99久久综合国产精品免费,久久综合中文字幕,亚洲国产二区三区久久

Windows�pȝ��安全讄��

�? — Sat, 18 Nov 2006 08:59:00 GMT

�pȝ��的安�?br />1、不要选择从网�l�上安装
虽然微��Y支持在线安装�Q�但�q�绝对不安全。在�pȝ��未全部安装完之前不要�q�入�|�络�Q�特别是Internet�Q�甚至不要把一切硬仉��q�接好来安装。因为Windows 2000安装�Ӟ��在输入用��L��理员账号“Administrator”的密码后，�pȝ��会徏立一个“ADMIN”的�׃�n账号�Q�但是�ƈ没有用刚输入的密码来保护它，�q�种情况一直会持箋到计��机再次启动。在此期��_��M��人都可以通过“ADMIN”进入系�l�；同时�Q�安装完成，各种服务会马上自动运行，而这时的服务器还到处是漏�z�，非常�Ҏ��从外部��R入�?br />2、要选择NTFS格式来分�?br />　　最好所有的分区都是NTFS格式�Q�因为NTFS格式的分区在安全性方面更加有保障。就��其他分区采用别的格�?如FAT32)�Q�但臛_��pȝ��所在的分区中应是NTFS格式�?br />另外�Q�应用程序不要和�pȝ��攑֜�同一个分��Z��Q�以免攻击者利用应用程序的漏洞(如微软的IIS的漏�z?��D��pȝ��文�g的泄漏，甚至让入侵者远�E�获取管理员权限�?br />3、系�l�版本的选择
版本的选择�Q�WIN2000有各�U�语�a�的版本，对于我们来说�Q�可以选择英文版或��体中文版�Q�我强烈��Q�在语言不成为障��的情况下，请一定��用英文版。要知道�Q�微软的产品是以Bug &
Patch而著�U�的�Q�中文版的Bug�q�远多于英文版，而补丁一般还会迟臛_��半个月（也就是说一般微软公布了漏洞后你的机子还会有半个月处于无保护状况�Q?
　　4、组件的定制�Q?br />win2000在默认情况下会安装一些常用的�l��g�Q�但是正是这个默认安装是很危险的�Q�你应该��切的知道你需要哪些服务，而且仅仅安装你确实需要的服务�Q�根据安全原则，最��的服务+最��的权限=最大的安全。典型的WEB服务器需要的最��组仉��择是：只安装IIS的Com Files�Q�IIS Snap-In�Q�WWW Server�l��g。如果你��实需要安装其他组�Ӟ��h��重，特别是：Indexing Service, FrontPage 2000 Server Extensions, Internet Service Manager (HTML)�q�几个危险服务�?br />5、分区和逻辑盘的分配
��最��徏立两个分区，一个系�l�分区，一个应用程序分区，�q�是因�ؓ�Q�微软的IIS�l�常会有泄漏源码/溢出的漏�z�，如果把系�l�和IIS攑֜�同一个驱动器会导致系�l�文件的泄漏甚至入��R者远�E�获取ADMIN。推荐的安全配置是徏立三个逻辑驱动器，�W�一个大�?G�Q�用来装�pȝ��和重要的日志文�g�Q�第二个放IIS�Q�第三个放FTP�Q�这��h��论IIS或FTP��Z��安全漏洞都不会直接媄响到�pȝ��目录和系�l�文件。要知道�Q�IIS和FTP是对外服务的�Q�比较容易出问题。而把IIS和FTP分开主要是�ؓ了防止入侵者上传程序�ƈ从IIS中运行。（�q�个可能会导致程序开发�h员和�~�辑的苦��|��他呢，反正你是��理员J�Q?br />6、安装杀毒��Y件�?br />杀毒��Y件不仅能杀掉一些著名的病毒�Q�还能查杀大量木马和后门程序，因此要注意经常运行程序�ƈ升��病毒库�?7、安装防火墙�?br />8、安装系�l�补丁�?br />到微软网站下载最新的补丁�E�序�Q?br />�l�常讉K��微��Y和一些安全站点，下蝲最新的Service Pack和漏�z�补丁，是保障服务器长久安全的惟一�Ҏ��?br />9、安装顺序的选择
首先�Q�何时接入网�l�：Win2000在安装时的ADMIN$的共享的漏洞�Q�同�Ӟ��只要安装一完成�Q�各�U�服务就会自动运行，而这时的服务器是满��n漏洞�Q�非常容易进入的�Q�因此，在完全安装�ƈ配置好win2000 SERVER之前�Q�一定不要把��L��接入�|�络�?
其次�Q�补丁的安装�Q�补丁的安装应该在所有应用程序安装完之后�Q�因��丁程序往往要替�?修改某些�pȝ��文�g�Q�如果先安装补丁再安装应用程序有可能��D��补丁不能起到应有的效果，例如�Q�IIS的HotFix��p��求每�ơ更改IIS的配�|�都需要安装�?br />�pȝ��的安全设�|?br />1、用户安全设�|?br />用户帐号��查，停止不需要的帐号�Q�徏议更攚w��认的帐号名�?br />1)、禁用Guest账号
　　在计��机��理的用户里面把Guest账号��用。�ؓ了保险�v见，最好给Guest加一个复杂的密码�?
2)、限制不必要的用�?
　　��L��所有的Duplicate User用户、测试用戗��共享用��L��{�。用��L��{�略讄��相应权限�Q��ƈ且经常检查系�l�的用户�Q�删除已�l�不再��用的用户�?br />3)、创��Z��个管理员账号
　　创徏一个一般权限用��L��来收信以及处理一些日�怺�物，另一个拥有Administrators权限的用户只在需要的时候��用�?
4)、把�pȝ��Administrator账号改名
　　大家都知道，Windows 2000的Administrator用户是不能被停用的，�q�意味着别�h可以一遍又一遍地��试�q�个用户的密码。尽量把它伪装成普通用��P��比如�Ҏ��Guesycludx�?
5)、创��Z��个陷��q��?
　　什么是陷阱用户?卛_��Z��个名为“Administrator”的本地用户�Q�把它的权限讄��成最低，什么事也干不了的那�U�，�q�且加上一个超�q?0位的��复杂密码。这样可以让惛_��늚�人慢慢忙一�D�|��间�?
6)、把�׃�n文�g的权限从Everyone�l�改成授权用�?
　　不要把共享文件的用户讄��成“Everyone”组�Q�包括打印共享，默认的属性就是“Everyone”组的�?
7)、开启用��L��?�Q�不��Q?br />　　使用用户�{�略�Q�分别设�|�复位用户锁定计数器旉��?0分钟�Q�用户锁定时间�ؓ20分钟�Q�用户锁定阈��gؓ3�ơ�?
8)、不让系�l�显�C�Z��ơ登录的用户�?�Q�可选）
打开注册表编辑器�q�找到注册表��HKLMSoftwareMicrosoftWindowsTCurrentVersionWinlogonDont-DisplayLastUserName�Q�把键值改�?
9)、系�l��̎�?�׃�n列表
Win2000的默认安装允�怓Q何用户通过�I�用户得到系�l�所有�̎�?�׃�n列表�Q�这个本来是��Z��方便局域网用户�׃�n文�g的，但是一个远�E�用户也可以得到你的用户列表�q��用暴力法破解用户密码。可以通过更改注册表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous = 1来禁�?39�I��接，�q�可以在win2000的本地安全策略（如果是域服务器就是在域服务器安全和域安全�{�略中）��有�q�样的选项RestrictAnonymous�Q�匿名连接的额外限制�Q�，�q�个选项有三个��|�� 0�Q�None. Rely on default permissions�Q�无�Q�取决于默认的权限） 1�Q�Do not allow enumeration of SAM accounts and shares�Q�不允许枚�DSAM帐号和共享） 2�Q�No access without explicit anonymous permissions�Q�没有显式匿名权限就不允许访问） 0�q�个值是�pȝ��默认的，什么限刉��没有�Q�远�E�用户可以知道你机器上所有的账号、组信息、共享目录、网�l�传输列�?NetServerTransportEnum�{�等�Q�对服务器来说这��L��讄��非常危险�?1�q�个值是只允讔R��NULL用户存取SAM账号信息和共享信息�?2�q�个值是在win2000中才支持的，如果不想有�Q何共享，��p��?。一般推荐设�?�?br />2�?口��o安全讄��
1)、��用安全密�?
　　要注意密码的复杂性，�q�要��C��l�常改密码�?
2)、开启密码策�?
注意应用密码�{�略�Q�如启用密码复杂性要求，讄��密码长度最��gؓ8位，讄��强制密码历史�?�ơ，旉��?2天�?
3�?�pȝ��安全讄��
1)、利用Windows 2000的安全配�|�工��h��配置安全�{�略
微��Y提供了一套基于MMC�Q�管理控制台�Q�安全配�|�和分析工具�Q�利用它们你可以很方便地配置你的服务器以满��你的要求。具体内容请参考微软主��：http://www.microsoft.com/windows2000/techinfo/
howitworks/security/sctoolset.asp
2)、安全日志：Win2000的默认安装是不开��M��安全审核的！可以到本地安全策�?br />->审核�{�略中打开相应的审核，推荐的审核是�Q?br />账户��理成功 ��p�|
��d��事�g 成功 ��p�|
对象讉K�� p�|
�{�略更改成功 ��p�|
�Ҏ��使用 ��p�|
�pȝ��事�g 成功 ��p�|
目录服务讉K�� p�|
账户��d��事�g 成功 ��p�|
�Q�审栔R��目少的缺�Ҏ��万一你想看发现没有记录那��׃��炚w��没辙�Q�审栔R��目太多不仅会占用�pȝ��资源而且会导致你�Ҏ��没空�ȝ��Q�这样就失去了审核的意义。）
与之相关的是�Q?
在�̎��L��?>密码�{�略中设定：
密码复杂性要�?启用
密码长度最��?8�?
强制密码历史 5��?
最长存留期 42�?
在�̎��L��?>账户锁定�{�略中设定：
账户锁定 5�ơ错误登�?
锁定旉�� 20分钟
复位锁定计数 20分钟
同样�Q�Terminal Service的安全日志默认也是不开的，我们可以在Terminal Service Configration�Q�远�E�服务配�|�）-权限-高��中配�|�安全审核，一般来说只要记录登录、注销事�g��可以了�?br />3)、目录和文�g权限�Q?
��Z��控制好服务器上用��L��权限�Q�同时也��Z��预防以后可能的入侵和溢出�Q�我们还必须非常��心地设�|�目录和文�g的访问权限，NT的访问权限分为：��d��、写入、读取及执行、修攏V��列目录、完全控制。在默认的情况下�Q�大多数的文件夹�Ҏ��有用��P��Everyone�q�个�l�）是完全敞开的（Full Control�Q�，你需要根据应用的需要进行权限重设�?
在进行权限控制时�Q�请��C��以下几个原则�Q?
1>限是累计的：如果一个用户同时属于两个组�Q�那么他��有了这两个�l�所允许的所有权限；
2>拒绝的权限要比允许的权限高（拒绝�{�略会先执行�Q�如果一个用户属于一个被拒绝讉K��某个资源的组�Q�那么不��其他的权限讄��l�他开放了多少权限�Q�他也一定不能访问这个资源。所以请非常��心��C��用拒�l�，��M��一个不当的拒绝都有可能造成�pȝ��无法正常�q�行�Q?
3>文�g权限比文件夹权限�?br />4>利用用户�l�来�q�行权限控制是一个成熟的�pȝ��理员必��d��有的优良习惯之一�Q?
5>仅给用户真正需要的权限�Q�权限的最��化原则是安全的重要保障�Q?br />4)、禁止徏立空�q�接�Q�IPC�Q�）
默认情况下，��M��用户都可通过�I��接连上服务器�Q�进而枚丑և�账号�Q�猜��密码。我们可以通过修改注册表来��止建立�I��接：��x��?Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous�?的值改成�?”即可。如果��用�?”可能会造成你的一些服务无法启动，如SQL Server
此外�Q�安全和应用在很多时候是矛盾的。因此，你需要在其中扑ֈ��q��点，如果安全原则妨碍了系�l�应用，那么�q�个安全原则也不是一个好的原�?br />5)、禁止管理共�?br />HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Services\LanmanServer\Parameters��?br />对于服务器，��d��键值“AutoShareServer”，�c�d��为“REG_DWORD”，��gؓ�?”�?br />对于客户机，��d��键值“AutoShareWks”，�c�d��为“REG_DWORD”，��gؓ�?”�?br />(关闭server服务)
6)、还有一个就�?39端口�Q?39端口是NetBIOS　Session端口�Q�用来文件和打印�׃�n�Q�注意的是运行samba的unix机器也开放了139端口�Q�功能一栗��以前流�?000用来判断�Ҏ��L��c�d��不太准确�Q�估计就�?39端口开放既认�ؓ是NT机，现在好了�?
关闭139口听�Ҏ��是在“网�l�和拨号�q�接”中“本地连接”中选取“Internet协议(TCP/IP)”属性，�q�入“高�U�TCP/IP讄��”“WINS讄��”里面有一��“禁用TCP/IP的NETBIOS”，打勾��关闭了139端口�?
对于个�h用户来说�Q�可以在各项服务属性设�|�中设�ؓ“禁用”，以免下次重启服务也重新启动，端口也开放了
7)、��用组�{�略�Q�IP�{�略

------------------------
8)、防范SYN��d��
使用SYN�Ҏ��d��保护
相关的值项�?br />HKLM\SYSTEM\CurrentControlSet\Service\Tcpip\Parameters下�?br />1�Q?DWORD�Q�SynAttackProtect�Q�定义了是否允许SYN�Ҏ��d��保护�Q��?表示允许��L��WIN2000的SYN�Ҏ��d��保护�?br />2�Q?DWORD�Q�TcpMaxConnectResponseRetransmissions�Q�定义了对于�q�接��h��回应包的重发�ơ数。��gؓ1�Q�则SYN�Ҏ��d��不会有效果，但是�q�样会造成�q�接��h��p�|几率的增高。SYN�Ҏ��d��保护只有在该�?gt;=2时才会被启用�Q�默认��gؓ3�?br />�Q�上边两个值定义是否允许SYN�Ҏ��d��保护�Q�下面三个则定义了激�z�SYN�Ҏ��d��保护的条�Ӟ��满��其中之一�Q�则�pȝ��自动�Ȁ�z�SYN�Ҏ��d��保护。）
3�Q?DWORD�Q�TcpMaxHalfOpen�Q�定义能够处于SYN_RECEIVED状态的TCP�q�接的数目。默认�?00�?br />4�Q?TcpMaxHalfOpenRetried�Q�定义在重新发送连接请求后�Q�仍然处于SYN_RECEIVED状态的TCP�q�接的数目。默认�?0�?br />5�Q?TcpMaxPortsExhausted�Q�定义系�l�拒�l�连接请求的�ơ数。默认�?�?br />减小syn-ack包的响应旉��?br />HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxConnectResponseRetransmissions定义了重发SYN-ACK包的�ơ数�?br />增大NETBT的连接块增加�q�度和最大数器。NETBT使用139端口�?br />HKLM\SYSTEM\CurrentControlSet\Services\NetBt\Parameters\BacklogIncrement默认��gؓ3�Q�最�?0�Q�最��?�?br />HKLM\SYSTEM\CurrentControlSet\Services\NetBt\Parameters\MaxConnBackLog默认��gؓ1000�Q�最大可�?0000�?br />动态配�|�Backlog�?br />相关的值项在HKLM\SYSTEM\CurrentControlSet\Service\AFD\Parameters�?br />1) DWORD�Q�EnableDynamicBacklog�Q�定义是否允许动态Backlog�Q�默认�ؓ0�Q?为允许�?br />2) DWORD�Q�MinimumDynamicBacklog�Q�定义动态Backlog分配的未使用的自��p��接的最��数目。默认��gؓ0�Q�徏议设�?0�?br />3) DWORD�Q�MaximumDynamicBacklog�Q�定义最大“准”连接数目。大��取决于内存的大��，一般每32M最大可以增�?000个�?br />4) DWORD�Q�DynamicBacklogGrowthDelta�Q�定义每�ơ增加的自由�q�接数目�Q�徏议设�|��ؓ10�?br />10)、预防DoS�Q?
在注册表HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters中更改以下值可以防御一定强度的DoS��d��
SynAttackProtect REG_DWORD 2
EnablePMTUDiscovery REG_DWORD 0
NoNameReleaseOnDemand REG_DWORD 1
EnableDeadGWDetect REG_DWORD 0
KeepAliveTime REG_DWORD 300,000
PerformRouterDiscovery REG_DWORD 0
EnableICMPRedirects REG_DWORD 0
11)、防止ICMP重定向报文的��d��
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\ParametersEnableICMPRedirects REG_DWORD 0x0(默认��gؓ0x1)
该参数控制Windows 2000是否会改变其路由表以响应�|�络讑֤�(如�\由器)发送给它的ICMP重定向消息，有时会被利用来干坏事。Win2000中默认��gؓ1�Q�表�C�响应ICMP重定向报文�?br />12)、禁止响应ICMP路由通告报文
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interfacePerformRouterDiscovery REG_DWORD 0x0(默认��gؓ0x2)
“ICMP路由公告”功能可造成他�h计算机的�|�络�q�接异常,数据被窃听，计算��用于��量��d��{�严重后果。此问题曑֯�致校园网某些局域网大面�U�，长时间的�|�络异常。徏议关闭响应ICMP路由通告报文.Win2000中默认��gؓ2�Q�表�C�当DHCP发送�\由器发现选项时启用�?br />13)、设�|�生存时�?br />HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\ParametersDefaultTTL REG_DWORD 0-0xff(0-255 十进�?默认�?28)
指定传出IP数据包中讄��的默认生存时�?TTL)倹{��TTL军_��了IP数据包在到达目标前在�|�络中生存的最大时间。它实际上限定了IP数据包在丢弃前允讔R��过的�\由器数量.有时利用此数值来探测�q�程��L��*作系�l��?br />14)、不支持IGMP协议
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\ParametersIGMPLevel REG_DWORD 0x0(默认��gؓ0x2)
记得Win9x下有个bug�Q�就是用可以用IGMP使别��屏，修改注册表可以修正这个bug。Win2000虽然没这个bug了，但IGMP�q�不是必要的�Q�因此照样可以去掉。改�?后用route print��看不到那个讨厌�?24.0.0.0��了�?br />15)、设�|�arp�~�存老化旉��讄��
HKLM\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters
ArpCacheLife REG_DWORD 0-0xFFFFFFFF(�U�数,默认��gؓ120�U?
ArpCacheMinReferencedLife REG_DWORD 0-0xFFFFFFFF(�U�数,默认��gؓ600)
如果ArpCacheLife大于或等于ArpCacheMinReferencedLife�Q�则引用或未引用的ARP�~�存��在ArpCacheLife�U�后到期。如果ArpCacheLife��于ArpCacheMinReferencedLife�Q�未引用��在ArpCacheLife�U�后到期�Q�而引用项在ArpCacheMinReferencedLife�U�后到期。每�ơ将出站数据包发送到��的IP地址�Ӟ��׃��引用ARP�~�存中的��V�?br />
16)、禁止死�|�关监测技�?br />HKLM\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters
EnableDeadGWDetect REG_DWORD 0x0(默认��gؓox1)
如果你设�|�了多个�|�关�Q�那么你的机器在处理多个�q�接有困难时�Q�就会自动改用备份网养I��有时候这�q�不是一��好��L��Q�徏议禁止死�|�关监测�?br />17)、不支持路由功能
HKLM\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters
IPEnableRouter REG_DWORD 0x0(默认��gؓ0x0)
把��D��|��ؓ0x1可以使Win2000具备路由功能�Q�由此带来不必要的问题�?br />18)、做NAT时放大�{换的对外端口最大�?br />HKLM\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters
MaxUserPort REG_DWORD 5000-65534(十进�?(默认�?x1388--十进制�ؓ5000)
当应用程序从�pȝ��h��可用的用��L��口数�Ӟ��该参数控制所使用的最大端口数。正常情况下�Q�短期端口的分配数量�?024-5000。将该参数设�|�到有效范围以外�Ӟ��׃��使用最接近的有效数�?5000�?5534)。��用NAT时徏议把值放大点�?br />19)、修改MAC地址
HKLM\SYSTEM\CurrentControlSet\Control\Class扑ֈ�右窗口的说明�?�|�卡"的目录，比如说是{4D36E972-E325-11CE-BFC1-08002BE10318}展开之，在其�?000,0001,0002...的分支中扑ֈ�"DriverDesc"的键��gؓ你网卡的说明�Q�比如说"DriverDesc"的��gؓ"Intel® 82559 Fast Ethernet LAN on Motherboard"然后在右�H�口新徏一字符串��|��名字�?Networkaddress"�Q�内容�ؓ你想要的MAC��|��比如说是"004040404040"然后重�v计算机，ipconfig /all看看�?br />20)、禁止光盘的自动�q�行功能
Windows 2000的光盘的自动�q�行功能也是�pȝ��安全的隐患，光盘中只要存在autorun�Q�inf文�g�Q�则�pȝ��会自动试图执行文件中open字�D�后的文件�\�?市场上已�l�出��C��破解屏保密码的光盘，如果不禁止光盘的自动�q�行功能�Q�以上所做的讄��都将是白�?�Q�步骤�ؓ�Q?br />⑴展开HKEY�Q�LOCAL�Q�MACHINE\SO
FTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer子键分支�Q?br />⑵在Explorer主键中新建DWORD值NoDriveTypeAutoRun�Q�改��gؓ1�?br />21)、禁止��用MS�Q�DOS方式
采用上述�Ҏ��隐藏某个��盘分区的作用仅限于囑�Ş界面�Q�但在字�W�界面如MS�Q�DOS方式无效�Q�因此我们必��采用适当的方法禁止普通用户��用MS�Q�DOS方式。方法�ؓ�Q?br />①展开HKLU\SOFTWARE \Policies\Microsoft\Windows\system分支�Q?br />②新��Z��个名为DisableCMD的DWORD��|��改��gؓ1(�q�项用于��止用户�q�入Windows 2000的MS�Q�DOS方式)。��gؓ2则批处理文�g也不能运行�?br />22)、禁止运行指定的�E�序
23)、只允许�q�行指定的程�?br />24)、禁止��用注册表�~�辑�?br />HKCU\Software\Microsoft\Windows\Current Version\policies\System�?br />DWORD�Q�DisableRegistryTools�Q��gؓ1则禁用注册表�~�辑器。注意：使用此功能最好作个注册表备䆾�Q�或者准备一个其他的注册表修改工��P��因�ؓ��止了注册表�~�辑器以后，��׃��能再用该注册表编辑器��值项改回来了�?br />22)、禁止��用�Q何程序（对于前边讄��的陷��q��P��
不允许运行�Q何程序。方法�ؓ�Q?br />①展开HKLU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer子键分支�Q?br />②在Explorer主键下新建RestrctRun的DWORD��|��值改�?�?br />不过你也可以发一下善心，�l�他几个Windows 2000自带的游戏玩一玩，�Ҏ��为：在Explorer主键下新建名为RestrctRun的主键，在其下分别新建名�?�?�?�?的字�W�串��|��值分别改为MSHEARTS�Q�EXE、FREECELL�Q�EXE、WINMINE�Q�EXE、SOL�Q�EXE(只需�E�序名，无需路径)�Q�则�pȝ��只能�q�行�|�上�U�心大战、空当接龙、扫雗��纸牌。无法执行其它�Q何程序�?br />服务安全讄��
1)、关闭不必要的端�?br />关闭端口意味着减少功能�Q�在安全和功能上面需要你做一点决�{�。如果服务器安装在防火墙的后面，冒险��׃��些。但是，永远不要认�ؓ你可以高枕无忧了。用端口扫描器扫描系�l�已开攄��端口�Q�确定系�l�开攄��哪些服务可能引�v黑客入��R。在�pȝ��目录中的\system32\drivers\etc\services 文�g中有知名端口和服务的对照表可供参考。具体方法�ؓ�Q�打开�?�|�上��d��/属�?本地�q�接/属�?internet 协议(TCP/IP)/属�?高��/选项/TCP/IP�{��?属性�?打开“TCP/IP�{�选”，��d��需要的TCP、UDP协议卛_��?br />2)、设�|�好安全记录的访问权�?br />安全记录在默认情况下是没有保护的�Q�把它设�|�成只有Administrators和系�l��̎��h��有权讉K��?br />3)、把敏感文�g存放在另外的文�g服务器中
虽然现在服务器的��盘定w��都很大，但是你还是应该考虑是否有必要把一些重要的用户数据�Q�文件、数据表、项目文件等�Q�存攑֜�另外一个安全的服务器中�Q��ƈ且经常备份它们�?br />4)、停止不必要的服�?br />服务开的太多也不是个好事，��没有必要的服务通通关掉吧�Q�特别是�q�管理员都不知道是干什么的服务�Q�还开着�q�什么！��x��Q�免得给�pȝ��带来��N��?br />另外�Q�管理员如果不外出，不需要远�E�管理你的计��机的话�Q�最好将一切的�q�程�|�络��d��功能都关掉。注意，除非特别需要，否则��用“Task Scheduler”、“RunAs Service”服务！
关闭一��Ҏ��务的�Ҏ��很简单，�q�行cmd.exe之后�Q�直接net stop servername卛_��
5)、更改管理服务的端口
pcanywhere端口��P��l�端服务端口受��?br />5)、在Win2000中如何关闭ICMP(Ping)
ICMP的全名是Internet Control and Message Protocal卛_��特网控制消息/错误报文协议�Q�这个协议主要是用来�q�行错误信息和控制信息的传递，例如著名的Ping和Tracert工具都是利用ICMP协议中的ECHO request报文�q�行的（��h��报文ICMP ECHO�c�d��8代码0�Q�应�{�报文ICMP ECHOREPLY�c�d��0代码0�Q��?br />ICMP协议有一个特�?--它是无连�l�的�Q�也��是说只要发送端完成ICMP报文的封装�ƈ传递给路由器，�q�个报文��会象邮包一栯��己去��L��目的地址�Q�这个特点��得ICMP协议非常灉|��快捷�Q�但是同时也带来一个致命的�~�陷---易伪造（邮包上的寄信人地址是可以随便写的）�Q��Q何�h都可以伪造一个ICMP报文�q�发送出去，伪造者可以利用SOCK_RAW�~�程直接改写报文的ICMP首部和IP首部�Q�这��L��报文携带的源地址是伪造的�Q�在目的端根本无法追查，�Q�攻击者不怕被抓那�q�不有恃无恐�Q�）�Ҏ��q�个原理�Q�外面出��C��不少��Z��ICMP的攻击��Y�Ӟ��有通过�|�络架构�~�陷刉��ICMP风暴的，有��用非常大的报文堵塞网�l�的�Q�有利用ICMP��片��d��消耗服务器CPU的，甚至如果��ICMP协议用来�q�行通讯�Q�可以制作出不需要�Q何TCP/UDP端口的木马（参见相关文章�Q?.....既然ICMP协议�q�么危险�Q�我们�ؓ什么不��x��它呢�Q?br />我们都知道，Win2000在网�l�属性中自带了一个TCP/IP�q��o器，我们来看看能不能通过�q�里��x��ICMP协议�Q�桌面上叛_��|�上��d��->属�?>叛_��你要配置的网�?>属�?>TCP/IP->高��->选项->TCP/IP�q��o�Q�这里有三个�q��o器，分别为：TCP端口、UDP端口和IP协议�Q�我们先允许TCP/IP�q��o�Q�然后一个一个来配置�Q�先是TCP端口�Q�点�?只允�?�Q�然后在下面加上你需要开的端口，一般来说WEB服务器只需要开80(www)�Q�FTP服务器需要开20(FTP Data)�Q?1(FTP Control)�Q�邮件服务器可能需要打开25(SMTP),110(POP3)�Q�以此类�?.....接着是UDP�Q�UDP协议和ICMP协议一��h��Z��无连�l�的�Q�一样容易伪造，所以如果不是必要（例如要从UDP提供DNS服务之类�Q�应该选择全部不允许，避免受到�z�水�Q�Flood�Q�或��片�Q�Fragment�Q�攻凅R��最双��的一个编辑框是定义IP协议�q��o的，我们选择只允许TCP协议通过�Q�添加一�?�Q?是TCP在IP协议中的代码�Q�IPPROTO_TCP=6�Q?从道理上来说�Q�只允许TCP协议通过时无论UDP�q�是ICMP都不应该能通过�Q�可惜的是这里的IP协议�q��o指的是狭义的IP协议�Q�从架构上来说虽然ICMP协议和IGMP协议都是IP协议的附属协议，但是从网�l?层结构上ICMP/IGMP协议与IP协议同属一层，所以微软在�q�里的IP协议�q��o是不包括ICMP协议的，也就是说即��你设�|�了“只允许TCP协议通过”，ICMP报文仍然可以正常通过�Q�所以如果我们要�q��oICMP协议�q�需要另惛_��法�?br />刚刚在我们进行TCP/IP�q��o�Ӟ��q�有另外一个选项�Q�IP安全机制�Q�IP Security�Q�，我们�q��oICMP的想法就要着落在它��n上�?br />　　打开本地安全�{�略�Q�选择IP安全�{�略�Q�在�q�里我们可以定义自己的IP安全�{�略�?br />　　一个IP安全�q��o器由两个部分�l�成�Q�过滤策略和�q��o*作，�q��o�{�略军_��哪些报文应当引�v�q��o器的��x��Q�过�?作决定过滤器是“允许”还是“拒�l�”报文的通过。要新徏IP安全�q��o器，必须新徏自己的过滤策略和�q��o*作：叛_��本机的IP安全�{�略�Q�选择��理IP�q��o器，在IP�q��o器管理列表中建立一个新的过滤规则：ICMP_ANY_IN�Q�源地址选�Q意IP�Q�目标地址选本机，协议�c�d��是ICMP�Q�切换到��理�q��o�?作，增加一个名为Deny�?作，*作类型�ؓ"��L��"�Q�Block�Q�。这��h��们就有了一个关注所有进入ICMP报文的过滤策略和丢弃所有报文的�q��o*作了。需要注意的是，在地址选项中有一个镜像选择�Q�如果选中镜像�Q�那么将会徏立一个对�U�的�q��o�{�略�Q�也��是说当你关注any IP->my IP的时候，�׃��镜像的作用，实际上你也同时关注了my IP->any IP�Q�你可以�Ҏ��自己的需要选择或者放弃镜像�?br />再次叛_��本机的IP安全�{�略�Q�选择新徏IP�q��o�{�略�Q�徏立一个名�U�CؓICMP Filter的过滤器�Q�通过增加�q��o规则向导�Q�我们把刚刚定义的ICMP_ANY_IN�q��o�{�略指定�l�ICMP Filter�Q�然后在*作选框中选择我们刚刚定义的Deny*作，退出向导窗口，叛_��ICMP Filter�q�启用它�Q�现在�Q何地址�q�入的ICMP报文都会被丢弃了�?
虽然用IP sec能够对ICMP报文�q�行�q��o�Q�不�q?作�v来太�ȝ��Q�而且如果你只需要过滤特定的ICMP报文�Q�还要保留一些常用报文（如主��Z��可达、网�l�不可达�{�）�Q�IP sec�{�略��力不从心了�Q�我们可以利用Win2000的另一个强大工兯��\�׃��q�程讉K��控制�Q�Routing & Remote Access�Q�来完成�q�些复杂的过�?作�?br />路由与远�E�访问控制是Win2000用来��理路由表、配�|�VPN、控制远�E�访问、进行IP报文�q��o的工��P��默认情况下�ƈ没有安装�Q�所以首先你需要启用它�Q�打开"��理工具"->"路由与远�E�访�?�Q�右��L��务器�Q�如果没有则需要添加本机）选择"配置�q�启用�\由及�q�程讉K��"�Q�这旉��|�向��g��让你选择是什么样的服务器�Q�一般来��_��如果你不需要配�|�VPN服务器，那么选择"手动配置"��可以了�Q�配�|�完成后�Q�主��Z��出��C��个IP路由的选项�Q�在"常规"中选择你想配置的网卡（如果你有多块�|�卡�Q�你可以选择关闭某一块的ICMP�Q�，在网卡属性中点击"输入�{�选器"�Q�添加一条过滤策�?from:ANY　to:ANY　协议:ICMP　�c�d��:8 :�~�码:0　丢弃"��可以了�Q�类�?�~�码0��是Ping使用的ICMP_ECHO报文�Q�如果要�q��o所有的ICMP报文只需要将�c�d��和编码都讄��?55�Q?br />　
IIS�Q�IIS是微软的�l��g中漏�z�最多的一个，�q�_��两三个月��p��Z��个漏�z�，而微软的IIS默认安装又实在不敢恭�l�_��所以IIS的配�|�是我们的重点，现在大家跟着我一��h��Q?
首先�Q�把C盘那个什么Inetpub目录��d��删掉�Q�在D盘徏一个Inetpub�Q�要是你不放心用默认目录名也可以改一个名字，但是自己要记得）在IIS��理器中��主目录指向D:\Inetpub�Q?
其次�Q�那个IIS安装旉��认的什么scripts�{�虚拟目录一概删除（�|�恶之源呀�Q�忘了http://www.target.com/scripts/..%c1%1c../winnt/system32/cmd.exe了？我们虽然已经把Inetpub从系�l�盘挪出来了�Q�但是还是小心�ؓ上）�Q�如果你需要什么权限的目录可以自己慢慢建，需要什么权限开什么。（特别注意写权限和执行�E�序的权限，没有�l�对的必要千万不要给�Q?br />�W�三�Q�应用程序配�|�：在IIS��理器中删除必须之外的�Q何无用映��，必须指的是ASP, ASA和其他你��实需要用到的文�g�c�d��Q�例如你用到stml�{�（使用server side include�Q�，实际�?0%的主机有了上面两个映��就够了�Q�其余的映射几乎每个都有一个凄惨的故事�Q�htw, htr, idq, ida……想知道�q�些故事�Q�去查以前的漏洞列表吧。什么？找不到在哪里删？在IIS��理器中叛_��L��->属�?>WWW服务 �~�辑->�ȝ��?配置->应用�E�序映射�Q�然后就开始一个个删吧�Q�里面没有全选的�Q�嘿嘿）。接着在刚刚那个窗口的应用�E�序调试书签内将脚本错误消息改�ؓ发送文本（除非你想ASP出错的时候用��L��道你的程�?�|�络/数据库结构）错误文本写什么？随便你喜�Ƣ，自己看着办。点�ȝ��定退出时别忘了让虚拟站点�l�承你设定的属性�?
��Z��对付日益增多的cgi漏洞扫描器，�q�有一个小技巧可以参考，在IIS中将HTTP404 Object Not Found出错��面通过URL重定向到一个定制HTM文�g�Q�可以让目前�l�大多数CGI漏洞扫描器失��c��其实原因很��单，大多数CGI扫描器在�~�写时�ؓ了方便，都是通过查看�q�回��面的HTTP代码来判断漏�z�是否存在的�Q�例如，著名的IDQ漏洞一般都是通过�?.idq来检验，如果�q�回HTTP200�Q�就认�ؓ是有�q�个漏洞�Q�反之如果返回HTTP404��p��为没有，如果你通过URL��HTTP404出错信息重定向到HTTP404.htm文�g�Q�那么所有的扫描无论存不存在漏洞都会�q�回HTTP200�Q?0%的CGI扫描器会认�ؓ你什么漏�z�都有，�l�果反而掩盖了你真正的漏洞�Q�让入��R者茫然无处下手（武侠��说中常说全�w�漏�z�反而无懈可击，��N��说的��是�q�个境界�Q�）不过从个��度来��_��我还是认为扎扎实实做好安全设�|�比�q�样的小技巧重要的多�?
最后，��Z��保险赯��Q�你可以使用IIS的备份功能，��刚刚的讑֮�全部备䆾下来�Q�这样就可以随时恢复IIS的安全配�|�。还有，如果你怕IIS负荷�q�高��D��服务器满负荷��L��Q�也可以在性能中打开CPU限制�Q�例如将IIS的最大CPU使用率限制在70%�?br />需要注意事��?br />实际上，安全和应用在很多时候是矛盾的，因此�Q�你需要在其中扑ֈ��q��点，毕竟服务器是�l�用��L��而不是做OPEN HACK的，如果安全原则妨碍了系�l�应用，那么�q�个安全原则也不是一个好的原则�?
�|�络安全是一��系�l�工�E�，它不仅有�I�间的跨度，�q�有旉��的跨度。很多朋友（包括部分�pȝ��理员）认�ؓ�q�行了安全配�|�的��L��是安全的，其实�q�其中有个误区：我们只能说一��C��机在一定的情况一定的旉��上是安全的，随着�|�络�l�构的变化、新的漏�z�的发现�Q�管理员/用户�?作，��L��的安全状冉|��随时随地变化着的，只有让安全意识和安全制度贯穿整个�q�程才能做到真正的安全�?
提高IIS 5.0�|�站伺服器的执行效率的八�U�方�?
　以下是提高IIS 5.0�|�站伺服器的执行效率的八�U�方法：
　1. 启用HTTP的持�l�作用可以改�?5~20%的执行效率�?br />　2. 不启用记录可以改�?~8%的执行效率�?br />　3. 使用 [独立] 的处理程序会损失20%的执行效率�?br />　4. 增加快取记忆体的保存档案数量�Q�可提高Active Server Pages之效能�?br />　5. 勿��用CGI�E�式�?br />　6. 增加IIS 5.0电脑CPU数量�?br />　7. 勿启用ASP侦错功能�?br />　8. 静态网��采用HTTP 压羃�Q�大�U�可以减��?0%的传输量�?br />　��单介�l�如下�?　1、启用HTTP的持�l�作�?br />　启用HTTP的持�l�作用（Keep-Alive�Q�时�Q�IIS与浏览器的连�U�不会断�U�，可以改善执行效率�Q�直到浏览器关闭时连�U�才会断�Uѝ��因为维持「Keep-Alive」状态时�Q�於每次用户端请求时都不��重新徏立一个新的连接，所以将改善伺服器的效率�?br />　此功能�ؓHTTP 1.1预设的功能，HTTP 1.0加上Keep-Alive
header也可以提供HTTP的持�l�作用功能�?br />　2、启用HTTP的持�l�作用可以改�?5~20%的执行效率�?br />　如何启用HTTP的持�l�作用呢�Q�步骤如下：
　�?[Internet服务��理员] 中，选取整个IIS电脑、或Web站台�Q�於 [内容] �?[�ȝ��录]
��，��N�?[HTTP的持�l�作用] 选项�?br />　3、不启用记录
　不启用记录可以改�?~8%的执行效率�?br />　如何讑֮�不启用记录呢�Q�步骤如下：
　�?[Internet服务��理员] 中，选取整个IIS电脑、或Web站台�Q�於 [内容] �?[�ȝ��录]��，不勾�?[启用记录] 选项�?br />　讑֮�非独立的处理�E�序
　使用 [独立] 的处理程序会损失20%的执行效率，此处所谓「独立」系指将 [�ȝ��录]、[虚拟目录] ��之应用�E�式保护选项讑֮��?[高（独立的）] 时。因�?[应用�E�式保护] 讑֮��?[�?(IIS处理�E�序)] 时执行效率较高，讑֮�画面如下�Q?br />　如何讑֮�非「独立」的处理�E�序呢？步骤如下�Q?br />　�?[Internet服务��理员] 中，选取整个IIS电脑、Web站台、或应用�E�式的�v始目录。於 [内容] �?[�ȝ��录]、[虚拟目录] ��，讑֮�应用�E�式保护选项�?[�?(IIS处理�E�序)] �?br />　4、调整快取（Cache�Q�记忆体
　IIS 5.0��静态的�|�页资料暂存於快取（Cache�Q�记忆体当中�Q�IIS
4.0则将静态的�|�页资料暂存於档案当中。调整快取（Cache�Q�记忆体的保存档案数量可以改善执行效率�?br />　ASP指��o档案执行�q�後�Q�会在暂存於快取�Q�Cache�Q�记忆体中以提高执行效能。增加快取记忆体的保存档案数量，可提高Active Server Pages之效能�?br />　可以讑֮�所有在整个IIS电脑、「独立」Web站台、或「独立」应用程式上执行之应用程式的快取记忆体档案数量�?br />　如何讑֮�快取�Q�Cache�Q�功能呢�Q�步骤如下：
　�?[Internet服务��理员]
中，选取整个IIS电脑、「独立」Web站台、或「独立」应用程式的起始目录。於 [内容]之[�ȝ��录]、[虚拟目录] ��，按下 [讑֮�] 按钮�Ӟ��卛_��?[处理�E�序选项] ��设�?[指��o档快取记忆体] �?br />如何讑֮�快取�Q�Cache�Q�记忆体档案数量呢？步骤如下�Q?br />�?[Internet服务��理员] 中，选取整个IIS电脑、或Web站台的�v始目录。於 [内容]之[伺服器扩充程式] ��，按下 [讑֮�] 按钮�?br />　卛_��讑֮�快取�Q�Cache�Q�记忆体档案数量�?br />　5、勿使用CGI�E�式
　使用CGI�E�式�Ӟ��因�ؓ处理�E�序�Q�Process�Q�须不断��C�生与摧毁�Q�造成执行效率不佳�?br />　一般而言�Q�执行效率比较如下：
　　静态网��（Static�Q�：100
　　 ISAPI�Q?0
　　 ASP�Q?0
　　 CGI�Q?
　换句话说�Q�ASP比CGI可能�?0倍，因此勿��用CGI�E�式可以改善IIS的执行效率�?br />　以弹性（Flexibility�Q�而言�Q�ASP > CGI > ISAPI > 静态网��（Static�Q��?br />　以安全（Security�Q�而言�Q�ASP�Q�独立） = ISAPI�Q�独立）= CGI > ASP�Q�非独立�Q?=
ISAPI�Q�非独立�Q? 静态网��（Static�Q��?br />　6、增加IIS 5.0电脑CPU数量
　�Ҏ��微��Y的测试报告，增加IIS 4.0电脑CPU数量�Q�执行效率�ƈ不会改善多少�Q�但是增加IIS 5.0电脑CPU数量�Q�执行效率会几乎成正比地提供�Q�换句话��_��两颗CPU的IIS 5.0电脑执行效率几乎是一颗CPU电脑的两倍，四颗CPU的IIS 5.0电脑执行效率几乎是一颗CPU电脑的四倍�?br />　IIS 5.0��静态的�|�页资料暂存於快取（Cache�Q�记忆体当中�Q�IIS
4.0则将静态的�|�页资料暂存於档案当中。调整快取（Cache�Q�记忆体的保存档案数量可以改善执行效率�?br />　7、启用ASP侦错功能
　勿启用ASP侦错功能可以改善执行效率�?br />　如何勿启用ASP侦错功能呢？步骤如下�Q?br />　�?[Internet服务��理员] 中，选取Web站台、或应用�E�式的�v始目录，按右键选择 [内容]�Q�按 [�ȝ��录]、[虚拟目录] �?[目录] ��，按下 [讑֮�] 按钮�Q�选择 [应用�E�式侦错] ��，不勾�?[启用ASP伺服器端指��o侦错]、[启用ASP用户端指令侦错] 选项�?br />　8、静态网��采用HTTP 压羃
　静态网��采用HTTP 压羃�Q�大�U�可以减��?0%的传输量�?br />　HTTP压羃功能启用或关闭，�p�针�Ҏ��台IIS伺服器来讑֮��?br />　用户端��用IE 5.0��览器连�U�到已经启用HTTP压羃IIS 5.0之Web伺服器，才有HTTP压羃功能�?br />　如何启用HTTP压羃功能呢？步骤如下�Q?br />　若要启用HTTP压羃功能�Q�方法�ؓ�?[Internet服务��理员] 中，选取电脑�?[内容]�Q�於 [主要内容]
之下选取 [WWW服务]。然後按一�?[�~�辑] 按钮�Q�於 [服务] ��上�Q�选取 [压羃静态档案] 可以压羃静态档案，不选取 [压羃应用�E�式档案] �?br />　动态��生的内容档案�Q�压�~�应用程式档案）也可以压�~�，但是��耗费额外CPU处理旉��Q�若% Processor Time已经癑ֈ�之八十或更多�Ӟ��不要压羃�?

�? 2006-11-18 16:59 发表评论

修改�q�程桌面端口

�? — Sat, 18 Nov 2006 08:59:00 GMT

具体操作如下�Q?/p>

在终端服务器上做如下修改
KEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Control\Terminal Server\Wds\rdpwd\Tds\tcp
�?br />HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
下都有一个PortNumber��|��通常�?389�Q�将其修改�ؓ自己的��|��?876(可自己指定端口，但最好不要设��Z��端端口，以免冲突)�Q?

2.重新启动服务器�?

在客��L��做如下改动 

1. 打开客户端连接管理器�Q?
2. 输入��L��地址�Q�后面跟端口��P��例如: 202.100.4.15:9876

�? 2006-11-18 16:59 发表评论

�? — Sat, 18 Nov 2006 08:58:00 GMT

　　Windows XP作�ؓ一个被�q�泛使用的系�l�，现在已经受到了越来越多攻击者的“青睐”。当然最��单的防范�Ҏ��是装个网�l�防火墙�Q�不�q�在没有防火墙时�Q�我们有什么办法呢�Q�关闭Windows XP中的无用端口可以让系�l�安全很多�?

　　一、找��w�开攄��端口

　　扫描端口�Q�然后找漏洞是攻击者入�늚�基本思�\。可以说�Q�机器上开攄��端口��多�Q�攻击者入�늚��Z��p��大，因此我们可以通过关闭一些我们不用的端口来提高电脑的安全性�?

　　那如何知道我们的Windows XP开放了哪些端口呢？我们可以用命令“Netstat”来查看�pȝ��中开攄��端口�?

　　我们需要用到这个命令的两个参数�Q?a�?n。参�?a昄��当前所有连接和侦听端口�Q�而参�?n以数字格式显�C�地址和端口号�Q�而不是尝试查扑֐��U�ͼ��Q�两者可以结合�v来��用：Netstatan�Q�如�?�Q�，��p��查看当前端口的开放情��c�?

　　�?

　　通过�q�个命��o�Q�如果我们发��C��个异常的端口号在监听�Q�可以先�ȝ��上查扑ָ�见木马的端口号对照一下，如果发现有木马��用的端口�Q�就应该用杀除木马的软�g��查系�l�了�?/p>

　　二、关闭无用端�?/b>

　　知道怎么查看机器的端口情况之后，接下来一个问题是�Q�哪些端口是必需的，哪些端口是可以关闭的�Q�这个问题稍微复杂一点，因�ؓ除了Windows XP默认开攄��135�?37�?38�?39�?45�Q�有些跟�|�络有关的��Y仉��要��用到一些端口，最常用的比如QQ使用4000端口。这里笔者把情况惛_��成最��单：一台只需要浏览网��늚�电脑。那么针对这个系�l�，我们自己来配�|�一下以提高安全性�?

　　1、关闭��Y件开启的端口。可以打开本地�q�接的“属性→Internet协议�Q�TCP/IP�Q�→属性→高��→选项→TCP/IP�{�选属性”，然后都选上“只允许”（如图2�Q�。请注意�Q�如果发现某个常用的�|�络工具不能起作用的时候，��h��清它在你��L��所开的端口，然后在“TCP/IP�{�选”中��d��相应的端口�?

　　�?

　　2、禁用NetBIOS。打开本地�q�接的“属性→Internet协议�Q�TCP/IP�Q�→属性→高��→WINS→禁用TCP/IP上的NetBIOS”（如图3�Q�。这样一来就关闭�?37�?38以及139端口�Q�从而预防IPC$入��R�?

　　�?

　　3、开启Windows XP自带的网�l�防火墙。打开本地�q�接的“属性→高��”，启用防火墙之后，单击讄��可以讄��pȝ��开攑օ�闭哪些服务。一般来��_��q�些服务都可以不要，关闭�q�些服务后，�q�些服务涉及的端口就不会被轻易打开了�?

　　4、禁�?45端口。向注册表“HKEY_LO-CAL_MACHINE\SYSTEM\CurrentControlSet\Servi ces\NetBT\Parameters”中�q�加名�ؓ“SMBDeviceEnabled”的DWORD��|��q�将其设�|��ؓ0�Q�就好了�?

　　通过以上讄��Q�你的Windows XP�pȝ��的安全性将大大提高。要补充的是�Q�文章是针对那些直接拨号上网的机器，而不包括通过�|�关代理上网的机器�?

�? 2006-11-18 16:58 发表评论

�? — Sat, 18 Nov 2006 08:55:00 GMT

1�Q�我们要起动WSA�Q�这时个要用到的WSAStartup函数�Q�用法如下：

　　 2�Q��用socket函数得到socket句柄�Q�m_hSocket:=Socket(AF_INET, SOCK_RAW, IPPROTO_IP); 用法如下�Q?/p>

　　在程序里m_hSocket为socket句柄�Q�AF_INET�Q�SOCK_RAW�Q�IPPROTO_IP均�ؓ帔R��?/p>
　　3)定义SOCK_ADDR�c�d��Q�跟据我们的�|�卡IP�l�Sock_ADDR�c�d��附��|��然后我们使用bind函数来绑定我们的�|�卡�Q�Bind�?/p>
数用法如下：
4)用WSAIoctl来注册WSA的输入输出组�Ӟ��其用法如下：

　　5)下面做死循环�Q�在��d�@环块里，来实现数据的接收。但是徇环中间要用Sleep()做�g�Ӟ��不然�E�序会出错�?/p>
　　6)在��@环块里，用recv函数来接收数据，recv函数用法如下�Q?/p>

　　7)在buffer里就是我们接收回来的数据了，如果我们惌��知道数据是什么地方发来的�Q�那么，我们要定义一定IP包结
构，用CopyMemory()把IP信息从buffer里面��d��来就可以了，不过��d��来的是十六进制的数据需要�{换一下�?/p>
　　看了��包捕获的全�q�程序，对你是不是有点�v发，然而在�q�里要告诉大家的是封包的获得是很�Ҏ��的，但是许多游戏
的封包都是加密的�Q�如果你��x��清楚所得到的是什么内容还需要自��p��行封包解密�?

四种�|�络游戏外挂的设计方�?/p>
[文章��D��]

在几�q�前我看到别人玩�|�络游戏用上了外挂，做�ؓ�E�序员的我心里实在是不爽

在几�q�前我看到别人玩�|�络游戏用上了外挂，做�ؓ�E�序员的我心里实在是不爽�Q�想搞清楚这到底是怎么回事。就拿了一�?/p>
�?a target="_blank">研究�Q�小有心得，拿出来与大家�׃�n�Q�外挂无非就是分几种�|�了�Q�依制作隑ֺ��Q�：

　1、动作式�Q�所谓动作式�Q�就是指用API发命令给�H�口或API控制鼠标、键盘等�Q��游戏里的人物�q�行��动或�?a target="_blank">��d��Q�最
早以前的“石器”外挂就是这�U�方式。（�q�种外挂完全是垃圾，TMD�Q�只要会一点点API的�h都知道该怎么做，不过�q�种�?/p>
挂也�?a target="_blank">入门�U�的好东东，虽然不能提高你的战斗力，但是可以提高你的士气�Q?/p>
　　2、本��C��改式�Q�这�U�外挂跟传统上的一�?a target="_blank">游戏修改器没有两��P��做这�U�外挂在�~�程只需要对内存地址有一点认识�ƈ
且掌握API��可以实玎ͼ�“精灵”的外挂�q�是�q�种方式写成的，它的隄��在于扑ֈ�那些地址码，扑֜�址一般地要借助于别
人的工具�Q�有�?a target="_blank">游戏�q�有双码校验�Q�正正找��h��会比较困难。（�q�种外挂�Q�比上一�U�有一点点隑ֺ��Q�但是这�U�外挂做��h��
能够用，也是有一定难度的啦~~�Q�这�U�外挂可以很快提升你对内存地址的理解及应用�Q�是�?a target="_blank">�~�程技�?/font>提高的好东东�Q?/p>
　　3�?a target="_blank">木马式，�q�种外挂的目的是帮外挂制作者偷到用��L��密码�Q�TMD�Q�“烂”就一个字�Q�不�q�要知已知彼所以还是要�?/p>
一下啦~~�Q�，做这�U�外挂有一定的隑ֺ��Q�需要HOOK或键盘监�?a target="_blank">技�?/font>做底子，才可以完成，它的原理是先首截了用��L��帐号
�?a target="_blank">密码�Q�然后发到指定邮��。（我以前写�q�这��L��东东�Q�但是从来没有用�q�，我知道这�U�东东很不道��P��所以以后千万别
用呀�Q�）
　　4、加速式�Q�这�U�外挂可以加�?a target="_blank">游戏的速度……（对不起大�Ӟ��q�种东东我没有实际做�q�，所以不能妄自评�Q�惭愧）
　　�q�几�U�外挂之中，前三�U�可以用VB�Q�Delphi�{�语�a�比较好实玎ͼ�后两�U�则要用VC�{�底层支持比较好�?a target="_blank">�~�程工具才好�?/p>
现�?
　　动作式外�?/p>
　　首先�Q�先来谈一下动作式的外挂，�q�也是我�W�一�ơ写外挂时做的最��单的一�U��?/p>
　　记得�q�在“石器”时代的时候，我看到别人挂着一�U?a target="_blank">软�g�Q�外挂）人物��可以四外游赎ͼ�当时我还不知道外挂怎么�?/p>
事）�Q�于是找了这�U?a target="_blank">软�g�q�来研究�Q�拿来后才听别�h说这叫外挂）�Q�发现这�U�东东其实实现�v来�ƈ不难�Q�仔佃看其实人物
的行走无非就是鼠标在不同的地方点来点去而已�Q�看后就有实现这功能的冲动，随后跑到MSDN上看了一些资料，发现�q�种
实现�q�几个功能，只需要几个简单的API函数��可以搞定：
　　1、首先我们要知道现在鼠标的位�|�（��Z��好还原现在鼠标的位置�Q�所以我们就要用到API函数GetCursorPos�Q�它的��
用方法如下：

　　 2、我们把鼠标的位�|�移到要�?a target="_blank">人物走到的地方，我们��p��用到SetCursorPos函数来移动鼠标位�|�，它的使用�Ҏ��?/p>
下：

　　3、模拟鼠标发出按下和攑ּ�的动作，我们要用到mouse_event函数来实玎ͼ�具休使用�Ҏ��用下�Q?/p>

　　在它的dwFlags处，可用的事件很多如�U�d��MOUSEEVENTF_MOVE�Q�左键按下MOUSEEVENTF_LEFTDOWN�Q�左键放开
MOUSEEVENTF_LEFTUP�Q�具体的东东�q�是查一下MSDN吧~~~~~
　　好了�Q�有了前面的知识�Q�我们就可以来看�?a target="_blank">人物�U�走是怎么实现的了�Q?/p>

　　看了以上�?a target="_blank">代码�Q�是不是觉得人物的游走很��单啦~~�Q��D一仿三�Q�还有好多好东东可以用这�?a target="_blank">技�?/font>实现�Q�我早就说过
�Q�TMD�Q�这是垃圑֤�挂的做法�Q�相信了吧~~~�Q�，接下来，再看�?a target="_blank">游戏里面自动��d��的做法吧�Q�必需游戏�?a target="_blank">��d��支持快捷�?/p>
的）�Q�道理还是一��L��Q�只是用的API不同�|�了~~~�Q�这回我们要用到的是keybd_event函数�Q�其用法如下�Q?/p>

　　我们�q�要知道扫描码不可以直接使用�Q�要用函数MapVirtualKey把键��D�{成扫描码�Q�MapVirtualKey的具体��用方法如
下：

　　好了�Q�比说此快接键是CTRL+A�Q�接下来让我们看看实�?a target="_blank">代码是怎么写的�Q?/p>

　　首先模拟按下了CTRL键，再模拟按下A键，再模拟放开A键，最后放开CTRL键，�q�就是一个模拟按快捷键的周期�?/p>
　　�Q�看到这里，差不多对��易外挂有了一定的了解了吧~~~~做一个试试？如果你�D一仿三�q�能有更好的东东出来�Q�这��?/p>
要看你的领悟能力了~~�Q�不�q�不要高兴太早这只是才开始，以后�q�有更复杂的东东�{�着你呢~~�Q?/p>

本地修改式外�?/p>
　　现在我们来看看，比动作式外挂更进一步的外挂——本��C��改式外挂的整个制作过�E�进行一个详�l�的分解�?/p>
　　��h��所知，本地修改式外挂最典型的应用就是在“精灵�?a target="_blank">游戏上面�Q�因为我在近一�q�前�Q�“精灵”还在测试阶�D�）�Q?/p>
我所在的公司里有很多同事玩“精灵”，于是我看了一�?a target="_blank">游戏的数据处理方式，发现它所发送到服务器上的信息是存在�?/p>
内存当中�Q�我看后�W�一个感受是�Q�修改这�U?a target="_blank">游戏和修改单机版�?a target="_blank">游戏没有多大分别�Q�换句话说就是在他向服务器提交信�?/p>
之前修改了内存地址��可以了�Q�，当时我找��C��地址于是修改了内存地址�Q�果�Ӟ��按我的想法修改了地址�Q�让�pȝ��自动�?/p>
交后�Q�果然成功了~~~~~�Q�后来“精灵”又�Ҏ��了双地址校检�Q�内存校��{�等�Q�在�q�里我就不废话了~~~~�Q�OK�Q�我们就�?/p>
看看�q�类外挂是如何制作的�Q?/p>
　　在做外挂之前我们要对Windows的内存有个具体的认识�Q�而在�q�里我们所指的内存是指�pȝ��的内存偏�U�量�Q�也��是�?/p>
对内存，而我们所要对其进行修改，那么我们要对几个Windows API�q�行了解�Q�OK�Q�跟着例子让我们看清楚�q�种外挂的制
作和API的应用（��Z��保证�|�络游戏的正常运行，我就不把扑ֆ�存地址的方法详�l�解说了�Q�：
　　1、首先我们要用FindWindow,知道游戏�H�口的句柄，因�ؓ我们要通过它来得知游戏的运行后所在进�E�的ID�Q�下面就�?/p>
FindWindow的用法：

　　2、我们GetWindowThreadProcessId来得�?a target="_blank">游戏�H�口相对应进�E�的�q�程ID�Q�函数用法如下：
DWORD GetWindowThreadProcessId(
HWND hWnd, // handle of window
LPDWORD lpdwProcessId // address of variable for process identifier
);
　　3、得�?a target="_blank">游戏�q�程ID后，接下来的事是要以最高权限打开�q�程�Q�所用到的函数OpenProcess的具体��用方法如下：

　　在dwDesiredAccess之处��是讑֭�取方式的地方�Q�它可设的权限很多，我们在这里��用只要��用PROCESS_ALL_ACCESS
来打开�q�程��可以，其他的方式我们可以查一下MSDN�?/p>
　　4、打开�q�程后，我们��可以用函数对存内进行操作，在这里我们只要用到WriteProcessMemory来对内存地址写入�?/p>
据即可（其他的操作方式比如说�Q�ReadProcessMemory�{�，我在�q�里��׃��一一介绍了）�Q�我们看一下WriteProcessMemory
的用法：

　　5、下面用CloseHandle关闭�q�程句柄��完成了�?/p>
　　�q�就是这�c?a target="_blank">游戏外挂的程序实现部份的�Ҏ��Q�好了，有了此方法，我们��有了理性的认识�Q�我们看看实际例子，提升
一下我们的感性认识吧�Q�下面就是XX游戏的外�?a target="_blank">代码�Q�我们照上面的方法对应去研究一下吧�Q?/p>

　　�q�个游戏是用了多地址�Ҏ��要提交的数据�q�行了校验，所以说�q�类游戏外挂制作�q�不是很难，最隄��是要扑ֈ��q�些�?/p>
址�?/p>

木马式外�?/p>
　　木马式外挂，可能大多�?a target="_blank">木马吧，是帮助做外挂的�h偷取别�h游戏的帐号及密码的东东。因为网�l�上有此�c�d��挂的�?/p>
在，所以今天不得不说一下（我个人是非常讨厌�q�类外挂的，��L��q�本文的朋友不要到处��q��?a target="_blank">技�?/font>�Q�谢谢合作）。要�?/p>
此类外挂的程序实现方法很多（比如HOOK�Q�键盘监视等技�?/font>�Q�，因�ؓHOOK技�?/font>对程序员�?a target="_blank">技�?/font>要求比较高�ƈ且在实际应用
上需要多带一�?a target="_blank">动�?/font>链接库，所以在文中我会以键盘监�?a target="_blank">技�?/font>来实现此�c?a target="_blank">木马的制作。键盘监�?a target="_blank">技�?/font>只需要一�?exe文�g
��p��实现做到后台键盘监视�Q�这个程序用�q�种技�?/font>来实现比较适合�?/p>
　　在做�E�序之前我们必需要了解一下程序的思�\�Q?/p>
　　1、我们首先知道你惌��?a target="_blank">游戏的登录窗口名�U��?/p>
　　2、判断登录窗口是否出现�?/p>
　　3、如果登录窗口出玎ͼ��p��录键盘�?/p>
　　4、当�H�口关闭�Ӟ��把记录信息，通过邮�g发送到�E�序设计者的邮箱�?/p>
　　�W�一�Ҏ��׃��具体分析了，因�ؓ你们比我�q�要了解你们玩的是什�?a target="_blank">游戏�Q�登录窗口名�U�是什么。从�W�二点开始，我们
��开始这�c�d��挂的�E�序实现之旅�Q?/p>
　　那么我们要怎么样判断登录窗口虽否出现呢�Q�其实这个很��单，我们用FindWindow函数��可以很��L��的实��C��Q?/p>

　　实际�E�序实现中，我们要找�?xx'�H�口�Q�就用FindWindow(nil,'xx')如果当返回值大�?时表�C�窗口已�l�出玎ͼ�那么
我们��可以对键盘信息�q�行记录了�?/p>
　　先首我们用SetWindowsHookEx讄��监视日志�Q�而该函数的用法如下：

　　在这里要说明的是在我们程序当中我们要对HOOKPROC�q�里我们要通过写一个函敎ͼ�来实现而HINSTANCE�q�里我们直接
用本�E�序的HINSTANCE��可以了�Q�具体实现方法�ؓ�Q?/p>

　　而HOOKPROC里的函数��p��复杂一点点�Q?/p>

　　以上��是记录键盘的整个过�E�，��单吧�Q�如果记录完可不要忘记释攑֑��Q�UnHookWindowsHookEx(hHook)�Q�而hHOOK,��?/p>
是创建setwindowshookex后所�q�回的句柄�?/p>
　　我们已经得到了键盘的记录�Q�那么现在最后只要把记录的这些信息发送回来，我们��大功造成了。其他发送这块�ƈ�?/p>
是很难，只要把记录从文本文�g里边��d��来，用DELPHI自带的电子邮件组件发一下就万事OK了�?a target="_blank">代码如下�Q?/p>

　　�q�个�E�序全部功能已经实现�Q�编�~�试试�?/p>

加速型外挂
　　原本我一直以为加速外挂是针对某个游戏而写的，后来发现我这�U�概忉|��不对的，所谓加速外挂其实是修改旉��频率
辑ֈ�加速的目的�?/p>
　　以前DOS时代玩过�~�程的�h��׃��马上惛_��Q�这很简单嘛不就是直接修改一�?253寄存器嘛�Q�这在以前DOS时代可能可以
行得通，但是windows则不然。windows是一�?2位的操作�pȝ��Q��ƈ不是你想改哪��改哪的�Q�微软的东东��是如此霸气�Q�说
不给你改��׃��l�你改）�Q�但要改也不是不可能�Q�我们可以通过两种�Ҏ��来实玎ͼ��W�一是写一个硬仉��动来完成�Q�第二是�?/p>
Ring0来实玎ͼ��q�种�Ҏ��是CIH的作者陈盈豪首用的，它的原理是修改一下IDE�?>创徏一个中断门->�q�入Ring0->调用中断
修改向量�Q�但是没有办法只能用ASM汇编来实现这一�?_*�Q�做为高�U�语�a�使用者惨啦！�Q�，用第一�U�方法用炚w��烦，所�?/p>
我们在这里就用第二种�Ҏ��实现吧~~~
　　在实��C��前我们来理一下思�\吧：
　　1、我们首先要写一个过�E�在�q�个�q�程里嵌入汇�~�语�a�来实��C��改IDE表、创��Z��断门�Q�修改向量等工作
　　2、调用这个过�E�来实现加速功�?/p>
　　好了�Q�现在思�\有了�Q�我们就边看代码边讲解吧�Q?/p>
　　首先我们建立一个过�E�，�q�个�q�程��是本程序的核心部䆾�Q?/p>

　　最核心的东西已�l�写完了�Q�大部䆾读者是知其然不知其所以然吧，呵呵�Q�不�q�不知其所以然也然。下面我们就试着�?/p>
一下这个过�E�来做一个类��g��“变速��轮”的一个东东吧�Q?/p>
　　先加一个窗口，在窗口上放上一个trackbar控�g把其Max设�ؓ20�Q�Min设�ؓ1�Q�把Position设�ؓ10�Q�在�q�个控�g�?/p>
Change事�g里写上：

　　因�ؓwindows默认的��gؓ$1742�Q�所以我们把1742做�ؓ基数�Q�又因�ؓ��D��越快，反之��慢的原理，所以写了这样一�?/p>
公式�Q�好了，�q�就是“变速��轮”的一个Delphi�Q�ASM版了�Q�只适用于win9X�Q�，呵呵�Q�试一下吧�Q�这对你帮助会很大的�Q?/p>
呵呵�?/p>
　　在win2000里，我们不可能实现在直接对端口进行操作，Ring0也失了效�Q�有的�h��׃��惛_��Q�我们可以写驱动�E�序来完
成呀�Q�但在这里我告诉你，windows2000的驱动不是一个VxD��p��实现的，像我�q�样的低手是写不出windows所用的驱动WDM
的，没办法，我只有借助外力实现了，ProtTalk��是一个很好的讑֤�驱动�Q�他很方便的来实现对低层端口的操作，从而实
现加速外挂�?/p>
　　1、我们首先要下一个PortTalk驱动�Q�他的官方网站是http://www.beyondlogic.org/
　　2、我们要把里面的prottalk.sys拯��出来�?/p>
　　3、徏立一个Protalk.sys的接口（我想省略了，大家可以�?a >http://www.freewebs.com/liuyue/porttalk.pas下个pas
文�g自己看吧�Q?/p>
　　4、实现加速外挂�?/p>
　　下面��p��一下这�E�序的实现方法吧�Q�如果说用ProtTalk来操作端口就�Ҏ��多了�Q�比win98下用ring权限操作方便�?/p>
　　1、新��Z��个工�E�，把刚刚下的接口文件和Protalk.sys一��h��到工�E�文件保存的文�g夹下�?/p>
　　2、我们在我们新徏的工�E�加入我们的接口文�g

　　3、我们徏立一个过�E?/p>

　　4、先加一个窗口，在窗口上放上一个trackbar控�g把其Max设�ؓ20�Q�Min设�ؓ1�Q�把Position设�ؓ10�Q�在�q�个控�g�?/p>
Change事�g里写上：

　　��p��么容易�?/p>

在内存中修改数据的网游外�?/p>
[文章��D��]

现在很多游戏都是把一些信息存入内存单元的�Q�那么我们只需要修改具体内存值就能修�?a target="_blank">游戏中的属性，很多�|�络游戏�?/p>
不外于此

　　现在很多游戏都是把一些信息存入内存单元的�Q�那么我们只需要修改具体内存值就能修�?a target="_blank">游戏中的属性，很多�|�络�?/p>
戏也不外于此�?/p>

　　曑և�何时�Q�一些网�l?a target="_blank">游戏也是可以用内存外挂进行修改的�Q�后来被发现后，�q�些游戏��把单一内存地址�Ҏ��多内存地
址校验�Q�加大了修改隑ֺ��Q�不�q�仍然可以通过内存分析器可以破解的。诸如“FPE”这��L��软�g便提供了一定的内存分析
功能�?/p>
　　“FPE”是��Z��内存外挂的佼��D��，是家��L��晓的游戏修改软�g。很多同�cȝ��软�g都是模仿“FPE”而得到玩家的认可
。而“FPE”实现的技�?/font>到现在都没有公开�Q�很多�h只能够通过猜测“FPE”的实现�Ҏ��Q�实现同�c�d��挂。笔者也曄��模仿
�q�“FPE”实现相应的功能�Q�如“内存修改”、“内存查询”等技�?/font>。稍后会�Ҏ��技�?/font>�q�行剖析�?/p>
　　既然要做内存外挂�Q�那么就必须对Windows的内存机制有所了解�?a target="_blank">计算�?/font>的内�?RAM)��L��不够用的�Q�在操作�pȝ��中内
存就有物理内存和虚拟内存之分�Q�因为程序创建放入物理内存的地址都是在变化的�Q�所以在得到游戏属性时�q�不能够直接
讉K��物理内存地址。在v86模式下，�D�寄存器使用�Ҏ��与实模式相同�Q�那么可以通过�D�寄存器的值左�U?位加上地址偏移�?/p>
��可以得到线性地址�Q�而程序创建时在线性地址的中保留4MB-2GB的一�D�地址�Q?a target="_blank">游戏中属性便放于此。在windows中把虚拟
内存块称之�ؓ��，而每��ؓ4KB�Q�在讉K��内存时读�?a target="_blank">游戏属性时�Q��ؓ了不破坏数据完整性的快速浏览内存地址��|��最好一
�ơ访问一��c�?/p>
　　在操作进�E�内存时�Q�不需要再使用汇编语言�Q�Windows中提供了一些访问进�E�内存空间的API�Q�便可以直接对进�E�内�?/p>
�q�行操作。但初学者一般掌握不了这一��?a target="_blank">技�?/font>�Q��ؓ了��初学者也能够对内存进行操作，做出��Z��内存控制的外挂，�W�者把
一些内存操作及一些内存操作逻辑�q�行了封装，以控件�Ş式提供给初学者。控件名为：MpMemCtl�?/p>
　　初学者在使用此控件时�Q�要先安装外挂引擎控件包�Q�在此后的每��文章中外挂引擎控�g包仅提供与该文章相应的控�?/p>
控�g�Q�，具体控�g安装方式�Q�请参阅《Delphi指南》，�׃��幅所限，恕不能详�l�提供�?/p>
　　在引擎安装完成后�Q�便可以在Delphi中的�l��g栏内�Q�找到[MP GameControls]控�g�l�，其中可以扑ֈ�[MpMemCtl]控�g
。初学者可以��用此控�g可以对内存进行控制�?/p>
　　一�?得到�q�程句柄
　　需要操�?a target="_blank">游戏内存,那么首先必须��认要操作的游戏,�?a target="_blank">游戏�E�序在运行时所产生的每一个进�E�都有一个唯一的句柄�?/p>
　　使用控�g得到句柄有三�U�方法：
　　1�?通过控�g打开�E�序得到句柄�?/p>
　　在控件中�Q�提供了startProgram�Ҏ��Q�通过该方法，可以打开�E�序得到�q�程句柄�Q��ƈ且可以返回进�E�信息�?/p>

　　该方法提供了两个参数�Q�第一个参��Cؓ要打开的程序�\径，�W�二个参��Cؓ打开�E�序后所创徏�q�程的进�E�信息。��用这
个方法在得到�q�程信息的同�Ӟ��q�给控�g的ProcHandle�Q�进�E�句柄）属性进行了附��|��q�时可以使用控�g直接对内存进�E?/p>
��d��操作。其应用实例如下�Q?/p>

　　2、通过控�g�Ҏ��E�序名称得到句柄�?/p>
　　在控件中�Q�对�pȝ��q�行�q�程也有了相应的描述�Q�控件提供了两个�Ҏ��Q�用于根据程序名�U�得到相应的�q�程句柄�?/p>
getProcIDs()可以得到�pȝ��现在所�q�行的所有程序的名称列表。getProcID()可以通过所�q�行�E�序名称�Q�得到相应进�E�的
句柄�?/p>

　　其应用实例如下：
　　首先可以通过getProcIDs()�q�把参数列表�q�回ComboBox1.Items里：

　　接着可以通过getProcID()得到相应的进�E�句柄，�q�给控�g的ProcHandle�Q�进�E�句柄）属性进行了附��|��q�时可以�?/p>
用控件直接对内存�q�程��d��操作�?/p>

　　3、通过控�g�Ҏ��H�口名称得到句柄�?/p>
　　在控件中�Q�控件提供了两个�Ҏ��Q�用于根据窗口名�U�得到相应的�q�程句柄。可以通过getALLWindow()得到所有在�q�程
中运行的�H�口。getWinProcHandle()可以通过相应的窗口名�U�ͼ�得到相应的进�E�的句柄�?/p>

　　其应用实例如下：
　　首先可以通过getALLWindow ()�q�把参数列表�q�回ComboBox1.Items里：

　　接着可以通过getWinProcHandle ()得到相应的进�E�句柄，�q�给控�g的ProcHandle�Q�进�E�句柄）属性进行了附��|��q?/p>
时可以��用控件直接对内存�q�程��d��操作�?/p>

　　二、��游戏暂停
　　在程序中�Q��ؓ了便于更好的得到游戏的当前属性。在控�g中提供了游戏暂停�Ҏ��。只需要调用该�Ҏ��Q?a target="_blank">游戏便可以自
��q��暂停或启动。该�Ҏ��为：pauseProc()

　　控制�c�d��只能够传入参�?�?�Q?代表�?a target="_blank">游戏暂停�Q?代表取消暂停。其应用实例如下�Q?/p>

　　三、读写内存�?/p>
　　游戏属性其实寄存在内存地址值里�Q?a target="_blank">游戏中要了解或修�?a target="_blank">游戏属性，可以通过对内存地值的��d��或写入完成�?/p>
　　通过控�g�Q�要��d��内存地址值很�Ҏ��。可以通过调用控�g提供的getAddressValue�Q�）及setAddressValue�Q�）两个�?/p>
法即可，在��用方法之前，要确认的是要�l�ProcHandle属性进行附��|��因�ؓ对内存的操作必须��Z��q�程。给ProcHandle�?/p>
性附值的�Ҏ��Q�在上文中已�l�介�l�。无论是对内存��D��行读�q�是�q�行写，都要明确所要操作的内存地址�?/p>

　　要注意的是，传入内存地址�Ӟ��内存地址必须为Pointer型。其应用实例如下�Q?/p>
　　��d��地址��|��如果“主角”等�U�所存放的地址�?549632�Q�：

　　�q�时aValue变量里的��gؓ内存地址[4549632]的倹{�?/p>
　　写入地址��|��

　　通过该方法可以把要修改的内存地址值改�?7�Q�即把“主角”等�U�改�?7�?/p>
　　四、内存地址值分�?/p>
　　�?a target="_blank">游戏中要惌��?a target="_blank">游戏属性存攄��内存地址�Q�那么就对相应内存地址�q�行内存分析�Q�经�q�分析以后才可得�?a target="_blank">游戏属�?/p>
存放的�h存地址�?/p>
　　控�g提供两种��Z��内存地址的分析方法。一�U�是按精��地址��D��行搜索分析，另一�U�是按内存变化增减量�q�行搜烦�?/p>
析�?/p>
　　1�?如果很明��的知道当前惌��修改的地址��|��那么��q��_��地址��D��行搜索分�?/p>
　　�?a target="_blank">游戏中，需要修�?a target="_blank">人物的经验��|��那么首先要从游戏画面上获得经验��g��息，�?a target="_blank">游戏人物当前�l�验��gؓ9800�Q�需�?/p>
把经验��D��高，那么�q�时候就需要对人物�l�验值在内存中搜索得到相应的内存地址�Q�当然很可能在内存中地址��gؓ9800�?/p>
很多�Q�第一�ơ很可能搜烦��q�个地址��gؓ9800的地址。等待经验值再有所变化�Q�如�?800变�ؓ�?0000�Ӟ��再次�q�行�?/p>
索，那么从刚刚所搜烦到的地址中，便可以进一步获得范围更��的内存地址�Q�以此类推，那么最后可得到�l�验值具体存�?/p>
的地址�?/p>
　　如要用控件来实现内存值精��搜索，其实�Ҏ��很简单，只需要调用该控�g的Search�Q�）�Ҏ��卛_��。但是在搜烦之前�?/p>
��认搜烦的范��_��正如前文中所��_��“而程序创建时在线性地址的中保留4MB-2GB的一�D�地址”，所以要搜烦的地址应该
�?MB-2GB之间�Q�所以要把控件的MaxAddress属性设�?GB�Q�把控�g的MinAddress属性设�?MB。还有一个需要确认的是需
要搜索的��|��那么应该把SearchValue属性设�|��ؓ当前搜烦的倹{��如果需要显�C�搜索进度那么可以把ShowGauge属性挂上一
个相应的TGauge控�g�Q�该控�g��度条控�g�Q��?/p>

　　在搜索分析时��Z��提高搜烦效率、实��C��务逻辑�Q�那么需要传入一个参敎ͼ�从而确认是否是�W�一�ơ进行内存。其应用
实例如下�Q?/p>

　　2�?如果不明��当前想要修改的地址��|��只知道想要修改的值变大或变小�Q�那么就按内存变化增减量�q�行搜烦分析�?/p>
　　如有�?a target="_blank">游戏�?a target="_blank">人物血��g��昄��出来�Q�但要对人物血��D��行修改，那么只有借助于内存量增减变化而进行搜索分析出�?/p>
人物血值存攄��地址。如�?a target="_blank">人物被怪物打了一下，那么人物血值就会减��，那么�q�时候就用减量进行搜索分析，如果人物
吃了“血�?a target="_blank">人物血值就会增加，那么�q�时候就用增量进行搜索分析。经�q�不断搜索，最后会把范围放血值的内存地址�l�搜
索出来�?/p>
　　如要用控件来实现内存值精��搜索，其实�Ҏ��很简单，只需要调用该控�g的compare()�Ҏ��卛_��。MaxAddress�?/p>
MinAddress属性设�|�上面章节中有详�l�介�l�，在此不再重提。在此分析中不需要再指定SearchValue属性。如果需要显�C?/p>
搜烦�q�度那么可以把ShowGauge属性挂上一个相应的TGauge控�g�?/p>

　　在搜索分析时��Z��提高搜烦效率、实��C��务逻辑�Q�那么需要传入一个参敎ͼ�从而确认是否是�W�一�ơ进行内存。搜索分
析类型有两种�Q�如果参数��gؓ0�Q�那么就代表增量搜烦。如果参数��gؓ1�Q�那么就代表减量搜烦。其应用实例如下�Q?/p>

　　五、得到内存地址�?/p>
　　在控件中�Q�提供获得分析后内存地址列表的方法，只需要调用getAddressList()�Ҏ��Q�便可以获得分析�q�程中或分析
�l�果地址列表。但如果使用的是按内存变化增减量�q�行搜烦分析的方法，那么�W�一�ơ可能会搜烦出来很多的地址�Q�致使返
回速度�q�长�Q�那么徏议��用getAddressCount�Q�）�Ҏ��定�q�回列表��Z��定长度后才给予返回�?/p>

　　其应用实例如下：

　　通过以上五个步骤�Q�便可以整合成一个功能比较完备的�Q�基于内存控制方法的游戏外挂。有了“FPE”的关键部䆾�?/p>
能。利用此工具�Q�通过一些方法，不仅仅可以分析出�?a target="_blank">游戏属性单内存地址�Q�而且可以分析��Z��部䆾多内�?a target="_blank">游戏属性存�?/p>
地址�?/p>

�? 2006-11-18 16:55 发表评论

�? — Sat, 18 Nov 2006 08:55:00 GMT

存在两种字节��序�Q�NBO与HBO

�|�络字节��序NBO�Q�Network Byte Order�Q�：
按从高到低的��序存储�Q�在�|�络上��用统一的网�l�字节顺序，可以避免兼容性问题�?/p>
��L��字节��序�Q�HBO�Q�Host Byte Order�Q�：
不同的机器HBO不相同，与CPU设计有关

计算机数据存储有两种字节优先��序�Q�高位字节优先和低位字节优先。Internet上数据以高位字节优先��序在网�l�上传输�Q�所以对于在内部是以低位字节优先方式存储数据的机器，在Internet上传输数据时��需要进行�{换�?
　　我们要讨论的�W�一个结构类型是�Q�struct sockaddr�Q�该�c�d��是用来保存socket信息的：
　　struct sockaddr {
　　unsigned short sa_family; /* 地址族， AF_xxx */
　 char sa_data[14]; /* 14 字节的协议地址 */ };
　　sa_family一般�ؓAF_INET�Q�sa_data则包含该socket的IP地址和端口号�?
　　另外�q�有一�U�结构类型：
　　struct sockaddr_in {
　　 short int sin_family; /* 地址�?*/
　　 unsigned short int sin_port; /* 端口�?*/
　　 struct in_addr sin_addr; /* IP地址 */
　　 unsigned char sin_zero[8]; /* 填充0 以保持与struct sockaddr同样大小 */
　　};
　　�q�个�l�构使用更�ؓ方便。sin_zero(它用来将sockaddr_in�l�构填充��C��struct sockaddr同样的长�?应该用bzero()或memset()函数��其�|��ؓ零。指向sockaddr_in 的指针和指向sockaddr的指针可以相互�{换，�q�意味着如果一个函数所需参数�c�d��是sockaddr�Ӟ��你可以在函数调用的时候将一个指向sockaddr_in的指针�{换�ؓ指向sockaddr的指针；或者相反。sin_family通常被赋AF_INET�Q�sin_port和sin_addr应该转换成�ؓ�|�络字节优先��序�Q�而sin_addr则不需要�{换�?
　　我们下面讨论几个字节��序转换函数�Q?
　　htons()--"Host to Network Short" ; htonl()--"Host to Network Long"
　　ntohs()--"Network to Host Short" ; ntohl()--"Network to Host Long"
　　在这里， h表示"host" �Q�n表示"network"�Q�s 表示"short"�Q�l表示 "long"�?
　　打开socket 描述�W�、徏立绑定�ƈ建立�q�接
　　socket函数原型为：
　　int socket(int domain, int type, int protocol);
　　domain参数指定socket的类型：SOCK_STREAM 或SOCK_DGRAM�Q�protocol通常赋值�?”。Socket()调用�q�回一个整型socket描述�W�，你可以在后面的调用��用它�?
　　一旦通过socket调用�q�回一个socket描述�W�，你应该将该socket与你本机上的一个端口相兌��Q�往往当你在设计服务器端程序时需要调用该函数。随后你��可以在该端口监听服务请�?而客��L��一般无��调用该函数�Q��?Bind函数原型为：
　　int bind(int sockfd,struct sockaddr *my_addr, int addrlen);
　　Sockfd是一个socket描述�W�，my_addr是一个指向包含有本机IP地址及端口号�{�信息的sockaddr�c�d��的指�?addrlen常被讄��为sizeof(struct sockaddr)�?
　　最后，对于bind 函数要说明的一�Ҏ��Q�你可以用下面的赋值实现自动获得本机IP地址和随��取一个没有被占用的端口号�Q?
　　my_addr.sin_port = 0; /* �pȝ��随机选择一个未被��用的端口�?*/
　　my_addr.sin_addr.s_addr = INADDR_ANY; /* 填入本机IP地址 */
　　通过��my_addr.sin_port�|��ؓ0�Q�函��C��自动��Z��选择一个未占用的端口来使用。同��P��通过��my_addr.sin_addr.s_addr�|��ؓINADDR_ANY�Q�系�l�会自动填入本机IP地址。Bind()函数在成功被调用时返�?�Q�遇到错误时�q�回�?1”�ƈ��errno�|��ؓ相应的错误号。另外要注意的是�Q�当调用函数�Ӟ��一般不要将端口��L��为小�?024的��|��因�ؓ1~1024是保留端口号�Q�你可以使用大于1024中�Q何一个没有被占用的端口号�?
　　Connect()函数用来与远端服务器建立一个TCP�q�接�Q�其函数原型为：
　　int connect(int sockfd, struct sockaddr *serv_addr, int addrlen);
　　Sockfd是目的服务器的sockt描述�W�；serv_addr是包含目的机IP地址和端口号的指针。遇到错误时�q�回-1�Q��ƈ且errno中包含相应的错误码。进行客��L��E�序设计无须调用bind()�Q�因��U�情况下只需知道目的机器的IP地址�Q�而客户通过哪个端口与服务器建立�q�接�q�不需要关心，内核会自动选择一个未被占用的端口供客��L��来��用�?
　　Listen()——监听是否有服务��h��
　　在服务器端程序中�Q�当socket与某一端口捆绑以后�Q�就需要监听该端口�Q�以便对到达的服务请求加以处理�?
　　int listen(int sockfd�Q?int backlog);
　　Sockfd是Socket�pȝ��调用�q�回的socket 描述�W�；backlog指定在请求队列中允许的最大请求数�Q�进入的�q�接��h��在队列中等待accept()它们�Q�参考下文）。Backlog寚w��列中�{�待服务的请求的数目�q�行了限�Ӟ��大多数系�l�缺省��gؓ20。当listen遇到错误时返�?1�Q�errno被置为相应的错误码�?
　　故服务器端程序通常按下列顺序进行函数调用：
　　socket(); bind(); listen(); /* accept() goes here */
　　accept()——连接端口的服务��h��?
　　当某个客��L��试图与服务器监听的端口连接时�Q�该�q�接��h��排队等待服务器accept()它。通过调用accept()函数为其建立一个连接，accept()函数��返回一个新的socket描述�W�，来供�q�个新连接来使用。而服务器可以�l�箋在以前的那个 socket上监听，同时可以在新的socket描述�W�上�q�行数据send()�Q�发送）和recv()�Q�接�Ӟ��操作�Q?
　　int accept(int sockfd, void *addr, int *addrlen);
　　sockfd是被监听的socket描述�W�，addr通常是一个指向sockaddr_in变量的指针，该变量用来存放提��接请求服务的��L��的信息（某台��L��从某个端口发��h��Q�；addrten通常��Z��个指向��gؓsizeof(struct sockaddr_in)的整型指针变量。错误发生时�q�回一�?1�q�且讄��相应的errno倹{�?
　　Send()和recv()——数据传�?
　　�q�两个函数是用于面向�q�接的socket上进行数据传输�?
　　Send()函数原型为：
　　int send(int sockfd, const void *msg, int len, int flags);
　　Sockfd是你想用来传输数据的socket描述�W�，msg是一个指向要发送数据的指针�?
　　Len是以字节为单位的数据的长度。flags一般情况下�|��ؓ0�Q�关于该参数的用法可参照man手册�Q��?
　　char *msg = "Beej was here!"; int len�Q?bytes_sent; ... ...
　　len = strlen(msg); bytes_sent = send(sockfd, msg,len,0); ... ...
　　Send()函数�q�回实际上发送出的字节数�Q�可能会��于你希望发送的数据。所以需要对send()的返回��D��行测量。当send()�q�回��g��len不匹配时�Q�应该对�q�种情况�q�行处理�?
　　recv()函数原型为：
　　int recv(int sockfd,void *buf,int len,unsigned int flags);
　　Sockfd是接受数据的socket描述�W�；buf 是存放接收数据的�~�冲区；len是缓冲的长度。Flags也被�|��ؓ0。Recv()�q�回实际上接收的字节敎ͼ�或当出现错误�Ӟ��q�回-1�q�置相应的errno倹{�?
　　Sendto()和recvfrom()——利用数据报方式�q�行数据传输
　　在无�q�接的数据报socket方式下，�׃��本地socket�q�没有与�q�端机器建立�q�接�Q�所以在发送数据时应指明目的地址�Q�sendto()函数原型为：
　　int sendto(int sockfd, const void *msg,int len,unsigned int flags,const struct sockaddr *to, int tolen);
　　该函数比send()函数多了两个参数�Q�to表示目地机的IP地址和端口号信息�Q�而tolen常常被赋��gؓsizeof (struct sockaddr)。Sendto 函数也返回实际发送的数据字节长度或在出现发送错误时�q�回-1�?
　　Recvfrom()函数原型为：
　　int recvfrom(int sockfd,void *buf,int len,unsigned int flags,struct sockaddr *from,int *fromlen);
　　from是一个struct sockaddr�c�d��的变量，该变量保存源机的IP地址及端口号。fromlen常置为sizeof (struct sockaddr)。当recvfrom()�q�回�Ӟ��fromlen包含实际存入from中的数据字节数。Recvfrom()函数�q�回接收到的字节数或当出现错误时�q�回-1�Q��ƈ�|�相应的errno�?
　　应注意的一�Ҏ��Q�当你对于数据报socket调用了connect()函数�Ӟ��你也可以利用send()和recv()�q�行数据传输�Q�但该socket仍然是数据报socket�Q��ƈ且利用传输层的UDP服务。但在发送或接收数据报时�Q�内�怼�自动��Z��加上目地和源地址信息�?
　　Close()和shutdown()——结束数据传�?
　　当所有的数据操作�l�束以后�Q�你可以调用close()函数来释放该socket�Q�从而停止在该socket上的��M��数据操作�Q�close(sockfd);
　　你也可以调用shutdown()函数来关闭该socket。该函数允许你只停止在某个方向上的数据传输，而一个方向上的数据传输��l�进行。如你可以关闭某socket的写操作而允许��l�在该socket上接受数据，直至��d��所有数据�?
　　int shutdown(int sockfd,int how);
　　Sockfd的含义是显而易见的�Q�而参�?how可以设�ؓ下列��|��
　　·0-------不允许��l�接收数�?
　　·1-------不允许��l�发送数�?
　　·2-------不允许��l�发送和接收数据�Q�均为允许则调用close ()
　　shutdown在操作成功时�q�回0�Q�在出现错误时返�?1�Q��ƈ�|�相应errno�Q��?
　　DNS——域名服务相兛_��?
　　�׃��IP地址难以记忆和读写，所以�ؓ了读写记忆方便，��Z��常常用域名来表示��L��Q�这��需要进行域名和IP地址的�{换。函数gethostbyname()��是完成�q�种转换的，函数原型为：
　　struct hostent *gethostbyname(const char *name);
　　函数�q�回一�U�名为hosten的结构类型，它的定义如下�Q?
　　struct hostent {
　　 char *h_name; /* ��L��的官方域�?*/
　　 char **h_aliases; /* 一个以NULL�l�尾的主机别名数�l?*/
　　 int h_addrtype; /* �q�回的地址�c�d��Q�在Internet环境下�ؓAF-INET */
　　 int h_length; /*地址的字节长�?*/
　　 char **h_addr_list; /* 一个以0�l�尾的数�l�，包含该主机的所有地址*/
　　};
　#define h_addr h_addr_list[0] /*在h-addr-list中的�W�一个地址*/

2、将��L��的unsigned long��D�{换�ؓ�|�络字节��序(32�?�Q��ؓ什么要�q�样做呢�Q�因��Z��同的计算��Z��用不同的字节��序存储数据。因此�Q何从Winsock函数对IP地址和端口号的引用和传给Winsock函数的IP地址和端口号均时按照�|�络��序�l�织的�?br />      u_long htonl(u_long hostlong);
      举例�Q�htonl(0)=0
      htonl(80)= 1342177280

3、将unsigned long��C��|�络字节��序转换位主机字节顺序，是上面函数的逆函数。     �?u_long ntohl(u_long netlong);
      举例�Q�ntohl(0)=0
      ntohl(1342177280)= 80

4、将��L��的unsigned short��D�{换�ؓ�|�络字节��序(16�?�Q�原因同2�Q�     �?u_short htons(u_short hostshort);
      举例�Q�htonl(0)=0
      htonl(80)= 20480

5、将unsigned short��C��|�络字节��序转换位主机字节顺序，是上面函数的逆函数。     �?u_short ntohs(u_short netshort);
      举例�Q�ntohs(0)=0
      ntohsl(20480)= 80

�? 2006-11-18 16:55 发表评论

�? — Sat, 18 Nov 2006 08:54:00 GMT

(8).�~�译��目ActiveKey�Q�生成ActiveKey.DLL和ActiveKey.lib�?
　　接着�Q�我们还需要创��Z��个外壳程序将全局钩子安装了Windows�pȝ��中，�q�个外壳�E�序�~�写步骤如下�Q?/p>
　　(1).创徏一个对话框模式的应用程序，��目名�ؓSimulate�?/p>
　　(2).在主对话框中加入一个按钮，使用ClassWizard为其创徏CLICK事�g�?/p>
　　(3).��ActiveKey��目Debug目录下的ActiveKey.DLL和ActiveKey.lib拯��到Simulate��目目录下�?/p>
　　(4).从“工�E�”菜单中选择“设�|�”，弹出Project Setting对话框，选择Link标签�Q�在“对�?库模块”中输入
ActiveKey.lib�?/p>
　　(5).��ActiveKey��目中的ActiveKey.h头文件加入到Simulate��目中，�q�在Stdafx.h中加�?include ActiveKey.h�?/p>
　　(6).在按钮单��M��件函数输入如�?a target="_blank">代码�Q?/p>
　　　void CSimulateDlg::OnButton1()
　　　{
// TODO: Add your control notification handler code here
if( !bSetup )
{
m_hook.Start();//�Ȁ�z�d��局钩子�?br />}
else
{
m_hook.Stop();//撤消全局钩子�?br />}
bSetup = !bSetup;
　　　}
　　(7).�~�译��目�Q��ƈ�q�行�E�序�Q�单��L��钮激�z�d��挂�?/p>
　　(8).�?a target="_blank">动画�W�程序，选择文本工具�q�将�W�的颜色讄��为红�Ԍ��鼠标放在�Q意位�|�后�Q�按F10键，�ȝ��E�序自动�U�d��
鼠标�q�写下一个红色的大写R。图一展示了按F10键前的画�W�程序的状态，图二展示了按F10键后的画�W�程序的状态�?/p>

图一�Q�按F10前状�?001.jpg)

图二�Q�按F10后状�?002.jpg)

　五、封�?a target="_blank">技�?/font>
　　通过对动作模�?a target="_blank">技�?/font>的介�l�，我们�?a target="_blank">游戏外挂有了一定程度上的认识，也学会了使用动作模拟技�?/font>来实现简单的动作
模拟�?a target="_blank">游戏外挂的制作。这�U�动作模拟型游戏外挂有一定的局限性，它仅仅只能解决��?a target="_blank">计算�?/font>代替人力完成那么有规�?/p>
、繁琐而无聊的游戏动作。但是，随着�|�络游戏的盛行和复杂度的增加�Q�很�?a target="_blank">游戏要求��客��L��动作信息及时反馈�?a target="_blank">服务
器，通过服务器对�q�些动作信息�q�行有效认证后，再向客户端发送下一�?a target="_blank">游戏动作信息�Q�这样动作模�?a target="_blank">技�?/font>��失��d��有的
效应。�ؓ了更好地“外挂”这�?a target="_blank">游戏�Q?a target="_blank">游戏外挂�E�序也进行了升��换代�Q�它们将以前针对游戏用户界面层的模拟推进到数
据通讯层，通过��包技�?/font>在客��L��挡截游戏服务器发送来�?a target="_blank">游戏控制数据包，分析数据包�ƈ修改数据包；同时�q�需按照�?/p>
戏数据包�l�构创徏数据包，再模拟客��L��发送给游戏服务器，�q�个�q�程其实��是一个封包的�q�程�?/p>
　　��包�?a target="_blank">技�?/font>是实现第二类游戏外挂的最核心�?a target="_blank">技�?/font>。封�?a target="_blank">技�?/font>涉及�?a target="_blank">知识很广泛，实现�Ҏ��也很多，如挡截WinSock
、挡截API函数、挡截消息、VxD驱动�E�序�{�。在此我们也不可能在此文中将所有的��包技�?/font>都进行详�l�介�l�，故选择两种
�?a target="_blank">游戏外挂�E�序中最常用的两�U�方法：挡截WinSock和挡截API函数�?/p>
　　1�Q?挡截WinSock
　　众所周知�Q�Winsock是Windows�|�络�~�程接口�Q�它工作于Windows应用层，它提供与底层传输协议无关的高层数据传�?/p>
�~�程接口。在Windows�pȝ��中，使用WinSock接口为应用程序提供基�?a target="_blank">TCP/IP协议的网�l�访�?a target="_blank">服务�Q�这�?a target="_blank">服务是由
Wsock32.DLL动�?/font>链接库提供的函数库来完成的�?/p>
　　�׃��说明可知�Q��Q何Windows��Z��TCP/IP的应用程序都必须通过WinSock接口讉K��|�络�Q�当然网�l?a target="_blank">游戏�E�序也不例外�?/p>
由此我们可以惌��一下，如果我们可以控制WinSock接口的话�Q�那么控�?a target="_blank">游戏客户端程序与服务器之间的数据包也��易�?/p>
反掌。按着�q�个思�\�Q�下面的工作��是如何完成控制WinSock接口了。由上面的介�l�可知，WinSock接口其实是由一�?a target="_blank">动�?/font>
链接库提供的一�p�d��函数�Q�由�q�些函数实现对网�l�的讉K��。有了这层的认识�Q�问题就好办多了�Q�我们可以制作一个类似的
动�?/font>链接库来代替原WinSock接口库，在其中实现WinSock32.dll中实现的所有函敎ͼ��q�保证所有函数的参数个数和顺序�?/p>
�q�回值类型都应与原库相同。在�q�个自制作的动�?/font>库中�Q�可以对我们感兴��的函数�Q�如发送、接收等函数�Q�进行挡截，�?/p>
入外挂控�?a target="_blank">代码�Q�最后还�l�箋调用原WinSock库中提供的相应功能函敎ͼ��q�样��可以实现对�|�络数据包的挡截、修改和�?/p>
送等��包功能�?/p>
　　下面重点介绍创徏挡截WinSock外挂�E�序的基本步骤：
　　(1) 创徏DLL��目�Q�选择Win32 Dynamic-Link Library�Q�再选择An empty DLL project�?/p>
　　(2) 新徏文�gwsock32.h�Q�按如下步骤输入代码�Q?/p>
　　�?加入相关变量声明�Q?/p>
　　　HMODULE hModule=NULL; //模块句柄
　　　char buffer[1000]; //�~�冲�?br />　　　FARPROC proc; //函数入口指针
　　�?定义指向原WinSock库中的所有函数地址的指针变量，因WinSock库共提供70多个函数�Q�限于篇�q�，在此��只选择
几个常用的函数列出，有关�q�些库函数的说明可参考MSDN相关内容�?/p>
　　　//定义指向原WinSock库函数地址的指针变量�?br />　　　SOCKET (__stdcall *socket1)(int ,int,int);//创徏Sock函数�?br />　　　int　(__stdcall *WSAStartup1)(WORD,LPWSADATA);//初始化WinSock库函数�?br />　　　int　(__stdcall *WSACleanup1)();//清除WinSock库函数�?br />　　　int (__stdcall *recv1)(SOCKET ,char FAR * ,int ,int );//接收数据函数�?br />　　　int (__stdcall *send1)(SOCKET ,const char * ,int ,int);//发送数据函数�?br />　　　int (__stdcall *connect1)(SOCKET,const struct sockaddr *,int);//创徏�q�接函数�?br />　　　int (__stdcall *bind1)(SOCKET ,const struct sockaddr *,int );//�l�定函数�?br />　　　......其它函数地址指针的定义略。�?
　　(3) 新徏wsock32.cpp文�g�Q�按如下步骤输入代码�Q?/p>
　　�?加入相关头文件声明：
　　　#include
　　　#include
　　　#include "wsock32.h"
　　�?��d��DllMain函数�Q�在此函��C��首先需要加载原WinSock库，�q�获取此库中所有函数的地址�?a target="_blank">代码如下�Q?/p>
　　　BOOL WINAPI DllMain (HANDLE hInst,ULONG ul_reason_for_call,LPVOID lpReserved)
　　　{
　　　　if(hModule==NULL){
　　　　　//加蝲原WinSock库，原WinSock库已复制为wsock32.001�?br />　　　hModule=LoadLibrary("wsock32.001");
　　}
　　　　else return 1;
//获取原WinSock库中的所有函数的地址�q�保存，下面仅列出部�?a target="_blank">代码�?br />if(hModule!=NULL){
　　　　　//获取原WinSock库初始化函数的地址�Q��ƈ保存到WSAStartup1中�?br />proc=GetProcAddress(hModule,"WSAStartup");
　　　WSAStartup1=(int (_stdcall *)(WORD,LPWSADATA))proc;
　　　　　//获取原WinSock库消除函数的地址�Q��ƈ保存到WSACleanup1中�?br />　　　　proc=GetProcAddress(hModule i,"WSACleanup");
　　　　WSACleanup1=(int (_stdcall *)())proc;
　　　　　//获取原创建Sock函数的地址�Q��ƈ保存到socket1中�?br />　　　　proc=GetProcAddress(hModule,"socket");
　　　　　socket1=(SOCKET (_stdcall *)(int ,int,int))proc;
　　　　　//获取原创��接函数的地址�Q��ƈ保存到connect1中�?br />　　　　　proc=GetProcAddress(hModule,"connect");
　　　　　connect1=(int (_stdcall *)(SOCKET ,const struct sockaddr *,int ))proc;
　　　　　//获取原发送函数的地址�Q��ƈ保存到send1中�?br />　　　　　proc=GetProcAddress(hModule,"send");
　　　　　send1=(int (_stdcall *)(SOCKET ,const char * ,int ,int ))proc;
　　　　　//获取原接收函数的地址�Q��ƈ保存到recv1中�?br />　　　　　proc=GetProcAddress(hModule,"recv");
　　　　　recv1=(int (_stdcall *)(SOCKET ,char FAR * ,int ,int ))proc;
　　　　　......其它获取函数地址代码略�?br />　　　}
　　　else return 0;
　　　return 1;
}
　　�?定义库输出函敎ͼ�在此可以�Ҏ��们感兴趣的函��C��d��外挂控制代码�Q�在所有的输出函数的最后一步都调用�?/p>
WinSock库的同名函数。部分输出函数定�?a target="_blank">代码如下�Q?/p>
//库输出函数定义�?br />//WinSock初始化函数�?br />　　　　int PASCAL FAR WSAStartup(WORD wVersionRequired, LPWSADATA lpWSAData)
　　　　{
　　　　　//调用原WinSock库初始化函数
　　　　　return WSAStartup1(wVersionRequired,lpWSAData);
　　　　}
　　　　//WinSock�l�束清除函数�?br />　　　　int PASCAL FAR WSACleanup(void)
　　　　{
　　　　　return WSACleanup1(); //调用原WinSock库结束清除函数�?br />　　　　}
　　　　//创徏Socket函数�?br />　　　　SOCKET PASCAL FAR socket (int af, int type, int protocol)
　　　　{
　　　　　//调用原WinSock库创建Socket函数�?br />　　　　　return socket1(af,type,protocol);
　　　　}
　　　　//发送数据包函数
　　　　int PASCAL FAR send(SOCKET s,const char * buf,int len,int flags)
　　　　{
　　　//在此可以对发送的�~�冲buf的内容进行修改，以实现欺�?a target="_blank">服务器�?br />　　　外挂代码......
　　　//调用原WinSock库发送数据包函数�?br />　　　　　return send1(s,buf,len,flags);
　　　　}
//接收数据包函数�?br />　　　　int PASCAL FAR recv(SOCKET s, char FAR * buf, int len, int flags)
　　　　{
　　　//在此可以挡截�?a target="_blank">服务器端发送到客户端的数据包，先将其保存到buffer中�?br />　　　strcpy(buffer,buf);
　　　//对buffer数据包数据进行分析后�Q�对其按照玩家的指��o�q�行相关修改�?br />　　　外挂代码......
　　　//最后调用原WinSock中的接收数据包函数�?br />　　　　　return recv1(s, buffer, len, flags);
　　　　　}
　　　　.......其它函数定义代码略�?/p>

�? 2006-11-18 16:54 发表评论

�? — Sat, 18 Nov 2006 08:54:00 GMT

(4)、新建wsock32.def配置文�g�Q�在其中加入所有库输出函数的声明，部分声明代码如下�Q?
　　　LIBRARY "wsock32"
　　　EXPORTS
　　　　WSAStartup @1
　　　WSACleanup @2
　　　　recv @3
　　　　send @4
　　　　socket @5
　　　bind @6
　　　closesocket @7
　　　connect @8
　　　......其它输出函数声明代码略�?/p>
　　(5)、从“工�E�”菜单中选择“设�|�”，弹出Project Setting对话框，选择Link标签�Q�在“对�?库模块”中输入
Ws2_32.lib�?/p>
　　(6)、编译项目，产生wsock32.dll库文件�?/p>
　　(7)、将�pȝ��目录下原wsock32.dll库文件拷贝到被外挂程序的目录下，�q�将其改名�ؓwsock.001�Q�再��上面��生的
wsock32.dll文�g同样拯��到被外挂�E�序的目录下。重新启�?a target="_blank">游戏�E�序�Q�此�?a target="_blank">游戏�E�序��先加蝲我们自己制作�?/p>
wsock32.dll文�g�Q�再通过该库文�g间接调用原WinSock接口函数来实现访问网�l�。上面我们仅仅介�l�了挡蝲WinSock的实
现过�E�，至于如何加入外挂控制代码�Q�还需要外挂开发�h员对游戏数据包结构、内宏V��加密算法等斚w��的仔�l�分析（�q�个
�q�程��是一个艰辛的�q�程�Q�，再生成外挂控�?a target="_blank">代码。关于数据包分析�Ҏ��?a target="_blank">技�?/font>�Q�不是本文讲解的范围�Q�如您感兴趣可以
到网上查查相兌��料�?/p>

(3)、注入外�?a target="_blank">代码�q�入被挂游戏�q�程�?/p>
　　完成了定位和修改�E�序中调用API函数代码后，我们��可以随意设计自定义的API函数的替代函��C��。做完这一切后�Q?/p>
�q�需要将�q�些代码注入到被外挂游戏�E�序�q�程内存�I�间中，不然游戏�q�程�Ҏ��不会讉K��到替代函�?a target="_blank">代码。注入方法有很多
�Q�如利用全局钩子注入、利�?a target="_blank">注册�?/font>注入挡截User32库中的API函数、利用CreateRemoteThread注入�Q�仅限于NT/2000�Q��?/p>
利用BHO注入�{�。因为我们在动作模拟技�?/font>一节已�l�接触过全局钩子�Q�我�怿�聪明的读者已�l�完全掌握了全局钩子的制�?/p>
�q�程�Q�所以我们在后面的实例中�Q�将�l�箋利用�q�个全局钩子。至于其它几�U�注入方法，如果感兴��可参阅MSDN有关内容�?/p>
　　有了以上理论基础�Q�我们下面就开始制作一个挡截MessageBoxA和recv函数的实例，在开�?a target="_blank">游戏外挂�E�序 �Ӟ��可以�?/p>
实例为框�Ӟ��加入相应的替代函数和处理代码卛_��。此实例的开发过�E�如下：
　　(1) 打开前面创徏的ActiveKey��目�?/p>
　　(2) 在ActiveKey.h文�g中加入HOOKAPI�l�构�Q�此�l�构用来存储被挡截API函数名称、原API函数地址和替代函数地址�?/p>
　　　typedef struct tag_HOOKAPI
　　　{
　　　LPCSTR szFunc;//被HOOK的API函数名称�?br />　　　PROC pNewProc;//替代函数地址�?br />　　　PROC pOldProc;//原API函数地址�?br />　　　}HOOKAPI, *LPHOOKAPI;
　　(3) 打开ActiveKey.cpp文�g�Q�首先加入一个函敎ͼ�用于定位输入库在输入数据�D�中的IAT地址�?a target="_blank">代码如下�Q?/p>
　　　extern "C" __declspec(dllexport)PIMAGE_IMPORT_DESCRIPTOR
　　　LocationIAT(HMODULE hModule, LPCSTR szImportMod)
　　　//其中�Q�hModule��E�模块句柄；szImportMod��入库名称�?br />　　　{
　　　//��查是否�ؓDOS�E�序�Q�如是返回NULL�Q�因DOS�E�序没有IAT�?br />　　　PIMAGE_DOS_HEADER pDOSHeader = (PIMAGE_DOS_HEADER) hModule;
　　　if(pDOSHeader->e_magic != IMAGE_DOS_SIGNATURE) return NULL;
　　　　//��查是否�ؓNT标志�Q�否则返回NULL�?br />　　　　PIMAGE_NT_HEADERS pNTHeader = (PIMAGE_NT_HEADERS)((DWORD)pDOSHeader+ (DWORD)(pDOSHeader-
>e_lfanew));
　　　　if(pNTHeader->Signature != IMAGE_NT_SIGNATURE) return NULL;
　　　　//没有IAT表则�q�回NULL�?br />　　　　if(pNTHeader->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress == 0)
return NULL;
　　　　//定位�W�一个IAT位置�?
　　　　PIMAGE_IMPORT_DESCRIPTOR pImportDesc = (PIMAGE_IMPORT_DESCRIPTOR)((DWORD)pDOSHeader + (DWORD)
(pNTHeader->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress));
　　　　//�Ҏ��输入库名�U��@环检查所有的IAT�Q�如匚w��则返回该IAT地址�Q�否则检��下一个IAT�?br />　　　　while (pImportDesc->Name)
　　　　{
　　　　　//获取该IAT描述的输入库名称�?br />　　　PSTR szCurrMod = (PSTR)((DWORD)pDOSHeader + (DWORD)(pImportDesc->Name));
　　　if (stricmp(szCurrMod, szImportMod) == 0) break;
　　　pImportDesc++;
　　　　}
　　　　if(pImportDesc->Name == NULL) return NULL;
　　　return pImportDesc;
　　　}
　　再加入一个函敎ͼ�用来定位被挡截API函数的IAT��ƈ修改其内容�ؓ替代函数地址�?a target="_blank">代码如下�Q?/p>
　　　extern "C" __declspec(dllexport)
　　　HookAPIByName( HMODULE hModule, LPCSTR szImportMod, LPHOOKAPI pHookApi)
　　　//其中�Q�hModule��E�模块句柄；szImportMod��入库名称�Q�pHookAPI为HOOKAPI�l�构指针�?br />　　　{
　　　　//定位szImportMod输入库在输入数据�D�中的IAT地址�?br />　　　　PIMAGE_IMPORT_DESCRIPTOR pImportDesc = LocationIAT(hModule, szImportMod);
　　if (pImportDesc == NULL) return FALSE;
　　　　//�W�一个Thunk地址�?br />　　　　PIMAGE_THUNK_DATA pOrigThunk = (PIMAGE_THUNK_DATA)((DWORD)hModule + (DWORD)(pImportDesc-
>OriginalFirstThunk));
　　 //�W�一个IAT��的Thunk地址�?br />　　　　PIMAGE_THUNK_DATA pRealThunk = (PIMAGE_THUNK_DATA)((DWORD)hModule + (DWORD)(pImportDesc-
>FirstThunk));
　　　　//循环查找被截API函数的IAT��，�q��用替代函数地址修改其倹{�?br />　　　while(pOrigThunk->u1.Function)
{
　//��此Thunk是否为IAT��V�?br />if((pOrigThunk->u1.Ordinal & IMAGE_ORDINAL_FLAG) != IMAGE_ORDINAL_FLAG)
{
　 //获取此IAT��Ҏ��描述的函数名�U��?br />　PIMAGE_IMPORT_BY_NAME pByName =(PIMAGE_IMPORT_BY_NAME)((DWORD)hModule+(DWORD)(pOrigThunk-
>u1.AddressOfData));
　if(pByName->Name[0] == '\0') return FALSE;
　　//��是否�ؓ挡截函数�?br />if(strcmpi(pHookApi->szFunc, (char*)pByName->Name) == 0)
　 {
　　　　　　　MEMORY_BASIC_INFORMATION mbi_thunk;
　　　　　　　//查询修改��늚�信息�?br />　　　　　　　VirtualQuery(pRealThunk, &mbi_thunk, sizeof(MEMORY_BASIC_INFORMATION));
//改变修改��保护属性�ؓPAGE_READWRITE�?br />　　　　　　　VirtualProtect(mbi_thunk.BaseAddress,mbi_thunk.RegionSize, PAGE_READWRITE,
&mbi_thunk.Protect);
//保存原来的API函数地址�?br />　　　　　if(pHookApi->pOldProc == NULL)
pHookApi->pOldProc = (PROC)pRealThunk->u1.Function;
　 //修改API函数IAT��内容�ؓ替代函数地址�?br />pRealThunk->u1.Function = (PDWORD)pHookApi->pNewProc;
//恢复修改��保护属性�?br />DWORD dwOldProtect;
　　　　　　　VirtualProtect(mbi_thunk.BaseAddress, mbi_thunk.RegionSize, mbi_thunk.Protect,
&dwOldProtect);
　　　　　 }
}
　 pOrigThunk++;
　 pRealThunk++;
}
　　SetLastError(ERROR_SUCCESS); //讄��错误为ERROR_SUCCESS�Q�表�C�成功�?br />　　return TRUE;
　　　}
　　(4) 定义替代函数�Q�此实例中只�l�MessageBoxA和recv两个API�q�行挡截�?a target="_blank">代码如下�Q?/p>
　　　static int WINAPI MessageBoxA1 (HWND hWnd , LPCTSTR lpText, LPCTSTR lpCaption, UINT uType)
　　　{
　　　　//�q��o掉原MessageBoxA的正文和标题内容�Q�只昄��如下内容, �?br />return MessageBox(hWnd, "Hook API OK!", "Hook API", uType);
　　　}
　　　static int WINAPI recv1(SOCKET s, char FAR *buf, int len, int flags )
　　　{
　　　//此处可以挡截游戏服务器发送来的网�l�数据包�Q�可以加入分析和处理数据代码�?br />　　　return recv(s,buf,len,flags);
　　　}
　　(5) 在KeyboardProc函数中加入激�z�L��截API代码�Q�在if( wParam == 0X79 )语句中后面加入如下else if语句�Q?/p>
　　　......
　　　//当激�z�F11键时�Q�启动挡截API函数功能�?br />　　　else if( wParam == 0x7A )
　　　{
　　　　HOOKAPI api[2];
api[0].szFunc ="MessageBoxA";//讄��被挡截函数的名称�?br />api[0].pNewProc = (PROC)MessageBoxA1;//讄��替代函数的地址�?br />api[1].szFunc ="recv";//讄��被挡截函数的名称�?br />api[1].pNewProc = (PROC)recv1; //讄��替代函数的地址�?br />//讄��挡截User32.dll库中的MessageBoxA函数�?br />HookAPIByName(GetModuleHandle(NULL),"User32.dll",&api[0]);
//讄��挡截Wsock32.dll库中的recv函数�?br />HookAPIByName(GetModuleHandle(NULL),"Wsock32.dll",&api[1]);
　　　}
　　　......
　　(6) 在ActiveKey.cpp中加入头文�g声明 "#include "wsock32.h"�?从“工�E�”菜单中选择“设�|�”，弹出Project
Setting对话框，选择Link标签�Q�在“对�?库模块”中输入Ws2_32..lib�?/p>
　　(7) 重新�~�译ActiveKey��目�Q��生ActiveKey.dll文�g�Q�将其拷贝到Simulate.exe目录下。运行Simulate.exe�q�启�?/p>
全局钩子。激�z�M�Q意应用程序，按F11键后�Q�运行此�E�序中可能调用MessageBoxA函数的操作，看看信息框是不是有所变化
。同��P��如此�E�序正在接收�|�络数据包，��可以实现封包功能了�?/p>
　　六、结束语
　　除了以上介绍的几�U?a target="_blank">游戏外挂�E�序常用�?a target="_blank">技�?/font>以外�Q�在一些外挂程序中�q��用了游戏数据修改技�?/font>�?a target="_blank">游戏加�?a target="_blank">技�?/font>�{?/p>
。在�q�篇文章里，��׃��逐一介绍了�?/p>
�|�络游戏外挂核心��包揭密
[文章��D��]

�|�络游戏的封�?a target="_blank">技�?/font>是大多数�~�程爱好者都比较��x��的关注的问题之一�Q�在�q�里��p��我们一�?a target="_blank">研究一下这一个问题吧
　　�|�络游戏的封�?a target="_blank">技�?/font>是大多数�~�程爱好者都比较��x��的关注的问题之一�Q�在�q�里��p��我们一�?a target="_blank">研究一下这一个问题吧
�?/p>
　　别看�q�是��包�q�一问题�Q�但是涉及的技�?/font>范围很广范，实现的方式也很多�Q�比如说APIHOOK,VXD,Winsock2都可以实�?/p>
�Q�，在这里我们不可能每种技�?/font>和方法都涉及�Q�所以我在这里以Winsock2技�?/font>作详�l�讲解，��q��作抛砖引玉�?/p>
　　�׃��大多数读者对��包�c?a target="_blank">�~�程不是很了解，我在�q�里��q��单介�l�一下相�?a target="_blank">知识�Q?/p>
　　APIHooK�Q?/p>
　　�׃��Windows的把内核提供的功能都��装到API里面�Q�所以大家要实现功能��必��通过API�Q�换句话说就是我们要��x��
��h��据封包，��必��d��要得知道�q�且捕获�q�个API�Q�从API里面得到��包信息�?/p>
　　VXD�Q?/p>
　　直接通过控制VXD驱动�E�序来实现封包信息的捕获�Q�不�q�VXD只能用于win9X�?/p>
　　winsock2�Q?/p>
　　winsock是Windows�|�络�~�程接口�Q�winsock工作在应用层�Q�它提供与底层传�?a target="_blank">协议无关的高层数据传�?a target="_blank">�~�程接口�Q?/p>
winsock2是winsock2.0提供�?a target="_blank">服务提供者接口，但只能在win2000下用�?/p>
　　好了�Q�我们开始进入winsock2��包�?a target="_blank">�~�程吧�?/p>
　　在封�?a target="_blank">�~�程里面我准备分两个步骤对大家进行讲解：1、封包的捕获�Q?、封包的发送�?/p>
　　首先我们要实现的是封包的捕获�Q?/p>
　　Delphi的封装的winsock�?.0版的�Q�很自然winsock2��q��不成。如果要使用winsock2我们要对winsock2在Delphi里面
做一个接口，才可以��用winsock2�?/p>
　　1、如何做winsock2的接口？
　　1�Q�我们要先定义winsock2.0所用得到的�c�d��Q�在�q�里我们以WSA_DATA�c�d��做示范，大家可以举一仿三的来实现
winsock2其他�c�d��的封装�?/p>
　　我们要知道WSA_DATA�c�d��会被用于WSAStartup(wVersionRequired: word; var WSData: TWSAData): Integer;�Q�大�?/p>
会发现WSData是引用参敎ͼ�在传入参数时传的是变量的地址�Q�所以我们对WSA_DATA做以下封装：

　　2�Q�我们要从WS2_32.DLL引入winsock2的函敎ͼ�在此我们也是以WSAStartup��Z��做函数引入：

　　通过以上�Ҏ��Q�我们便可以对winsock2做接口，下面我们��可以用winsock2做封包捕获了�Q�不�q�首先要有一块网卡�?/p>
因�ؓ涉及到正在运作的�|�络游戏安全问题�Q�所以我们在�q�里以IP数据包�ؓ例做��包捕获�Q�如果下面的某些数据�c�d��您不�?/p>
很清楚，��h��查阅MSDN�Q?/p>

�? 2006-11-18 16:54 发表评论

游戏外挂设计技术探�?一

�? — Sat, 18 Nov 2006 08:53:00 GMT

�|�络游戏盛行催生了各�U�外挂，让商家头痛不�Ԍ��那么外挂是怎么设计的呢�Q�看看本文就知道�?

一�?前言

　　所�?a target="_blank">游戏外挂�Q�其实是一�U?a target="_blank">游戏外辅�E�序�Q�它可以协助玩家自动产生游戏动作、修�?a target="_blank">游戏�|�络数据包以及修�?a target="_blank">游戏�?/p>
存数据等�Q�以实现玩家用最��的旉��和金钱去完成功力升��和过��x��。虽�Ӟ��现在�?a target="_blank">游戏外挂�E�序的“合法”��n份众�?/p>
�U�L��Q�在�q�里我不惛_��此发表�Q何个人意见，让时间去说明一切吧�?/p>

　　随着�|�络游戏的时代的来��Q?a target="_blank">游戏外挂在原有的功能之上�q�行了新的发展，它变得更加多�U�多��P��功能更加强大�Q�操

作更加简单，以至有些游戏的外挂已�l�成��Z��个体�p�，比如《石器时代》，外挂品种辑ֈ�了几十种�Q�自动战斗、自动行�?/p>
、自动练�U�、自动补血、加速、不遇敌、原地遇敌、快速增加经验倹{��按键精灵……几乎无所不包�?/p>
　　游戏外挂的设计主要是针对于某�?a target="_blank">游戏开发的�Q�我们可以根据它针对�?a target="_blank">游戏的类型可大致可将外挂分�ؓ两种大类�?/p>
　　一�c�L��?a target="_blank">游戏中大量繁琐和无聊�?a target="_blank">��d��动作使用外挂自动完成�Q�以帮助玩家��L��搞定��d��对象�q�可以快速的增加玩家

的经验倹{��比如在《龙族》中有一�U�工作的讑֮��Q�玩家的工作�{��񔭑�高�Q�就可以��N��好的装备。但是增加工作等�U�却�?/p>
是一件有��的事情�Q�毋宁说是重复枯燥的机械力_��。如果你惛_��法师用的杖，首先需要做基本工作--?砍树。砍树的�Ҏ��

很简单，在一��大树前不停的点鼠标��可以了�Q�每10000的经验升一�U�。这��意味着玩家要在大树前不停的点击鼠标�Q�这

�U�无聊的事情通过"按键�_��"��可以解冟뀂外挂的"按键�_��"功能可以让玩家摆脱无��的点击鼠标的工作�?/p>
　　另一�c�L��由外挂程序��生欺骗性的�|�络游戏��包�Q��ƈ��这些封包发送到�|�络游戏服务器，利用�q�些虚假信息�ƺ骗服务

器进�?a target="_blank">游戏数值的修改�Q�达��C��改角色能力数值的目的。这�c�d��挂程序针�Ҏ��很强，一般在设计旉��是针�Ҏ��?a target="_blank">游戏某个

版本来做的，因�ؓ每个�|�络游戏服务器与客户端交��的数据包各不相同，外挂�E�序必须要对�ƺ骗的网�l?a target="_blank">游戏服务器的数据

包进行分析，才能产生服务器识别的数据包。这�c�d��挂程序也是当前最��利的一�c?a target="_blank">游戏外挂�E�序�?/p>
　　另外�Q�现在很多外挂程序功能强大，不仅实现了自动动作代理和��包功能�Q�而且�q�提供了对网�l?a target="_blank">游戏的客��L��E�序�?/p>
数据�q�行修改�Q�以辑ֈ��ƺ骗�|�络游戏服务器的目的。我�怿��Q�随着�|�络游戏商家的反外挂技�?/font>的进展，游戏外挂��会产生

更多更优�U��?a target="_blank">技�?/font>�Q�让我们期待着看场技�?/font>大战�?.....

　　三、外�?a target="_blank">技�?/font>�l�D��

　　可以��开�?a target="_blank">游戏外挂�E�序的过�E�大体上划分��Z��个部分：

　　前期部分工作是对外挂的主�?a target="_blank">游戏�q�行分析�Q�不同类型的外挂分析��M��游戏的内容也不相同。如外挂��Z��q�谈到的�?/p>
挂类型中的第一�c�L��Q�其分析�q�程常是针对游戏的场景中�?a target="_blank">��d��对象的位�|�和分布情况�q�行分析�Q�以实现外挂自动�q�行�?/p>
��M��及位�|�移动。如外挂为外挂类型中的第二类�Ӟ��其分析过�E�常是针�?a target="_blank">游戏服务器与客户端之间通讯包数据的�l�构、内

容以及加密算法的分析。因�|�络游戏公司一般都不会公布�?a target="_blank">游戏产品的通讯包数据的�l�构、内容和加密��法的信息，所�?/p>
对于开发第二类外挂成功的关键在于是否能正确分析游戏包数据的�l�构、内容以及加密算法，虽然可以使用一�?a target="_blank">工具辅助

分析�Q�但是这�q�是一�U�坚苦而复杂的工作�?/p>
　　后期部分工作主要是根据前期对游戏的分析结果，使用大量的程序开�?a target="_blank">技�?/font>�~�写外挂�E�序以实现对游戏的控制或修改

。如外挂�E�序为第一�c�d��挂时�Q�通常会��用到鼠标模拟技�?/font>来实�?a target="_blank">游戏角色的自动位�|�移动，使用键盘模拟技�?/font>来实现游

戏角色的自动��d��。如外挂�E�序为第二类外挂�Ӟ��通常会��用到挡截Sock和挡截API函数技�?/font>�Q�以挡截游戏服务器传来的

�|�络数据包�ƈ��数据包修改后封包后传给游戏服务器。另外，�q�有许多外挂使用�?a target="_blank">游戏客户端程序内存数据修�?a target="_blank">技�?/font>以及

游戏加�?a target="_blank">技�?/font>�?/p>
　　本文主要是针对开�?a target="_blank">游戏外挂�E�序后期使用的程序开�?a target="_blank">技�?/font>�q�行探讨�Q�重点介�l�的如下几种�?a target="_blank">游戏外挂中常使用的程

序开�?a target="_blank">技�?/font>�Q?/p>
　　�?动作模拟技�?/font>�Q�主要包括键盘模�?a target="_blank">技�?/font>和鼠标模�?a target="_blank">技�?/font>�?/p>
　　�?��包技�?/font>�Q�主要包括挡截Sock技�?/font>和挡截API技�?/font>�?/p>
四、动作模�?a target="_blank">技�?/font>

　　我们在前面介�l�过�Q�几乎所有的游戏都有大量�J�琐和无聊的��d��动作以增加玩家的功力�Q�还有那些数不完的迷宫，�q?/p>
些好像已�l�成��Z��角色游戏的代名词。现在，外挂可以帮助玩家从这些繁琐而无聊的工作中摆脱出来，专注�?a target="_blank">游戏情节�?/p>
�q�展。外挂程序�ؓ了实现自动角色位�|�移动和自动��d��{�功能，需要��用到键盘模拟技�?/font>和鼠标模�?a target="_blank">技�?/font>。下面我们将�?/p>
点介�l�这�?a target="_blank">技�?/font>�q�编写一个简单的实例帮助读者理解动作模�?a target="_blank">技�?/font>的实现过�E��?/p>
　　�Q�．鼠标模拟技�?/font>
　　
　　几乎所有的游戏中都使用了鼠标来改变角色的位�|�和方向�Q�玩家仅用一个小��的鼠标�Q�就可以使角色畅游天下。那�?/p>
�Q�我们如何实现在没有玩家的参与下角色也可以自动行走呢。其实实现这个�ƈ不难�Q�仅仅几个Windows API函数��可以搞

定，让我们先来认识认识这些API函数�?/p>
　　(1) 模拟鼠标动作API函数mouse_event�Q�它可以实现模拟鼠标按下和放开�{�动作�?/p>
　　　　VOID mouse_event(
　　　　　　DWORD dwFlags, // 鼠标动作标识�?br />　　　　　　DWORD dx, // 鼠标水��^方向位置�?br />　　　　　　DWORD dy, // 鼠标垂直方向位置�?br />　　　　　　DWORD dwData, // 鼠标轮子转动的数量�?br />　　　　　　DWORD dwExtraInfo // 一个关联鼠标动作辅加信息�?br />　　　　);

　　其中�Q�dwFlags表示了各�U�各��L��鼠标动作和点��L��动，它的常用取值如下：

　　　MOUSEEVENTF_MOVE　表示模拟鼠标�U�d��事�g�?/p>
　　　MOUSEEVENTF_LEFTDOWN 表示模拟按下鼠标左键�?/p>
　　　MOUSEEVENTF_LEFTUP 表示模拟攑ּ�鼠标左键�?/p>
　　　MOUSEEVENTF_RIGHTDOWN 表示模拟按下鼠标右键�?/p>
　　　MOUSEEVENTF_RIGHTUP 表示模拟攑ּ�鼠标右键�?/p>
　　　MOUSEEVENTF_MIDDLEDOWN 表示模拟按下鼠标中键�?/p>
　　　MOUSEEVENTF_MIDDLEUP 表示模拟攑ּ�鼠标中键�?/p>
　　(2)、设�|�和获取当前鼠标位置的API函数。获取当前鼠标位�|��用GetCursorPos()函数�Q�设�|�当前鼠标位�|��?/p>
SetCursorPos()函数�?/p>
　　　　BOOL GetCursorPos(
　　　　　LPPOINT　lpPoint // �q�回鼠标的当前位�|��?br />　　　　);
　　　　BOOL SetCursorPos(
　　　　int X, // 鼠标的水�q�x��向位�|��?br />　　　　　　int Y //鼠标的垂直方向位�|��?br />　　　　);

　　通常游戏角色的行走都是通过鼠标�U�d��至目的地�Q�然后按一下鼠标的按钮��搞定了。下面我们��用上面介�l�的API�?/p>
数来模拟角色行走�q�程�?/p>
　　　CPoint oldPoint,newPoint;
　　　GetCursorPos(&oldPoint); //保存当前鼠标位置�?br />　　　newPoint.x = oldPoint.x+40;
　　　newPoint.y = oldPoint.y+10;
　　　SetCursorPos(newPoint.x,newPoint.y); //讄��目的��C��|��?br />　　　mouse_event(MOUSEEVENTF_RIGHTDOWN,0,0,0,0);//模拟按下鼠标右键�?br />　　　mouse_event(MOUSEEVENTF_RIGHTUP,0,0,0,0);//模拟攑ּ�鼠标右键。�?

　　2�Q?键盘模拟技�?/font>

　　在很�?a target="_blank">游戏中，不仅提供了鼠标的操作�Q�而且�q�提供了键盘的操作，在对��d��对象�q�行��d��时还可以使用快捷键。�ؓ

了�ɘq�些��d��q�程能够自动�q�行�Q�外挂程序需要��用键盘模�?a target="_blank">技�?/font>。像鼠标模拟技�?/font>一��P��Windows API也提供了一�p�d��

API函数来完成对键盘动作的模拟�?/p>
　　模拟键盘动作API函数keydb_event�Q�它可以模拟寚w��盘上的某个或某些键进行按下或攑ּ�的动作�?/p>
　　　VOID keybd_event(
　　　　　BYTE bVk, // 虚拟键倹{�?br />　　　　　BYTE bScan, // ��g扫描码�?br />　　　　　DWORD dwFlags, // 动作标识�?br />　　　　　DWORD dwExtraInfo // 与键盘动作关联的辅加信息�?br />　　　);

　　其中�Q�bVk表示虚拟键��|��其实它是一个BYTE�c�d��值的宏，其取��D��围�ؓ1-254。有兌��拟键��D��请在MSDN上��用关�?/p>
字“Virtual-Key Codes”查扄��兌��料。bScan表示当键盘上某键被按下和攑ּ��Ӟ��键盘�pȝ��g产生的扫描码�Q�我们可

以MapVirtualKey()函数在虚拟键��g��扫描码之间进行�{换。dwFlags表示各种各样的键盘动作，它有两种取��|��

KEYEVENTF_EXTENDEDKEY和KEYEVENTF_KEYUP�?/p>
　　下面我们使用一�D?a target="_blank">代码实现�?a target="_blank">游戏中按下Shift+R快捷键对��d��对象�q�行��d��?/p>
　　　keybd_event(VK_CONTROL,MapVirtualKey(VK_CONTROL,0),0,0); //按下CTRL键�?br />　　　keybd_event(0x52,MapVirtualKey(0x52,0),0,0);//键下R键�?br />　　　keybd_event(0x52,MapVirtualKey(0x52,0), KEYEVENTF_KEYUP,0);//攑ּ�R键�?br />　　　keybd_event(VK_CONTROL,MapVirtualKey(VK_CONTROL,0),
　　　KEYEVENTF_KEYUP,0);//攑ּ�CTRL键�?

　　3�Q?�Ȁ�z�d��?/p>
　　上面介绍的鼠标和键盘模拟技�?/font>实现了对游戏角色的动作部分的模拟�Q�但要想外挂能工作于游戏之上�Q�还需要将其与

游戏的场景窗口联�p��v来或者��用一个激�z�键�Q�就象按键精�늚�那个�Ȁ�z�键一栗��我们可以用GetWindow函数来枚丄��?/p>
�Q�也可以用Findwindow函数来查扄��定的�H�口。另外还有一个FindWindowEx函数可以扑ֈ��H�口的子�H�口�Q�当游戏切换场景

的时候我们可以用FindWindowEx来确定一些当前窗口的特征�Q�从而判断是否还在这个场景，�Ҏ��很多了，比如可以

GetWindowInfo来确定一些东西，比如当查找不到某个按钮的时候就说明游戏场景已经切换了等�{�办法。当使用�Ȁ�z�键�q?/p>
行关联，需要��用Hook技�?/font>开发一个全局键盘钩子�Q�在�q�里��׃��具体介绍全局钩子的开发过�E�了�Q�在后面的实例中我们��?/p>
会��用到全局钩子�Q�到时将学习到全局钩子的相�?a target="_blank">知识�?/p>

　　4�Q?实例实现

　　通过上面的学习，我们已经基本具备了编写动作式游戏外挂的能力了。下面我们将创徏一个画�W�程序外挂，它实现自

动移动画�W�字光标的位�|��ƈ写下一个红色的“R”字。以�q�个实例为基��Q�加入相应的游戏动作规则�Q�就可以实现一个完

整的游戏外挂。这里作者不想��用某�?a target="_blank">游戏作�ؓ例子来开发外挂（因没�?a target="_blank">游戏商家的授权啊�Q�）�Q�如读者感兴趣的话可以

找一�?a target="_blank">游戏试试�Q�最好仅做测�?a target="_blank">技�?/font>用�?/p>
　　首先�Q�我们需要编写一个全局钩子�Q��用它来激�z�d��挂，�Ȁ�z�键为F10。创建全局钩子步骤如下�Q?/p>
　　(1)�Q�选择MFC AppWizard(DLL)创徏��目ActiveKey�Q��ƈ选择MFC Extension DLL�Q�共享MFC拯��Q�类型�?/p>
　　(2).插入新文件ActiveKey.h�Q�在其中输入如下代码�Q?/p>
　　　#ifndef _KEYDLL_H
　　　#define _KEYDLL_H

　　　class AFX_EXT_CLASS CKeyHook:public CObject
　　　{
　　　　public:
　CKeyHook();
　~CKeyHook();
　HHOOK Start();　//安装钩子
　BOOL Stop(); //卸蝲钩子
　　　};
　　　#endif

　　(3).在ActiveKey.cpp文�g中加入声明＂#include ActiveKey.h�Q��?/p>
　　(4).在ActiveKey.cpp文�g中加入共享数据段�Q?a target="_blank">代码如下�Q?/p>
　　　//Shared data section
　　　#pragma data_seg("sharedata")
　　　HHOOK glhHook=NULL; //钩子句柄�?br />　　　HINSTANCE glhInstance=NULL; //DLL实例句柄�?br />　　　#pragma data_seg()

　　(5).在ActiveKey.def文�g中设�|�共享数据段属性，代码如下�Q?/p>
　　　SETCTIONS
　　　shareddata READ WRITE SHARED

　　(6).在ActiveKey.cpp文�g中加入CkeyHook�cȝ��实现代码和钩子函�?a target="_blank">代码�Q?/p>
　　　//键盘钩子处理函数�?br />　　　extern "C" LRESULT WINAPI KeyboardProc(int nCode,WPARAM wParam,LPARAM lParam)
　　　{
　　　if( nCode >= 0 )
　　　{
　　　if( wParam == 0X79 )//当按下F10键时�Q�激�z�d��挂�?br />　{
　　//外挂实现代码�?br />CPoint newPoint,oldPoint;
　　 GetCursorPos(&oldPoint);
　　 newPoint.x = oldPoint.x+40;
　　 newPoint.y = oldPoint.y+10;
　　 SetCursorPos(newPoint.x,newPoint.y);
　　 mouse_event(MOUSEEVENTF_LEFTDOWN,0,0,0,0);//模拟按下鼠标左键�?br />　　mouse_event(MOUSEEVENTF_LEFTUP,0,0,0,0);//模拟攑ּ�鼠标左键�?br />　　keybd_event(VK_SHIFT,MapVirtualKey(VK_SHIFT,0),0,0); //按下SHIFT键�?br />　　keybd_event(0x52,MapVirtualKey(0x52,0),0,0);//按下R键�?br />　　keybd_event(0x52,MapVirtualKey(0x52,0),KEYEVENTF_KEYUP,0);//攑ּ�R键�?br />　　keybd_event(VK_SHIFT,MapVirtualKey(VK_SHIFT,0),KEYEVENTF_KEYUP,0);//攑ּ�SHIFT键�?br />　　　　　　SetCursorPos(oldPoint.x,oldPoint.y);
　}
　　　}
　　　return CallNextHookEx(glhHook,nCode,wParam,lParam);
　　　}

　　　CKeyHook::CKeyHook(){}
　　　CKeyHook::~CKeyHook()
　　　{　
　　　if( glhHook )
Stop();
　　　}
　　　//安装全局钩子�?br />　　　HHOOK CKeyHook::Start()
　　　{
glhHook = SetWindowsHookEx(WH_KEYBOARD,KeyboardProc,glhInstance,0);//讄��键盘钩子�?br />return glhHook;
}
　　　//卸蝲全局钩子�?br />　　　BOOL CKeyHook::Stop()
　　　{
　　　BOOL bResult = TRUE;
　if( glhHook )
　　　bResult = UnhookWindowsHookEx(glhHook);//卸蝲键盘钩子�?br />　　　return bResult;
　　　}

　　(7).修改DllMain函数�Q?a target="_blank">代码如下�Q?/p>
　　　extern "C" int APIENTRY
　　　DllMain(HINSTANCE hInstance, DWORD dwReason, LPVOID lpReserved)
　　　{
//如果使用lpReserved参数则删除下面这�?
UNREFERENCED_PARAMETER(lpReserved);

if (dwReason == DLL_PROCESS_ATTACH)
{
　　TRACE0("NOtePadHOOK.DLL Initializing!\n");
　　 //扩展DLL仅初始化一��?
　　if (!AfxInitExtensionModule(ActiveKeyDLL, hInstance))
return 0;
　　new CDynLinkLibrary(ActiveKeyDLL);
　　　　　　//把DLL加入动�?/font>MFC�c�d��?
　　glhInstance = hInstance;
　　//插入保存DLL实例句柄
}
else if (dwReason == DLL_PROCESS_DETACH)
{
　　TRACE0("NotePadHOOK.DLL Terminating!\n");
　　//�l�止�q�个链接库前调用�?
　　AfxTermExtensionModule(ActiveKeyDLL);
}
return 1;
　　　}

�? 2006-11-18 16:53 发表评论

外挂��谈

�? — Sat, 18 Nov 2006 08:49:00 GMT

　　现在大部分的��L��外挂�Q�包括按键精灵，自动做一些动作之�cȝ��外挂�?都是通过HOOK�q�游戏窗口，�q�且用不同的HOOK�c�d��来完成的�Q�比如对�?�|�络�Q�通常是通过HOOK消息�Q�把DLL弄到我们的游戏程序中�Q�然后通过
GetProcAddress得到DLL中它们卑劣的函数的地址和真实的函数地址�Q?然后通过WriteProcessMemory来把我们的函数地址�Ҏ��他们他们的API 地址�?

　　那么在我们的游戏执行的时候，收到消息��׃��先触发他们的钩子�Q�等他们布置好邪恶的陷阱�Q�然后再执行我们的程序。那么，对于�q�类型的外挂�Q�该怎么防呢�Q�俗话说得好�Q�以��g��道，�q�制��D�n。所谓魔高一��，道高一丈。所谓邪不胜正。所谓天�|�恢恢。所谓做贼心虚�?

　　恩，WINDOWS的钩子有个特点，��是钩子链，因�ؓ对于同一个进�E�，即��是同一�c�d��的钩子，能同时有多个�Q�也��是��_��对于同一个游戏，开两个功能相同的外挂也可以。那么，怎么��h��军_��钩子的顺序呢�Q�所�?
后来者先得，WINDOWS的做法是�Q�最后一个HOOK某个�q�程的钩子最先执行。�ƈ且振奋�h心的消息是，在钩子里面可以控制下一个钩子是否执行�?

　　�q�个函数是CallNextHookEx�Q�也��是��_��如果在某个钩子里面不执行�q�个函数的话�Q�钩子链��׃��在这中断�Q�那么我们的思�\��很��单了�Q�在游戏�q�行中，开一个进�E�，每隔一�D�|��间就hook我们的主�E�序�Q�然后在�?
子里面，不执行CallNextHookEx�Q�这样就可以避免别�h的钩子执行�?

　　所谓，仅仅发现敌�h�q�不够，�q�要消灭敌�h。不急，我们来看看如何彻底把敌�h打成�_�碎性骨折。恩�Q�要消灭敌�h��p��复杂一点了�Q�要针对不同�c�d��的钩子来采取不同�c�d��的方法了�Q�因为敌人的钩子不管怎么做，
无非是出于两�U�目的，一�U�是修改数据�Q�另外就是过滤数据。其核心思想��是我们自己的游戏注册两个钩子，一个��L��在钩子链的最底层�Q�另外一个��L��在钩子链的最上层�Q�一比较两个钩子收到的消息，��q��道中
间有没有别的钩子了。一但发现有别的钩子�Q�不用想了，肯定是外挂，最��也用了按键�_��Q�封��P��杀档，��x��么�q�就怎么�q�Ӏ?

　　当然�Q�敌��Z��不是�q�么脆弱的，据说有�h用raw socket来截��h��有的�|�络消息�Q�这个跟钩子无关�Q�这个更底层一些。不�q�不用怕，俗话说得好，以彼之道�Q�还制彼�w�。所谓魔高一��，道高一丈。所谓邪不胜正。所�?
天网恢恢。所谓做贼心虚。对付拦截raw socket的外挂，�q�里首先要把敌�h分类�Q�对于水�q�x��ơ的敌�h�Q�方法也相应要简单得多�?最�ơ的敌�h一般用的方法是自己写一个wsock32.dll攑֜�和游戏相同的目录下，来替换掉�pȝ��的wsock32.dll。对于这�U�愚蠢的�Ҏ��Q�解决的办法有很多，把load time的蝲入wsock32.dll�Ҏ��run time的蝲入，然后指定一下�\径，��׃��么问题都没有了。更��单点�Q�运行游戏的时候检查一下当前目录下有没有wsock32.dll�Q�有的话�Q�那��p��定是外挂钩子了�?

　　比最�{��高一点点的敌人，会喜�Ƣ用钩子来直接钩�Q�一般的做法是，先通过GetProcAddress来获取SOCKET API的地址�Q�然后通过WriteProcessMemory的方法来修改入口地址�Q�将其改成jmp 自己的函数地址。这�U�方法其实很卑劣的，所谓无毒不丈夫�Q�我们可以通过修改通用的GetProcAddress的代码来防止别�h拦截SOCKET�Q�这��P��直接�q�防火墙都可以突破了�?

　　�q�里的技术难点在于，我们不能用类似WriteProcessMemory的方法来写内存因为我们不知道�I�竟外挂是哪个进�E�，所以我们需要修改WINDOWS的代码段�Q�这栯��理论上是不可能的�Q�可惜WINDOWS自己�l�自��q��了个后门�Q�在kernel.dll　里面�Q�UINT AllocCsToDsAlias(UINT)�Q�通过把API的代码段的选择�W�传�l�它�Q�可以返回一个可以写的数据段的选择�W�，然后把新的选择�W�和API的入口地址加在一��P��可以得��C��个可以写的代码段的指针�?

　　国内好多取词软�g和全屏翻译��Y仉��是用的这个原理，具体的例子如下：
　　比如GetProcAddress�q�个API�Q�在kernel.dll里面�Q�我们要做针对它的通用钩子��应该按照以下的步簇�Q?
typedef UINT (WINAPI* FOO)(UINT);
FOO AllocCsToDsAlias;
HMODULE hKernel = GetModuleHandle("kernel");
AllocCsToDsAlias = (FOO)GetProcAddress(hKernel, "AllocCsToDsAlias");
FARPROC entry = GetProcAddress(hKernel, "GetProcAddress");
WORD offset = (WORD)(FP_OFF(entry));
UINT selector = AllocCsToDsAlias(FP_SEG(entry));
BYTE *addr = (BYTE *)MK_FP(selector, offset);

　　然后��可以往addr�q�个地址�?个BYTE的东西，�W�一个BYTE是jmp�Q�不同的CPU　可能会不同，之后的一个DWORD是你的函数的地址。�?

　　�q�样�Q�可以通过保存两䆾addr的数据来做到钩子的开养I��当钩子打开的时候，所有的GetProcAddress的调用都会调到我们的函数�Q�这个时候可以通过��查如果有人想GetProcAddress wsock32.dll里的东西�Q�我们就�q�掉它。�?

　　同样�Q�如果有人通过开启socket�q�个API的SOCK_RAW参数来调用RAW SOCKET监视�|�络�Q�我们也可以通过上面的方法来做到先入��Z��Q�看谁在监视我们的网�l�传输�?/p>
　　其实查外挂的原理和捉病毒的原理一��P��只是现在做外挂的技术还不成熟。当做外挂的技术和防外挂的技术在同一条线上的时候，想从技术上防住外挂是不可能的�?

　　其实是无奈，杀毒��Y件的做法是出来一�U�新的病毒，在第一旉��内公布其特征码，然后更新所有的客户端，看到�q�种特征的，��杀。其实查杀外挂也该如此�Q�其实CS的Cheating-Death��是�q�个原理�Q�不��出了什么新的外挂，CD ��L��在第一旉��内更斎ͼ�然后客户端也��傻�ȝ��只要一看到有这个特征的东西��把它干掉。其实仔�l�想惻I��q�是个很好的��L��Q�从外挂开发商的动机来分析。他们之所以要开发外挂，估计炫耀技术是一斚w��Q�更重要的还是想赚钱�Q�或者用来挂��Z��cȝ��Q�既然要赚钱�Q�或者挂机，��必然会被其他玩家发现或者�D报，�q�个时候应该做的就是尽快的下蝲一份外挂，或者根据其行�ؓ研究其特征，�q�在防外挂的特征码上��C��一�W�，其实不用太复杂，最��单的做法��是��C��其外挂窗口的名称�Q�然后只要看到这个外挂窗口，做些处理��好了�?

　　那么�q�样一来，关键的技术就落在如何设计查外挂这个结构上了，首先客户端需要的是一个查外挂引擎�Q�和一个外挂特征库�Q�根据引擎和特征库生成一个固定的版本��P��然后每次登陆的时候就用这个版本号�Q�跟服务器上的版本号�Ҏ��Q�如果不一��L��话，则从服务器自动下载最新的查外挂引擎和外挂特征库�?

　　�q�样虽然不能��外挂赶��杀�l�，却能比较大的限度上围剿��用外挂的风气�Q�相信��用外挂的玩家也只是想更好的玩游戏�Q�只不过动的念头有些歪了�Q�但其出发点仍是好的�Q�只要在他��用外挂的时候多些阻拦或者诱��g��不��用外挂，�q�样效果��׃��好很多。设想一下，谁愿意每天等一个外挂的更新�Q�而不�ȝ��他很想玩的游戏呢。这样一来，制作外挂的�h也会逐渐减少�Q�从而进入一个良性��@环�?

　　��好象如今写病毒�Q��ƈ不如当年那么��行了。�?�?

�? 2006-11-18 16:49 发表评论

�? — Sat, 18 Nov 2006 08:47:00 GMT
取词的过�E?
0 判断鼠标是否在一个地方停留了一�D�|��?
1 取得鼠标当前位置
2 以鼠标位�|��ؓ中心生成一个矩�?
3 挂上API钩子
4 让这个矩形��生重��L��?
5 在钩子里�{�输出字�W?
6 计算鼠标在哪个单词上面，把这个单词保存下�?
7 如果得到单词则摘掉API钩子�Q�在一�D�|��间后�Q�无论是否得到单词都摘掉API钩子
8 用单词查词库�Q�显�C��释框

如何挂钩子：
所谓钩子其实就是在WindowsAPI入口写一个JMP XXXX:XXXX语句�Q�蟩转到自己的代码里�?
步骤如下�Q?
1.取得Windows API入口�Q�用GetProcAddress实现
2.保存API入口的前五个字节�Q�因为JMP�?xEA�Q�地址�?个字�?
3.写入跌��{语句
�q�步最复杂
Windows的代码段本来是不可以写的�Q�但是Microsoft�l�自��q��了个后门�?
有一个未公开函数是AllocCsToDsAlias�Q?
UINT WINAPI ALLOCCSTODSALIAS(UINT);
你可以取到这个函数的入口�Q�把API的代码段的选择�W�传�l�他�Q�他会返回一个可写的数据�D�选择�W�。这个选择�W�用完要释放的。用新选择�W�和API入口的偏�U�量合成一个指针就可以写windows的代码段了�?

�? 2006-11-18 16:47 发表评论

�? — Sat, 18 Nov 2006 08:47:00 GMT
�?�? 四通利�?RichWin)�Q�中文之�?CStar)是大家广为熟知的汉化Windows产品�Q?br />"陷阱”技术即动态修改Windows代码�Q�一直是其对外宣�U�的�q��h技术，它究竟是�?br />何实现的�Q�这自然是核心机密。本文试图解开�q�个�U�密�Q��ƈ同时介绍Windows的模�?br />调用机制与重定位概念�Q��ƈ�l�出了采�?陷阱"技术动态修改Windows代码的示例源�E?br />序�?
关键词：汉化Windows重定位技�?

一、发��C��什么？
作者多�q�来一直从事Windows下的软�g开发工作，�l�历
了Windows2.0�?.0�?.1,直至WindowsNT,95的成长过�E�，也遍�?br />了长青窗口、长城窗口、DBWin、CStar、RichWin�{�多个Windows汉化
产品。从现在看来�Q�媄响最大也最为成功的�Q�当推四通利�?br />的RichWin�Q�此外，中文之星CStar与RichWin师出一门，其核心技�?br />自然也差不许多。其对外宣传采用独特的“陷阱”技术动�?br />修改Windows代码�Q�一直是作者感兴趣的地斏V�?br />
EXEHDR是MicrosoftVisualC++开发工具中很有用的一个程
序，它可以检查NE�Q�New_Executable�Q�格式文�Ӟ��用它来分析RichWin
的WSENGINE.DLL或CStar的CHINESE.DLL��׃��发现与众不同的两点：
�Q?以CStar 1.20 �?例）
C:\CSTAR>exehdr chinese.dll /v
..................................
6 type offset target
BASE060aseg 2 offset 0000
PTR 047eimp GDI.GETCHARABCWIDTHS
PTR 059bimp GDI.ENUMFONTFAMILIES
PTR 0451imp DISPLAY.14( EXTTEXTOUT )
PTR 0415imp KEYBOARD.4( TOASCII )
PTR 04baimp KEYBOARD.5( ANSITOOEM )
PTR 04c9imp KEYBOARD.6( OEMTOANSI )
PTR 04d8imp KEYBOARD.134( ANSITOOEMBUFF)
PTR 05f5imp USER.430( LSTRCMP )
PTR 04e7imp KEYBOARD.135( OEMTOANSIBUFF)
PTR 0514imp USER.431( ANSIUPPER)
PTR 0523imp USER.432( ANSILOWER )
PTR 05aaimp GDI.56( CREATEFONT)
PTR 056eimp USER.433( ISCHARALPHA )
PTR 05b9imp GDI.57( CREATEFONTINDIRECT )
PTR 057dimp USER.434( ISCHARALPHANUMERIC )
PTR 049cimp USER.179( GETSYSTEMMETRICS )
PTR 0550imp USER.435( ISCHARUPPER)
PTR 055fimp USER.436( ISCHARLOWER)
PTR 0532imp USER.437( ANSIUPPERBUFF)
PTR 0541imp USER.438( ANSILOWERBUFF)
PTR 05c8imp GDI.69( DELETEOBJECT )
PTR 058cimp GDI.70( ENUMFONTS )
PTR 04abimp KERNEL.ISDBCSLEADBYTE
PTR 05d7imp GDI.82( GETOBJECT)
PTR 048dimp KERNEL.74 ( OPENFILE )
PTR 0460imp GDI.91( GETTEXTEXTENT)
PTR 05e6imp GDI.92( GETTEXTFACE)
PTR 046fimp GDI.350 ( GETCHARWIDTH )
PTR 0442imp GDI.351 ( EXTTEXTOUT )
PTR 0604imp USER.471( LSTRCMPI )
PTR 04f6imp USER.472( ANSINEXT )
PTR 0505imp USER.473( ANSIPREV )
PTR 0424imp USER.108( GETMESSAGE )
PTR 0433imp USER.109( PEEKMESSAGE)
35 relocations

*******扩号内�ؓ作者加上的对应WindowsAPI函数
�W�一�Q�在数据�D�中�Q�发��C��重定位信息�?br />�W�二�Q�这些重定位信息提示的函敎ͼ�全都与文字显�C?br />输出和键盘，字符串有兟뀂也��是说汉化Windows�Q�必��M��改这些函数�?br />在这非常�Ҏ��的地方，隐藏着什么呢�Q�无庸致疑，�q�与众不同的两点�Q�对打开“陷阱”技术之门而言�Q�不是金钥匙�Q�也是敲门砖�?br />
二、Windows的模块调用机制与重定位概�?br />��Z��深入探究“陷阱”技术，我们先来介绍Windows的模块调用机制。Windows的运行分实模式（RealMode�Q�，标准模式�Q�StandMode�Q�和增强模式�Q?86EnhancedMode�Q�三�U�，虽然�q�几�U�模式各不相同，但其核心模块的调用关�p�d��是完全一致的�?br />主要的三个模块，有如下的关系�Q?br />
KERNEL是Windows�pȝ��内核�Q�它不依赖其它模块�?br />
GDI是Windows囑�Ş讑֤�接口模块�Q�它依赖于KERNEL模块�?br />
USER是Windows用户接口服务模块�Q�它依赖于KERNEL�Q�GDI模块及设备驱动程序等所有模块�?br />�q�三个模块，实际上就是Windows的三个动态连接库�Q�在�pȝ��的存在�Ş式如下，KERNEL有三�U�不同�Ş式，Kernel.exe(实模�?,Krnl286.exe(标准模式),Krnl386.
exe(386增强模式)�Q�GDI模块是Gdi.exe�Q�USER模块是User.exe�Q�虽然文件名都以EXE为扩展名�Q�但它们实际都是动态连接库�?br />
同时�Q�几乎所有的API函数都隐藏在�q�三个模块中。用EXEHDR对这三个模块分析�Q�就可列��Z��大堆你所熟悉的WindowsAPI函数�?br />
以GDI模块��Z��Q?br />
C:\WINDOWS\SYSTEM>exehdr gdi.exe
Exports:
ord seg offset name
............
351 1923eEXTTEXTOUT exported, shared data
56 319e1CREATEFONT exported, shared data
............

��x��Q�你已能从Windows�U�L��复杂的系�l�中�Q�理��Z��些头�l�来。下面，再引入一个重要概念——重定位�?br />一个Windows执行�E�序对调用API函数�Q�或对其它动态库的调用，在程序装入内存前�Q�都是一些不能定位的动态连接，当程序调入内存时�Q�这些远调用都需要重新定位，重新定位的依据就是重定位表。在Windows执行�E�序�Q�包括动态库�Q�的每个�D�后面，通常都跟有这样一个重定位表。重定位包含调用函数所在模块，函数序列��P��以及定位在模块中的位�|��?br />
例如�Q�用EXEHDR/v分析CHINESE.DLL得到

6 type offset target
..........
PTR 0442imp GDI.351
..........

��p��明，在本�D늚�0442H偏移处，调用了GDI的第351号函数。如果在0442H处是0000:FFFF�Q�则表示�Q�本�D�内仅此一处调用了GDI.351函数�Q�否则，表明了本�D�内�q�有一处调用此函数�Q�调用的位置��是0442H处所指向的内容，实际上重定位表只含有引用位置的链表的铑֤�。那么，GDI.351是一个什么函数呢�Q�还是用EXEHDR对GDI.EXE作一分析�Q�就可得出，在GDI的出口（Export�Q�函��C��Q�第351��h��ExtTextOut�?br />�q�样�Q�我们在EXEHDR�q�一��单而非常有用的工具帮助下，已经在Windows的浩瀚�v�z�中畅游了一会，下面��来掀开“陷阱”技术的��秘面纱�?br />
三、动态汉化Windows原理
我们知道�Q�传�l�的汉化Windows的方法，是要直接修改Windows的显�C�、输入、打印等模块代码�Q�或用DDK直接开发“中文设备”驱动模块，�q�样不仅工作量浩大，而且�Q�系�l�的完备性很难保证，性能上也有很多限�Ӟ��早期的长青窗口就是这��P��Q�这��P��只有从内�怸�修改Windows核心代码才是最��d��的办法�?br />从Windows的模块调用机�Ӟ��我们可以看到�Q�Windows实际上是由包括在KERNEL�Q�GDI�Q�USER�{�几个模块中的众多函数支撑的。那么，修改其中涉及语言文字处理的函敎ͼ�使之能适应中文需要，不就能达到汉化目的了吗？因而，我们可以得出�q�样的结论：在自��q��模块中重新编写涉及文字显�C�，输入的多个函敎ͼ�然后�Q�将Windows中对�q�些函数的引用，改向到自��q��q�些模块中来�?br />
修改哪些函数才能完成汉化�Q�这需要深入分析Windows的内部结构，但CHINESE.DLL已明��无误地告诉了我们，在其数据�D늚�重定位表中列出的引用函数�Q�正是CStar修改了的Windows函数�Q?br />
��Z��验证�q�一思�\�Q�我们利用RichWin作一核实�?br />
用EXEHDR分析GDI.EXE�Q�得出ExtTextOut函数在GDI的第一代码�D?139H偏移处（不同版本的Windows其所在代码段和偏�U�d��能不一��P��。然后，用HelpWalk�Q�也是MicrosoftVisualC++开发工具中的一个）��查GDI的Code1�D�，6139H处前5个字节是B8FF054555�Q�经�q�运行RichWin4.3forInternet后，再查看同��L��地方�Q�已改�ؓEA08088F3D,其实反汇�~�就知道�Q�这5个字节就是代表Jmp3D8F:0808�Q�而句柄�ؓ0x3D8F的模块，用HelpWalk能观察到正是RichWin的WSENGINE.DLL的第一代码�D�（模块名�ؓTEXTMAN�Q�。而偏�U?808H处B8B73D45558BEC1E�Q�正是一个函数�v始的地方�Q�这实际上就是RichWin所重改写的ExtTextOut函数。退出RichWin后，再用HelpWalk观察GDI的Code1代码�D�，一切又恢复正常�Q�这与前面的分析�l�论完全��d��Q�那么，下一个关键点��是如何动态修改Windows的函��C��码，也就是汉化Windows的核心——“陷阱”技术�?br />
四、“陷阱”技�?br />讨论“陷阱”技术，�q�要回到前面的两个发现。发��C��二，已能解释��Z��改的Windows函数�Q�而发��C��一�Q�却仍是一个迷�?br />数据�D�存攄��是变量及帔R��{�内容，如果�q�里面包含有重定位信息，那么�Q�必定要在变量说明中��函数指针赋�l�一个FARPROC�c�d��的变量，于是�Q�在变量说明中写下：
FARPROC FarProcFunc=ExtTextOut;
果然�Q�我自己�E�序的数据段中也有了重定位信息。这��P��当程序调入内存中�Ӟ��变量FarProcFunc已是函数ExtTextOut的地址了�?br />
要直接修改代码段的内容，�q�遇��C��个难题，��是代码�D�|��不可改写的。这�Ӟ��需要用��C��个未公开的Windows函数AllocCStoDSAlias取得与代码段有相同基址的可写数据段别名�Q�其函数声明�?br />WORD FAR PASCAL AllocCStoDSAlias(WORD code_sel);
参数是代码段的句柄，�q�回值是可写数据�D�别名句柄�?br />
Windows中函数地址�?2位，高字是其模块的内存句柄，低字是函数在模块内的偏移。将得到的可写数据段别名句柄锁定�Q�再��函数偏�U�d��?个字节保留下来，然后��其改�ؓ转向替代函数�Q�用EA Jmp�Q?br />
*(lpStr+wOffset)=0xEA;
*(lpStr+wOffset+1)=lpFarProcReplace;

反汇�~�即是Jmp lpFarProcReplace�Q�最后，内存解锁�?br />�q�就是我们�ؓWindows讄��“陷阱”，当所有对此函数的调用都无条�g地�{到我们规定的替代函数处。当�E�序�l�束之前�Q�将保留�?字节内容再置回来�Q�否则，�pȝ��会崩溃�?br />
下面�l�出作者编写的使Windows的ExtTextOut函数落入自己函数“陷阱”的源程序�?br />
//源程�?relocate.c
#include
#include

BOOL WINAPI MyExtTextOut(HDC hDC, int x, int y, UINT nInt1, const RECT FAR* lpRect,LPCSTR lpStr, UINT nInt2, int FAR* lpInt);
WORD FAR PASCAL AllocCStoDSAlias(WORD code_sel);

typedef struct tagFUNC
{
FARPROC lpFarProcReplace;//替代函数地址
FARPROC lpFarProcWindows;//Windows函数地址
BYTE bOld;//保存原函数第一字节
LONG lOld;//保存原函数接后的四字节长�?br />}FUNC;

FUNC Func={MyExtTextOut,ExtTextOut};

//Windows��d��?br />int PASCAL WinMain(HINSTANCE hInstance,HINSTANCE hPrevInstance,LPSTR lpCmdLine,int nCmdShow)
{
HANDLE hMemCode;//代码�D�句�?br />WORD hMemData;//相同基址的可写数据段别名
WORD wOffset; //函数偏移
LPSTR lpStr;
LPLONG lpLong;
char lpNotice[96];

hMemCode=HIWORD((LONG) Func.lpFarProcWindows );
wOffset=LOWORD((LONG) Func.lpFarProcWindows );

wsprintf(lpNotice,"函数所在模块句�?0x%4xH,偏移 0x%4xH",hMemCode,wOffset);
MessageBox(NULL,lpNotice,"提示",MB_OK);

//取与代码�D�|��相同基址的可写数据段别名
hMemData=AllocCStoDSAlias(hMemCode);

lpStr=GlobalLock(hMemData);

lpLong=(lpStr+wOffset+1 );
//保存原函数要替换的头几个字节
Func.bOld=*(lpStr+wOffset);
Func.lOld=*lpLong;

*(lpStr+wOffset)=0xEA;
*lpLong=Func.lpFarProcReplace;
GlobalUnlock(hMemData);

MessageBox(NULL,"改�ؓ自己的函�?,"提示",MB_OK);

//��保留的内容改回�?br />hMemData=AllocCStoDSAlias(hMemCode);
lpStr=GlobalLock(hMemData);
lpLong=(lpStr+wOffset+1 );
*(lpStr+wOffset)=Func.bOld;
*lpLong=Func.lOld;
GlobalUnlock(hMemData);

MessageBox(NULL,"改回原Windows函数","提示",MB_OK);
return 1;
}

//自己的替代函�?br />BOOL WINAPI MyExtTextOut(HDC hDC, int x, int y, UINT nInt1, const RECT FAR* lpRect, LPCSTR lpStr, UINT nInt2, int FAR* lpInt)
{
BYTE NameDot[96]={
0x09, 0x00, 0xfd, 0x08, 0x09, 0x08, 0x09, 0x10, 0x09, 0x20,
0x79, 0x40, 0x41, 0x04, 0x47, 0xfe, 0x41, 0x40, 0x79, 0x40,
0x09, 0x20, 0x09, 0x20, 0x09, 0x10, 0x09, 0x4e, 0x51, 0x84,
0x21, 0x00, 0x02, 0x00, 0x01, 0x04, 0xff, 0xfe, 0x00, 0x00,
0x1f, 0xf0, 0x10, 0x10, 0x10, 0x10, 0x1f, 0xf0, 0x00, 0x00,
0x7f, 0xfc, 0x40, 0x04, 0x4f, 0xe4, 0x48, 0x24, 0x48, 0x24,
0x4f, 0xe4, 0x40, 0x0c, 0x10, 0x80, 0x10, 0xfc, 0x10, 0x88,
0x11, 0x50, 0x56, 0x20, 0x54, 0xd8, 0x57, 0x06, 0x54, 0x20,
0x55, 0xfc, 0x54, 0x20, 0x55, 0xfc, 0x5c, 0x20, 0x67, 0xfe,
0x00, 0x20, 0x00, 0x20, 0x00, 0x20
};

HBITMAP hBitmap,hOldBitmap;
HDC hMemDC;
BYTE far *lpDot;
int i;

for ( i=0;i<3;i++ )
{
lpDot=(LPSTR)NameDot+i*32;
hMemDC=CreateCompatibleDC(hDC);
hBitmap=CreateBitmap(16,16,1,1,lpDot);
SetBitmapBits(hBitmap,32L,lpDot);
hOldBitmap=SelectObject(hMemDC,hBitmap);
BitBlt(hDC,x+i*16,y,16,16,hMemDC,0,0,SRCCOPY);
DeleteDC(hMemDC);
DeleteObject(hBitmap);
}

return TRUE;
}

//模块定义文�grelocate.def
NAMERELOCATE
EXETYPE WINDOWS
CODEPRELOAD MOVEABLE DISCARDABLE
DATAPRELOAD MOVEABLE MULTIPLE
HEAPSIZE1024
EXPORTS

五、结束语
本文从原理上分析了称为“陷阱”技术的汉化Windows�Ҏ��。要��d��汉化Windows�q�要涉及昄��Q�键盘输入等诸多内容�Q�决非一日之功。但作�ؓ对“陷阱”技术的分析�Q�本文介�l�了��Q一Windows函数调用改向到自己指定函数处的通用�Ҏ��Q�这�U�方法可以拓展到其它应用中，如多语种昄��Q�不同内码制式的切换昄��{��?br />参考文献：
AndrewSchulmanDavidMaxeyMattPietrek,《未公开的Windows核心技术》，清华大学出版�C�，1993�q��?br />
王志东，“Windows中文环境”，《Windows软�g的应用与开发》，1993.5�?br />�Q�作者地址�Q�山东潍坊华光科技股䆾公司研究开发中�?张高�?邮编261041 �Q?img src ="http://www.shnenglu.com/eday/aggbug/15372.html" width = "1" height = "1" />

�? 2006-11-18 16:47 发表评论

游戏外挂设计技术探�?�?

�? — Sat, 18 Nov 2006 08:36:00 GMT
五、封�?b>技�?/b>

　　通过对动作模�?b>技�?/b>的介�l�，我们�?b>游戏外挂有了一定程度上的认识，也学会了使用动作模拟技�?/b>来实现简单的动作模拟�?b>游戏外挂的制作。这�U�动作模拟型游戏外挂有一定的局限性，它仅仅只能解决��用计��机代替人力完成那么有规律、繁琐而无聊的游戏动作。但是，随着�|�络游戏的盛行和复杂度的增加�Q�很�?b>游戏要求��客��L��动作信息及时反馈回服务器�Q�通过服务器对�q�些动作信息�q�行有效认证后，再向客户端发送下一�?b>游戏动作信息�Q�这样动作模�?b>技�?/b>��失��d��有的效应。�ؓ了更好地“外挂”这�?b>游戏�Q?b>游戏外挂�E�序也进行了升��换代�Q�它们将以前针对游戏用户界面层的模拟推进到数据通讯层，通过��包技�?/b>在客��L��挡截游戏服务器发送来�?b>游戏控制数据包，分析数据包�ƈ修改数据包；同时�q�需按照游戏数据包结构创建数据包�Q�再模拟客户端发送给游戏服务器，�q�个�q�程其实��是一个封包的�q�程�?br />
　　��包�?b>技�?/b>是实现第二类游戏外挂的最核心�?b>技�?/b>。封�?b>技�?/b>涉及的知识很�q�泛�Q�实现方法也很多�Q�如挡截WinSock、挡截API函数、挡截消息、VxD驱动�E�序�{�。在此我们也不可能在此文中将所有的��包技�?/b>都进行详�l�介�l�，故选择两种�?b>游戏外挂�E�序中最常用的两�U�方法：挡截WinSock和挡截API函数�?br />
　　1�Q?挡截WinSock

　　众所周知�Q�Winsock�?b>Windows�|�络�~�程接口�Q�它工作�?b>Windows应用层，它提供与底层传输协议无关的高层数据传输编�E�接口。在Windows�pȝ��中，使用WinSock接口为应用程序提供基于TCP/IP协议的网�l�访问服务，�q�些服务是由Wsock32.DLL动态链接库提供的函数库来完成的�?br />
　　�׃��说明可知�Q��Q�?b>Windows��Z��TCP/IP的应用程序都必须通过WinSock接口讉K��|�络�Q�当然网�l?b>游戏�E�序也不例外。由此我们可以想象一下，如果我们可以控制WinSock接口的话�Q�那么控�?b>游戏客户端程序与服务器之间的数据包也��易如反掌。按着�q�个思�\�Q�下面的工作��是如何完成控制WinSock接口了。由上面的介�l�可知，WinSock接口其实是由一个动态链接库提供的一�p�d��函数�Q�由�q�些函数实现对网�l�的讉K��。有了这层的认识�Q�问题就好办多了�Q�我们可以制作一个类似的动态链接库来代替原WinSock接口库，在其中实现WinSock32.dll中实现的所有函敎ͼ��q�保证所有函数的参数个数和顺序、返回值类型都应与原库相同。在�q�个自制作的动态库中，可以�Ҏ��们感兴趣的函敎ͼ�如发送、接收等函数�Q�进行挡截，攑օ�外挂控制代码�Q�最后还�l�箋调用原WinSock库中提供的相应功能函敎ͼ��q�样��可以实现对�|�络数据包的挡截、修改和发送等��包功能�?br />
　　下面重点介绍创徏挡截WinSock外挂�E�序的基本步骤：

　　(1) 创徏DLL��目�Q�选择Win32 Dynamic-Link Library�Q�再选择An empty DLL project�?br />
　　(2) 新徏文�gwsock32.h�Q�按如下步骤输入代码�Q?br />
　　�?加入相关变量声明�Q?br />
　　　HMODULE hModule=NULL; //模块句柄
　　　char buffer[1000]; //�~�冲�?br />　　　FARPROC proc; //函数入口指针

　　�?定义指向原WinSock库中的所有函数地址的指针变量，因WinSock库共提供70多个函数�Q�限于篇�q�，在此��只选择几个常用的函数列出，有关�q�些库函数的说明可参考MSDN相关内容�?br />
　　　//定义指向原WinSock库函数地址的指针变量�?br />　　　SOCKET (__stdcall *socket1)(int ,int,int);//创徏Sock函数�?br />　　　int　(__stdcall *WSAStartup1)(WORD,LPWSADATA);//初始化WinSock库函数�?br />　　　int　(__stdcall *WSACleanup1)();//清除WinSock库函数�?br />　　　int (__stdcall *recv1)(SOCKET ,char FAR * ,int ,int );//接收数据函数�?br />　　　int (__stdcall *send1)(SOCKET ,const char * ,int ,int);//发送数据函数�?br />　　　int (__stdcall *connect1)(SOCKET,const struct sockaddr *,int);//创徏�q�接函数�?br />　　　int (__stdcall *bind1)(SOCKET ,const struct sockaddr *,int );//�l�定函数�?br />　　　......其它函数地址指针的定义略�?

　　(3) 新徏wsock32.cpp文�g�Q�按如下步骤输入代码�Q?br />
　　�?加入相关头文件声明：

　　　#include "windows.h"
　　　#include "stdio.h"
　　　#include "wsock32.h"

　　�?��d��DllMain函数�Q�在此函��C��首先需要加载原WinSock库，�q�获取此库中所有函数的地址。代码如下：

　　　BOOL WINAPI DllMain (HANDLE hInst,ULONG ul_reason_for_call,LPVOID lpReserved)
　　　{
　　　　if(hModule==NULL){
　　　　　//加蝲原WinSock库，原WinSock库已复制为wsock32.001�?br />　　　hModule=LoadLibrary("wsock32.001");
　　}
　　　　else return 1;
//获取原WinSock库中的所有函数的地址�q�保存，下面仅列出部分代码�?br />if(hModule!=NULL){
　　　　　//获取原WinSock库初始化函数的地址�Q��ƈ保存到WSAStartup1中�?br />proc=GetProcAddress(hModule,"WSAStartup");
　　　WSAStartup1=(int (_stdcall *)(WORD,LPWSADATA))proc;
　　　　　//获取原WinSock库消除函数的地址�Q��ƈ保存到WSACleanup1中�?br />　　　　proc=GetProcAddress(hModule i,"WSACleanup");
　　　　WSACleanup1=(int (_stdcall *)())proc;
　　　　　//获取原创建Sock函数的地址�Q��ƈ保存到socket1中�?br />　　　　proc=GetProcAddress(hModule,"socket");
　　　　　socket1=(SOCKET (_stdcall *)(int ,int,int))proc;
　　　　　//获取原创��接函数的地址�Q��ƈ保存到connect1中�?br />　　　　　proc=GetProcAddress(hModule,"connect");
　　　　　connect1=(int (_stdcall *)(SOCKET ,const struct sockaddr *,int ))proc;
　　　　　//获取原发送函数的地址�Q��ƈ保存到send1中�?br />　　　　　proc=GetProcAddress(hModule,"send");
　　　　　send1=(int (_stdcall *)(SOCKET ,const char * ,int ,int ))proc;
　　　　　//获取原接收函数的地址�Q��ƈ保存到recv1中�?br />　　　　　proc=GetProcAddress(hModule,"recv");
　　　　　recv1=(int (_stdcall *)(SOCKET ,char FAR * ,int ,int ))proc;
　　　　　......其它获取函数地址代码略�?br />　　　}
　　　else return 0;
　　　return 1;
}

　　�?定义库输出函敎ͼ�在此可以�Ҏ��们感兴趣的函��C��d��外挂控制代码�Q�在所有的输出函数的最后一步都调用原WinSock库的同名函数。部分输出函数定义代码如下：

//库输出函数定义�?br />//WinSock初始化函数�?br />　　　　int PASCAL FAR WSAStartup(WORD wVersionRequired, LPWSADATA lpWSAData)
　　　　{
　　　　　//调用原WinSock库初始化函数
　　　　　return WSAStartup1(wVersionRequired,lpWSAData);
　　　　}
　　　　//WinSock�l�束清除函数�?br />　　　　int PASCAL FAR WSACleanup(void)
　　　　{
　　　　　return WSACleanup1(); //调用原WinSock库结束清除函数�?br />　　　　}
　　　　//创徏Socket函数�?br />　　　　SOCKET PASCAL FAR socket (int af, int type, int protocol)
　　　　{
　　　　　//调用原WinSock库创建Socket函数�?br />　　　　　return socket1(af,type,protocol);
　　　　}
　　　　//发送数据包函数
　　　　int PASCAL FAR send(SOCKET s,const char * buf,int len,int flags)
　　　　{
　　　//在此可以对发送的�~�冲buf的内容进行修改，以实现欺骗服务器�?br />　　　外挂代码......
　　　//调用原WinSock库发送数据包函数�?br />　　　　　return send1(s,buf,len,flags);
　　　　}
//接收数据包函数�?br />　　　　int PASCAL FAR recv(SOCKET s, char FAR * buf, int len, int flags)
　　　　{
　　　//在此可以挡截到服务器端发送到客户端的数据包，先将其保存到buffer中�?br />　　　strcpy(buffer,buf);
　　　//对buffer数据包数据进行分析后�Q�对其按照玩家的指��o�q�行相关修改�?br />　　　外挂代码......
　　　//最后调用原WinSock中的接收数据包函数�?br />　　　　　return recv1(s, buffer, len, flags);
　　　　　}
　　　　.......其它函数定义代码略�?

　　(4)、新建wsock32.def配置文�g�Q�在其中加入所有库输出函数的声明，部分声明代码如下�Q?br />
　　　LIBRARY "wsock32"
　　　EXPORTS
　　　　WSAStartup @1
　　　WSACleanup @2
　　　　recv @3
　　　　send @4
　　　　socket @5
　　　bind @6
　　　closesocket @7
　　　connect @8

　　　......其它输出函数声明代码略�?br />
　　(5)、从“工�E�”菜单中选择“设�|�”，弹出Project Setting对话框，选择Link标签�Q�在“对�?库模块”中输入Ws2_32.lib�?br />
　　(6)、编译项目，产生wsock32.dll库文件�?br />
　　(7)、将�pȝ��目录下原wsock32.dll库文件拷贝到被外挂程序的目录下，�q�将其改名�ؓwsock.001�Q�再��上面��生的wsock32.dll文�g同样拯��到被外挂�E�序的目录下。重新启�?b>游戏�E�序�Q�此�?b>游戏�E�序��先加蝲我们自己制作的wsock32.dll文�g�Q�再通过该库文�g间接调用原WinSock接口函数来实现访问网�l�。上面我们仅仅介�l�了挡蝲WinSock的实现过�E�，至于如何加入外挂控制代码�Q�还需要外挂开发�h员对游戏数据包结构、内宏V��加密算法等斚w��的仔�l�分析（�q�个�q�程��是一个艰辛的�q�程�Q�，再生成外挂控制代码。关于数据包分析�Ҏ��和技巧，不是本文讲解的范��_��如您感兴��可以到�|�上查查相关资料�?br />

　　2.挡截API

　　挡截API技�?/b>与挡截WinSock技�?/b>在原理上很相��|��但是前者比后者提供了更强大的功能。挡截WinSock仅只能挡截WinSock接口函数�Q�而挡截API可以实现对应用程序调用的包括WinSock API函数在内的所有API函数的挡截。如果您的外挂程序仅打算对WinSock的函数进行挡截的话，您可以只选择使用上小节介�l�的挡截WinSock技�?/b>。随着大量外挂�E�序在功能上的扩展，它们不仅仅只提供�Ҏ��据包的挡截，而且�q�对游戏�E�序中��用的Windows API或其它DLL库函数的挡截�Q�以使外挂的功能更加强大。例如，可以通过挡截相关API函数以实现对非中�?b>游戏的汉化功能，有了�q�个利器�Q�可以��您的外挂�E�序无所不能了�?br />
　　挡截API技�?/b>的原理核心也是��用我们自��q��函数来替换掉Windows或其它DLL库提供的函数�Q�有点同挡截WinSock原理�怼�吧。但是，其实现过�E�却比挡截WinSock要复杂的多，如像实现挡截Winsock�q�程一��P��应用程序调用的所有的库文仉��写一个模拟库有点不大可能�Q�就只说Windows API��有�?b>�?/b>个，�q�有很多库提供的函数�l�构�q�未公开�Q�所以写一个模拟库代替的方式不大现实，故我们必��d��谋良斏V�?br />
　　挡截API的最�l�目标是使用自定义的函数代替原函数。那么，我们首先应该知道应用�E�序何时、何地、用何种方式调用原函数。接下来�Q�需要将应用�E�序中调用该原函数的指��o代码�q�行修改�Q��它将调用函数的指针指向我们自己定义的函数地址。这��P��外挂�E�序才能完全控制应用�E�序调用的API函数�Q�至于在其中如何加入外挂代码�Q�就应需求而异了。最后还有一个重要的问题要解冻I��如何��我们自定义的用来代替原API函数的函��C��码注入被外挂游戏�E�序�q�行地址�I�间中，因在Windows�pȝ��中应用程序仅只能讉K��到本�q�程地址�I�间内的代码和数据�?br />
　　�l�g��所�q�ͼ�要实现挡截API函数�Q�至��需要解军_��下三个问题：

　　�?如何定位游戏�E�序中调用API函数指��o代码�Q?br />
　　�?如何修改游戏�E�序中调用API函数指��o代码�Q?br />
　　�?如何��外挂代码（自定义的替换函数代码�Q�注入到游戏�E�序�q�程地址�I�间�Q?br />
　　下面我们逐一介绍�q�几个问题的解决�Ҏ��Q?br />
　　(1) 、定位调用API函数指��o代码

　　我们知道�Q�在汇编语言中��用CALL指��o来调用函数或�q�程的，它是通过指��o参数中的函数地址而定位到相应的函��C��码的。那么，我们如果能寻扑ֈ��E�序代码中所有调用被挡截的API函数的CALL指��o的话�Q�就可以��该指��o中的函数地址参数修改为替代函数的地址。虽然这是一个可行的�Ҏ��Q�但是实现�v来会很繁琐，也不�E�_��。庆�q�的是，Windows�pȝ��中所使用的可执行文�g�Q�PE格式�Q�采用了输入地址表机�Ӟ��所有在�E�序调用的API函数的地址信息存放在输入地址表中�Q�而在�E�序代码CALL指��o中��用的地址不是API函数的地址�Q�而是输入地址表中该API函数的地址��，如想使程序代码中调用的API函数被代替掉�Q�只用将输入地址表中该API函数的地址��内容修改即可。具体理解输入地址表运行机�Ӟ��q�需要了解一下PE格式文�g�l�构�Q�其中图三列��Z��PE格式文�g的大致结构�?br />

图三�Q�PE格式大致�l�构�?br />

　　PE格式文�g一开始是一�D�DOS�E�序�Q�当你的�E�序在不支持Windows的环境中�q�行�Ӟ��它就会显�C�“This Program cannot be run in DOS mode”这��L��警告语句�Q�接着�q�个DOS文�g��_��开始真正的PE文�g内容了。首先是一�D늧�为“IMAGE_NT_HEADER”的数据�Q�其中是许多关于整个PE文�g的消息，在这�D�|��据的��是一个称为Data Directory的数据表�Q�通过它能快速定位一些PE文�g中段�Q�section�Q�的地址。在�q�段数据之后�Q�则是一个“IMAGE_SECTION_HEADER”的列表�Q�其中的每一��w��详细描述了后面一个段的相关信息。接着它就是PE文�g中最主要的段数据了，执行代码、数据和资源�{�等信息��分别存攑֜��q�些�D�中�?br />
　　在所有的�q�些�D�里�Q�有一个被�U�Cؓ�?idata”的�D�（输入数据�D�）值得我们��L��意，该段中包含着一些被�U�Cؓ输入地址表（IAT�Q�Import Address Table�Q�的数据列表。每个用隐式方式加蝲的API所在的DLL都有一个IAT与之对应�Q�同时一个API的地址也与IAT中一��相对应。当一个应用程序加载到内存中后�Q�针�Ҏ��一个API函数调用�Q�相应的产生如下的汇�~�指令：

　　JMP DWORD PTR [XXXXXXXX]

　　�?br />
　　CALL DWORD PTR [XXXXXXXX]

　　其中�Q�[XXXXXXXX]表示指向了输入地址表中一个项�Q�其内容是一个DWORD�Q�而正是这个DWORD才是API函数在内存中的真正地址。因此我们要��x��截一个API的调用，只要��单的把那个DWORD改�ؓ我们自己的函数的地址�?br />
　　(2) 、修改调用API函数代码

　　从上面对PE文�g格式的分析可知，修改调用API函数代码其实是修改被调用API函数在输入地址表中IAT��内宏V��由�?b>Windows�pȝ��对应用程序指令代码地址�I�间的严密保护机�Ӟ��使得修改�E�序指��o代码非常困难�Q�以至于许多高手��Z��~�写VxD�q�入Ring0。在�q�里�Q�我为大家介�l�一�U�较为方便的�Ҏ��修改�q�程内存�Q�它仅需要调用几�?b>Windows核心API函数�Q�下面我首先来学会一下这几个API函数�Q?br />
　　　DWORD VirtualQuery(
　　　LPCVOID lpAddress, // address of region
　　　PMEMORY_BASIC_INFORMATION lpBuffer, // information buffer
　　　DWORD dwLength // size of buffer
　　　);

　　该函数用于查询关于本�q�程内虚拟地址��늚�信息。其中，lpAddress表示被查询页的区域地址�Q�lpBuffer表示用于保存查询��信息的�~�冲�Q�dwLength表示�~�冲区大��。返回��gؓ实际�~�冲大小�?br />
　　　BOOL VirtualProtect(
　　　LPVOID lpAddress, // region of committed pages
　　　SIZE_T dwSize, // size of the region
　　　DWORD flNewProtect, // desired access protection
　　　PDWORD lpflOldProtect // old protection
　　　);

　　该函数用于改变本�q�程内虚拟地址��늚�保护属性。其中，lpAddress表示被改变保护属性页区域地址�Q�dwSize表示��区域大��；flNewProtect表示新的保护属性，可取��gؓPAGE_READONLY、PAGE_READWRITE、PAGE_EXECUTE�{�；lpflOldProtect表示用于保存改变前的保护属性。如果函数调用成功返回“T”，否则�q�回“F”�?br />
　　有了�q�两个API函数�Q�我们就可以随心所�Ʋ的修改�q�程内存了。首先，调用VirtualQuery()函数查询被修改内存的��信息，再根据此信息调用VirtualProtect()函数改变�q�些��늚�保护属性�ؓPAGE_READWRITE�Q�有了这个权限您��可以�Q意修改进�E�内存数据了。下面一�D�代码演�C�Z��如何��进�E�虚拟地址�?x0040106c处的字节清零�?br />
　　　BYTE* pData = 0x0040106c;
　　　MEMORY_BASIC_INFORMATION mbi_thunk;
　　　//查询��信息�?br />　　　VirtualQuery(pData, &mbi_thunk, sizeof(MEMORY_BASIC_INFORMATION));
　　　//改变��保护属性�ؓ��d��?br />　　　VirtualProtect(mbi_thunk.BaseAddress,mbi_thunk.RegionSize,
　　　PAGE_READWRITE, &mbi_thunk.Protect);
　　　//清零�?br />　　　*pData = 0x00;
　　　//恢复��늚�原保护属性�?br />　　　DWORD dwOldProtect;
　　　VirtualProtect(mbi_thunk.BaseAddress,mbi_thunk.RegionSize,
　　　mbi_thunk.Protect, &dwOldProtect);

　　(3)、注入外挂代码进入被�?b>游戏�q�程�?br />
　　完成了定位和修改�E�序中调用API函数代码后，我们��可以随意设计自定义的API函数的替代函��C��。做完这一切后�Q�还需要将�q�些代码注入到被外挂游戏�E�序�q�程内存�I�间中，不然游戏�q�程�Ҏ��不会讉K��到替代函��C��码。注入方法有很多�Q�如利用全局钩子注入、利用注册表注入挡截User32库中的API函数、利用CreateRemoteThread注入�Q�仅限于NT/2000�Q�、利用BHO注入�{�。因为我们在动作模拟技�?/b>一节已�l�接触过全局钩子�Q�我�怿�聪明的读者已�l�完全掌握了全局钩子的制作过�E�，所以我们在后面的实例中�Q�将�l�箋利用�q�个全局钩子。至于其它几�U�注入方法，如果感兴��可参阅MSDN有关内容�?br />
　　有了以上理论基础�Q�我们下面就开始制作一个挡截MessageBoxA和recv函数的实例，在开�?b>游戏外挂�E�序 �Ӟ��可以此实例�ؓ框架�Q�加入相应的替代函数和处理代码即可。此实例的开发过�E�如下：

　　(1) 打开前面创徏的ActiveKey��目�?br />
　　(2) 在ActiveKey.h文�g中加入HOOKAPI�l�构�Q�此�l�构用来存储被挡截API函数名称、原API函数地址和替代函数地址�?br />
　　　typedef struct tag_HOOKAPI
　　　{
　　　LPCSTR szFunc;//被HOOK的API函数名称�?br />　　　PROC pNewProc;//替代函数地址�?br />　　　PROC pOldProc;//原API函数地址�?br />　　　}HOOKAPI, *LPHOOKAPI;

　　(3) 打开ActiveKey.cpp文�g�Q�首先加入一个函敎ͼ�用于定位输入库在输入数据�D�中的IAT地址。代码如下：

　　　extern "C" __declspec(dllexport)PIMAGE_IMPORT_DESCRIPTOR
　　　LocationIAT(HMODULE hModule, LPCSTR szImportMod)
　　　//其中�Q�hModule��E�模块句柄；szImportMod��入库名称�?br />　　　{
　　　//��查是否�ؓDOS�E�序�Q�如是返回NULL�Q�因DOS�E�序没有IAT�?br />　　　PIMAGE_DOS_HEADER pDOSHeader = (PIMAGE_DOS_HEADER) hModule;
　　　if(pDOSHeader->e_magic != IMAGE_DOS_SIGNATURE) return NULL;
　　　　//��查是否�ؓNT标志�Q�否则返回NULL�?br />　　　　PIMAGE_NT_HEADERS pNTHeader = (PIMAGE_NT_HEADERS)((DWORD)pDOSHeader+ (DWORD)(pDOSHeader->e_lfanew));
　　　　if(pNTHeader->Signature != IMAGE_NT_SIGNATURE) return NULL;
　　　　//没有IAT表则�q�回NULL�?br />　　　　if(pNTHeader->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress == 0) return NULL;
　　　　//定位�W�一个IAT位置�?
　　　　PIMAGE_IMPORT_DESCRIPTOR pImportDesc = (PIMAGE_IMPORT_DESCRIPTOR)((DWORD)pDOSHeader + (DWORD)(pNTHeader->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress));
　　　　//�Ҏ��输入库名�U��@环检查所有的IAT�Q�如匚w��则返回该IAT地址�Q�否则检��下一个IAT�?br />　　　　while (pImportDesc->Name)
　　　　{
　　　　　//获取该IAT描述的输入库名称�?br />　　　PSTR szCurrMod = (PSTR)((DWORD)pDOSHeader + (DWORD)(pImportDesc->Name));
　　　if (stricmp(szCurrMod, szImportMod) == 0) break;
　　　pImportDesc++;
　　　　}
　　　　if(pImportDesc->Name == NULL) return NULL;
　　　return pImportDesc;
　　　}

　　再加入一个函敎ͼ�用来定位被挡截API函数的IAT��ƈ修改其内容�ؓ替代函数地址。代码如下：

　　　extern "C" __declspec(dllexport)
　　　HookAPIByName( HMODULE hModule, LPCSTR szImportMod, LPHOOKAPI pHookApi)
　　　//其中�Q�hModule��E�模块句柄；szImportMod��入库名称�Q�pHookAPI为HOOKAPI�l�构指针�?br />　　　{
　　　　//定位szImportMod输入库在输入数据�D�中的IAT地址�?br />　　　　PIMAGE_IMPORT_DESCRIPTOR pImportDesc = LocationIAT(hModule, szImportMod);
　　if (pImportDesc == NULL) return FALSE;
　　　　//�W�一个Thunk地址�?br />　　　　PIMAGE_THUNK_DATA pOrigThunk = (PIMAGE_THUNK_DATA)((DWORD)hModule + (DWORD)(pImportDesc->OriginalFirstThunk));
　　 //�W�一个IAT��的Thunk地址�?br />　　　　PIMAGE_THUNK_DATA pRealThunk = (PIMAGE_THUNK_DATA)((DWORD)hModule + (DWORD)(pImportDesc->FirstThunk));
　　　　//循环查找被截API函数的IAT��，�q��用替代函数地址修改其倹{�?br />　　　while(pOrigThunk->u1.Function)
{
　//��此Thunk是否为IAT��V�?br />if((pOrigThunk->u1.Ordinal & IMAGE_ORDINAL_FLAG) != IMAGE_ORDINAL_FLAG)
{
　 //获取此IAT��Ҏ��描述的函数名�U��?br />　PIMAGE_IMPORT_BY_NAME pByName =(PIMAGE_IMPORT_BY_NAME)((DWORD)hModule+(DWORD)(pOrigThunk->u1.AddressOfData));
　if(pByName->Name[0] == '\0') return FALSE;
　　//��是否�ؓ挡截函数�?br />if(strcmpi(pHookApi->szFunc, (char*)pByName->Name) == 0)
　 {
　　　　　　　MEMORY_BASIC_INFORMATION mbi_thunk;
　　　　　　　//查询修改��늚�信息�?br />　　　　　　　VirtualQuery(pRealThunk, &mbi_thunk, sizeof(MEMORY_BASIC_INFORMATION));
//改变修改��保护属性�ؓPAGE_READWRITE�?br />　　　　　　　VirtualProtect(mbi_thunk.BaseAddress,mbi_thunk.RegionSize, PAGE_READWRITE, &mbi_thunk.Protect);
//保存原来的API函数地址�?br />　　　　　if(pHookApi->pOldProc == NULL)
pHookApi->pOldProc = (PROC)pRealThunk->u1.Function;
　 //修改API函数IAT��内容�ؓ替代函数地址�?br />pRealThunk->u1.Function = (PDWORD)pHookApi->pNewProc;
//恢复修改��保护属性�?br />DWORD dwOldProtect;
　　　　　　　VirtualProtect(mbi_thunk.BaseAddress, mbi_thunk.RegionSize, mbi_thunk.Protect, &dwOldProtect);
　　　　　 }
}
　 pOrigThunk++;
　 pRealThunk++;
}
　　SetLastError(ERROR_SUCCESS); //讄��错误为ERROR_SUCCESS�Q�表�C�成功�?br />　　return TRUE;
　　　}

　　(4) 定义替代函数�Q�此实例中只�l�MessageBoxA和recv两个API�q�行挡截。代码如下：

　　　static int WINAPI MessageBoxA1 (HWND hWnd , LPCTSTR lpText, LPCTSTR lpCaption, UINT uType)
　　　{
　　　　//�q��o掉原MessageBoxA的正文和标题内容�Q�只昄��如下内容�?br />return MessageBox(hWnd, "Hook API OK!", "Hook API", uType);
　　　}
　　　static int WINAPI recv1(SOCKET s, char FAR *buf, int len, int flags )
　　　{
　　　//此处可以挡截游戏服务器发送来的网�l�数据包�Q�可以加入分析和处理数据代码�?br />　　　return recv(s,buf,len,flags);
　　　}

　　(5) 在KeyboardProc函数中加入激�z�L��截API代码�Q�在if( wParam == 0X79 )语句中后面加入如下else if语句�Q?br />
　　　......
　　　//当激�z�F11键时�Q�启动挡截API函数功能�?br />　　　else if( wParam == 0x7A )
　　　{
　　　　HOOKAPI api[2];
api[0].szFunc ="MessageBoxA";//讄��被挡截函数的名称�?br />api[0].pNewProc = (PROC)MessageBoxA1;//讄��替代函数的地址�?br />api[1].szFunc ="recv";//讄��被挡截函数的名称�?br />api[1].pNewProc = (PROC)recv1; //讄��替代函数的地址�?br />//讄��挡截User32.dll库中的MessageBoxA函数�?br />HookAPIByName(GetModuleHandle(NULL),"User32.dll",&api[0]);
//讄��挡截Wsock32.dll库中的recv函数�?br />HookAPIByName(GetModuleHandle(NULL),"Wsock32.dll",&api[1]);
　　　}
　　　......

　　(6) 在ActiveKey.cpp中加入头文�g声明 "#include "wsock32.h"�?从“工�E�”菜单中选择“设�|�”，弹出Project Setting对话框，选择Link标签�Q�在“对�?库模块”中输入Ws2_32..lib�?br />
　　(7) 重新�~�译ActiveKey��目�Q��生ActiveKey.dll文�g�Q�将其拷贝到Simulate.exe目录下。运行Simulate.exe�q�启动全局钩子。激�z�M�Q意应用程序，按F11键后�Q�运行此�E�序中可能调用MessageBoxA函数的操作，看看信息框是不是有所变化。同��P��如此�E�序正在接收�|�络数据包，��可以实现封包功能了�?br />
　　六、结束语

　　除了以上介绍的几�U?b>游戏外挂�E�序常用�?b>技�?/b>以外�Q�在一些外挂程序中�q��用了游戏数据修改技�?/b>�?b>游戏加�?b>技�?/b>�{�。在�q�篇文章里，��׃��逐一介绍了�?img src ="http://www.shnenglu.com/eday/aggbug/15363.html" width = "1" height = "1" />

�? 2006-11-18 16:36 发表评论

游戏外挂设计技术探�?�?

�? — Sat, 18 Nov 2006 08:35:00 GMT

一�?前言

　　所�?b>游戏外挂�Q�其实是一�U?b>游戏外辅�E�序�Q�它可以协助玩家自动产生游戏动作、修�?b>游戏�|�络数据包以及修�?b>游戏内存数据�{�，以实现玩家用最��的旉��和金钱去完成功力升��和过��x��。虽�Ӟ��现在�?b>游戏外挂�E�序的“合法”��n份众说纷�U�，在这里我不想�Ҏ��发表��M��个�h意见�Q�让旉��去说明一切吧�?br />
　　不管游戏外挂�E�序是不是“合法”��n份，但是它却是具有一定的技�?/b>含量的，在这些小��程序中使用了许多高�?b>技�?/b>�Q�如拦截Sock技�?/b>、拦截API技�?/b>、模拟键盘与鼠标技�?/b>、直接修改程序内�?b>技�?/b>�{�等。本文将对常见的游戏外挂中��用的技�?/b>�q�行全面剖析�?br />
　　二、认识外�?br />
　　游戏外挂的历史可以追溯到单机�?b>游戏时代�Q�只不过当时它��用了另一个更通俗易懂的名�??游戏修改器。它可以�?b>游戏中追�t�锁�?b>游戏��M�h公的各项能力数倹{��这��L��家在游戏中可以达��C��角不掉血、不耗费��法、不消耗金��q��目的。这样降低了游戏的难度，使得玩家更容易通关�?br />
　　随着�|�络游戏的时代的来��Q?b>游戏外挂在原有的功能之上�q�行了新的发展，它变得更加多�U�多��P��功能更加强大�Q�操作更加简单，以至有些游戏的外挂已�l�成��Z��个体�p�，比如《石器时代》，外挂品种辑ֈ�了几十种�Q�自动战斗、自动行走、自动练�U�、自动补血、加速、不遇敌、原地遇敌、快速增加经验倹{��按键精灵……几乎无所不包�?br />
　　游戏外挂的设计主要是针对于某�?b>游戏开发的�Q�我们可以根据它针对�?b>游戏的类型可大致可将外挂分�ؓ两种大类�?br />
　　一�c�L��?b>游戏中大量繁琐和无聊的攻��d��作��用外挂自动完成，以帮助玩家轻松搞定攻��d��象�ƈ可以快速的增加玩家的经验倹{��比如在《龙族》中有一�U�工作的讑֮��Q�玩家的工作�{��񔭑�高�Q�就可以��N��好的装备。但是增加工作等�U�却不是一件有��的事情�Q�毋宁说是重复枯燥的机械力_��。如果你惛_��法师用的杖，首先需要做基本工作--?砍树。砍树的�Ҏ��很简单，在一��大树前不停的点鼠标��可以了�Q�每10000的经验升一�U�。这��意味着玩家要在大树前不停的点击鼠标�Q�这�U�无聊的事情通过"按键�_��"��可以解冟뀂外挂的"按键�_��"功能可以让玩家摆脱无��的点击鼠标的工作�?br />
　　另一�c�L��由外挂程序��生欺骗性的�|�络游戏��包�Q��ƈ��这些封包发送到�|�络游戏服务器，利用�q�些虚假信息�ƺ骗服务器进�?b>游戏数值的修改�Q�达��C��改角色能力数值的目的。这�c�d��挂程序针�Ҏ��很强，一般在设计旉��是针�Ҏ��?b>游戏某个版本来做的，因�ؓ每个�|�络游戏服务器与客户端交��的数据包各不相同，外挂�E�序必须要对�ƺ骗的网�l?b>游戏服务器的数据包进行分析，才能产生服务器识别的数据包。这�c�d��挂程序也是当前最��利的一�c?b>游戏外挂�E�序�?br />
　　另外�Q�现在很多外挂程序功能强大，不仅实现了自动动作代理和��包功能�Q�而且�q�提供了对网�l?b>游戏的客��L��E�序的数据进行修改，以达到欺骗网�l?b>游戏服务器的目的。我�怿��Q�随着�|�络游戏商家的反外挂技�?/b>的进展，游戏外挂��会产生更多更优�U��?b>技�?/b>�Q�让我们期待着看场技�?/b>大战�?.....

　　三、外�?b>技�?/b>�l�D��

　　可以��开�?b>游戏外挂�E�序的过�E�大体上划分��Z��个部分：

　　前期部分工作是对外挂的主�?b>游戏�q�行分析�Q�不同类型的外挂分析��M��游戏的内容也不相同。如外挂��Z��q�谈到的外挂�c�d��中的�W�一�c�L��Q�其分析�q�程常是针对游戏的场景中的攻��d��象的位置和分布情况进行分析，以实现外挂自动进行攻��M��及位�|�移动。如外挂为外挂类型中的第二类�Ӟ��其分析过�E�常是针�?b>游戏服务器与客户端之间通讯包数据的�l�构、内容以及加密算法的分析。因�|�络游戏公司一般都不会公布�?b>游戏产品的通讯包数据的�l�构、内容和加密��法的信息，所以对于开发第二类外挂成功的关键在于是否能正确分析游戏包数据的�l�构、内容以及加密算法，虽然可以使用一些工兯��助分析，但是�q�还是一�U�坚苦而复杂的工作�?br />
　　后期部分工作主要是根据前期对游戏的分析结果，使用大量的程序开�?b>技�?/b>�~�写外挂�E�序以实现对游戏的控制或修改。如外挂�E�序为第一�c�d��挂时�Q�通常会��用到鼠标模拟技�?/b>来实�?b>游戏角色的自动位�|�移动，使用键盘模拟技�?/b>来实�?b>游戏角色的自动攻凅R��如外挂�E�序为第二类外挂�Ӟ��通常会��用到挡截Sock和挡截API函数技�?/b>�Q�以挡截游戏服务器传来的�|�络数据包�ƈ��数据包修改后封包后传给游戏服务器。另外，�q�有许多外挂使用�?b>游戏客户端程序内存数据修�?b>技�?/b>以及游戏加�?b>技�?/b>�?br />
　　本文主要是针对开�?b>游戏外挂�E�序后期使用的程序开�?b>技�?/b>�q�行探讨�Q�重点介�l�的如下几种�?b>游戏外挂中常使用的程序开�?b>技�?/b>�Q?br />
　　�?动作模拟技�?/b>�Q�主要包括键盘模�?b>技�?/b>和鼠标模�?b>技�?/b>�?br />
　　�?��包技�?/b>�Q�主要包括挡截Sock技�?/b>和挡截API技�?/b>�?br />

四、动作模�?b>技�?/b>

　　我们在前面介�l�过�Q�几乎所有的游戏都有大量�J�琐和无聊的��d��动作以增加玩家的功力�Q�还有那些数不完的迷宫，�q�些好像已经成�ؓ了角�?b>游戏的代名词。现在，外挂可以帮助玩家从这些繁琐而无聊的工作中摆脱出来，专注�?b>游戏情节的进展。外挂程序�ؓ了实现自动角色位�|�移动和自动��d��{�功能，需要��用到键盘模拟技�?/b>和鼠标模�?b>技�?/b>。下面我们将重点介绍�q�些技�?/b>�q�编写一个简单的实例帮助读者理解动作模�?b>技�?/b>的实现过�E��?br />
　　�Q�．鼠标模拟技�?/b>
　　
　　几乎所有的游戏中都使用了鼠标来改变角色的位�|�和方向�Q�玩家仅用一个小��的鼠标�Q�就可以使角色畅游天下。那么，我们如何实现在没有玩家的参与下角色也可以自动行走呢。其实实现这个�ƈ不难�Q�仅仅几�?b>Windows API函数��可以搞定，让我们先来认识认识这些API函数�?br />
　　(1) 模拟鼠标动作API函数mouse_event�Q�它可以实现模拟鼠标按下和放开�{�动作�?br />
　　　　VOID mouse_event(
　　　　　　DWORD dwFlags, // 鼠标动作标识�?br />　　　　　　DWORD dx, // 鼠标水��^方向位置�?br />　　　　　　DWORD dy, // 鼠标垂直方向位置�?br />　　　　　　DWORD dwData, // 鼠标轮子转动的数量�?br />　　　　　　DWORD dwExtraInfo // 一个关联鼠标动作辅加信息�?br />　　　　);

　　其中�Q�dwFlags表示了各�U�各��L��鼠标动作和点��L��动，它的常用取值如下：

　　　MOUSEEVENTF_MOVE　表示模拟鼠标�U�d��事�g�?br />
　　　MOUSEEVENTF_LEFTDOWN 表示模拟按下鼠标左键�?br />
　　　MOUSEEVENTF_LEFTUP 表示模拟攑ּ�鼠标左键�?br />
　　　MOUSEEVENTF_RIGHTDOWN 表示模拟按下鼠标右键�?br />
　　　MOUSEEVENTF_RIGHTUP 表示模拟攑ּ�鼠标右键�?br />
　　　MOUSEEVENTF_MIDDLEDOWN 表示模拟按下鼠标中键�?br />
　　　MOUSEEVENTF_MIDDLEUP 表示模拟攑ּ�鼠标中键�?br />
　　(2)、设�|�和获取当前鼠标位置的API函数。获取当前鼠标位�|��用GetCursorPos()函数�Q�设�|�当前鼠标位�|��用SetCursorPos()函数�?br />
　　　　BOOL GetCursorPos(
　　　　　LPPOINT　lpPoint // �q�回鼠标的当前位�|��?br />　　　　);
　　　　BOOL SetCursorPos(
　　　　int X, // 鼠标的水�q�x��向位�|��?br />　　　　　　int Y //鼠标的垂直方向位�|��?br />　　　　);

　　通常游戏角色的行走都是通过鼠标�U�d��至目的地�Q�然后按一下鼠标的按钮��搞定了。下面我们��用上面介�l�的API函数来模拟角色行走过�E��?br />
　　　CPoint oldPoint,newPoint;
　　　GetCursorPos(&oldPoint); //保存当前鼠标位置�?br />　　　newPoint.x = oldPoint.x+40;
　　　newPoint.y = oldPoint.y+10;
　　　SetCursorPos(newPoint.x,newPoint.y); //讄��目的��C��|��?br />　　　mouse_event(MOUSEEVENTF_RIGHTDOWN,0,0,0,0);//模拟按下鼠标右键�?br />　　　mouse_event(MOUSEEVENTF_RIGHTUP,0,0,0,0);//模拟攑ּ�鼠标右键�?

　　2�Q?键盘模拟技�?/b>

　　在很�?b>游戏中，不仅提供了鼠标的操作�Q�而且�q�提供了键盘的操作，在对��d��对象�q�行��d��时还可以使用快捷键。�ؓ了�ɘq�些��d��q�程能够自动�q�行�Q�外挂程序需要��用键盘模�?b>技�?/b>。像鼠标模拟技�?/b>一��P��Windows API也提供了一�p�d��API函数来完成对键盘动作的模拟�?br />
　　模拟键盘动作API函数keydb_event�Q�它可以模拟寚w��盘上的某个或某些键进行按下或攑ּ�的动作�?br />
　　　VOID keybd_event(
　　　　　BYTE bVk, // 虚拟键倹{�?br />　　　　　BYTE bScan, // ��g扫描码�?br />　　　　　DWORD dwFlags, // 动作标识�?br />　　　　　DWORD dwExtraInfo // 与键盘动作关联的辅加信息�?br />　　　);

　　其中�Q�bVk表示虚拟键��|��其实它是一个BYTE�c�d��值的宏，其取��D��围�ؓ1-254。有兌��拟键��D��请在MSDN上��用关键字“Virtual-Key Codes”查扄��兌��料。bScan表示当键盘上某键被按下和攑ּ��Ӟ��键盘�pȝ��g产生的扫描码�Q�我们可以MapVirtualKey()函数在虚拟键��g��扫描码之间进行�{换。dwFlags表示各种各样的键盘动作，它有两种取��|��KEYEVENTF_EXTENDEDKEY和KEYEVENTF_KEYUP�?br />
　　下面我们使用一�D�代码实现在游戏中按下Shift+R快捷键对��d��对象�q�行��d��?br />
　　　keybd_event(VK_CONTROL,MapVirtualKey(VK_CONTROL,0),0,0); //按下CTRL键�?br />　　　keybd_event(0x52,MapVirtualKey(0x52,0),0,0);//键下R键�?br />　　　keybd_event(0x52,MapVirtualKey(0x52,0), KEYEVENTF_KEYUP,0);//攑ּ�R键�?br />　　　keybd_event(VK_CONTROL,MapVirtualKey(VK_CONTROL,0),
　　　KEYEVENTF_KEYUP,0);//攑ּ�CTRL键�?

　　3�Q?�Ȁ�z�d��?br />
　　上面介绍的鼠标和键盘模拟技�?/b>实现了对游戏角色的动作部分的模拟�Q�但要想外挂能工作于游戏之上�Q�还需要将其与游戏的场景窗口联�p��v来或者��用一个激�z�键�Q�就象按键精�늚�那个�Ȁ�z�键一栗��我们可以用GetWindow函数来枚丄��口，也可以用Findwindow函数来查扄��定的�H�口。另外还有一个FindWindowEx函数可以扑ֈ��H�口的子�H�口�Q�当游戏切换场景的时候我们可以用FindWindowEx来确定一些当前窗口的特征�Q�从而判断是否还在这个场景，�Ҏ��很多了，比如可以GetWindowInfo来确定一些东西，比如当查找不到某个按钮的时候就说明游戏场景已经切换了等�{�办法。当使用�Ȁ�z�键�q�行兌��Q�需要��用Hook技�?/b>开发一个全局键盘钩子�Q�在�q�里��׃��具体介绍全局钩子的开发过�E�了�Q�在后面的实例中我们��会使用到全局钩子�Q�到时将学习到全局钩子的相关知识�?br />

　　4�Q?实例实现

　　通过上面的学习，我们已经基本具备了编写动作式游戏外挂的能力了。下面我们将创徏一个画�W�程序外挂，它实现自动移动画�W�字光标的位�|��ƈ写下一个红色的“R”字。以�q�个实例为基��Q�加入相应的游戏动作规则�Q�就可以实现一个完整的游戏外挂。这里作者不想��用某�?b>游戏作�ؓ例子来开发外挂（因没�?b>游戏商家的授权啊�Q�）�Q�如读者感兴趣的话可以找一�?b>游戏试试�Q�最好仅做测�?b>技�?/b>用�?br />
　　首先�Q�我们需要编写一个全局钩子�Q��用它来激�z�d��挂，�Ȁ�z�键为F10。创建全局钩子步骤如下�Q?br />
　　(1)�Q�选择MFC AppWizard(DLL)创徏��目ActiveKey�Q��ƈ选择MFC Extension DLL�Q�共享MFC拯��Q�类型�?br />
　　(2).插入新文件ActiveKey.h�Q�在其中输入如下代码�Q?br />
　　　#ifndef _KEYDLL_H
　　　#define _KEYDLL_H

　　　class AFX_EXT_CLASS CKeyHook:public CObject
　　　{
　　　　public:
　CKeyHook();
　~CKeyHook();
　HHOOK Start();　//安装钩子
　BOOL Stop(); //卸蝲钩子
　　　};
　　　#endif

　　(3).在ActiveKey.cpp文�g中加入声明＂#include ActiveKey.h�Q��?br />
　　(4).在ActiveKey.cpp文�g中加入共享数据段�Q�代码如下：

　　　//Shared data section
　　　#pragma data_seg("sharedata")
　　　HHOOK glhHook=NULL; //钩子句柄�?br />　　　HINSTANCE glhInstance=NULL; //DLL实例句柄�?br />　　　#pragma data_seg()

　　(5).在ActiveKey.def文�g中设�|�共享数据段属性，代码如下�Q?br />
　　　SETCTIONS
　　　shareddata READ WRITE SHARED

　　(6).在ActiveKey.cpp文�g中加入CkeyHook�cȝ��实现代码和钩子函��C��码：

　　　//键盘钩子处理函数�?br />　　　extern "C" LRESULT WINAPI KeyboardProc(int nCode,WPARAM wParam,LPARAM lParam)
　　　{
　　　if( nCode >= 0 )
　　　{
　　　if( wParam == 0X79 )//当按下F10键时�Q�激�z�d��挂�?br />　{
　　//外挂实现代码�?br />CPoint newPoint,oldPoint;
　　 GetCursorPos(&oldPoint);
　　 newPoint.x = oldPoint.x+40;
　　 newPoint.y = oldPoint.y+10;
　　 SetCursorPos(newPoint.x,newPoint.y);
　　 mouse_event(MOUSEEVENTF_LEFTDOWN,0,0,0,0);//模拟按下鼠标左键�?br />　　mouse_event(MOUSEEVENTF_LEFTUP,0,0,0,0);//模拟攑ּ�鼠标左键�?br />　　keybd_event(VK_SHIFT,MapVirtualKey(VK_SHIFT,0),0,0); //按下SHIFT键�?br />　　keybd_event(0x52,MapVirtualKey(0x52,0),0,0);//按下R键�?br />　　keybd_event(0x52,MapVirtualKey(0x52,0),KEYEVENTF_KEYUP,0);//攑ּ�R键�?br />　　keybd_event(VK_SHIFT,MapVirtualKey(VK_SHIFT,0),KEYEVENTF_KEYUP,0);//攑ּ�SHIFT键�?br />　　　　　　SetCursorPos(oldPoint.x,oldPoint.y);
　}
　　　}
　　　return CallNextHookEx(glhHook,nCode,wParam,lParam);
　　　}

　　　CKeyHook::CKeyHook(){}
　　　CKeyHook::~CKeyHook()
　　　{　
　　　if( glhHook )
Stop();
　　　}
　　　//安装全局钩子�?br />　　　HHOOK CKeyHook::Start()
　　　{
glhHook = SetWindowsHookEx(WH_KEYBOARD,KeyboardProc,glhInstance,0);//讄��键盘钩子�?br />return glhHook;
}
　　　//卸蝲全局钩子�?br />　　　BOOL CKeyHook::Stop()
　　　{
　　　BOOL bResult = TRUE;
　if( glhHook )
　　　bResult = UnhookWindowsHookEx(glhHook);//卸蝲键盘钩子�?br />　　　return bResult;
　　　}

　　(7).修改DllMain函数�Q�代码如下：

　　　extern "C" int APIENTRY
　　　DllMain(HINSTANCE hInstance, DWORD dwReason, LPVOID lpReserved)
　　　{
//如果使用lpReserved参数则删除下面这�?
UNREFERENCED_PARAMETER(lpReserved);

if (dwReason == DLL_PROCESS_ATTACH)
{
　　TRACE0("NOtePadHOOK.DLL Initializing!\n");
　　 //扩展DLL仅初始化一��?
　　if (!AfxInitExtensionModule(ActiveKeyDLL, hInstance))
return 0;
　　new CDynLinkLibrary(ActiveKeyDLL);
　　　　　　//把DLL加入动态MFC�c�d��?
　　glhInstance = hInstance;
　　//插入保存DLL实例句柄
}
else if (dwReason == DLL_PROCESS_DETACH)
{
　　TRACE0("NotePadHOOK.DLL Terminating!\n");
　　//�l�止�q�个链接库前调用�?
　　AfxTermExtensionModule(ActiveKeyDLL);
}
return 1;
　　　}

　　(8).�~�译��目ActiveKey�Q�生成ActiveKey.DLL和ActiveKey.lib�?br />
　　接着�Q�我们还需要创��Z��个外壳程序将全局钩子安装�?b>Windows�pȝ��中，�q�个外壳�E�序�~�写步骤如下�Q?br />
　　(1).创徏一个对话框模式的应用程序，��目名�ؓSimulate�?br />
　　(2).在主对话框中加入一个按钮，使用ClassWizard为其创徏CLICK事�g�?br />
　　(3).��ActiveKey��目Debug目录下的ActiveKey.DLL和ActiveKey.lib拯��到Simulate��目目录下�?br />
　　(4).从“工�E�”菜单中选择“设�|�”，弹出Project Setting对话框，选择Link标签�Q�在“对�?库模块”中输入ActiveKey.lib�?br />
　　(5).��ActiveKey��目中的ActiveKey.h头文件加入到Simulate��目中，�q�在Stdafx.h中加�?include ActiveKey.h�?br />
　　(6).在按钮单��M��件函数输入如下代码：

　　　void CSimulateDlg::OnButton1()
　　　{
// TODO: Add your control notification handler code here
if( !bSetup )
{
m_hook.Start();//�Ȁ�z�d��局钩子�?br />}
else
{
m_hook.Stop();//撤消全局钩子�?br />}
bSetup = !bSetup;

　　　}

　　(7).�~�译��目�Q��ƈ�q�行�E�序�Q�单��L��钮激�z�d��挂�?br />
　　(8).启动�ȝ��E�序�Q�选择文本工具�q�将�W�的颜色讄��为红�Ԍ��鼠标放在�Q意位�|�后�Q�按F10键，�ȝ��E�序自动�U�d��鼠标�q�写下一个红色的大写R。图一展示了按F10键前的画�W�程序的状态，图二展示了按F10键后的画�W�程序的状态�?br />

图一�Q�按F10前状�?001.jpg)

图二�Q�按F10后状�?002.jpg)

�? 2006-11-18 16:35 发表评论

99久久综合国产精品免费,久久综合中文字幕,亚洲国产二区三区久久

Windows�pȝ��安全讄���

修改�q�程桌面端口

游戏外挂设计技术探�?一

外挂���谈

游戏外挂设计技术探�?�?

游戏外挂设计技术探�?�?

Windows�pȝ��安全讄��

外挂��谈