"Поиск инжектов" или "Наш код в чужом процессе"

**Dinmaite** · 27.05.2011, 00:34

Тема: Поиск кода для инжекта в игре Perfect World

Для чего это нужно?
В основном для ботов, самый простой пример - выделение моба.\
Наверняка все вы заметили что после обновления с джинами MHS-bot перестал верно выделять мобов.
Все это из за его системы выделения, а именно MHS просто помещает в ячейку цели WID (World IDentificator) цели.
На Делфи это выглядело бы так:

Код:

WriteProcessMemory(hProcess,ptr(Target_addr),@WID,ByteCount)

Однако простая запись в ячейку и до обновления была не лучшим выходом (первой атакой должен был быть скилл)
В чем плюс инжекта?
Фактически когда мы делаем иньекцию кода в память, мы заставляем работать функцию самого клиента.
При этом выделение происходит по всем правилам, как со стороны клиента, так и со стороны сервера.

Я буду описывать самый простой для нахождения (с моей точки зрения) и при этом самый нужный для бота инжект выделения в таргет.

Разделим работу на 3 этапа:

I этап - Поиск возможных адресов функций с помощью СЕ

1. Находим базовый адрес (как это сделать).
2. Снимаем выделения с моба (если моб был выделен)
Нажимаем на базовом адресе правой и выбираем пункт "Кто получает доступ к адресу" (дело в том что недалеко от большинсва функций, которые мы можем инжектить лежит код получения какой указателя на какую-либо структуру данных).
[Ссылки могут видеть только зарегистрированные пользователи. ]
Откроется окно и мгновенно наполнится адресами (и соответствующим им кодом) обращения к базовому адресу.
[Ссылки могут видеть только зарегистрированные пользователи. ]
3. Возвращаемся в окно ПВ, немного побегаем, попрыгаем (но не выделяем мобов, и не ловим на себя агромобов), окошко СЕ в это время заполнится большим количеством записей.
Но среди них все ще не будет нужной.
4. Прокручиваем скроллер вниз. Выделим последнюю строку в списке (для удобства), возвращаемся в ПВ и выделяем моба. Добавились несколько записей, одна из них то нам и нужна.
В поле "Count" указывается число раз, которое была выполнена соответствующая строка кода. Удобно несколько раз выделить моба, дабы точнее определиться с необходимыми строками.
[Ссылки могут видеть только зарегистрированные пользователи. ]
Переписываем адреса "понравившихся" (читай наиболее вероятных) записей в блокнотик, или куда вам удобнее. Выключаем СЕ свою работу он выполнил.
Конец первого этапа.

II этап - Выделение нужной нам функции, и подготовка к написанию кода (на этом этапемы будем использовать OllyDbg)

III этап - Написание кода

Для начала нам потребуется инжектор (© BuBucekTop):

Код:

procedure InjectFunc(ProcessID: Cardinal; Func, aParams: Pointer;
  aParamsSize: DWord);
var
  hThread: THandle;
  lpNumberOfBytes: DWord;
  ThreadAddr, ParamAddr: Pointer;
begin
  if ProcessID<>0 then
  begin
    // ---- Выделяем место в памяти процесса, и записываем туда нашу функцию
    ThreadAddr := VirtualAllocEx(ProcessID, nil, 256, MEM_COMMIT, PAGE_READWRITE);
    WriteProcessMemory(ProcessID, ThreadAddr, Func, 256, lpNumberOfBytes);

    // ---- Также запишем параметры к ней
    ParamAddr := VirtualAllocEx(ProcessID, nil, aParamsSize, MEM_COMMIT, PAGE_READWRITE);
    WriteProcessMemory(ProcessID, ParamAddr, aParams, aParamsSize, lpNumberOfBytes);

    // ---- Создаем поток, в котором все это будет выполняться.
    hThread := CreateRemoteThread(ProcessID, nil, 0, ThreadAddr, ParamAddr, 0, lpNumberOfBytes);

    // ---- Ожидаем завершения функции
    WaitForSingleObject(hThread, INFINITE);

    // ---- подчищаем за собой
    CloseHandle(hThread);
    VirtualFreeEx(ProcessID, ParamAddr, 0, MEM_RELEASE);
    VirtualFreeEx(ProcessID, ThreadAddr, 0, MEM_RELEASE);
  end
end;

Таким образом мы создаем свой поток в памяти выделенной клиенту (тоесть по сути вставить в клиент свой код)
И тип данных:

Код:

type
  PParams = ^TParams;
  TParams = packed record
    WID: DWord;
  end;

Теперь подготовим код, который и будет кодом нашего потока.
И который будет вызывать функцию клиента.
По сути повторям код клиента (добавив передачу параметров и прочую обвязку):

Код:

004619CD  |.  A1 0CB9A500   MOV EAX,DWORD PTR DS:[A5B90C]
004619D2  |.  57            PUSH EDI                                 ; /Arg1
004619D3  |.  8B48 20       MOV ECX,DWORD PTR DS:[EAX+20]            ; |
004619D6  |.  81C1 EC000000 ADD ECX,0EC                              ; |
004619DC  |.  E8 8F501A00   CALL elementc.00606A70                   ; \elementc.00606A70

на выбранном нами языке программирования (в моем случае - Delphi)

Код:

procedure TargetCall(aPParams:PParams);Stdcall; //StdCall - обязательно, указывает что аргументы попадают в стек в обратном (стандартном) порядке
var                                         //
  P1: DWord;                                //
begin                                       //
  P1:=aPParams^.WID;                     //
  asm
    MOV EDI, P1                             // Вносим WID моба в регистр EDI
    MOV EBX, $00606A70                      // Вносим в свободный регистр адрес функции
    MOV EAX,DWORD PTR DS:[$A5B90C]          //
    PUSH EDI                                // ; /Arg1
    MOV ECX,DWORD PTR DS:[EAX+$20]          // ; |
    ADD ECX,$0EC                            // ; |
    CALL EBX                                // ; \elementc.00606A70
  end;
end;

Кидаем на форму кнопку, в обработчике OnClick пишем

Код:

procedure TForm1.Button1Click(Sender: TObject);
var
  aParams: TParams;
  PID, hProcess: DWord;
begin
  GetWindowThreadProcessId( FindWindow('ElementClient Window', nil), @PID);
  hProcess:= OpenProcess(PROCESS_ALL_ACCESS, False, PID);
  aParams.WID:= StrToInt('$' + Edit1.Text);          // WID персонажа\моба\NPC
  InjectFunc(hProcess, @TargetCall, @aParams, SizeOf(aParams ) );
  CloseHandle(hProcess);
end;

Вот это главная проверка, если инжект прошел - значит все верно.
Если инжект не прошел - значит все плохо.
Пример программы - в аттаче.

megasniper · 08.07.2011, 20:03

откуда в

Код:

GetWindowThreadProcessId( FindWindow('ElementClient Window', nil), @PID);

взялось 'ElementClient Window'? вернее, как это определили?

**Dinmaite** · 08.07.2011, 20:41

Цитата:

Сообщение от megasniper


	откуда в Код: GetWindowThreadProcessId( FindWindow('ElementClient Window', nil), @PID); взялось 'ElementClient Window'? вернее, как это определили?

Интересный вопрос.
Функия есть такая в WinApi - GetClassName.

Jok3r666 · 21.08.2011, 09:12

Цитата:


	В комментарии напротив Arg1 теперь написано 80101033, пока что для нас это цифра. Сравним ее с WID того моба, которого мы выделили.

У меня в EDI другое значение и причем в нем присутствует буква, в чем беда может быть? на айди в таргете оно ваще не похоже.

Sirioga · 21.08.2011, 09:45

Цитата:

Сообщение от Jok3r666


	У меня в EDI другое значение и причем в нем присутствует буква, в чем беда может быть? на айди в таргете оно ваще не похоже.

Проверься с помощью консоли. Команда d_npcid.

Jok3r666 · 21.08.2011, 09:55

шок все правильно, с буквами, тогда в какой тип переменной выкидывать таргет, что бы вывести его правильно в стринги

? и кст через CE выдает тоже не правильно получается, или может в таргет не тот id передается?

VeTaL_UA · 21.08.2011, 10:00

Цитата:

Сообщение от Jok3r666


	У меня в EDI другое значение и причем в нем присутствует буква, в чем беда может быть? на айди в таргете оно ваще не похоже.

1)Включи инженерный калькулятор;
2)Выбери там hex;
3)Впиши туда то, что в EDI;
4)Переставь на dec.
5)???????
6)Profit

Fanky3 · 25.08.2011, 19:50

все бы хорошо но вот как найти инжекты перемещения по карте, или заставить бота двигаться по вейпоинтам с помощью инжектов...

**Dinmaite** · 25.08.2011, 20:11

Цитата:

Сообщение от Fanky3


	все бы хорошо но вот как найти инжекты перемещения по карте, или заставить бота двигаться по вейпоинтам с помощью инжектов...

Найти инжект перемещения. Тоесть повторить для перемещения, по аналогии, то что было написано выше.
Составить карту вейпоинтов.

Jok3r666 · 27.08.2011, 13:28

Цитата:


	P1:=aPParams^.WID;

Можно узнать что обозначает этот символ ^ и для чего он служит?

Domin.5 · 27.08.2011, 21:33

aPParams - принадлежит типу PParams, что является указателем на тип TParams.
короче говоря, переменная aPParams - это 4 байта, ссылающиеся на структуру TParams.
^ обозначает, что обращаешься ты не к адресу, а к структуре, по нему лежащей.
фуф. надеюсь, по-русски получилось.

**Dinmaite** · 27.08.2011, 21:37

Разименование указателя.

Jok3r666 · 28.08.2011, 09:07

Цитата:

Сообщение от Domin.5


	aPParams - принадлежит типу PParams, что является указателем на тип TParams. короче говоря, переменная aPParams - это 4 байта, ссылающиеся на структуру TParams. ^ обозначает, что обращаешься ты не к адресу, а к структуре, по нему лежащей. фуф. надеюсь, по-русски получилось.

получилось все класно)) все понял

Посоветуйте, сайт где хорошо разжевано обучение работе с памятью, указателями и т.д. с нуля желательно ибо с памятью дел ваще не имел.

ktulx · 30.08.2011, 01:03

Здравствуйте!

Большое спасибо за статью, очень понравилась, всё понятно описано.
Не могли бы вы подсказать мне, желательно на примере, для наглядности, как заинжектить код, выполняющий какое-нибудь элементарное действие? Например есть форма с единственной кнопкой, при нажатии на которую, персонаж выделяет моба с заданным WID, после чего просто перемещается на заданные координаты. Я был бы очень признателен. Руки вроде прямые, чай, сигареты на ночь есть =) Практики почти нет. Ах да, пользуюсь AutoIt.

**Dinmaite** · 30.08.2011, 01:34

На автоите не подскажу, писать на нем я не могу да и не хочу.
А вообще во вложении к певому посту, таки, предоставлен код, выполняющий простейшее действие - выделяющий моба с заданным WID.
А для того что нужно вам, таки, необходимо использовать 2 инжекта (выеление моба и перемещение).

Вообще желаю спокойной ночи.

"Поиск инжектов" или "Наш код в чужом процессе"

Разработка ПО для Perfect World