Hacking Diablo II之D2HACKIT技术详解
趁着圣诞又歇了几天,没博,倒是主动被动的看了不少片子。我发现我的观影口味挺杂,什么都看,还什么都能看的津津有味。这些片中,有肥皂剧型的“Ally McBeal”(甜心俏佳人),柯恩兄弟的黑帮型的"Miller's Crossing",闷骚型的“Country Life”,一直想看的“北京乐与路”,还有成龙大叔的“神话”。
前几天有博友留言希望我多谈点儿d2hackit,那我就随便说说。
D2 中的外挂,比较有代表性的大致可以分为三类:以maphack为代表的辅助型,以帮助玩家更有效的玩游戏为目的;以D2JSP为代表的BOT型,用于在无 人值守的状态下自动进行游戏;还有一类就是以d2hackit为代表的全能型,bot、pickit、dupe、pk hack、packet sniffer、trade hack、drop hack什么都能做,D2中dupe泛滥有一部分原因要归功于它,比较有代表性的基于d2hackit的插件外挂有09时期的pickit、 PindleBot,和1.10时期的zPickit。
从结果上看,d2hackit无疑是成功的,然而从软件设计角度看,它当初的部分设计目标 并没有达到。d2hackit的设计意图,是要实现一个外挂的开发平台,其他开发者只需用这个平台提供的基础设施,不必具备逆向工程,甚至汇编语言的能力 就能够做出外挂。按照d2hackit原作者thohell的设想,d2hackit甚至不必局限于D2,而是一个通用的外挂开发平台,可以用于其他游 戏。
降低外挂开发的难度这一点d2hackit是做到了,d2hackit插件泛滥就说明了它的成功。通用平台这一目标它显然没有达到,别说用于其它游戏,在09补丁上能用的插件,在1.10上都用不了,必须重新编译甚至修改源代码。
d2hackit的基本工作原理,跟我以前写的一篇 介绍外挂工作原理的文章里 说的大致相同:d2hackit的加载、卸载,地址(旁路点、游戏内部函数和全局变量)的定位,以及旁路点被触发时的处理等几部份。不同的是 d2hackit做为一个外挂平台,还需要加载它的插件,并在适当时刻(收、发数据包,进入、退出游戏等)通知插件。下面逐一分析。
1,d2hackit 的加载和卸载。 d2hackit在本质上就是一个windows的DLL,因此任何能在游戏进程加载、卸载DLL的方法都适用于d2hackit。d2hackit 自带的loader用的是远程DLL注入的方法,另外d2hackit本身也可以做为d2loader的插件在游戏程序运行时自动加载。
2,地址 的定位。d2hackit对地址的定位是比较有特色的,它除了支持基址+偏移量的通常做法,还支持指纹式的内存数据匹配搜索,也就是说它可以通过搜索特定 模式的字节序列来定位内存地址。这样设计的意图是在游戏补丁升级时只需更新指纹数据就可以让d2hackit工作于新版本补丁(当然大家都知道这个目标没 有达到)。指纹模式在配置文件中指定(d2hackit.ini),格式如下:
上面这行指定了接收数据包的旁路点地址的匹配模式:在d2client.dll中搜索8B5C2410xxxxxxxxxxxx8D145B8B0495特征数据,每xx匹配任意1字节数据。7为patch长度,13为距离匹配地址的偏移。
3, 旁路点的事件处理。以接收游戏数据包的处理为例。在安装了GamePacketReceivedIntercept旁路点以后,每当收到游戏内数据包 时,d2hackit的相应旁路点处理例程就会先获取控制权。为了不破坏原先的寄存器内容,旁路点处理例程必须先保存必要的寄存器然后再做真正的处理。因 此处理例程分为两部分,用汇编写的GamePacketReceivedInterceptSTUB函数和C函数 GamePacketReceivedIntercept。
上面是d2hackit的收到数据包时的处理代码,很简单,就是遍历加载的插件模块,挨个调用插件模块中的
OnGamePacketBeforeReceived函数进行进一步的分析。
4,d2hackit插件模块。d2hackit的插件以d2h为后缀,其实也是普通的DLL。做为d2hackit的插件,d2h必须提供一些回调入口点(即DLL的导出函数),供d2hackit在必要的时刻调用。这些入口点有:
通过名字你就能猜出它们在什么时候会被d2hackit调用,比如说收到数据包时就是
OnGamePacketBeforeReceived
。
d2hackit插件的加载有两种方法,一种是在d2hackit.ini里设定随着d2hackit本身加载时自动加载,另一种可以由玩家在进入游戏后在聊天输入框中以特定的命令加载(d2hackit截获了聊天输入框的处理)。
5,d2hackit也给插件模块提供了一组接口(API),供插件模块使用。比如在OnGamePacketBeforeReceived函数中,插件可以直接修改数据包buffer的数据,但有的时候你需要向玩家显示分析结果或者向服务器发送一些定制数据包,这时候就得调用d2hackit提供的API。基本的API大概有这些:
这样,d2hackit的插件通过处理特定的事件和调用d2hackit提供的API就可以实现它想要的功能,无须汇编和逆向工程知识。由于网络游戏的功能实现非常依赖于数据包,因此通过截获数据包的收发来分析、篡改、伪造数据包可以完成绝大部分外挂的功能。
6,d2hackit 的升级。由于d2hackit利用游戏的特定函数和数据进行工作,每次D2升级补丁d2hackit本身也必须重定位这些地址。做一个可以用于1.11b 补丁的d2hackit其实也主要就是这个工作。比起d2hackmap来,d2hackit用的的地址很少(10个),难度小多了。要定位的地址有:
第二个要做的工作是修改旁路点的入口代码,因为不同的d2补丁具体代码可能有变化,对寄存器的利用也有所不同。具体的说就是要改这几个函数:
第三步是修正两个游戏内部的数据结构:
前几天有博友留言希望我多谈点儿d2hackit,那我就随便说说。
D2 中的外挂,比较有代表性的大致可以分为三类:以maphack为代表的辅助型,以帮助玩家更有效的玩游戏为目的;以D2JSP为代表的BOT型,用于在无 人值守的状态下自动进行游戏;还有一类就是以d2hackit为代表的全能型,bot、pickit、dupe、pk hack、packet sniffer、trade hack、drop hack什么都能做,D2中dupe泛滥有一部分原因要归功于它,比较有代表性的基于d2hackit的插件外挂有09时期的pickit、 PindleBot,和1.10时期的zPickit。
从结果上看,d2hackit无疑是成功的,然而从软件设计角度看,它当初的部分设计目标 并没有达到。d2hackit的设计意图,是要实现一个外挂的开发平台,其他开发者只需用这个平台提供的基础设施,不必具备逆向工程,甚至汇编语言的能力 就能够做出外挂。按照d2hackit原作者thohell的设想,d2hackit甚至不必局限于D2,而是一个通用的外挂开发平台,可以用于其他游 戏。
降低外挂开发的难度这一点d2hackit是做到了,d2hackit插件泛滥就说明了它的成功。通用平台这一目标它显然没有达到,别说用于其它游戏,在09补丁上能用的插件,在1.10上都用不了,必须重新编译甚至修改源代码。
d2hackit的基本工作原理,跟我以前写的一篇 介绍外挂工作原理的文章里 说的大致相同:d2hackit的加载、卸载,地址(旁路点、游戏内部函数和全局变量)的定位,以及旁路点被触发时的处理等几部份。不同的是 d2hackit做为一个外挂平台,还需要加载它的插件,并在适当时刻(收、发数据包,进入、退出游戏等)通知插件。下面逐一分析。
1,d2hackit 的加载和卸载。 d2hackit在本质上就是一个windows的DLL,因此任何能在游戏进程加载、卸载DLL的方法都适用于d2hackit。d2hackit 自带的loader用的是远程DLL注入的方法,另外d2hackit本身也可以做为d2loader的插件在游戏程序运行时自动加载。
2,地址 的定位。d2hackit对地址的定位是比较有特色的,它除了支持基址+偏移量的通常做法,还支持指纹式的内存数据匹配搜索,也就是说它可以通过搜索特定 模式的字节序列来定位内存地址。这样设计的意图是在游戏补丁升级时只需更新指纹数据就可以让d2hackit工作于新版本补丁(当然大家都知道这个目标没 有达到)。指纹模式在配置文件中指定(d2hackit.ini),格式如下:
;
Name
=
Module
,
patchsize
,
offset
,
fingerprint
GamePacketReceivedIntercept = D2Client . dll , 7 , 13 , 8B5C2410xxxxxxxxxxxx8D145B8B0495
GamePacketReceivedIntercept = D2Client . dll , 7 , 13 , 8B5C2410xxxxxxxxxxxx8D145B8B0495
3, 旁路点的事件处理。以接收游戏数据包的处理为例。在安装了GamePacketReceivedIntercept旁路点以后,每当收到游戏内数据包 时,d2hackit的相应旁路点处理例程就会先获取控制权。为了不破坏原先的寄存器内容,旁路点处理例程必须先保存必要的寄存器然后再做真正的处理。因 此处理例程分为两部分,用汇编写的GamePacketReceivedInterceptSTUB函数和C函数 GamePacketReceivedIntercept。
DWORD __fastcall GamePacketReceivedIntercept(BYTE
*
aPacket, DWORD aLength)
{
// Pass packet to all clients who wants to snoop
LinkedItem * li = ClientModules.GetFirstItem();
while (li)
{
PCIS pCIS = ClientModules.GetCIS(li);
if (pCIS && pCIS -> OnGamePacketBeforeReceived)
{
aLength = pCIS -> OnGamePacketBeforeReceived(aPacket, aLength);
if ( ! aLength) break ;
}
li = ClientModules.GetNextItem(li);
}
return aLength;
}
{
// Pass packet to all clients who wants to snoop
LinkedItem * li = ClientModules.GetFirstItem();
while (li)
{
PCIS pCIS = ClientModules.GetCIS(li);
if (pCIS && pCIS -> OnGamePacketBeforeReceived)
{
aLength = pCIS -> OnGamePacketBeforeReceived(aPacket, aLength);
if ( ! aLength) break ;
}
li = ClientModules.GetNextItem(li);
}
return aLength;
}
4,d2hackit插件模块。d2hackit的插件以d2h为后缀,其实也是普通的DLL。做为d2hackit的插件,d2h必须提供一些回调入口点(即DLL的导出函数),供d2hackit在必要的时刻调用。这些入口点有:
BOOL EXPORT OnClientStart
();
BOOL EXPORT OnClientStop ();
DWORD EXPORT OnGameTimerTick ();
BOOL EXPORT OnGameCommandLine ( char** argv , int argc );
DWORD EXPORT OnBnetPacketBeforeSent ( BYTE* aPacket , DWORD aLen );
DWORD EXPORT OnBnetPacketBeforeReceived ( BYTE* aPacket , DWORD aLen );
DWORD EXPORT OnRealmPacketBeforeSent ( BYTE* aPacket , DWORD aLen );
DWORD EXPORT OnRealmPacketBeforeReceived ( BYTE* aPacket , DWORD aLen );
DWORD EXPORT OnGamePacketBeforeSent ( BYTE* aPacket , DWORD aLen );
DWORD EXPORT OnGamePacketBeforeReceived ( BYTE* aPacket , DWORD aLen );
LPCSTR EXPORT GetModuleAuthor ();
LPCSTR EXPORT GetModuleWebsite ();
LPCSTR EXPORT GetModuleEmail ();
LPCSTR EXPORT GetModuleDescription ();
DWORD EXPORT GetModuleVersion ();
VOID EXPORT OnGameJoin ( THISGAMESTRUCT* thisgame );
VOID EXPORT OnGameLeave ( THISGAMESTRUCT* thisgame );
BOOL EXPORT OnClientStop ();
DWORD EXPORT OnGameTimerTick ();
BOOL EXPORT OnGameCommandLine ( char** argv , int argc );
DWORD EXPORT OnBnetPacketBeforeSent ( BYTE* aPacket , DWORD aLen );
DWORD EXPORT OnBnetPacketBeforeReceived ( BYTE* aPacket , DWORD aLen );
DWORD EXPORT OnRealmPacketBeforeSent ( BYTE* aPacket , DWORD aLen );
DWORD EXPORT OnRealmPacketBeforeReceived ( BYTE* aPacket , DWORD aLen );
DWORD EXPORT OnGamePacketBeforeSent ( BYTE* aPacket , DWORD aLen );
DWORD EXPORT OnGamePacketBeforeReceived ( BYTE* aPacket , DWORD aLen );
LPCSTR EXPORT GetModuleAuthor ();
LPCSTR EXPORT GetModuleWebsite ();
LPCSTR EXPORT GetModuleEmail ();
LPCSTR EXPORT GetModuleDescription ();
DWORD EXPORT GetModuleVersion ();
VOID EXPORT OnGameJoin ( THISGAMESTRUCT* thisgame );
VOID EXPORT OnGameLeave ( THISGAMESTRUCT* thisgame );
d2hackit插件的加载有两种方法,一种是在d2hackit.ini里设定随着d2hackit本身加载时自动加载,另一种可以由玩家在进入游戏后在聊天输入框中以特定的命令加载(d2hackit截获了聊天输入框的处理)。
5,d2hackit也给插件模块提供了一组接口(API),供插件模块使用。比如在OnGamePacketBeforeReceived函数中,插件可以直接修改数据包buffer的数据,但有的时候你需要向玩家显示分析结果或者向服务器发送一些定制数据包,这时候就得调用d2hackit提供的API。基本的API大概有这些:
DWORD EXPORT GameSendPacketToServer(LPBYTE buf, DWORD len);
DWORD EXPORT BnetSendPacketToServer(LPBYTE buf, DWORD len);
DWORD EXPORT RealmSendPacketToServer(LPBYTE buf, DWORD len);
BOOL EXPORT GameSendMessageToChat(LPSTR msg);
DWORD EXPORT GameSendPacketToGame(LPBYTE buf, DWORD len);
BOOL EXPORT GameInsertPacketToGame(LPBYTE buf, DWORD len);
BOOL EXPORT GamePrintInfo(LPCSTR buf);
BOOL EXPORT GamePrintError(LPCSTR buf);
BOOL EXPORT GamePrintVerbose(LPCSTR buf);
BOOL EXPORT GamePrintString(LPCSTR buf);
DWORD EXPORT GameSendPacketToServer(LPBYTE buf, DWORD len);
PTHISGAMESTRUCT EXPORT GetThisgameStruct( void );
PSERVERINFO EXPORT GetServerInfo(DWORD dwVersion, LPCSTR szModule);
BOOL EXPORT GameSaveAndExit();
DWORD EXPORT BnetSendPacketToServer(LPBYTE buf, DWORD len);
DWORD EXPORT RealmSendPacketToServer(LPBYTE buf, DWORD len);
BOOL EXPORT GameSendMessageToChat(LPSTR msg);
DWORD EXPORT GameSendPacketToGame(LPBYTE buf, DWORD len);
BOOL EXPORT GameInsertPacketToGame(LPBYTE buf, DWORD len);
BOOL EXPORT GamePrintInfo(LPCSTR buf);
BOOL EXPORT GamePrintError(LPCSTR buf);
BOOL EXPORT GamePrintVerbose(LPCSTR buf);
BOOL EXPORT GamePrintString(LPCSTR buf);
DWORD EXPORT GameSendPacketToServer(LPBYTE buf, DWORD len);
PTHISGAMESTRUCT EXPORT GetThisgameStruct( void );
PSERVERINFO EXPORT GetServerInfo(DWORD dwVersion, LPCSTR szModule);
BOOL EXPORT GameSaveAndExit();
这样,d2hackit的插件通过处理特定的事件和调用d2hackit提供的API就可以实现它想要的功能,无须汇编和逆向工程知识。由于网络游戏的功能实现非常依赖于数据包,因此通过截获数据包的收发来分析、篡改、伪造数据包可以完成绝大部分外挂的功能。
6,d2hackit 的升级。由于d2hackit利用游戏的特定函数和数据进行工作,每次D2升级补丁d2hackit本身也必须重定位这些地址。做一个可以用于1.11b 补丁的d2hackit其实也主要就是这个工作。比起d2hackmap来,d2hackit用的的地址很少(10个),难度小多了。要定位的地址有:
GamePacketReceivedIntercept=D2Client.dll,7,13,8B5C2410xxxxxxxxxxxx8D145B8B0495
GamePacketReceivedIntercept2=D2Client.dll,7,18,85C9894C24xx0F8FxxxxxxxxFF05xxxxxxxx5F5E5D
GamePacketSentIntercept=D2Net.dll,5,0,!10005
GamePlayerInfoIntercept=D2Client.dll,6,10,E8xxxxxxxxE8xxxxxxxx8935xxxxxxxx5EC3
pPlayerInfoStruct=D2Client.dll,0,12,E8xxxxxxxxE8xxxxxxxx8935xxxxxxxx5EC3
GamePrintStringLocation=D2Client.dll,0,0,81ECxxxxxxxx53558BE956578A45xx84C0
LoaderStruct=Game.exe,0,0,1d10abd1
GameKeyDownIntercept=D2Client.dll,5,5,8B770833D2xxxxxxxxxxxxC0668B41043BC6
GameSendPacketToGameLocation=d2net.dll,0,21,81EC0C010000538B1Dxxxxxxxx5556
GameSaveAndExit=D2client.dll,0,0,33c9e8xxxxxxxxc705xxxxxxxxxxxxxxxxe8xxxxxxxxc705
GameSendMessageToChat=bnclient.dll,0,15,C390909090909090909090909090908BD1
pGameInfoStruct=d2client.dll,0,0,#6FAA1C5A
GamePacketReceivedIntercept=D2Client.dll,7,13,8B5C2410xxxxxxxxxxxx8D145B8B0495
GamePacketReceivedIntercept2=D2Client.dll,7,18,85C9894C24xx0F8FxxxxxxxxFF05xxxxxxxx5F5E5D
GamePacketSentIntercept=D2Net.dll,5,0,!10005
GamePlayerInfoIntercept=D2Client.dll,6,10,E8xxxxxxxxE8xxxxxxxx8935xxxxxxxx5EC3
pPlayerInfoStruct=D2Client.dll,0,12,E8xxxxxxxxE8xxxxxxxx8935xxxxxxxx5EC3
GamePrintStringLocation=D2Client.dll,0,0,81ECxxxxxxxx53558BE956578A45xx84C0
LoaderStruct=Game.exe,0,0,1d10abd1
GameKeyDownIntercept=D2Client.dll,5,5,8B770833D2xxxxxxxxxxxxC0668B41043BC6
GameSendPacketToGameLocation=d2net.dll,0,21,81EC0C010000538B1Dxxxxxxxx5556
GameSaveAndExit=D2client.dll,0,0,33c9e8xxxxxxxxc705xxxxxxxxxxxxxxxxe8xxxxxxxxc705
GameSendMessageToChat=bnclient.dll,0,15,C390909090909090909090909090908BD1
pGameInfoStruct=d2client.dll,0,0,#6FAA1C5A
第二个要做的工作是修改旁路点的入口代码,因为不同的d2补丁具体代码可能有变化,对寄存器的利用也有所不同。具体的说就是要改这几个函数:
void
GamePacketReceivedInterceptSTUB();
void GamePacketReceivedIntercept2STUB();
void BnetPacketReceivedSaveSTUB();
void BnetPacketReceivedInterceptSTUB();
void GamePacketSentInterceptSTUB();
void BnetPacketSentInterceptSTUB();
void GamePlayerInfoInterceptSTUB();
void GamePacketReceivedIntercept2STUB();
void BnetPacketReceivedSaveSTUB();
void BnetPacketReceivedInterceptSTUB();
void GamePacketSentInterceptSTUB();
void BnetPacketSentInterceptSTUB();
void GamePlayerInfoInterceptSTUB();
第三步是修正两个游戏内部的数据结构:
typedef
struct
playerinfostruct_t_110
{
BYTE UnitType; // +0x00
DWORD CharacterClass; // +0x04
DWORD unknown1; // +0x08
DWORD PlayerID; // +0x0c
DWORD PlayerLocation; // +0x10 (defines location somehow in or out of town and maybe other locations (0x05=in town, 0x01=out of town)
LPCSTR PlayerName; // +0x14 pointer to LPSZ player name
BYTE Act; // +0x18
BYTE unknown2[0x73]; // +0x19
WORD PlayerPositionX;// +0x8c
WORD PlayerPositionY;// +0x8e
} PLAYERINFOSTRUCT_110, * PPLAYERINFOSTRUCT_110;
typedef struct gamestruct_t_110
{
char Unknown1[0x1a];
char GameName[0x10];
char Unknown2[0x08];
char ServerIP[0x10];
char Unknown3[0x46];
char AccountName[0x10];
char Unknown4[0x20];
char CharacterName[0x10];
char Unknown5[0x08];
char RealmName[0x10];
char Unknown6[0x147];
char RealmName2[0x10];
char Unknown7[0x08];
char GamePassword[0x10];
} GAMESTRUCT_110, * PGAMESTRUCT_110;
{
BYTE UnitType; // +0x00
BYTE UnitType; DWORD CharacterClass; // +0x04
DWORD unknown1; // +0x08
DWORD PlayerID; // +0x0c
DWORD PlayerLocation; // +0x10 (defines location somehow in or out of town and maybe other locations (0x05=in town, 0x01=out of town)
LPCSTR PlayerName; // +0x14 pointer to LPSZ player name
BYTE Act; // +0x18
BYTE unknown2[0x73]; // +0x19
WORD PlayerPositionX;// +0x8c
WORD PlayerPositionY;// +0x8e
} PLAYERINFOSTRUCT_110, * PPLAYERINFOSTRUCT_110;
}typedef struct gamestruct_t_110
{
char Unknown1[0x1a];
char GameName[0x10];
char Unknown2[0x08];
char ServerIP[0x10];
char Unknown3[0x46];
char AccountName[0x10];
char Unknown4[0x20];
char CharacterName[0x10];
char Unknown5[0x08];
char RealmName[0x10];
char Unknown6[0x147];
char RealmName2[0x10];
char Unknown7[0x08];
char GamePassword[0x10];
} GAMESTRUCT_110, * PGAMESTRUCT_110;