.Net巧妙实现植物大战僵尸修改器-技术开发专区

.Net巧妙实现植物大战僵尸修改器

作者：cyclone_dll 编辑：胡铭娅 2010-12-23 14:01 来源：cyclone

【IT168 技术文档】前不久玩植物大战僵尸，不停地玩啊玩，也通关了，准备开始享受一下IMBA的感觉。“玩玩小游戏”模式中有关“谁笑到最后”，一来就有5000的阳光，随你布置，布置完后开始攻击，过关挺容易。但是毕竟5000的阳光可布置的植物有限，总觉得不过瘾，于是找来《金山游侠》改阳光数量。好好享受了几次imba的感觉。

　　不用说，我当然不甘心用别人的工具，我要自己来。我选择.NET Framework 3.5作为该程序的实现平台。

　　整个过程总结如下：

　　一.获取具有窗体的进程集合

　　二.在所选进程的私有地址空间内查找数据

　　三.跟踪所选进程的数据修改情况，获得所要修改的数据的唯一地址

　　四.修改该地址中的数据内容

　　这就好办了，思路有了，我们就根据思路来搜集和整理相关知识：

　　进程

　　进程只是个被动容器，其中包含了很多资源。

　　System.Diagnostics命名空间中的 Process类表示进程。Process类中的 GetProcesses() 方法可以获取系统中所有进程。判断MainWindowHandle 是否为空可以确定进程是否包含主窗体。

　　我当前的宿主OS是XP，在32位的 Windwos NT/2000/XP 中，进程地址空间有4GB，但却只能访问其地址空间底部的2GB，另外2GB留给内核模式相关的一些东西用。在这部分可访问的2GB空间中，最低和最高的64KB不能访问，于是可访问的地址范围是：0x00010000 到 0x7ffeffff。

　　我们还需要读和写进程的内存，System.Diagnostics.Process 提供的方法不能做到。还好，Windows的kernel32库中的进程相关API可以帮到：ReadProcessMemory和 WriteProcessMemory，可以将他们表达为如下C#语句：

[DllImport("kernel32.dll", SetLastError = true)]

        static extern bool ReadProcessMemory(

          IntPtr hProcess,

          IntPtr lpBaseAddress,

          [Out] byte[] lpBuffer,

          int dwSize,

          out int lpNumberOfBytesRead

         );

        [DllImport("kernel32.dll", SetLastError = true)]

        static extern bool WriteProcessMemory(

            IntPtr hProcess,

            IntPtr lpBaseAddress,

            byte[] lpBuffer,

            uint nSize,

            out int lpNumberOfBytesWritten);

　　名字很直观：读/写进程内存。

　　两个方法签名基本相同，我这里简单解释一下：

　　hProcess ：进程句柄

　　lpBaseAddress：基地址，也就是起始地址(起始位置)

　　lpBuffer：从基地址起读取或要写入的内存值

　　nSize：读取或写入的数量，单位是字节

　　lpNumberOfBytesRead、 lpNumberOfBytesWritten：用作传出，表示实际读取或写入的数量　　

　　好了!开始实战吧!

　　创建一个C#的Windows forms项目

　　在窗体上我这样布局：

　　为类添加如下几个成员：

List<Process> _windowedProcesses = new List<Process>();//存放有窗体的进程集合

private List<IntPtr> _addrList = new List<IntPtr>();//存放作为结果的地址列表

bool isFirstSearch = true;//是否是第一次搜索

Process _selectedProcess;//所选进程

　　还要获取有窗体的进程并列出来，让使用者选择需要的进程

  private void RefreshProcessList()

        {

            listBox1.Items.Clear();

            _windowedProcesses.Clear();

            textBox2.Enabled = false;//在没得到唯一的地址前不能写入

            foreach (var p in System.Diagnostics.Process.GetProcesses())

            {

                if (p.MainWindowHandle != IntPtr.Zero)//进程有窗口

                {

                    if (!string.IsNullOrEmpty(p.MainWindowTitle))//窗体名不为空。因为有些时候会有一些进程如iexplorer.exe ，它有窗口，但窗口没名称且没显示。所以应该排除一下

                    {

                        listBox1.Items.Add(p.MainWindowTitle);

                        _windowedProcesses.Add(p);

                    }

                }

            }

        }

　　于是可以在我们的窗体装载和单击刷新按钮时调用该方法

  private void Form1_Load(object sender, EventArgs e)

        {

            RefreshProcessList();

        }

        private void btnRefreshPList_Click(object sender, EventArgs e)

        {

            RefreshProcessList();

        }

　　为什么要区别是否是第一次搜索?因为第一次搜索是在整个进程可访问内存范围内查找，而之后的查找是基于第一次找到的地址。这样做不是唯一的，但是最好的方法。

　　下面是搜索按钮单击的事件处理代码：

  private void button1_Click(object sender, EventArgs e)

        {

            if (_selectedProcess == null) return;

            if (isFirstSearch)

            {

                uint baseAddr = 0x00010000;

                uint endAddr = 0x7ffeffff;

                for (uint i = baseAddr; i < endAddr; i += (4 * 1024))

                {

                    var addrs = CreateAddrList(new IntPtr(i), int.Parse(textBox1.Text));

                    if (addrs !=null )

                    _addrList.AddRange( addrs);

                }

                isFirstSearch = false;

            }

            else

            {

                RefreshAddrList(int.Parse(textBox1.Text));

            }

            label2.Text = "找到结果”+ _addrList.Count.ToString() + "个";

            if (_addrList.Count == 1)

                textBox2.Enabled = true;

        }

　　很明显CreateAddrList是第一次查找掉用的方法，RefreshAddrList是之后查找调用的方法。在第一次查找中，我们以4KB作一次跳跃。为什么查找的地址范围如此本文开始已作说明，这里就不再赘述。

　　好了，现在来看看CreateAddrList方法：

   private List<IntPtr> CreateAddrList(IntPtr baseAddr, int value)

        {

            int bytesRead;

            byte[] buffer = new byte[4096];

            bool ok;

            List<IntPtr> result = new List<IntPtr>();

            ok = ReadProcessMemory(_selectedProcess.Handle, baseAddr, buffer, 4096, out bytesRead);

            if (!ok)

                return null ;

            int currentVal;

            for (int i = 0; i < 4096 - 3; i++)

            {

                currentVal = BitConverter.ToInt32(buffer, i);

                if (currentVal == value)

                {

                    IntPtr addr = new IntPtr(baseAddr.ToInt32() + i);

                    result.Add(addr);

                    i += 3;

                }

            }

            return result;

        }

　　该方法用以创建地址列表。它接受2个参数，分别是基地址和要查找的值。

　　我们用ReadProcessMemory 一次读取4KB的值，并把它存放在buffer中。由于buffer 是byte[] ，所以需要用BitConverter.ToInt32()把buffer中的一部分值转成Int32以和要查找的值进行比对。

　　如果值匹配，则把对应地址添加到该方法的 result中以供方法返回。

　　接下来是RefreshAddrList方法：

     private void RefreshAddrList(int value)

        {

            var la = _addrList.ToList();

            _addrList.Clear();

            byte[] buffer = new byte[4];

            int bytesRead;

            foreach (var i in la)

            {

                ReadProcessMemory(_selectedProcess.Handle, i, buffer, 4, out bytesRead);

                if (BitConverter.ToInt32(buffer, 0) == value)

                    _addrList.Add(i);

            }

        }

　　因为要根据第一次查找的地址结果进行查找并要更新主地址列表，所以要用addrList.ToList()得到一份主地址列表的拷贝。接下来再在作为第一次搜索结果的地址表中查找新的值。如果等于之前的值的地址中的数据现在还等于新的值，那么就添加到地址列表。

　　回看查找按钮的事件处理代码可以发现：反复多次，直到地址列表中只有一个地址时，就可以确定这就是我们要的地址，此时，我们就可以修改它了。

private void button2_Click(object sender, EventArgs e)

        {

            int value;

            if (!int.TryParse(textBox2.Text, out value))

            {

                MessageBox.Show("输入值太大！小心溢出！请重新输入！");

                return;

            }

            var buffer=BitConverter.GetBytes(value);

            int bytesWritten;

            WriteProcessMemory(_selectedProcess.Handle, _addrList[0], buffer, 4,out bytesWritten);

        }

　　哈哈!这样就完成了。按下F5我又IMBA了一回

　　代码下载：ProgramMemoryEditor

　　该程序搜索值的数据类型是Int32 ,若我们要修改的程序的某个数据是以其他数据类型存储的，则需要小修改下我们的修改器。

关注我们