给大家科普一下LOL的换肤是如何实现的
1.游戏介绍
从上图我们可以知道,LOL是MOBA类型的游戏,MOBA类型的游戏分析学会,那么其他MOBA类型的游戏也就非常easy。 进入正题: 2.前戏(需要准备的数据)皮肤编号
MOBA类型的游戏皮肤都是有自己的ID编号的,一般默认皮肤的ID为0。之后的皮肤按照顺序每次递增1。同理手游的王者荣耀也是moba类型游戏,皮肤ID也同样可以这样,默认的皮肤ID为0,往右边数每次递增1。 检测皮肤的机制
MOBA检测游戏皮肤,会在角色死亡重生之时检测皮肤ID与对应的角色名称,而皮肤ID与名称通过键值对形式存储。说人话就是:男的不能穿女的衣服,女的不能穿男的衣服,不是人的不能穿人的衣服,人不能穿不是人的衣服,每次复活都会重新校验你的皮肤,也是为了防止有人篡改皮肤数据,如下自己画的抽象图(不怎么玩LOL,用同类型王者荣耀做个栗子,皮肤是随便想着写的,并没有按照游戏中皮肤顺序写!) 3.上操作3.1:查找换肤call可以通过皮肤ID或者是名称进行访问下段调试,如果通过皮肤ID,需要借助换肤插件,原皮搜0,换第二个皮肤搜1,第三个搜2以此类推。或者原皮搜索0,换皮肤搜索变动的,没有换搜索未变动,在0与变动和未变动三者去筛选数据。这里楼主采用名称下端访问。如下图,右键名称地址,查找谁访问了该地址: - 00580F12 - 8A 01 - mov al,[ecx] //这里我们直接看下汇编代码
- 01378857 - 8B 16 - mov edx,[esi]
- 0137886D - 8A 06 - mov al,[esi]
- 00DD9A4B - 80 3E 00 - cmp byte ptr [esi],00
- 00DD9A51 - 80 3B 00 - cmp byte ptr [ebx],00
- 00DD9A80 - 8A 06 - mov al,[esi]
- 01391191 - 8A 07 - mov al,[edi]
复制代码我们对此处下断 - 00580F12 - 8A 01 - mov al,[ecx]
复制代码下段之后,ecx保存的是人物名称,循环每次递减,那么此处的代码以及第一个call就是作为校验名称的。我们继续往下走,发现第二个call的参数调用了人物基址与名称,那么我们直接F7跟进第二个call,一直往下走跳过上面的判断,上面都是一些无用的参数,一直走到下面的地址,edi保存的是人物基址,那么换肤call就是在该地址下了,我们F7跟进call(忘记截图了,我把地址粘贴出来) - League of Legends.exe+18CBD5 - 8D 8F 182B0000 - lea ecx,[edi+00002B18]
复制代码进入call之后 - League of Legends.exe+11CE5E - 8B 46 18 - mov eax,[esi+18] { eax=0,这里是默认的原皮ID }
- League of Legends.exe+11CE61 - 8B CB - mov ecx,ebx { 这里的ecx保存的就是人物基址,可以往上找ebx的来源 }
- League of Legends.exe+11CE63 - 6A 01 - push 01 { 固定值 }
- League of Legends.exe+11CE65 - 89 43 24 - mov [ebx+24],eax { eax是皮肤的ID }
- League of Legends.exe+11CE68 - E8 23B2FEFF - call "League of Legends.exe"+108090 { 换肤call }
复制代码这里往上找ebx来源 - League of Legends.exe+11CE46 - 8B D9 - mov ebx,ecx
复制代码ebx来源于ecx,到了程序头部,没有找到ecx来源,下段跳出。 发现ecx来源于: - League of Legends.exe+18CBD5 - 8D 8F 182B0000 - lea ecx,[edi+00002B18]
复制代码其中edi保存的就是人物地址。那么我们完整的换肤call就找到了。 可以使用注入工具,注入代码执行。也可以HOOK,HOOK的好处就是人物死亡之后,皮肤不会恢复原皮。这里就不演示效果了,把写好的CT代码粘贴出来,你们自行研究。 - [ENABLE]
- //code from here to '[DISABLE]' will be used to enable the cheat
- alloc(newmem,2048)
- alloc(id,2048) //申请内存
- label(returnhere)
- label(originalcode)
- label(exit)
- registersymbol(id) //人造指针
- newmem: //this is allocated memory, you have read,write,execute access
- //place your code here
- originalcode:
- push 01
- mov eax,[id] //通过CE添加ID,修改皮肤
- mov [ebx+24],eax
- exit:
- jmp returnhere
- "League of Legends.exe"+11CE63:
- jmp newmem
- returnhere:
- [DISABLE]
- //code from here till the end of the code will be used to disable the cheat
- dealloc(newmem)
- "League of Legends.exe"+11CE63:
- push 01
- mov [ebx+24],eax
- //Alt: db 6A 01 89 43 24
复制代码不过还有一个问题,使用换肤call后防御塔以及小兵都会改变皮肤,也就是说防御塔、小兵、人物共同使用一个皮肤call,小兵多次死亡调用会导致游戏崩溃情况,所以需要自行判断edi是否是人物基址,是就执行换肤,不是就跳过。 4.结束大家还想聊什么,可以回复,视情况而定。还有关于CE不能调试LOL问题,自行下载编码,重新编译DBK64.sys驱动文件,改个名字即可。
|