内容来源于：易道云信息技术研究院VIP课

上一个内容：文字资源读取类的C++还原-CSDN博客

码云地址（master分支）：https://gitee.com/dye_your_fingers/sro_-ex.git

码云版本号：878db7708de09b448010ef54526fe615bdc4a994

代码下载地址，在 SRO_EX 目录下，文件名为：SRO_Ex-游戏公告功能的逆向分析与测试.zip

链接：https://pan.baidu.com/s/1W-JpUcGOWbSJmMdmtMzYZg

提取码：q9n5

--来自百度网盘超级会员V4的分享

HOOK引擎，文件名为：黑兔sdk.zip

链接：https://pan.baidu.com/s/1IB-Zs6hi3yU8LC2f-8hIEw

提取码：78h8

--来自百度网盘超级会员V4的分享

以 文字资源读取类的C++还原-CSDN博客它的代码为基础进行修改

游戏中的公告弹框：接下来就去找它，然后封装到c++类里面

首先它弹框的时候肯定会读取字符串，所以通过 Cheat Engine 搜索 中间有障碍物 这个关键字，然后就找到了四个地址：

为了确定哪一个是，对它们的值进行修改，它显示的内容对应第四个地址

然后找出是什么访问了它

然后有这么些

然后记入详细信息

然后打开x96dbg，然后在71DE07位置下一个条件断点，如下图条件

然后回到游戏，再次触发

然后ctrl + f9  再按f8，来到上一层

然后再来到上一层

这里游戏掉线了，导致eax的值变了，下图是重新登陆之后的值 

继续来到上层，在882CB8位置打断点，研究一下

它停下来的，并且没有其它位置调用，然后下图红框位置的值改成14B2F088

然后就变成了 有障碍物。。。

游戏中也正常显示，现在这里有两种可能性，一种是eax这个函数是用来读取数据或者组装数据的，一种是显示数据

这里游戏又断开连接了，下方是从新连接之后的

把eax这个函数开头写成ret 4，看看是否还会正常显示

 它可以正常显示，但显示的内容，好像不一样

把eax改的开头恢复，就会显示通过Cheat Engine改的数据，所以eax这个函数是用来处理字符串的，所以eax函数只是显示功能中的一环

然后调用eax函数的函数很大，这时就很麻烦，然后理一下思路，首先eax函数是处理数据，然后它下面就肯定有显示 或者 管理 或其它的，正常来讲这么复杂的东西，一定会封装成一个函数，就是在游戏里要显示公告，每次都要写处理数据显示公告的代码，很显然不可能，所以它一定会封装成函数，通过给函数传参数来显示公告，

所以接下来要看eax在什么地方来的：

熟悉的代码，上一个内容里，对它进行了还原（sro_string结构体）

通过下方也可以看出是，上一个内容中还原的sro_string结构体，并且它是传递进来的

然后也就是说 882C80函数，完整了，字符串的处理与显示弹框功能，也就是上面说的那个封装

然后看一下它的上一层是怎样调用的

下图红框的返回，是ret 8，所以它有两个参数，也就是push 1，push 23，是它的参数，然后push eax是882C80函数的参数，也就是我们的sro_string结构体，98F3A0函数的返回值是一个类对象，因为调用完它紧接着是mov ecx, eax，在调用函数之前给ecx复制是thiscall，也就是调用一个类函数的写法，add ecx, 370这种操作一般是继承的操作

然后再来到它的上一层，它通过1256E3C位置得到了一个类对象，然后push eax然后调用848580函数显示弹框，

然后再把848580函数开头，改成 ret 4看看游戏中是否还会显示弹框，效果就是显示不出弹框了，所以就找到了游戏中显示弹框的函数

通过模仿调用 0x848580 函数成功显示出公告弹框，使用通过获取游戏中的sro_string结构

使用自己创建的sro_string结构

GameEx.cpp文件的修改，修改了AutoHelper函数，AutoHelper函数是用来拦截自动药水设定按钮的

#include "pch.h"
#include "GameEx.h"
#include "htdHook2.h"
#include "GameProtect.h"
#include "extern_all.h"extern int client;
extern GameProtect* _protect;
extern unsigned _stdcall GetFunctionAddress(int index);
htd::hook::htdHook2 hooker;#include <windows.h>
#include<stdio.h>
#include<TlHelp32.h>/**声明要拦截的函数地址
*/
auto h = GetModuleHandle(NULL);
DWORD address = (DWORD)h;
DWORD addRExit = address + 0x88C77E;size_t 被拦截修改的函数的地址 = (size_t)addRExit;LONG NTAPI 异常回调(struct _EXCEPTION_POINTERS* Excep)
{printf("异常回调1\n");/**判断出异常的地方是否为 我们修改的地方*/if ((size_t)Excep->ExceptionRecord->ExceptionAddress == 被拦截修改的函数的地址) {//const char* szStr = "nei Rong Bei Xiu Gai";//*(DWORD*)(Excep->ContextRecord->Esp + 0x8) = (DWORD)szStr;//szStr = "biao Ti Bei Xiu Gai";//*(DWORD*)(Excep->ContextRecord->Esp + 0xC) = (DWORD)szStr;AfxMessageBox(L"游戏退出！");DWORD* _esp = (DWORD*)Excep->ContextRecord->Esp;DWORD _val = _esp[1];if (_val == 0x1035D0C) {AfxMessageBox(L"游戏退出2！");auto hMuls = OpenSemaphore(SEMAPHORE_ALL_ACCESS, FALSE, L"system_seamp");if (hMuls) ReleaseSemaphore(hMuls, 1, 0);ExitProcess(0);}Excep->ContextRecord->Eip = *(DWORD *) Excep->ContextRecord->Esp;Excep->ContextRecord->Esp += 8;return EXCEPTION_CONTINUE_EXECUTION;}else {/**防止被其它地方修改了函数地址*/Excep->ContextRecord->Dr0 = 被拦截修改的函数的地址;Excep->ContextRecord->Dr7 = 0x405;return EXCEPTION_CONTINUE_SEARCH;}}VOID 设置线程的dr寄存器(HANDLE 线程句柄) {printf("设置线程的dr寄存器1\n");CONTEXT ctx;ctx.ContextFlags = CONTEXT_ALL;GetThreadContext(线程句柄, &ctx);ctx.Dr0 = 被拦截修改的函数的地址;ctx.Dr7 = 0x1;SetThreadContext(线程句柄, &ctx);printf("设置线程的dr寄存器2\n");
}VOID 使用dr寄存器拦截修改函数() {printf("使用dr寄存器拦截修改函数1\n");HANDLE 线程快照句柄 = CreateToolhelp32Snapshot(TH32CS_SNAPTHREAD, GetCurrentProcessId());if (线程快照句柄 == INVALID_HANDLE_VALUE) {printf("线程快照创建失败");return;}THREADENTRY32* 线程结构体 = new THREADENTRY32;线程结构体->dwSize = sizeof(THREADENTRY32);/**Thread32First获取快照中第一个线程返回值bool类型*/// Thread32First(线程快照句柄, &线程结构体);HANDLE 线程句柄 = NULL;printf("使用dr寄存器拦截修改函数2\n");/**Thread32Next获取线程快照中下一个线程*/while (Thread32Next(线程快照句柄, 线程结构体)){if (线程结构体->th32OwnerProcessID == GetCurrentProcessId()) {printf("使用dr寄存器拦截修改函数3\n");线程句柄 = OpenThread(THREAD_ALL_ACCESS, FALSE, 线程结构体->th32ThreadID);printf("使用dr寄存器拦截修改函数4\n");设置线程的dr寄存器(线程句柄);printf("使用dr寄存器拦截修改函数5\n");CloseHandle(线程句柄);}}
}bool AutoHelper(HOOKREFS2) {// 使用通过获取游戏中的sro_string结构//auto read = _pgamebase->SRO_Res->ReadTitle((wchar_t*)0xEBC968);// 使用自己创建的sro_string结构sro_string str;str.Ptitle = L"您还没有开通VIP服务，只能使用普通药水辅助功能，开通VIP可以使用更高级的自动化助手功能！";str.lenth = 47;str.size = 48 * 2 + 1;auto read = &str;unsigned* _ecx = (unsigned*)0x1256E3C;unsigned readEcx = _ecx[0];unsigned _call = 0x848580;_asm {mov ecx, readEcxpush readcall _call}bool vip = false;if (vip)return false;else return true;
}bool ExitGame(HOOKREFS2) {auto read = _pgamebase->SRO_Res->ReadTitle((wchar_t*)0xEBC968);CString txt;txt.Format(L"------ %s", read->wcstr());read->Ptitle = L"自动助手 [VIP] (%s)";// AfxMessageBox(txt);// if (_protect->CheckDebugByNT())AfxMessageBox(L"检测到了DEBUG程序的存在");// AfxMessageBox(L"游戏退出2222！");DWORD* _esp = (DWORD*)_ESP;DWORD _val = _esp[1];if (_val == 0x1035D0C) {// AfxMessageBox(L"游戏退出！");auto hMuls = OpenSemaphore(SEMAPHORE_ALL_ACCESS, FALSE, L"system_seamp");if (hMuls) ReleaseSemaphore(hMuls, 1, 0);client--;ExitProcess(0);}return true;
}GameEx::GameEx()
{// AfxMessageBox(L"注册hook！");// auto h = GetModuleHandle(NULL);// DWORD address = (DWORD)h;// DWORD* addRExit = (DWORD*)(address + 0x88C77E);/**addRExit = 0;*/// CString txt;// txt.Format(L"addRExit[0]D:%d，addRExit[0]X:%X，addRExit:%X", addRExit[0], addRExit[0], addRExit);// AfxMessageBox(txt);// hooker.SetHook((LPVOID)addRExit, 3, ExitGame);//AddVectoredExceptionHandler(1, 异常回调);//设置线程的dr寄存器(GetCurrentThread());
}void GameEx::InitInterface()
{unsigned addr_cps =  GetFunctionAddress(0);hooker.SetHook((LPVOID)(addr_cps + 0x30 - 2), 0x3, ExitGame);hooker.SetHook((LPVOID)(addr_cps + 0x51 - 2), 0x3, ExitGame);unsigned addr_autohelper = GetFunctionAddress(1);hooker.SetHook((LPVOID)(addr_autohelper), 0x03, AutoHelper, (LPVOID)(addr_autohelper + 0x90));
}