初步了解tgs插件的写法

$ _, `8 }  A7 j$ o8 G
; d0 f" p* w6 P4 o/ I% p

编写需求条件:
3 m: j4 ^) g/ Q2 }+ F% ^/ `  @1 g
; Q# i9 s) I+ l& u    od工具(看雪论坛有下), 程序编写工具比如(delphi, vc++)


3 N- c( y4 }" P! N0 u7 J8 S* `5 j编写过程

1 ?$ l; b# ^7 z: S3 T# \8 u1 W2 m* f第1步:
' M) o! n3 O' |4 y& U
6 f+ q8 L3 x5 ~; R. C    用编程工具写一个注入程序, 可以dll注入到tgs1000.exe 里面

4 a) M! Q. e5 l! F
2 K" G$ i" r0 `: M3 }第2步:

    打开od工具, 调用菜单打开功能 读入tgs1000.exe F9运行程序

    启动客户端进入游戏(后面要用客户端)

    调用 菜单->查看->可执行程序 看到列表里面 双击路径是tgs1000.exe

    在出现的界面上右键 菜单->查找->所有参考文本字符串  od 会扫描程序
- I- w! Z$ d2 i( g* K) I/ ?% @' U
* W% G+ R* X+ e$ x) u8 \+ k    提取出参考字符串, 然后右键 查找文本 输入 <system> 字符, 这时可以看到
2 t3 m) H9 [. x2 _7 Q# G
    od停在

    0052A0C7 mov     edx, 0052FDD0   ASCII "<SYSTEM>: "

: p/ j; }6 [6 ^: ^% m6 V5 S, `, p    双击这一行 再次看到od定位在汇编代码显示页面


: f/ C0 m) C+ }        0052A0C7   .  BA D0FD5200   mov     edx, 0052FDD0                    ;  ASCII "<SYSTEM>: "
        0052A0CC   .  E8 C7A5EDFF   call    00404698                                
1 `  q' A8 ?# W: F0 b7 {( W! |        0052A0D1   .  8B95 ACDEFFFF mov     edx, dword ptr [ebp-2154]        ;  赋值edx 为中间屏幕显示的内容
        0052A0D7   .  B9 03000000   mov     ecx, 3                             ;  这里是色彩的选项 后面会调用
        0052A0DC   .  A1 70855600   mov     eax, dword ptr [568570]             ;  这个是UserList地址 参考侠中道代码可以知道        
        0052A0E1   .  E8 D21A0100   call    0053BBB8                         ;  屏幕中间喊话的call 0053BBB8

    定位在 0052A0C7这一行 在这里双击下断点, 在客户端用GM喊# ?????
   
    这时od会被中断, 断在刚才下的断点处, 这时按下F8

    到call 0053BBB8 部分 按F7 进入call里面 这里是根据ecx值 取得喊话色彩
; c# z* G8 f* }* K
    同时发送数据给客户端
( F, y* [) G% T% P' t
   
0 q  r0 }  `3 c+ j& U9 F3 [+ H* `: V    进入call之后 一路F8 到下面这里 这里的 eax 就是刚才ecx值 在上面部分已经交换过
6 E. Y- F0 H, A, q0 f) t, l2 {. u  
, l5 y$ n; W" @* t; L' F        0053BBFC  |.  83F8 0F       cmp     eax, 0F                          ;  Switch (cases 0..F)
% I  {0 A5 }% I        0053BBFF  |.  0F87 41020000 ja      0053BE46
0 L+ c7 ?" `6 o) h& W- \
9 X; |  ^3 p5 A+ Q% U) d* y    eax 这里是3 一路F8比较下去到下面这里
" s% F; A8 S0 q/ m# R, p1 Q
        0053BCD9  |> \66:B9 1F00    mov     cx, 1F                           ;  Case 3 of switch 0053BBFC
        0053BCDD  |.  66:BA 1F00    mov     dx, 1F
: f+ v7 J" C5 c5 n: f        0053BCE1  |.  66:B8 1F00    mov     ax, 1F
        0053BCE5  |.  E8 EA54F2FF   call    004611D4

    这里的 cx, dx, ax 看到过侠中道代码的就知道是 Winrgb(r,g,b:word) 的3个参数
   
    call    004611D4  就是调用 winrgb

  E- T$ X1 C: L6 c% d
% Z% V# K6 _6 E上面部分已经初步了解色彩设定的方式, 这个时候为了增加我们自定义色彩显示, 就需要在

: |" p7 z9 s+ r# d# f6 t    dll里面进行内存地址读写
" I- h8 t6 r! x9 _
* F/ [; Z3 L5 _% S    我是在
   
- S* H$ W% p1 a, g, A: W; W    0053BBFF  |. /0F87 41020000     ja      0053BE46
* [8 z9 p* H( E+ u2 M( ~+ G
    在这个地址进行拦截 在delphi里面 可能可以dll初始化时这样写

    procedure InitDll();
3 e  |6 y. X0 d    var
      p: Dword;
  H7 \1 s, Q2 c# Q) ^! W    begin
6 y9 j( y7 w; s# C1 y" Y      p := $0053BBFF + 1;
      PDword(p)^ := Dword(@proc_0053BBFF);
6 T# `% Z, h! M2 N4 V* Q; _    end;
& ?3 _/ v: s7 M9 a" D5 b
3 E$ x" E; N. r' l* B    在自己的代码里面写一个色彩增加的函数判断比如

- Q- E9 X: H8 v# W& W    delphi代码:

$ S( |( B9 F7 }4 B4 \" m" B    var
      EndAddr1_0053BBFF : Dword = $004F470C;
      EndAddr2_0053BBFF : Dword = $004F44CB;
' G& t" |, E7 E( N- b6 M      EndAddr3_0053BBFF : Dword = $004F4736;    //色彩彩赋值结束跳转
6 D: Y: a. R( A
   CallAddr1_0053BBFF : Dword = $004611D4;
5 e% D; X) r9 g: Q* p4 Q      CallAddr2_0053BBFF : Dword = $004611D4;

# I9 W# R6 N$ j( `2 k8 Z    procedure proc_0053BBFF();
    asm
      cmp     eax, $10                        //与预先设定的 最大17比较
: P% W9 D4 r. w) s+ G0 }0 s. [      JLE      @OldCor                        //小于就跳转到默认16种色彩赋值

      cmp     eax, $10                        //比较是否等于16
      jnz     @Seventh                        //不等于就跳转到第17种色彩判断部分
2 F( T9 [! ^6 X/ L; F: z, @. R
      mov     cx, $A       //字色或背景色? 没有去详细了解请自己测试
( M0 p( T' s* y      mov     dx, $A                          // 可以通过修改赋值给ax, cx, dx的值 不超过$FF
      mov     ax, $A
      call    CallAddr1_0053BBFF
      mov     edx, dword ptr [ebp-$14]
      mov     word ptr [edx+1], ax
# q8 \2 r' j6 j6 j" Z3 u
! {* q) y7 }2 K+ p# }4 j1 N      mov     cx, $10       //字色或背景色? 没有去详细了解请自己测试
      mov     dx, $10       // 可以通过修改赋值给ax, cx, dx的值 不超过$FF
) w, i* Z) ^, A8 Q/ }      mov     ax, $10
  a0 G0 r& s* o      call    CallAddr2_0053BBFF
      mov     edx, dword ptr [ebp-$14]
3 T; p/ ?8 `: l7 w! ^      mov     word ptr [edx+3], ax
      jmp     EndAddr3_0053BBFF               //色彩赋值结束跳转到tgs

2 C# W6 R3 u  t    @Seventh:
      cmp     eax, $11                        //比较是否等于17
0 w/ J3 F" t8 ~. Z/ D% t; l' m      jnz     @out                            //不等于就跳转到默认部分
# U4 |3 X+ V' K* x; ^3 U+ \8 T' G
: f  i  s9 D( c5 A3 `! l      mov     cx, $A       //字色或背景色? 没有去详细了解请自己测试
- O0 a! q8 w) F/ I, I      mov     dx, $A                          // 可以通过修改赋值给ax, cx, dx的值 不超过$FF
! z7 e, w& t, c3 o  j8 M( @      mov     ax, $A
. D5 Z- G" l7 p& `* X      call    CallAddr1_0053BBFF
& m8 o+ K8 G, p. A7 R# Q      mov     edx, dword ptr [ebp-$14]
      mov     word ptr [edx+1], ax
5 t/ z9 b3 b! Q  m/ {
      mov     cx, $10       //字色或背景色? 没有去详细了解请自己测试
% z% u3 T4 W, d7 }7 H8 H      mov     dx, $10       // 可以通过修改赋值给ax, cx, dx的值 不超过$FF
      mov     ax, $10
! [6 \3 _- P- _; n: i      call    CallAddr2_0053BBFF
      mov     edx, dword ptr [ebp-$14]
      mov     word ptr [edx+3], ax
      jmp     EndAddr3_0053BBFF               //色彩赋值结束跳转到tgs
8 J& E9 X+ H* }+ a# d! F8 L; m% h                                               //
) q+ k5 q' {; C4 Q4 t* |; K    @out:
8 f, E2 e* O/ G! @- d      jmp     EndAddr1_0053BBFF               //这个是跳转到默认的点
) ^  g2 a% `0 ~5 w2 ^5 S. J1 L
7 {  E$ R# a6 B: g! ~    @OldCor:
      jmp     EndAddr2_0053BBFF               // 跳转到原来16种色彩赋值
    end