热血V60000自动打怪
2011-08-01 10:56
66 查看
1.怪ID:
搜索十六进制FFFF(怪未选中时),切掉怪,搜变动的值(一般是小与FFFF),最后找到一个地址,查找访问
0071d59b - mov edx,[eax+00001a5c] EAX=1FDBDDB8
搜EAX的值,找到好多,选三个绿色的
03E64D50 03E7C46C 03E78920
小退一下回到选择人物窗口,再进去后用CE添加地址,看看这三个哪个是,结果发现除了中间的一个都可以,好吧,用第一个吧
[03E64D50]+1a5c就是选中怪对象ID
2.显示血条:
选中怪时肯定会去读取指向怪ID的地址内容,我们在这个地方下内存写入(下访问断点会一直断下来)断点,在游戏中选一个怪后断下
断在004752F6这一行,向上找有好几个CALL,但是我们分析,edi的值可能是怪物对象基址,所以call的时候肯定牵扯到edi,我们可以先dd edi看一下,最终选择了这个0047529B call,(我觉得显示血条应该有个标识,这个CALL压栈的时候参数有1,0,或许就是标识是否显示血条的)。等分析出了怪物列表基址再来测试,因为要用到edi的值。
3.怪物对象基址:
dd [03E64D50]+1a5c 下写入断点,记下edi的值,CE中搜索,最后剩下一个,查找访问,记下代码
0041ca4b - mov eax,[edx*4+fcexp+35e00e0] EDX=00001253
Od中0041CA4B 8B0495 E0ECE603 MOV EAX,DWORD PTR DS:[EDX*4+3E6ECE0],这应该就是怪物对象数组了,dd [1250*4+3E6ECE0]看一下,应该没错,偏移就是各项属性。分析下偏移找出几个重要的
+8 对象分类
+c 对象ID
+31c 对象与人物间距离
+380 怪是否死亡 为1是死亡状态
4.攻击CALL:
同样攻击时会访问选中怪的ID值
分析还是用CE吧,因为发现在[03E64D50]+1a5c下访问断点,od会立马断下来,CE中先添加这个地址,查找访问
攻击时多出来的地址都记下来
0048806D 004880D3
放到OD中看下,第一个找了没找到,第二个下断,攻击时断下,执行到返回,发现这个所在的函数没有参数,这条指令所在的CALL有可能就是我们的攻击CALL,返回到这个CALL
00662D0C 8B0D 2089E703 MOV ECX,DWORD PTR DS:[3E78920]
00662D12 E8 2953E2FF CALL Client.00488040
代码注入器测试,成功。
下面可以写个简单的自动打怪了
然后写个定时器或是创建个线程去执行选怪打怪函数就可以了
搜索十六进制FFFF(怪未选中时),切掉怪,搜变动的值(一般是小与FFFF),最后找到一个地址,查找访问
0071d59b - mov edx,[eax+00001a5c] EAX=1FDBDDB8
搜EAX的值,找到好多,选三个绿色的
03E64D50 03E7C46C 03E78920
小退一下回到选择人物窗口,再进去后用CE添加地址,看看这三个哪个是,结果发现除了中间的一个都可以,好吧,用第一个吧
[03E64D50]+1a5c就是选中怪对象ID
2.显示血条:
选中怪时肯定会去读取指向怪ID的地址内容,我们在这个地方下内存写入(下访问断点会一直断下来)断点,在游戏中选一个怪后断下
0047528E |> \8B17 mov edx,dword ptr ds:[edi] 00475290 |. 6A 00 push 0 00475292 |. 6A 01 push 1 00475294 |. 68 4D040000 push 44D 00475299 |. 8BCF mov ecx,edi 0047529B |. FF52 04 call dword ptr ds:[edx+4] 0047529E |. A1 FCA9DF00 mov eax,dword ptr ds:[DFA9FC] 004752A3 |. 85C0 test eax,eax 004752A5 |. 74 47 je short Client.004752EE 004752A7 |. 8B80 AC020000 mov eax,dword ptr ds:[eax+2AC] 004752AD |. 85C0 test eax,eax 004752AF |. 74 3D je short Client.004752EE 004752B1 |. 8B80 5C020000 mov eax,dword ptr ds:[eax+25C] 004752B7 |. 85C0 test eax,eax 004752B9 |. 74 33 je short Client.004752EE 004752BB |. 813D C0C9E000>cmp dword ptr ds:[E0C9C0],321 004752C5 |. 75 27 jnz short Client.004752EE 004752C7 |> 8B4F 14 mov ecx,dword ptr ds:[edi+14] 004752CA |. 51 push ecx ; /Arg1 004752CB |. 8BC8 mov ecx,eax ; | 004752CD |. E8 5E69FDFF call Client.0044BC30 ; \Client.0044BC30 004752D2 |. A1 FCA9DF00 mov eax,dword ptr ds:[DFA9FC] 004752D7 |. 8B57 14 mov edx,dword ptr ds:[edi+14] 004752DA |. 52 push edx ; /Arg2 004752DB |. 6A 05 push 5 ; |Arg1 = 00000005 004752DD |. 8B88 AC020000 mov ecx,dword ptr ds:[eax+2AC] ; | 004752E3 |. 8B89 5C020000 mov ecx,dword ptr ds:[ecx+25C] ; | 004752E9 |. E8 E25AFDFF call Client.0044ADD0 ; \Client.0044ADD0 004752EE |> A1 2089E703 mov eax,dword ptr ds:[3E78920] ; 这是我们上面找到的第三个地址 004752F3 |. 8B57 0C mov edx,dword ptr ds:[edi+C] ; edi应该指向怪物对象基址,+c是ID地址 004752F6 |. 8990 5C1A0000 mov dword ptr ds:[eax+1A5C],edx ; edx怪ID
断在004752F6这一行,向上找有好几个CALL,但是我们分析,edi的值可能是怪物对象基址,所以call的时候肯定牵扯到edi,我们可以先dd edi看一下,最终选择了这个0047529B call,(我觉得显示血条应该有个标识,这个CALL压栈的时候参数有1,0,或许就是标识是否显示血条的)。等分析出了怪物列表基址再来测试,因为要用到edi的值。
3.怪物对象基址:
dd [03E64D50]+1a5c 下写入断点,记下edi的值,CE中搜索,最后剩下一个,查找访问,记下代码
0041ca4b - mov eax,[edx*4+fcexp+35e00e0] EDX=00001253
Od中0041CA4B 8B0495 E0ECE603 MOV EAX,DWORD PTR DS:[EDX*4+3E6ECE0],这应该就是怪物对象数组了,dd [1250*4+3E6ECE0]看一下,应该没错,偏移就是各项属性。分析下偏移找出几个重要的
+8 对象分类
+c 对象ID
+31c 对象与人物间距离
+380 怪是否死亡 为1是死亡状态
4.攻击CALL:
同样攻击时会访问选中怪的ID值
分析还是用CE吧,因为发现在[03E64D50]+1a5c下访问断点,od会立马断下来,CE中先添加这个地址,查找访问
攻击时多出来的地址都记下来
0048806D 004880D3
放到OD中看下,第一个找了没找到,第二个下断,攻击时断下,执行到返回,发现这个所在的函数没有参数,这条指令所在的CALL有可能就是我们的攻击CALL,返回到这个CALL
00662D0C 8B0D 2089E703 MOV ECX,DWORD PTR DS:[3E78920]
00662D12 E8 2953E2FF CALL Client.00488040
代码注入器测试,成功。
下面可以写个简单的自动打怪了
#define CurRoleBase 0x3E78920 //当前角色基址 或是0x3E734D0
#define CurListBase 0x3E6ECE0 //当前对象列表基址
#define BeatMonCall 0x00488040 //打怪CALL地址
VOID SelMon()
{
int *b8,*bc,*b380;//定义偏移变量
//对象类型 数组下标 是否死亡(为0是未死亡,1时死亡)
float *b31c;//坐标变量,浮点型,到玩家的距离
int* pb;//定义指针对象
int* pSelMon;
pSelMon=(int *)CurRoleBase;//[3E6E010]+1a5c
pSelMon=(int *)(*pSelMon+0x1a5c);
for (int i=CurListBase;i<(CurListBase+0xFFFF*4);i+=4)//每次增加4字节
{
pb=(int*)i;//遍历变量
b8=(int*)(*pb+0x8);//偏移8,对象分类
bc=(int*)(*pb+0xc);//偏移0C,数组下标
b31c=(float*)(*pb+0x31c);//偏移31C,坐标距离
b380=(int*)(*pb+0x380);//偏移380,死亡标识
if ((*b8==0x2E)&&(*b31c<=100)&&(*b380==0))//查找符合条件的怪物
{
int selmonbase=*pb;
if (*pSelMon==0xFFFF)//如果当前是未选中的状态,则显示血条
{
__asm
{
mov edi,selmonbase
mov edx,[edi]
push 0
push 1
push 0x44D
mov ecx,edi
mov edx,[edx+4]
call edx
}
}
//选怪
pb=(int*)CurRoleBase;
pb=(int*)(*pb+0x1a5c);
*pb=*bc;
//memcpy(pb,bc,4);
return ;
}
}
}
VOID BeatMon()
{
__asm
{
mov ecx,CurRoleBase
mov ecx,[ecx]
mov eax,BeatMonCall
call eax
}
}然后写个定时器或是创建个线程去执行选怪打怪函数就可以了
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- php写的 html table generator. 可以自动生成列表.很好用的
- 开机自动启动SAP服務
- Windows CE 下应用程序自动启动
- ASP网站程序自动升级实现的方法
- [Object-C语言随笔之二] 《NSLog》常用的打印调试语句与自动排版
- 持续集成实践:使用Visual Studio 2010 Coded UI Test 制作能自动安装/卸载UI应用的程序
- NodeJS自动安装脚本
- 根据给定的URL自动获取其中的正文
- 使用EditPlus技巧,提高工作效率(自动文成文件、语法文件下载)
- XML PUBLISHER输出excel禁止自动将数字格式化处理
- 基于linux-2.6.35的class_create,device_create解析 (可自动生成设备文件)
- 自动发布工具版本从python2升级成python3后遇到的种种问题(涉及paramiko,Crypto,zipfile等等)
- UINavigationController、UITabBarController 支持屏幕自动旋转问题
- iOS系统自带的 **UIAlertView** 以及 屏幕自动旋转的实现
- 软件自我成长之路——关于自动更新
- activity 第一个获取焦点的组件是 EditText 时,开启这个activity 时就会自动弹出软键盘问题
- linux mysql自动备份
- linux下mysql自动备份
- 如何把.bat文件设置为开机自动启动?
- php 自动加载机制