
发表于: 2019-2-24 19:23
-
从吾爱破解论坛复制来的,格式可能不好
原帖 66eK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3f1#2x3Y4m8G2K9X3W2W2i4K6u0W2j5$3&6Q4x3V1k6@1K9s2u0W2j5h3c8Q4x3X3b7^5y4K6R3I4y4K6q4Q4x3X3b7I4i4K6u0V1x3g2)9J5k6h3S2@1L8h3H3`.
鉴于网络上没有红警2的逆向过程,于是整个寒假都在逆向这个老游戏,终于摸透了一些内容。今天写一篇帖子总结一下
(之所以没有继续发视频是因为剩下的内容都可以在对战联机使用,某对战平台老板出于某种考虑不让发,想学习的同学可以私聊找我要)
程序是vc++6.0 非mfc编译的
一、程序运行流程(与破解作弊无关,不感兴趣可跳过)
启动程序后,先进入main函数。中间选择游戏、国家、地图的部分我就不说了,然后读条(加载一些东西)。其次进入一个循环,只要游戏开始,就会一直在这个循环里,直到游戏退出。我称之为游戏主循环。
根据动态调试跟踪得知,游戏开始后,两个je一直成立,jnz不成立(废话,je成立了都执行不到他),而当你退出时,第一个je不成立,第二个jnz成立跳出,而不是下面je不不执行。因此,我们首先对55cfd0进行反编译。
这个函数里有一个巨大的判断,根据动态调试得知在游戏正常玩的时候四个字节都为0,直接return 0结束。而当游戏退出的时候,a83d48字节是1.
其次还有2个2级判断,在游戏退出时,第一个二级判断是不执行的。而后面的else if是执行的,并且发出退出提示音。因此,将字节a83d48化为1是程序正常退出的方式。
那么剩下几个字节是干什么用的?我分别做了测试
a83d49:不知道,没测试出来
a8ecd0:重新读条
8b41c0:直接显示得分界面
因此,程序通过改变这几个字节的数值来执行想要做的离开游戏、重新加载、玩家胜利。
这样,程序运行的方式就搞懂了。为什么要搞懂这些?你在亲自尝试第二部分的某些内容后就知道了。
然后还有一个非正常退出,就是显示你掉线。通过SetTImer断点,进行回溯,找到了掉线的关键call 648710,进行反编译,了解了掉线的基本流程。
游戏在获取不到别人的消息之后就会掉线,关键地方如下
其中指针lparam的内容就是剩下允许的时间。
由上内容,怎么实现直接胜利(联机对战有用),大家请自己研究,也可以找我要视频
二、游戏破解的思路梳理
思路1:查找储存数据的内存地址,通过ce查看谁改写了这里的地址,然后修改达到破解的目的
事例1:无线金钱 视频(那个KaQqi是我):3d4K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2T1K9h3I4A6j5X3W2D9K9g2)9J5k6h3y4G2L8g2)9J5c8Y4k6A6k6r3g2G2i4K6u0r3j5i4j5K6y4K6p5K6y4e0x3$3x3#2)9J5c8R3`.`.
事例2:无线电力(跟上面思路一样。。。):45cK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2T1K9h3I4A6j5X3W2D9K9g2)9J5k6h3y4G2L8g2)9J5c8Y4k6A6k6r3g2G2i4K6u0r3j5i4j5K6z5e0f1J5z5o6f1$3y4#2)9J5c8W2!0q4c8W2!0n7b7#2)9^5z5q4!0q4y4W2)9^5z5q4)9&6x3g2!0q4y4#2)9&6b7g2)9^5y4q4!0q4y4W2)9&6y4q4!0n7z5g2!0q4z5q4!0n7y4q4)9&6c8W2!0q4z5q4!0n7c8q4!0n7c8q4!0q4y4q4!0n7z5q4)9^5c8q4!0q4y4W2)9&6y4q4!0n7z5g2!0q4y4#2)9&6y4q4!0n7y4g2!0q4y4g2)9^5b7g2)9&6b7W2!0q4y4#2)9&6b7g2)9^5y4q4!0q4y4W2)9&6y4W2!0n7z5g2!0q4y4g2!0n7b7#2)9^5c8W2!0q4y4W2!0m8c8W2)9&6y4q4!0q4z5q4!0n7c8g2)9^5x3#2!0q4y4q4!0n7b7#2)9&6z5q4!0q4z5g2)9&6b7W2)9^5y4g2!0q4c8W2!0n7b7#2)9^5z5b7`.`.
事例3:秒建、瞬间建造 :1b8K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2T1K9h3I4A6j5X3W2D9K9g2)9J5k6h3y4G2L8g2)9J5c8Y4k6A6k6r3g2G2i4K6u0r3j5i4j5K6z5e0x3&6y4U0x3@1y4q4)9J5c8R3`.`.
这个可能难理解,解释一下:游戏建造一个建筑需要闪动54下,建筑不同每一次闪动的时间也不同,但终究都是54下。细心的话可以听出来、看出来。
事例4:视野全开 (由于联机可用,我不能发视频。)
首先,还是打开我们的ce,模糊搜索,查看哪些数值改变。然后不要展开基地,我们移动一下我们的单位,获取视野。一个开始变动的比较多,有几千多个
思路嘛,要灵活。然后我们不动小兵了,再搜索未变动的数值,哈哈,一下子少了很多。
就这样,一直变啊不变啊搜啊搜啊,最后只剩七十多个。然后你会发现这七十多个地址是连在一起的,说明这是一个数组。这个就是战争迷雾数组了。然后我们还是用我们大ce的f6——查看谁改变了这个地址,在od中跟踪、回溯。
第一层回溯,我们找到了战争迷雾一有变化就经过这里的位置。
第二层回溯,我们找到了战争迷雾一减少,也就是视野增加就经过这里的位置。
第三层回溯,我们就找到了开全图。这里你要用间谍卫星去改变战争迷雾数组,因为我们要开全图,不是要开部分图。。。(这个位置不透露了,有兴趣自己找,很简单)
然后代码注入器,注入即可。
事例5:单位无线血、三级、单位所属(利用这个可以控制对方单位):6f2K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2T1K9h3I4A6j5X3W2D9K9g2)9J5k6h3y4G2L8g2)9J5c8Y4k6A6k6r3g2G2i4K6u0r3j5i4j5@1x3e0R3J5y4U0p5%4z5q4)9J5c8W2!0q4c8W2!0n7b7#2)9^5z5q4!0q4y4g2)9&6x3q4)9^5c8g2!0q4z5g2)9&6c8q4!0m8x3W2!0q4y4q4!0n7z5q4!0m8y4q4!0q4y4q4!0n7z5q4!0m8b7g2!0q4y4g2!0m8c8W2!0n7z5g2!0q4y4W2)9^5z5q4)9&6z5q4!0q4y4g2)9^5c8W2!0m8c8W2!0q4y4#2)9&6y4q4!0m8z5q4!0q4c8W2!0n7b7#2)9^5b7#2!0q4z5q4!0m8y4#2)9^5y4W2!0q4z5g2!0m8x3W2)9&6x3g2!0q4z5g2)9^5y4#2)9^5b7#2!0q4y4W2!0n7x3W2!0m8x3g2!0q4y4W2)9&6b7#2)9^5z5g2!0q4z5g2)9^5x3q4)9^5c8W2!0q4z5g2)9&6b7#2!0n7x3W2!0q4x3#2)9^5x3q4)9^5x3W2!0q4y4q4!0n7z5q4)9^5c8q4!0q4z5q4!0n7c8W2)9^5y4#2!0q4z5g2)9^5x3#2!0n7c8q4!0q4y4g2)9&6b7#2!0m8z5q4!0q4y4q4!0n7z5q4)9^5x3q4!0q4y4q4!0n7z5q4!0m8b7h3y4S2L8r3I4Q4c8e0W2Q4z5o6N6Q4z5p5y4Q4c8f1k6Q4b7V1y4Q4z5p5y4Q4c8e0k6Q4z5o6W2Q4b7V1g2Q4c8e0S2Q4b7U0g2Q4b7U0N6Q4c8e0k6Q4z5f1c8Q4b7e0g2Q4c8e0c8Q4b7U0S2Q4z5p5c8Q4c8e0W2Q4b7V1q4Q4b7V1u0Q4c8e0N6Q4z5o6y4Q4b7e0k6Q4c8f1k6Q4b7V1y4Q4z5o6V1`.
然后这里我还有一个问题,由于我太菜了,通过这里无法控制对方的油井,要么就是控制了不给我加钱。。大神们有没有提示呢?
思路2:字符串查找
事例1:随处建造(对战可用,无视频)
建筑放下不了的时候我们会听到CannotDeployHere,搜索,定位。
查看有没有跳转跳到这里,或者跳过这里,统统修改掉。
大功告成
事例2:箱子(对战可用)
其实我最先发现箱子函数不是字符串搜索,是从捡到金钱箱子,金钱改变然后回溯发现的。为了总结思路,咳咳,就把他归于这一类
字符串搜索crate at,可得
英语不好,我就给你们翻译几个。得到一个单位,视野全开(从这也可以找到刚刚的位置。有兴趣自己试试),得到金钱,增加力量,获得洲际导弹(ICBM百度翻译说是洲际导弹,实际上在游戏里是核弹),增加移动速度。
然后我就演示一个,剩下都一样。比如核弹吧,进入,代码注入即可(核弹是最简单的一个,没几行代码)
事例3:科技全开(对战可用)
这个其实也不是搜索字符串发现的,是从刚刚核弹之后一个call,这个call是添加建造选项用的。里面有NewConstructionOptions的提示语。为了总结思路,咳咳。。
然后这里分为两部分,一部分是删除不可用的建造项目,一个是增加可用的建造项目。我第一次逆向这里的时候改第二个call,发现没效果,调试后发现增加的项目全给删了。。
事例4:超级武器CD重置
这个也不是搜索字符串得来的,还是刚刚获得核弹下面一个call发现的。但是里面有warning:nuclear missle launch的提示语(哈哈,说到这我想起之前一个我写的qt crakeme,你不输对密码就给你提示这些),就暂时归于这一类吧。。。。。(你为什么不写一个思路3........)
然后我们发现,除了正常的超级武器在这个call里,侦察机、心灵探测、伞兵飞机也在这个call里。。总之就是有CD的东西都在这个call里。。。(你说话能不能准确点?)不能,我找不到好词概括这个call,暂且叫他超级武器call吧
一个小小的switch,决定了哪个超级武器好了。然后我们还是进行代码注入,注意一下switch过后还有一个函数也要注入进去。
switch只是提供一个堆栈参数,然后修改寄存器的值,最终实现还是要那2个call。
事例5:自动修理(对战可用)
刚刚搜索的下面有一个repair的提示,进去看看。
我进去的是Eva_repair的那个,不是repair sound。我没试过第二个,应该可以回溯到一个地方。
回溯,反编译。可见参数有一个是单位地址。代码注入即可。
同理,也可以实现自动售卖。没什么用,谁1v1的时候把自己建筑全卖了。。(那残血建筑卖掉不是很实用吗?)我有点懒,不想写一个程序,先判断这是什么单位,总不能把残血基地卖了,再查数据,看看剩20%的时候卖掉,还要用到Timer。。今后有时间可以写一写。
额,以上就是我一个月努力的成果。剩余的我没有观察到还能修改什么,要么就是我觉得没什么意义没写到帖子上(比如自动售卖。)如果大家还有什么想修改的请回复,我要补充帖子,成为红警2尤里的复仇最全面的修改指南。
然后现在有红警修改大师这种东西,他除了自动修理好像都实现了。有空我把自动修理也补上。
感谢@苏紫方璇大神,我有问题的时候她5分钟就能给出解答
还有,找我要过视频的同学不要外传,也不要修改后外传,万一让clsky发现了……
转载注明原作者KaQqi{原名cqr2287)
想说的话:高一了,没时间玩这游戏了,我想对陪伴我3年的红警说一句
红警,再见!
(之所以没有继续发视频是因为剩下的内容都可以在对战联机使用,某对战平台老板出于某种考虑不让发,想学习的同学可以私聊找我要)
程序是vc++6.0 非mfc编译的
一、程序运行流程(与破解作弊无关,不感兴趣可跳过)
启动程序后,先进入main函数。中间选择游戏、国家、地图的部分我就不说了,然后读条(加载一些东西)。其次进入一个循环,只要游戏开始,就会一直在这个循环里,直到游戏退出。我称之为游戏主循环。
根据动态调试跟踪得知,游戏开始后,两个je一直成立,jnz不成立(废话,je成立了都执行不到他),而当你退出时,第一个je不成立,第二个jnz成立跳出,而不是下面je不不执行。因此,我们首先对55cfd0进行反编译。
这个函数里有一个巨大的判断,根据动态调试得知在游戏正常玩的时候四个字节都为0,直接return 0结束。而当游戏退出的时候,a83d48字节是1.
其次还有2个2级判断,在游戏退出时,第一个二级判断是不执行的。而后面的else if是执行的,并且发出退出提示音。因此,将字节a83d48化为1是程序正常退出的方式。
那么剩下几个字节是干什么用的?我分别做了测试
a83d49:不知道,没测试出来
a8ecd0:重新读条
8b41c0:直接显示得分界面
因此,程序通过改变这几个字节的数值来执行想要做的离开游戏、重新加载、玩家胜利。
这样,程序运行的方式就搞懂了。为什么要搞懂这些?你在亲自尝试第二部分的某些内容后就知道了。
然后还有一个非正常退出,就是显示你掉线。通过SetTImer断点,进行回溯,找到了掉线的关键call 648710,进行反编译,了解了掉线的基本流程。
游戏在获取不到别人的消息之后就会掉线,关键地方如下
其中指针lparam的内容就是剩下允许的时间。
由上内容,怎么实现直接胜利(联机对战有用),大家请自己研究,也可以找我要视频
二、游戏破解的思路梳理
思路1:查找储存数据的内存地址,通过ce查看谁改写了这里的地址,然后修改达到破解的目的
事例1:无线金钱 视频(那个KaQqi是我):3d4K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2T1K9h3I4A6j5X3W2D9K9g2)9J5k6h3y4G2L8g2)9J5c8Y4k6A6k6r3g2G2i4K6u0r3j5i4j5K6y4K6p5K6y4e0x3$3x3#2)9J5c8R3`.`.
事例2:无线电力(跟上面思路一样。。。):45cK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2T1K9h3I4A6j5X3W2D9K9g2)9J5k6h3y4G2L8g2)9J5c8Y4k6A6k6r3g2G2i4K6u0r3j5i4j5K6z5e0f1J5z5o6f1$3y4#2)9J5c8W2!0q4c8W2!0n7b7#2)9^5z5q4!0q4y4W2)9^5z5q4)9&6x3g2!0q4y4#2)9&6b7g2)9^5y4q4!0q4y4W2)9&6y4q4!0n7z5g2!0q4z5q4!0n7y4q4)9&6c8W2!0q4z5q4!0n7c8q4!0n7c8q4!0q4y4q4!0n7z5q4)9^5c8q4!0q4y4W2)9&6y4q4!0n7z5g2!0q4y4#2)9&6y4q4!0n7y4g2!0q4y4g2)9^5b7g2)9&6b7W2!0q4y4#2)9&6b7g2)9^5y4q4!0q4y4W2)9&6y4W2!0n7z5g2!0q4y4g2!0n7b7#2)9^5c8W2!0q4y4W2!0m8c8W2)9&6y4q4!0q4z5q4!0n7c8g2)9^5x3#2!0q4y4q4!0n7b7#2)9&6z5q4!0q4z5g2)9&6b7W2)9^5y4g2!0q4c8W2!0n7b7#2)9^5z5b7`.`.
事例3:秒建、瞬间建造 :1b8K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2T1K9h3I4A6j5X3W2D9K9g2)9J5k6h3y4G2L8g2)9J5c8Y4k6A6k6r3g2G2i4K6u0r3j5i4j5K6z5e0x3&6y4U0x3@1y4q4)9J5c8R3`.`.
这个可能难理解,解释一下:游戏建造一个建筑需要闪动54下,建筑不同每一次闪动的时间也不同,但终究都是54下。细心的话可以听出来、看出来。
事例4:视野全开 (由于联机可用,我不能发视频。)
首先,还是打开我们的ce,模糊搜索,查看哪些数值改变。然后不要展开基地,我们移动一下我们的单位,获取视野。一个开始变动的比较多,有几千多个
思路嘛,要灵活。然后我们不动小兵了,再搜索未变动的数值,哈哈,一下子少了很多。
就这样,一直变啊不变啊搜啊搜啊,最后只剩七十多个。然后你会发现这七十多个地址是连在一起的,说明这是一个数组。这个就是战争迷雾数组了。然后我们还是用我们大ce的f6——查看谁改变了这个地址,在od中跟踪、回溯。
第一层回溯,我们找到了战争迷雾一有变化就经过这里的位置。
第二层回溯,我们找到了战争迷雾一减少,也就是视野增加就经过这里的位置。
第三层回溯,我们就找到了开全图。这里你要用间谍卫星去改变战争迷雾数组,因为我们要开全图,不是要开部分图。。。(这个位置不透露了,有兴趣自己找,很简单)
然后代码注入器,注入即可。
事例5:单位无线血、三级、单位所属(利用这个可以控制对方单位):6f2K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2T1K9h3I4A6j5X3W2D9K9g2)9J5k6h3y4G2L8g2)9J5c8Y4k6A6k6r3g2G2i4K6u0r3j5i4j5@1x3e0R3J5y4U0p5%4z5q4)9J5c8W2!0q4c8W2!0n7b7#2)9^5z5q4!0q4y4g2)9&6x3q4)9^5c8g2!0q4z5g2)9&6c8q4!0m8x3W2!0q4y4q4!0n7z5q4!0m8y4q4!0q4y4q4!0n7z5q4!0m8b7g2!0q4y4g2!0m8c8W2!0n7z5g2!0q4y4W2)9^5z5q4)9&6z5q4!0q4y4g2)9^5c8W2!0m8c8W2!0q4y4#2)9&6y4q4!0m8z5q4!0q4c8W2!0n7b7#2)9^5b7#2!0q4z5q4!0m8y4#2)9^5y4W2!0q4z5g2!0m8x3W2)9&6x3g2!0q4z5g2)9^5y4#2)9^5b7#2!0q4y4W2!0n7x3W2!0m8x3g2!0q4y4W2)9&6b7#2)9^5z5g2!0q4z5g2)9^5x3q4)9^5c8W2!0q4z5g2)9&6b7#2!0n7x3W2!0q4x3#2)9^5x3q4)9^5x3W2!0q4y4q4!0n7z5q4)9^5c8q4!0q4z5q4!0n7c8W2)9^5y4#2!0q4z5g2)9^5x3#2!0n7c8q4!0q4y4g2)9&6b7#2!0m8z5q4!0q4y4q4!0n7z5q4)9^5x3q4!0q4y4q4!0n7z5q4!0m8b7h3y4S2L8r3I4Q4c8e0W2Q4z5o6N6Q4z5p5y4Q4c8f1k6Q4b7V1y4Q4z5p5y4Q4c8e0k6Q4z5o6W2Q4b7V1g2Q4c8e0S2Q4b7U0g2Q4b7U0N6Q4c8e0k6Q4z5f1c8Q4b7e0g2Q4c8e0c8Q4b7U0S2Q4z5p5c8Q4c8e0W2Q4b7V1q4Q4b7V1u0Q4c8e0N6Q4z5o6y4Q4b7e0k6Q4c8f1k6Q4b7V1y4Q4z5o6V1`.
然后这里我还有一个问题,由于我太菜了,通过这里无法控制对方的油井,要么就是控制了不给我加钱。。大神们有没有提示呢?
思路2:字符串查找
事例1:随处建造(对战可用,无视频)
建筑放下不了的时候我们会听到CannotDeployHere,搜索,定位。
查看有没有跳转跳到这里,或者跳过这里,统统修改掉。
大功告成
事例2:箱子(对战可用)
其实我最先发现箱子函数不是字符串搜索,是从捡到金钱箱子,金钱改变然后回溯发现的。为了总结思路,咳咳,就把他归于这一类
字符串搜索crate at,可得
英语不好,我就给你们翻译几个。得到一个单位,视野全开(从这也可以找到刚刚的位置。有兴趣自己试试),得到金钱,增加力量,获得洲际导弹(ICBM百度翻译说是洲际导弹,实际上在游戏里是核弹),增加移动速度。
然后我就演示一个,剩下都一样。比如核弹吧,进入,代码注入即可(核弹是最简单的一个,没几行代码)
事例3:科技全开(对战可用)
这个其实也不是搜索字符串发现的,是从刚刚核弹之后一个call,这个call是添加建造选项用的。里面有NewConstructionOptions的提示语。为了总结思路,咳咳。。
然后这里分为两部分,一部分是删除不可用的建造项目,一个是增加可用的建造项目。我第一次逆向这里的时候改第二个call,发现没效果,调试后发现增加的项目全给删了。。
事例4:超级武器CD重置
这个也不是搜索字符串得来的,还是刚刚获得核弹下面一个call发现的。但是里面有warning:nuclear missle launch的提示语(哈哈,说到这我想起之前一个我写的qt crakeme,你不输对密码就给你提示这些),就暂时归于这一类吧。。。。。(你为什么不写一个思路3........)
然后我们发现,除了正常的超级武器在这个call里,侦察机、心灵探测、伞兵飞机也在这个call里。。总之就是有CD的东西都在这个call里。。。(你说话能不能准确点?)不能,我找不到好词概括这个call,暂且叫他超级武器call吧
一个小小的switch,决定了哪个超级武器好了。然后我们还是进行代码注入,注意一下switch过后还有一个函数也要注入进去。
switch只是提供一个堆栈参数,然后修改寄存器的值,最终实现还是要那2个call。
事例5:自动修理(对战可用)
刚刚搜索的下面有一个repair的提示,进去看看。
我进去的是Eva_repair的那个,不是repair sound。我没试过第二个,应该可以回溯到一个地方。
回溯,反编译。可见参数有一个是单位地址。代码注入即可。
同理,也可以实现自动售卖。没什么用,谁1v1的时候把自己建筑全卖了。。(那残血建筑卖掉不是很实用吗?)我有点懒,不想写一个程序,先判断这是什么单位,总不能把残血基地卖了,再查数据,看看剩20%的时候卖掉,还要用到Timer。。今后有时间可以写一写。
额,以上就是我一个月努力的成果。剩余的我没有观察到还能修改什么,要么就是我觉得没什么意义没写到帖子上(比如自动售卖。)如果大家还有什么想修改的请回复,我要补充帖子,成为红警2尤里的复仇最全面的修改指南。
然后现在有红警修改大师这种东西,他除了自动修理好像都实现了。有空我把自动修理也补上。
感谢@苏紫方璇大神,我有问题的时候她5分钟就能给出解答
还有,找我要过视频的同学不要外传,也不要修改后外传,万一让clsky发现了……
转载注明原作者KaQqi{原名cqr2287)
想说的话:高一了,没时间玩这游戏了,我想对陪伴我3年的红警说一句
红警,再见!
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
穿越到3019年了? |
