游戲外掛的基本編寫原理

Posted on 2005年9月17日 23:40 游戲外掛的基本編寫原理


　　本文主要是針對開發游戲外掛程序后期使用的程序開發技術進行探討，重點介紹的
如下幾種在游戲外掛中常使用

的程序開發技術：

　　● 動作模擬技術：主要包括鍵盤模擬技術和鼠標模擬技術。

　　● 封包技術：主要包括擋截Sock技術和擋截API技術。





一、動作模擬技術

　　我們在前面介紹過，幾乎所有的游戲都有大量繁瑣和無聊的攻擊動作以增加玩家的
功力，還有那些數不完的迷宮

，這些好像已經成為了角色游戲的代名詞。現在，外掛可以幫助玩家從這些繁瑣而無聊
的工作中擺脫出來，專注于游

戲情節的進展。外掛程序為了實現自動角色位置移動和自動攻擊等功能，需要使用到鍵
盤模擬技術和鼠標模擬技術。

下面我們將重點介紹這些技術并編寫一個簡單的實例幫助讀者理解動作模擬技術的實現
過程。

　　１． 鼠標模擬技術
　　
　　幾乎所有的游戲中都使用了鼠標來改變角色的位置和方向，玩家僅用一個小小的鼠
標，就可以使角色暢游天下。

那么，我們如何實現在沒有玩家的參與下角色也可以自動行走呢。其實實現這個并不
難，僅僅幾個Windows API函數就

可以搞定，讓我們先來認識認識這些API函數。

　　(1) 模擬鼠標動作API函數mouse_event，它可以實現模擬鼠標按下和放開等動作。

　　　　VOID mouse_event(
　　　　　　DWORD dwFlags, // 鼠標動作標識。
　　　　　　DWORD dx, // 鼠標水平方向位置。
　　　　　　DWORD dy, // 鼠標垂直方向位置。
　　　　　　DWORD dwData, // 鼠標輪子轉動的數量。
　　　　　　DWORD dwExtraInfo // 一個關聯鼠標動作輔加信息。
　　　　);

　　其中，dwFlags表示了各種各樣的鼠標動作和點擊活動，它的常用取值如下：

　　　MOUSEEVENTF_MOVE　表示模擬鼠標移動事件。

　　　MOUSEEVENTF_LEFTDOWN 表示模擬按下鼠標左鍵。

　　　MOUSEEVENTF_LEFTUP 表示模擬放開鼠標左鍵。

　　　MOUSEEVENTF_RIGHTDOWN 表示模擬按下鼠標右鍵。

　　　MOUSEEVENTF_RIGHTUP 表示模擬放開鼠標右鍵。

　　　MOUSEEVENTF_MIDDLEDOWN 表示模擬按下鼠標中鍵。

　　　MOUSEEVENTF_MIDDLEUP 表示模擬放開鼠標中鍵。

　　(2)、設置和獲取當前鼠標位置的API函數。獲取當前鼠標位置使用GetCursorPos()
函數，設置當前鼠標位置使用

SetCursorPos()函數。

　　　　BOOL GetCursorPos(
　　　　　LPPOINT　lpPoint // 返回鼠標的當前位置。
　　　　);
　　　　BOOL SetCursorPos(
　　　　int X, // 鼠標的水平方向位置。
　　　　　　int Y //鼠標的垂直方向位置。
　　　　);

　　通常游戲角色的行走都是通過鼠標移動至目的地，然后按一下鼠標的按鈕就搞定
了。下面我們使用上面介紹的API

函數來模擬角色行走過程。

　　　CPoint oldPoint,newPoint;
　　　GetCursorPos(&oldPoint); //保存當前鼠標位置。
　　　newPoint.x = oldPoint.x+40;
　　　newPoint.y = oldPoint.y+10;
　　　SetCursorPos(newPoint.x,newPoint.y); //設置目的地位置。
　　　mouse_event(MOUSEEVENTF_RIGHTDOWN,0,0,0,0);//模擬按下鼠標右鍵。
　　　mouse_event(MOUSEEVENTF_RIGHTUP,0,0,0,0);//模擬放開鼠標右鍵。

　　2． 鍵盤模擬技術

　　在很多游戲中，不僅提供了鼠標的操作，而且還提供了鍵盤的操作，在對攻擊對象
進行攻擊時還可以使用快捷鍵

。為了使這些攻擊過程能夠自動進行，外掛程序需要使用鍵盤模擬技術。像鼠標模擬技
術一樣，Windows API也提供了

一系列API函數來完成對鍵盤動作的模擬。

　　模擬鍵盤動作API函數keydb_event，它可以模擬對鍵盤上的某個或某些鍵進行按下
或放開的動作。

　　　VOID keybd_event(
　　　　　BYTE bVk, // 虛擬鍵值。
　　　　　BYTE bScan, // 硬件掃描碼。
　　　　　DWORD dwFlags, // 動作標識。
　　　　　DWORD dwExtraInfo // 與鍵盤動作關聯的輔加信息。
　　　);

　　其中，bVk表示虛擬鍵值，其實它是一個BYTE類型值的宏，其取值范圍為1-254。有
關虛擬鍵值表請在MSDN上使用

關鍵字“Virtual-Key Codes”查找相關資料。bScan表示當鍵盤上某鍵被按下和放開
時，鍵盤系統硬件產生的掃描碼

，我們可以MapVirtualKey()函數在虛擬鍵值與掃描碼之間進行轉換。dwFlags表示各種
各樣的鍵盤動作，它有兩種取

值：KEYEVENTF_EXTENDEDKEY和KEYEVENTF_KEYUP。

　　下面我們使用一段代碼實現在游戲中按下Shift+R快捷鍵對攻擊對象進行攻擊。

　　　keybd_event(VK_CONTROL,MapVirtualKey(VK_CONTROL,0),0,0); //按下CTRL
鍵。
　　　keybd_event(0x52,MapVirtualKey(0x52,0),0,0);//鍵下R鍵。
　　　keybd_event(0x52,MapVirtualKey(0x52,0), KEYEVENTF_KEYUP,0);//放開R鍵。
　　　keybd_event(VK_CONTROL,MapVirtualKey(VK_CONTROL,0),
　　　KEYEVENTF_KEYUP,0);//放開CTRL鍵。

　　3． 激活外掛

　　上面介紹的鼠標和鍵盤模擬技術實現了對游戲角色的動作部分的模擬，但要想外掛
能工作于游戲之上，還需要將

其與游戲的場景窗口聯系起來或者使用一個激活鍵，就象按鍵精靈的那個激活鍵一樣。
我們可以用GetWindow函數來枚

舉窗口，也可以用Findwindow函數來查找特定的窗口。另外還有一個FindWindowEx函數
可以找到窗口的子窗口，當游

戲切換場景的時候我們可以用FindWindowEx來確定一些當前窗口的特征，從而判斷是否
還在這個場景，方法很多了，

比如可以GetWindowInfo來確定一些東西，比如當查找不到某個按鈕的時候就說明游戲
場景已經切換了等等辦法。當使

用激活鍵進行關聯，需要使用Hook技術開發一個全局鍵盤鉤子，在這里就不具體介紹全
局鉤子的開發過程了，在后面

的實例中我們將會使用到全局鉤子，到時將學習到全局鉤子的相關知識。

4． 實例實現

　　通過上面的學習，我們已經基本具備了編寫動作式游戲外掛的能力了。下面我們將
創建一個畫筆程序外掛，它實

現自動移動畫筆字光標的位置并寫下一個紅色的“R”字。以這個實例為基礎，加入相
應的游戲動作規則，就可以實現

一個完整的游戲外掛。這里作者不想使用某個游戲作為例子來開發外掛（因沒有游戲商
家的授權啊！），如讀者感興

趣的話可以找一個游戲試試，最好僅做測試技術用。

　　首先，我們需要編寫一個全局鉤子，使用它來激活外掛，激活鍵為F10。創建全局
鉤子步驟如下：

　　(1)．選擇MFC AppWizard(DLL)創建項目ActiveKey，并選擇MFC Extension DLL
（共享MFC拷貝）類型。

　　(2).插入新文件ActiveKey.h，在其中輸入如下代碼：

　　　#ifndef _KEYDLL_H
　　　#define _KEYDLL_H

　　　class AFX_EXT_CLASS CKeyHookublic CObject
　　　{
　　　　public:
　CKeyHook();
　~CKeyHook();
　HHOOK Start();　//安裝鉤子
　BOOL Stop(); //卸載鉤子
　　　};
　　　#endif

　　(3).在ActiveKey.cpp文件中加入聲明＂#include ActiveKey.h＂。

　　(4).在ActiveKey.cpp文件中加入共享數據段，代碼如下：

　　　//Shared data section
　　　#pragma data_seg("sharedata"
　　　HHOOK glhHook=NULL; //鉤子句柄。
　　　HINSTANCE glhInstance=NULL; //DLL實例句柄。
　　　#pragma data_seg()

　　(5).在ActiveKey.def文件中設置共享數據段屬性，代碼如下：

　　　SETCTIONS
　　　shareddata READ WRITE SHARED

　　(6).在ActiveKey.cpp文件中加入CkeyHook類的實現代碼和鉤子函數代碼：

　　　//鍵盤鉤子處理函數。
　　　extern "C" LRESULT WINAPI KeyboardProc(int nCode,WPARAM wParam,LPARAM
lParam)
　　　{
　　　if( nCode >= 0
　　　{
　　　if( wParam == 0X79 //當按下F10鍵時，激活外掛。
　{
　　//外掛實現代碼。
CPoint newPoint,oldPoint;
　　 GetCursorPos(&oldPoint);
　　 newPoint.x = oldPoint.x+40;
　　 newPoint.y = oldPoint.y+10;
　　 SetCursorPos(newPoint.x,newPoint.y);
　　 mouse_event(MOUSEEVENTF_LEFTDOWN,0,0,0,0);//模擬按下鼠標左鍵。
　　mouse_event(MOUSEEVENTF_LEFTUP,0,0,0,0);//模擬放開鼠標左鍵。
　　keybd_event(VK_SHIFT,MapVirtualKey(VK_SHIFT,0),0,0); //按下SHIFT鍵。
　　keybd_event(0x52,MapVirtualKey(0x52,0),0,0);//按下R鍵。
　　keybd_event(0x52,MapVirtualKey(0x52,0),KEYEVENTF_KEYUP,0);//放開R鍵。
　　keybd_event(VK_SHIFT,MapVirtualKey(VK_SHIFT,0),KEYEVENTF_KEYUP,0);//放開
SHIFT鍵。
　　　　　　SetCursorPos(oldPoint.x,oldPoint.y);
　}
　　　}
　　　return CallNextHookEx(glhHook,nCode,wParam,lParam);
　　　}

　　　CKeyHook::CKeyHook(){}
　　　CKeyHook::~CKeyHook()
　　　{　
　　　if( glhHook
Stop();
　　　}
　　　//安裝全局鉤子。
　　　HHOOK CKeyHook::Start()
　　　{
glhHook = SetWindowsHookEx(WH_KEYBOARD,KeyboardProc,glhInstance,0);//設置鍵
盤鉤子。
return glhHook;
}
　　　//卸載全局鉤子。
　　　BOOL CKeyHook::Stop()
　　　{
　　　BOOL bResult = TRUE;
　if( glhHook
　　　bResult = UnhookWindowsHookEx(glhHook);//卸載鍵盤鉤子。
　　　return bResult;
　　　}

　　(7).修改DllMain函數，代碼如下：

　　　extern "C" int APIENTRY
　　　DllMain(HINSTANCE hInstance, DWORD dwReason, LPVOID lpReserved)
　　　{
//如果使用lpReserved參數則刪除下面這行
UNREFERENCED_PARAMETER(lpReserved);

if (dwReason == DLL_PROCESS_ATTACH)
{
　　TRACE0("NOtePadHOOK.DLL Initializing!\n";
　　 //擴展DLL僅初始化一次
　　if (!AfxInitExtensionModule(ActiveKeyDLL, hInstance))
return 0;
　　new CDynLinkLibrary(ActiveKeyDLL);
　　　　　　//把DLL加入動態MFC類庫中
　　glhInstance = hInstance;
　　//插入保存DLL實例句柄
}
else if (dwReason == DLL_PROCESS_DETACH)
{
　　TRACE0("NotePadHOOK.DLL Terminating!\n";
　　//終止這個鏈接庫前調用它
　　AfxTermExtensionModule(ActiveKeyDLL);
}
return 1;
　　　}

　　(8).編譯項目ActiveKey，生成ActiveKey.DLL和ActiveKey.lib。

　　接著，我們還需要創建一個外殼程序將全局鉤子安裝了Windows系統中，這個外殼
程序編寫步驟如下：

　　(1).創建一個對話框模式的應用程序，項目名為Simulate。

　　(2).在主對話框中加入一個按鈕，使用ClassWizard為其創建CLICK事件。

　　(3).將ActiveKey項目Debug目錄下的ActiveKey.DLL和ActiveKey.lib拷貝到
Simulate項目目錄下。

　　(4).從“工程”菜單中選擇“設置”，彈出Project Setting對話框，選擇Link標
簽，在“對象/庫模塊”中輸入

ActiveKey.lib。

(5).將ActiveKey項目中的ActiveKey.h頭文件加入到Simulate項目中，并在
Stdafx.h中加入#include

ActiveKey.h。

　　(6).在按鈕單擊事件函數輸入如下代碼：

　　　void CSimulateDlg::OnButton1()
　　　{
// TODO: Add your control notification handler code here
if( !bSetup
{
m_hook.Start();//激活全局鉤子。
}
else
{
m_hook.Stop();//撤消全局鉤子。
}
bSetup = !bSetup;

　　　}

　　(7).編譯項目，并運行程序，單擊按鈕激活外掛。

　　(8).啟動畫筆程序，選擇文本工具并將筆的顏色設置為紅色，將鼠標放在任意位置
后，按F10鍵，畫筆程序自動移

動鼠標并寫下一個紅色的大寫R。圖一展示了按F10鍵前的畫筆程序的狀態，圖二展示了
按F10鍵后的畫筆程序的狀態。


圖一：按F10前狀態(001.jpg)


圖二：按F10后狀態(002.jpg)


二、封包技術

　　通過對動作模擬技術的介紹，我們對游戲外掛有了一定程度上的認識，也學會了使
用動作模擬技術來實現簡單的

動作模擬型游戲外掛的制作。這種動作模擬型游戲外掛有一定的局限性，它僅僅只能解
決使用計算機代替人力完成那

么有規律、繁瑣而無聊的游戲動作。但是，隨著網絡游戲的盛行和復雜度的增加，很多
游戲要求將客戶端動作信息及

時反饋回服務器，通過服務器對這些動作信息進行有效認證后，再向客戶端發送下一步
游戲動作信息，這樣動作模擬

技術將失去原有的效應。為了更好地“外掛”這些游戲，游戲外掛程序也進行了升級換
代，它們將以前針對游戲用戶

界面層的模擬推進到數據通訊層，通過封包技術在客戶端擋截游戲服務器發送來的游戲
控制數據包，分析數據包并修

改數據包；同時還需按照游戲數據包結構創建數據包，再模擬客戶端發送給游戲服務
器，這個過程其實就是一個封包

的過程。

　　封包的技術是實現第二類游戲外掛的最核心的技術。封包技術涉及的知識很廣泛，
實現方法也很多，如擋截

WinSock、擋截API函數、擋截消息、VxD驅動程序等。在此我們也不可能在此文中將所
有的封包技術都進行詳細介紹，

故選擇兩種在游戲外掛程序中最常用的兩種方法：擋截WinSock和擋截API函數。

　　1． 擋截WinSock

　　眾所周知，Winsock是Windows網絡編程接口，它工作于Windows應用層，它提供與
底層傳輸協議無關的高層數據傳

輸編程接口。在Windows系統中，使用WinSock接口為應用程序提供基于TCP/IP協議的網
絡訪問服務，這些服務是由

Wsock32.DLL動態鏈接庫提供的函數庫來完成的。

　　由上說明可知，任何Windows基于TCP/IP的應用程序都必須通過WinSock接口訪問網
絡，當然網絡游戲程序也不例

外。由此我們可以想象一下，如果我們可以控制WinSock接口的話，那么控制游戲客戶
端程序與服務器之間的數據包也

將易如反掌。按著這個思路，下面的工作就是如何完成控制WinSock接口了。由上面的
介紹可知，WinSock接口其實是

由一個動態鏈接庫提供的一系列函數，由這些函數實現對網絡的訪問。有了這層的認
識，問題就好辦多了，我們可以

制作一個類似的動態鏈接庫來代替原WinSock接口庫，在其中實現WinSock32.dll中實現
的所有函數，并保證所有函數

的參數個數和順序、返回值類型都應與原庫相同。在這個自制作的動態庫中，可以對我
們感興趣的函數（如發送、接

收等函數）進行擋截，放入外掛控制代碼，最后還繼續調用原WinSock庫中提供的相應
功能函數，這樣就可以實現對網

絡數據包的擋截、修改和發送等封包功能。

　　下面重點介紹創建擋截WinSock外掛程序的基本步驟：

　　(1) 創建DLL項目，選擇Win32 Dynamic-Link Library，再選擇An empty DLL
project。

　　(2) 新建文件wsock32.h，按如下步驟輸入代碼：

　?、?加入相關變量聲明：

　　　HMODULE hModule=NULL; //模塊句柄
　　　char buffer[1000]; //緩沖區
　　　FARPROC proc; //函數入口指針

　?、?定義指向原WinSock庫中的所有函數地址的指針變量，因WinSock庫共提供70多
個函數，限于篇幅，在此就只選

擇幾個常用的函數列出，有關這些庫函數的說明可參考MSDN相關內容。

　　　//定義指向原WinSock庫函數地址的指針變量。
　　　SOCKET (__stdcall *socket1)(int ,int,int);//創建Sock函數。
　　　int　(__stdcall *WSAStartup1)(WORD,LPWSADATA);//初始化WinSock庫函數。
　　　int　(__stdcall *WSACleanup1)();//清除WinSock庫函數。
　　　int (__stdcall *recv1)(SOCKET ,char FAR * ,int ,int ;//接收數據函數。
　　　int (__stdcall *send1)(SOCKET ,const char * ,int ,int);//發送數據函
數。
　　　int (__stdcall *connect1)(SOCKET,const struct sockaddr *,int);//創建連
接函數。
　　　int (__stdcall *bind1)(SOCKET ,const struct sockaddr *,int ;//綁定函
數。
　　　......其它函數地址指針的定義略。

　　(3) 新建wsock32.cpp文件，按如下步驟輸入代碼：

　?、?加入相關頭文件聲明：

　　　#include <windows.h>
　　　#include <stdio.h>
　　　#include "wsock32.h"

　　② 添加DllMain函數，在此函數中首先需要加載原WinSock庫，并獲取此庫中所有
函數的地址。代碼如下：

　　　BOOL WINAPI DllMain (HANDLE hInst,ULONG ul_reason_for_call,LPVOID
lpReserved)
　　　{
　　　　if(hModule==NULL){
　　　　　//加載原WinSock庫，原WinSock庫已復制為wsock32.001。
　　　hModule=LoadLibrary("wsock32.001";
　　}
　　　　else return 1;
//獲取原WinSock庫中的所有函數的地址并保存，下面僅列出部分代碼。
if(hModule!=NULL){
　　　　　//獲取原WinSock庫初始化函數的地址，并保存到WSAStartup1中。
proc=GetProcAddress(hModule,"WSAStartup";
　　　WSAStartup1=(int (_stdcall *)(WORD,LPWSADATA))proc;
　　　　　//獲取原WinSock庫消除函數的地址，并保存到WSACleanup1中。
　　　　proc=GetProcAddress(hModule i,"WSACleanup";
　　　　WSACleanup1=(int (_stdcall *)())proc;
　　　　　//獲取原創建Sock函數的地址，并保存到socket1中。
　　　　proc=GetProcAddress(hModule,"socket";
　　　　　socket1=(SOCKET (_stdcall *)(int ,int,int))proc;
　　　　　//獲取原創建連接函數的地址，并保存到connect1中。
　　　　　proc=GetProcAddress(hModule,"connect";
　　　　　connect1=(int (_stdcall *)(SOCKET ,const struct sockaddr
*,int )proc;
　　　　　//獲取原發送函數的地址，并保存到send1中。
　　　　　proc=GetProcAddress(hModule,"send";
　　　　　send1=(int (_stdcall *)(SOCKET ,const char * ,int ,int )proc;
　　　　　//獲取原接收函數的地址，并保存到recv1中。
　　　　　proc=GetProcAddress(hModule,"recv";
　　　　　recv1=(int (_stdcall *)(SOCKET ,char FAR * ,int ,int )proc;
　　　　　......其它獲取函數地址代碼略。
　　　}
　　　else return 0;
　　　return 1;
}

　?、?定義庫輸出函數，在此可以對我們感興趣的函數中添加外掛控制代碼，在所有
的輸出函數的最后一步都調用原

WinSock庫的同名函數。部分輸出函數定義代碼如下：

//庫輸出函數定義。
//WinSock初始化函數。
　　　　int PASCAL FAR WSAStartup(WORD wVersionRequired, LPWSADATA
lpWSAData)
　　　　{
　　　　　//調用原WinSock庫初始化函數
　　　　　return WSAStartup1(wVersionRequired,lpWSAData);
　　　　}
　　　　//WinSock結束清除函數。
　　　　int PASCAL FAR WSACleanup(void)
　　　　{
　　　　　return WSACleanup1(); //調用原WinSock庫結束清除函數。
　　　　}
　　　　//創建Socket函數。
　　　　SOCKET PASCAL FAR socket (int af, int type, int protocol)
　　　　{
　　　　　//調用原WinSock庫創建Socket函數。
　　　　　return socket1(af,type,protocol);
　　　　}
　　　　//發送數據包函數
　　　　int PASCAL FAR send(SOCKET s,const char * buf,int len,int flags)
　　　　{
　　　//在此可以對發送的緩沖buf的內容進行修改，以實現欺騙服務器。
　　　外掛代碼......
　　　//調用原WinSock庫發送數據包函數。
　　　　　return send1(s,buf,len,flags);
　　　　}
//接收數據包函數。
　　　　int PASCAL FAR recv(SOCKET s, char FAR * buf, int len, int flags)
　　　　{
　　　//在此可以擋截到服務器端發送到客戶端的數據包，先將其保存到buffer中。
　　　strcpy(buffer,buf);
　　　//對buffer數據包數據進行分析后，對其按照玩家的指令進行相關修改。
　　　外掛代碼......
　　　//最后調用原WinSock中的接收數據包函數。
　　　　　return recv1(s, buffer, len, flags);
　　　　　}
　　　　.......其它函數定義代碼略。

　　(4)、新建wsock32.def配置文件，在其中加入所有庫輸出函數的聲明，部分聲明代
碼如下：

　　　LIBRARY "wsock32"
　　　EXPORTS
　　　　WSAStartup @1
　　　WSACleanup @2
　　　　recv @3
　　　　send @4
　　　　socket @5
　　　bind @6
　　　closesocket @7
　　　connect @8

　　　......其它輸出函數聲明代碼略。


(5)、從“工程”菜單中選擇“設置”，彈出Project Setting對話框，選擇Link標
簽，在“對象/庫模塊”中輸入

Ws2_32.lib。

　　(6)、編譯項目，產生wsock32.dll庫文件。

　　(7)、將系統目錄下原wsock32.dll庫文件拷貝到被外掛程序的目錄下，并將其改名
為wsock.001；再將上面產生的

wsock32.dll文件同樣拷貝到被外掛程序的目錄下。重新啟動游戲程序，此時游戲程序
將先加載我們自己制作的

wsock32.dll文件，再通過該庫文件間接調用原WinSock接口函數來實現訪問網絡。上面
我們僅僅介紹了擋載WinSock的

實現過程，至于如何加入外掛控制代碼，還需要外掛開發人員對游戲數據包結構、內
容、加密算法等方面的仔細分析

（這個過程將是一個艱辛的過程），再生成外掛控制代碼。關于數據包分析方法和技
巧，不是本文講解的范圍，如您

感興趣可以到網上查查相關資料。

2.擋截API

　　擋截API技術與擋截WinSock技術在原理上很相似，但是前者比后者提供了更強大的
功能。擋截WinSock僅只能擋截

WinSock接口函數，而擋截API可以實現對應用程序調用的包括WinSock API函數在內的
所有API函數的擋截。如果您的

外掛程序僅打算對WinSock的函數進行擋截的話，您可以只選擇使用上小節介紹的擋截
WinSock技術。隨著大量外掛程

序在功能上的擴展，它們不僅僅只提供對數據包的擋截，而且還對游戲程序中使用的
Windows API或其它DLL庫函數的

擋截，以使外掛的功能更加強大。例如，可以通過擋截相關API函數以實現對非中文游
戲的漢化功能，有了這個利器，

可以使您的外掛程序無所不能了。

　　擋截API技術的原理核心也是使用我們自己的函數來替換掉Windows或其它DLL庫提
供的函數，有點同擋截WinSock

原理相似吧。但是，其實現過程卻比擋截WinSock要復雜的多，如像實現擋截Winsock過
程一樣，將應用程序調用的所

有的庫文件都寫一個模擬庫有點不大可能，就只說Windows API就有上千個，還有很多
庫提供的函數結構并未公開，所

以寫一個模擬庫代替的方式不大現實，故我們必須另謀良方。

　　擋截API的最終目標是使用自定義的函數代替原函數。那么，我們首先應該知道應
用程序何時、何地、用何種方式

調用原函數。接下來，需要將應用程序中調用該原函數的指令代碼進行修改，使它將調
用函數的指針指向我們自己定

義的函數地址。這樣，外掛程序才能完全控制應用程序調用的API函數，至于在其中如
何加入外掛代碼，就應需求而異

了。最后還有一個重要的問題要解決，如何將我們自定義的用來代替原API函數的函數
代碼注入被外掛游戲程序進行地

址空間中，因在Windows系統中應用程序僅只能訪問到本進程地址空間內的代碼和數
據。

　　綜上所述，要實現擋截API函數，至少需要解決如下三個問題：

　　● 如何定位游戲程序中調用API函數指令代碼？

　　● 如何修改游戲程序中調用API函數指令代碼？

　　● 如何將外掛代碼（自定義的替換函數代碼）注入到游戲程序進程地址空間？

　　下面我們逐一介紹這幾個問題的解決方法：

　　(1) 、定位調用API函數指令代碼

　　我們知道，在匯編語言中使用CALL指令來調用函數或過程的，它是通過指令參數中
的函數地址而定位到相應的函

數代碼的。那么，我們如果能尋找到程序代碼中所有調用被擋截的API函數的CALL指令
的話，就可以將該指令中的函數

地址參數修改為替代函數的地址。雖然這是一個可行的方案，但是實現起來會很繁瑣，
也不穩健。慶幸的是，Windows

系統中所使用的可執行文件（PE格式）采用了輸入地址表機制，將所有在程序調用的
API函數的地址信息存放在輸入地

址表中，而在程序代碼CALL指令中使用的地址不是API函數的地址，而是輸入地址表中
該API函數的地址項，如想使程

序代碼中調用的API函數被代替掉，只用將輸入地址表中該API函數的地址項內容修改即
可。具體理解輸入地址表運行

機制，還需要了解一下PE格式文件結構，其中圖三列出了PE格式文件的大致結構。


　　圖三：PE格式大致結構圖(003.jpg)

　　PE格式文件一開始是一段DOS程序，當你的程序在不支持Windows的環境中運行時，
它就會顯示“This Program

cannot be run in DOS mode”這樣的警告語句，接著這個DOS文件頭，就開始真正的PE
文件內容了。首先是一段稱為

“IMAGE_NT_HEADER”的數據，其中是許多關于整個PE文件的消息，在這段數據的尾端
是一個稱為Data Directory的數

據表，通過它能快速定位一些PE文件中段（section）的地址。在這段數據之后，則是
一個“IMAGE_SECTION_HEADER”

的列表，其中的每一項都詳細描述了后面一個段的相關信息。接著它就是PE文件中最主
要的段數據了，執行代碼、數

據和資源等等信息就分別存放在這些段中。

　　在所有的這些段里，有一個被稱為“.idata”的段（輸入數據段）值得我們去注
意，該段中包含著一些被稱為輸

入地址表（IAT，Import Address Table）的數據列表。每個用隱式方式加載的API所在
的DLL都有一個IAT與之對應，

同時一個API的地址也與IAT中一項相對應。當一個應用程序加載到內存中后，針對每一
個API函數調用，相應的產生如

下的匯編指令：

　　JMP DWORD PTR [XXXXXXXX]

　　或

　　CALL DWORD PTR [XXXXXXXX]

　　其中，[XXXXXXXX]表示指向了輸入地址表中一個項，其內容是一個DWORD，而正是
這個DWORD才是API函數在內存中

的真正地址。因此我們要想攔截一個API的調用，只要簡單的把那個DWORD改為我們自己
的函數的地址。

　　(2) 、修改調用API函數代碼

　　從上面對PE文件格式的分析可知，修改調用API函數代碼其實是修改被調用API函數
在輸入地址表中IAT項內容。由

于Windows系統對應用程序指令代碼地址空間的嚴密保護機制，使得修改程序指令代碼
非常困難，以至于許多高手為之

編寫VxD進入Ring0。在這里，我為大家介紹一種較為方便的方法修改進程內存，它僅需
要調用幾個Windows核心API函

數，下面我首先來學會一下這幾個API函數：

　　　DWORD VirtualQuery(
　　　LPCVOID lpAddress, // address of region
　　　PMEMORY_BASIC_INFORMATION lpBuffer, // information buffer
　　　DWORD dwLength // size of buffer
　　　);

　　該函數用于查詢關于本進程內虛擬地址頁的信息。其中，lpAddress表示被查詢頁
的區域地址；lpBuffer表示用于

保存查詢頁信息的緩沖；dwLength表示緩沖區大小。返回值為實際緩沖大小。

　　　BOOL VirtualProtect(
　　　LPVOID lpAddress, // region of committed pages
　　　SIZE_T dwSize, // size of the region
　　　DWORD flNewProtect, // desired access protection
　　　PDWORD lpflOldProtect // old protection
　　　);

　　該函數用于改變本進程內虛擬地址頁的保護屬性。其中，lpAddress表示被改變保
護屬性頁區域地址；dwSize表示

頁區域大小；flNewProtect表示新的保護屬性，可取值為PAGE_READONLY、
PAGE_READWRITE、PAGE_EXECUTE等；

lpflOldProtect表示用于保存改變前的保護屬性。如果函數調用成功返回“T”，否則
返回“F”。

　　有了這兩個API函數，我們就可以隨心所欲的修改進程內存了。首先，調用
VirtualQuery()函數查詢被修改內存的

頁信息，再根據此信息調用VirtualProtect()函數改變這些頁的保護屬性為
PAGE_READWRITE，有了這個權限您就可以

任意修改進程內存數據了。下面一段代碼演示了如何將進程虛擬地址為0x0040106c處的
字節清零。

　　　BYTE* pData = 0x0040106c;
　　　MEMORY_BASIC_INFORMATION mbi_thunk;
　　　//查詢頁信息。
　　　VirtualQuery(pData, &mbi_thunk, sizeof(MEMORY_BASIC_INFORMATION));
　　　//改變頁保護屬性為讀寫。
　　　VirtualProtect(mbi_thunk.BaseAddress,mbi_thunk.RegionSize,
　　　PAGE_READWRITE, &mbi_thunk.Protect);
　　　//清零。
　　　*pData = 0x00;
　　　//恢復頁的原保護屬性。
　　　DWORD dwOldProtect;
　　　VirtualProtect(mbi_thunk.BaseAddress,mbi_thunk.RegionSize,
　　　mbi_thunk.Protect, &dwOldProtect);
(3)、注入外掛代碼進入被掛游戲進程中

　　完成了定位和修改程序中調用API函數代碼后，我們就可以隨意設計自定義的API函
數的替代函數了。做完這一切

后，還需要將這些代碼注入到被外掛游戲程序進程內存空間中，不然游戲進程根本不會
訪問到替代函數代碼。注入方

法有很多，如利用全局鉤子注入、利用注冊表注入擋截User32庫中的API函數、利用
CreateRemoteThread注入（僅限于

NT/2000）、利用BHO注入等。因為我們在動作模擬技術一節已經接觸過全局鉤子，我相
信聰明的讀者已經完全掌握了

全局鉤子的制作過程，所以我們在后面的實例中，將繼續利用這個全局鉤子。至于其它
幾種注入方法，如果感興趣可

參閱MSDN有關內容。

　　有了以上理論基礎，我們下面就開始制作一個擋截MessageBoxA和recv函數的實
例，在開發游戲外掛程序 時，可

以此實例為框架，加入相應的替代函數和處理代碼即可。此實例的開發過程如下：

　　(1) 打開前面創建的ActiveKey項目。

　　(2) 在ActiveKey.h文件中加入HOOKAPI結構，此結構用來存儲被擋截API函數名
稱、原API函數地址和替代函數地

址。

　　　typedef struct tag_HOOKAPI
　　　{
　　　LPCSTR szFunc;//被HOOK的API函數名稱。
　　　PROC pNewProc;//替代函數地址。
　　　PROC pOldProc;//原API函數地址。
　　　}HOOKAPI, *LPHOOKAPI;

　　(3) 打開ActiveKey.cpp文件，首先加入一個函數，用于定位輸入庫在輸入數據段
中的IAT地址。代碼如下：

　　　extern "C" __declspec(dllexport)PIMAGE_IMPORT_DESCRIPTOR
　　　LocationIAT(HMODULE hModule, LPCSTR szImportMod)
　　　//其中，hModule為進程模塊句柄；szImportMod為輸入庫名稱。
　　　{
　　　//檢查是否為DOS程序，如是返回NULL，因DOS程序沒有IAT。
　　　PIMAGE_DOS_HEADER pDOSHeader = (PIMAGE_DOS_HEADER) hModule;
　　　if(pDOSHeader->e_magic != IMAGE_DOS_SIGNATURE) return NULL;
　　　　//檢查是否為NT標志，否則返回NULL。
　　　　PIMAGE_NT_HEADERS pNTHeader = (PIMAGE_NT_HEADERS)((DWORD)pDOSHeader+
(DWORD)(pDOSHeader-

>e_lfanew));
　　　　if(pNTHeader->Signature != IMAGE_NT_SIGNATURE) return NULL;
　　　　//沒有IAT表則返回NULL。
　　　　
if(pNTHeader->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].Vir
tualAddress == 0)

return NULL;
　　　　//定位第一個IAT位置。
　　　　PIMAGE_IMPORT_DESCRIPTOR pImportDesc =
(PIMAGE_IMPORT_DESCRIPTOR)((DWORD)pDOSHeader + (DWORD)

(pNTHeader->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].Virtu
alAddress));
　　　　//根據輸入庫名稱循環檢查所有的IAT，如匹配則返回該IAT地址，否則檢測下
一個IAT。
　　　　while (pImportDesc->Name)
　　　　{
　　　　　//獲取該IAT描述的輸入庫名稱。
　　　PSTR szCurrMod = (PSTR)((DWORD)pDOSHeader +
(DWORD)(pImportDesc->Name));
　　　if (stricmp(szCurrMod, szImportMod) == 0) break;
　　　pImportDesc++;
　　　　}
　　　　if(pImportDesc->Name == NULL) return NULL;
　　　return pImportDesc;
　　　}

　　再加入一個函數，用來定位被擋截API函數的IAT項并修改其內容為替代函數地址。
代碼如下：

　　　extern "C" __declspec(dllexport)
　　　HookAPIByName( HMODULE hModule, LPCSTR szImportMod, LPHOOKAPI
pHookApi)
　　　//其中，hModule為進程模塊句柄；szImportMod為輸入庫名稱；pHookAPI為
HOOKAPI結構指針。
　　　{
　　　　//定位szImportMod輸入庫在輸入數據段中的IAT地址。
　　　　PIMAGE_IMPORT_DESCRIPTOR pImportDesc = LocationIAT(hModule,
szImportMod);
　　if (pImportDesc == NULL) return FALSE;
　　　　//第一個Thunk地址。
　　　　PIMAGE_THUNK_DATA pOrigThunk = (PIMAGE_THUNK_DATA)((DWORD)hModule +
(DWORD)(pImportDesc-

>OriginalFirstThunk));
　　 //第一個IAT項的Thunk地址。
　　　　PIMAGE_THUNK_DATA pRealThunk = (PIMAGE_THUNK_DATA)((DWORD)hModule +
(DWORD)(pImportDesc-

>FirstThunk));
　　　　//循環查找被截API函數的IAT項，并使用替代函數地址修改其值。
　　　while(pOrigThunk->u1.Function)
{
　//檢測此Thunk是否為IAT項。
if((pOrigThunk->u1.Ordinal & IMAGE_ORDINAL_FLAG) != IMAGE_ORDINAL_FLAG)
{
　 //獲取此IAT項所描述的函數名稱。
　PIMAGE_IMPORT_BY_NAME pByName
=(PIMAGE_IMPORT_BY_NAME)((DWORD)hModule+(DWORD)(pOrigThunk-

>u1.AddressOfData));
　if(pByName->Name[0] == \0) return FALSE;
　　//檢測是否為擋截函數。
if(strcmpi(pHookApi->szFunc, (char*)pByName->Name) == 0)
　 {
　　　　　　　MEMORY_BASIC_INFORMATION mbi_thunk;
　　　　　　　//查詢修改頁的信息。
　　　　　　　VirtualQuery(pRealThunk, &mbi_thunk,
sizeof(MEMORY_BASIC_INFORMATION));
//改變修改頁保護屬性為PAGE_READWRITE。
　　　　　　　VirtualProtect(mbi_thunk.BaseAddress,mbi_thunk.RegionSize,
PAGE_READWRITE,

&mbi_thunk.Protect);
//保存原來的API函數地址。
　　　 　　if(pHookApi->pOldProc == NULL)
pHookApi->pOldProc = (PROC)pRealThunk->u1.Function;
　 //修改API函數IAT項內容為替代函數地址。
pRealThunk->u1.Function = (PDWORD)pHookApi->pNewProc;
//恢復修改頁保護屬性。
DWORD dwOldProtect;
　　　　　　　VirtualProtect(mbi_thunk.BaseAddress, mbi_thunk.RegionSize,
mbi_thunk.Protect,

&dwOldProtect);
　　　　　 }
}
　 pOrigThunk++;
　 pRealThunk++;
}
　　SetLastError(ERROR_SUCCESS); //設置錯誤為ERROR_SUCCESS，表示成功。
　　return TRUE;
　　　}

　　(4) 定義替代函數，此實例中只給MessageBoxA和recv兩個API進行擋截。代碼如下
：

　　　static int WINAPI MessageBoxA1 (HWND hWnd , LPCTSTR lpText, LPCTSTR
lpCaption, UINT uType)
　　　{
　　　　//過濾掉原MessageBoxA的正文和標題內容，只顯示如下內容。
return MessageBox(hWnd, "Hook API OK!", "Hook API", uType);
　　　}
　　　static int WINAPI recv1(SOCKET s, char FAR *buf, int len, int flags
　　　{
　　　//此處可以擋截游戲服務器發送來的網絡數據包，可以加入分析和處理數據代
碼。
　　　return recv(s,buf,len,flags);
　　　}

　　(5) 在KeyboardProc函數中加入激活擋截API代碼，在if( wParam == 0X79 語句
中后面加入如下else if語句：

　　　......
　　　//當激活F11鍵時，啟動擋截API函數功能。
　　　else if( wParam == 0x7A
　　　{
　　　　HOOKAPI api[2];
api[0].szFunc ="MessageBoxA";//設置被擋截函數的名稱。
api[0].pNewProc = (PROC)MessageBoxA1;//設置替代函數的地址。
api[1].szFunc ="recv";//設置被擋截函數的名稱。
api[1].pNewProc = (PROC)recv1; //設置替代函數的地址。
//設置擋截User32.dll庫中的MessageBoxA函數。
HookAPIByName(GetModuleHandle(NULL),"User32.dll",&api[0]);
//設置擋截Wsock32.dll庫中的recv函數。
HookAPIByName(GetModuleHandle(NULL),"Wsock32.dll",&api[1]);
　　　}
　　　......


(6) 在ActiveKey.cpp中加入頭文件聲明 "#include "wsock32.h"。 從“工程”菜
單中選擇“設置”，彈出

Project Setting對話框，選擇Link標簽，在“對象/庫模塊”中輸入Ws2_32..lib。

　　(7) 重新編譯ActiveKey項目，產生ActiveKey.dll文件，將其拷貝到Simulate.exe
目錄下。運行Simulate.exe并

啟動全局鉤子。激活任意應用程序，按F11鍵后，運行此程序中可能調用MessageBoxA函
數的操作，看看信息框是不是

有所變化。同樣，如此程序正在接收網絡數據包，就可以實現封包功能了。

　　三、結束語

　　除了以上介紹的幾種游戲外掛程序常用的技術以外，在一些外掛程序中還使用了游
戲數據修改技術、游戲加速技術等。

總結

以上是生活随笔為你收集整理的游戏外挂的基本编写原理的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。